Veilig online: bouw een waterdichte cloud

Door: Toon van Daele | 29 maart 2018 10:48

How To

Of het nu om veiligheidsdiensten als de AIVD of om criminele hackersbendes gaat, er zijn altijd wel instanties die een ongezonde interesse tonen in wat je online allemaal uitvoert. Je mag helemaal zelf bepalen wie er toegang krijgt tot je surfverkeer, je chats, je sociale media-activiteiten en je cloudopslag, alleen moet je een aantal maatregelen nemen om veilig online te blijven.

Je kunt je online veiligheid nooit 100 procent waarborgen. Wat je wél kunt doen, is het pottenkijkers zo lastig mogelijk maken. Je online veiligheid verhogen werkt eigenlijk op twee niveaus door. Enerzijds houdt dat in dat je je data beter afschermt op het moment dat ze worden getransporteerd, anderzijds dien je de gegevens die je ergens online hebt opgeslagen zo goed mogelijk te beschermen tegen ongeautoriseerde toegang. Deze tweedeling openbaart zich dan ook in dit artikel.

Natuurlijk, wat baat het als je de ene deur stevig vergrendelt als je een andere nonchalant openlaat? Je mag dan nog zo alert zijn tijdens je online activiteiten, als je geen oog hebt voor de beveiliging van je eigen computer(s), komt een hacker alsnog tot bij je vertrouwelijke gegevens. Bijvoorbeeld in de lokale synchronisatiemap van je cloudopslagservice, of bij de wachtwoorden van je online accounts. Het blokkeren van gevoelige ‘lokale’ aanvalslocaties is dus minstens even belangrijk.

01 Openbare wifi

Publieke hotspots horen tot de meest onveilige omgevingen om online te gaan. Zelfs als je er zeker van bent dat een ssid als ‘Free BagelsBeans’ legitiem is en wel degelijk afkomstig is van de bijhorende organisatie, is het zelden veilig om daar gebruik van te maken. Iemand met de juiste tools kan immers alle data onderscheppen die over zo’n netwerk gaan. Dat geldt overigens ook voor het draadloze netwerk van je hotel: het kan al voldoende zijn wanneer een hacker over het bijbehorende wifi-wachtwoord beschikt.

Probeer in elk geval zo veel mogelijk van https-verbindingen gebruik te maken. Stel je mobiele apparaat bovendien zo in dat het zich niet automatisch opnieuw verbindt met een ssid waarmee je al eerder verbonden was. Dat kan via Instellingen / Netwerk en internet / Wifi / Netwerk vergeten (Android), via Instellingen / Wi-Fi / I-knop / Vergeet dit netwerk (iOS) of via Instellingen / Netwerk en internet / Wi-Fi / Bekende netwerken beheren, waarna je de ssid selecteert en Niet onthouden kiest (Windows 10).

De beste remedie is echter het opzetten van een vpn-verbinding (virtual private network), bij voorkeur via een service die je data niet logt.

Heel wat nas’en voorzien in één of meer vpn-services.

Ingebouwde vpn

De browser Opera biedt al langer een geïntegreerde en gratis vpn-service. Je hoeft die alleen maar in de browserinstellingen te activeren, waarna je per site kunt kiezen of je via een vpn-verbinding online wilt gaan en vanaf welke virtuele locatie. Dat klinkt aantrekkelijk, maar hier horen wel een paar kanttekeningen bij. Opera is intussen opgekocht door een Chinees bedrijf, het maakt gebruik van de service SurfEasy die niet alleen data een tijdlang logt, maar ook in Canada is gehuisvest. En Canada behoort tot de ‘Five Eyes’ en wisselt bovendien gegevens uit met de VS, Nederland en België.

02 Https

Ook wanneer je vanaf een desktop-browser het internet op gaat, kun je dat het best zo veel mogelijk doen via een versleutelde https-verbinding. Dankzij initiatieven als StartCom en vooral ook Let’s Encrypt, die gratis de nodige ssl-certificaten verstrekken, ondersteunen steeds meer websites dit encryptie-protocol (althans, van het Domain Validation-type). Het is wel zo dat heel wat populaire sites als Facebook, Google en LinkedIn er automatisch voor zorgen dat je browser via https zal (trachten te) verbinden, maar dat is lang niet overal het geval. Een gratis plug-in als HTTPS Everywhere (beschikbaar voor Chrome, Firefox en Opera) probeert dat alsnog te forceren. De plug-in PassSec+, helaas alleen beschikbaar voor Firefox, gaat nog een stapje verder: die geeft met kleurcodes aan wanneer je bijvoorbeeld je accountgegevens invult op een niet-versleutelde inlogpagina.

