Dank voor deze goed onderbouwde oproep. Is hier al tig keer aan bode geweest en geen reden om daar wéér een nieuw topic voor te starten.

Oud nieuws...
Maar ja, iedereen op het werk gebruikt het. En anders ben je zo'n buitenbeentje he? (nou en...).

Of stap over op Threema. Niet gratis, en ergens voor betalen biedt geen 100% privacy-garantie, maar echt gratis bestaat niet (ik gebruik Threema nu bijna 1 jaar en er is mij nog niks tegengevallen). Na eerder enkele succesvolle audits is Threema sinds eind vorig jaar open source (zie https://www.security.nl/posting/682892/Versleutelde+chat-app+Threema+maakt+broncode+open+source).

Overigens deel je met WhatsApp niet alleen jouw data, maar je hele adresboek - inclusief van mensen die niets met WhatsApp, het moederbedrijf Facebook en diens "partners", te maken willen hebben.

Leuke van Signal is dat registreren met een vast nummer gewoon gaat. Vast nummer klinkt vele ouderwets in de oren, maar is algemeen veiliger in gebruik.

Toevoeging: en alle moeite doen om uit beeld te blijven van facebook. Dit door onder andere gebruik van firewalls en extensies.

Facebook weet altijd minimaal jouw naam en telefoonnummer. Dit kunnen ze heel makkelijk koppelen aan jouw gedrag online. Ergens bij een bedrijf die facebook laat meedraaien jouw telefoonnummer invullen kan al funest zijn.

Het is niet voor niks dat jij deze gegevens niet kunt opvragen. Hoogste tijd voor een instantie die hier tegen optreedt...

Overweeg om ook Matrix mee te nemen in je vergelijking. In tegenstelling tot Telegram heeft dat wel E2EE in groepgesprekken. En in tegenstelling tot Signal werkt het decentraal en kan je ook zonder telefoonnummer een account aan maken. Zie https://twitter.com/joepie91/status/1347580384905723906.

Ik kan de AVG niet uitoefenen bij Facebook, ik ben geen klant van ze ook nooit geweest maar ze verzamelen wél data van en over mij.

Telegram vraagt bij installatie mijn telefoonnummer.
Ik geef mijn 040-nummer en Telegram zegt dat dat nummer niet bestaat.
Dan maar geen Telegram.

040 heeft al sinds AD 1232 stadsrechten. Historisch bewustzijn is tegenwoordig flut, en dus ook bij Telegram ;-)

Serieus: Doe gewoon een stapje terug in de digitale social media tsunami en ga alleen bellen of sms'en.
FF wennen en na twee weken tot een maand mis je die social media zooi zoals je kiespijn kunt missen. (Heerlijk wat een rust!)
Hier lees je steeds vaker dat het hoog tijd wordt om de (social) media dataslurp giganten eens wat macht te ontnemen. Ben ik het mee eens. Ieder voor zich maar toch: Goeie reden om ermee te kappen of niet?

De makers van Threema hebben een vergelijking gepubliceerd tussen WhatsApp, Signal, Telegram en Threema (Matrix is helaas niet meegenomen). Natuurlijk is dit een "WC Eend" vergelijking en moet je de voor jou relevante aspecten dubbel-checken met andere bronnen. Belangrijk daarbij kunnen wensen van jou zijn die niet vervuld worden door deze app; die zul je mogelijk niet vinden in deze vergelijking. Eén daarvan is dat Threema geld kost, voor particulieren eenmalig minder dan 4 Euro. Business-gebruikers betalen per maand, zie https://work.threema.ch/en/offers.

Na even scannen (niet uitgebreid bestudeerd) zie ik er, m.b.t. de vergeleken aspecten, geen gekke dingen tussenstaan en denk dat Threema op dit moment (zo lang deze in handen is van de huidige eigenaren) een goed alternatief kan zijn voor bijv. Signal (donationware), maar Threema is dus niet gratis.

Zie https://threema.ch/en/messenger-comparison (bron: https://threema.ch/en/blog/posts/messenger-comparison-2021).

Met "Threema Web" kun je, na koppelen met de app op je smartphone, ook jouw webbrowser gebruiken (zelf heb ik dat nog niet gedaan). Desgewenst kun je daar jouw eigen server voor draaien, zie https://github.com/threema-ch/threema-web/blob/master/docs/self_hosting.md.

Disclaimer: ik heb niets te maken met het Zwitserse bedrijf Threema GmbH en schrijf dit op eigen initiatief. Wel ben ik een tevreden gebruiker en zou het handig vinden als meer mensen die ik ken deze app zouden gebruiken. Ook denk ik dat het verstandig is als we ons minder afhankelijk maken van ICT uit de Verdeelde Staten van Amerika.

Aaanvulling, iemand was mij net voor: zie ook https://www.security.nl/posting/685636/Signal%2C+WhatsApp%2C+Telegram+en+Threema+vergeleken.

Nitpick: je hoeft geen klant te zijn om gebruik te maken van je rechten onder de AVG. Die zijn gewoon van toepassing wanneer Facebook jou persoonsgegevens verwerkt, los van of je zelf een account hebt of niet.

