Anonieme e-maildienst ontduikt bewaarplicht
De overheid en het bedrijfsleven verzamelen steeds meer gegevens over de burger, tijd voor een groep activisten om tegen deze verzameldrift in opstand te komen. De bewaarplicht is de directe aanleiding voor het Small Sister project, dat geheel anoniem e-mailen mogelijk maakt. "Het komt voort uit onvrede over de wijze waarop heleboel gegevens zomaar in databases worden opgeslagen en waar je als consument dan wel burger heel weinig invloed op kunt uitoefenen", aldus programmeur Peter Roozemaal. Volgens hem gaat het niet alleen om overheidsdatabases, maar ook wat bijvoorbeeld een Google doet. Roozemaal twijfelt of bedrijven wel iets van de wet bescherming persoonsgegevens aantrekken. "Ze houden ervan om heel veel gegevens op te slaan, behalve als de burger wil weten om welke opgeslagen gegevens het gaat en wat er mee gebeurt, dan blijft het stil."
Anoniem mailen
Small Sister zag dat voor het normale surfen de privacy redelijk goed geregeld is. "Met Tor kom je een heel eind. Je hebt nog wel een proxy nodig om de headers eruit te filteren, maar voor vertrouwelijke communicatie is Tor prima geschikt." Naast surfen houden de meeste mensen zich bezig met e-mailen en dat kan een stuk anoniemer. PGP is er wel om de inhoud van e-mailberichten te versleutelen, dat geldt niet voor de headers van het bericht, waar al zeer veel interessante informatie in zit. Het was echter ondoenlijk om het huidige e-mail protocol aan te passen. "E-mail is in de oorspronkelijk vorm nooit bedoeld voor het uitwisselen van vertrouwelijke communicatie. E-mail werd gebruikt in een academische omgeving waar men niet veel waarde aan vertrouwelijkheid en anonimiteit hechtte."
Stasi
Inmiddels zijn tijden veranderd. "Zeker met overheden die meer informatie opslaan dan de Stasi en Ceau?escu konden." De truc van het Small Sister protocol is om te verbergen wie wat naar wie stuurt. Zodoende kunnen de overheid en internetprovider die het mailverkeer bekijken niet achterhalen dat A met B communiceert. Voor het anonimiseren van alle data gebruikt Small Sister de Tor feature "hidden service." Iedereen kan een eigen server installeren, maar dat is niet verplicht. "Een gebruiker hoeft niet eens te weten wie de server beheert of waar die staat en ook de serverbeheerder kan niet achterhalen wie de gebruikers van de server zijn."
Dan blijft de vraag hoe je de beheerder van de server kunt vertrouwen? "Het enige dat een kwaadaardige beheerder kan doen is het bericht verwijderen." Roozemaal zegt dan ook dat gebruikers de gegevens beter aan de client kant kunnen bewaren. Tenslotte heb je als gebruiker meer controle over je eigen machines dan die bij een ISP staan, die daarnaast ook dingen kan verwijderen, manipuleren of lezen.
Vanuit de Small Sister client kunnen gebruikers een server kiezen. Wie anderen niet vertrouwt kan in dit geval een eigen server opzetten. Roozemaal benadrukt de eenvoud van het protocol, dat aan de serverkant geen verkeersgegevens oplevert. Een ander punt is dat het "encryptie makkelijk maakt". Alle verstuurde berichten worden daarom automatisch versleuteld, zonder dat de gebruiker dit merkt. Gebruikers die alleen de client gebruiken kunnen ervoor kiezen om de mail op de server te laten staan. Belangrijke berichten kan men naar meerdere servers sturen of gewoon lokaal downloaden. Standaard zijn die berichten ook versleuteld. "Je hoeft de server alleen maar te vertrouwen dat die je bericht een paar uur bewaart totdat de ontvanger hem ophaalt. Meer vertrouwen hoef je niet te hebben. Ook al worden die servers gebruikt door een overheidsinstanties, het risico dat je loopt als gebruiker is vrij klein."
