5 tips om surveillance door de NSA te voorkomen
De bekende beveiligingsexpert en cryptograaf Bruce Schneier heeft de Guardian geholpen met de documenten die de Britse krant van NSA-klokkenluider Edward Snowden ontving en heeft aan de hand daarvan 5 tips gemaakt hoe internetgebruikers zich tegen surveillance door de NSA kunnen wapenen.
Schneier is de oprichter van beveiligingsbedrijf Counterpane dat door BT werd overgenomen. Ook bedacht en werkte hij mee aan de creatie van verschillende cryptografische algoritmes, zoals Blowfish en Twofish. Daarnaast schreef hij verschillende boeken, waaronder Beyond Fear en Applied Cryptography.
Versleuteld internetverkeer
Gisteren publiceerde de Guardian samen met de New York Times en ProPublica verschillende documenten waaruit blijkt dat de NSA een groot deel van het versleutelde internetverkeer kan kraken. "De afgelopen twee weken heb ik met de Guardian aan de NSA-verhalen gewerkt en heb honderden geheime NSA-documenten van klokkenluider Edward Snowden gelezen", aldus Schneier.
"Wat ik na het lezen van de Snowden-documenten concludeerde was dat als de NSA toegang tot je computer wil, het die krijgt. Punt uit."
Beveiligingsadvies
Ondanks alle mogelijkheden van de NSA is het toch mogelijk om privé met andere internetgebruikers te communiceren. Dat liet Snowden al eerder weten en wordt opnieuw door Schneier bevestigd. Daarbij is het belangrijk dat de encryptie z'n werk kan doen en de computer waarmee wordt gecommuniceerd niet gecompromitteerd is. Schneier gaf de volgende 5 tips waarmee internetgebruikers zich tegen de surveillance door de NSA kunnen wapenen.
- Verberg je in het netwerk. Implementeer hidden services. Gebruik Tor om jezelf te anonimiseren. Ja, de NSA heeft Tor-gebruikers als doelwit, maar ze moeten ervoor werken. Hoe minder zichtbaar je bent, hoe veiliger je bent.
- Versleutel je communicatie. Gebruik TLS. Gebruik IPsec. Het klopt dat de NSA versleutelde verbindingen aanvalt, en mogelijk exploits voor deze protocollen heeft, je bent echter veel beter beschermd dan als je alles onversleuteld verstuurt.
- Ga ervan uit dat hoewel je computer gecompromitteerd kan worden, dit werk voor de NSA is en een risico vormt, en dus waarschijnlijk dit niet het geval is. Gebruik een 'air gap'. Sinds ik begon te werken aan de Snowden documenten, heb ik een nieuwe computer gekocht die nog nooit met het internet verbonden is geweest. Als ik een bestand wil uitwisselen, versleutel ik die op de beveiligde computer en zet die op een USB-stick. Dit is misschien niet waterdicht, maar wel vrij goed.
- Wees beducht voor commerciële encryptiesoftware, met name van grote leveranciers. Ik vermoed dat de meeste encryptieproducten van grote Amerikaanse bedrijven NSA-vriendeliijke backdoors bevatten en veel buitenlandse waarschijnlijk ook. Het is eenvoudiger voor de NSA om een backdoor in closed-source software te plaatsen dan open-source software.
- Gebruik encryptie uit het publieke domein die compatibel met andere implementaties moet zijn. Het is bijvoorbeeld lastiger voor de NSA om een backdoor in TLS te krijgen dan BitLocker, omdat de TLS van elke leverancier compatibel met de TLS van alle andere leveranciers moet zijn, terwijl BitLocker alleen compatibel met zichzelf hoeft te zijn. En omdat BitLocker gesloten is, is het veel onwaarschijnlijker dat die aanpassingen worden ontdekt.
Linux
Sinds Schneier zijn werk begon gebruikt hij zelf GPG, Silent Circle, Tails, OTR, TrueCrypt, BleachBit en een aantal andere zaken die hij niet wil noemen. De beveiligingsexpert erkent dat al deze tools voor de meeste internetgebruikers te ver gegrepen zijn en gebruikt ze zelf ook niet voor alles. "En helaas werk ik nog steeds voornamelijk op Windows. Linux zou veiliger zijn."
Volgens Schneier heeft de NSA het weefsel van het internet in een groot surveillanceplatform veranderd. "Maar ze hebben geen toverkracht. Ze zijn gebonden aan dezelfde economische realiteit als de rest van ons en onze beste verdediging is ervoor te zorgen dat de surveillance zo kostbaar mogelijk wordt."
