Gebruikers vinden encryptie niet belangrijk bij kiezen chat-app
De aanwezigheid van sterke encryptie is niet belangrijk voor mensen die een chat-app kiezen. Sterker nog, mensen denken dat beveiligde communicatie zinloos is tegen bijvoorbeeld inlichtingendiensten. Dat stellen onderzoekers van de Universiteit van Bonn, Stanford University en University College London.
Voor het onderzoek werden in totaal zestig mensen uitgebreid ondervraagd over het gebruik van verschillende communicatietools, waarmee het volgens de onderzoekers het grootste kwalitatieve onderzoek is naar dit onderwerp (pdf). Aanleiding voor het onderzoek is dat beveiligingsexperts regelmatig het gebruik van beveiligde communicatietools adviseren om massasurveillance tegen te gaan. Verschillende populaire chat-apps zoals WhatsApp en iMessage maken inmiddels gebruik van end-to-endencryptie. Apps zoals Signal en Telegram proberen zich op basis van security en privacy zelfs te onderscheiden.
Het is echter onduidelijk of gebruikers de bescherming die deze tools bieden begrijpen en of ze dit waarderen. Voor de mensen die aan het onderzoek deelnamen is de belangrijkste eigenschap van een chat-app dat de beoogde chatpartners het ook gebruiken. Een gefragmenteerde gebruikersgroep en interoperabiliteit zijn dan ook grote obstakels voor het starten van een nieuwe beveiligde communicatietool. Een ander obstakel is de lage kwaliteit van de geboden diensten. Gebruikers blijken de betrouwbaarheid en veiligheid van een app aan bijvoorbeeld de geluidskwaliteit af te meten.
Het onderzoek laat verder zien dat de vertrouwelijkheid van informatie geen reden is om een beveiligde chat-app te gebruiken. Deelnemers bleken ongeacht de tool iemand te bellen om vertrouwelijke informatie uit te wisselen. Zo worden gesprekken veiliger gezien dan het versturen van berichten. Ook blijkt dat deelnemers denken dat versleutelde chat-apps geen bescherming tegen bijvoorbeeld inlichtingendiensten bieden en hebben de meesten "een verkeerd mentaal model" van hoe encryptie precies werkt.
Aan de hand van het onderzoek adviseren de onderzoekers beveiligingsexperts om te helpen bij het beveiligen van chat-apps waar "mainstream users" gebruik van maken, in plaats van de bruikbaarheid van andere beveiligde tools te verbeteren. "Het doel van gebruikers om met elkaar te communiceren overstijgt alles, zelfs veiligheid", aldus de conclusie. Als ontwikkelaars op de lange termijn toch een beveiligde tool willen ontwikkelen zullen ze de beoogde gebruikersgroep dan ook moeten begrijpen. Als laatste moet een app of tool professioneel aanvoelen. Volgens de onderzoekers kunnen gebruikers de veiligheid van een app zelf niet beoordelen en kijken ze daarom naar andere signalen.
Die hebben meer te vrezen van 'grappige' vrienden, scipt kiddies en wannabee hackers. Die hebben bij lange na niet de skills en tools die geheime diensten hebben.
Beter kies je dus wel enige vorm van encryptie.
Wat ook wel klopt.
Straks wordt er hier meer en dieper getapt dan in tijden van de snowden openbaringen.
Maar nog steeds breekt daar geen rel over uit en hebben we het nog wel een sover snowden.
Maar niet over het feit dat we het hier binnenkort gaan overtreffen.
BINNENKORT WOORT IN NEDERLAND ALLE DIGITALE COMMUNICATIE GETAPT.
EN 3 JAAR BEWAARD.
EN WERELDWIJD GEDEELD!
Encryptie helpt daar maar matig tegen!
Want dan weet men nog steeds heel veel van je.
Namelijk waar je op elk moment van de dag bent en .. + alles wat uit de metadata te halen is van jou continue zendende mobile telefoon.
Terwijl we wijzen naar alle andere landen van de wereld, gebeurt het gewoon hier.
En we vinden het kennelijk geen probleem.
