Mange begynner å lure på om Internett var USAs store "trojanske hest"-gave til verden, en smart måte å komme forbi barrierer og inn i alles private informasjon. De nylige PRISM-spioneringsavsløringene har spesielt opprørte europeere. Men det finnes teknikker for å slå tilbake, sier den nederlandske teknologieksperten Arjen Kamphuis.
Av Arjen Kamphuis
Den 11. juli 2001 publiserte Europaparlamentet en rapporterer om spionnettverket Echelon og implikasjonene for europeiske borgere og bedrifter. spekulasjoner om eksistensen av dette nettverket av Storbritannia-og-hennes-tidligere-kolonier hadde pågått i årevis, men det tok til 1999 før en journalist publiserte en rapporterer som flyttet motivet ut av tinfoil-hatte-sonen.
Rapporten fra EU-parlamentet inneholder svært praktiske og fornuftige forslag, men på grunn av hendelser to måneder senere over Atlanteren har de aldri blitt implementert. Eller til og med diskutert videre.
Under overskriften «Tiltak for å oppmuntre innbyggere og bedrifter til å beskytte seg selv», listet rapporten opp flere konkrete forslag for å forbedre datasikkerhet og konfidensialitet for kommunikasjon for EU-borgere. Dokumentet oppfordret parlamentet til å informere innbyggerne om eksistensen av Echelon og implikasjonene for deres personvern, og la til at denne informasjonen må være "akkompagnert av praktisk hjelp til å utforme og implementere omfattende beskyttelsestiltak, inkludert sikkerheten til informasjonsteknologi."
Rapporten oppfordret også til "passende tiltak for å fremme, utvikle og produsere europeisk krypteringsteknologi og -programvare, og fremfor alt å støtte prosjekter som tar sikte på å utvikle brukerkrypteringsteknologi, som er åpen kildekode" og "fremme programvareprosjekter hvis kildetekst er publisert, og garanterer dermed at programvaren ikke har noen "bakdører" innebygd (den såkalte "åpen kildekodeprogramvare").»
Dokumentet siterte upåliteligheten til sikkerhets- og krypteringsteknologier hvis kildekode ikke er publisert. Dette emnet er et strengt tabu i nederlandske og britiske diskusjoner om IT-strategi for regjeringer (sannsynligvis fordi visse store NATO-partnere kan bli fornærmet).
Også regjeringer må være et godt eksempel for hverandre og deres innbyggere, heter det i rapporten, ved "systematisk bruk av kryptering av e-post, slik at dette på lengre sikt vil være normal praksis." Dette bør i praksis realiseres ved å "sikre opplæring og publisering av deres ansatte med nye krypteringsteknologier og -teknikker ved hjelp av nødvendig praktisk opplæring og kurs."
Selv kandidatland i EU bør hjelpes «hvis de ikke kan gi den nødvendige beskyttelsen på grunn av mangel på teknologisk uavhengighet», heter det i rapporten.
Det ene avsnittet fra sommeren 2001 før rasjonell sikkerhetspolitikk ble fullstendig ødelagt av 9/11, beskrev grunnlaget for en solid IT-politikk for å sikre innbyggernes sikkerhet og personvern mot trusler fra både utenlandske aktører og myndighetene selv (historisk alltid den største trussel mot innbyggerne og grunnen til at vi har konstitusjoner).
Hadde disse retningslinjene blitt implementert i løpet av det siste tiåret, ville de nylige PRISM-avsløringene stort sett blitt møtt med likegyldighet. Europeiske borgere, myndigheter og selskaper vil utføre mesteparten av databehandlingen og kommunikasjonen sin på systemer kontrollert av europeiske organisasjoner, og kjøre programvare som er utviklet i Europa og fysisk plassert på europeisk jord.
Et amerikansk problem med et overbevisende spionapparat ville vært nettopp det, et amerikansk problem som tenåringer med maskingevær eller mangel på universell helsehjelp, bare én til av de sprø tingene de gjør i USA for å ha sin «frihet».
Fra stekepanne til bål
Rundt den tiden snakket jeg med Kees Vendrik (nederlandsk MP) om det problematiske europeiske programvaremarkedet. Ikke bare var det umulig å kjøpe en bærbar merkevare uten å måtte kjøpe en Microsoft Windows-lisens, det var også umulig å besøke mange nettsteder (kommuner, jernbaner og mange andre) uten å bruke Internet Explorer. Siden den gang har det sistnevnte området forbedret seg betraktelig, og jeg kan i dag leve livet mitt ved å bruke operativsystemet og valgte nettlesere.
