Inderdaad geen Mac of WIndows gebruiken, maar opensource zoals Arjen ook beweert.
Het boek van Arjen heeft het de hele tijd over Tails maar om echt privacy te krijgen is Tor VPN en encryptie alleen niet voldoende. Het voorstel van dubbele computers is goed.

Jammer dat zijn boek niet met concrete voorbeelden kwam hoe je je computer vielig kan houden en je netwerk maar het was ook geschreven voor journalisten.

Ik vraag mij af hoeveel van de journalisten naar zijn advies luisteren, want de telegraaf bijvoorbeeld draait volledig op windows.
Dit is ook de reden dat de Franse overheid ook een eigen OS maakt en de Duitse overheid eigen hardware maakt.

In Nederland hebben wij dit niet.
Je kan goede beveiliging hebben die het erg moeilijk voor hackers kan maken maar het kost je tijd en geld en je moet continue up to date blijven.

Ik acht de kans op opzettelijke backdoors enorm klein. Zowel Apple als Microsoft zijn beursgenoteerde bedrijven, wat denk je wat er met de aandelenkoers gebeurd als er bekend wordt dat beide bewust backdoors hebben geplaatst?
De meeste Nederlandse providers zijn niet beursgenoteerd, maar ook deze zullen niet bewust backdoors plaatsen, puur vanwege financiële redenen.

Besef ook dat het bewust plaatsen van een backdoor voer is voor een rechtszaak die ze ongetwijfeld gaan verliezen en geld gaat kosten...

Of er backdoors in je systeem zitten kan je zoeken door te kijken of er kwetsbaarheden zijn voor de versie van het systeem wat je gebruikt. Als een backdoor niet ontdekt of bekend is, zul je niks vinden.
Het enige wat je dan kan doen is proberen de code te reverse engineren en daarna de code te analyseren. Succes!

Tuurlijk hebben ze dat. Dat verwacht ik iniedergeval wel. En kijk naar je internet provider. Hoe denk je dat die zomaar inloggen op je router om iets voor je aan te passen? Dat gaat gewoon via een backdoor. Vergeet niet dat iets simpels zoals een standaard gebruikersnaam/wachtwoord al als backdoor wordt gezien. En dit doen heel veel fabrikanten.

In heel veel gevallen kan je daar vgm niet eens achterkomen. Zo slim zijn ze wel denk ik.

Ik ken het boek wel en dat boek gelezen hebbende en de informatie tot mij genomen hebbende verbaasd het mij nog steeds dat er maar circa 22.000 gebruikers zjin van TailsOS. Je zou er minstens 22.000.000 verwachten.

In geval van Microsoft, Google, Apple, etc. weet je dat je een backdoor hebt en al je data in Utah word opgeslagen.

In geval van andere (proprietary) software weet je het nooit en ben je dus mijn inziens het beste af met open source software, omdat deze controleerbaar is.

En zelfs dan zul je additionele maatregelen moeten nemen, zoals verschillende browsers gebruiken (Chrome voor de meuk, Firefox voor 'onschuldig' surfen en Tor als het niemand wat aangaat of compromitterend kan zijn waar ook ter wereld) en als je grote bedrijven en overheden niet wil laten mee lezen ook nog via TailsOS.

Laat je niet afschrikken door Linux, distro's al Ubuntu en Mint zijn niet moelijker dan MacOS of Windows, ik zou zelf willen beweren dat het tegendeel zo is. Ik gebruik graag Ubuntu en vind het persoonlijk plezieriger, vlotter en zeker stabieler werken dan Windows. Met MacOS heb ik geen serieuze ervaring om te oordelen of het plezieriger, vlotter en stabieler werkt.

Alleen een operating system houdt je niet veilig..., ben wel met je eens dat opensource OS veiliger zijn.
Neem jij ook nog andere maatregelen?

Zal de overheid ze dwingen deze te implementeren

Functionele toegang voor management, van een managed router die je afneemt als klant, heeft *niets* te maken met backdoors.


Hoe kom je toch op dit soort uitspraken. Een standaard gebruikersnaam/wachtwoord betreft een onveilige configuratie, en niet een backdoor.

Kortgezegd, niet. Als je geluk heb kom je er op d'ene of d'andere manier achter, maar een goede backdoor zal z'n best doen onopgemerkt te blijven. Je zal dus goed uit je ogen moeten kijken, tussen de regels door moeten lezen, zelf op zoek gaan, leren van andere mensen die op zoek gaan, en zo voort, en zo verder.

Hoewel zeker geen garantie is het wel een goed idee om te zorgen dat je alle broncode van software en firmware tot je beschikking hebt, en als het even kan ook van de hardware. Een open source OS en open source firmware die je zelf gebouwd en geinstalleerd hebt zijn een goed begin.

Daar is helemaal geen backdoor voor nodig. Dit is functionaliteit die gedocumenteerd is. Zie https://en.wikipedia.org/wiki/TR-069

Hoe weet je dat je morgen niet dood gaat?

Het is maar waar je je druk over wilt maken. Misschien heb ik wel een backdoor draaien op mijn machine. Maar waarom zou men deze gebruiken om mijn thuis computer te hacken?

Als je werkelijk je hierover druk moet maken, dan heb je vaak wel grotere problemen.....

Daarom is er altijd nog de anologe versie van de computer, de typemachine.

Deze kunnen doorgegeven zijn aan overheden.

Oei oei! Tuurlijk! Dat ik daar nou niet aan dacht.
(Valt me nog mee dat er nog steeds geen sprake is van pa..pa... panopticum.)

Mac is de meest veilige OS.
Het is alleen lastig deze goed te configureren maar wanneer je dat kan is de Mac extreem veilig.

Julian Assange gebruikt ook Mac Os X en de NSA gebruikt zelf ook Mac OS X.
Je moet het alleen goed kunnen configureren.
Apple is gebasseerd op OpenBSD en echte security guys weten wat er allemaal mogelijk is met OpenBSD.

Eigenlijk als je alle functionaliteiten van Tails op Mac Os X zet dan zal Mac veel veiliger zijn dan welke OS dan ook.

Ik lees daar wel dat het gigantische risico's heeft als een hacker via TR069 toegang krijgt tot je modem.

Check het merk van je processor en de datrum ervan, het Os doet niet ter zake.
Heb je er 11n met deze functionaliteit?
https://en.wikipedia.org/wiki/Intel_Management_Engine

Auw!

Maar gelukkig
https://nl.wikipedia.org/wiki/Bliktelefoon
https://en.wikipedia.org/wiki/Typewriter

Ik compartimenteer mijn browser gebruik.

Ik gebruik Chrome voor mijn werk (die GSuite gebruiken) en een Gmail adres voor junk en als ik Youtube gebruik.
Daarnaast Firefox voor generiek surfen met de nodige plugin, zoals; Ghostery, uBlock Origin, Cookie AutoDelete, Privacy Possum, Privacy Badger, CanvasBlocker, DecentralEyes, HTTPS everywhere en nog een paar.
Voor surfacties buiten Nederland (mn. VS, UK, China) gebruik ik Tor en in NL gebruik ik TOR ook voor mogelijk risicovolle zoekacties over hacking, lockpicking of overige zaken die gevoelig kunnen liggen, nu of in de toekomst.


Ook email heb ik gecompartimenteerd.

Gmail voor generieke meuk.
GSuite voor werk
Soverin.net voor generieke privemail
Protonmail voor specieke privemail

In het buitenland schakel ik veelal over naar TailsOS en gebruik ik een andere laptop (zonder data erop) dan mijn thuis laptop. Eventuele data die ik meeneem is beveiligd middels VeraCrypt en ik maak ook wel gebruik van OwnClould om reguliere data toegankelijk te kunnen maken.

Daarnaast steek ik nooit vreemde USB devices in mijn laptops.

Als ik niet bij mijn laptop ben (toiletbezoek in een veilige omgeving) dan is deze altijd verankerd middels een kabel en is deze gelocked. Dat is niet een kwestie van mijn omgeving niet vertrouwen, maar om te voorkomen dat ik iemand moet wantrouwen. Gegevensdragers liggen nooit voor de grijp. USB sticks in de broekzak, encrypted SSD in een afgesloten tas.

Ik maak nooit gebruik van een andere internet verbinding dan thuis, op kantoor of mijn mobiele hotspot.

