Velen beginnen zich af te vragen of het internet Amerika's grootste 'Trojaanse paard'-geschenk aan de wereld was, een slimme manier om barrières te omzeilen en toegang te krijgen tot ieders privé-informatie. Vooral de recente onthullingen over PRISM-spionage hebben dat gedaan verontwaardigde Europeanen. Maar er zijn technieken om terug te vechten, zegt de Nederlandse technologie-expert Arjen Kamphuis.
Door Arjen Kamphuis
Op 11 juli 2001 publiceerde het Europees Parlement een verslag over het Echelon-spionagenetwerk en de gevolgen voor Europese burgers en bedrijven. Speculaties over het bestaan van dit netwerk van Groot-Brittannië en haar voormalige koloniën was al jaren gaande, maar het duurde tot 1999 voordat een journalist een artikel publiceerde verslag waardoor het onderwerp uit de aluminiumhoed-zone werd gehaald.
Het rapport van het EU-Parlement bevat zeer praktische en verstandige voorstellen, maar door de gebeurtenissen twee maanden later aan de andere kant van de Atlantische Oceaan zijn deze nooit ten uitvoer gelegd. Of zelfs verder besproken.
Onder de titel “Maatregelen om de zelfbescherming van burgers en bedrijven aan te moedigen” somt het rapport een aantal concrete voorstellen op om de gegevensbeveiliging en de vertrouwelijkheid van communicatie voor EU-burgers te verbeteren. Het document riep het Parlement op om burgers te informeren over het bestaan van Echelon en de implicaties voor hun privacy, en voegde eraan toe dat deze informatie “vergezeld moet worden van praktische hulp bij het ontwerpen en implementeren van uitgebreide beschermingsmaatregelen, inclusief de beveiliging van informatietechnologie.”
Het rapport drong ook aan op “passende maatregelen om Europese encryptietechnologie en -software te bevorderen, te ontwikkelen en te produceren en, bovenal, om projecten te ondersteunen die gericht zijn op de ontwikkeling van gebruikersencryptietechnologie, die open source zijn” en “softwareprojecten te promoten waarvan de brontekst is gepubliceerd. Daarmee wordt gegarandeerd dat de software geen ‘achterdeurtjes’ heeft ingebouwd (de zogenaamde ‘open source software’).”
Het document citeerde de onbetrouwbaarheid van beveiligings- en encryptietechnologieën waarvan de broncode niet is gepubliceerd. Dit onderwerp is een strikt taboe in de Nederlandse en Britse discussies over de IT-strategie voor overheden (waarschijnlijk omdat bepaalde grote NAVO-partners zich beledigd zouden kunnen voelen).
Ook moeten regeringen elkaar en hun burgers het goede voorbeeld geven, aldus het rapport, door “systematisch gebruik van encryptie van e-mails, zodat dit op de langere termijn een normale praktijk zal zijn.” Dit zou in de praktijk moeten worden gerealiseerd door “het verzekeren van de opleiding en publicatie van hun personeel met nieuwe encryptietechnologieën en -technieken door middel van de nodige praktische trainingen en cursussen.”
Zelfs kandidaat-lidstaten van de EU zouden moeten worden geholpen “als zij door een gebrek aan technologische onafhankelijkheid niet de noodzakelijke bescherming kunnen bieden”, aldus het rapport.
Die ene paragraaf uit de zomer van 2001, voordat het rationele veiligheidsbeleid volledig werd vernietigd door 9 september, beschreef de basis voor een solide IT-beleid om de veiligheid en privacy van burgers te waarborgen tegen bedreigingen van zowel buitenlandse actoren als de overheid zelf (historisch gezien altijd de grootste bedreiging). bedreiging voor haar burgers en de reden waarom we grondwetten hebben).
Als dit beleid de afgelopen tien jaar was geïmplementeerd, zouden de recente PRISM-onthullingen grotendeels met onverschilligheid zijn ontvangen. Europese burgers, overheden en bedrijven zouden het grootste deel van hun computers en communicatie uitvoeren op systemen die worden beheerd door Europese organisaties, met software die mede in Europa is ontwikkeld en zich fysiek op Europees grondgebied bevindt.