Den nederlandske avhengigheten av produkter som MS Windows/Office har imidlertid ikke blitt mindre, til tross for alle ønsker fra parlamentet og forsøk på å regjeringens politikk. I dag er det ikke mulig å fullføre ungdomsskolen som student uten å eie og bruke flere deler av proprietær programvare, noe som gjør elevene sårbare for å bli spionert på.
Tenk deg å gjøre et bestemt pennemerke obligatorisk for skoler og velge et pennemerke som kommer med en spionasjemikrofon (ikke under kontroll av brukeren). Det er den nåværende situasjonen i praksis i blant annet Nederland og Storbritannia. Tyskland, Frankrike og Spania gjør det litt bedre ved i det minste å erkjenne problemet.
I mellomtiden, det teknologiske seismiske skiftet som skremte Microsofts Bill Gates så mye tilbake i 1995 (Internett gjør operativsystemet irrelevant) er i ferd med å bli virkelighet. Nesten all nyutvikling som diskuteres av IT-kraftaktører og spesialister er nettbaserte eller basert på åpne spesifikasjoner, og de mest brukte applikasjonene kjører ganske bra som service i en nettleser.
Så selv om det 15 til 20 år gamle problemet med programvareavhengighet aldri har blitt løst (regjeringer, med titusenvis av IT-arbeidere, er fortsatt ikke i stand til å avvenne seg fra den velkjente Microsoft-teknologistabelen), blir virkningen sakte mindre relevant. I mellomtiden har nye avhengigheter basert på "sky"-leverandører nå vist seg å være enda mer skadelige.
Overdreven bruk av proprietær programvare skaper risiko for utenlandsk manipulasjon og potensielle angrep på kritisk infrastruktur (se Stuxnet). Men i det minste hvis systemene dine blir angrepet på denne måten, er det noen måter å spore dette på. Hvis du jobber på datamaskinen som ikke tilhører deg, som er basert i et fremmed land og administreres av personer du ikke kjenner på måter du ikke kan sjekke, vil det være svært vanskelig å ha kontroll over hva som skjer med dataene dine.
Den gamle antagelsen om at bruk av lokale servere kan være en del av løsningen, ser dessverre ut til å være en illusjon under imperiet etter 9. september. Alle "sky"-tjenester som tilbys av selskaper basert i USA er underlagt amerikansk lovgivning, selv om serverne fysisk befinner seg i et annet land. Og amerikansk lov er nå noe, skal vi si, problematisk.
Bare med en påstand om involvering i "terrorisme", selv uten bevis, kan systemer stenges ned eller overtas - uten noen advarsel eller mulighet for kontradiktorisk rettslig kontroll. Begrepet "terrorisme" har blitt strukket så langt at alle som angivelig bryter amerikansk lov, selv om de ikke er amerikansk statsborger og selv om de ikke er i USA, fortsatt kan anses som "terrorister". bare på ordet fra en av de mange trebokstavstjenestene (FBI, CIA, NSA, DIA, DHS, TSA, etc.).
EU var ikke fornøyd med dette, men inntil PRISM-lekkasjen ønsket ikke å gå så langt som å anbefale sine innbyggere og andre regjeringer å ikke lenger bruke slike tjenester. PRISM gjør det mulig å i det minste ha en seriøs diskusjon om dette for første gang.
Den lange armen til US Patriot Act går enda lenger enn bare serverne til amerikanske selskaper på europeisk jord. Dermed kan domener "beslaglegges" og merkes på en svært skadelig måte, for eksempel "denne siden var involvert i håndtering av barn pornografi." Prøv å forklare det som en bedrift eller ideell organisasjon til dine kunder, bidragsytere eller forretningspartnere.
Bare bruk én .com-, .org- eller .net-utvidelse som domenenavn nå gjør deg ansvarlig i henhold til amerikansk lov. Alle europeere kan nå bli beslaglagt fra hjemmene sine for brudd på amerikansk lov. Så et .com-domenenavn gjør serveren din effektivt til amerikansk territorium.
Vi var allerede klar over at proprietære plattformer som Windows og Google Docs ikke var egnede systemer for viktige ting som å kjøre offentlig eller kritisk infrastruktur. Nå viser det seg imidlertid at hver tjeneste levert gjennom et .com/.org/.net-domene plasserer deg under de facto utenlandsk kontroll.
