Tips hoe je Big Brother (deels) kunt omzeilen

ACHTERGROND - Op 6 juli 2013 publiceerde de Britse krant The Guardian het eerste interview met Edward Snowden, tot dat moment systeembeheerder voor het Amerikaanse National Security Agency. Snowden kreeg door zijn werkzaamheden een gedetailleerd beeld van de mate waarin de NSA een wereldwijde Big Brother-staat in het inrichten was. Vrijwel alle elektronische communicatie wereldwijd werd realtime getapt, telefoons, laptops en servers werden gekraakt en softwarebedrijven werden gedwongen hun systemen met lekken op te leveren om dit mogelijk te maken.

Vermoedens van dergelijke activiteiten door onder meer Amerikaanse veiligheidsdiensten bestonden al decennia (zie dit artikel uit 1999) maar de schaal van de onthullingen die  Snowden naar buiten brengt doet zelfs de meest paranoia-experts de rillingen over de rug lopen. Een korte opsomming en wat je er als burger aan kan doen.

Belgacom en Brazilië

De NSA en haar partners (onder andere het Britse GCHQ) tappen telefooncentrales en onderzeese glasvezelkabels af, ook in andere landen. Recentelijk is gebleken dat de telefooncentrales van Belgacom (de Belgische KPN) volledig gekraakt waren door experts van GCHQ (mogelijk met Amerikaanse hulp). Dit stelde GCHQ in staat al het telefonie- en dataverkeer te volgen en gericht af te luisteren. In Brazilië werden deze technieken ingezet tegen de nationale oliemaatschappij, het Braziliaanse Parlement en zelfs de persoonlijke communicatie van de Braziliaanse presidente. Die zegde meteen een staatsdiner met Obama af uit woede over deze schending van diplomatieke normen. Voorlopig moeten wij als eindgebruikers alle grote infrastructuren als onveilig beschouwen. Onversleutelde e-mails en telefoongesprekken kunnen worden afgeluisterd en dat wordt geautomatiseerd gedaan op onvoorstelbare schaal.

Alle grote sociale media platformen en diensten als Gmail worden realtime op de server van die bedrijven afgetapt. Het maakt dus niet uit of je in Facebook je privacy-instellingen op maximaal zet. De NSA kijkt direct in de Facebookdatabase onder de motorkap toch mee en kan overal bij. Dit betekent bijvoorbeeld dat het aantal seconden dat jij met je muis over een profielfoto in Facebook blijft hangen (zal je klikken of niet?) bekend is bij de NSA als men daar interesse in heeft. De NSA weet dus welke oude of nieuwe vlam jij nauwelijks bewust aan het volgen bent. Alle mail die je via een dienst al Gmail verstuurt, wordt bewaard (ook al verwijder jij de mail uit je mailbox) en gebruikt om een gedetailleerd beeld op te bouwen met wie je in gesprek bent, waarover, vanaf welke locatie en welk apparaat je daarvoor gebruikt.

Minder op sociale media

Sociale media zo min mogelijk of in ieder geval bewust (wetende dat je geen enkele privacy hebt) gebruiken is voorlopig het enige wat je zelf kan doen. Voor een emaildienst als Gmail bestaan wel heel veel alternatieven, die kosten soms een beetje geld (paar euro per maand) or iets meer moeite om te gebruiken. Daarnaast zijn er goed werkende technieken om je e-mails te versleutelen zodat deze onleesbaar zijn bij onderschepping tussen zender en ontvanger. Probleem met deze technieken is vooralsnog dat het wat moeite kost (een of twee uurtjes) het aan de praat te krijgen en dat de ontvanger ook deze techniek moet gebruiken. Een van de zaken die door Snowden worden bevestigd is dat de NSA correct gebruikte mail-encryptie nog niet kan kraken. De beperking van email-encryptie is dat dit alleen de inhoud van het bericht beschermt, niet wie er berichten uitwisselen, op welk moment en vanaf welke plaats. Hou dus rekening met die beperking als je dit toepast.

