image

Online survival kit tegen PRISM en NSA

dinsdag 23 juli 2013, 11:16 door Redactie, 20 reacties

Vanwege de onthullingen over PRISM en de activiteiten van de Amerikaanse inlichtingendienst NSA, is het essentieel dat journalisten, bloggers en internetgebruikers de tools en technieken beheersen om zich tegen grootschalige surveillance te beschermen. Dat stelt Reporters without Borders (RWB), een internationale niet-gouvernementele organisatie die onderzoek doet naar persvrijheid.

Volgens de organisatie gaat het om zowel surveillance in landen die 'vijanden van het internet' zijn, als in westerse democratieën. Om internetgebruikers te beschermen 'ontwikkelde' RWB een 'online survival kit' met tools en praktisch advies om communicatie en persoonlijke data te beschermen.

Kennis
"Je hoeft geen IT-engineer te zijn om te weten hoe je de inhoud van je e-mails kunt beschermen en online anoniem kunt blijven. De tools en technieken in deze kit vereisen geen geavanceerde kennis van computers en programmeren", zo laat de organisatie weten.

De kit beschrijft onder andere het gebruik van Tails, een besturingssysteem om anoniem te kunnen werken en internetten. Ook komt het versleuteld e-mailen via Thunderbird en PGP aan bod en wordt het gebruik van VPN's uitgelegd.

Reacties (20)
23-07-2013, 11:37 door Sokolum
Heeft geen zin, want met een hier geschreven artikel blijkt kennelijk dat NSA ook instaat is om in het SSL verkeer te kijken.
Dus geen SSL met AES meer, tenzij de generator niet door een Intel (Intelligence) Chip wordt uitgevoerd.

Er moet dus technieken komen die jezelf in de handt hebt, zelf Linux is twijfelachtig.
23-07-2013, 11:40 door [Account Verwijderd]
[Verwijderd]
23-07-2013, 12:14 door [Account Verwijderd]
[Verwijderd]
23-07-2013, 12:17 door Orion84
Door Sokolum: Heeft geen zin, want met een hier geschreven artikel blijkt kennelijk dat NSA ook instaat is om in het SSL verkeer te kijken.
Dus geen SSL met AES meer, tenzij de generator niet door een Intel (Intelligence) Chip wordt uitgevoerd.

Er moet dus technieken komen die jezelf in de handt hebt, zelf Linux is twijfelachtig.
"blijkt ... instaat is..."

Heb je het artikel daadwerkelijk gelezen? Er worden hoogstens suggesties gewekt en zorgen geuit. Net zoals nog niemand die chip onder de loep heeft genomen om te valideren dat het daadwerkelijk werkt zoals Intel claimt heeft ook nog niemand de chip onder de loep genomen om te bewijzen dat het een voorspelbare PRNG zou zijn.

Door Stoeprand: ... Tot die slotsom ben ik ook gekomen. Ik gebruik liever mijn eigen ontwikkelde encryptie, dan dat ik nog ooit vertrouw op https, ssl en AES. Elke buitenlandse encryptie wantrouw ik nu.
Behalve dat het weinigen gegeven is om zelf een degelijk encryptiesysteem op te zetten, ga je dan denk ik ook tegen wat praktische probleempjes aanlopen. Tenzij je alleen mailtjes aan jezelf stuurt ;)
23-07-2013, 12:19 door Anoniem
Als ooit een bewijs naar boven komt dat NSA SSL daadwerkelijk kan afluisteren dan kan internet uitgezet worden. Of ze kunnen het daadwerkelijk niet (ehhh.... lees je dan maar eens in op het Diginotar verhaal en Iran) of ze doen het en het is een kwestie van tijd dat het naar buiten komt.

Mijn mening is dat SSL daadwerkelijk is af te luisteren maar dan met een MiTM SSL certificaat. De truc die Iran al in praktijk gebruikt heeft. En dat is voor NSA een stuk eenvoudiger want die hebben 'direct' toegang tot CA's.