Mijn idee is dat als je met anderen wil communiceren, een betaalde app nooit een oplossing is. Dus Telegram en Signal lijken mij het enige echte alternatieven.
Een betaalde app is leuk als je als bedrijf iets wil organiseren voor de medewerkers, maar niet voor 'gewoon volk' dat slechts wil appen.

Zelf heb ik Telegram en Signal al (veel) langer dan dat ik WA heb en gebruik ik WA alleen voor communicatie met mensen die ik niet met Telegram en Signal kan bereiken.

En hoe pak je dat in praktijk aan?

FB verwerkt "jouw" data en mijn telefoonnummer in jouw data (telefoonboek) kan ik niet laten verijwderen uit jouw data.

Erik,

Ik waardeer jouw bijdragen hier op het forum zeer en vraag me af waarom Trema en niet Signal?

Signal is een amerikaans bedrijf en via de CLOUD act kunnen de autoriteiten gegevens, wellicht ook berichten opvragen.

Je kan niemand dwingen om over te schakelen, gaat gewoon niet.

Maar wees zelf verstandig, want nu komt nog het moeilijkste: gebruik wat jij leukste vind (signal) of desnoods gebruik je niks als je inzit met privacy.

SMS kan ook nog.

Eerder schreef ik "ik gebruik Threema nu bijna 1 jaar ..." maar dat klopt niet zie ik nu: da's bijna 2 jaar. O.a. na het eerdere vertrek van Alex Stamos bij Facebook en de publicatie van Mark Zuckerberg begin 2019 waarin hij schrijft dat hij alles aan elkaar wil knopen en erbij liegt dat zijn bedrijf nu echt privacy-vriendelijk zal worden (https://www.facebook.com/notes/mark-zuckerberg/a-privacy-focused-vision-for-social-networking/10156700570096634/), heb ik WhatsApp verwijderd van mijn privé-smartphone.

De app Signal was één van de kandidaten, maar eerder had Moxie Marlinspark zijn bedrijf "Whisper Systems" aan Twitter verkocht (hij ging mee). Een paar jaar later vertrok hij bij Twitter en begon "Open Whisper Systems" en een samenwerking met WhatsApp. Later ging "Open Whisper Systems" over in de "Signal Foundation"; nogal wat onrust dus. Ik had op dat moment twijfels over de continuïteit van die stichting: weer een organisatie die het van donaties moet hebben. Daar kwam bij wat Anoniem 09:07 schreef: het is het zoveelste bedrijf in de USA met een regering die veiligheidsdiensten gedoogt die zich niet aan de wet houden. Niet dat ik mij zoveel zorgen maak over mijn eigen privacy t.o.v. betrouwbare veiligheids/opsporingsdiensten, maar die zijn niet altijd betrouwbaar, en in opdracht aangebrachte backdoors kunnen ook door criminelen worden misbruikt. Daarom steun ik (door zo'n product te gebruiken) die app liever niet.

Weet ik zeker dat dit bij een app uit Zwitserland allemaal veel beter is? Nee (niet zeker). Maar de beschikbare informatie over Threema sprak mij aan, zoals "Received URLs aren’t loaded automatically" en "External audit of data security and data privacy" in een vergelijking met WhatsApp (https://web.archive.org/web/20181115234642/https://threema.ch/press-files/content/the-threema-advantage_en.html, een latere versie daarvan is live in https://threema.ch/press-files/content/the-threema-advantage_en.html). Bovendien had ik een aantal lovende kritieken van derden gelezen. Alhoewel er nog geen sprake was van open source, leken de makers zeer serieus met privacy en security om te gaan. Last but not least wil ik best betalen voor goede software (en ook best meer dan ik nu heb gedaan voor deze app). Donationware kan al snel in de problemen komen (zoals we nu helaas zien bij Mozilla waar veel medewerkers zijn ontslagen).

Omdat niemand in de toekomst kan kijken is er natuurlijk altijd sprake van een gok. Gezien de huidige onrust in de VS zou ik ook nu weer voor Threema kiezen, ondanks dat de toekomst ervan onzeker kan zijn als zij (te?) klein blijven.

Jammer vind ik de vendor lock-in bij dit soort apps (dat Moxie het niet voor elkaar gekregen heeft dat bijv. Signal met WhatsApp kan communiceren vind ik opmerkelijk, los van de vraag of ik met ern WhatsApp gebruiker zou willen appen). Een onafhankelijke gemeenschappelijke internet-standaard voor authenticated, encrypted en integrity-checked messaging heeft natuurlijk mijn voorkeur (mede ter vervanging van het hopeloos verouderde en unfixable e-mail).

@Erik,

Dank voor je bijdrage, samengevat: De twijfels over de continuiteit van Signal en het dataverzamelen door FB/WA zijn de belangrijkste redenen, daarnaast voor een kleinder deel de USA wetgeving die geldt voor Signal.

Helder.

