Bits of Freedom lanceert Internetvrijheid Toolbox
Digitale burgerrechtenbeweging Bits of Freedom heeft een "Internetvrijheid Toolbox" gelanceerd die gebruikers uitlegt hoe ze e-mail kunnen versleutelen, welke alternatieven er voor WhatsApp zijn en hoe er veilig van openbare wifi-netwerken gebruik kan worden gemaakt.
Volgens Bits of Freedom gaan overheid en bedrijven onzorgvuldig om met de persoonlijke gegevens van mensen, waardoor gebruikers een eenvoudig doelwit voor adverteerders en veiligheidsdiensten zouden worden. Door middel van de toolbox kunnen internetgebruikers hier iets aan doen, zo stelt de burgerrechtenbeweging. Zo wordt onder andere het gebruik van open source geadviseerd. Dat zou aan een veiliger en vrijer gebruik van internetdiensten bijdragen.
Ook komen privacyvriendelijke zoekmachines aan bod, het beveiligen van bestanden en versleuteld chatten. "De Internetvrijheid Toolbox is hét adres voor al je vragen over privacy, vrijheid en veiligheid online. Met praktische adviezen en tips, maar ook met directe links naar applicaties en software die wél respectvol met jouw gegevens omgaan", aldus de omschrijving.
Reacties (12)
Eh... Ze adviseren Skype om "secure" te bellen? WTF??? Is toch allang bekend dat Microsoft (en wie nog meer?) toegang heeft tot de gesprekken...
06-05-2015, 12:36 door
choi
Door Anoniem: Eh... Ze adviseren Skype om "secure" te bellen? WTF??? Is toch allang bekend dat Microsoft (en wie nog meer?) toegang heeft tot de gesprekken...
Waar zie je dat ze Skype 'adviseren'?
Van Skype wordt er duidelijk gezegd:
Jarenlang was Skype één van de weinige veilige opties qua communicatie. Tot juni 2013 Snowden met NSA documenten naar buiten kwam. Uit die documenten blijkt dat de geheime diensten al jaren alle Skype-gesprekken af kunnen tappen en mee kunnen luisteren.
Daarna worden er een aantal veiligere alternatieven genoemd.
https://toolbox.bof.nl/tools/skype/
Door Anoniem: Eh... Ze adviseren Skype om "secure" te bellen? WTF??? Is toch allang bekend dat Microsoft (en wie nog meer?) toegang heeft tot de gesprekken...
Moet zeggen, het staat er wat onduidelijk. Er staat dat je met skype gratis kan bellen, maar dat het geen privacy vriendelijke tool is.
Dit staat er als je netjes het stukje helemaal leest:
Skype is een programma om over het internet (video)gesprekken te voeren.
Skype is een VoIP-programma van Microsoft, waarmee men over het internet kan telefoneren met geluid en beeld.
Een aantal jaar geleden was versleuteld bellen onbereikbaar voor de meeste mensen, maar Skype leverde het in 2003 gratis aan het brede publiek. Het was weliswaar geen telefoon, maar je kon er wel gesprekken over voeren met video – en de inhoud was versleuteld.
Jarenlang was Skype één van de weinige veilige opties qua communicatie. Tot juni 2013 Snowden met NSA documenten naar buiten kwam. Uit die documenten blijkt dat de geheime diensten al jaren alle Skype-gesprekken af kunnen tappen en mee kunnen luisteren.
Skype is een VoIP-programma van Microsoft, waarmee men over het internet kan telefoneren met geluid en beeld.
Een aantal jaar geleden was versleuteld bellen onbereikbaar voor de meeste mensen, maar Skype leverde het in 2003 gratis aan het brede publiek. Het was weliswaar geen telefoon, maar je kon er wel gesprekken over voeren met video – en de inhoud was versleuteld.
Jarenlang was Skype één van de weinige veilige opties qua communicatie. Tot juni 2013 Snowden met NSA documenten naar buiten kwam. Uit die documenten blijkt dat de geheime diensten al jaren alle Skype-gesprekken af kunnen tappen en mee kunnen luisteren.