E-mailadres
Om via Small Sister te kunnen e-mail is het verstandig om een .onion adres aan te maken. De dienst is ook met normale domeinen te gebruiken, maar dan ben je geen hidden service meer. Het team achter de software wil dat het voor de doorsnee consument toegankelijk is. "We willen het zo maken dat mijn moeder het ook kan gebruiken." Roozemaal verwacht niet dat ISPs de software zullen aanbieden. Het zal zeker nog twee maanden duren voordat de software voor eindgebruikers geschikt is. Inmiddels zijn er verschillende bètaversies beschikbaar. De programmeur ziet als grootste obstakel het bereiken van het publiek dat Small Sister er voor hen is.
Protest software
Small Sister mag dan vanuit Nederland zijn bedacht, het is een internationale tool. "Een demonstratieproject dat laat zien hoe je de opslag van verkeersgegevens kunt omzeilen. Om aan te geven dat de overheid met haar beleid stom bezig is. Als je in een democratie zoveel gegevens gaat opslaan, zo weinig openheid geeft in wat je ermee gaat doen, dan is het de vraag waarmee je bezig bent."
Small Sister dient dan ook zeker een politiek doel en moet een duidelijk signaal aan de overheid afgeven. Daarnaast wil het mensen in landen waar de vrijheid van meningsuiting in het geding is de mogelijkheid bieden om toch veilig te kunnen communiceren. In Nederland wordt het project geleid door IT-journalist Brenno de Winter, die ook de geestelijk vader is. Voor journalisten is het belangrijk om hun bronnen te beschermen of dat nu in Nederland of in de rest van de wereld is. Het geld voor de software is afkomstig van een door NLNet gegeven subsidie van 25.000 euro.
Windows
Op dit moment kunnen gebruikers met een draaiende Tor node en ervaring met het importeren van GPG sleutels al met de software aan de slag. Ervan uitgaande dat men Ubuntu of een andere Linux distributie gebruikt. Voor de omzetting naar Windows zoekt het team nog iemand die wil helpen. "Ik heb al een paar jaar meer geen Windows machines thuis staan", merkt Roozemaal op. Het is uiteindelijk de bedoeling dat Small Sister een cross-platform is. Naast Windows zoekt men ook nog programmeurs die ervaring met BSD of Mac OS X hebben. Wie zich geroepen voelt kan zich via smallsister.org aanmelden. Daar is tevens ook de software te vinden.
Op internet is dat nog altijd relatief makkelijk te doen.
En waarom zou een thuisgebruiker eigenlijk niets te verbergen hebben? Waarom vertel je mij niet jouw persoonsgegevens, bankrekeningnummer en creditcardgegevens? Je hebt toch niets te verbergen?
Als je me bovenstaande gegevens niet wilt geven, wil je me dan op z'n minst vertellen op welke fora je zit en met welke gebruikersnaam/namen? Bij voorkeur de (volgens de huidige maatstaven) "controversiële politieke fora".
Nog steeds niks te verbergen?
En leer eens Nederlands schrijven, want soms ben je echt onbegrijpelijk bezig. Zeker pas van school? Of zit je daar nog steeds op? zou best eens kunnen, want het eerste wat je doet, is commentaar geven zonder dat je weet wat er nou eigenlijk aan de hand is.
Doel van dit project is juist om die tools eenvoudig te maken en leuk om te gebruiken.
De vraag is verder niet of een thuis gebruiker wel of niet iets te verbergen heeft. De vraag is of hij recht heeft op een persoonlijke levenssfeer en niet verplicht is alles wat hij doet met zijn overheid te delen zonder dat hij weet waarvoor. Gelukkig is het nog steeds in Nederland toegestaan de gordijnen van de slaapkamer dicht te doen.
Verder zijn er veel mensen die veel te verbergen hebben: een rechtszaak die ze voorbereiden, een actie die ze plannen, een speech die ze gaan geven, een verjaardagskadootje dat ze willen kopen, een verre vriend die overkomt als surprise, een tip die ze aan journalisten geven, advies dat ze inwinnen, contact met een arts, enzovoort.
Niemand dwingt jou de tool te gebruiken, maar voor mensen die het belang wel zien is de tool er.
En leer eens Nederlands schrijven, want soms ben je echt onbegrijpelijk bezig. Zeker pas van school? Of zit je daar nog steeds op? zou best eens kunnen, want het eerste wat je doet, is commentaar geven zonder dat je weet wat er nou eigenlijk aan de hand is.
