Security Tip van de Week: gebruik een VPN
In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de tip van Brenno de Winter
Wandel een blokje om
Wat een goede beveiligingstip voor mij is, hoeft dat niet altijd voor jou te zijn. Een maatregel is pas zinvol als er een link is met de bedreigingen die je inventariseert. Voor mij zijn dat de pogingen van overheden om verslaggeving te beïnvloeden en te frustreren. Het dieptepunt in mijn carrière was het ambtsbericht van de Coördinator Terrorisme Bestrijding voor journalistiekonderzoek van mij.
Het Europees Verdrag voor de Rechten van de Mens verbiedt dit soort ingrijpen door de overheid. Maar de harde realiteit is dat keer op keer het Europese Hof Nederland op de vingers tikt voor het ingrijpen de journalistiek. Mijn tegenstander is dus ook de terrorismebestrijder met enorm diepe zakken en potentieel zeer machtige middelen om onwelgevallig onderzoek te frustreren. In zo’n – in mijn ogen – extreme context ontkom ik er niet aan veel maatregelen te nemen.
Gebruik VPN
Een belangrijke keuze is dat ik veel gebruik maak van VPN-verbindingen, waardoor al het verkeer via een buitenlandse node verloopt. Dat maakt observatie een stuk lastiger. Er zijn veel partijen die dat soort diensten betaalbaar aanbieden. Daarbij valt anonimiteit te verhogen door soms meerdere van dit soort verbindingen te gebruiken.
Het voordeel is dat al het netwerkverkeer versleuteld over je eigen internet verbinding gaat en dus bij een eventuele tap niet zomaar te volgen is. Ook bij internetten via Wifi-verbindingen (in de trein of bij een congres bijvoorbeeld) voorkom je het afluisterbaar zijn voor een deel. Bijkomend voordeel is dat The Pirate Bay weer ongecensureerd toegankelijk is.
Geen opslag verkeersgegevens
Een probleem is natuurlijk wel dat sommige providers van VPN-diensten bijhouden wie op welk moment is ingelogd. Opvallend is dat veel dienstverleners je anonimiteit toezeggen, maar als je goed leest wel gegevens bewaren. Een belofte dat er niets wordt opgeslagen heeft dus voorkeur, maar is natuurlijk niet zalig makend.
Een dubbel VPN is daarom handig, waarbij het slim kan zijn deze ook anoniem aan te schaffen. Daarvoor gebruik ik graag een debitcard die je anoniem kunt kopen. Met de verbindingen ben ik voor echt gevoelig werk er nog niet. Als ik in paranoia-modus schiet, gebruik ik graag de Tor-browser om nog wat extra blokjes over het internet om te lopen.
Niet alomvattend
Natuurlijk is dit maar een van de stappen die ik zet, want contacten met bronnen wil je graag zo goed mogelijk beschermen. Gevoelige communicatie laat ik daarom niet via voorspelbare kanalen lopen, maar kies per bron een andere methodiek. Alomvattend zal dat niet zijn, maar de drempels die ik tegen misbruik kan opwerpen zal ik moeten opwerpen.
Daarom adviseer ik mensen sowieso beschermende technieken maximaal te gebruiken. Eerdere tips op Security.nl – hoe simpel ook – rond het gebruik versleuteling, herstarten van computers, gebruik van HTTPS Everywhere, http-headers, enzovoort zijn enorm goed om op te volgen. Veel van die tips vragen een ander gedrag en dat moet je je aanleren. Uit ervaring weet ik dat dat best lastig is.
Veel maatregelen
Daarom probeer ik structureel veel middelen in te zetten. Waar kan gaat een mail altijd gecrypt de deur uit, bewaar ik mail zoveel mogelijk offline, chatten doe ik het liefst met OTR-versleutelde Jabber, ondertussen heb ik geen onversleutelde schijf, heb wat ongebruikte discs die ik zelf niet meer kan ontcijferen (mocht ooit iets worden afgepakt dan heeft de tegenstander iets om lekker mee bezig te zijn) en ben ik dol op het splitsen van zaken naar losse virtuele machines geworden.
Ook in de niet technische sfeer heb ik veel maatregelen getroffen om in lastige scenario’s mijn bronnen te beschermen. Het is te belachelijk voor woorden in een land waar je vrije pers hebt. Want in een ideale wereld had ik Security.nl gezegd dat ik me niet hoef te beschermen, omdat ik geen risico loop. Tot die dag aanbreekt zal ik op internet veel omlopen via VPN’s.
