Schneier: meeste mensen zullen nooit Tor of PGP gebruiken
Ondanks alle ophef over de onthullingen van Edward Snowden en de surveillancepraktijkten van de NSA zullen de meeste mensen nooit anti-surveillancemaatregelen nemen. Sterker nog, de meeste surveillancetools zoals Facebook, Google en een smartphone worden vrijwillig door mensen gebruikt omdat ze juist zo "handig" zijn, zo stelt beveiligingsexpert Bruce Schneier tegenover Wired.
Op de vraag hoe hij doorsnee, rechtsschapen internetgebruikers zou overtuigen om tools zoals Tor of PGP of een eigen mailserver te gebruiken zegt hij dat dit niet mogelijk is. De surveillancetools zijn volgens hem handig en gratis. "Daarom gebruiken we ze. De meeste technische oplossingen om surveillance te vermijden zijn vervelend en lastig te gebruiken. En ze werken alleen tot een bepaald niveau."
Schneier geeft als voorbeeld de mobiele telefoon, die hij als een "incidenteel trackingapparaat" omschrijft. "Als dat niet het geval was kon het systeem geen telefoongesprekken afleveren. Metadata is zeer intieme surveillancedata en het kan niet worden versleuteld." Als het gaat om het aanpakken van surveillance moet er dan ook niet naar technische oplossingen worden gekeken, merkt Schneier op.
Het belangrijkste is juist om er met elkaar over te praten, zo stelt hij. "Dit zijn politieke onderwerpen die politieke oplossingen vereisen, en het zullen geen politieke onderwerpen worden als wij ze er niet van maken. Op dit moment is surveillance nog niet opvallend; we merken het niet, omdat het automatisch in de achtergrond gebeurt. Snowden liet ons zien wat er gebeurt als mensen het opmerken. Mensen moeten het dan ook meer opmerken."
Reacties (15)
28-05-2015, 15:53 door
Profeet
Het moet gewoon een keer goed fout gaan denk ik. Dan is er een motivatie om wat te doen.
28-05-2015, 16:14 door
skinpatch
@Profeet Helemaal mee eens. Ik vermoed echter dat áls het dan fout gaat, de gevolgen onomkeerbaar zullen zijn.
Het zou helpen als PGP handiger mogelijk wordt in de standaard email clients. Nu is de drempel mogelijk wat hoog. Daarnaast zit je met de drempel dat als je het nu gebruikt je mogelijk in je eigen email contacten kring 1 van de weinig bent.
De huidige aanpak is vooral: hoe kan ik mijn data en apparaten encrypten? Dit is voor veel mensen al boven de pet,te ingewikkeld.En het is de verkeerde aanpak. Waarom moet ik mijn data en pc encrypten!? Staatssurveillance is op zich niet verkeerd,zolang er maar geen misbruik van wordt gemaakt.En dat gebeurd nu wel,door overheden,maar ook door bedrijven en individuen.Hoe komt het toch dat speciale high tech stealth spyware software en tools vrij verkrijgbaar zijn in die zgn.spy-shops!? Wellicht omdat corrupte medewerkers van bedrijven die die spyware maken dit aan criminelen doorverkopen? Of corrupte medewerkers van politie en geheime diensten deze spy-software en spy-tools doen toekomen aan criminelen en aan zgn.brave burgers die"'uit bezorgdheid" hun kind in de gaten willen houden,maar diezelfde tools gebruiken om hun (verdachte) buurman eens even mee te bespioneren? Neem nou die hacktools,gewone burgers kunnen online die shit kopen! Criminelen bieden dit gewoon op websites aan! En de overheden,politiediensten en geheime diensten doen er geen sodemieter aan/tegen! Het is toch werkelijk niet te geloven!? In wat voor wereld leven wij anno 2015!?
Door Profeet: Het moet gewoon een keer goed fout gaan denk ik. Dan is er een motivatie om wat te doen.
Op basis van waarom zou men het dan moeten doen?
Persoonlijk zie ik momenteel ook nog niet het nut er van in, om zowel TOR als PGP te gaan gebruiken prive of in mijn bedrijf.
Laat staan dat ik er mijn vrienden of eventueel mijn klanten hierover zou adviseren om dit te gaan doen.
Door Anoniem: Het zou helpen als PGP handiger mogelijk wordt in de standaard email clients. Nu is de drempel mogelijk wat hoog. Daarnaast zit je met de drempel dat als je het nu gebruikt je mogelijk in je eigen email contacten kring 1 van de weinig bent.