Ten eerste, waar heb jij Nederlands geleerd?
privact=privacy, prioriteid=prioriteit, interneten=internetten, ponro=porno, Address=adres, specail=speciaal
"ben je kwetsbaar voor ISP dat achter je geheimen porno verleden komen!"
..moet zijn,
"ben je kwetsbaar voor EEN ISP DIE achter je geheimen porno verleden KAN komen!" ..vraagje, wie heeft er naast een porno acteur/actrice, ook een openbaar porno verleden?
"Wanneer de Viacom de beschikking krijgt over duizende IP address en ook die IP address van jou staat je helen privacy op straat!"
...moet zijn,
"Wanneer Viacom de beschikking krijgt over duizenden IP adressen en ook jou IP adres, ligt je gehele internet gedrag/verleden op straat!"
...overigens is het nog steeds onbegrijpelijk gebrabbel. Ieder bedrijf zou graag ieders surf-gedrag willen hebben en dat houdt niet op bij Viacom. Alleen het hebben van je IP adres en NAW-gegevens is niet genoeg, omdat je daarmee nog niet iemands surf-gedrag hebt. De enige die dat wel kan inzien is je ISP, want alles wat jij opvraagt wordt via hun servers naar jou verstuurd.
Ten tweede, je klinkt nogal dom als je zegt dat niet iedereen behoefte heeft aan EEN anonieme e-maildienst. Persoonlijke 1-op-1 communicatie van A naar B is toch bedoelt en niets anders als bedoelt voor A en B.. en niet voor de rest van het alfabet! En die stompzinnige beredenering dat je dit zou gebruiken om iets te verbergen om wille van "privacy" (lees: terroristisch doeleinden, spammen, K-pron etc.), punt uit, moet ook een keer afgelopen zijn. Het is mijn recht, punt uit.
Ten derde, je spreek jezelf tegen. Aan de ene kant hebben "thuisgebruikers" niets te verbergen, maar jou prioriteit is je surfgedrag naar porno toch te verbergen. Het kan natuurlijk ook zijn dat jij professioneel porno surfer bent.
Mogelijk vind je me beledigend overkomen, maar ik probeer je wakker te schudden. Ik beoordeel jou reactie en kom tot, goed of fout, een conclusie over jou denkvermogen. Gelukkig ben ik het nu, maar mogelijk is het straks je toekomstige werkgever die jou ondoordachte gezwets, porno/seksuele voorkeur en gebruik van de Nederlandse taal, meeneemt in zijn overweging je aan te nemen.... of juist niet. En deze gegevens kunnen je blijven achtervolgen tot het einde, waardoor er in dit leven niet meer inzit dan hamburgers bakken of vakkenvullen. Nog steeds niet overtuigd van de noodzaak van anonimiteit? .....ik hoop van wel!
Een nadeel van van dit idee vind ik wel dat het nog steeds gecentraliseerd is, Tor is nogsteeds erg kwetsbaar voor DoS aanvallen.
Don't feed them :)
En leer eens Nederlands schrijven, want soms ben je echt onbegrijpelijk bezig. Zeker pas van school? Of zit je daar nog steeds op? zou best eens kunnen, want het eerste wat je doet, is commentaar geven zonder dat je weet wat er nou eigenlijk aan de hand is.
Ten eerste, waar heb jij Nederlands geleerd?
privact=privacy, prioriteid=prioriteit, interneten=internetten, ponro=porno, Address=adres, specail=speciaal
"ben je kwetsbaar voor ISP dat achter je geheimen porno verleden komen!"
..moet zijn,
"ben je kwetsbaar voor EEN ISP DIE achter je geheimen porno verleden KAN komen!" ..vraagje, wie heeft er naast een porno acteur/actrice, ook een openbaar porno verleden?
"Wanneer de Viacom de beschikking krijgt over duizende IP address en ook die IP address van jou staat je helen privacy op straat!"
...moet zijn,
"Wanneer Viacom de beschikking krijgt over duizenden IP adressen en ook jou IP adres, ligt je gehele internet gedrag/verleden op straat!"