Ik gebruik KeepassX als passwordmanager, omdat ik dan de database in eigen beheer heb en niet opgeslagen bij, mogelijk kwetsbare, derden. Ik gebruik wachtwoorden die gegenereerd zijn door KeepassX en minimaal 128 Bit groot zijn. Jaarlijks wissel ik al mijn wachtwoorden, per 1 januari, bij eerste gelegenheid dat ik weer inlog op een dergelijk account. Accounts die ik niet meer gebruik, tracht ik zoveel mogelijk te verwijderen of op zijn minst mijn emailadress hier te verwijderen en te vervangen voor een Guerrilla emailadres, dat geeft mij de mogelijkheid om nog steeds in te loggen op het account, maar minimaliseert het risico als de database een keer lekt.

Dat lijkt allemaal heel wat, maar het is een routine en ik werk sneller en efficienter dan de meeste mensen die alles met 1 browser en 1 emailadres doen, waarbij de gegevens allemaal automatisch ingevuldi zijn.

Ik vergeet vast nog wat zaken die ik doe of rekening mee hou, maar het gaat zo automatisch dat ik vast iets elementairs vergeten ben.

Bijna niet, met bijv. Wireshark zou je in ieder geval verdacht verkeer kunnen ontdekken, maar dat is wel heel arbeidsintensief.
Ik heb dit ooit eens gedaan met een Chinese camera en je moet aardig filteren om enige relevante data boven water te krijgen.

De Chinese camera was trouwens veilig gedurende die periode dat ik deze scande.

Apple heeft net als Microsoft een overeenkomst met de NSA en is dus net zo onveilig.

Gaat het om eenvoudige visrussen en beginnende hackers, dan is MacOS veiliger als Windows, maar extreem veilig is niet correct.

Jullian Assange gebruikt Linux op een Mac. Qubes OS als ik mij niet vergis. En geregeld TailsOS, maar dat zal op een andere laptop zijn dan voor zijn generieke communicatie. Ik heb Assange ook wel achter een ThinkPad gezien.

Elk systeem is zo sterk als de zwakste schakel.

Zwak:
- je gebruikt google producten
- je gebruikt een bizar unieke combinatie van een browser config

Test het maar
https://panopticlick.eff.org/

Google combineren met privacy, het slaat gewoon echt helemaal nergens op.
Wat eerder verzameld is is te gebruiken wanneer je anoniem (kuch) surreft.
Gedrag tracken
https://www.codefuel.com/glossary/behavioral-tracking/
https://www.macleans.ca/economy/business/behavioural-tracking-youre-being-stalked-across-the-web/

Jullie focussen je allemaal op de operating system.
Ik denk dat beveiliging meer op netwerk niveau en hardware niveau vandaan moet komen, de goede hacker focust zich vooral op deze lagen als je je wilt verdedigen tegen de NSA ed. (natuurlijk moet je ook je os beveiligen)

Het gebruik van de Google producten gebeurt alleen onder Chrome en tot een minimum beperkt.
Ik wil binnenkort een schone installatie doen op mijn hardware en voordat ik dat doe, ga ik afscheid nemen van Google (Chrome / Gmail / Youtube), zodat er geen tracking meer mogelijk is op de nieuwe installaties.

Gmail ga ik vervangen door Guerrilamail voor de inlog van een aantal diensten en voor andere diensten ga ik nog een Protonmail account (of iets gelijkwaardigs) aanmaken. Youtube, vervang ik door Hooktube en Chrome heeft daarmee zijn gemak en dus noodzaak verloren.

Die Test URL was een mooie eyeopener. Chrome is een zooitje, maar dat was verwacht. Firefox kan alleen verbeterd worden op het gebied van fingerprinting. Ik heb weer wat te bestuderen en aan te passen de komende dagen. Chrome zal ik ook vanavond ook maar eens voorzien van een aantal plugins.

Betreft 'behavioral tracking'. Ik heb niet het idee dat zoekacties in firefox leiden tot advertenties / spam in Chrome, maar ik ga hier ook nog eens goed naar kijken.

Bedankt voor de feedback.

Maar hoeveel mensen lezen en begrijpen nou echt firmware / kernel code laat staan zelf firmware maken.
Er zijn maar weinig mensen die verstand hebben van exploits en mitigations en hoe ze die kunnen vinden in een OS.
Je hebt ook geen backdoor nodig want er zijn toch genoeg kwetsbaarheden te vinden in een OS.
Daarnaast heb je nog het hele netwerk probleem met routers en switches die zo lek zijn als een mandje.

Er zijn genoeg mensen die roepen open source is veilig maar zelf weten ze voor geen kant welke code er nou draait op hun eigen systeem.

Ja, in heel veel software zitten backdoors die bij bepaalde (niet iedere) overheid bekend zijn. Niet alle backdoors zijn door de leveranciers of producenten bewust ingebouwd, soms by proxy door manipulatie van iso definities die dan vervolgens gemanipuleerd overgenomen wordt om protocollen te implementeren en soms worden bugs ook niet bekend gemaakt waarmee dan soms backdoor functionaliteit ontwikkeld.

Steeds meer hardware, in toenemende mate, wordt voorzien van hardwarematige backdoors, en zeker niet alleen 'made in China'.

Om backdoors eventueel ontdekt te krijgen moet je vaak diepgaand onderzoek doen en veel te weten gekregen hebben omtrent de inhoudelijke werking van protocollen, chips, besturingssystemen en programmas (programmeren).

> Gmail ga ik vervangen door Guerrilamail
Nee want dat is lekker veilig? Nu kan iedereen je email lezen. Neem van mij aan dat dat ook gebeurd.

Wat is er mis met protonmail?

De mail die op het Guerrilamail adres binnenkomt, maar iedereen lezen.
Ik gebruik deze vooral op plekken waar ik gedwongen word om een mailadres in te vullen, om verder te kunnen lezen, met als beloning een bak spam en het doorverkopen van dit adres.

Ik wens een ieder dan veel plezier met dit Guerrilamail adres.

Dat is onjuist.

Apple macOS X is gebaseerd op NeXTSTEP. Dat is op zijn beurt gebouwd op de Mach microkernel. Het huidige macOS is een mooi consumenten systeem, maar zeker niet het veiligste systeem. Zou voor Whonix op Qubes gaan.

Mach komt voort uit BSD familie, dat klopt, zij het dat OpenBSD en macOS een verschillende ontwerp filosofie, gescheiden lijnen van ontwikkelingen en geheel andere toepassingen hebben. Niet de zaken met elkaar verwarren.

https://en.wikipedia.org/wiki/MacOS#Development

https://en.wikipedia.org/wiki/File:Unix_timeline.en.svg

En hoe zit het dan met al die systemen die inmiddels lek zijn
door intel cpu bugs "SPECTRE"?

Macbooks zijn prestige computers, MS Windows meest gebruikte kwantiteit geen kwaliteit.

Wat blijft over?

Ik heb alles wat hier geschreven is uitvoerig gelezen, alsmede het artikel over de meest actuele besluiten wat de browser Chrome betreft.

Ik heb het idee dat niks meer helpt namelijk. Ik was bezig met het kijken naar een oplossing om de melding:
echte postcode en woonplaats Uit je internetadres - Precieze locatie gebruiken - Meer informatie

weg te werken. Ik kwam erachter dat mijn telefoontje de boosdoener is. Die lult alles door. Nee, wist ik niet.
Ik heb ook apen toestemming geveven tot mijn weet ik veel wat op mijn foon. Ja, stom... als lineageOS android 9 ondersteund begin ik opnieuw.

Ik kan het eea uitzetten, maar dan werken een aantal zaken niet meer.

-Gmail de deur uit? Ja, maar dan kan je niet meer winkelen in de aap-store van Google
-Locatie uitzetten? Ja, maar dan werkt de chromecast niet meer.

Veel mensen hier komen met het mooiste van het mooiste wat oplossingen betreft, maar ik denk dat het allemaal niet meer helpt.

Voor de doorsnee consument? Vooralsnog bar weinig.

PureOS hardware of anders Debian GNU / SELinux op een toekomstige open RISC-V architectuur. Een gestripte versie van Ubuntu LTS met AppArmor op open hardware met een geheel open Coreboot firmware is ook mooi om mee te beginnen.

PureOS https://puri.sm/ RISC-V https://en.wikipedia.org/wiki/RISC-V

Mac is gemaakt voor plugin in play en de standaard Mac is zeker niet de veiligste Os.
Je hebt daar gelijk, maar je kan bijvoorbeeld de kernel instellingen van OpenBsd en HardenBSD overnemen (de goede) en selectieve enkele aanpassingen doen.
De aanpassingen die Mac rond om sudo heeft gebouwd met SIP en de firewire en encryptie.
De firewall PF (erg moeilijk in gebruik) heeft ver meer mogelijkheden dan wat welke linux firewall er bovenop heeft.