Een Amerikaans probleem met een overreikend spionageapparaat zou precies dat zijn geweest, een Amerikaans probleem zoals tieners met machinegeweren of een gebrek aan universele gezondheidszorg, gewoon weer een van die gekke dingen die ze in de VS doen om hun ‘vrijheid’ te behouden.
Van Koekenpan tot Vuur
Rond die tijd sprak ik met Kees Vendrik (Kamerlid) over de problematische Europese softwaremarkt. Niet alleen was het onmogelijk om een merklaptop te kopen zonder een Microsoft Windows-licentie te hoeven kopen, het was ook onmogelijk om veel websites (gemeenten, spoorwegen en vele anderen) te bezoeken zonder Internet Explorer te gebruiken. Sindsdien is dit laatste gebied enorm verbeterd en kan ik vandaag mijn leven leiden met mijn besturingssysteem en browsers naar keuze.
De Nederlandse afhankelijkheid van producten als MS Windows/Office is echter niet echt afgenomen, ondanks alle wensen van de Tweede Kamer en pogingen daartoe. overheidsbeleid. Tegenwoordig is het niet mogelijk om als leerling de middelbare school af te ronden zonder een aantal propriëtaire software te bezitten en te gebruiken, waardoor de leerlingen kwetsbaar zijn voor bespionering.
Stel je voor dat je een bepaald merk pen verplicht stelt voor scholen en een merk pen kiest dat wordt geleverd met een spionagemicrofoon (niet onder controle van de gebruiker). Dat is in de praktijk de huidige situatie in onder meer Nederland en Groot-Brittannië. Duitsland, Frankrijk en Spanje doen het iets beter, door in ieder geval het probleem te erkennen.
Ondertussen vond de technologische seismische verschuiving plaats die Bill Gates van Microsoft in 1995 zo bang maakte (het web maakt het besturingssysteem irrelevant) wordt snel werkelijkheid. Vrijwel alle nieuwe ontwikkelingen die door IT-machtsspelers en specialisten worden besproken, zijn webgebaseerd of gebaseerd op open specificaties en de meest gebruikte applicaties draaien redelijk goed als service in een browser.
Dus hoewel het vijftien tot twintig jaar oude probleem van softwareafhankelijkheid nooit echt is opgelost (overheden, met tienduizenden IT-werknemers, zijn nog steeds niet in staat zich los te maken van de vertrouwde Microsoft-technologie), wordt de impact ervan langzaam steeds groter. minder relevant. Ondertussen is bewezen dat nieuwe afhankelijkheden op basis van ‘cloud’-providers zelfs nog schadelijker zijn.
Overmatig gebruik van propriëtaire software brengt het risico van buitenlandse manipulatie en potentiële aanvallen op kritieke infrastructuur met zich mee Stuxnet). Maar als uw systemen op deze manier worden aangevallen, zijn er tenminste enkele manieren om dit te volgen. Als u werkt op een computer die niet van u is, die zich in het buitenland bevindt en wordt beheerd door mensen die u niet kent op manieren die u niet kunt controleren, zal het erg moeilijk zijn om enige controle over uw computer te hebben. wat er met uw gegevens gebeurt.
De oude veronderstelling, dat het gebruik van lokale servers een deel van de oplossing zou kunnen zijn, lijkt onder het imperium van na 9 september helaas een illusie te zijn. Alle ‘cloud’-diensten die worden aangeboden door bedrijven die in de VS zijn gevestigd, zijn onderworpen aan de Amerikaanse wetgeving, zelfs als de servers zich fysiek in een ander land bevinden. En de Amerikaanse wetgeving is nu enigszins, laten we zeggen, problematisch.
Alleen al met een beschuldiging van betrokkenheid bij ‘terrorisme’ kunnen zelfs zonder bewijssystemen worden gesloten of overgenomen – zonder enige waarschuwing of de mogelijkheid van rechterlijke toetsing op tegenspraak. De term ‘terrorisme’ is zo ver opgerekt dat iedereen die naar verluidt de Amerikaanse wet overtreedt, zelfs als hij geen Amerikaans staatsburger is en zelfs als hij zich niet in de VS bevindt, nog steeds als ‘terrorist’ kan worden beschouwd. gewoon op woord van een van de vele drieletterdiensten (FBI, CIA, NSA, DIA, DHS, TSA, enz.).