De eindgebruiker heeft geen besef van veiligheid. Daarom wordt er ook niet geluisterd naar mensen, die het wel (kunnen) weten en gaan we conclusies aandragen, die overeenstemmen met de te volgen agenda en een uitkomst die van te voren wel te raden was.
Ik wordt een beetje ziek van deze maatschappij (ik zeg perse geen land of continent of zo). Alles wat er toe deed is als autoriteit afgeserveerd, kennisdragers, ethiek, autoriteit, ambtenaren, docenten en ook security experts.
Daarvoor in de plaats is de vermogende manager gekomen met een eigen graai-agenda en geen behoefte aan een andere vorm van respect, dan ie kan afdwingen middels zijn status en vermogen. Niet steunend op enige intellectuele bagage en kennis helaas.
Daarom zitten we in de rotzooi, waar we nu in zitten en verandert er voor de 99% die er kennelijk voor hen niet meer toe doe, niets. Middenstand afgeserveerd, boeren afgeserveerd.. adel afgedankt. IT security toezicht???????
Wat blijft er over? Een beperkt aantal symboolfiguren en celebrities en nieuwe rijken om naar op te kijken en een grote massa, die steeds grotere prikkels nodig heeft om nog te reageren en volledig afgestompt en afgedankt raakt.
Dan nog maar een lepeltje "snake-oil" dus, nog een drupje "security through obscurity"? Neen, ik wil weten waar de jarenlange opgespaarde lekken op berusten, wat aan onveiligheid met opzet onder de pet gehouden is. Inzicht waarom er steeds meer errors in code opduiken met de bijbehorende kwetsbaarheden en het misbruik en de immense gevolgen vandien. I
Ik wil eindelijk een algemeen wat veiliger infrastructuur voor iedereen. Is dat zo'n dom verlangen? Zo als het nu gaat, gaat het verkeerd en hard de verkeerde kant op ook.
Stel je hebt in al je emoties discriminerend en racistisch uitgelaten, na de zoveelste aanslag in Londen in en uit naam van de Islam. Nadat je je studie c.q. opleiding hebt afgerond, en je hebt een baan weten te krijgen bij Amnesty Internationaal, om maar eens een duidelijk voorbeeld te noemen. Dan is er altijd een mogelijkheid dat op een willekeurige dag iemand je confronteert met die kleine niet politiek correcte oprisping van toen.
Daarom is encryptie belangrijk, en als je als gebruiker geen enkele moeite hiervoor hoeft te doen, anders dan slechts een optie aan te vinken, dan ben je een dwaas als je dat niet doet.
Wat ook wel klopt.
Straks wordt er hier meer en dieper getapt dan in tijden van de snowden openbaringen.
Maar nog steeds breekt daar geen rel over uit en hebben we het nog wel een sover snowden.
Maar niet over het feit dat we het hier binnenkort gaan overtreffen.
BINNENKORT WOORT IN NEDERLAND ALLE DIGITALE COMMUNICATIE GETAPT.
EN 3 JAAR BEWAARD.
EN WERELDWIJD GEDEELD!
Encryptie helpt daar maar matig tegen!
Want dan weet men nog steeds heel veel van je.
Namelijk waar je op elk moment van de dag bent en .. + alles wat uit de metadata te halen is van jou continue zendende mobile telefoon.
Terwijl we wijzen naar alle andere landen van de wereld, gebeurt het gewoon hier.
En we vinden het kennelijk geen probleem.
Dan kun je je ook niet meer verschuilen achter TOR. En alle hackers en 'niet standaard' internet gebruikers in jouw straat, stad provincie zijn direct inzichtelijk.
Voordeel? Geen idee. Weet wel dat mensen zich anders en minder vrij zullen gedragen. Ik heb daar 7 jaar ervaring mee. Ook AIVD Forward Defense, de IVD heeft mijn id gedeeld met andere landen.... daaruit een hoop fysieke aanvallen gehad. Ook in Nederland. Van bondgenoten. Iets met psychoactieve drugs. Tijd voor rectificatie en compensatie Nu.