Ik gebruik al jaren Signal na eerst Telegram gebruikt te hebben, de overstap van Telegram naar Signal was ingegeven doordat in die tijd de encryptie van Telegram wat onder vuur kwam te liggen. Maar de grootste beweegreden om nooit WA gebruikt te hebben is in de eerste instantie het gebrek aan encryptie en later de fusie tussen FB en WA waardoor data verzamelen mijn grootste bezwaar is geworden.

Signal heeft inmiddels flink wat bekendheid en ik zie steeds meer mensen op Signal komen Threema is nagenoeg onbekend bij de meesten mensen vandaar dat ik op Signal ben blijven hangen.

Tenzij je zo dom bent dat je telefoonnummer in te vullen op je profielpagina hebben ze die koppeling niet zo eenvoudig.

Je kunt een paar dingen vrij eenvoudig voorkomen, gebruik Whatsapp op je telefoon en facebook op ene computer.
Installeer de FB app niet op je telefoon en de WA app niet op je computer.

Beter is beide niet gebruiken natuurlijk. ;)

Overstappen klinkt leuk maar met wie heb je dan contact?
Het werkt alleen wanneer je (virtuele) vrienden ook overstappen.

Over WhatsApp,Telegram, Signal is op deze site al veel geschreven, zie de links in onderstaande artikelen
https://www.security.nl/posting/640765/VN+verbiedt+gebruik+WhatsApp+door+hoge+functionarissen
https://www.security.nl/posting/640883/Elite-eenheid+VS+vraagt+militairen+om+Signal+te+gebruiken
https://www.security.nl/posting/645393/Europese+Commissie+kiest+Signal+als+aanbevolen+chat-app

Dus deze aanvulling over Threema is nuttig.

Twijfel twee jaar geleden, dat is logisch. Maar nu nog steeds? Signal heeft de steun van bijvoorbeeld Edward Snowden, Mark Shuttleworth (van Canonical), en nu ook Elon Musk (van o.a. Tesla, de rijkste man van de wereld met een miljarden vermogen).
https://www.signal.org/
https://nerdschalk.com/how-does-signal-make-money/

Hoe zou je een backdoor ongezien kunnen toevoegen aan open source software? volgens onderstaand overzicht zijn Signal en Threema beide open source.
https://en.wikipedia.org/wiki/Comparison_of_cross-platform_instant_messaging_clients

Threema staat niet in onderstaand overzicht (of ik kijk er overheen):
https://en.wikipedia.org/wiki/Comparison_of_instant_messaging_protocols

Ik zie in de genoemde artikelen weinig verschil tussen Threema en Signal, behalve dat Threema een betaalde app is.

Maar kennelijk is Threema toch (nog) niet volledig open source?? Tot die tijd moet je vertrouwen op de blauwe ogen van de closed-source developers.
https://www.zdnet.com/article/threema-e2ee-chat-app-to-go-fully-open-source-within-months/
Ook volgens dit overzicht is Threema niet open source:
https://www.eff.org/pages/secure-messaging-scorecard
Daarbij gaat het om client, API, serversoftware, gebruikte protocollen, backups, e.a.

Wat je eigenlijk zou willen is een actuele en onderbouwde vergelijking (met groene V en rode X) tussen niet alleen Threema en WhatsApp, maar ook in vergelijking met Signal en andere (open source) toepassingen. Dus een uitbreiding en actualisering van de genoemde overzichten. Hopelijk draagt deze draad daar ook aan bij.

En welk E2EE encryptie protocol is beter, het protocol van Threema of Signal? Waar en hoe wordt de sleutel gegenereerd en bewaard ?
Auguste Kerckhoffs zei het al: een systeem mag bekend zijn bij de vijand, de sleutel nooit.
https://nl.wikipedia.org/wiki/Auguste_Kerckhoffs

Welke kritieken, welke derden? Dit overtuigt mij zo niet. En heb je ook de opmerkingen van Edward Snowdon meegewogen?

Maar je moet makers van closed source software (niet altijd) geloven op hun blauwe ogen. Een "Gag order" van een instantie met drie letters heeft globaal de volgende inhoud: 1. bouw een backdoor in en 2. op communicatie over deze backdoor staat een hoge straf.

Betalen voor Signal mag ook (maar is niet verplicht). Dus daar zit het verschil ook niet in. Als "grote namen" een app steunen met miljoenen, en als de massa een app gaat gebruiken wordt daarmee de toekomst van een app bepaald. Versneld door het afgenomen vertrouwen in de markleider WhatsApp.
https://www.signal.org/donate/

Tja, dat is net het probleem dat het allemaal zo moeilijk gaat om over te stappen.

Ja maar de mensen die er hier over praten die hebben dat probleem niet...
Daarom zie je deze discussie ook alleen maar op dit soort forums en niet in de maatschappij als geheel.

Dan moet de sourcecode wel deskundig geaudit worden en de gecompileerde binary moet gelijk zijn aan de gedistribueerde binaries. Is best nog een dingetje.