De EU was hier niet blij mee, maar wilde tot het PRISM-lek niet zo ver gaan dat ze haar burgers en andere regeringen aanbeveelde dergelijke diensten niet langer te gebruiken. PRISM maakt het mogelijk om hier in ieder geval voor het eerst een serieuze discussie over te voeren.
De lange arm van de Amerikaanse Patriot Act gaat zelfs verder dan alleen de servers van Amerikaanse bedrijven op Europese bodem. Domeinen kunnen dus op een zeer nadelige manier ‘in beslag worden genomen’ en worden geëtiketteerd, zoals ‘deze site was betrokken bij de omgang met kinderen pornografie.” Probeer dat als bedrijf of non-profitorganisatie eens uit te leggen aan uw klanten, bijdragers of zakenpartners.
Gebruik nu slechts één .com-, .org- of .net-extensie als uw domeinnaam maakt u aansprakelijk volgens de Amerikaanse wetgeving. Alle Europeanen kunnen nu uit hun huizen worden gehaald wegens het overtreden van de Amerikaanse wet. Een .com-domeinnaam maakt uw server dus feitelijk Amerikaans grondgebied.
We waren ons er al van bewust dat propriëtaire platforms zoals Windows en Google Docs geen geschikte systemen waren voor belangrijke zaken zoals het runnen van publieke of kritieke infrastructuur. Nu blijkt echter dat elke dienst die via een .com/.org/.net-domein wordt geleverd, u feitelijk onder buitenlandse controle plaatst.
Oplossing? Schakel zoveel mogelijk over naar gratis/opensource-software op lokale servers. Gelukkig zijn er in Europa nogal wat competente hostingbedrijven en bedrijven. Gebruik lokale landdomeinen zoals .nl, .de, .fr of, als je echt kogelvrij wilt zijn, neem dan een .ch-domein. Deze worden beheerd door een Zwitserse stichting en deze mensen nemen hun onafhankelijkheid serieus.
Als je toch Google (inclusief Google Docs), Facebook, Evernote, Mind Meister, Ning.com, Hotmail of Office 365 wilt gebruiken, doe dat dan in het besef dat je geen privacy en minder burgerrechten hebt dan Engelse edellieden in de jaar 1215.
Het bestrijden van kwaaddoeners
Een paar maanden geleden verdedigde een regeringsspreker het project 'Clean IT' tijdens een bijeenkomst van RIPE (de organisatie die IP-adressen verspreidt voor Europa en Azië). Maak het schoon is een Europees project van Nederlandse origine dat tot doel heeft ‘het gebruik van internet voor terroristische doeleinden’ te bestrijden. Het probleem met dit doel is dat ‘internet’, ‘gebruik’ en ‘terrorisme’ ongedefinieerd blijven, en het lijkt erop dat niemand erg geïnteresseerd is om dit op te lossen.
Deze onduidelijkheid kan op zichzelf handig zijn als je een overheid bent, omdat je dan met een project alle kanten op kunt gaan. Een beetje zoals toen het bewaren van gegevens in 2005 door het EU-Parlement werd geramd met de belofte dat het alleen tegen ‘terrorisme’ zou worden gebruikt – een belofte die binnen een paar maanden werd verbroken.
In Duitsland is het bewaren van gegevens nu ongrondwettelijk verklaard en afgeschaft, terwijl in Nederland sprake is van ongebreidelde telefoontaps, ondanks een totaal gebrek aan bewijs voor de effectiviteit van deze maatregelen. Dat zijn alle databases met bewaarde telecommunicatiegegevens zelf een doelwit worden is niet iets waar serieus rekening mee lijkt te worden gehouden in de dreigingsanalyses. Allemaal zorgwekkend voor een overheid die er doorgaans nog steeds niet in slaagt de eigen systemen goed te beveiligen of ervoor te zorgen dat externe opdrachtnemers dat doen.