Door Anoniem: Eh... Ze adviseren Skype om "secure" te bellen? WTF??? Is toch allang bekend dat Microsoft (en wie nog meer?) toegang heeft tot de gesprekken...
er staan wel meer dingen in waar je je vraagtekens bij kan zetten. Voor deze community is dit misschien niet toereikend en zelfs niet altijd kloppend. Maar voor de standaard gebruiker die nog nooit bij dit soort risico's heeft stilgestaan is het wel een goede start.Door Anoniem: Eh... Ze adviseren Skype om "secure" te bellen? WTF??? Is toch allang bekend dat Microsoft (en wie nog meer?) toegang heeft tot de gesprekken...
Volgens bronnen (tijdens NCSC ONE) is de aanschaf van Skype door Microsoft in opdracht van de NSA gebeurd. Men was bang dat de beveiliging te goed zou worden als het niet door een Amerikaans bedrijf zou worden uitgevoerd. De actie om alle supernodes vervolgens binnen het netwerk van Microsoft te plaatsen, was een logisch vervolg daarop.
Peter
Door choi:
Waar zie je dat ze Skype 'adviseren'?
Van Skype wordt er duidelijk gezegd:
Dit laatste stond er volgens mij nog niet toen ik op de site keek...
Er stond alleen een rood punt van "beveiligingsproblemen", maar dat kunnen ook gewoon bugs zijn... En bugs zijn IMHO wat andere "beveiligingsproblemen" dan meekijkende overheden...
Door Anoniem: Eh... Ze adviseren Skype om "secure" te bellen? WTF??? Is toch allang bekend dat Microsoft (en wie nog meer?) toegang heeft tot de gesprekken...
Waar zie je dat ze Skype 'adviseren'?
Van Skype wordt er duidelijk gezegd:
Jarenlang was Skype één van de weinige veilige opties qua communicatie. Tot juni 2013 Snowden met NSA documenten naar buiten kwam. Uit die documenten blijkt dat de geheime diensten al jaren alle Skype-gesprekken af kunnen tappen en mee kunnen luisteren.
Dit laatste stond er volgens mij nog niet toen ik op de site keek...
Er stond alleen een rood punt van "beveiligingsproblemen", maar dat kunnen ook gewoon bugs zijn... En bugs zijn IMHO wat andere "beveiligingsproblemen" dan meekijkende overheden...
Huh, de 'Internetvrijheid Toolbox' van BOF bestaat toch al een paar jaar? Een update dunkt me..
Van de website over Veracrypt:
"Veracrypt en de cloud
Veracrypt is minder geschikt om (grote) dataverzamelingen versleuteld op te slaan bij een cloudaanbieder. Alleen als de dataverzameling een nooit wijzigend archief is, kan Veracrypt hier goed voor worden ingezet. Elke wijziging aan het archief vereist namelijk dat het bestand in zijn geheel weer opnieuw moet worden verstuurd naar de cloudaanbieder."
Dat klopt niet. Als je bijvoorbeeld een Veracrypt vault op een cloudstorageprovider hebt staan als Dropbox, en je wijzigd wat aan de inhoud van deze vault, dan zul je zien dat alleen de gewijzigde blokken (zoals in de AES structuur ook logisch is) opnieuw versleuteld worden en dus veranderen. Dropbox (in ieder geval) heeft de intelligentie aan boord om te zien dat niet de complete file is verandert, maar slechts een gedeelte, en zal dus ook alleen de wijzigingen uploaden en niet de complete file.
"Veracrypt en de cloud
Veracrypt is minder geschikt om (grote) dataverzamelingen versleuteld op te slaan bij een cloudaanbieder. Alleen als de dataverzameling een nooit wijzigend archief is, kan Veracrypt hier goed voor worden ingezet. Elke wijziging aan het archief vereist namelijk dat het bestand in zijn geheel weer opnieuw moet worden verstuurd naar de cloudaanbieder."