PassSec+: een extra check als je een id invult op een site die niet verder gaat dan een ‘domeinvalidatie’.

03 Tor & Tails

Wanneer je anonimiteit tijdens het surfen belangrijk vindt, dan kun je overwegen Tor (The Onion Router) in te zetten. Terwijl je in het geval van vpn via een tussenliggende server surft, zet Tor een volledig netwerk van tussenstations in. Dat zorgt ervoor dat je data een willekeurige route langs deze relays volgen, waarbij de ene relay alleen het ip-adres van de vorige en van de eerstvolgende relay kent. Geen enkele machine kent dus het volledige traject.

De eenvoudigste manier om met Tor aan de slag te gaan is met de Tor Browser, die is gebaseerd op Firefox. Je vindt de browser hier voor zowel Windows, macOS als Linux (ook in het Nederlands). Je treft in deze browser tevens knopjes aan waarmee je bepaalde scripts kunt verbieden, enkele privacy-instellingen kunt finetunen en voor een andere route kunt opteren. Let er ook hier op zo veel mogelijk van https gebruik te maken en bij voorkeur geen plug-ins in te zetten. Houd er overigens rekening mee dat Tor je surfsessies merkbaar kan vertragen.

Een nog ingrijpender oplossing is Tails (The Amnesic Incognito Live System), een live Linux-variant die je vanaf een extern medium als een usb-stick opstart. Tails maakt eveneens gebruik van Tor en bevat onder meer HTTPS Everywhere en NoScript. Hier vind je installatie-instructies voor diverse systemen.

Tor-browser: meer anonimiteit komt wel met een (snelheids)prijs.

04 E-mail

De kans is groot dat je voor je e-mailverkeer een browser met https-verbinding gebruikt. Zet je regelmatig ook een desktop-client als MS Outlook in, dan is de kans groot dat je e-maildata onversleuteld over internet gaan (tenzij je een vpn gebruikt). Om dat te vermijden, kun je het best gebruikmaken van een ssl/tls-connectie, mits je provider dat ondersteunt. Wordt je mail dan onderschept, dan ziet de hacker uitsluitend rommel, aangezien alleen de e-mailserver en -client over de benodigde decryptiesleutels beschikken.

Een alternatief is dat je zelf een digitaal certificaat installeert. Comodo biedt zo’n certificaat gratis aan. Of je maakt gebruik van een (eveneens gratis) oplossing als Gpg4win, waarmee je op basis van een stevige OpenPGP-2048bit-versleuteling end-to-end-encryptie voor je mailverkeer inzet. Je dient dan wel je eigen digitale certificaat te creëren, bijvoorbeeld met behulp van de meegeleverde certificaatsbeheerder Kleopatra.

De installatie en initiële configuratie van digitale certificaten zijn wel enigszins bewerkelijk en je moet bovendien over de publieke sleutel van de beoogde ontvanger beschikken om hem een versleuteld bericht te kunnen toesturen. Anders gezegd: beide partijen moeten zo’n digitaal certificaat hebben geïnstalleerd.

Zodra een digitaal certificaat bij beide partijen is geïnstalleerd, vergt het versleutelen maar één druk op de knop (in Outlook).

05 Mailservices

Je kunt eventueel ook gebruikmaken van een externe service als het Zwitserse ProtonMail (gratis met beperkingen: 150 berichten per dag met 500 MB opslagruimte). Mobiele apps worden aangeboden, maar het werkt niet samen met andere mail-apps als Outlook. Wel kun je versleutelde mails op basis van een afgesproken wachtwoord uitwisselen met personen die zelf geen ProtonMail-account hebben. Het is ook mogelijk een vervaldatum aan je berichten te koppelen, waarna die automatisch worden vernietigd. Een andere, vergelijkbare dienst is het Duitse Tutanota (tutanota.com). Beide diensten beschikken zelf niet over de decryptiesleutels voor je mail en kunnen je berichten dus niet ontcijferen.

