image

AIVD waarschuwt voor veiligheid WhatsApp

vrijdag 6 november 2015, 11:36 door Redactie, 19 reacties

Wie echt veilig wil communiceren kan beter geen WhatsApp gebruiken, zo waarschuwt de AIVD. Tijdens AIVD 2020, een seminar dat vanwege de 70ste verjaardag van de inlichtingendienst werd gehouden, kwam ook end-to-end-encryptie aan bod. Hierdoor kunnen alleen afzender en ontvanger berichten lezen.

Ook WhatsApp werd hierbij genoemd, zo laat Bright weten. Volgens een AIVD-medewerker is de populaire chat-app echter geen goede keuze. "Ik zou er niet op vertrouwen dat WhatsApp zo veilig is." Volgens de medewerker maakt end-to-end-encryptie het werk van de diensten lastiger, aangezien het moeilijker is om communicatie af te tappen. "Maar het is ook een uitdaging om manieren te vinden om om die encryptie heen te werken."

Ook veilig geachte alternatieven voor WhatsApp hoeven helemaal niet veilig te zijn, zo stelt de medewerker. "Als de Amerikaanse geheime dienst met twintig agenten op de stoep staat van een bedrijf dat encryptie aanbiedt, werken ze vaak heel snel mee met zo'n onderzoek." Hoewel het hier om 'Amerikaanse situaties' gaat, laat het volgens de medewerker zien dat encryptie niet altijd even veilig is als wordt aangenomen.

Reacties (19)
06-11-2015, 11:40 door Anoniem
Als of bellen in Nederland met de AIVD veilig is... stelletje hypocrieten
06-11-2015, 11:49 door Anoniem
De encryptie van WhatsApp is een probleem voor de AIVD, omdat ze dit verkeer niet zo makkelijk kunnen afluisteren (niet voor massasurveillance in ieder geval). Liever hebben ze natuurlijk dat iedereen weer SMS gaat gebruiken of onversleutelde e-mail. Dat is namelijk zeer eenvoudig om af te tappen, indexeren en analyseren. Zo kunnen Nederlandse burgers met afwijkend of ongewenst gedrag direct worden overgeheveld naar een dissidenten-database, zodat deze burgers EXTRA goed in de gaten kunnen worden gehouden.
06-11-2015, 11:55 door Anoniem

"Als de Amerikaanse geheime dienst met twintig agenten op de stoep staat van een bedrijf dat encryptie aanbiedt, werken ze vaak heel snel mee met zo'n onderzoek."
Daarom moet je ook een app kiezen die open protocollen gebruikt om end-to-end encryptie te implementeren. Daarmee maak je het technisch gezien onmogelijk (oke, zeer moeilijk) om de berichten af te luisteren, tenzij er een kwetsbaarheid in het protocol wordt gevonden.
06-11-2015, 12:24 door Anoniem
Door Anoniem: De encryptie van WhatsApp is een probleem voor de AIVD, omdat ze dit verkeer niet zo makkelijk kunnen afluisteren (niet voor massasurveillance in ieder geval). Liever hebben ze natuurlijk dat iedereen weer SMS gaat gebruiken of onversleutelde e-mail. Dat is namelijk zeer eenvoudig om af te tappen, indexeren en analyseren. Zo kunnen Nederlandse burgers met afwijkend of ongewenst gedrag direct worden overgeheveld naar een dissidenten-database, zodat deze burgers EXTRA goed in de gaten kunnen worden gehouden.
Lekker belangrijk, de NSA heeft aan de achterzijde sowieso inzage dus heeft de AIVD dit automatisch ook in het kader van de onderlinge uitwisseling van gegevens. Het transportkanaal is versleuteld maar niet de opslag. Daarom is het ook zo'n wassen neus die beveiliging van Whatsapp, voordeur zit goed op slot maar de achterdeur staat volledig open of zit er waarschijnlijk niet eens in. Beter is het end-to-end versleutelen van berichten waarbij zowel de verzender als de ontvanger alleen de sleutel hebben. Als er dan een stevige encryptievorm inclusief sterke sleutel wordt gebruikt is afluisteren een redelijk kansloze actie. Blijft nog wel meta data over maar wanneer er via TOR of VPN connecties berichten worden uitgewisseld tussen aliasen dan heeft deze meta data bijzonder weinig waarde. Voor veel gebruikers zal dit te veel werk zijn, of als ingewikkeld worden opgevat, mede omdat ze denken dat ze toch niets te verbergen hebben. Dus blijven ze zaken als Whatsapp gebruiken.
06-11-2015, 12:36 door buttonius
Door Anoniem:

"Als de Amerikaanse geheime dienst met twintig agenten op de stoep staat van een bedrijf dat encryptie aanbiedt, werken ze vaak heel snel mee met zo'n onderzoek."
Daarom moet je ook een app kiezen die open protocollen gebruikt om end-to-end encryptie te implementeren. Daarmee maak je het technisch gezien onmogelijk (oke, zeer moeilijk) om de berichten af te luisteren, tenzij er een kwetsbaarheid in het protocol wordt gevonden.
Of in je implemenatie. Je wil niet weten hoevaak het misgaat in de implementatie.
06-11-2015, 12:50 door beamer
Voor secure chat gebruik ik nu Threema ( https://threema.ch/en ), zwitsers bedrijf, slimme end-to-end encryption https://threema.ch/en/faq/why_secure en je kan je contacten een extra vertrouwensstatus geven door de QR code in hun app te scannen (soort PGP signen, maar dan 10x simpeler). Kost wel een euro op de iPhone, maar dat is natuurlijk peanuts.
De meeste van mijn secure contacts zijn ook al over, dus niet het probleem dat ik het nergens kan gebruiken.
06-11-2015, 13:19 door [Account Verwijderd] - Bijgewerkt: 06-11-2015, 15:05
[Verwijderd]
06-11-2015, 13:58 door Anoniem
Door beamer: Voor secure chat gebruik ik nu Threema ( https://threema.ch/en ), zwitsers bedrijf, slimme end-to-end encryption https://threema.ch/en/faq/why_secure en je kan je contacten een extra vertrouwensstatus geven door de QR code in hun app te scannen (soort PGP signen, maar dan 10x simpeler). Kost wel een euro op de iPhone, maar dat is natuurlijk peanuts.
De meeste van mijn secure contacts zijn ook al over, dus niet het probleem dat ik het nergens kan gebruiken.

