5 tips om surveillance door de NSA te voorkomen
De bekende beveiligingsexpert en cryptograaf Bruce Schneier heeft de Guardian geholpen met de documenten die de Britse krant van NSA-klokkenluider Edward Snowden ontving en heeft aan de hand daarvan 5 tips gemaakt hoe internetgebruikers zich tegen surveillance door de NSA kunnen wapenen.
Schneier is de oprichter van beveiligingsbedrijf Counterpane dat door BT werd overgenomen. Ook bedacht en werkte hij mee aan de creatie van verschillende cryptografische algoritmes, zoals Blowfish en Twofish. Daarnaast schreef hij verschillende boeken, waaronder Beyond Fear en Applied Cryptography.
Versleuteld internetverkeer
Gisteren publiceerde de Guardian samen met de New York Times en ProPublica verschillende documenten waaruit blijkt dat de NSA een groot deel van het versleutelde internetverkeer kan kraken. "De afgelopen twee weken heb ik met de Guardian aan de NSA-verhalen gewerkt en heb honderden geheime NSA-documenten van klokkenluider Edward Snowden gelezen", aldus Schneier.
"Wat ik na het lezen van de Snowden-documenten concludeerde was dat als de NSA toegang tot je computer wil, het die krijgt. Punt uit."
Beveiligingsadvies
Ondanks alle mogelijkheden van de NSA is het toch mogelijk om privé met andere internetgebruikers te communiceren. Dat liet Snowden al eerder weten en wordt opnieuw door Schneier bevestigd. Daarbij is het belangrijk dat de encryptie z'n werk kan doen en de computer waarmee wordt gecommuniceerd niet gecompromitteerd is. Schneier gaf de volgende 5 tips waarmee internetgebruikers zich tegen de surveillance door de NSA kunnen wapenen.
- Verberg je in het netwerk. Implementeer hidden services. Gebruik Tor om jezelf te anonimiseren. Ja, de NSA heeft Tor-gebruikers als doelwit, maar ze moeten ervoor werken. Hoe minder zichtbaar je bent, hoe veiliger je bent.
- Versleutel je communicatie. Gebruik TLS. Gebruik IPsec. Het klopt dat de NSA versleutelde verbindingen aanvalt, en mogelijk exploits voor deze protocollen heeft, je bent echter veel beter beschermd dan als je alles onversleuteld verstuurt.
- Ga ervan uit dat hoewel je computer gecompromitteerd kan worden, dit werk voor de NSA is en een risico vormt, en dus waarschijnlijk dit niet het geval is. Gebruik een 'air gap'. Sinds ik begon te werken aan de Snowden documenten, heb ik een nieuwe computer gekocht die nog nooit met het internet verbonden is geweest. Als ik een bestand wil uitwisselen, versleutel ik die op de beveiligde computer en zet die op een USB-stick. Dit is misschien niet waterdicht, maar wel vrij goed.
- Wees beducht voor commerciële encryptiesoftware, met name van grote leveranciers. Ik vermoed dat de meeste encryptieproducten van grote Amerikaanse bedrijven NSA-vriendeliijke backdoors bevatten en veel buitenlandse waarschijnlijk ook. Het is eenvoudiger voor de NSA om een backdoor in closed-source software te plaatsen dan open-source software.
- Gebruik encryptie uit het publieke domein die compatibel met andere implementaties moet zijn. Het is bijvoorbeeld lastiger voor de NSA om een backdoor in TLS te krijgen dan BitLocker, omdat de TLS van elke leverancier compatibel met de TLS van alle andere leveranciers moet zijn, terwijl BitLocker alleen compatibel met zichzelf hoeft te zijn. En omdat BitLocker gesloten is, is het veel onwaarschijnlijker dat die aanpassingen worden ontdekt.