Handig mogelijk maken? Ik zou het gewoon dwingen PGP te gebruiken. De meesten zouden alsnog gewoon het e-mail bericht typen en klikken op de zend knop. Dat is het makkelijkste en vooral de snelste manier. De "Nu zenden" knop zou zo snel mogelijk vervangen worden met "Nu zenden met PGP".Twee onvergelijkbare technieken in 1 zin :
- Torbrowser is relatief eenvoudig te gebruiken.
- PGP is zeer onpraktisch en heel veel hoogdrempeliger in gebruik, dat is wat versleuteld gaan mailen nekt.
Zeer begrijpelijk dat dat de gemiddelde consument en ook de gemiddelde werkelijk in privacy geïnteresseerde consument afschrikt.
Daardoor zal het kantelpunt dat de massa over de streep moet trekken in de verste verte niet bereikt gaat worden.
Tenzij het ineens als toepassing standaard en eenvoudig als default instelling geïmplementeerd wordt in één of ander populair massaproduct.
Dat is nog lang niet aan de hand maar is vast een reden voor polpol- en andere controlepeuk-mannetjes alvast heel hard te roepen dat dat het einde van alle kindertjes op de wereld zou betekenen.
Niet doen?
http://computerworld.nl/beveiliging/85492-gpg-is-een-technologisch-dood-spoor
https://decorrespondent.nl/2556/Waarom-is-het-zo-moeilijk-e-mail-goed-te-beveiligen-/124469532-505003d6
Wel doen?
http://www.vn.nl/Archief/Samenleving/Artikel-Samenleving/Phil-Zimmermann-Het-is-vooral-erg-als-je-eigen-regering-je-bespioneert.htm
- Torbrowser is relatief eenvoudig te gebruiken.
- PGP is zeer onpraktisch en heel veel hoogdrempeliger in gebruik, dat is wat versleuteld gaan mailen nekt.
Zeer begrijpelijk dat dat de gemiddelde consument en ook de gemiddelde werkelijk in privacy geïnteresseerde consument afschrikt.
Daardoor zal het kantelpunt dat de massa over de streep moet trekken in de verste verte niet bereikt gaat worden.
Tenzij het ineens als toepassing standaard en eenvoudig als default instelling geïmplementeerd wordt in één of ander populair massaproduct.
Dat is nog lang niet aan de hand maar is vast een reden voor polpol- en andere controlepeuk-mannetjes alvast heel hard te roepen dat dat het einde van alle kindertjes op de wereld zou betekenen.
Niet doen?
http://computerworld.nl/beveiliging/85492-gpg-is-een-technologisch-dood-spoor
https://decorrespondent.nl/2556/Waarom-is-het-zo-moeilijk-e-mail-goed-te-beveiligen-/124469532-505003d6
Wel doen?
http://www.vn.nl/Archief/Samenleving/Artikel-Samenleving/Phil-Zimmermann-Het-is-vooral-erg-als-je-eigen-regering-je-bespioneert.htm
Door Anoniem:
Door Anoniem: Het zou helpen als PGP handiger mogelijk wordt in de standaard email clients. Nu is de drempel mogelijk wat hoog. Daarnaast zit je met de drempel dat als je het nu gebruikt je mogelijk in je eigen email contacten kring 1 van de weinig bent.
Handig mogelijk maken? Ik zou het gewoon dwingen PGP te gebruiken. De meesten zouden alsnog gewoon het e-mail bericht typen en klikken op de zend knop. Dat is het makkelijkste en vooral de snelste manier. De "Nu zenden" knop zou zo snel mogelijk vervangen worden met "Nu zenden met PGP".Die stelling is complete onzin, want ten eerste is PGP niet gebruiksvriendelijk, en ten tweede is misschien wel 99% van de
internetgebruikers niet van plan om zich daar druk over te maken. Sterker nog, wie nu PGP of andere versleuteling gebruikt,
trekt zelfs de aandacht van de overheden. Wie zich bezig houd met geheime zaken, kan beter overstappen op het ouderwets
uitwisselen van informatie door een combinatie van fysiek kleine versleutelde mediadragers via de gewone post.
- PGP is zeer onpraktisch en heel veel hoogdrempeliger in gebruik, dat is wat versleuteld gaan mailen nekt.
Zeer begrijpelijk dat dat de gemiddelde consument en ook de gemiddelde werkelijk in privacy geïnteresseerde consument afschrikt.
Daardoor zal het kantelpunt dat de massa over de streep moet trekken in de verste verte niet bereikt gaat worden.
Tenzij het ineens als toepassing standaard en eenvoudig als default instelling geïmplementeerd wordt in één of ander populair massaproduct.