Brenno de Winter is een Nederlandse onderzoeksjournalist met specialisatie in IT-beveiliging en privacy. Hij schrijft voor verschillende vaktijdschriften en nieuwswebsites, waaronder NU.nl. Dinsdag 22 januari spreekt hij tijdens ALT-S, de gratis en voor iedereen toegankelijke beveiligingsconferentie in Den Haag.
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Dit soort maatregelen kan je op heel veel manieren fout doen, waardoor je misschien nog kwetsbaarder bent dan zonder. encryptie. Het absoluut onvindbaar maken van sporen van waar je nou op internet wat precies aan het doen bent, is nou eenmaal heel ingewikkelde materie waarbij veel techieken gecombineerd moeten worden. Pas dus op met wat je doet en maak het niet complexer dan strict noodzakelijk. Elke extra maatregel is een schakel in een keten en die is nou eenmaal zo sterk als de zwakste schakel.
Je bent vaak verdachter als je geen vindbare dingen op het Internet hebt en je paranoia VPNen en dergelijke gebruikt, dan als je "normaal" overkomt. Men gaat nou eenmaal niet zo snel op zoek naar je "andere" Facebookpagina, maar wel naar degene die je niet lijkt te hebben terwijl je wel heel actief op Internet bent.
Het lijkt mij dat als je bijvoorbeeld chat met Off The Record chat met jabber via TOR over een VPN doet en de VPN wordt afgeluisterd dat je nog steeds niet gecompromiteerd hoeft te zijn.
Dat dan weer wel. Ik hoor regelmatig dat mensen checks op mij doen en dan zien dat ik geen Hyves, Facebook, Twitter, Whatsapp, Skype of Instagram account heb (of wel iemand vinden met de dezelfde naam en daar dan conclusies uit trekken).
Zo heb ik ooit een baan niet gekregen omdat mensen via online materiaal dachten dat ik een voetballer was terwijl ik aan gaf daar helemaal niets mee te doen.
Het lijkt mij dat als je bijvoorbeeld chat met Off The Record chat met jabber via TOR over een VPN doet en de VPN wordt afgeluisterd dat je nog steeds niet gecompromiteerd hoeft te zijn.
Dat dan weer wel. Ik hoor regelmatig dat mensen checks op mij doen en dan zien dat ik geen Hyves, Facebook, Twitter, Whatsapp, Skype of Instagram account heb (of wel iemand vinden met de dezelfde naam en daar dan conclusies uit trekken).
Zo heb ik ooit een baan niet gekregen omdat mensen via online materiaal dachten dat ik een voetballer was terwijl ik aan gaf daar helemaal niets mee te doen.
Het lijkt mij dat als je bijvoorbeeld chat met Off The Record chat met jabber via TOR over een VPN doet en de VPN wordt afgeluisterd dat je nog steeds niet gecompromiteerd hoeft te zijn.
Dat dan weer wel. Ik hoor regelmatig dat mensen checks op mij doen en dan zien dat ik geen Hyves, Facebook, Twitter, Whatsapp, Skype of Instagram account heb (of wel iemand vinden met de dezelfde naam en daar dan conclusies uit trekken).
Zo heb ik ooit een baan niet gekregen omdat mensen via online materiaal dachten dat ik een voetballer was terwijl ik aan gaf daar helemaal niets mee te doen.
Zoals arnoud dus al zei, "Veel van die tips vragen een ander gedrag en dat moet je je aanleren. Uit ervaring weet ik dat dat best lastig is. " daarbij hoort dus ook het gebruik van Linkedin & facebook en al die andere zooi. als je inlogt via je anoniem gekochte VPNs bij Facebook of Linked of Hyves ben je nog steeds te identificeren.
het zal ongeveer zo dan gaan: Politie, Aivd of welke overheids bende dan ook, kan gewoon aan de logs van bijv Linked of Facebook je VPN ip linken aan jou. dus nee ik denk niet dat die gebruiker dan linkedin bezit. aangezien hij de overige dingen ook achterwege laat.
Herken je 'habbits', veranderze, zelfs je typ stijl.
Ik zeg het niet vaak maar, Arnoud goed dat je hier wat dieper op in gaat. goed stukje typ werk. +1
zo te zien lees je alleen dingen die je wilt lezen, en sla je voor het gemak de rest over. -2
Geen opslag verkeersgegevens
Een probleem is natuurlijk wel dat sommige providers van VPN-diensten bijhouden wie op
welk moment is ingelogd. Opvallend is dat veel dienstverleners je anonimiteit toezeggen,
maar als je goed leest wel gegevens bewaren. Een belofte dat er niets wordt opgeslagen
heeft dus voorkeur, maar is natuurlijk niet zalig makend.