Løsning? Bytt så mye som mulig til gratis/opensource programvare på lokale servere. Heldigvis er det ganske mange kompetente hostingselskaper og bedrifter i Europa. Bruk lokale landdomener som .nl, .de, .fr eller, hvis du virkelig ønsker å være skuddsikker, ta et .ch-domene. Disse administreres av en Sveitsisk stiftelse og disse menneskene tar sin uavhengighet på alvor.
Hvis du fortsatt ønsker å bruke Google (inkludert Google Docs), Facebook, Evernote, Mind Meister, Ning.com, Hotmail eller Office 365, vennligst gjør det med bevissthet om at du ikke har noe personvern og færre borgerrettigheter enn engelske adelsmenn hadde i år 1215.
Bekjempelse av ugudelige
For noen måneder siden forsvarte en regjeringstaler prosjektet 'Ren IT' på et møte i RIPE (organisasjonen som distribuerer IP-adresser for Europa og Asia). Rengjør den er et europeisk prosjekt av nederlandsk opprinnelse som tar sikte på å bekjempe «bruk av Internett til terrorformål». Problemet med dette målet er at "Internett", "bruk" og "terrorisme" forblir udefinerte, og det ser heller ikke ut til at noen er veldig interessert i å ordne opp i dette.
Denne mangelen på klarhet i seg selv kan være nyttig hvis du er en regjering fordi du da kan ta et prosjekt i hvilken som helst retning du vil. Litt som da datalagring ble kjørt gjennom EU-parlamentet i 2005 med løftet om at det kun skulle brukes mot «terrorisme» – et løfte som ble brutt i løpet av få måneder.
I Tyskland er datalagring nå erklært grunnlovsstridig og avskaffet, mens Nederland har utbredt telefonavlytting, til tross for total mangel på bevis for effektiviteten til disse tiltakene. At alle databasene med beholdt telekommunikasjonsdata selv bli et mål er ikke noe som ser ut til å bli tatt seriøst med i trusselanalysene. Alt er ganske bekymringsfullt for en regjering som fortsatt vanligvis ikke er i stand til å sikre sine egne systemer ordentlig eller sørge for at eksterne entreprenører gjør det.
Under foredraget om Clean-IT ble det også lagt stor vekt på det offentlig-private partnerskapet for å berolige publikum. Det er rart at en regjering først gjør seg inhabil ved å sette ut all ekspertise, så kommer den tilbake etter ti år og hevder at den ikke kan kontrollere de samme selskapene, og heller ikke underleverandørene deres.
Siste steg er da å sette ut tilsynsfunksjonen også til bedrifter og berolige innbyggerne: «Vi lar bedrifter gjøre det! Ikke bekymre deg for at vi ville gjøre noen av de vanskelige tekniske tingene for oss selv, det hele har blitt satt ut på riktig måte til de samme partene som rotet til de forrige 25 prosjektene.»
Terrorisme er åpenbart «tilgangen alle områder passerer» – til tross for at mange flere europeere dør sklir i dusjen eller av dårlig tilpassede mopedhjelmer enn av «terrorisme». Dessuten har vi som europeere erfaring med å håndtere terrorisme. ETA, IRA og RAF ble ufarliggjort i tidligere tiår av politiets etterforskning, forhandlinger og innkapsling. Dette ble gjort uten å sette borgerrettighetene til en halv milliard europeiske borgere i fare. Selv når IRA-bomber regelmessig eksploderte i London, var det ingen som foreslo å slippe hvitt fosfor på Dublin eller Belfast.
Jeg håper at visjonen til EU-parlamentet før 9. september vil bli gjenoppdaget på et tidspunkt. Det ville vært fint om noen deler av det "frie vesten" kunne utvikle en politikk som rettferdiggjør vår moralske overlegenhet overfor Russland, når vi krever at de stopper politisk sensur under dekke av "sikkerhet".
Backup Plan
Hvis alt annet feiler (og dette er ikke helt usannsynlig) trenger vi en backupplan for innbyggerne. For til tross for alle begjæringer, bevegelser, aksjoner og andre initiativer, reduseres fortsatt våre borgerlige friheter raskt. På en eller annen måte har det skjedd et saktegående bedriftskupp der regjeringen ønsker å øke "effektiviteten" ved å stole på mange MBA-talende og bedriftsledelsesvisdom som fungerte så bra for banksektoren.