Linux
Sinds Schneier zijn werk begon gebruikt hij zelf GPG, Silent Circle, Tails, OTR, TrueCrypt, BleachBit en een aantal andere zaken die hij niet wil noemen. De beveiligingsexpert erkent dat al deze tools voor de meeste internetgebruikers te ver gegrepen zijn en gebruikt ze zelf ook niet voor alles. "En helaas werk ik nog steeds voornamelijk op Windows. Linux zou veiliger zijn."
Volgens Schneier heeft de NSA het weefsel van het internet in een groot surveillanceplatform veranderd. "Maar ze hebben geen toverkracht. Ze zijn gebonden aan dezelfde economische realiteit als de rest van ons en onze beste verdediging is ervoor te zorgen dat de surveillance zo kostbaar mogelijk wordt."
De cryptograaf adviseert dan ook om de wiskunde te vertrouwen. "Encryptie is je vriend. Gebruik het goed en doe je best om ervoor te zorgen dat niets het kan compromitteren. Zo kun je veilig blijven, zelfs in het aanzicht van de NSA."
Reacties (15)
06-09-2013, 10:48 door
potshot
hoe meer beveiliging hoe verdachter je gaat worden voor de nsa en hoe meer ze je gaan volgen.
Wat mij echter hier weer verbaasd is de naïviteit van veel mensen, immers in de voorwaarden van alle Amerikaanse computer producten is opgenomen dat de Amerikaanse overheid altijd moet kunnen beschikken over de mogelijkheid om datacommunicatie af te tappen. Dus wie producten van Microsoft, Oracle, RSA, HP, Apple, of Cisco gebruik voor datacommunicatie weet dat de Amerikaanse overheid beschikt over sleutels en backdoors om toegang te krijgen tot de data van de gebruiker/klant. Dit is algemeen bekend al lang voor PRISM (even de voorwaarden lezen). E.e.a is geregeld in de “Communications Assistance for Law Enforcement Act” van 1997. Natuurlijk zijn er bedrijven die hierop inspelen, en natuurlijk gebruiken partijen, zoals de inlichtingen diensten van Europa hierom geen producten uit Amerika.
http://en.wikipedia.org/wiki/Communications_Assistance_for_Law_Enforcement_Act
http://www.networkworld.com/community/node/57070
http://en.wikipedia.org/wiki/Communications_Assistance_for_Law_Enforcement_Act
http://www.networkworld.com/community/node/57070
Door potshot: hoe meer beveiliging hoe verdachter je gaat worden voor de nsa en hoe meer ze je gaan volgen.
Dat kan zijn, maar het gaat om de macht van het getal en de weerstand. Hoe meer mensen deze tips volgen, hoe minder uniek ze worden. Eigenlijk zouden privacyorganisaties en vrijwilligers iedere maand in talloze steden en op scholen workshops moeten geven en/of online cursussen moeten opzetten hoe - met systematisch uitleg - de genoemde en andere tips te implementeren, incl. hoe eigen (mail)servers op te zetten, nodes te draaien etc. Ook hoe (virtueel) Linux te gebruiken, want met backdoors in Windows en Apple-software zijn we nog steeds de pineut.
Door potshot: hoe meer beveiliging hoe verdachter je gaat worden voor de nsa en hoe meer ze je gaan volgen.
Ja en wat kan mij het schelen dat ze mijn vakantie foto's etc zien. Veel mensen hebben last van een stoornis waardoor ze denken dat ze op een of andere wijze belangrijk zijn in de wereld en zich moeten verstoppen.
06-09-2013, 11:56 door
hx0r3z
Door potshot: hoe meer beveiliging hoe verdachter je gaat worden voor de nsa en hoe meer ze je gaan volgen.
Als je nog ander netwerk verkeer over een lijn laat lopen en zelf dan een tunnel aka vpn verbinding gebruikt met sterke TSL encryption over poort 443 kunnen ze niet erg veel naar mijn mening. En waarom zoude ze dat gaan controleren? Het is of kan netzo goed https verkeer zijn dat 'legitiem' is
06-09-2013, 13:41 door
Argot
Eigenlijk zou ieder apparaat dat aan internet hangt constant wat random data moeten genereren en wereldwijd rondsturen, met daarin allerlei trefwoorden die over terrorisme gaan en dan random in verschillende talen. Op die manier maak je die aftapcriminelen helemaal gek. Misschien een ideetje voor een nieuw project?