Hi Brenno,
Me valt op dat sommige mensen soms zeggen dat VPN's die op hun pagina zetten niks te
loggen dit niet zalig makend is.
Nu vraag ik me af -en misschien ook een hoop anderen mensen- die goed opletten waarom
dit niet zalig makend is? Stel de Makro heeft een tv in de aanbieding voor 100 euro terwijl
men weet dat deze eigenlijk 1000 euro zou moeten kosten. Bij een eventueel beroep zal de
rechter waarschijnlijk de kant van de Makro kiezen, en zeggen dat de consument ook een beetje
op moet letten. [misschien raar voorbeeld maar ik denk dat je wel snapt wat ik bedoel]
Door de jaren heen krijgen consumenten ook steeds meer rechten, en ook bedrijven moeten
zich aan bepaalde regels houden.
Echter sinds 9/11 en de wet Dataretentie en dergelijk, zijn er enkele VPN's die expliciet
op hun pagina zeggen , en in interviews hier [bijv. Darknet en Mullvad] echt niks bij te houden
dan wel te loggen.
security.nl/artikel/35843/1/Censuur_en_aftappen_maken_VPN-diensten_populair.html
security.nl/artikel/38782/1/VPN-diensten_die_geen_IP-adressen_loggen.html
Hoe zit dit dan in elkaar? Ze hebben in het openbaar iets toegezegd, en tevens is dit ook op
hun pagina in de privacy policy na te lezen. Ik vraag me af hoe ze daar dan nog eventueel onderuit
zouden kunnen komen mochten ze voor een overheid werken of een NSA achtige instantie?
Laten we even aannemen dat iemand jouw benaderd om een groot lek onder de aandacht te
brengen. Jullie communicatie verliep via de VPN van Mullvad, en later worden
jullie beide in de boeien geslagen, of anders. Jullie komen er dan achter dat Mullvad toch
diverse Log-files heeft opgeslagen en overhandigd aan een AIVD, MIVD, CIA, FBI, NSA
of andere instantie.
Nu zou ik me kunnen voorstellen dat jullie zouden kunnen zeggen:
Mullvad maakte valse reclame om hun product/dienst te verkopen onder valse voorwendselen.
De Rechter zal Mullvad dan toch op de vingers moeten tikken, en de bewijslast onwettelijk moeten
verklaren toch?
Gr,
Jan
zo te zien lees je alleen dingen die je wilt lezen, en sla je voor het gemak de rest over. -2
Dan de comments ook niet overslaan:
Vandaag,
11:32 door
JorgD
+3 Rating:
Quote deze reactie | Reactie niet OK
Men kan natuurlijk ook lezen.
1. te duidelijk zichtbaar/merkbaar vanuit netwerk
2. sleutels verkrijgen/delen via 'zelfde' netwerk.
paar truukjes;
1. connecten via ssh forwarden, tor via https (cycle een reeks https adressen) of zet een soort stegano verkeers proxy op plat http (muziek stream, losse woordjes, plaatjes) waarmee je verder connect.
2. post, andere netwerken etc.
zo zijn er nog vele andere opties waar ik nu te moe voor ben om op te schrijven. ff nog wat ruften, slapen, vreten en dadelijk wat geld onder jullie kont vandaan trappen. tja, echt werk vergt echte voorbereiding. en mijn onderkinnetje schreeuwt om verzorging.
bij de betere VPN diensten kun je gewoon betalen via Western union, dat is wat voor mij heel erg goed werkt.
VPN diensten zoals vpnbook.com zeggen ook niet te loggen op hun index pagina, maar die logt dus 100% zeker. (vermijden dus)
Cyberghost VPN is een goede waarvan ik eigenlijk zeker weet dat die niet logt, maar check via google even recenties, wat mensen zeggen over de diensten. zo kun je er al gauw achter komen of mensen problemen of te maken hebben gehad met Loggen. VPNs als vpnbook.com & Hidemyass Vermijden!
Cyberghost heeft een actie, die het mogelijk maakt om Gratis de Premium dienst van hun uit te proberen. dus downloaden, accountje maken, premium code verzilveren,klaar. Email gebruiken van bijvoorbeeld; 10minutemail.com en gratis wifi gebruiken.
mensen die nog meer goeie diensten hebben of goede ervaringen hebben met een bepaalde vpn provider laat dit dan even hier weten!!
zeker geen filosofische zijstap, ben het eigenlijk wel met je eens. en de enige verklaring die ik er voor geven kan is dat de overheid een verzamel drift heeft, en vergeet privacy te respecteren. het enige wat je kan doen is met je tijd mee te gaan, en je in dingen wilt verdiepen. mensen denken ook vaak dat zij niks te verbergen hebben, maar het tegendeel is waar. niemand zit erop te wachten als bedrijven alles bij gaan houden wat je leuk vind, dmv je te volgen via websites 'tracking'.