At regjeringens primærfunksjon dermed fordufter ser ikke ut til å plage de fleste embetsmenn. Og i mellomtiden er selskapene selv tilsynelatende for opptatt med å tjene penger og kjempe mot hverandre til å bekymre seg for borgerrettigheter og andre arkaiske konsepter fra andre halvdel av det 20. århundre.
Så i stedet for å alltid prøve å påvirke et politisk system som så veldig tydelig ignorerer våre interesser, kan vi rett og slett ta vare på oss selv og hverandre direkte. Denne konklusjonen er kanskje ikke hyggelig, men den gir klarhet i hva vi må gjøre.
Et godt eksempel ville være å ha utdannings- og borgerrettighetsorganisasjoner som tilbyr ukentlige workshops til innbyggerne om hvordan de installerer og bruker krypteringsprogramvare for å gjenvinne litt privatliv. Disse organisasjonene bør bruke sin innflytelse for å få slagordet "krypto er kult" på alles lepper.
Teknologer og designere bør fokusere energien sin på å fremme de hippe og brukervennlige aspektene ved disse programvaredelene. Dette kan være mye morsommere enn å drive lobbyvirksomhet for forbenede politiske institusjoner og faktisk gi noen konkrete personvernresultater.
Siden 2006 har jeg sikret mitt eget e-postvern ved ikke lenger å stole på loven, men ved å bruke en server utenfor EU, SSL-tilkobling til den gjennom en VPN-tunnel som går inn på det åpne Internett også utenfor EU. Jeg krypterer så mange e-poster som mulig individuelt med sterk krypto (ved hjelp av gratis GPG programvare).
Det faktum at alle disse hordene av terrorister (som, hevder vår regjering, oversvømmer planeten) uten tvil også har tatt i bruk slike tiltak – for mindre enn 20 euro i måneden gjør det meste av spionasjen på lavt nivå til en fullstendig og meningsløs sløsing med ressurser . Forutsatt at poenget virkelig er å bekjempe "terrorisme", noe som begynner å bli litt tvilsomt i lys av det ovennevnte.
Til tross for hva noen av "men jeg har ingenting å skjule"-apologetene sier, har vi personvernrettigheter og andre sivile friheter av samme grunn som vi har en grunnlov. Ikke for situasjoner der alt er OK, men for de sjeldne situasjonene der ting ikke er OK.
Personvern er den siste forsvarslinjen mot regjeringer som mister av syne grunnen til å eksistere (for å tjene folket sitt). Personvern er derfor ikke sikkerhetens fiende, men den mest grunnleggende delen av det fordi regjeringer er mye skumlere enn noen potensielle nettkriminelle eller til og med terrorister. Kriminelle kan stjele noen penger og terrorister kan drepe noen få mennesker, men når det kommer til kriger, masseundertrykkelse eller folkemord trenger du alltid en regjering.
Det er veldig åpenbart hva europeiske myndigheter bør gjøre for å fremme sikkerheten og sikkerheten til sine borgere og stater. De skrev det allerede ned sommeren 2001. Det faktum at disse tiltakene aldri er en del av noen aktuelle "cybersikkerhets"-politiske forslag, burde gjøre folk svært mistenksomme, i det minste når det gjelder deres regjeringers kompetanse.
Arjen Kamphuis er medgründer og Chief Technology Officer i Gendo. Han studerte Science and Policy ved Utrecht University og jobbet for IBM og Twynstra Gudde som IT-arkitekt, trener og IT-strategirådgiver. Siden slutten av 2001 har Arjen gitt råd til kunder om den strategiske effekten av ny teknologisk utvikling.
Fra det jeg har lest, kan du bruke over 1000 bit kryptering og det vil ta over en million år før den mest avanserte teknologien knekker den. Jeg har lest at den mindre 128 bit krypteringen er lett å knekke. Sannsynligvis verdt å se nærmere på.
Når det gjelder artikkelen, var det en super skriving. Det er bare åpenbart sant. Folk som ønsker å skade folk har hjerner og vet at en VPN beskytter dem, at kryptering beskytter identiteten deres. De eneste menneskene som muligens kan bli spionert på, er de som IKKE prøver å komme unna med noe: de som kommuniserer åpent om en potensiell revolusjon mot en totalitær regjering.