AES zelf is wel veilig, al gebruik ik liever iets anders maar dat gaat wat moeilijk als je SSL wilt aanbieden voor alle browsers.
23-07-2013, 12:47 door Sokolum
Door Orion84:
Door Sokolum: Heeft geen zin, want met een hier geschreven artikel blijkt kennelijk dat NSA ook instaat is om in het SSL verkeer te kijken.
Dus geen SSL met AES meer, tenzij de generator niet door een Intel (Intelligence) Chip wordt uitgevoerd.

Er moet dus technieken komen die jezelf in de handt hebt, zelf Linux is twijfelachtig.
"blijkt ... instaat is..."

Heb je het artikel daadwerkelijk gelezen? Er worden hoogstens suggesties gewekt en zorgen geuit. Net zoals nog niemand die chip onder de loep heeft genomen om te valideren dat het daadwerkelijk werkt zoals Intel claimt heeft ook nog niemand de chip onder de loep genomen om te bewijzen dat het een voorspelbare PRNG zou zijn.

Door Stoeprand: ... Tot die slotsom ben ik ook gekomen. Ik gebruik liever mijn eigen ontwikkelde encryptie, dan dat ik nog ooit vertrouw op https, ssl en AES. Elke buitenlandse encryptie wantrouw ik nu.
Behalve dat het weinigen gegeven is om zelf een degelijk encryptiesysteem op te zetten, ga je dan denk ik ook tegen wat praktische probleempjes aanlopen. Tenzij je alleen mailtjes aan jezelf stuurt ;)

Ga is na, een CPU waarop meer dan een miljard transistors zijn werk doet, denk je nou werkelijk dat er niet wordt gemanipuleerd! Als ik de NSA was, zou ik dat doen.

Je hoeft niet zelf een encryptie opnieuw te gaan verzinnen, AES is open en inzichtelijk (AES heeft bij mij ook twijfels, tegenstelling tot 3DES), het gaat om de CODE waarin AES is verwerkt, het systeem waarop de CODE draait, dus de Intel CPU's, het OS data alles moet dragen.

Dus ja, je zou alles zelf moeten opnieuw gaan opbouwen om een vertrouwd systeem te hebben. Zelfs de compilers kan je niet vertrouwen...
23-07-2013, 12:49 door Sokolum
Door Hyper: Als ik PGP/GPG versleutelde e-mails ga versturen dan kan niemand ze lezen omdat de ontvangers geen client hebben die dit ondersteunt.

Dan begrijp je het achterliggende verhaal niet, ook jou PGP/GPG is gecomprimeerd. Je buurman met Giga serverpark kan er niets mee, maar Big Brother wel.
23-07-2013, 12:50 door sloepie
Door Hyper: Als ik PGP/GPG versleutelde e-mails ga versturen dan kan niemand ze lezen omdat de ontvangers geen client hebben die dit ondersteunt.

Bovendien is het ook nog eens zo dat als bijvoorbeeld de ontvangende partij gebruik maakt van gmail, de zaak alsnog bij de NSA terecht komt, ook al maken zowel zender als ontvanger gebruik van PGP. Beide partijen mogen alleen gebruik maken van een lokale app zoals Thunderbird. d.w.z. dat (los van de discussie over de Intel processors) de encryptie/decryptie van het bericht alleen lokaal op de eigen pc van zowel de zendende als de ontvangende partij draait en (veel mensen realiseren zich dat vaak niet) dus ook niet van imap gebruik mogen maken (behalve als je alleen de headers synchroniseert)

En als iemand Android c.q. IOS gebruikt weet je ook vrijwel zeker dat de zaak toch nog bij de NSA terecht komt ook al gebruik je lokaal encryptie/decryptie.
23-07-2013, 13:05 door Ignitem
Door sloepie: Bovendien is het ook nog eens zo dat als bijvoorbeeld de ontvangende partij gebruik maakt van gmail, de zaak alsnog bij de NSA terecht komt, ook al maken zowel zender als ontvanger gebruik van PGP. Beide partijen mogen alleen gebruik maken van een lokale app zoals Thunderbird. d.w.z. dat de decryptie van het bericht alleen lokaal op de eigen pc van zowel de zendende als de ontvangende partij draait en (veel mensen realiseren zich dat vaak niet) dus ook niet van imap gebruik mogen maken (behalve als je alleen de headers synchroniseert)