De elegante webinterface van ProtonMail: ook versleuteling voor externe ontvangers.

06 Chat

Gebruik je populaire chat-apps als WhatsApp, Snapchat of Facebook Messenger, dan zit je al behoorlijk safe, aangezien deze diensten je chatberichten kunnen versleutelen. Behoorlijk veilig dus, want het kan weleens gebeuren dat er hiaten in de gebruikte encryptiemethode worden ontdekt. Let wel op dat deze encryptie alleen geldt voor chatberichten, en niet voor foto’s, video’s en spraakberichten. Bovendien is er nog altijd veel metadata beschikbaar, zoals met wie je communiceert, waar en wanneer.

Met Facebook Messenger is het bovendien even opletten geblazen: standaard worden berichten namelijk niet ‘end-to-end’ versleuteld; dat moet je zelf instellen op je mobiele apparaat. Open een conversatie in Messenger, tik het I-knopje aan en kies Naar geheim gesprek gaan. Bevestig met OK. Of je tikt het gesprekspictogram in het Home-venster aan en je verschuift het hangslotje naar rechts.

Een gratis alternatief met een solide reputatie is Signal, beschikbaar voor Android en iOS. Deze app voorziet in end-to-end-encryptie op basis van een opensourceprotocol en kan ook telefoongesprekken versleutelen. Er is tevens een Chrome-extensie beschikbaar voor gebruik op je computer.

Cloudopslag

Er zijn weliswaar heel wat cloudopslagdiensten die je data onderweg en ook in de cloud versleutelen, maar veelal heeft de aanbieder de encryptiesleutel (ook) in handen en kan hij die bijvoorbeeld aan bepaalde overheidsinstanties doorspelen. Met een gratis tool als Cryptomator (beschikbaar voor Windows, macOS, Linux en voor mobiele apparaten) steek je daar een stokje voor. Deze tool zorgt er namelijk voor dat de gegevens in je lokale synchronisatiemap worden versleuteld voordat ze naar de cloudopslagdienst worden verstuurd. De werking is relatief eenvoudig: je creëert één of meerdere versleutelde mappen oftewel ‘kluizen’ en die bewaar je dan in de gewenste synchronisatiemap. Nadat je een bijbehorend wachtwoord hebt ingevoerd, komt je kluis beschikbaar als een virtueel lokaal station. Zodra je Vergrendel kluis aanklikt, zijn er alleen nog maar versleutelde data (256bit-AES) te zien.

Cryptomator versleutelt je synchronisatiedata, en dus je cloudopslag.

2FA

Om te vermijden dat anderen zomaar toegang krijgen tot je online accounts, moet je die uiteraard met een stevig wachtwoord afschermen, waarbij je er wel voor hoedt telkens hetzelfde exemplaar te gebruiken. Een nog betere oplossing is 2FA, oftewel tweefactor-authenticatie. Naast een wachtwoord moet je dan nog een bijkomend ad hoc gegenereerde token ingeven, zoals een code die je op het moment zelf via sms wordt toegestuurd. Onder meer Google, Microsoft, Dropbox, Facebook, LinkedIn en wachtwoordmanager LastPass ondersteunen 2FA. Authy, beschikbaar voor Android en iOS, is een handige mobiele app die 2FA voor diverse services ondersteunt.

Voor accounts met extra gevoelige data kun je ook een hardware security key inzetten, zoals de FIDO U2F-usb-sleutel (ondersteund door onder meer Google, circa € 24) of de Yubikey Edge (circa € 34).

Een hardwarematige encryptiesleutel voor extra zekerheid (FIDO U2F).

Sociale media

Is jouw privacy je lief? Gebruik dan liever helemaal geen sociale media, ongeacht of je je graag beschermt tegen overheden of hackers. Het is nauwelijks te bevatten welke informatie gebruikers via sociale media allemaal over zichzelf prijsgeven. Wanneer je je privacy-instellingen niet goed voor elkaar hebt, kan zo’n beetje iedereen bij die informatie. Hackers kunnen die dan bijvoorbeeld misbruiken voor ‘spear phishing’ (valse berichten die jou specifiek in het vizier hebben) of om makkelijker jouw identiteit aan te meten (in het geval van identiteitsfraude). Ben je actief op Facebook, dan kan een bezoek aan www.stalkscan.com ontluisterend werken.