Ook werd tijdens de lezing over Clean-IT veel nadruk gelegd op de publiek-private samenwerking om het publiek gerust te stellen. Het is vreemd dat een overheid zichzelf eerst incompetent maakt door alle expertise uit te besteden, en dan na tien jaar terugkomt en beweert dat ze diezelfde bedrijven niet kan controleren, en ook niet hun onderaannemers.
De laatste stap is dan om de toezichtfunctie ook uit te besteden aan bedrijven en de burgers gerust te stellen: “Wij laten bedrijven het doen! Maak je geen zorgen dat we de moeilijke technische dingen zelf zouden doen; het is allemaal netjes uitbesteed aan dezelfde partijen die de vorige 25 projecten verprutsten.”
Terrorisme is uiteraard de ‘toegang tot alle gebieden’ – ondanks het feit dat er veel meer Europeanen sterven door uitglijden onder de douche of door slecht passende bromfietshelmen dan door ‘terrorisme’. Bovendien hebben wij als Europeanen ervaring met de aanpak van terrorisme. ETA, IRA en RAF zijn de afgelopen decennia onschadelijk gemaakt door politieonderzoeken, onderhandelingen en inkapseling. Dit gebeurde zonder de burgerrechten van een half miljard Europese burgers in gevaar te brengen. Zelfs toen in Londen regelmatig IRA-bommen ontploften, stelde niemand voor om witte fosfor op Dublin of Belfast te laten vallen.
Ik hoop dat de visie van vóór 9 september op een gegeven moment herontdekt zal worden. Het zou mooi zijn als sommige delen van het ‘Vrije Westen’ een beleid zouden kunnen ontwikkelen dat onze morele superioriteit ten opzichte van Rusland zou rechtvaardigen, wanneer we eisen dat ze stoppen met politieke censuur onder het mom van ‘veiligheid’.
Reserveplan
Als al het andere faalt (en dit is niet geheel onwaarschijnlijk), hebben we een back-upplan voor de burgers nodig. Want ondanks alle petities, moties, acties en andere initiatieven nemen onze burgerlijke vrijheden nog steeds snel af. Op de een of andere manier heeft er in slow motion een staatsgreep plaatsgevonden waarbij de overheid de ‘efficiëntie’ wil vergroten door te vertrouwen op veel MBA-taal en bedrijfsmanagementwijsheden die zo goed hebben gewerkt voor de banksector.
Dat de primaire functie van de overheid daarmee verdampt, lijkt de meeste ambtenaren niet te deren. En ondertussen zijn de bedrijven zelf blijkbaar te druk bezig met het maken van winst en het bevechten van elkaar om zich zorgen te maken over burgerrechten en andere archaïsche concepten uit de tweede helft van de 20e eeuw.
Dus in plaats van altijd te proberen een politiek systeem te beïnvloeden dat onze belangen zo duidelijk negeert, kunnen we eenvoudigweg rechtstreeks voor onszelf en voor elkaar zorgen. Deze conclusie is misschien niet prettig, maar het geeft wel duidelijkheid over wat we moeten doen.
Een goed voorbeeld zou zijn dat organisaties op het gebied van onderwijs en burgerlijke vrijheden hierin voorzien wekelijkse workshops aan burgers over hoe ze encryptiesoftware moeten installeren en gebruiken om weer wat privacy te krijgen. Deze organisaties zouden hun invloed moeten gebruiken om de slogan “crypto is cool” op ieders lippen te krijgen.
Technologen en ontwerpers moeten hun energie richten op het promoten van de hippe en gebruiksvriendelijke aspecten van deze stukjes software. Dit kan veel leuker zijn dan lobbyen bij versteende politieke instellingen en daadwerkelijk enkele concrete privacyresultaten opleveren.
Sinds 2006 heb ik mijn eigen e-mailprivacy gewaarborgd door niet langer te vertrouwen op de wet, maar door een server buiten de EU te gebruiken, een SSL-verbinding ermee via een VPN-tunnel die het open internet binnenkomt, ook buiten de EU. Ik versleutel zoveel mogelijk e-mails individueel met sterke crypto (met behulp van Free GPG-software).