Zeer begrijpelijk dat dat de gemiddelde consument en ook de gemiddelde werkelijk in privacy geïnteresseerde consument afschrikt.
Daardoor zal het kantelpunt dat de massa over de streep moet trekken in de verste verte niet bereikt gaat worden.
Tenzij het ineens als toepassing standaard en eenvoudig als default instelling geïmplementeerd wordt in één of ander populair massaproduct.
Google (gmail) en Yahoo zijn er mee bezig, zelfs voor hun webmail:
http://arstechnica.com/security/2014/08/yahoo-to-begin-offering-pgp-encryption-support-in-yahoo-mail-service/
Eigenlijk zou het automatisch moeten kunnen.
- voeg een email contact toe
- automatisch stuurt de client een verzoek om pgp public keys uit te wisselen. Met de eigen public key bijgevoegd.
- de ander ontvangt het verzoek en kan het ignoren (zodat spammers niet weten dat zijn account echt is) of accepteren waardoor een public key automatisch teruggestuurd en verwerkt word
Zo moeilijk hoeft het dus niet te zijn. Het kan net zo simpel gemaakt worden als het doen van een friends request op Facebook.Wellicht kunnen bedrijven die bereikbaar willen zijn automatisch de friend requests accepteren.
- voeg een email contact toe
- automatisch stuurt de client een verzoek om pgp public keys uit te wisselen. Met de eigen public key bijgevoegd.
- de ander ontvangt het verzoek en kan het ignoren (zodat spammers niet weten dat zijn account echt is) of accepteren waardoor een public key automatisch teruggestuurd en verwerkt word
Zo moeilijk hoeft het dus niet te zijn. Het kan net zo simpel gemaakt worden als het doen van een friends request op Facebook.Wellicht kunnen bedrijven die bereikbaar willen zijn automatisch de friend requests accepteren.
29-05-2015, 08:58 door
PietdeVries
Mijn ervaringen met encryptie op e-mails zijn vooral negatief toen ik een jaar of wat later die mails ineens weer nodig had. Toen bleken certificaten en sleutels ineens niet meegenomen te zijn in een backup, of alweer overschreven, etc. Anyway, de bottom line was dat die mails zo veilig waren dat ik er in ieder geval niet meer bij kwam....
En dat probleem zie ik ook op het moment dat 'Henk en Ingrid' encryptie gaan gebruiken voor e-mails naar de Bingoclub en het jaarlijkse familie uitje. Oma begrijpt het niet, Henk eigenlijk ook niet, maar een neefje heeft nog wel ergens een handleiding liggen. Die is voor Android, maar niet voor iOS of wel maar dan voor de vorige versie... Het lukt gewoon niet om encryptie overal toe te passen zolang het niet (bijna) vanzelf gaat.Dat zie je ook bij software patches op Windows: als je er moeite voor moet doen, gebeurt het niet. Windows update wordt nog wel eens gedraaid, maar Flash, Java en Acrobat blijven netjes op de versie van die van de eerste installatie.
Willen we dus mensen helpen hun mail te encrypten, dan zullen we een oplossing moeten vinden voor Henk en z'n vrouw - tot die tijd blijven ze gewoon unencrypted versturen...
En dat probleem zie ik ook op het moment dat 'Henk en Ingrid' encryptie gaan gebruiken voor e-mails naar de Bingoclub en het jaarlijkse familie uitje. Oma begrijpt het niet, Henk eigenlijk ook niet, maar een neefje heeft nog wel ergens een handleiding liggen. Die is voor Android, maar niet voor iOS of wel maar dan voor de vorige versie... Het lukt gewoon niet om encryptie overal toe te passen zolang het niet (bijna) vanzelf gaat.Dat zie je ook bij software patches op Windows: als je er moeite voor moet doen, gebeurt het niet. Windows update wordt nog wel eens gedraaid, maar Flash, Java en Acrobat blijven netjes op de versie van die van de eerste installatie.
Willen we dus mensen helpen hun mail te encrypten, dan zullen we een oplossing moeten vinden voor Henk en z'n vrouw - tot die tijd blijven ze gewoon unencrypted versturen...
Door Anoniem: Eigenlijk zou het automatisch moeten kunnen.
- voeg een email contact toe
- automatisch stuurt de client een verzoek om pgp public keys uit te wisselen. Met de eigen public key bijgevoegd.
- de ander ontvangt het verzoek en kan het ignoren (zodat spammers niet weten dat zijn account echt is) of accepteren waardoor een public key automatisch teruggestuurd en verwerkt word
Zo moeilijk hoeft het dus niet te zijn. Het kan net zo simpel gemaakt worden als het doen van een friends request op Facebook.Wellicht kunnen bedrijven die bereikbaar willen zijn automatisch de friend requests accepteren.