Je hebt op een Mac enorm veel vrijheid(je hebt wel de kennis nodig) en mogelijkheden kwa security en gebruiksvriendelijkheid.in 1. The NSA raadt zijn de eigenoverheid MAC aan met hun de doorhun doorgevoerde aanpassingen. De NCSC van UK ook.

Er is tot nu toe geen exploit gevonden zover ik bekend ben dat uitgebuit kan worden, wellicht dat inlichtingendiensten dit wel hebben....

Macbookjes zijn voor iedereen.
Macbook pro's zijn de werkpaarden.
Dan zijn er nog wel weer pc's die beter presteren met oa veel vettere grafische meuk aan boord, maar die bakken zijn dan weer veel groter zwaarder en dikker en zien er niet uit.

Helaas wordt de functionaliteit van macbook pro's verkleind door het voortdurende stripproces om dat ding maar dunner te krijgen.
Met als gevolg dat die mac wel dunner is maar niet als je de externe poortjesbak erbij optelt om je externe zooi weer aangesloten te krijgen!
De Mac is wel dunner maar je moet er meer losse handel voor meeslepen, dat is onhandig en ziet er ook niet uit.

Das dan weer jammer van apple.
Maar verder is het kwaliteit als het kwaliteit is (let op verkeerde probleem series als je tweedehands gaat!), sla de eerste ronde van een nieuwe serie over en koop pas de opvolger ervan.

Wat overblijft is de tweedehands markt.
Maar vind maar een tweedehands computer die daadwerkelijk ok is en waar niet teveel geld voor wordt gevraagd, of waarvan de prijs door nepboden is opgedreven.

Als je echt iets draaien wat veilig is kijk dan eens naar Plan9, je hebt er verder gaan applicaties voor die er op draaien maar dat lijkt hier toch helemaal niet van belang.

KolibriOS is misschien ook wel een leuke (veiligheid wordt mede bepaald door hoe populair een OS is. Als weinig mensen hem gebruiken worden er weinig exploits voor geschreven tenzij je een boefje bent die men expliciet probeert te hacken, in dat geval is een minder populair OS waarschijnlijk minder waterdicht dan zoiets als Linux)
https://www.kolibrios.org/en/

Het veiligste besturingssysteem is TempleOS.

Het verhaal achter TempleOS is het verhaal van ons allemaal.


-
De Kabouterbond

Niks.


Die zijn gepatched:

https://www.security.nl/posting/545495/Spectre-+en+Meltdown-updates+voor+Ubuntu%2C+Tails+en+Linux+Mint


Een fraaie linux bak? (mijn nieuwe laptop bovenaan op mijn verlanglijstje: https://bto.eu/product/u-book-14cl834/)
En voor de privacy puristen een Purism Librem 13? (https://puri.sm/products/librem-13/)

https://puri.sm/products/librem-13/ niet echt voor puristen. Het eerste wat ik zie is een IntelCPU en een software gestuurde mic/cam aan/uit-knop.

Purisme heeft wel zijn prijs zeg, zeker voor een 2 core i7 en dan nog 13 inch ook, vergelijkbare hardware is zelfs bij Apple veel goedkoper.

Ja waarom zou een purisme beter zijn dan andere hardware als dat ook gewoon Intel en andere veel gebruikte hardware gebruikt?

Voer de URLs hierin:
http://redirectcheck.com/index.php

De websites zijn gevaarlijk niet openen! De certificaten lopen vandaag af het is iemand die hier de boel wilt saboteren!

Op welke URL's doelt u precies? Graag wat meer context verschaffen, ben ik nu in gevaar? Moet ik mijn personal computer afsluiten?

...from outer space? De verschijningsdatum ligt zo'n beetje net zover terug in het verleden qua jaren als vanaf dat punt naar de release van de allerslechtste film ooit (nu cult) Plan9 from outer space.
Dus... wat moet je er toch mee? Je geeft het zelf al aan.
Je kunt dan beter een Olivetti Lexikon 80 uit de motteballen halen, daar kun je tenminste nog mee typen, en het is nog een gaaf industriëel design ook: https://assets.catawiki.nl/assets/2017/2/16/3/1/4/314f5462-f46e-11e6-88c6-94b08c85156d.jpg

Nee dat was een foutje moest in een andere topic

Ze hebben fysieke schakelaartjes onderaan bij het scharnier aangebracht, waarmee de voeding van de zowel de mic en cam als van wifi en bluetooth kan worden onderbroken:

https://puri.sm/posts/hard-not-soft-kill-switches/

De Intel chip op de nieuwste Librem hardware draait naar hun eigen zeggen op open source Coreboot, zonder dat de Intel ME module daar nog nodig voor zou zijn. Of ze daar echt goed in geslaagd zijn, kan ik nog niet beoordelen.

Ze onderzoeken daarnaast nog de mogelijkheid van technisch en economisch haalbare alternatieven voor Intel, waaronder RISC-V en Power9. De Librem hardware moet namelijk ook voor de kritische consument betaalbaar blijven.

Niks mis mee:

This site is used to chase the redirection of URLs. Feel free to use this site at will.
__________________________________________________________________________________________________________

Usage:

Enter a URL in the box to the right. The headers of each redirection will be displayed below.

Redirect Trace:

______________________________ Trace

Results:

Een 15" met 500GB ssd en 8GB mem, 1 jaar garantie .... $1867,- wow.
En dan kan ik nog niet eens vinden wat voor WIFI hardware erin zit.

Wie nu nog roept dat Apple duur is ..... duzzzzz

Ik had duidelijk wat dieper moeten kijken. Dat klinkt zeer goed, al heb ik mijn vraagtekens nog bij dat Coreboot. Dat is een bios. Heeft dat op het allerlaagste niveau besturing over de CPU of blijven Intel CPUs ook igv andere biossen onderhevig aan dergelijke exploits?

lol oud nieuws.. sws alle amerikaanse software en hardware bedrijven en ontwikkelaars MOETEN een backdoor voor de amerikaanse overheids diensten in hun soft/hardware zertten. Das gewoon een feit

Macbooks hebben niet eens een anti glare (mat) scherm...zo onveilig voor mijn ogen. Daarom heb ik een nieuwe laptop gekocht ad 350,00
Windows eraf geflikkerd en Linux opgezet, veel zachter en veiliger ook voor mijn ogen. Full HD 4 ram ssd pentium 4core.
Firewall aan geen virusscanner om nog veiliger te werken :)
Budi

Ja had ook gehoord dat Facebook gewoon voor de Amerikaanse overheid gewoon altijd erin mogen kijken...

een backdoor is niet alles. het misbruiken van een backdoor is meetbaar.

je hoeft de backdoors er niet uit te vissen om misbruik gedetecteerd (en eventueel geblokkeerd) te krijgen.

Is ook meteen eventueel handig bij het ontdekken welke backdoors ze precies denken te kunnen misbruiken, op welke manier et al. Soort van reverse engineering maar dan zonder al te veel broncode lezen, scheelt veel tijd weggooien xD

Heb jij nog concrete beveiliging adviezen?

Zowiezo dat er Backdoors zitten in je infrastructuur waar jij niet eens de sleutels van hebt

Nee, hij bedoelt dat ze beschikken over 0day lekken, die nog niet bekend zijn bij de fabrikant, en die dus nog niet gepatched kunnen worden.


Alsof in Open Source software geen 0day lekken te vinden zijn, redelijk naief. Arjen zal doelen op bepaalde open source software, waar hij positief over is. Op zich is het feit dat iets open source is namelijk weinig zeggend. Het ene produkt is heel goed, beveiligingstechnisch, en het andere gaten kaas.

Niet ieder beveiligingslek verdwijnt automatisch uit een pakket, enkel omdat het open source is.

Ja precies Arjen doet concrete suggesties kwa operating systems en applicaties!
Alhoewel hij niet concreet ingaat hoe je deze systemen nog beter kan hardenen

Coreboot (www.coreboot.org) is een miniatuur besturingssysteempje. Het vervangt de standaard in de CPUs van desktops en laptops ingebakken BIOS/UEFI firmware. Coreboot draait op de blote hardware. Daarmee heeft Coreboot op het laagste niveau sturing over de CPU en de rest het moederbord. De grafische GPU valt daar in dit kader buiten.

Met dit verschil Coreboot veel kleiner dan de legacy BIOS/UEFI firmware en grotendeels open source is. En dan moet je denken aan: microcode, assemblercode en hooguit een paar dozijn regels C. Dat vergt een hoog abstractie vermogen. Een redelijk snelle laptop start daarmee in amper 9 seconden op en ontwaakt uit zijn slaap in een wenk.