We weten al heel lang dat we afgeluisterd worden en ik vind dat we ons er tegen moeten wapenen, goedschiks zo niet kwaadschiks.
Laatst kwam ik een artikel tegen uit 2001 in het Nieuwsblad van het Noorden:
http://www.dekrantvantoen.nl/vw/article.do?id=NVHN-20011101-AE0031002
In principe vertelt dat artikel precies hetgeen waar nu (nog steeds) volop over gesproken wordt.
Het is wachten op het moment dat PRISM in verkeerde handen valt.
Zoeken ze trouwens nog stagiairs of nieuwe werknemers daar op de IT-afdeling? Hoe gaat dat overigens; krijgen die meteen al miljoenen aan zwijggeld?
We weten al heel lang dat we afgeluisterd worden en ik vind dat we ons er tegen moeten wapenen, goedschiks zo niet kwaadschiks.
Laatst kwam ik een artikel tegen uit 2001 in het Nieuwsblad van het Noorden:
http://www.dekrantvantoen.nl/vw/article.do?id=NVHN-20011101-AE0031002
In principe vertelt dat artikel precies hetgeen waar nu (nog steeds) volop over gesproken wordt.
Het is wachten op het moment dat PRISM in verkeerde handen valt.
Zoeken ze trouwens nog stagiairs of nieuwe werknemers daar op de IT-afdeling? Hoe gaat dat overigens; krijgen die meteen al miljoenen aan zwijggeld?
Wat de NSA doet kan niet door de beugel, maar 98% vraagt er dan ook zelf om. Veel dingen waren min of meer
al bekend.
We moeten op Twitter en Facebook omdat het een hype is, en als de buurman erop zit, moeten velen dat ook.
We willen Gmail en Outlook, omdat ze veel gratis web space bieden. (De meeste denken ook nog dat het gratis is)
Encryptie op bovenstaande en andere diensten gebruiken we ook niet (te veel werk of te moeilijk)
Google is de zoekdienst, en we weten dat we het eigenlijk niet zouden moeten gebruiken, maar doen het toch.
Fabrikanten komen met een smartphone en allemaal moeten we er een hebben.
Kortom als het kalf verdronken is ..................
Camera's in de straat, de vingerafdruk op de ID-kaart, de ov-chipkaart, en noem het maar allemaal op.
In plaats van te protesteren bij onze overheid, doen we totaal niks en verwachten dat zij het wel allemaal regelen?
Of dat andere mensen er wel naar kijken.
Hoe dom kun je zijn?
En ik durf te wedden dat de meeste mensen nu nog steeds geen actie ondernemen.
Want de overheid moet er maar naar kijken toch?
Ja van mensen zoals Ivo Opstelten, en Fred Teeven daar moeten we het van hebben.
Bijna heel Nederland heeft wel Twitter of Facebook maar kunnen we schijnbaar niet eens gebruiken, en daarmee
bedoel ik dan stuur een tweetje of bericht waarin we eisen dat bovenstaande twee uit hun ambt worden gezet.
Samen staan we sterk, maar ook dat schijnt niet te kunnen. Facebook en Twitter is het middel om snel actie te ondernemen of je stem te laten horen.
En dan de EU, die straks drones wil gaan aanschaffen. Of het kastje wat we in 2015 in onze auto's krijgen (verplicht)
Waarom kunnen we niet kiezen maar wordt het verplicht? Maar waarom stellen we geen vragen hierover? Of eisen
we dat we kunnen kiezen? Ach laten we maar klagen want daar zijn we zo goed in op vandaag.