Wél als ik erbij ben ... ;-)

Zelfs als je een backdoor aan de sources zou toevoegen die je publiceert, is het nog maar de vraag of deze ontdekt wordt. De kans dat iemand gaat zoeken naar een backdoor die wel in (selectief) verspreide binaries zit, maar niet in de gepubliceerde sources, zou wel eens kleiner kunnen zijn juist als software open source is. In https://threema.ch/en/open-source claimt Threema in elk geval voor Android "Reproducible Builds" maar die heb ik nooit getest.

Ik herinner me dat in 2014 een collega de (open source) FileZilla client had gedownload vanaf SourceForge en geïnstalleerd, waar gebundelde spyware in bleek te zitten (die natuurlijk niet in de sources terug te vinden was).

In elk geval ik compileer niet zelf elke app-update uit de beschikbare sources. Daar komt bij dat mijn iPhone en Android smartphone (groten-) deels close source zijn, qua privacy reken ik mij sowieso niet erg rijk met deze apparaten. Linksom of rechtsom bestaat het leven uit het nemen van risico's. Het beste dat ik kan doen is die zo goed als ik kan inschatten, waar mogelijk elimineren of mitigeren en anders accepteren.

Geen idee waarom Threema daar niet genoemd wordt, mogelijk omdat Threema pas sinds kort open source is. Het protocol (inclusief encryptie) wordt uitgebreid beschreven in het "Cryptography Whitepaper" dat je bovenaan de hierboven door mij genoemde pagina kunt downloaden (destijds heb ik waarschijnlijk gekeken naar de versie die je onderaan https://web.archive.org/web/20181230064428/https://threema.ch/en/faq/why_secure kunt downloaden).

Een (mogelijk voor sommigen) belangrijk verschil is dat Threema totaal onafhankelijk is van telefoonnummers. Op de Threema server(s) zijn, als ik het goed begrijp, uitsluitend jouw public key en een identifier te vinden. Daar moet ik bij zeggen dat ik niet weet hoe mijn smartphone via Google push-notificaties krijgt bij nieuwe berichten.

Zie mijn bijdrage gisteren 12:22 voor een vergelijking gemaakt door de makers van Threema. Of Google naar Threema comparison voor andere vergelijkingen, daarmee vond ik zojuist deze: https://www.securemessagingapps.com/.

Als de mensen achter Threema niet liegen (en dat lijkt mij na meer dan 1 externe audit onwaarschijnlijk) wordt het asymmetrische sleutelpaar op het device gegenereerd. De uitleg waarom er geen forward secrecy is op de E2EE verbinding (maar wel op de transportlaag) vind ik overtuigend; het "Cryptography Whitepaper" is zeker geen zwamverhaal met snake oil als "military grade encryption" om vervolgens AES in ECB mode te gebruiken (Google: aes ecb penguin), het ziet er gewoon goed doordacht uit (maar ik heb zeker niet elke letter op een goudweegschaaltje gelegd).

Ik heb respect voor Edward Snowden, maar hij is niet automatisch overal expert in. Ik heb niet meer alle links paraat uit die tijd (en die zijn nu ook niet meer zo relevant, ontwikkelingen hebben immers niet stilgestaan), maar kort nadat ik ermee ging spelen verscheen er een Duits auditrapport (https://www.heise.de/security/meldung/Messenger-Threema-uebersteht-Sicherheitspruefung-fast-ohne-Vorkommnisse-4357878.html). Links naar tevens een latere audit vind je in https://threema.ch/en/faq/code_audit.

Klopt, maar ik heb ietsje (niet cynisch bedoeld) meer vertouwen in Zwitserland dan in de USA. En bovendien denk ik niet dat ik "gezocht" word.

Ik verwacht niet dat veel WhatsApp-gebruikers die app blijvend de rug toe zullen keren (tenzij deze irritante reclames gaat geven of betaald wordt); veel van hen hebben sowieso een Facebook account en zijn ervan overtuigd dat ze niks te verbergen hebben. Donationware vs. betaalde software heb ik in mijn vorige bijdrage al toegelicht.

Die redenatie heb ik nooit begrepen, je hebt die mensen hun telefoonnummer toch al.

Leuke verglijkende data verzamel tabel:
https://www.forbes.com/sites/zakdoffman/2021/01/03/whatsapp-beaten-by-apples-new-imessage-update-for-iphone-users/?sh=51c5085a3623

Op de website van Threema is gepubliceerd hoe een build te reproduceren (reproducible builds).
https://threema.ch/en/open-source/reproducible-builds

Nou en hier voor is de mijn werkgever gekozen en dient op je telefoon aanwezig te zijn dit wordt geregeld door de IT afdeling. Dat is gewoon beleid. Overigens werkt de overheid er ook mee, (belastings Dienst enz)

Off topic:
Ik denk niet dat er geld is voor een vaag duur programmaatje dat niemand gebruikt.
Zeker niet in deze tijd waar er op van alles bezuinigd moet worden

Dat dacht ik eerst ook, maar dat is kennelijk niet (meer) zo.
Voor zover ik begrepen heb wordt niet je adresboek naar WhatsApp gestuurd maar alleen hashes van de telefoonnummers.
Pas iemand die in jouw adresboek staat OOK bij WhatsApp aanmeldt herkent men dat dit dezelfde persoon is (dezelfde
hash) en dan pas wordt het telefoonnummer van die persoon aan jouw contactenlijst toegevoegd.
Het is dus niet zo dat er een complete lijst van jouw contacten (met telefoonnummer en andere gegevens die jij in
je adresboek gezet hebt) naar WhatsApp gestuurd wordt.