Om Coreboot onder Intel aan de praat te krijgen, zijn/waren echter nog steeds een stel closed source binary "blobs" vereist, onleesbare bestanden (soms van een megabyte), die chip fabrikanten om redenen van veiligheid, concurrentie overwegingen of van staatswege vereisen. AMD heeft/had eenzelfde probleem.

Vrijwel geen normale sterveling weet wat die blobs eigenlijk precies uitvoeren. Een er van bestaat in ieder geval uit een cryptografische sleutel, die een bescherming biedt tegen een vervalsing van het BIOS en corruptie van die firmware door malware. Tenminste, dat zou het geval moeten zijn.

Er zijn daarnaast wel andere, wel geheel vrije varianten van Coreboot, zoals "Libreboot", dat wordt genoemd bij het FSF.org "Respects Your Freedom" (RYF) Certification project. Er moeten nog een paar andere vage open alternatieven van Coreboot zijn, maar daar ben ik even het zicht op kwijt.

De ontwikkelaars van de Purism Librem hardware, waarop hun PureOS draait, claimen nu eveneens een geheel open source versie van Coreboot te hebben ontwikkeld. Een Coreboot versie die de anders noodzakelijke geheime Intel ME modules niet nodig heeft om de werking van de gebruikte Intel chips toch goed op te starten.

Er is echter een praktisch probleem, voor een EU ingezetene. Niet alleen de tamelijk hoge kosten, maar ook het feit dat die Librem handel via de douane uit de Verenigde Staten moet worden geimporteerd. Dat vormt een dilemma. Zat die firma op IJsland of Zwitserland, dan wist ik het wel: dat zal ik al in het vliegtuig of op de trein. Dus wat is het betere alternatief?

In plaats van PureOS te gebruiken kun je ook gewoon zelf een Debian GNU/SELinux systeem bouwen. Met Gnome 3 onder Wayland als display manager plus de nodige security mods. Dan heb je een heel mooi systeem. Dat is niet zo moeilijk te bouwen. Zelf zou ik daar voor gaan. Dan heb je wereldwijd bechikbare repositories en een academische backup.

Mocht de SELinux kernel onder Debian zelf configuren veel te moeilijk gaan uitpakken, dan kun je altijd teruggrijpen op een generieke Linux kernel plus AppArmor in plaats van SE. Dat is waartoe ze bij Canonical Ltd. bij de ontwikkeling van Ubuntu LTS tot toe besloten hebben (Ubuntu is op Debian gebaseerd en PureOS ook, vandaar).

Idealiter draai je Debian dan op een 64-bits AMD hardware variant, waarop Coreboot reeds staat voorgeinstalleerd: dat spul voor laptops voor industriele doeleinden. Dat schiet een eind op, maar dan heb je mogelijk een expert nodig om dat type AMD hardware alsnog van de nodige geheimzinnigheden te ontdoen. Het is en blijf een heel gedoe.

Als je daarentegen met hedendaagse goedkope Intel laptop of Chromebook hardware zit opgescheept, dan hun je een poging doen om het BIOS/UEFI door een open source van Coreboot variant te vervangen. Met het risico dat je mooie hardware "bricked", wordt molesteert. Dat was dan een heel erg dure laptop.

De standaard op Intel ingebakken BIOS/UEFI firmware zelf thuis even door Coreboot vervangen is nog niet zo eenvoudig, vanwege de vele verschillen in hardware componenten, het oerwoud aan drivers en de restricties die Intel en de andere fabrikanten van geheugenchips en hardware opwerpen. Maar het kan gedaan worden.

https://www.fsf.org/campaigns/free-bios.html

Mocht je daar wel in slagen, en als je vervolgens zelf hardware aan/uit schakelaartjes in je laptop bouwt, dan ben je al een heel eind op weg om een Doe-Het-Zelf variant van een Librem te bouwen :-) Is het dan allemaal is gelukt, vergeet dan niet de hardware write protection weer vast te schroeven, want anders is het misschien allemaal voor niets geweest.

De hoofd ontwikkelaar van Libreboot is gebrouilleerd geraakt met de organisatie van het GNU.org project. Sindsdien is Libreboot geen officieel GNU onderdeel meer, hoewel FSF.org het nog wel als RYF optie noemt.

De FSF.org stimuleert zelf in het kader van hun "Free BIOS Campaign" de ontwikkeling van een non-x86 Coreboot versie die Librecore heet, om de mogelijke naamsverwarring nog groter te maken.

Librecore staat nog in de kinderschoenen, maar heeft potentieel. Door ondersteuning vanuit de industrie lijkt het er op dat het als vervanging voor het BIOS / UEFI levensvatbaar is.

Wat je ook kiest, het is zaak om zo dicht mogelijk bij de codebase van Coreboot.org te blijven en de broncode, compilatie en het ROM-flash script daarvan door onafhankelijke experts te laten auditen.

https://en.wikipedia.org/wiki/Coreboot

Purism heeft een USB-key ontwikkeld die, zo beweren ze, ook kan worden gebruikt om te controleren of de geleverde Librem laptop tijdens de verzending is onderschept en aangepast:

https://www.security.nl/posting/578504/Laptopfabrikant+Purism+lanceert+eigen+usb-beveiligingssleutel

Zo'n USB-key beschermd misschien tegen met opzet gecorrumpeerde Coreboot firmware, maar vermoedelijk niet tegen een minuscule hardware keylogger. Rest dus de doos en het inwendige goed te inspecteren.

Vergeet niet de backdoors op chipniveau (ook bepaalde batches of gekopieerde chips, met name uit landen als China).

Software backdoors zijn geen issue meer, je moet er gewoon rekening mee houden.

Hardware is een ander en veel moeilijker verhaal. Dat kun je niet zomaar debuggen. Daarom ben ik ook geen voorstander van de plannen van dit kabinet om het globalisme te prijzen met chipfabrieken in het buitenland "zolang Nederland er maar aan verdient". Ik zie het liefste de chipfabrieken in Nederland en onder Nederlandse en EU toezicht (met speciale security toetsingscommissies van oud-medewerkers van chipfabrikanten die ook nog iets kunnen met debuggen van fouten op het niveau van vele laagjes silica).

Software is maar een deel van het verhaal. Hardware heeft meer impact. Hoe lang denk je dat het duurt voordat hardware bugs (zoals vorig jaar gevonden in Intel en AMD processoren) volledig uit de roulatie zijn? Je hebt het over honderden miljoenen chips verspreid over de wereld die over 10 jaar nog steeds draaien.

Ik ben het met jou eens, maar overheden zelf zijn zo paranoide dat ze voorzichzelf wel Europese hardware kopen in Duitsland.
Voor ons de gemiddelde burger is dat veels te duur.

Elke hardware komt wel uit China en misschien is dat wel een van de redenen waarom China zo goed is in hacken.

Het is net andersom.

Coreboot is grotendeels in C geschreven. Het bestaat voor slechts 1% uit assembly code. Sommige kunnen functies in Ada zijn gezet, om de veiligheid van de firmware te verhogen.

Omdat het voornamelijk in C is geschreven, is Corenoot beter op andere hardware over te dragen dan legacy BIOS, dat voornamelijk in assembly wordt geschreven. Dat is de theorie, de praktijk is anders.

Er draait op de blote hardware geen Coreboot code meer zodra de Linux kernel de controle over heeft genomen. Sommige andere systemen hebben nog wel de oudere BIOS calls nodig (waaronder Windows 7, dacht ik).

Dat zit men ook onder Linux nog steeds met closed source "blobs" opgescheept, tenzij door reversed engineering door open source code zijn vervangen of zonder problemen kunnen worden gedeactiveerd of verwijderd.

Die blobs verwijderen is alleen nog maar de eerste te nemen horde. Men moet met een sterke binoculair microscoop het hele ontwerp van de printplaaten en de plaatsing van alle chips onder de loupe nemen.

Om te zien of er niet iets vreemds uit de toon valt. Vervolgens zou men ook de schema's van de gebruikte chipsets met X-rays moeten doorlichten, om nog zekerder van de zaak te zijn. De chip architectuur moet dus een audit ondergaan.

Alleen de TU Delft, Twente of ASML, of een onafhankelijke ICT firma met de nodige hardware security expertise, kan die klus hier in Nederland klaren. Of je moet naar Duitsland willen uitwijken.

De mogelijkheid van een bijna microscopisch afluister implantaat, ingebouwd op hardware niveau voorafgaand aan de Librem laptop assemblage, is geen helaas geen science-fiction meer.

https://www.security.nl/posting/580575/Apple+en+Amazon+ontkennen+backdoors+in+Supermicro-servers

Want Purism doet, zoals zo veel Amerikaanse ICT hardware vendors, ook zaken met Chinese fabrikanten. Anders zouden hun fantastisch mooie Librem producten nog veel duurder worden dan als ze nu al zijn.