...overigens is het nog steeds onbegrijpelijk gebrabbel. Ieder bedrijf zou graag ieders surf-gedrag willen hebben en dat houdt niet op bij Viacom. Alleen het hebben van je IP adres en NAW-gegevens is niet genoeg, omdat je daarmee nog niet iemands surf-gedrag hebt. De enige die dat wel kan inzien is je ISP, want alles wat jij opvraagt wordt via hun servers naar jou verstuurd.
Ten tweede, je klinkt nogal dom als je zegt dat niet iedereen behoefte heeft aan EEN anonieme e-maildienst. Persoonlijke 1-op-1 communicatie van A naar B is toch bedoelt en niets anders als bedoelt voor A en B.. en niet voor de rest van het alfabet! En die stompzinnige beredenering dat je dit zou gebruiken om iets te verbergen om wille van "privacy" (lees: terroristisch doeleinden, spammen, K-pron etc.), punt uit, moet ook een keer afgelopen zijn. Het is mijn recht, punt uit.
Ten derde, je spreek jezelf tegen. Aan de ene kant hebben "thuisgebruikers" niets te verbergen, maar jou prioriteit is je surfgedrag naar porno toch te verbergen. Het kan natuurlijk ook zijn dat jij professioneel porno surfer bent.
Mogelijk vind je me beledigend overkomen, maar ik probeer je wakker te schudden. Ik beoordeel jou reactie en kom tot, goed of fout, een conclusie over jou denkvermogen. Gelukkig ben ik het nu, maar mogelijk is het straks je toekomstige werkgever die jou ondoordachte gezwets, porno/seksuele voorkeur en gebruik van de Nederlandse taal, meeneemt in zijn overweging je aan te nemen.... of juist niet. En deze gegevens kunnen je blijven achtervolgen tot het einde, waardoor er in dit leven niet meer inzit dan hamburgers bakken of vakkenvullen. Nog steeds niet overtuigd van de noodzaak van anonimiteit? .....ik hoop van wel!
Prachtig dit taal purisme van je maar leer dan zelf ook even alles correct te schrijven. Het verschil tussen jou en jouw is volgens mij niet helemaal duidelijk. Ik quote even: "maar jou prioriteit" en "ik beoordeel jou reactie" en "een conclusie over jou denkvermogen" bla bla bla.
Verschil tussen:
Ik heb jou jouw auto zien parkeren. Jou is een persoonlijk voornaamwoord, jouw is een bezittelijk voornaamwoord.
Dit was even off-topic.
We horen al heel lang dat als je niets te verbergen hebt, het allemaal niet zo'n vaart zal lopen. Mijn opmerking: we hebben volgens mij helemaal maar dan ook helemaal niets geleerd van de Tweede Wereldoorlog. Ook daar werden plotseling gegevens misbruikt zoals gemeenteregisters om personen op te pakken. Gegevens waarvan men nooit het vermoeden van heeft gehad dat deze misbruikt zouden kunnen worden. Toch gebeurde het, met alle verschrikkelijke gevolgen van dien.
Ik ondersteun van harte Rop Gonggrijp als hij zegt dat we zeer alert moeten zijn en dat ontwikkelingen in een razend tempo gaan en niet altijd in een richting die als positief kan worden ervaren. Er zouden daarom zich veel meer mensen in dit land - net als hem - zich hier ernstig zorgen om moeten maken.
En leer eens Nederlands schrijven, want soms ben je echt onbegrijpelijk bezig. Zeker pas van school? Of zit je daar nog steeds op? zou best eens kunnen, want het eerste wat je doet, is commentaar geven zonder dat je weet wat er nou eigenlijk aan de hand is.
Ten eerste, waar heb jij Nederlands geleerd?
privact=privacy, prioriteid=prioriteit, interneten=internetten, ponro=porno, Address=adres, specail=speciaal
"ben je kwetsbaar voor ISP dat achter je geheimen porno verleden komen!"
..moet zijn,
"ben je kwetsbaar voor EEN ISP DIE achter je geheimen porno verleden KAN komen!" ..vraagje, wie heeft er naast een porno acteur/actrice, ook een openbaar porno verleden?
"Wanneer de Viacom de beschikking krijgt over duizende IP address en ook die IP address van jou staat je helen privacy op straat!"