Uiteraard kan WhatsApp simpel een rainbowtable maken van alle mogelijke telefoonnummers en hun hash, maar als
ze dat zouden doen en daar gebruik van maken dan hebben ze natuurlijk wel kans op een aanvaring met allerlei
autoriteiten.

.

Finding the Location of Telegram Users
https://www.schneier.com/blog/archives/2021/01/finding-the-location-of-telegram-users.html

Dank voor de uitgebreide reactie!
Dit overzicht "Secure Messaging Apps Comparison" is exact wat ik bedoel. Ik kende dit overzicht niet. Maar ik ga het zeker uitgebreid bestuderen, ook de blog van Mark Williams is interessant leesvoer.
Opvallend vind ik bij zowel Signal als Threema het roodgekleurd vakje met "Yes" in rij 19:
.. "Directory service could be modified to enable a MITM attack?"..
Dat lijkt mij een serieuze kwetsbaarheid?

Maar het is zoals de samensteller Mark Williams ook stelt "security is difficult" :-))
Dit kost wel even tijd om het allemaal te lezen en te verwerken.

Mark Williams zet Signal op 1 en Threema op 2, jij hebt een voorkeur voor Threema op basis van valide argumenten.
Ik gebruik zelf al jaren Signal, maar blijf alert op security aspecten. Wij zouden schrikken van een bericht "Signal of Threema gekraakt". Een geslaagde MITM kan in een (lees 1) klap het vertrouwen teniet doen.
Deze discussie is leuk, het maakt security.nl lezenswaardig. Wordt vervolgd.

Anoniem van 13 jan 2021 16:23

Uit https://autoriteitpersoonsgegevens.nl/nl/nieuws/cbp-niet-gebruikers-whatsapp-beter-beschermd:
Het is niet anonimiseren dat hier bedoeld wordt, maar pseudonimiseren - en dat kan niet met telefoonnummers van 10 cijfers, en al helemaal niet als de eerste twee cijfers 06 zijn. Reden: 100.000.000 mogelijkheden is een lachertje voor computers. Zelfs zonder rainbow table heb je gemiddeld 50.000.000 pogingen nodig om uit een hash het origineel te herleiden.

In theorie zou WhatsApp gebruik kunnen maken van Argon2 met zware parameters, maar niemand eist dat en het kost ze, elke keer als ze een telefoonnummer in een afgeleide moeten omzetten, energie en tijd. Ik gok dat ze gewoon MD5, SHA-1 of SHA256 gebruiken voor het hashen van telefoonnummers. Daarnaast blinken dit soort bedrijven uit in het "per ongeluk" hebben gedeeld van gegevens met onbedoelde partijen zodra dat uitlekt. Het is hun inkomstenmodel, weldenkende mensen weten dat privacy een illusie is als je verder nergens voor betaalt.

M.b.t. commercieel gebruik voldoet WhatsApp gewoonweg niet aan de AVG, en al helemaal niet sinds PrivacyShield ongeldig is verklaard (zie ook https://www.privacyzone.nl/whatsapp-mag-van-duitse-toezichthouder-niet-gebruikt-worden-voldoet-niet-aan-avg/ van net vóór Schrems II en van daarna, meer algemeen: https://blog.iusmentis.com/2020/07/17/oke-zullen-we-gewoon-stoppen-met-de-us-cloud-want-ik-wil-niet-steeds-uitspraken-van-60-paginas-samenvatten-tot-stop-nou-eens-met-de-us-cloud/).

Uit https://support.signal.org/hc/en-us/articles/360007061452-Does-Signal-send-my-number-to-my-contacts-:
Dat laatste kun je alleen hopen. Los daarvan gaat het om informatie waar niemand van kan garanderen dat deze onomkeerbaar is. IANAL, maar zakelijk gebruik van zelfs Signal lijkt mij, gegeven de ongeldig verklaarde Privacy Shield deal, in strijd met de AVG.

Waarom ga je nou weer zitten uitdiepen wat ik er meteen al bij verteld had?
Sommige posters hier blinken uit in het zien van beren op iedere weg en het uitgebreid etaleren dat ze precies weten
dat de hele wereld kapot is. Maar wat hebben we daaraan? Is dat ook een verdienmodel?

Jij hebt het over "hashes van telefoonnummers", waardoor de gemiddelde lezer dan misschien denkt dat dat wel "secure" zal zijn. Erik van Straten brengt een verdiepingsslag aan, zodat diezelfde gemiddelde lezer misschien weer iets geleerd heeft, en daardoor iets genuanceerder jouw bijdrage kan (her)lezen.