De open hardware vendor achter de assemblage van de Librem hardware, CrowdSupply.com, haalt ook onderdelen uit Shenzhen, China, waar 2/3de van de productie van mobiele elektronica plaatsvind.

Het heeft wel iets vreemds.

Dat een producent van vooruitstrevende open hardware, in "The Land of the Free", mede afhankelijk is gemaakt van de massaproductie door in door van censuur vergeven communistisch China.

Wees dus gewaarschuwd. Het is "op papier" heel mooi spul, die Librem hardware, maar ik zou echt niet over slechts een nacht ijs gaan, zeker als jouw zaak, positie of je leven er van af hangt.

Voor een vanilla Debian GNU + SELinux systeem, op bewezen degelijke Duitse security hardware al dan niet met Coreboot, is namelijk ook veel te zeggen.

in feite is elk systeem te kraken ook mac os, keep dreaming apple fan boys het meest veilig is totaal geen internet gebruiken,
wat dacht je dat die russen van de afgelopen dagen hier geen pc van wie dan ook kunnen kraken, ook onze MIVD wandeld de gemiddelde apple pc naar binnen.
ik heb niet de illusie dat we volkomen veilig zijn op het internet met geen enkel systeem!

Ja, maar dan moet de berichtgeving wel kloppen. Dat is de vraag. Er onstaat in ieder geval een hele nieuwe ICT bedrijfstak, namelijk het scannen van goedkope geimporteerde, discutabele hardware op hardwarematige luistervinken :-)

https://www.security.nl/posting/581567/Door+Bloomberg+genoemde+expert+twijfelt+over+chip-verhaal

Ja, eindelijk iemand die de realiteit onder het ogen ziet. Alleen een bepaalde OS draaien en wat veiligheid instellingen knoeien is veels te weinig om je veilig te houden van een inlichtingendienst.
Zelfs overheden met een professionele infrastructuur waar dure hardware aanwezig is om hackers tegen te houden, versleuteling is toegepast om eavesdropes and MITM te voorkomen worden gehacked en andere geavanceerdere security measures worden gehacked.

TempleOS is het enige OS waarmee je 100% veilig bent.

Ja de AIVD en zo kunnen je gewoon hacken hoor als je Mac of Ubuntu, Tails of Windows hebt. Ik vind het naief dat mensen achter een Mac denken dat ze niet door de AIVD gehacked kunnen worden

@Anoniem, 26-09-2018, 21:35;

Een aantal concrete adviezen;

1. firewall/ids technisch toestaan wat functie vereist, al het andere niet over nadenken en niet blokkeren maar droppen (wat vaak vergeten wordt is dat bij blokkades het systeem 'interpreteerd' en soms 'antwoord', bij een drop 'interpreteert' het systeem niets, toestemmingen/allows wordt 'geinterpreteerd', al het andere droppen)

2. functies scheiden, dus op het internet rondkijken / software testen met een ander systeem of template dan waarmee men krijgt te bankieren.

3. geen platte DNS configuratie, dus liefst gecentraliseerde versleutelde dns configuratie, bijv. dnscrypt.

4. niet loggen met hetzelfde fw/ids systeem, maar een soort read only t-split achtige tap op de kabel naar de fw/ids.

5. standaard blocklists hanteren om tracking domeinen en dubieuze ip ranges te droppen op fw/ids niveau.

6. met 2 of meer internet/ WAN verbindingen werken, waarmee bijvoorbeeld verschillende dns configuraties elkaar controleren (zorg dan ook voor dat ze queries niet bij dezelfde nameserver deponeren), een hele sterke beveiligingstip is daarbij ook routes via verschillende verbindingen controleren en niet alleen blocklist op destination ips hanteren maar ook wanneer dubieuze ips in de route voorkomen.

7. verschillende VPN verbindingen boven op verschillende WAN verbindingen, dan automatisch (bijv via cron) de VPN verbindingen om de zoveel tijd automatisch met verschillende random servers laten verbinden en dan interne harde routes om bijvoorbeeld te scheiden zoals email via WAN1 en VPN2 waarbij VPN2 ook nog verschillende servers zijn om de zoveel tijd. prima 'seemless' te doen, wel wat werk alleen maakt het heel stuk veiliger. en dan liefst minder betrouwbaar verkeer over vpn heen routeren, en liefst over extra dikke filter via dpi of transparent proxy trekken (het is prima mogelijk om sommige verzoeken over een transparent proxy te trekken en andere een andere een directe route te geven zonder dat merkbaar browse verschil, seemless zeg maar)

8. preprocessor op je fw/ids systeem en dan je netwerkkaart driver utiliseren in een fw/ids vm waarbij de verbinding in een chroot van die vm wordt opgebouwd/onderhouden) bij bepaalde fundamentele verbanderingen vm herstarten vanaf read only template. Als je met verschillende netwerkkaarten en meerdere wan verbindingen werkt helemaal seemless te doen. eventueel nog wat verschillende rulesets bij verschillende soorten herstarts.

9. intern verkeerstypes scheiden door vlans, servers in verschillende dmz zones (interne services scheiden van externe, fysiek via verschillende bakken in verschillende dmz of virtueel via vm templates bijvoorbeeld), liefst zelfs niet alleen via vlan maar hardwarematig via verschillende netwerkpoorten.

10. trusted enivronment bekabeld in goten.

11. wifi in untrusted environment, checken op mac address en gebruik daarbij gespoofde macs zodat je hardware niet zo makkelijk zichtbaar is. liefst iedere client ander wachtwoord, is prima te doen zonder radius opstelling via wicd of anderszins linux.

12. browsers alleen cookies van sommige domeinen laten accepteren, al het andere automatisch weigeren, al het verkeer en cookies bij afsluiten laten verwijderen. computers dagelijks uit, bijvoorbeeld liefst geen sleep/standby functies toestaan. beter wachtwoord formulier informatie opslaan dan cookies. meta data standaard spoofen zoals user-agent behalve bij bijvoorbeeld hele betrouwbare vaste sites zoals bankieren is overigens prima via dpi op fw level te doen alleen vergt resources. verschillende browsers voor verschillende functies, dus niet spelen in de bankierbrowser, veel belangrijker dan men denkt en dan liefst ook nog die browsers in een aparte sandbox/chroot smijten. anti canvas fingerprinting op iedere untrusted browser. even wat werk alleen daarna twee vingers in de neus en fluiten maar.

13 javascript standaard blokkeren behalve bij betrouwbare sites.

14. geen draadloze toetsenborden/muizen/monitors. schermgedeelte monitor van het raam af. machines uitzetten wanneer je van huis gaat (bij fw/ids eventueel harddisk encryptie met een webcam /motion sensor in een donkere kast en dan wanneer de kast zonder eerst via bepaalde procedure uitgeschakeld schakeld zichzelf uit)

15. ssh met sleutelbestanden, niet alleen wachtwoord/gebruikersnaam. en niet in de buurt van untrusted gedeelte netwerk/browsecomputers stoppen en ook niet benaderbaar maken vanuit untrusted uiteraard.

16. serieus wachtwoorden beleid, hoeft niet uit je hoofd maar niet briefjes bij waar de wachtwoorden gevraagd worden laten liggen en ook niet opschrijven waar welk wachtwoord van is. en dan een paar basis wachtwoorden en vandaar de rest in een soort keylocker programmaatje.

17. geen windows netwerk sharing bullshit. met wat sftp configuratie heb je soort van on the fly harddisks over ssh tunnels lopen, werkt beter en sterker dan al die samba/windows sharing bullshit, ziet het verschil vrijwel niet ook prima op windows bakken toe te passen.

18. liefst user systemen soort van vm templates en dan profielen/bestanden via het netwerk, prima ook met windows te combineren.

19. geen porno, gewoon helemaal niets van die bende. leer als vent maar niet achter je lul aanlopen, beter en sterker en bovendien als je twee keer echt krijgt te neuken krijg je ook meteen te weten dat dat ook helemaal niet leuk/stoer is om te doen alsof je lul de baas is en als vrouw/man gewoon niet leren lust met liefde te verwisselen, komt ALLEEN MAAR gezeik van. ook bij kinderen, jonge jonges / meisjes.

20 eventueel draadloze frequenties platjammen aan de grens van gebruiksgebied, prima en gemakkelijk mogelijk met wat goedkope richtantennes bijv.

21. gps/locatie functies uitzetten. geen apps testen dan behalve wat je serieus krijg te gebruiken op je vaste telefoon, beter testen met bv extra tweede hands marktplaats smartphone. wil je gps, koop dan een echte en sluit die aan.