Als je gebruik maakt van Enigmail(GPG) in Thunderbird in combinatie met IMAP dan kun je gerust het hele berichten synchroniseren. De daadwerkelijke decodering vindt plaats in de Thunderbird client. Je dient de sleutel telkens opnieuw in te geven om het bericht te lezen. Bij mij weten wordt het ongecodeerde bericht wordt niet teruggesynchroniseerd naar de IMAP server.
23-07-2013, 14:00 door sloepie
@enigmail

Als je gebruik maakt van Enigmail(GPG) in Thunderbird in combinatie met IMAP dan kun je gerust het hele berichten synchroniseren. De daadwerkelijke decodering vindt plaats in de Thunderbird client. Je dient de sleutel telkens opnieuw in te geven om het bericht te lezen.

Bij mij weten wordt het ongecodeerde bericht wordt niet teruggesynchroniseerd naar de IMAP server.

Wellicht heb je gelijk, maar waar baseer je dat laatste dan op? Een bericht wordt (naar ik meen) niet gesynchroniseerd zolang het nog alleen in het (ram) geheugen staat. Dat kan dus alleen zolang het bericht niet ergens (tussentijds) in klare taal lokaal wordt opgeslagen. (aanvulling: Ik zeg dit omdat ik er geen idee van heb wat er gebeurt op het moment dat een bericht encrypt/decrypt wordt en/of erg groot is. Wordt dat dan nergens tussendoor in klare taal opgeslagen? Is er hier iemand die dat wel weet?)

Zodra (e.e.a. afhankelijk van je account instellingen) een bericht (in klare taal) ergens (al dan niet tijdelijk) wordt opgeslagen wordt dat bericht immers gesynchroniseerd. En in de Enigmail handleiding wordt ook niet gezegd dat een bericht niet zou worden gesynchroniseerd?


Ik zou me bij dergelijke problematiek nimmer op "aannames" durven te baseren.
23-07-2013, 14:41 door [Account Verwijderd]
[Verwijderd]
23-07-2013, 14:55 door Anoniem
Voor versleuteling van e-mail is mijns inziens maar één oplossing:

Je verstuurt per post een codeboek en verzendt per e-mail onversleutelde berichten die je met het codeboek kunt ontcijferen. De BBC zond zo "familieberichten" aan de Franse ondergrondse vóór de landing op D-day. Geen ingewikkeldheden.

Als niet alleen servers worden gecontroleerd, maar ook de grote "backbones" van het internet worden afgetapt, zijn er maar twee opties over:

Net als Osama Bin Laden uitsluitend werken via koeriers. Geen telefoon, geen internet, eventueel een antenne op/onder het dak.

Ofwel Linux op je computer om vrij te zijn van Microsofts achterdeurtjes, en dan nooit iets op de computer zetten dat niet door iedereen gelezen mag worden.

Hartelijke groet,

Erik.
23-07-2013, 15:16 door Orion84
Door Stoeprand:
Behalve dat het weinigen gegeven is om zelf een degelijk encryptiesysteem op te zetten, ga je dan denk ik ook tegen wat praktische probleempjes aanlopen. Tenzij je alleen mailtjes aan jezelf stuurt ;)
A. Welke probleempjes? (noem er eens een paar) B. ik stuur nooit mails naar mijzelf.

Maar ik neem aan dat je laatste zin als grap bedoeld is..
Het 'probleempje' dat alle partijen waar jij met behulp van je eigen cryptosysteem mee wilt communiceren dan ook dat eigen cryptosysteem moeten ondersteunen en je (even aannemend dat het een redelijk conventioneel systeem is) ook nog met al die mensen sleutels moet gaan uitwisselen.