We zijn in deze draad op zoek naar de sterke(re) en zwakke(re) eigenschappen van diverse "Secure Messaging Apps". Hoe meer groene vinkjes (of hoeveel minder rode kruisjes) een bepaalde app scoort, hoe groter de security, en daarmee het vertrouwen in die app. Maar als jij wel tevreden bent met WhatsApp kan je deze draad ook overslaan.

Hoe bedoel je dit? Wat is het verdienmodel van onderwijs en kennis vergaren? Sommige mensen vinden het misschien alleen maar gewoon leuk om over security gerelateerde onderwerpen te lezen. Zonder eurotekens (of dollartekens a la Trump) erachter te plakken.

In gewone economische platte verdienmodellen heeft vertrouwen niet direct een prijskaartje, daar zijn deze modellen meestal te simpel voor. Trump kon zo met honderden miljoenen geleende dollars (van o.a. de Deutsche Bank) een steeds stijgende waarde van zijn vastgoedportefeuille opbouwen. Met onder andere de Trump Tower bijvoorbeeld. Maar zodra het vertrouwen geschaad wordt (Trump-Tower Of Lies) is de waarde van het vastgoed ineens veel minder. De Deutsche Bank verlengt deze leningen nu niet meer.

Dus in die zin heeft vertrouwen wel degelijk een prijskaartje.

Anoniem van 13 jan 2021 16:23

In aanvulling op wat Anoniem 14:05 schrijft: ik sloeg aan op "Voor zover ik begrepen heb ..."; ik wilde zelf weten hoe dit zit/zat en het leek mij interessant voor lezers van deze draad om een link naar overheidsdocumentatie hierover te delen (nadat ik deze info gevonden had).

Anoniem van 10:11 merkt terecht op dat hij/zij eerder het gebruik van rainbowtables had genoemd, maar ik vond het zinvol om die informatie aan te vullen ("uitdiepen" zo je wilt) met dat de entropie van 06-nummers zó laag is dat je zo'n tabel niet eens nodig hebt. Dat vond ik zeker ook relevant omdat kennelijk ook Signal hashes van 06-nummers ergens in de cloud (vermoedelijk servers in de USA) verwerkt, en daarmee (in elk geval bij zakelijk gebruik) de AVG overtreedt. Sowieso leek mij deze aanvulling over Signal concreet bij te dragen aan de onderhavige discussie.

Overigens leidt het uploaden van adresboekgegevens niet alleen tot privacy-risico's, maar ook tot zakelijke. Het zal niet heel moeilijk zijn om, met toegang tot dit soort gegevens, te achterhalen welke business met welke business communiceert; voor concurrenten kan dit interesant zijn waardoor deze informatie geld waard is (en zodra informatie geld waard is, zijn er altijd kapers op de kust). Daarnaast, weten wie deelneemt aan zakelijke discussiegroepen is ook interressant voor kwaadwillenden die zo op zoek kunnen naar dat soort groepen en kunnen proberen daarin te infiltreren en/of individuele deelnemers daaraan onder valse voorwendselen proberen te benaderen.

Ten slotte is het zien van beren op de weg de taak van elke securityprofessional die diens werk serieus neemt. Sterker, ik neig er steeds meer naar om niet te spreken van minimaal noodzakelijke "security awareness" voor iedereen die met ICT te maken heeft, maar van "security risk awareness".

In elk geval securityprofessionals zullen overzicht moeten hebben op alle (dat kan niet, dus redelijkerwijs zoveel mogelijk) securityrisico's om aan mensen die daar -terecht- veel minder tijd aan besteden, uit te kunnen leggen wat de grootste risico's zijn waar zij (met de grootste kansen) mee te maken kunnen krijgen, en wat zij kunnen doen om die risico's te verkleinen.

Voor mensen die ook waarde hechten aan decentralisatie / p2p:

Jami en Tox

Whatsapp heeft nu de aanpassing van zijn gebruikersvoorwaarden verplaats naar 15 mei in plaats van 8 februari. Ik zelf heb whatsapp al verwijderd weg ermee !

Wanneer begint iemand met een bitcoin over eens een reklamecampagne op de socialmedias... een tip. Alles begint bij bewustwording.

Een spreker of gast in een tv show die Signal meldt heeft ook veel invloed. Toch gebeurt dit nooit en houdt iedereen zich keurig aan het script ook al is dit niet in het publiek belang.

Ongezien kan niet, maar moeilijk te vinden wel. Een paar jaar geleden zat er in de Apple software een bug doordat er geen afsluitende semicolon in een else statement gebruikt werd. Daardoor werd de volgende regel niet meer gezien als onderdeel van het else statement. De software deed dus heel iets anders dan iemand dacht die vlot door de code liep.
Daarom is het netjes programmeren en overvloedig gebruik van haakjes, ook waar het strikt genomen niet nodig is, zo belangrijk voor veilige code.

Door selectief zo'n moeilijk te ontdekken fout in te bouwen, kun je een bufferoverflow creëren waardoor je b.v. toch een bruteforce aanval kunt uitvoeren. Zo'n backdoor hoeft dus niet een heel expliciete code te zijn die eigen verborgen account toevoegt.