Dat klopt niet. Als je bijvoorbeeld een Veracrypt vault op een cloudstorageprovider hebt staan als Dropbox, en je wijzigd wat aan de inhoud van deze vault, dan zul je zien dat alleen de gewijzigde blokken (zoals in de AES structuur ook logisch is) opnieuw versleuteld worden en dus veranderen. Dropbox (in ieder geval) heeft de intelligentie aan boord om te zien dat niet de complete file is verandert, maar slechts een gedeelte, en zal dus ook alleen de wijzigingen uploaden en niet de complete file.
06-05-2015, 17:00 door
Erik van Straten
06-05-2015, 15:26 door Anoniem: Als je bijvoorbeeld een Veracrypt vault op een cloudstorageprovider hebt staan als Dropbox, en je wijzigd wat aan de inhoud van deze vault, dan zul je zien dat alleen de gewijzigde blokken (zoals in de AES structuur ook logisch is) opnieuw versleuteld worden en dus veranderen. Dropbox (in ieder geval) heeft de intelligentie aan boord om te zien dat niet de complete file is verandert, maar slechts een gedeelte, en zal dus ook alleen de wijzigingen uploaden en niet de complete file.
Dank voor deze opmerking. Ik vermoed dat je gelijk hebt. Maar het is de vraag of je daar blij van moet worden...Als een aanvaller meerdere versies van een encrypted file (of schijf image) in handen heeft, waarin op specifieke plaatsen wijzigingen optreden, zou dat wel eens kunnen helpen bij cryptanalysis. Vooral als de aanvaller (ongeveer) weet wat er gewijzigd is (bijv. omdat dit uit andere gegevens, zoals een blog, valt af te leiden).
Bewijzen kan ik dit niet, maar het voelt in elk geval "niet goed".
3: Gebruik anti-virus software
Sophos - internet monitoring
Utimaco Safeware (Sophos) - internet monitoring / phone monitoring
https://wikileaks.org/The-Spyfiles-The-Map.html
Internet monitoring / UK
DPI Overview
https://wikileaks.org/spyfiles/files/0/53_200906-ISS-PRG-UTIMACO.pdf
Telecom Data Retention / Future Lawful interception
https://wikileaks.org/spyfiles/files/0/54_200906-ISS-PRG-UTIMACO2.pdf
@Erik,
Helaas is een 'gevoel' niet echt bepaald exacte wetenschap, en is er gewoon een logische en technische verklaring voor wat er gebeurt.
Enerzijds zit dat in de gebruikte encryptiemethode. AES is een zogenaamd block cypher. Dat betekend dus letterlijk dat het data in blokken opdeelt, en dan per blok de versleuteling toepast. In geval van AES is dat altijd 128 bits (niet te verwarren met keysizes, die kunnen zijn 128, 192 of 256 bits).
Een True/Veracrypt container werkt netjes volgens dit systeem. Stel je creeert een 10 megabyte container, dan krijg je ook daadwerkelijk een 10 megabyte bestand op je computer, of je hier nu wel of geen data hebt ingezet. Dat is juist een indicatie dat er geen sprake is van cryptoanalyse, maar daar kom ik later op terug.
Goed, als je dus zo'n container opent, er wijzigingen in aanbrengt, en daarna weer afsluit, dan zal True/Veracrypt in samenwerking met de crypto netjes die blokken opnieuw versleutelen die zijn aangepast door de wijzigingen. Alleen die data in de container die is aangepast (de delta) zal opnieuw worden versleuteld, en alleen die blocks zullen dus op de disk worden aangepast (in blokken van 128 bits).
Als je dan uiteindelijk zo'n bestand zou analyseren (op block level) dan kun je inderdaad de aangepaste delen van het bestand terugzien. Hier is niks aan de toen, je besturingssysteem en je bestandssysteem moeten immers nog steeds handelingen verrichten met die data. En dat geeft verder ook niet, want het is immers versleutelde data.
En van dat gegeven maakt Dropbox dus gebruik. Maar ook vrijwel alle moderne back-up en imaging tools (rsync bijvoorbeeld) doen bewerkingen op block-level ipv file-level. Computers zijn tegenwoordig snel genoeg om data op block level in te lezen en direct te analyseren, zodat alleen de aanpassingen (delta's) worden gekopieerd. Dat is aanzienlijk sneller dat alle bestanden afzonderlijk 1 voor 1 te benaderen en te kopiëren.