Zo doet men dat steeds. Eerst vaststellen dat het publiek het er "zogenaamd" mee eens is.
Daarna na het eerstvolgende optredend incident snel invoeren.
Nooit achteraf toetsen op effectiviteit of proliferatie naar cybercriminelen of malcreanten.
Die dit soort van onderzoeken doen, zijn lieden, die overal en ooit weigeren verantwoording af te leggen
aangaande hun agenda.
Ze denken karma te kunnen ontlopen, als ze alles wat ze gaan doen, vooraf aan hun slachtoffers meedelen. Die weten het dan en zijn er dan dus toch mee akkoord gegaan. Ik mag u van alles aandoen, als ik het u maar van te voren uitleg en u geen bezwaar maakt. Zo werkt iedereen die totaal gespeend is van elke vorm van empathie. De" Silence of the Lamb" met andere woorden.
Jammer dat er nog zo velen zijn, die dit al niet door hebben en nog in hun spelletjes trappen.
Helaas, dit is de wereld waarin wij leven. Zo ook voor de analysten & security mensen hier,
Goede afspiegeing van de miljoenen gebruikers!
http://www.steekproefcalculator.com/steekproefcalculator.htm
Laat alle waarden staan zoals ze staan, maar vervang onder het kopje "Alternatieve rekenmethoden steekproefcalculator" een van de waarden door de 60 uit het artikel. Dat levert een foutenmarge op van 12,63%.
Ga terug naar het veldje "onderzoekspopulatie", waar 20000 instaat, en voeg daar een 0 aan toe, zodat je steekproef in verhouding tot de hele populatie 10x zo klein is. De foutenmarge bij die onderzoekspopulatie expodeert niet, die stijgt van 12,63% naar 12,65%. Voeg nog een 0 toe aan de populatie, en nog een, dan is die 20 miljoen, maar de foutenmarge blijft 12,65%.
Wat je daar ziet gebeuren is dat de foutenmarge maar verrassend weinig te maken heeft met de grootte van de onderzoekspopulatie, dat 60 een nagenoeg even goede (of slechte) afspiegeling van 20 miljoen is als van 20 duizend (hier kom ik in de laatste alinea op terug).
Een foutenmarge van 12,65% is groot, maar niet zo groot dat het resultaat niets meer zegt. Als een "vast majority" van die 60 deelnemers het belang van versleuteling niet snapt dan is dit toch nog nauwkeurig genoeg om te concluderen dat het in werkelijkheid geen minderheid zal zijn die het niet snapt. En het ging ze helemaal niet om precieze kwantitatieve resultaten, het ging ze erom een "holistic understanding" te krijgen van iets waar kennelijk nog weinig onderzoek naar gedaan is.
Als het je verbaast dat een steekproef van 60 even representatief is voor 20 miljoen als voor 20 duizend, stel je dan een container met pingpongballetjes in een paar kleuren voor. Stel dat die heel goed door elkaar gehusseld zijn. Hoeveel balletjes moet je dan trekken om een idee van de verhoudingen te krijgen? Als ze echt goed door elkaar gehusseld zijn dan zijn de verhoudingen tussen de kleuren door de hele container heen hetzelfde. Of het in totaal nou 20 duizend, 20 miljoen of 20 miljard zijn, als door de hele container heen de verhoudingen kloppen met het totaal dan doet dat totaal er nauwelijks nog toe voor de nauwkeurigheid van de steekproef. Het is veel belangrijker of je er 60 of 100 of 500 trekt. De steekproefcalculator laat de effecten keurig zien. Speel ermee en leer! ;-)
Hou toch op, man, het gaat alleen maar om hoe je je casus voorlegt aan degenen die je afvraagt,
en naar welke conclusie je toe wil werken. Vooral lekker suggestief zijn.
Resultaat in alle gevallen gegarandeerd. Het is een soort balletje balletje verhaal m.i.
Waan van de dag ook nog.
Ik geloof er dus geen steek van en lees ze niet eens, dat soort info, net als de resultaten van de meest recente AV vergelijkingsonderzoeken. De bullshit meter gaat bij voorbaat al fel uitslaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