Alles wat gratis is maakt van de gebruiker het product.
Dat wordt al heel lang gezegd en herhaald tot in den treure.
Maar weet dat al die grote datapatsers, je kent ze wel, groot en machtig geworden zijn met jawel 'gratis'
Ik wil wel iets betalen voor een betrouwbaar product.
Maar zoveel keus is er nog niet hoor.
Maar er is iets toch iets aan het veranderen, aan de online-horizon, er is toch ook al die Threema boodschappendienst.
En ze huizen in Europa (Zwitserland) dat is toch ook een pluspunt.
Ze vragen een luttele 1,79 euro om te downloaden.
https://www.iculture.nl/apps/threema-het-echt-veilige-whatsapp-alternatief/
https://tweakers.net/nieuws/175102/versleutelde-chat-app-threema-krijgt-positief-resultaat-tijdens-codebase-audit.html
Die zou ik toch eens uitproberen, lijkt de moeite, het geeft nu toch een naar gevoel die andere vermelde en alom gebruikte.
Natuurlijk, alle begin is soms beetje moeilijk, we zien wel.

Er zijn legio methoden om ongezien een backdoor toe te voegen.

Wat je hier als argument geeft is dat het an-sich lastig kan zijn om secure code te schrijven. Een regressie test kan dergelijke fouten wel detecteren, maar dan moet je wel weten hoe je een goede regressie test schrijft.

"Ik kan de AVG niet uitoefenen bij Facebook, ik ben geen klant van ze ook nooit geweest maar ze verzamelen wél data van en over mij."

Ze verwerken je persoonsgegevens, hierdoor is de AVG van toepassing.

Facebook & GDPR/AVG
https://nl-nl.facebook.com/business/gdpr

Daar staat alleen nergens vermeld hoe ik mijn data kan opvragen. Waar ik volgens de AVG recht op heb.
Of leg ons anders uit wat jij bedoelt met dit linkje.

Nogmaals de vraag hoe kan ik mijn data opvragen bij Facebook van mijn schaduw-profiel? Oftewel hoe kom ik überhaupt in contact met Facebook, nergens hebben ze hier een mogelijkheid toe.

Waarom komt Facebook hiermee weg in Nederland? Waarom grijpt de AP niet in?

Je zult eerst Facebook moeten contacteren via datarequests@support.facebook.com en daarna klagen bij de Ierse DPA als je er na maanden van over en weer balletje rollen niets uitkomt.

Maar je komt er nergens mee het is zonde van je tijd de DPA doet niks met individuele klachten het zelfde geldt voor onze eigen AP. Wr moeten soortgelijken klachten zijn van significante grote met aanzienlijk gedetaileerd wat er speelt en dan is het nog steeds aan de DPA dat bepaald of het ergens aandacht aan besteed.

Hieronder iemand die maanden erin gestoken had in 2019 en nog steeds niet heeft ontvangen van Facebook wat die vroeg.
https://ruben.verborgh.org/facebook/

De enige manier dat je kans maakt om je data in volledigheid te ontvangen is een rechtzaak starten na het ellenlange correspondentie spelletje. Heb je paar miljoen er voor over en dat Facebook een kopie heeft van je Paspoort ID kaart?

Blijft het feit dat ze je persoonsgegevens verwerken, en dat dus de AVG van toepassing is.

Mail datarequests@support.facebook.com

Het is hier niet de helpdesk van FB, dergelijke informatie kan je via Google binnen 5 sec boven water krijgen.

Zoekopdracht ''request personal data facebook''.

En hoe bewijs je dat jij degene bent die wil weten welke data Facebook van "jou" heeft? Kopietje paspoort meesturen?
En hoe krijg je alle foto's van jou daar weg die daar door familie, vrienden, collega's, onderwijzend personeel of willekeurige mensen op straat zijn geplaatst?
En hoe gaat Facebook voortaan voorkomen dat zij geen data van jou mag opslaan als zij geen data van jou mag opslaan?
En hoe kom je erachter dat Facebook eerlijk is? (Privacy Shield is ongeldig verklaard).
En welke (juridische?) stappen denk je dat enige kans van slagen hebben mocht je erachter komen dat Facebook (soms) de boel belazert?

Op dit punt zijn de AVG/GDPR totaal onwerkbaar in de praktijk. Opt out kan niet werken.

Overigens zou ik, als ik nog WhatsApp zou gebruiken, zeker niet overstappen op Telegram.

In https://www.heise.de/hintergrund/Telegram-Chat-der-sichere-Datenschutz-Albtraum-eine-Analyse-und-ein-Kommentar-4965774.html?seite=all (Duitstalig) legt Jürgen Schmidt uit waarom dat een slecht idee is.

Kort samengevat:
1) In elk geval als je een URL intikt in Telegram is, voordat je op Enter drukt, die URL al naar een server van Telegram gestuurd (dit betekent dat, in elk geval als je een URL intikt, elke toetsaanslag naar Telegram wordt gestuurd). Het bewijs daarvoor is dat die Telegram server, zodra deze een geldige domeinnaam herkent, gegevens van de betreffende webserver ophaalt en toont.