De cryptograaf adviseert dan ook om de wiskunde te vertrouwen. "Encryptie is je vriend. Gebruik het goed en doe je best om ervoor te zorgen dat niets het kan compromitteren. Zo kun je veilig blijven, zelfs in het aanzicht van de NSA."
http://en.wikipedia.org/wiki/Communications_Assistance_for_Law_Enforcement_Act
http://www.networkworld.com/community/node/57070
Dat kan zijn, maar het gaat om de macht van het getal en de weerstand. Hoe meer mensen deze tips volgen, hoe minder uniek ze worden. Eigenlijk zouden privacyorganisaties en vrijwilligers iedere maand in talloze steden en op scholen workshops moeten geven en/of online cursussen moeten opzetten hoe - met systematisch uitleg - de genoemde en andere tips te implementeren, incl. hoe eigen (mail)servers op te zetten, nodes te draaien etc. Ook hoe (virtueel) Linux te gebruiken, want met backdoors in Windows en Apple-software zijn we nog steeds de pineut.
Als je nog ander netwerk verkeer over een lijn laat lopen en zelf dan een tunnel aka vpn verbinding gebruikt met sterke TSL encryption over poort 443 kunnen ze niet erg veel naar mijn mening. En waarom zoude ze dat gaan controleren? Het is of kan netzo goed https verkeer zijn dat 'legitiem' is
We weten al heel lang dat we afgeluisterd worden en ik vind dat we ons er tegen moeten wapenen, goedschiks zo niet kwaadschiks.
Laatst kwam ik een artikel tegen uit 2001 in het Nieuwsblad van het Noorden:
http://www.dekrantvantoen.nl/vw/article.do?id=NVHN-20011101-AE0031002
In principe vertelt dat artikel precies hetgeen waar nu (nog steeds) volop over gesproken wordt.
Het is wachten op het moment dat PRISM in verkeerde handen valt.
Zoeken ze trouwens nog stagiairs of nieuwe werknemers daar op de IT-afdeling? Hoe gaat dat overigens; krijgen die meteen al miljoenen aan zwijggeld?
al bekend.
We moeten op Twitter en Facebook omdat het een hype is, en als de buurman erop zit, moeten velen dat ook.
We willen Gmail en Outlook, omdat ze veel gratis web space bieden. (De meeste denken ook nog dat het gratis is)
Encryptie op bovenstaande en andere diensten gebruiken we ook niet (te veel werk of te moeilijk)
Google is de zoekdienst, en we weten dat we het eigenlijk niet zouden moeten gebruiken, maar doen het toch.
Fabrikanten komen met een smartphone en allemaal moeten we er een hebben.
Kortom als het kalf verdronken is ..................
Camera's in de straat, de vingerafdruk op de ID-kaart, de ov-chipkaart, en noem het maar allemaal op.
In plaats van te protesteren bij onze overheid, doen we totaal niks en verwachten dat zij het wel allemaal regelen?
Of dat andere mensen er wel naar kijken.
Hoe dom kun je zijn?
En ik durf te wedden dat de meeste mensen nu nog steeds geen actie ondernemen.
Want de overheid moet er maar naar kijken toch?
Ja van mensen zoals Ivo Opstelten, en Fred Teeven daar moeten we het van hebben.
Bijna heel Nederland heeft wel Twitter of Facebook maar kunnen we schijnbaar niet eens gebruiken, en daarmee
bedoel ik dan stuur een tweetje of bericht waarin we eisen dat bovenstaande twee uit hun ambt worden gezet.
Samen staan we sterk, maar ook dat schijnt niet te kunnen. Facebook en Twitter is het middel om snel actie te ondernemen of je stem te laten horen.
En dan de EU, die straks drones wil gaan aanschaffen. Of het kastje wat we in 2015 in onze auto's krijgen (verplicht)
Waarom kunnen we niet kiezen maar wordt het verplicht? Maar waarom stellen we geen vragen hierover? Of eisen
we dat we kunnen kiezen? Ach laten we maar klagen want daar zijn we zo goed in op vandaag.
Onze leden van het kabinet en overheid hebben allemaal een soort van cryptophone, zodat ze niet kunnen worden afgeluisterd. Mooi maar hoe zit het met de rest van Nederland? Tellen wij dan niet mee? Ook zij kunnen veilig communiceren maar de gewone Nederlander dan? Ook hiet vinden we het allemaal wel weer OK.
We zouden moeten eisen dat mailproviders sterke encryptie gebruiken, dat fabrikanten van gsm's en smartphones alleen maar toestellen leveren die echt veilig zijn.
De meeste Nederlanders zijn schapen. Blaat blaat blaat.
Dan nog een aantal video's over Jacob Appelbaum die echt de moeite waard zijn.
Alles bij elkaar een paar uur kijk plezier, maar wel super interessant maar vooral leerzaam.
De laatste video (4uur) gaat ook veel over Tor die veel vragen zal beantwoorden voor mensen met
voor oordelen over Tor, de NSA en tor en noem het maar op. Kijken die hap.
Te veel in een keer? Verdeel het dan over een paar avonden.
Vooral de laatste vier uur durende video zou iedereen moeten bekijken.