22. oppassen met blue tooth, uitzetten wanneer niet in gebruik en liefst helemaal niet gebruiken, is ook niet nodig. oppassen met draadloze auto/hek sleutels, de meeste types zijn heel gemakkelijk te kopieëren. rfid is troep, misschien leuk om te hobby spelen maar niet operationeel aub. je bankpas met dat draadloos betalen tegenwoordig in een speciale hoes, als je zo'n bankpas hebt gekregen.

als je nu niets te verbergen hebt en alleen je privacy niet op straat krijgt te willen, toch oppassen want met zulke security maatregelen zijn er sommige enthousiastelingen (meestal alleen de staat) die waarschijnlijk iets nieuwsgieriger worden dan afgesproken is, misschien te denken krijgen dat je een soort wandelende apt bent, en tegenwoordig stellen ze niet zo vaak vragen in zulke situaties en als je dan zo dichtgetimmerd krijg te zijn dan komen ze meestal fysiek langs zonder dat je het ziet en soms met hele nare speciale apparaatjes. als je daar ook nog zorgen om maaktl moet je maar eens op de website bij holland shielding gaan kijken.

het heeft nog steeds te doen met hoe je eea inricht, combineert etc. alleen als je dit soort dingen werkelijk meer naar behoren krijgt in te richten is het fysiek (al dan niet merkbaar) langskomen goedkoper dan je remote proberen te pakken te nemen en in sommige zeer behoorlijk ingerichte situaties zelfs bijna onmogelijk zonder miljoenen kostende dikke gecoordineerde acties.

helemaal onmogelijk moet je zowiezo liever niet zeggen.

Indrukwekkend.

Er staan zelfs zaken in die niet in mijn vakliteratuur staan vermeld. Er staat zelfs een idee in die de figuur "Q", uit de James Bond films, nog niet bedacht zou hebben. De vraag is dus: Waar wil je je tegen afschermen? Wat is realistisch?

Maak eerst maar eens een zo realistisch mogelijke inschatting van de meest voor de hand liggende dreigingen. Bedenk dan pas de nodige en haalbare tegenmaatregelen, voordat je alles uit de kast trekt :-)

Dat scheelt ook in de portemonnee. Nederland zal er al veel mee zijn gebaat als het routertje bij ome Wim en tante Truus thuis een stuk beter beveiligd zou zijn dan nu het geval is. Ik zie ze thuis nog niet bivakkeren in een aluminium tentje.


Antwoord op vragen en hulp bij problemen. Voor iedereen. (maar misschien niet voor James Bond)

https://veiliginternetten.nl

Als de AIVD TAILS kan hacken of TOR of TLS/SSL waarom hebben ze de NSA niet geholpen met de communicatie te onderscheppen die Snowden had met journalisten?

Het zit anders in elkaar.
Als een inlichtingendienst weet wat je huisadres is dan wordt je gewoon gehacked als zij dat willen. Als je gehacked bent dan is encryptie niet meer relevant voor de hackers.

Snowden was op een onbekende locatie, dat heeft hem enkel tijd gewonnen.
De Amerikaanse inlichtingendienst heeft hem weten te traceren en wisten exact waar hij verbleef, alleen China heeft (misschien opzettelijk) hem niet aangehouden, de Amerikaanse overheid had zijn naam met 1 letter verkeerd doorgegeven, als deze fout niet was gemaakt was hij 100% in de bak nu.
Snowden verblijft nu in Rusland, maar heeft toegegeven dat de Amerikaanse diensten ongeveer weten waar hij verblijft.

Als je logisch nadenkt, moet je je voorstellen op welke level er gehacked is om deze informatie allemaal te krijgen. Denk daarover na.

Daarnaast moet jejezelf deze kritische vraag stellen. Denken jullie niet netzoals VPN dat landen computers die in het Tor Netwerk zit gehacked hebben?
Google een paar Tor Nodes en kijk hoeveel hack aanvallen via Tor plaatsvinden.

@Anoniem, 10-10-2018 14:40;


Zozo, dat zegt wat over die 'vakliteratuur'.

Van wat ik (nogal enthousiast) mocht krijgen te beschrijven wordt het wel ergens werkelijk uitgevoerd, vertel eens verder over die 'q'? Dat bericht geeft mensen een flinke indruk van verschillende realistische maatregelen, en wanneer iemand werkelijk om beveiliging krijgt te vragen en dit allemaal uitvoerd, komt het ook werkelijk richting military grade, dat is wel anders met de meeste andere antwoorden. bijvoorbeeld dat veiliginternetten website helpt mensen wel een eind op weg alleen ten opzichte van serieus hacking lijkt de gemiddelde 'cursist' daar nog steeds op een nat plakje cake. Misschien handig om zo'n website wat verder onder te categoriseren zodat naast mijn tante sommige security geinteresseerden ook wat verder komen dan 'noscript'. het is op dit forum geen securityfocus.com, alleen het is ook niet de bedoeling om security technisch natte plakjes cake voor te stellen toch?

wat ik wel fijn mag krijgen te vinden, is dat je de vraag stelt 'wat is realistisch', die maakt namelijk firewall templates in een virtual machine met verschillende rulesets wel overdreven bij 90% van gebruikers, waarvan het leeuwendeel overigens hier niet rondsurft. Niettemin geeft het mensen met interesses een indruk van wat military grade bijvoorbeeld wél gebeurd, en meestal wordt daar niets over verteld in james bond films.

gemiddelde gebruiker hoeft niet naar holland shielding, hackers die werkelijk privacy tot op bepaald level krijgen af te schermen moeten serieus rekening houden tegenwoordig met zulke maatregelen. ook het leger neemt zulke dingen af, en niet voor de lol bij gebrek aan een warme trui ofzo.

ga jij maar eens kijken wat een zekere josé delgado met stieren en katten deed jaren zestig/jaren zeventig, leun dan rustig achterover en bedrieg je dan vooral niet alsof de grass roots bij hackers tegenwoordig alleen bezig is met cryptografie. lees wat over audiospot marketing ofwel frey effect en doe aub niet alsof alleen supermarkten en inlichtingendiensten van deze ontwikkeling te weten hebben gekregen.

er lopen tegenwoordig gangstalkende wanabe hackers rond, die zichzelf hier stoer vinden soms om iemand 'stemmetjes' te laten horen en vervolgens opgesloten te zien worden met hulp van popo die denkt dat mensen nog steeds alleen met kogels vermoord worden en wat in de lucht zwetsende dokters en een jankende mama.

het is niet alleen mexicaanse drugskartels die verder gaan dan lood.

kop uit het zand, dit zijn realistische problemen, en ik mocht hier daarbij mensen realistisch krijgen te vertellen over een aantal realistische mogelijkheden, daarbij ook waarschuwen wat keerzijde consequenties van dichttimmeren zijn zoals verklaren dat inlichtingendiensten daar wanneer nodig op andere manieren nog steeds doorheen proberen te komen.

minder over q dromen, en proberen te bedenken dat er hier mensen misschien van krijgen te leren/wakker te worden.

Ze gebruiken veel resources en financiele middelen om hem te pakken terwijl hij geen bedreiging meer vormt.

Als hij voor de andere kant werkt dan duikt hij binnen een aantal jaren toch wel op ergens, levend of dood.

Resources...

Op internet lees je allemaal gastjes die "budgetting" hoog op hun CV zetten, dan weet je genoeg. Als weer een paar Iraniers afgekocht moeten worden met honderden miljoenen dan is dat zo geregeld.

We weten dat overheden dit doen... Sommige mensen realiseren het alleen niet

Zo'n audiospot moet ik ook hebben maar ze zijn te groot en te duur.

dit zegt de NSA over tails die een budget hebben van 50 keer MEER als de AIVD:
en dat niet alleen er gaan ook verhalen dat medewerkers van de NSA securityholes doorgeven aan softwaremakers.


On 28 December 2014, Der Spiegel published slides from an internal NSA presentation dating to June 2012 in which the NSA deemed Tails on its own as a "major threat" to its mission, and when used in conjunction with other privacy tools such as OTR, Cspace, RedPhone, and TrueCrypt was ranked as "catastrophic," leading to a "near-total loss/lack of insight to target communications, presence..."

helemaal niet, mensen die verstand hebben gekregen van frey effect weten dat het gemakkelijk heel goedkoop te reproduceren is, zeker met beschikbare techniek als laptops tegenwoordig. beneden de honderd euro zelfs, alleen naarmate de afstand groter wordt en/of obstakels van bepaalde materialen wordt significant duurder.