2) Standaard worden alle (in elk geval alle onversleutelde) chats onversleuteld op servers van Telegram opgeslagen. Dat toonde Jürgen aan door zijn smartphone op vliegtuigmodus te zetten en vervolgens met een webbrowser op zijn PC zijn Telegram chats te bekijken. Bij WhatsApp kan dit alleen als de PC (via een WhatsApp server) chatdata van jouw smartphone kan ophalen (je krijgt een foutmelding als jouw smartphone op dat moment in vliegtuigmodus staat). Volgens Jürgen is de data die via die server wordt uitgewisseld versleuteld: alleen jouw app en webapp zouden over de sleutel beschikken. Aanvulling van mij: daarbij moet je erop vertrouwen dat die sleutel, noch door de app en noch door de webapp, naar WhatsApp/Facebook servers wordt gestuurd (of naar een third-party webserver die middels JavaScript meekijkt in de webapplicatie, en die naast eventuele sleutels, ook de chats onversleuteld "voorbij ziet komen").

Aanvulling: in een van de vele kommentaren (https://www.heise.de/forum/heise-online/Kommentare/Telegram-Chat-der-sichere-Datenschutz-Albtraum-eine-Analyse-und-ein-Kommentar/andere-haben-sich-die-Muehe-gemacht/posting-37905693/show/) onder dit artikel lees ik dat Telegram- Support zou stellen dat chats wel versleuteld op hun servers verdeeld over meerdere datacentra worden opgeslagen, waarbij de sleutels daarvoor in meerdere stukken zijn opgesplitst en nooit samen met de versleutelde chats worden opgeslagen. Aanvulling van mij: vreemde oplossing. Ik ben benieuwd waar die sleutel-delen samenkomen en die chats ontsleuteld worden als je ze in een browser bekijkt.

Telegram vertrouw ik niet. Gelukkig spreekt niemand hier over Discord. Dat is echt een honeypot.

Telkens wanneer ik daar inlog op een nieuwe server in een nieuwe community duurt het niet lang voordat een paar lui beginnen over gaslight (de energie leverancier keuzewaaier).

Facebook en Google zijn opgezet met geld uit de pot van jeweetwel. Hoe weet ik of al die kleine succesvolle opensource projectjes geen crypto steun krijgen. Al dan niet in de vorm van lichte dwang.

Ciske de Uil

Bedankt voor het verhelderen van mijn punt.

Uiteraard ga ik in praktijk niet echt mijn data opvragen bij Facebook, zou gek zijn om ze meer data te geven dan dat ze waarschijnlijk al hebben. Wat dan volgens de AVG weer helemaal niet mag; vragen naar data die niet relevant is.

Eindelijk een link gevonden waar je je data bij Facebook kunt opvragen zonder account (via https://www.postplanner.com/how-to-contact-facebook-to-get-support/).

https://i.ibb.co/JtWh2J3/fbz.png
Alleen word je dus verplicht (dat invoerveld is dus verplicht) om jouw mailadres of telefoonnummer op te geven van jouw Facebookaccount terwijl ik juist data op wil vragen van mijn gegevens zonder account (schaduw-profiel), omdat ik helemaal geen Facebookaccount bezit.
Zal mogelijk aan mij liggen dat ik dat best gek vind.


Bedankt voor de belediging. Denkende dat ik Google als zoekmachine gebruik.

Het probleem is natuurlijk dat Facebook van mensen die meerdere computers gebruiken (of meerdere mensen die dezelfde computer om en om gebruiken) waarschijnlijk meerdere schaduwprofielen heeft, waarvan ze niet zeker weten dat dit een en dezelfde persoon is.
Pas als je een Facebook account aanmaakt en dat vanaf je verschillende devices gaat bezoeken weet Facebook dat dit allemaal dezelfde persoon was en kan men al die informatie aan elkaar koppelen.
Dus als je AL je persoonlijke info wilt opvragen en eventueel laten verwijderen zul je toch eerst een account moeten maken.
Anders wordt het heel lastig om op te geven "deze schaduwprofielen waren van mij".

Leuk dat iedereen roept Signal te gebruiken, maar iedereen die ik ken gebruikt WhatsApp.
En Signal werkt alleen met Google Play / Google Play Services. WhatsApp kun je zonder de Google Play Store downloaden.

De woordjes "volgens mij" zouden je reactie goed hebben gedaan.
1. Hier Signal zonder Play Store: https://signal.org/android/apk/
2. Ik heb jaren Signal gebruikt op een Blackberry OS 10, daar zit/zat geen Google Play Services op.

Inmiddels ben ik overgestapt naar iPhone, dus ik weet niet zeker of het nog steeds werkt zonder Google Play Services, maar ik zou niet weten waarom ze daarvan terug gekomen zouden zijn. Het was tenslotte een bewuste keuze.

Bekijk het zelf: https://duckduckgo.com/?q=signal+Google+Play+Services