of als je bijv googled op bijvoorbeeld bepaalde ziektes, daaruit kunnen die bedrijven al snel de conclusie trekken dat je een
ziekte hebt. das toch niet echt bepaald informatie wat op straat hoort te liggen. zo zijn dr meer voorbeelden maar die laat ik over aan je verbeelding, dus niet alleen 'Cybercriminals' hebben wat te verbergen. ook de degelijk huis tuin en keuken internetter, om het zo maar even uit te drukken.
zeker geen filosofische zijstap, ben het eigenlijk wel met je eens. en de enige verklaring die ik er voor geven kan is dat de overheid een verzamel drift heeft, en vergeet privacy te respecteren. het enige wat je kan doen is met je tijd mee te gaan, en je in dingen wilt verdiepen. mensen denken ook vaak dat zij niks te verbergen hebben, maar het tegendeel is waar. niemand zit erop te wachten als bedrijven alles bij gaan houden wat je leuk vind, dmv je te volgen via websites 'tracking'.
of als je bijv googled op bijvoorbeeld bepaalde ziektes, daaruit kunnen die bedrijven al snel de conclusie trekken dat je een
ziekte hebt. das toch niet echt bepaald informatie wat op straat hoort te liggen. zo zijn dr meer voorbeelden maar die laat ik over aan je verbeelding, dus niet alleen 'Cybercriminals' hebben wat te verbergen. ook de degelijk huis tuin en keuken internetter, om het zo maar even uit te drukken.
De redenen tot het bewaken van (je eigen) privacy zijn me al jaren duidelijk, maar ik vroeg me af of dit slechts het meegaan met de tijd is of dat er iets anders speelt: is de verzameldrift van de overheid puur alleen gebaseerd op cybercrime-bestrijding of heeft het een andere, meer perversere achtergrond? Waar komt het vandaan?
Dat het bedrijfsleven interesse heeft in voorkeuren, keuzes en omstandigheden kan ik me voorstellen, over de beweegredenen van een overheid zou ik meer moeten/willen weten, aangezien zij door en voor mij zijn aangesteld...
Ook het scenario dat jij schetst: een overheidsorganisatie zet een bedrijf op voor VPN. Ook dat is een lastig probleem dat bij een zaak die groot genoeg is naar boven zal komen. Ik vind dat ik mensen moet waarschuwen dat een belofte wel iets is, maar beloften worden soms doorbroken. Kijk bijvoorbeeld naar Hushmail, waar toch af en toe verhalen komen dat er informatie wordt gevorderd.
Of je dat met succes voor de rechter kunt brengen is maar helemaal de vraag. Sowieso is dat mosterd na de maaltijd. Mijn bron heeft een probleem (en soms de journalist ook). Dat wil je voorkomen. Uitsluiten kun je het nooit, maar het risico beperken wel. Daar is deze post op gericht. Overigens ben ik blij dat je nu oppikt dat het niet alleen goed is een VPN te gebruiken, maar dat er dus ook risico's zijn.
Tot slot: liever zou ik niets hoeven te doen en blijft de overheid ver weg bij journalistiek. Ook als het een keertje pijn doet. Tot die tijd moet ik logisch en technisch verdedigen en me inzetten om dit te verbeteren. Dat probeer ik. Een van mijn speerpunten tijdens mijn voorzitterschap van de Sectie Freelance van de Nederlandse Vereniging van Journalisten zal ook zijn juist bij deze kwetsbare groep de juridische bescherming in de praktijk verbeteren.
Met vriendelijke groet,
Brenno de Winter
is de verzameldrift van de overheid puur alleen gebaseerd op cybercrime-bestrijding of heeft het een andere, meer perversere achtergrond? Waar komt het vandaan?
Ehm, het komt voort uit onderzoekst journalisten die vaak als eerste met dingen komen, o.a het OV chipkaart.
dat soort dingen, maar het is allemaal realistischer geworden, voor de overheid sinds Wikileaks en hun lekken van staats documenten. dit zit overheden niet lekker natuurlijk, dat ze al hun geheimen moeten prijsgeven. zo kunnen ze de menigte niet meer onder controle houden met hun propaganda verhalen, en hun zwets verhalen hoe goed ze het wel niet gedaan hebben, neem bijvoorbeeld de Afganistan en Iraq documenten die gelekt zijn. ook filmpjes waarop te zien is dat bendes (militairen) van Amerika ontschuldige burgers neerknallen. en ja de overheid is mede schuldig, want zij wilden dit in de doofpot stoppen. alles bijlkaar zijn overheden erg paranoida geworden. dan heb je nog Hacktivisme, iets wat een doorn in het oog is van vele overheden. de rijken voelen zich niet zo lekker dat de 'gewone' burgers tot zulke dingen instaat zijn, en dan mag jij raden wat hun antwoord daarop is. Nóg strengere regels, wetjes, etc. of het helpt? ik denk van niet..
maar goed hier zal het ongeveer weg komen, oh en dan natuurlijk het Diginotar schandaal...