Als ik van de inlichtingendienst was, zou ik ook zeggen dat de whatsapp end to end encryptie voldoende is om te voorkomen dat je afgeluisterd kan worden. Dat betekent niet dat encryptie gebroken wordt.
Ik zou zelfs als inlichtingendienst zeggen dat we niemand hacken of afluisteren.
De tijdperk waar je alleen gehacked kan worden omdat de software buggy is allang voorbij, hackers (state hackers) hacken hardware wat bijna niet detecteren is tenzij je de processen in het geheugen gaat uitlezen (en misschien opvallende netwerk) wat een tijdrovende taak is.
Je kan een perfect OS hebben(wat overigens niet bestaat), maar hardware wordt met de tijd alleen mee kwetsbaarder alleen kwetsbaarder...

@Anoniem 11-10-2018 02:00;

wanneer ze je het waard krijgen te vinden worden ze bij de NSA meer catastrophic major threat dan ze bepaalde pro privacy software combinatie hier noemen. dat verhaal van security holes doorgeven klopt een klein deel, het grootste deel is dat rondstrooien als een soort van equivalent van 'wij zijn liever dan jullie willen denken', datzelfde met het geval 'major threat'.

dat gezwam over 'near total-total loss/lack of blabla' vergeten qua mogelijkheden, het is inderdaad zo duur dat als ze je het niet waard vinden wordt het niet aan je besteed maar anders...

hoewel er op internet weinig van bekend is vooral truecrypt onbetrouwbaar. veracrypt ligt een beetje aan hoe je krijgt te gebruiken.

https://en.wikipedia.org/wiki/Typewriter#Forensic_examination

In het voormalige communistische Oostblok werden typemachines, drukpersen en xerox machines gecontroleerd door de staat. De geheime politie hield er toezicht op, namelijk door de analoge vingerafdruk er van vast te leggen en deze geregeld op eventuele slijtage of opzettelijke veranderingen te controleren. Het bezit van een niet geregistreerde typemachine onder die regimes was illegaal. Een typemachine onder handen hebben was en is voor dissidenten nog steeds levensgevaarlijk.

Mensen zijn Naief als ze denken Tails te gebruiken en dan niet gehacked kunnen worden.

Apple gebruikt nieuwe software om reparaties van MacBook Pro's en iMac Pro's te repareren. Als de software niet wordt gebruikt bij de reparatiecontrole van belangrijke onderdelen kan de computer op slot worden gezet.

De maatregel is volgens MacRumors doorgevoerd vanwege beveiligingsfuncties in de nieuwe Apple T2-chip in de iMac Pro en de MacBook Pro uit 2018. De T2-chip van Apple zorgt ervoor dat data op het opslaggeheugen versleuteld worden.

Als deze computers worden gerepareerd door externe partijen moeten ze via software van Apple gecontroleerd worden.

Daarbij gaat het bij de MacBook Pro om de controle van het beeldscherm, het moederbord, de vingerafdrukscanner en onderdelen als de batterij en de accu. Bij de iMac Pro gaat het alleen om reparaties aan het moederbord en het flashgeheugen.

De controle kan alleen uitgevoerd worden door Apple Stores en reparateurs die door Apple geautoriseerd zijn. Als gevolg daarvan zijn andere reparateurs mogelijk niet meer in staat om de Macs te repareren.

Volgens MacRumors is een mogelijk bijkomend gevolg dat de iMac Pro en Macbook Pro uit 2018 niet langer in aanmerking komen voor hardwarereparaties als ze over een paar jaar als verouderde producten worden gezien door Apple.

dus dat...

Zoals de auteurs zelf stellen, is Tails geen "magische oplossing" voor alle mogelijke problemen en tegenslagen die je op je levenspad kunt tegenkomen. Wat had je anders verwacht?

Warning

https://tails.boum.org/doc/about/warning/index.en.html

“There are so many far easier ways to do the same job. It makes no sense — from a capability, cost, complexity, reliability, repudiability perspective — to do it as described in the article.” [according to Joe FitzPatrick, as quoted by Ars]

https://arstechnica.com/information-technology/2018/10/supermicro-boards-were-so-bug-ridden-why-would-hackers-ever-need-implants/

Ja maar meeste mensen doen geen onderzoek, ze horen via via dat Tails niet te hacken is en dat Snowden het heeft gebruikt en dat het dan veilig moet zijn. Snowden was ondanks dat hij Tails gebruikte bijna gepakt door Amerika.

Op de site van Whonix.org kan men dezelfde waarschuwingen met dezelfde strekking vinden, alleen die documentatie pakt wat nog wat diepgaander uit: https://www.whonix.org/wiki/Warning

Ja maar mensen lezen die dingen niet, er zijn mensen hier die denken puur door linux te draaien bijvoorbeeld dat je niet door AIVD gehacked kan worden. Dat is toch belachelijk?

Ik vind het meer belachlijk dat mensen denken dat de AIVD met hun marginale budget investeert in gaten in Linux te vinden en nee ik denk niet dat de NSA ongepatche gates doorgeeft aan andere hoe meer mensen er van weten hoe groter de kans dat medewerkers van geheime diensten ze anoniem doorgeven aan softwaremakers geheime diensten geven niks om wat jij op het internet doet als jij geen zware jongen bent zonder strafblad hoef je nergens zorgen over te maken als je al Linux niet vertrouwd is beste om gewoon niet op internet te begeven bijna alle supercomputers draaien op Linux en zelfs de Amerikaanse beurs draait Linux

een netjes ingestelde cubes met netjes ingestelde vm templates (waaronder bijv. whonix/tor toepassing) is beduidend veilger dan kale whonix/tails. alleen lastig met dual core /celeron laptopjes, zo'n cubes heeft graag minstens quad core 2.5 ghz plus minimaal 4 gb ram (liefst minimaal 6 gb ram) voordat men zoiets een beetje meer werkbaar krijgt.

Dus jij denkt dat je met Cubes wel veilig bent voor voor inlichtingendiensten ipv. Tails wat naief!

Het is belachelijk dat jij denkt dat de AIVD een marginale budget heeft (het is waarschijnlijk kleiner dan die van de NSA bijvoorbeeld maar genoeg om te hacken).
Bij ons op het werk zijn verschillende Ubuntu gebruikers (cyber onderzoekers van een Bank) gehacked, dit geeft aan dat Linux wel degelijk te hacken is.
Als wij door gewone hackers gehacked worden dan kan de AIVD ons zeker hacken.

Bedankt voor deze opsomming. Waardevol.

Eén aanvulling. Toetsenbord/muis zouden dan PS/2 moeten zijn.
USB is al gecompromiteerd door BadUSB.

https://youtu.be/nuruzFqMgIw

TailsOS, CubesOS zijn middelen om je privacy en je veiligheid te vergroten, maar zoals met alle veiligheidsmaatregelen is 1 maatregel, geen maatregel en zul je dus meerdere stappen moeten gebruiken.

Ik heb hier ook niet gelezen dat je met TailsOS alleen, gegarandeerd veilig bent.

Je moet een OS als je wil gebruik maken van een PC. De genoemde OS zijn een goede start, maar daarna zul je meer maatregelen moeten treffen om je veiligheid/privacy (zo veel mogelijk) te waarborgen.

Hoe kan jij garanderen dat jij veilig bent, terwijl overheid instaties en banken worden gehacked.
Welke maatregelen neem jij dat deze actoren niet nemen?

Ctrrl + f

Garanderen kan ik niets, maar je kan wel je best doen.

Encryptie is voor mij essentieel, zowel bij de opslag van mijn data als wanneer ik communiceer. Er zijn genoeg aanwijzingen dat encryptie de meest hinderlijke barriere is voor overheden.

Kijk naar wat je kan gebeuren als je het niet eens bent met je overheid en je bent toevallig een Saudische journalist. En een collega maar een beetje lacherig doen toen ik aangaf niet zo'n trek te hebben in een reisje naar Dubai.

Het klopt dat encryptie hinderlijk is voor de overheid.
Daarom hackt de overheid ipv tappen vaak.
Google maar: AIVD hackt liever ipv hacken.

Daarnaast vind ik persoonlijk dat je met encryptie alleen maar aandacht trekt en de kans dat je gehacked groter is wanneer je encryptie gebruikt ipv niet.
De enige beveiliging dat encryptie biedt tegen hacken is in sommige gevallen dat er geen MITM of andere vergelijkbare aanvallen kan plaats vinden.

De klok hebben horen luiden maar, niet weten waar de klepel hangt. Er zijn ook cubes, maar dat is wat anders. Het systeem waarnaar je verwijst, heet Qubes. Dat woord begint met een hoofdletter Q.

https://en.wikipedia.org/wiki/Qubes

Ja eindelijk iemand met verstand van security, encyptie is geen volledige beveiliging voor secuirty.