...moet zijn,
"Wanneer Viacom de beschikking krijgt over duizenden IP adressen en ook jou IP adres, ligt je gehele internet gedrag/verleden op straat!"
...overigens is het nog steeds onbegrijpelijk gebrabbel. Ieder bedrijf zou graag ieders surf-gedrag willen hebben en dat houdt niet op bij Viacom. Alleen het hebben van je IP adres en NAW-gegevens is niet genoeg, omdat je daarmee nog niet iemands surf-gedrag hebt. De enige die dat wel kan inzien is je ISP, want alles wat jij opvraagt wordt via hun servers naar jou verstuurd.
Ten tweede, je klinkt nogal dom als je zegt dat niet iedereen behoefte heeft aan EEN anonieme e-maildienst. Persoonlijke 1-op-1 communicatie van A naar B is toch bedoelt en niets anders als bedoelt voor A en B.. en niet voor de rest van het alfabet! En die stompzinnige beredenering dat je dit zou gebruiken om iets te verbergen om wille van "privacy" (lees: terroristisch doeleinden, spammen, K-pron etc.), punt uit, moet ook een keer afgelopen zijn. Het is mijn recht, punt uit.
Ten derde, je spreek jezelf tegen. Aan de ene kant hebben "thuisgebruikers" niets te verbergen, maar jou prioriteit is je surfgedrag naar porno toch te verbergen. Het kan natuurlijk ook zijn dat jij professioneel porno surfer bent.
Mogelijk vind je me beledigend overkomen, maar ik probeer je wakker te schudden. Ik beoordeel jou reactie en kom tot, goed of fout, een conclusie over jou denkvermogen. Gelukkig ben ik het nu, maar mogelijk is het straks je toekomstige werkgever die jou ondoordachte gezwets, porno/seksuele voorkeur en gebruik van de Nederlandse taal, meeneemt in zijn overweging je aan te nemen.... of juist niet. En deze gegevens kunnen je blijven achtervolgen tot het einde, waardoor er in dit leven niet meer inzit dan hamburgers bakken of vakkenvullen. Nog steeds niet overtuigd van de noodzaak van anonimiteit? .....ik hoop van wel!
Als we elkaar toch van alles aan het leren zijn, begin dan met [url=http://leerquoten.nl]quoten c.q. citeren[/url]. De eerste reactie op dit artikel is 5x volledig geciteerd, waarvan 3x "genest". Jammer...
Een nadeel van van dit idee vind ik wel dat het nog steeds gecentraliseerd is, Tor is nogsteeds erg kwetsbaar voor DoS aanvallen.
Een nadeel van van dit idee vind ik wel dat het nog steeds gecentraliseerd is, Tor is nogsteeds erg kwetsbaar voor DoS aanvallen.
Ik snap je bezorgdheid. Mijn reactie is:
1. De centralisatie is in concept wel een probleem ja. Maar iedereen kan een eigen server draaien (relatief eenvoudig). Daarnaast gaat de volgende versie meerdere servers ondersteunen. Zelfs als de masjien wordt gevonden dan draait het systeem nog steeds door. Dit is voor mij een hele harde keuze geweest, want ik wilde liever alles in de cloud opslaan. Maar daar zitten veel praktische bezwaren aan. Uiteindelijk was het zaak iets te kiezen dat werkbaar is en haalbaar. We zijn dus van resultaat gegaan.
2. Het probleem van Tor is inderdaad waar. Gelukkig zit er in de roadmap genoeg om daar iets tegen te doen. Dat is een kwade. Voor e-mail is het onhandig, maar niet onoverkomelijk.
Ik denk dat binnen budget (er is zelfs nog geld over voor meer features!!) dat we goed werk hebben geleverd en een werkbare tool. Nu hopen dat mensen willen investeren in het verder uitbouwen. Jouw kritische noot wekt bij mij de reactie: kom helpen! brenno@dewinter.com (ouderwetse e-mail :) ).
Groeten,
Brenno
Wat dit ook bewijst is dat de bewaarplicht relatief weinig uithaalt. Er zijn sterke aanwijzigingen dat terroristen en criminelen al tools hebben. Nu krijgen goedwillende burgers er ook een. Binnenkort maken we een podcast over dit onderwerp.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