Onze leden van het kabinet en overheid hebben allemaal een soort van cryptophone, zodat ze niet kunnen worden afgeluisterd. Mooi maar hoe zit het met de rest van Nederland? Tellen wij dan niet mee? Ook zij kunnen veilig communiceren maar de gewone Nederlander dan? Ook hiet vinden we het allemaal wel weer OK.
We zouden moeten eisen dat mailproviders sterke encryptie gebruiken, dat fabrikanten van gsm's en smartphones alleen maar toestellen leveren die echt veilig zijn.
De meeste Nederlanders zijn schapen. Blaat blaat blaat.
Dan nog een aantal video's over Jacob Appelbaum die echt de moeite waard zijn.
Alles bij elkaar een paar uur kijk plezier, maar wel super interessant maar vooral leerzaam.
De laatste video (4uur) gaat ook veel over Tor die veel vragen zal beantwoorden voor mensen met
voor oordelen over Tor, de NSA en tor en noem het maar op. Kijken die hap.
Te veel in een keer? Verdeel het dan over een paar avonden.
Vooral de laatste vier uur durende video zou iedereen moeten bekijken.
Alles gezien? Start Tor en start een exit-node. Dan doe je tenminste nog iets goeds
Jung & Naiv - Episode 71: Big Brother - with Jacob Appelbaum
https://www.youtube.com/watch?v=ox_SUlzcJMs
Jung & Naiv - Episode 72: The Architecture of Big Brother - with Jacob Appelbaum
https://www.youtube.com/watch?v=GbGwBuFjo9k
Jung & Naiv - Episode 72: The Architecture of Big Brother - with Jacob Appelbaum
https://www.youtube.com/watch?v=-cHuHHhaudU
Maybrit illner | 11.07.2013 | Kalter Krieg um unsere Daten? [HD]
https://www.youtube.com/watch?v=EP2568l6xVQ
Maybrit illner | 20.06.2013 | maybrit illner | 20.06.2013 | Obamas Lauschangriff PRISM - totale Kontrolle statt Freiheit? [HD]
https://www.youtube.com/watch?v=BTL_WbWrJmc
NSA-Abhörskandal - Was wussten die Dienste und die Regierung?
https://www.youtube.com/watch?v=3ovAFRd3UA0
Jacob Appelbaum, Roger Dingledine - Tor Talk Q&A @ TU Munich
https://www.youtube.com/watch?v=-VUyuFH9CbI
al bekend.
We moeten op Twitter en Facebook omdat het een hype is, en als de buurman erop zit, moeten velen dat ook.
We willen Gmail en Outlook, omdat ze veel gratis web space bieden. (De meeste denken ook nog dat het gratis is)
Encryptie op bovenstaande en andere diensten gebruiken we ook niet (te veel werk of te moeilijk)
Google is de zoekdienst, en we weten dat we het eigenlijk niet zouden moeten gebruiken, maar doen het toch.
Fabrikanten komen met een smartphone en allemaal moeten we er een hebben.
Kortom als het kalf verdronken is ..................
Camera's in de straat, de vingerafdruk op de ID-kaart, de ov-chipkaart, en noem het maar allemaal op.
In plaats van te protesteren bij onze overheid, doen we totaal niks en verwachten dat zij het wel allemaal regelen?
Of dat andere mensen er wel naar kijken.
Hoe dom kun je zijn?
En ik durf te wedden dat de meeste mensen nu nog steeds geen actie ondernemen.
Want de overheid moet er maar naar kijken toch?
Ja van mensen zoals Ivo Opstelten, en Fred Teeven daar moeten we het van hebben.
Bijna heel Nederland heeft wel Twitter of Facebook maar kunnen we schijnbaar niet eens gebruiken, en daarmee
bedoel ik dan stuur een tweetje of bericht waarin we eisen dat bovenstaande twee uit hun ambt worden gezet.
Samen staan we sterk, maar ook dat schijnt niet te kunnen. Facebook en Twitter is het middel om snel actie te ondernemen of je stem te laten horen.