Over die cryptoanalyse hoef je je niet druk te maken. Althans, zolang deze maar niet ECB Mode gebruikt. Want dan krijg je inderdaad bij het gebruik van dezelfde sleutel over dezelfde data, dezelfde cryptotext als output. Maar als de IV uniek en 'random' genoeg is, dan heeft cryptoanalyse op AES helemaal geen zin.
Helaas is een 'gevoel' niet echt bepaald exacte wetenschap, en is er gewoon een logische en technische verklaring voor wat er gebeurt.
Enerzijds zit dat in de gebruikte encryptiemethode. AES is een zogenaamd block cypher. Dat betekend dus letterlijk dat het data in blokken opdeelt, en dan per blok de versleuteling toepast. In geval van AES is dat altijd 128 bits (niet te verwarren met keysizes, die kunnen zijn 128, 192 of 256 bits).
Een True/Veracrypt container werkt netjes volgens dit systeem. Stel je creeert een 10 megabyte container, dan krijg je ook daadwerkelijk een 10 megabyte bestand op je computer, of je hier nu wel of geen data hebt ingezet. Dat is juist een indicatie dat er geen sprake is van cryptoanalyse, maar daar kom ik later op terug.
Goed, als je dus zo'n container opent, er wijzigingen in aanbrengt, en daarna weer afsluit, dan zal True/Veracrypt in samenwerking met de crypto netjes die blokken opnieuw versleutelen die zijn aangepast door de wijzigingen. Alleen die data in de container die is aangepast (de delta) zal opnieuw worden versleuteld, en alleen die blocks zullen dus op de disk worden aangepast (in blokken van 128 bits).
Als je dan uiteindelijk zo'n bestand zou analyseren (op block level) dan kun je inderdaad de aangepaste delen van het bestand terugzien. Hier is niks aan de toen, je besturingssysteem en je bestandssysteem moeten immers nog steeds handelingen verrichten met die data. En dat geeft verder ook niet, want het is immers versleutelde data.
En van dat gegeven maakt Dropbox dus gebruik. Maar ook vrijwel alle moderne back-up en imaging tools (rsync bijvoorbeeld) doen bewerkingen op block-level ipv file-level. Computers zijn tegenwoordig snel genoeg om data op block level in te lezen en direct te analyseren, zodat alleen de aanpassingen (delta's) worden gekopieerd. Dat is aanzienlijk sneller dat alle bestanden afzonderlijk 1 voor 1 te benaderen en te kopiëren.
Over die cryptoanalyse hoef je je niet druk te maken. Althans, zolang deze maar niet ECB Mode gebruikt. Want dan krijg je inderdaad bij het gebruik van dezelfde sleutel over dezelfde data, dezelfde cryptotext als output. Maar als de IV uniek en 'random' genoeg is, dan heeft cryptoanalyse op AES helemaal geen zin.
06-05-2015, 23:16 door
Erik van Straten
06-05-2015, 20:16 door Anoniem: Over die cryptoanalyse hoef je je niet druk te maken. Althans, zolang deze maar niet ECB Mode gebruikt. Want dan krijg je inderdaad bij het gebruik van dezelfde sleutel over dezelfde data, dezelfde cryptotext als output. Maar als de IV uniek en 'random' genoeg is, dan heeft cryptoanalyse op AES helemaal geen zin.
Dank voor jouw uitgebreide antwoord, maar mijn zorgen zijn niet weg.Als Veracrypt filecontainers op dezelfde wijze behandelt als reeksen (fixed-size) sectors zoals bij FDE, zou dat kunnen betekenen dat er geen (variable-size) ruimtes met random bytes worden tussengevoegd, en er van AES in XTR mode gebruik gemaakt wordt. Als dat zo is, lees dit: http://sockpuppet.org/blog/2014/04/30/you-dont-want-xts/.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