Og dette sitatet fra artikkelen er et mesterverk: «Personvern er den siste forsvarslinjen mot regjeringer som mister av syne sin grunn til å eksistere (for å tjene sitt folk). Personvern er derfor ikke sikkerhetens fiende, men den mest grunnleggende delen av den – fordi regjeringer er mye skumlere enn noen mulige nettkriminelle eller til og med terrorister. Kriminelle kan stjele noen penger og terrorister kan drepe noen få mennesker, men når det kommer til kriger, masseundertrykkelse eller folkemord trenger du alltid en regjering.»
SIKKER E-POSTKRYPTERING
Thunderbird e-postapp (http://www.mozilla.org/en-GB/thunderbird/) for sikker e-post, åpen kildekode.
Enigmail sikkerhetsutvidelse (http://www.enigmail.net/home/index.php) for Thunderbird for OpenPGP/GPG-kryptering.
IM-er
Off-The-Record (OTR) meldinger (oversikt https://ssd.eff.org/tech/im, last ned for OSX http://adium.im/, Vinn http://www.pidgin.im/, Linux http://www.cypherpunks.ca/otr/software.php) for kryptert direktemelding.
RESSURSER
Sikkerhet i boks (https://securityinabox.org/en)er et samarbeid mellom Tactical Technology Collective og Front Line opprettet for å møte de digitale sikkerhets- og personvernbehovene til talsmenn og menneskerettighetsforkjempere.
RiseUp (https://riseup.net/en) gir nettbaserte kommunikasjonsverktøy for mennesker og grupper som jobber med frigjørende sosial endring.
Den nederlandske teknikeren koker det i utgangspunktet ned til å "bruke kryptering" og utdanne andre om hvordan de bruker det - det vil si offentlig tilgjengelig kryptering. Det er min forståelse at den nåværende tilstanden til multi-prosessor og stormaskindatakraft er så enorm at selv den beste offentlige kryptering er svært sannsynlig knekkelig hvis guttene ønsker å gjøre et mål for deg. Selv AES-algoritmen har vist seg å ha utnyttbare feil. Det er ikke å si at krypterte e-poster, filer og kataloger ikke vil utgjøre en formidabel hindring for de fleste parter som prøver å få tilgang til dataene dine – de vil. Jeg sier bare at offentlig kryptering ikke akkurat er "hvordan man kan hindre internettspionasje". Den beste måten er å få spioneringen til å stoppe – og lykke til med det.
Logger ikke alle vpn-leverandører all aktiviteten din? Ingen personvern der mener.
Jeg vil ha vpn og du send meg tanker
jeg trenger vpn
Flott artikkel! Jeg er pensjonert, og fant en datamaskin her i Frankrike, levert av Orange, som har all gratis programvare-Firefox osv., ingen Microsoft. Ingen problemer i det hele tatt, før Orange etter to år plutselig insisterte på å erstatte den med en "vanlig" bærbar modell for vinduer osv. Jeg insisterte på å beholde den gamle datamaskinen, som har langt færre forstyrrelser, gobbledegook etc, men som ikke lenger er tilgjengelig så vidt jeg vet.
Jeg husker at Europa for noen år siden ble klar over at SWIFT faktisk var TFTS "terrorist finance tracking system", med USA som spionerte på alle banktransaksjoner. EU klarte ikke å forhindre dette til tross for sterk innsats i Europaparlamentet.
Man kan også surfe på internett for kommersielle selskaper som produserer VPN-er (Virtual Private Networks). Dette ikke for å promotere noe spesifikt selskap, men ett sted å starte søket kan være Intego, som produserer VPN-er for PC-er og MAC-er (samt antiviral programvare), og VPN-produktet som kan brukes i land som begrenser tilgangen til internett , som Kina, og til og med Tyskland (hvor noen utenlandske musikkstasjoner som normalt ikke kan nås over internett, kan være med et VPN-produkt som Intego).
Flott artikkel. Et annet krypteringssystem å vurdere er det som er utviklet av TOR-prosjektet.
(Se: https://www.torproject.org/ )
Nylig har TOR-brukere klaget over å bli blokkert av Facebook. (Se:
( http://www.digitaltrends.com/social-media/facebook-doesnt-hate-tor/ )
Huffington Post publiserte også en artikkel 14. juni 2013 med tittelen "Personvernapper og -tjenester er de eneste teknologiselskapene som vinner NSA-overvåkingsskandalen" URLen er: http://www.huffingtonpost.com/2013/06/14/privacy-apps-services_n_3444217.html Den identifiserer flere krypteringsselskaper, inkludert en som krypterer telefonsamtaler og ikke lagrer data, slik at den ikke har noe å overgi senere til regjeringen.