Anoniem(er) surfen

Om minder informatie over je surfgedrag weg te geven zijn er uitbreidingen op webbrowsers als Firefox zoals ‘Ghostery’ die het lastiger maken voor allerlei bedrijven jou uniek te identificeren en te volgen. Om nog anoniemer te zijn kan je voor spannende zaken surfen met de TOR-browser. Deze dienst stuurt je verkeer via drie andere servers over de hele wereld voordat je verbinding maakt met de website die je echt wilt bezoeken. Daardoor is het enorm veel lastiger je surfgedrag te volgen. Dergelijke anonimiteit is niet perfect en valt om zodra je gaat inloggen op een online dienst met je echte naam. Maar zolang je TOR goed gebruikt is het niet eenvoudig je te volgen en voor de NSA is TOR echt een hoofdpijndossier, zoals bleek uit recente interne documenten.

Daarnaast is het mogelijk bestanden of zelfs je hele harde schijf te versleutelen zodat verlies, diefstal of in beslagname van opslagmedia of je hele laptop niet meteen al je gegevens in handen van anderen laat vallen. Truecrypt is een krachtig stuk software hiervoor, dat in tegenstelling tot producten als Microsoft Bitlocker en Apple FileVault geen door NSA ingebouwde achterdeuren lijkt te hebben. Ook deze methoden zijn door Snowden bevestigd als ‘NSA-proof’, mits correct toegepast.

Kraken

De meest gebruikte methode om effectief gebruikte encryptie te omzeilen is het kraken van de computer van de eindgebruiker. De NSA is al zeker vijftien jaar actief bezig om toegang tot individuele systemen zo eenvoudig mogelijk te maken. De meeste bekende systemen zoals Windows, Android, MacOSX en iOS hebben ingebouwde achterdeuren of zwakheden die door de NSA gebruikt worden om individuele computers (een smartphone is ook een computer) te kraken om effectieve methoden als mailencryptie te omzeilen. Ook aan systemen als Linux (die vooralsnog als minder onveilig worden gezien) wordt gepoogd om zwakheden te introduceren. Dit onder meer door NSA-medewerkers actief deel te laten nemen aan de ontwikkeling van de software en communicatiestandaarden. Enkele malen zijn dergelijke pogingen in het verleden gedetecteerd door andere ontwikkelaars en gecorrigeerd door de wereldwijde gemeenschap van programmeurs. Hoeveel pogingen niet gedetecteerd zijn, is enorm lastig met zekerheid te zeggen. Door de enorme complexiteit van vrijwel alle moderne besturingssystemen kan geen mens meer alles overzien.

Het kraken van individuele systemen wordt in hoge mate geautomatiseerd, waardoor de NSA met beperkte menskracht toch miljoenen ‘targets’ aankan. Om deze automatisering mogelijk te maken werkt de NSA samen met bedrijven als Microsoft en Apple die lekken in hun systeem eerst aan de NSA moeten melden en pas (veel) later aan hun klanten.

Dit laatste probleem is het meest lastige om als eindgebruiker iets aan te doen omdat het gaan gebruiken van een heel nieuw besturingssysteem veel kennis en tijd kost, nog afgezien van het feit dat de meeste professionele gebruikers, scholieren of studenten vaak helemaal niet zelf mogen kiezen.

Voor serieuze journalisten en anderen die wel bereid zijn extra moeite te doen is er TAILS. Dit is een zeer zwaar beveiligd en minimalistische opgezet systeem dat helemaal werkt vanaf een USB-stick. Goedkoop en eenvoudig om altijd bij je te dragen.

Hier een een overzicht van tips, trucs en tools voor iedereen die hier mee aan de slag wil. Hier een video van een workshop voor onderzoeksjournalisten afgelopen juli.

  1. 1

    Ongelooflijk. Werden al die moeite en kosten maar gemaakt om een normale gezondheidsverzekering voor alle Amerikanen op te richten. Kennelijk is “veiligheid” voor Amerikaanse burgers belangrijker dan gezondheid.

  2. 5

    @4: Een beetje terzijde, maar dit doet me denken aan het volgende.

    Een paar jaar na de inval in Irak las ik ergens een discussie over de rechtvaardiging daarvan. Een Amerikaantje die nog steeds niet wilde geloven dat hij was beduveld redeneerde ongeveer als volgt: als het “ons” om de olie ging, waarom is de benzine en de petroleum dan nog steeds zo duur, we zouden als burgers toch iets moeten merken van die gratis olie?

    Dick Cheney en zijn olievriendjes liggen in een deuk om zo’n nuttige idioot.