Het feit dat al die hordes terroristen (die, zo beweert onze regering, de planeet overspoelen) ongetwijfeld ook dergelijke maatregelen hebben genomen – voor minder dan 20 euro per maand, maakt het grootste deel van de spionage op laag niveau een complete en zinloze verspilling van middelen . Ervan uitgaande dat het werkelijk om het bestrijden van “terrorisme” gaat, iets dat in het licht van het bovenstaande een beetje twijfelachtig wordt.
Ondanks wat sommige ‘maar ik heb niets te verbergen’-verdedigers zeggen, hebben we privacyrechten en andere burgerlijke vrijheden om dezelfde reden dat we een grondwet hebben. Niet voor situaties waarin alles in orde is, maar voor die zeldzame situaties waarin dingen niet in orde zijn.
Privacy is de laatste verdedigingslinie tegen regeringen die de reden van hun bestaan (om hun volk te dienen) uit het oog verliezen. Privacy is daarom niet de vijand van veiligheid, maar het meest fundamentele onderdeel ervan, omdat regeringen veel enger zijn dan welke cybercrimineel of zelfs terroristen dan ook. Criminelen kunnen wat geld stelen en terroristen kunnen een paar mensen vermoorden, maar als het om oorlogen, massarepressie of genocide gaat, heb je altijd een regering nodig.
Het is heel duidelijk wat Europese regeringen zouden moeten doen om de veiligheid en beveiliging van hun burgers en staten te bevorderen. Ze hebben het al in de zomer van 2001 opgeschreven. Het feit dat deze maatregelen nooit deel uitmaken van de huidige beleidsvoorstellen op het gebied van cyberveiligheid zou de mensen zeer wantrouwig moeten maken, althans ten aanzien van de competentie van hun regeringen.
Arjen Kamphuis is mede-oprichter en Chief Technology Officer van Gendo. Hij studeerde Wetenschap en Beleid aan de Universiteit Utrecht en werkte voor IBM en Twynstra Gudde als IT-architect, trainer en IT-strategieadviseur. Sinds eind 2001 adviseert Arjen klanten over de strategische impact van nieuwe technologische ontwikkelingen.
Van wat ik heb gelezen, kun je meer dan 1000 bit-codering gebruiken en het zal meer dan een miljoen jaar duren voordat de meest geavanceerde technologie deze kraakt. Ik heb gelezen dat de kleinere 128-bits codering gemakkelijk te kraken is. Waarschijnlijk de moeite waard om te onderzoeken.
Wat het artikel betreft, dat was super geschreven. Het is gewoon duidelijk waar. Mensen die mensen kwaad willen doen, hebben hersens en weten dat een VPN hen beschermt, dat encryptie hun identiteit beschermt. De enige mensen die mogelijk bespioneerd kunnen worden, zijn degenen die NIET proberen ergens mee weg te komen: degenen die openlijk communiceren over een potentiële revolutie tegen een totalitaire regering.
En dit citaat uit het artikel is een meesterwerk: “Privacy is de laatste verdedigingslinie tegen regeringen die de reden van hun bestaan (om hun volk te dienen) uit het oog verliezen. Privacy is daarom niet de vijand van veiligheid, maar het meest fundamentele onderdeel ervan – omdat regeringen veel enger zijn dan welke cybercrimineel dan ook of zelfs terroristen. Criminelen kunnen misschien wat geld stelen en terroristen kunnen een paar mensen vermoorden, maar als het om oorlogen, massarepressie of genocide gaat, heb je altijd een regering nodig.”
VEILIGE E-MAILENCRYPTIE
Thunderbird e-mailapp (http://www.mozilla.org/en-GB/thunderbird/) voor veilige e-mail, open source.
Enigmail-beveiligingsextensie (http://www.enigmail.net/home/index.php) voor Thunderbird voor OpenPGP/GPG-codering.