En dan de EU, die straks drones wil gaan aanschaffen. Of het kastje wat we in 2015 in onze auto's krijgen (verplicht)
Waarom kunnen we niet kiezen maar wordt het verplicht? Maar waarom stellen we geen vragen hierover? Of eisen
we dat we kunnen kiezen? Ach laten we maar klagen want daar zijn we zo goed in op vandaag.
Onze leden van het kabinet en overheid hebben allemaal een soort van cryptophone, zodat ze niet kunnen worden afgeluisterd. Mooi maar hoe zit het met de rest van Nederland? Tellen wij dan niet mee? Ook zij kunnen veilig communiceren maar de gewone Nederlander dan? Ook hiet vinden we het allemaal wel weer OK.
We zouden moeten eisen dat mailproviders sterke encryptie gebruiken, dat fabrikanten van gsm's en smartphones alleen maar toestellen leveren die echt veilig zijn.
De meeste Nederlanders zijn schapen. Blaat blaat blaat.
Dan nog een aantal video's over Jacob Appelbaum die echt de moeite waard zijn.
Alles bij elkaar een paar uur kijk plezier, maar wel super interessant maar vooral leerzaam.
De laatste video (4uur) gaat ook veel over Tor die veel vragen zal beantwoorden voor mensen met
voor oordelen over Tor, de NSA en tor en noem het maar op. Kijken die hap.
Te veel in een keer? Verdeel het dan over een paar avonden.
Vooral de laatste vier uur durende video zou iedereen moeten bekijken.
Alles gezien? Start Tor en start een exit-node. Dan doe je tenminste nog iets goeds
Jung & Naiv - Episode 71: Big Brother - with Jacob Appelbaum
https://www.youtube.com/watch?v=ox_SUlzcJMs
Jung & Naiv - Episode 72: The Architecture of Big Brother - with Jacob Appelbaum
https://www.youtube.com/watch?v=GbGwBuFjo9k
Jung & Naiv - Episode 72: The Architecture of Big Brother - with Jacob Appelbaum
https://www.youtube.com/watch?v=-cHuHHhaudU
Maybrit illner | 11.07.2013 | Kalter Krieg um unsere Daten? [HD]
https://www.youtube.com/watch?v=EP2568l6xVQ
Maybrit illner | 20.06.2013 | maybrit illner | 20.06.2013 | Obamas Lauschangriff PRISM - totale Kontrolle statt Freiheit? [HD]
https://www.youtube.com/watch?v=BTL_WbWrJmc
NSA-Abhörskandal - Was wussten die Dienste und die Regierung?
https://www.youtube.com/watch?v=3ovAFRd3UA0
Jacob Appelbaum, Roger Dingledine - Tor Talk Q&A @ TU Munich
https://www.youtube.com/watch?v=-VUyuFH9CbI
OTR versleuteling over het xmpp protocol is een wiskundig waterdicht systeem om te kunnen communiceren. Ben erg benieuwd of de NSA deze communicatie kan kraken. De FBI, justitie en AIVD zijn het in ieder geval niet gelukt.
Door potshot: hoe meer beveiliging hoe verdachter je gaat worden voor de nsa en hoe meer ze je gaan volgen.
De mindset die je noemt klopt. Zo vaak als je hoort: Medewerking weigeren is op zichzelf al verdacht. Het argument vind je trouwens een op een in de Malleus Malificarum (heksenhamer).
Door Anoniem:Ja en wat kan mij het schelen dat ze mijn vakantie foto's etc zien. Veel mensen hebben last van een stoornis waardoor ze denken dat ze op een of andere wijze belangrijk zijn in de wereld en zich moeten verstoppen.
1. Kan ik niet beoordelen zonder zelf inzage in je hele communicatie te hebben. Maar ik schat in dat ik ergens wel een reaguurreactie kan vinden die heel verkeerd uitgelegd kan worden.