  3. 6

    @5: Tja, inderdaad. En in Nederland zijn de mensen die toen beweerden dat Irak werd binnengevallen om er democratie, mensenrechten en eigenlijk ook een beter (en natuurlijk veiliger!) leven te brengen, erg stil. Zouden ze dat nou nog steeds denken? Ze zijn er nooit op teruggekomen in ieder geval. Dat zijn ook erg nuttige idioten.

  4. 7

    Even een marge berichtje:
    Log niet in op je gmailaccount via Tor.
    Je krijgt dan een melding over een “eigenaardige” poging tot benaderen en moet je wachtwoord(en) opnieuw gaan instellen.
    Hoe het met andere webbrowsers zit weet ik niet.

  5. 9

    @8:
    Het is een waarschuwing voor mensen die dat misschien niet doen.

    Ik hoorde dit onlangs bij iemand tegen die in z’n browser kan schakelen tussen “normaal” en Tor; het ging in dit geval meer om verstrooidheid.

  6. 10

    Jaja. Zonder deze 1001e Linux distributie af te willen kraken moet je je toch wat dingen afvragen. Ten eerste zie ik dat het versienummer 0.2 is, het gaat dus om een beta versie. Er zijn volgens de webpage voortdurend beveiligingsgaten. Bovendien is het niet eenvoudig te achterhalen wie er achter dit project zit. Daar moet je heel voorzichtig mee zijn.

    Google maar eens op ‘security enhanced linux’. De eerste link zegt: SELinux werd ontwikkeld door de National Security Agency (NSA). Om precies dezelfde reden is Tor niet te vertrouwen. Ongetwijfeld is dat systeem grotendeels onder NSA controle, lekker handig zodat iedereen die anoniem wil zijn zijn data rechtstreeks naar het NSA datacentrum stuurt. Hoewel men je graag anders wil doen geloven is ‘security through obscurity’ veruit het veiligst.

    De overheden doen alles om het traceren makkelijker te maken. Neem bijvoorbeeld de belachelijke cookiewet. In plaats van het verbieden van cookies zijn cookies nu overal standaard, voor het maar 1x tonen van de cookie policy pagina is namelijk een cookie nodig! Verder breekt de overheid de eigen wet. Cookies zijn al lang achterhaald. Tegenwoordig gebruikt elke site Flash, en dat programma heeft eigen… cookies! Zonder waarschuwing. Kijk onder Linux maar eens in ~/.macromedia …

    Er is overigens een veel beter beveiligd besturingssysteem dan het hier genoemde.

  7. 11

    @7: Dat komt omdat je dan probeert in te loggen via een IP adres dat niet strookt met jou.

    Soort van security feature, die melding kan je ook krijgen als je vanuit een of andere obscuur internetcafe in timboektoe probeert in te loggen.

  8. 12

    Voor absolute veiligheid raad ik aan om in een hutje op de hei te gaan zitten. (vergeet niet om je hoofd in aluminium folie te wikkelen.)

  9. 13

    Toch een zijdelingse opmerking:

    De NSA kijkt direct in de Facebookdatabase onder de motorkap toch mee en kan overal bij. Dit betekent bijvoorbeeld dat het aantal seconden dat jij met je muis over een profielfoto in Facebook blijft hangen (zal je klikken of niet?) bekend is bij de NSA als men daar interesse in heeft.

    Hoewel ik niet precies weet wat facebook wel of niet doet, lijkt dit me onwaarschijnlijk. Boven een plaatje hangen geeft doorgaans geen request maar blijft binnen je browser. Zelfs de meeste popup-tekstjes worden al meegegeven in de bron. Dat is dus geen data naar facebook = ook niet naar de NSA.

    Het is technisch niet geheel onmogelijk om alsnog data te versturen bij het hoveren, maar daarvoor moet javascript aan staan (ajax enzo), en het is goed te controleren welke requests er door je browser richting server verstuurd worden. Bovendien is eye tracking een betere manier om iemands aandacht te detecteren. Dus een stickertje op je webcam plakken is wellicht een beter idee.

  10. 14

    @11:

    @7: Dat komt omdat je dan probeert in te loggen via een IP adres dat niet strookt met jou.