'Veilig' communiceren via je toestel zou ik niet doen als ik jou was. Download gewoon een SeLinux distro en werk vandaar uit met PGP en OTR. En als je zo nodig wilt communiceren via je toestel raad ik je ChatSecure aan van EFF, wat maakt gebruikt van OTR encryptie en je kan altijd zelf zien hoe je chats versleuteld zijn.
06-11-2015, 14:34 door [Account Verwijderd] - Bijgewerkt: 06-11-2015, 14:42
Wat moet ik nou met een advies van een organisatie die bewezen de wet heeft overtreden, andere belangen met betrekking tot mijn privacy heeft dan ik en "list en bedrog" als primaire werkmethodiek hanteert.

Vertrouwen komt te voet en gaat te paard.
06-11-2015, 21:01 door Anoniem
Een geheime dienst die zich aan de wet houdt?
Dat is een toneelvereniging of amateurtoneel.
06-11-2015, 22:16 door Anoniem
Heren

Valt allemaal onder de telecom wetgeving. Dus overheden hebben altijd inzicht en providers hebben 1 jaar bewaarplicht.
De AIVD kan er gewoon bij omdat dit verplicht is.
07-11-2015, 01:39 door johanw
Door Anoniem: Heren

Valt allemaal onder de telecom wetgeving. Dus overheden hebben altijd inzicht en providers hebben 1 jaar bewaarplicht.
De AIVD kan er gewoon bij omdat dit verplicht is.
Fijn voor de AIVD, maar als iets end to end encrypted is kan de provider alleen de versleutelde data leveren en het niet ontcijferen.
07-11-2015, 11:08 door karma4
Door johanw: Fijn voor de AIVD, maar als iets end to end encrypted is kan de provider alleen de versleutelde data leveren en het niet ontcijferen.
Zijn ze vooreerst niet in geinteresseerd die content. Het belangrijkste is de metadata ofwel wie met wie wanneer. Inhoud komt later aan bod als dat al lukt. Je kunt prachtig heel publiek boodschappen doorgeven waarvan alleen de bedoelde ontvanger de betekenis juist kan plaatsen. We krijgen zo vaak te horen dat de extremisten in beeld waren (profiling) maar pas achteraf na het "event" kon men het verband (inhoud -bedoeling) rond krijgen.

Door Anoniem: Een geheime dienst die zich aan de wet houdt? Dat is een toneelvereniging of amateurtoneel.
Juist een hele goede opmerking. Mooi he die bond-films, komt er binnenkort weer eentje.
07-11-2015, 12:15 door Anoniem
Ik gebruik geen WhatsApp, ik ga het ook niet gebruiken.

Het blijkt namelijk dat we in Nederland wel het briefgeheim kennen maar dat de rest gewoon open en bloot bij de ó zó vertrouwde overheid op schoot terecht komt. Voortaan maar gewoon weer een brief schrijven als ik iets wil laten weten. Wel zo veilig.
07-11-2015, 13:44 door Anoniem
Door Anoniem: Ik gebruik geen WhatsApp, ik ga het ook niet gebruiken.

Het blijkt namelijk dat we in Nederland wel het briefgeheim kennen maar dat de rest gewoon open en bloot bij de ó zó vertrouwde overheid op schoot terecht komt. Voortaan maar gewoon weer een brief schrijven als ik iets wil laten weten. Wel zo veilig.

De post is al heel lang niet veilig meer:
http://www.nytimes.com/2013/07/04/us/monitoring-of-snail-mail.html?_r=0
08-11-2015, 07:02 door Anoniem
Ook mooi dat er geen alternatief wordt genoemd door ee AIVD...ze willen willens en wetens je kunnen profilen.
09-11-2015, 11:24 door Anoniem
Door Anoniem: Een geheime dienst die zich aan de wet houdt?
Dat is een toneelvereniging of amateurtoneel.
Hmmm, intressant.
En een inlichtingen-dienst die zich alleen met inlichtingen bezighoud?
09-11-2015, 11:54 door Anoniem
Door Anoniem:
'Veilig' communiceren via je toestel zou ik niet doen als ik jou was. Download gewoon een SeLinux distro en werk vandaar uit met PGP en OTR. En als je zo nodig wilt communiceren via je toestel raad ik je ChatSecure aan van EFF, wat maakt gebruikt van OTR encryptie en je kan altijd zelf zien hoe je chats versleuteld zijn.

[sarcasme]Zou zeker iets gebruiken wat door de NSA (SeLinux) is/wordt gemaakt [/sarcasme]
10-11-2015, 03:06 door CrioWria
Door Anoniem: Ook mooi dat er geen alternatief wordt genoemd door ee AIVD...ze willen willens en wetens je kunnen profilen.
Maar dat is allemaal voor jouw eigen veiligheid hè! Oh wacht eens eventjes..

Door karma4: We krijgen zo vaak te horen dat de extremisten in beeld waren (profiling) maar pas achteraf na het "event" kon men het verband (inhoud -bedoeling) rond krijgen.

..zinvol is anders inderdaad.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.