IM's
Off-The-Record (OTR) berichtenuitwisseling (overzicht https://ssd.eff.org/tech/im, downloaden voor OSX http://adium.im/, Winnen http://www.pidgin.im/, Linux http://www.cypherpunks.ca/otr/software.php) voor gecodeerde instant messaging.
KENNISDATABASE
Beveiliging in een doos (https://securityinabox.org/en) is een gezamenlijke inspanning van het Tactical Technology Collective en Front Line, gecreëerd om te voldoen aan de digitale veiligheids- en privacybehoeften van belangenbehartigers en mensenrechtenverdedigers.
Sta op (https://riseup.net/en) biedt online communicatiemiddelen voor mensen en groepen die werken aan bevrijdende sociale verandering.
De Nederlandse techneut komt er in feite op neer dat hij ‘encryptie gebruikt’ en anderen leert hoe ze die moeten gebruiken – dat wil zeggen, publiekelijk beschikbare encryptie. Ik heb begrepen dat de huidige stand van de rekenkracht van multiprocessors en mainframes zo enorm is dat zelfs de beste openbare encryptie zeer waarschijnlijk te kraken is als de jongens je tot doelwit willen maken. Zelfs het AES-algoritme blijkt exploiteerbare tekortkomingen te vertonen. Dat wil niet zeggen dat gecodeerde e-mails, bestanden en mappen geen groot obstakel zullen vormen voor de meeste partijen die toegang proberen te krijgen tot uw gegevens; dat zullen ze wel doen. Ik zeg alleen dat publieke encryptie niet precies is “hoe je internetspionage kunt tegengaan”. De beste manier is om de spionage te stoppen – en veel succes daarmee.
Leggen niet alle vpn-providers al uw activiteiten vast? Geen privacy daar, denk ik.
Ik wil vpn en jij stuurt mij alsjeblieft tanks
ik heb vpn nodig
Geweldig artikel! Ik ben met pensioen en heb hier in Frankrijk een computer gevonden, geleverd door Orange, waarop alle gratis software staat: Firefox enz., geen Microsoft. Helemaal geen problemen, totdat Orange er na twee jaar plotseling op stond om het te vervangen door een “normaal” draagbaar model met Windows enz. Ik stond erop de oude computer te behouden, die veel minder storingen, gobbledegook enz. heeft, maar voor zover ik weet niet langer beschikbaar is.
Ik herinner me dat Europa zich een paar jaar geleden ervan bewust werd dat SWIFT eigenlijk een TFTS-systeem voor het volgen van terrorismefinanciering was, waarbij de VS alle banktransacties bespioneerden. De Europese Unie heeft dit ondanks krachtige inspanningen van het Europees Parlement niet kunnen voorkomen.
Men kan ook op internet surfen voor commerciële bedrijven die VPN's (Virtual Private Networks) produceren. Dit is niet om een specifiek bedrijf te promoten, maar een plaats om de zoektocht te starten zou Intego kunnen zijn, dat VPN's voor pc's en MAC's produceert (evenals antivirale software), en zijn VPN-product dat kan worden gebruikt in landen die de toegang tot internet beperken. , zoals China, en zelfs Duitsland (waar sommige buitenlandse muziekstations die normaal gesproken niet via internet te bereiken zijn, dat wel kunnen met een VPN-product als Intego).
Geweldig artikel. Een ander versleutelingssysteem dat moet worden overwogen, is het systeem dat is ontwikkeld door het TOR-project.
( Zien: https://www.torproject.org/ )
Onlangs hebben TOR-gebruikers geklaagd dat ze door Facebook werden geblokkeerd. (Zien:
( http://www.digitaltrends.com/social-media/facebook-doesnt-hate-tor/ )
Ook publiceerde de Huffington Post op 14 juni 2013 een artikel met de titel “Privacy-apps en -diensten zijn de enige technologiebedrijven die het NSA-bewakingsschandaal winnen”. De URL is: http://www.huffingtonpost.com/2013/06/14/privacy-apps-services_n_3444217.html Het identificeert verschillende encryptiebedrijven, waaronder een bedrijf dat telefoongesprekken codeert en geen gegevens opslaat, zodat het later niets aan de overheid hoeft over te dragen.