Alles gezien? Start Tor en start een exit-node. Dan doe je tenminste nog iets goeds
Jung & Naiv - Episode 71: Big Brother - with Jacob Appelbaum
https://www.youtube.com/watch?v=ox_SUlzcJMs
Jung & Naiv - Episode 72: The Architecture of Big Brother - with Jacob Appelbaum
https://www.youtube.com/watch?v=GbGwBuFjo9k
Jung & Naiv - Episode 72: The Architecture of Big Brother - with Jacob Appelbaum
https://www.youtube.com/watch?v=-cHuHHhaudU
Maybrit illner | 11.07.2013 | Kalter Krieg um unsere Daten? [HD]
https://www.youtube.com/watch?v=EP2568l6xVQ
Maybrit illner | 20.06.2013 | maybrit illner | 20.06.2013 | Obamas Lauschangriff PRISM - totale Kontrolle statt Freiheit? [HD]
https://www.youtube.com/watch?v=BTL_WbWrJmc
NSA-Abhörskandal - Was wussten die Dienste und die Regierung?
https://www.youtube.com/watch?v=3ovAFRd3UA0
Jacob Appelbaum, Roger Dingledine - Tor Talk Q&A @ TU Munich
https://www.youtube.com/watch?v=-VUyuFH9CbI
De mindset die je noemt klopt. Zo vaak als je hoort: Medewerking weigeren is op zichzelf al verdacht. Het argument vind je trouwens een op een in de Malleus Malificarum (heksenhamer).
1. Kan ik niet beoordelen zonder zelf inzage in je hele communicatie te hebben. Maar ik schat in dat ik ergens wel een reaguurreactie kan vinden die heel verkeerd uitgelegd kan worden.
2. Veel mensen hebben last van een stoornis waardoor ze denken dat zij invloed hebben op het besluit of zij op de een of andere wijze belangrijk zijn in de wereld, en bovendien denken dat dat besluit altijd juist is. Ik ben ook niet belangrijk in de wereld, maar ik heb bitter weinig vertrouwen in overheden om het verschil te zien tussen wat wel en niet belangrijk en wat wel en niet onschuldig is. En dat vertrouwen is door argumenten uit de Heksenhamer en andere gevaarlijke nonsens te gebruiken, plus door een aantal bekende en minder bekende misstanden (burojansen.nl houdt er voor Nederland een fraai staatje van bij) nog veel minder geworden.
Een assertiever reactie zou inderdaad wel mogen. Het is daarbij goed in de gaten te houden dat dit soort machtsvertoon per definitie het zaad van zijn eigen ondergang zaait. Het verbaasde mij hoe snel (in de nasleep van de kwestie Snowden) er al tekenen verschijnen dat de organisaties de macht als vanzelfsprekend beschouwen, en op misbruik ervan zijn gaan leunen om hun eigen belangen te behartigen, en daarbij uit pure irritatie. Als eenmaal het point of no return is gepasseerd wordt dat een zelfversterkend proces. Maar hoe meer onrecht, hoe duidelijker het onrecht en hoe meer mensen getroffen worden, des te sterker zal de opinie zich tegen de repressie keren. Omdat tegelijk het uiten van en acteren op steeds meer aan banden zal worden gelegd, zal uiteindelijk de zaak overkoken en het hele systeem met personeel en al aan de dijk worden gezet.
Het voordeel hiervan is dat de tegenpartij in zetdwang gehouden kan worden. Op ieder wettig middel dat hun macht beperkt moeten ze opnieuw reageren door het aan banden te leggen. Een kwestie dus van middelen vinden.
Een middel waar je eens naar kan kijken is het bij de belastingdienst declareren van giften aan ANBI instellingen. Als ik het goed heb gelezen kost het je 1% van een wat ingewikkelde rekensom, waarop je nog eens 9% in zijn geheel terug kan krijgen. In mijn geval komt die 9% neer op zo'n 25% van wat ik aan belasting betaal. Spit die papieren nog eens door en bereken wat het jou kost en hoeveel je dan kan 'omsporen' naar betere doelen dan het gebruiken om diezelfde belastingbetaler bij voorbaat als staatsvijand te zien. Het zal bepaald niet meer dan een papiersneetje opleveren, maar het is wel een duidelijk signaal. Ik hoop dat je er wat aan hebt.
Doet me denken aan de quote van Donald Knuth ("Beware of bugs in the above code; I have only proved it correct, not tried it.") en Adi Shamir ("Cryptography is typically bypassed, not penetrated."). Dat iets wiskundig waterdicht is wil helaas niets zeggen. Overigens ben ik benieuwd waar je de kennis vandaan hebt dat de FBI OTR versleuteling niet kan kraken. Als ze het kunnen kraken zullen ze dat niet aan de grote klok hangen.
Whistleblower Award - Sonia Seymour Mikich Laudation auf E. Snowden
http://www.youtube.com/watch?v=HGgVw5qX0L4
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