Hoe beveilig je je goed? Korte antwoord: Niet. Lange antwoord: tegen wie wil je je beveiligen?

Wat een onzin weer.
Ze kunnen gewoon kant en klare exploits kopen van bedrijven die er in handelen.
Er zijn in de wereld zat bedrijven die exploits kopen van security researchers en weer doorverkopen aan overheden en inlichtingendiensten.
En dan nog kan je een in house team hebben voor specifieke vulns.

Met het eerste deel ben ik het eens, encryptie wil je gewoon. Het tweede snap ik nooit, waarom die overheid "dwars" willen zitten. Als die willen en daarvoor toestemming hebben dan krijgen ze toch wel wat ze willen.


Dubai is niet Saoedi-Arabië en daarnaast betwijfel ik of jij een bekende criticus van één van beide bent. Als het gaat om niet willen reizen naar landen die moeite met commentaar hebben dan wordt de wereld best snel klein. Positieve kant is dat je wel ziet dat het hier best wel in orde is.

En hier mis ik de relatie met encryptie, hoe had totale encryptie deze man beschermt tegen wat er lijkt te zijn gebeurt?

Hoe beschermt encryptie je tegen hacken, behalve dat het de kans op MITM soort aanvallen verkleint?

Precies encryptie beschermt je marginaal tegen hacken, mensen die verstand van security hebben weten dat je met creatieve oplossingen moet komen om staat hackers buiten je systeem te houden.
Encyptie kan onderdeel van je verdediging zijn om het anoniem houden van informatie, maar dan moet de ontvanger als zender goed beveiligd zijn wat ik weinig zie terugkomen in de discussie over encryptie.

Jij ziet het als de overheid dwars zitten. Ik vind dat de overheid, door het verruimen van allerhande wetten, mij potentieel dwarszitten. Burgers afluisteren prima, als het verdachten betreft, maar burgers afluisteren, omdat familieleden, vrienden, bekenden, etc. verdachten (zouden kunnen) zijn, gaat mij te ver.

Ik heb een neef die verdacht werd van een misdaad. Hoeweel ik al jaren geen contact meer heb, zorgt het wel voor belemmeringen in mijn werk (security clearance nodig). Ik vind dit soort onderzoeken te ingrijpend en sindsdien zorg ik voor zoveel mogelijk barrieres en is mijn data inzichtelijk na een gerechtelijk bevel.

Daarnaast gaat het niet eens primarir om de overheid, maar als ik data zou verliezen (met welke reden dan ook) dat deze data niet zomaar toegankelijk is voor een ieder.

Vwb.Dubai. Dubai is onderdeel van de VAE en de normen en waarden die landen wijken nogal al af van die van mij (doodstraf, homosexualiteit, alcolhol- en drugsgebruik, mensenrechten, etc). dat ik dat soort landen echt niet wil bezoeken.

Die kleine wereld is voor mij geen bezwaar. Ik voel mij prima in Noord-West Europa.

Encryptie had deze meneer niet kunnen redden, maar als deze meneer onder een pseudoniem had gewerkt, dan had zijn identiteit beschermd kunnen worden en had encrypyie hieraan kunnen bijdragen en had hij misschien nog geleefd hebben.

Encryptie is moeilijkste horde voor hackers en overheden om te kraken. In geval van encrypted communicatie dienen zender en ontvanger inderdaad beide de juiste voorzorgsmaatregelen moeten nemen.

Dat is niet anders dan een uitstekende slotcilinder in je deur zetten, maar de sleutel onder de mat te legen.

Ik herhaal het nog maar een keer. Beveiligen is het meest effectief als je meerdere maatregelen combineert. 1 maatregel is doorgaans geen maatregel.

Het kraken van encryptie om de inhoud van de informatie te ontsleutelen is inderdaad een ingewikkelde klus, maar dat is geen primaire beveiligingsmaatregel tegen hackers.
Voor de rest ben ik het wel met je eens.

Je kan zorgen dat zelfs je internerprovider niks kan met inloggen op je modem. Dan moet je je loginaam van je modem/router welke je hebt in bruikleen van je provider aanpassen naar je eigen keus. Tevens wanneer je er nog een eigen router op hebt aangesloten dat fabrieks wachtwoord en de gebruikersnaam aanpassen. Daarnaast is het zinnig een anti-virus programma op je computer te installeren,ook nog VPN te gebruiken. Ook je browsers voor surfen op het internet zo aan te passen en je bewapenen tegen trackers e.d. als je dat goed op orde hebt ben je een heel eind met je beveiliging. Ook is het veilig om overige wachtwoorden nooit op je computer te bewaren maar op een usb-stick die te raadplegen als je ergens moet inloggen,of nalezen op een papiertje welke je bewaard op een plek die jij alleen weet.

Dat was het eerste wat ik gedaan had toen ik mijn modem had gekregen! Maar toen ik de klantenservice belde konden ze gewoon er nogsteeds bij!
Wachtwoorden dien je gewoon te onthouden en moet je deze complexe maken maar wel met een ezelsbruggetje te onthouden is.
VPN hoe jij het waarschijnlijk gebruikt beschermt je niet tegen hackers.

Dit is waarschijnlijk weer zo'n NSA trol die valse informatie verspreid, want niemand slaat wachtwoorden op dat wilt alleen de NSA dat je dat doet.

Dat lijkt mij niet zo'n goed advies. ROM veiligheids updates/upgrades door je ISP van de modem dat je van hen in bruikleen hebt blokkeer je zo.

Dit is echt de reinste onzin, denk je nou echt dat die die ingang kiezen om in het modem te komen? Je hebt hem in bruikleen, daar zeg je het al mee. Je kan 100 dingen aanpassen in het router maar ze kunnen er nog steeds in. Het apparaat is immers van hun.

Zelfs wanneer je hem in bridge modus zet kan je hem nog uitlezen. Als je niet wilt dat ze in je modem komen moet je een ander modem plaatsen en zelf de updates en firmware aanpassen zodat je de zooi die je van je ISP krijgt om kan zetten in iets bruikbaars.

Voor KPN moet je namelijk een aantal tagged VLANS doorzetten naar de switches/poorten waar je weer je interactieve ontvanger op gaat aansluiten, meer infor hierover op http://netwerkje.com/eigen-router


Dat is echt het slechtste advies wat je kan geven, op een USB stick? en wat als je die kwijtraakt? Als jij een .kdbx (keepass) hebt en die goed beveiligd kan je die prima op een cloud dienst plaatsen, zo blijft hij voeral beschikbaar (mobiel / laptop / desktop). En als je dan gaat mekkeren over dat die clouddiensten (dropbox, blabla) dan bij die keepass database kunnen, nou ze mogen hun tijd verdoen door een encrypted database te gaan lopen kraken.

En als je dat echt niet vertrouwd dan bouw je toch lekker een webservertje met Owncloud/Nextcloud. Heb je er zelf werk van. Maar een wachtwoorden database op een USB. Echt niet.

Los van dit alles als antwoord op Hoe beveilig je je goed? Eigenlijk nooit, thuis heb ik een OPNSense firewall tussen mijn Modem (KPN, Bridged) en mijn switch. al het tagged vlan verkeer (Voip, IPTV) tag in rustig door naar het desbetreffende verkeer. Al het verkeer wat over mijn firewall naar buiten toe vertrekt doet dat middels een VPN via Duitsland. (Cyberghost) Los van het IPTV natuurlijk. het OS mag je zelf invullen, menig man hier zegt Linux, maar Windows mag ook prima. Zijn voldoende manieren om ervoor te zorgen dat Windows 10 niet naar huis mag bellen. Ik heb thuis nog een extra vlan die geen VPN heeft voor andere zaken, hier zit een Pi-Hole tussen als DNS server die al le reclames blokt en andere zooi, als die al niet geblokt worden door plugins in browsers.

Alle telefoons zijn encrypted en mijn OSsen ook. Backups gaan geautomatiseerd naar mijn eigen servers die ook fully encrypted zijn. En zo kan ik nog wel even doorgaan. Dit kost geen bakken met geld en is prima in een studentenflat te realiseren. Als je PfSense / OPNSense teveel gedoe vind, er zijn mooie oplossingen van Ubiquiti met uit mijn hoofd Xrouter ofzo. Gebruiksvriendelijk. Verder heb ik nog een aantal AP'tjes voor Wifi en daar zit een Honeypot achter voor mensen die willen rondsneupen op mijn netwerk. Als ik van buiten naar binnen wil doe ik dit door een Custom Portal. Er is maar 1 weg die naar rome leid en die is voor zover mijn kennis gaat goed beveiligd. 100% waterdicht is die nooit.