2. Veel mensen hebben last van een stoornis waardoor ze denken dat zij invloed hebben op het besluit of zij op de een of andere wijze belangrijk zijn in de wereld, en bovendien denken dat dat besluit altijd juist is. Ik ben ook niet belangrijk in de wereld, maar ik heb bitter weinig vertrouwen in overheden om het verschil te zien tussen wat wel en niet belangrijk en wat wel en niet onschuldig is. En dat vertrouwen is door argumenten uit de Heksenhamer en andere gevaarlijke nonsens te gebruiken, plus door een aantal bekende en minder bekende misstanden (burojansen.nl houdt er voor Nederland een fraai staatje van bij) nog veel minder geworden.
Door Argot:We weten al heel lang dat we afgeluisterd worden en ik vind dat we ons er tegen moeten wapenen, goedschiks zo niet kwaadschiks.
Een assertiever reactie zou inderdaad wel mogen. Het is daarbij goed in de gaten te houden dat dit soort machtsvertoon per definitie het zaad van zijn eigen ondergang zaait. Het verbaasde mij hoe snel (in de nasleep van de kwestie Snowden) er al tekenen verschijnen dat de organisaties de macht als vanzelfsprekend beschouwen, en op misbruik ervan zijn gaan leunen om hun eigen belangen te behartigen, en daarbij uit pure irritatie. Als eenmaal het point of no return is gepasseerd wordt dat een zelfversterkend proces. Maar hoe meer onrecht, hoe duidelijker het onrecht en hoe meer mensen getroffen worden, des te sterker zal de opinie zich tegen de repressie keren. Omdat tegelijk het uiten van en acteren op steeds meer aan banden zal worden gelegd, zal uiteindelijk de zaak overkoken en het hele systeem met personeel en al aan de dijk worden gezet.
Het voordeel hiervan is dat de tegenpartij in zetdwang gehouden kan worden. Op ieder wettig middel dat hun macht beperkt moeten ze opnieuw reageren door het aan banden te leggen. Een kwestie dus van middelen vinden.
Een middel waar je eens naar kan kijken is het bij de belastingdienst declareren van giften aan ANBI instellingen. Als ik het goed heb gelezen kost het je 1% van een wat ingewikkelde rekensom, waarop je nog eens 9% in zijn geheel terug kan krijgen. In mijn geval komt die 9% neer op zo'n 25% van wat ik aan belasting betaal. Spit die papieren nog eens door en bereken wat het jou kost en hoeveel je dan kan 'omsporen' naar betere doelen dan het gebruiken om diezelfde belastingbetaler bij voorbaat als staatsvijand te zien. Het zal bepaald niet meer dan een papiersneetje opleveren, maar het is wel een duidelijk signaal. Ik hoop dat je er wat aan hebt.
06-09-2013, 22:19 door
Overcome
Door Anoniem: OTR versleuteling over het xmpp protocol is een wiskundig waterdicht systeem om te kunnen communiceren. Ben erg benieuwd of de NSA deze communicatie kan kraken. De FBI, justitie en AIVD zijn het in ieder geval niet gelukt.
Doet me denken aan de quote van Donald Knuth ("Beware of bugs in the above code; I have only proved it correct, not tried it.") en Adi Shamir ("Cryptography is typically bypassed, not penetrated."). Dat iets wiskundig waterdicht is wil helaas niets zeggen. Overigens ben ik benieuwd waar je de kennis vandaan hebt dat de FBI OTR versleuteling niet kan kraken. Als ze het kunnen kraken zullen ze dat niet aan de grote klok hangen.
Die Duitsers kunnen goede speeches geven, wauwww.
Whistleblower Award - Sonia Seymour Mikich Laudation auf E. Snowden
http://www.youtube.com/watch?v=HGgVw5qX0L4
Whistleblower Award - Sonia Seymour Mikich Laudation auf E. Snowden
http://www.youtube.com/watch?v=HGgVw5qX0L4
08-09-2013, 09:01 door
[Account Verwijderd]
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