Grtz
bij de betere VPN diensten kun je gewoon betalen via Western union, dat is wat voor mij heel erg goed werkt.
VPN diensten zoals vpnbook.com zeggen ook niet te loggen op hun index pagina, maar die logt dus 100% zeker. (vermijden dus)
Cyberghost VPN is een goede waarvan ik eigenlijk zeker weet dat die niet logt, maar check via google even recenties, wat mensen zeggen over de diensten. zo kun je er al gauw achter komen of mensen problemen of te maken hebben gehad met Loggen. VPNs als vpnbook.com & Hidemyass Vermijden!
Cyberghost heeft een actie, die het mogelijk maakt om Gratis de Premium dienst van hun uit te proberen. dus downloaden, accountje maken, premium code verzilveren,klaar. Email gebruiken van bijvoorbeeld; 10minutemail.com en gratis wifi gebruiken.
mensen die nog meer goeie diensten hebben of goede ervaringen hebben met een bepaalde vpn provider laat dit dan even hier weten!!
Het "Security Scene Team" moet eens wat vaker Privacy Policy's checken en doorlezen, en dan goed realiseren wat een en ander zou kunnen betekenen.
Dit is wat er staat: http://cyberghostvpn.com/en/support/privacy_policy.html
Privacy Policy
(1) The Customer accepts that CYBERGHOST records, processes, and uses data as required of it by law.
(2) CYBERGHOST may record, process, and use personal data (inventory data) to fulfill the terms of this contract. This data includes name, address, and telephone of the Customer or his or her end Customers as well as bank account information required for direct debiting. The Customer reserves the right to inform him- or herself about the extent and content of the personal data stored.
(3) Also, CYBERGHOST may process and use personal data collected in the setup and delivery of service (connection data). This includes Customer identification and data regarding time and volume of use.
(4) CYBERGHOST stores a completely anonymous user ID, made out of numbers, as well as the data volume generated throughout a day through this ID, with an afferent timestamp.
Goede VPN's loggen helemaal niks. (or may record)
Mocht je al een VPN aanraden dan noem namen als Mullvad, IVPN, of TorGuard, en zo zijn er nog wel enkele volgens
Torrentfreak.
Is lezen EN checken nu echt zo moeilijk?
Het gebruik van VPN's heeft inderdaad een aantal risico's. Vooral de gebruiker is de zwakke schakel. Voordat men het door heeft logt men in bij de ' verkeerde' mailserver en geeft men toch de identiteit prijs.
Ook het gebruik van de pre-paid creditcard geeft risico's. Deze is wel anoniem te bestellen, echter moet deze wel naar een adres worden gestuurd. Ook de rekeningen gaan naar dat adres en moeten worden betaald.
Voor mij is het gebruik van TOR voldoende.
Als staat op hun pagina, en ook nog eens in het Nederlands.
Dus het plaatsen van een vraagteken is hier geheel overbodig.
RTFM
Het gebruik van VPN's heeft inderdaad een aantal risico's. Vooral de gebruiker is de zwakke schakel. Voordat men het door heeft logt men in bij de ' verkeerde' mailserver en geeft men toch de identiteit prijs.
Ook het gebruik van de pre-paid creditcard geeft risico's. Deze is wel anoniem te bestellen, echter moet deze wel naar een adres worden gestuurd. Ook de rekeningen gaan naar dat adres en moeten worden betaald.
Voor mij is het gebruik van TOR voldoende.
Het al of dan niet betalen met PayPal of andere anonieme vorm maakt in feite niet zo heel veel uit.
Je ISP ziet toch altijd via het IP-adres dat je een verbinding hebt met een VPN.
Belangrijk is dat de VPN niks logt of bewaard, in het geval je gekke dingen gaat doen of hebt gedaan.
Voor iedereen die niet getapt wil worden, en de wet dataretentie wil omzeilen volstaat het om een VPN
te gebruiken zonder Tor. Bekijk maar even deze video http://www.youtube.com/watch?v=8ZE1wdIgeUk
(begint na 08:05)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