    Nee, omdat je probeert in te loggen vanaf een IP-adres dat bij Google op een lijst staat van verdachte adressen.

    De exit nodes van Tor worden gepubliceerd, dus die zijn vrij makkelijk te filteren voor elke website.

  11. 18

    @10: Je kunt nooit niemand helemaal niks vertrouwen, mr. Paranoid. Maar ik gebruik toch liever opensource software, in de wetenschap dat iedereen onder de motorkap kan kijken en fouten kan corrigeren,

    dan software van partijen die bewezen onveilig zijn, omdat ze (al dan niet gedwongen) met de NSA samenwerken.

    Ik ben niet zo bang voor mensen die wel eens fouten maken, dat overkomt iedereen. Ik ben veel banger voor de lui die me met huid en haar verkopen voor 30 zilverlingen.

    De stelling: “om precies dezelfde reden is Tor niet te vertrouwen”, ontgaat me, tenzij TOR van SElinux gebruik zou maken. Een korte blik leert echter dat er vooral moeilijkheden bestaan om die beiden samen te laten werken, dus dat kan onmogelijk het geval zijn.

    Als er een veel beter beveiligd besturingssysteem bestaat dan het hier genoemde, zoals jij stelt, dan zou je moeten aangeven welk. Als je dat niet doet en alleen maar twijfel zaait met betrekking tot (vermoedelijk bonafide) pogingen om misbruik door de NSA en commerciele partijen tegen te gaan,

    ben je niet meer dan een Microsoft-Apple-trol.

  12. 19

    @Inca, #13 Hoewel ik niet precies weet wat facebook wel of niet doet, lijkt dit me onwaarschijnlijk. Boven een plaatje hangen geeft doorgaans geen request maar blijft binnen je browser.

    Dat was ook mijn eerste reactie toen ik dat las. Maar Facebook haalt na een paar seconden hoveren over een profielfoto additionele info over dat profiel op om te tonen. Ze doen dus niks stiekems, dat insinueert het artikel wel. Beetje jammer.

    (…) het is goed te controleren welke requests er door je browser richting server verstuurd worden (…)

    Ze zouden je wel degelijk “semi-stiekem” kunnen tracken. Gewoon een – iets vereenvoudigde – representatie van je acties tussen 2 requests door in een cookie opslaan. Cookie gaat “terloops” mee naar de server bij het volgende request en je zult aan het request of het cookie niet snel zien wat er gebeurt. Bij wijze van voorbeeld en ter inspiratie van paranoia: het is niet heel eenvoudig te achterhalen waar bijvoorbeeld het “presence” cookie van Facebook voor wordt gebruikt. Verandert wel steeds:p

  13. 20

    @19:requestpolicy is een nuttige firefox addon.
    Truecrypt is niet geheel vrij van twijfel. Iets met developers die niet bekend zijn.

    http://www.wilderssecurity.com/showthread.php?t=347938

    Verder denk ik dat je verdiepen in linux nog los van de nsa-verhalen een goede keuze is. Zowiezo ontwikkel je meer kennis en gevoel voor de processen die je computer aansturen. Goed, je moet het willen en vooral tijd voor hebben.
    Social media > gewoon mee stoppen. Kan best, de wereld was modern en flitsie hip in 2000 hoor ( voor degenen geboren na 1990 ). Er was een beetje mobiele telefonie, een beetje internet en het was genoeg.

  14. 24

    @Andy
    Ik gebruik ook open source software.
    Ik zeg alleen dat mensen die anoniem willen blijven zoals journalisten er goed aan doen wat voorzichtiger te zijn dan het volgen van de ‘tips’ hier.

    De NSA is volgens gegevens van Snowden een heel eind op weg met Tor. Bovendien stellen ze dat het zeer belangrijk is dat Tor gebruikers niet naar een groot aantal andere technieken overspringen. Als journalist oid die bronnen wil beschermen zou ik dat laatste dus maar wel doen.

    Ik ga niet aangeven welk systeem beter is. Windows, Mac en alle telefoon OS’en zeker niet. Open source kan OK zijn. Unix derivaten ook. Linux is te mainstream. De browsers zijn zo lek als een mandje, zeker chrome en firefox. Mijn Ubuntu laptop wisselt continu gegevens uit met Canonical servers, er is een 24/7 verbinding.