De moraal van dit verhaal mag duidelijk zijn: maak informatie op je sociale media voor zover mogelijk uitsluitend zichtbaar voor degenen met wie je die effectief wenst te delen. Nagenoeg alle sociale media hebben daartoe een privacy-rubriek waar je een en ander kunt aanschroeven. In Facebook bijvoorbeeld klik je het kleine pijltje rechtsboven aan en kies je Instellingen / Privacy. In het geval van Google kun je je aanmelden bij https://myaccount.google.com/privacycheckup, waarna je de wizard opent via Nu starten en alle instellingen checkt.

Je doet er goed aan af en toe de privacy-instellingen van je sociale media te checken.

Cloudservices

We raden je tevens aan na te gaan welke cloudservices je intussen allemaal aan je Google-account of je Facebook-account (open Facebook en kies Instellingen / Apps) hebt gekoppeld. De kans is groot dat er een aantal diensten tussen zitten die je niet langer gebruikt. Die accounts kun je dan maar beter opzeggen. Een site als deze, met directe links naar talrijke opzegpagina’s, kan daarbij handig zijn. Of je meldt je met je Google- of Outlook-account aan bij www.deseat.me (de site zelf ontvangt hierdoor niet je aanmeldgegevens), waarna je een overzicht krijgt van de services waarbij je een account hebt. Via de optie Delete queue verplaats je zo’n service naar een lijst met overtollige accounts. Tref je bij die service een Delete-knop aan, dan word je naar de pagina geleid waar je je kunt uitschrijven. In het andere geval moet je zelf op zoek naar de eigenlijke opzegpagina.

2 Reactie(s) op: Veilig online: bouw een waterdichte cloud

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • 30 maart 2018 04:33 AMANDA4242
    lening! lening!! lening!!!Bent u op zoek naar een gerenommeerde en erkende particuliere lening bedrijf dat leningen voor kans verstrekt.Wij bieden alle soorten van leningen in een zeer snelle en gemakkelijke manier, persoonlijke leningen, autoleningen, hypothecaire leningen, studentenleningen, zakelijke leningen, investeringskredieten, consolidatie van de schuld en veel meer.Heb je door afgewezen banken en andere financiële instellingen?Heeft u een consolidatie lening of een hypotheek nodig? Kijk niet meer als we hier zijn om al uw financiële problemen een ding van het verleden.We lenen fondsen aan particulieren en bedrijven die financiële hulp tegen een tarief van 2% nodig.Geen Sofinummer nodig is en geen credit-check nodig, 100% gegarandeerd.Ik wil dit medium gebruiken om u te informeren dat we betrouwbare en ondersteunende hulp bieden en we zullen blij zijn om u te bieden een lening.Stuur ons dan een e-mail naar: (amandaafredoloan42@gmail.com) toe te passen voor een lening
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.
  • 30 maart 2018 04:37 AMANDA4242
    lening! lening!! lening!!!Bent u op zoek naar een gerenommeerde en erkende particuliere lening bedrijf dat leningen voor kans verstrekt.Wij bieden alle soorten van leningen in een zeer snelle en gemakkelijke manier, persoonlijke leningen, autoleningen, hypothecaire leningen, studentenleningen, zakelijke leningen, investeringskredieten, consolidatie van de schuld en veel meer.Heb je door afgewezen banken en andere financiële instellingen?Heeft u een consolidatie lening of een hypotheek nodig? Kijk niet meer als we hier zijn om al uw financiële problemen een ding van het verleden.We lenen fondsen aan particulieren en bedrijven die financiële hulp tegen een tarief van 2% nodig.Geen Sofinummer nodig is en geen credit-check nodig, 100% gegarandeerd.Ik wil dit medium gebruiken om u te informeren dat we betrouwbare en ondersteunende hulp bieden en we zullen blij zijn om u te bieden een lening.Stuur ons dan een e-mail naar: (amandaafredoloan42@gmail.com) toe te passen voor een lening
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.