Als je daarna nog een stap toevoegd:- voeg een email contact toe
- automatisch stuurt de client een verzoek om pgp public keys uit te wisselen. Met de eigen public key bijgevoegd.
- de ander ontvangt het verzoek en kan het ignoren (zodat spammers niet weten dat zijn account echt is) of accepteren waardoor een public key automatisch teruggestuurd en verwerkt word
Zo moeilijk hoeft het dus niet te zijn. Het kan net zo simpel gemaakt worden als het doen van een friends request op Facebook.Wellicht kunnen bedrijven die bereikbaar willen zijn automatisch de friend requests accepteren.
- gebruiker 1 stuurt een automatische bevestiging dat de acceptatie van de friend request (en de daarbij horende public keys) van gebruiker 2 in goede orde is ontvangen en dat de friend request daadwerkelijk van gebruiker 1 kwam
Dan heb je gelijk een oplossing voor email spoofing.
De meeste privacy problemen met e-mail kunnen gewoon met een beetje communicatie opgelost worden. Gmail, Yahoo en Outlook.com moeten dit eigenlijk volautomatisch kunnen.
29-05-2015, 09:24 door
Profeet
Door Anoniem:
Op basis van waarom zou men het dan moeten doen?
Persoonlijk zie ik momenteel ook nog niet het nut er van in, om zowel TOR als PGP te gaan gebruiken prive of in mijn bedrijf.
Laat staan dat ik er mijn vrienden of eventueel mijn klanten hierover zou adviseren om dit te gaan doen.
Door Profeet: Het moet gewoon een keer goed fout gaan denk ik. Dan is er een motivatie om wat te doen.
Op basis van waarom zou men het dan moeten doen?
Persoonlijk zie ik momenteel ook nog niet het nut er van in, om zowel TOR als PGP te gaan gebruiken prive of in mijn bedrijf.
Laat staan dat ik er mijn vrienden of eventueel mijn klanten hierover zou adviseren om dit te gaan doen.
Haha dat is dus precies mijn punt! Mensen zien het nut er niet van :). Kijk ik doe zelf ook niet bij alles moeilijk over anonimiteit en privacy. Maar iedereen heeft zo ze geheimen en als die digitaal zijn, zou ik je aanraden dit soort dingen wel te gebruiken. Zoiets als second love ofzo ... ;).
Voor de doorsnee computergebruiker is het simpel:
Ga er van uit dat (bij internetgebruik) alles wat met de computer wordt gedaan en alles wat op de computer en daarop aangesloten apparatuur is opgeslagen kan worden gezien, gemanipuleerd, langdurig kan worden opgeslagen en dat er ongemerkt kan worden meegekeken en geluisterd via de camera en microfoon. Zo weet je welk risico je loopt. Of het allemaal daadwerkelijk en/of vaak plaatsvindt is niet van belang maar dat het kan wel. Vind je dat onaanvaardbaar? Gebruik het internet dan maar niet! En neem de beloftes bij beveiligingspakketten maar met een grote korrel zout.
Gebruik een Chromebook, alleen voor gevoelige internet-zaken. Niet omdat daarmee de risico's zijn verdwenen, maar omdat je niet kan worden verweten je computer niet op orde te hebben.
Samenvatting: Geloof niets en bepaal zelf of het risico aanvaardbaar is. Autorijden is ook onveilig!
Een risico is aanvaardbaar zolang je denkt dat het alleen een ander overkomt.
Ga er van uit dat (bij internetgebruik) alles wat met de computer wordt gedaan en alles wat op de computer en daarop aangesloten apparatuur is opgeslagen kan worden gezien, gemanipuleerd, langdurig kan worden opgeslagen en dat er ongemerkt kan worden meegekeken en geluisterd via de camera en microfoon. Zo weet je welk risico je loopt. Of het allemaal daadwerkelijk en/of vaak plaatsvindt is niet van belang maar dat het kan wel. Vind je dat onaanvaardbaar? Gebruik het internet dan maar niet! En neem de beloftes bij beveiligingspakketten maar met een grote korrel zout.
Gebruik een Chromebook, alleen voor gevoelige internet-zaken. Niet omdat daarmee de risico's zijn verdwenen, maar omdat je niet kan worden verweten je computer niet op orde te hebben.
Samenvatting: Geloof niets en bepaal zelf of het risico aanvaardbaar is. Autorijden is ook onveilig!
Een risico is aanvaardbaar zolang je denkt dat het alleen een ander overkomt.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