Dus nee, het was zeker niet bedoeld als grap, het was bedoeld als een luchtige manier om aan te kaarten dat "ik ga alleen nog maar mijn eigen cryptosysteem gebruiken" makkelijker gezegd dan gedaan is. Kijk alleen al maar naar het voorbeeld dat iemand gaf van PGP/GPG. Dat is dan nog een gestandaardiseerd systeem, maar bij gebrek aan brede ondersteuning is het in lang niet alle situaties praktisch bruikbaar. Laat staan als je zelf wat gaat verzinnen.
23-07-2013, 15:17 door Sokolum
Door Anoniem: Voor versleuteling van e-mail is mijns inziens maar één oplossing:

Je verstuurt per post een codeboek en verzendt per e-mail onversleutelde berichten die je met het codeboek kunt ontcijferen. De BBC zond zo "familieberichten" aan de Franse ondergrondse vóór de landing op D-day. Geen ingewikkeldheden.

Als niet alleen servers worden gecontroleerd, maar ook de grote "backbones" van het internet worden afgetapt, zijn er maar twee opties over:

Net als Osama Bin Laden uitsluitend werken via koeriers. Geen telefoon, geen internet, eventueel een antenne op/onder het dak.

Ofwel Linux op je computer om vrij te zijn van Microsofts achterdeurtjes, en dan nooit iets op de computer zetten dat niet door iedereen gelezen mag worden.

Hartelijke groet,

Erik.

Linux is ook niet vrij: Op 28 oktober 2011 heeft Linus Torvalds de toevoeging doorgevoerd.
https://github.com/torvalds/linux/commit/8e6d539e0fd0c2124a20a207da70f2af7a9ae52c
23-07-2013, 17:10 door Anoniem
Er is hier echter een probeem: Tante Pos is lang niet zo betrouwbaar meer als vroeger.Post raakt zoek,komt niet aan,post wordt opengemaakt (dat mogen ze, met rechterlijke machtiging),dacht je dat jij als verdachte of het nou politie is of AIVD je post veilig kunt verzenden? Ze weten wanneer je naar de brievenbus gaat middels je mobieltje,of middels een rechercheur die jou volgt of zelfs een verborgen camera die die betreffendePostNL postbus in de gaten houdt.Zelfs een postduif kan onderschept worden.Niks is meer veilig.Niks is meer prive.Prive is passe.
Door Anoniem: Voor versleuteling van e-mail is mijns inziens maar één oplossing:

Je verstuurt per post een codeboek en verzendt per e-mail onversleutelde berichten die je met het codeboek kunt ontcijferen. De BBC zond zo "familieberichten" aan de Franse ondergrondse vóór de landing op D-day. Geen ingewikkeldheden.

Als niet alleen servers worden gecontroleerd, maar ook de grote "backbones" van het internet worden afgetapt, zijn er maar twee opties over:

Net als Osama Bin Laden uitsluitend werken via koeriers. Geen telefoon, geen internet, eventueel een antenne op/onder het dak.

Ofwel Linux op je computer om vrij te zijn van Microsofts achterdeurtjes, en dan nooit iets op de computer zetten dat niet door iedereen gelezen mag worden.

Hartelijke groet,

Erik.
23-07-2013, 17:35 door steve sh1t
Veel mensen denken dat ze een hele unieke superster in hun eigen unieke (social media) film zijn.

Maar de waarheid is: de NSA met haar PRISM* is echt niet geïnteresseerd in jouw saaie leven.


Listen up, maggots. You are not special. You are not a beautiful or unique snowflake. You're the same decaying organic matter as everything else.
http://www.youtube.com/watch?v=4X2AvfSTi6Q

*ik weet wel bijna zeker dat het systeem van de NSA geen PRISM heet, want er is al een bekende chipset die zo heet, dus de wiseguys gaan het dan echt niet ook "PRISM" noemen, al is het alleen al om verwarring te voorkomen.

http://en.wikipedia.org/wiki/Prism_%28chipset%29
23-07-2013, 21:32 door Ignitem
Door sloepie: @enigmail

Als je gebruik maakt van Enigmail(GPG) in Thunderbird in combinatie met IMAP dan kun je gerust het hele berichten synchroniseren. De daadwerkelijke decodering vindt plaats in de Thunderbird client. Je dient de sleutel telkens opnieuw in te geven om het bericht te lezen.

Bij mij weten wordt het ongecodeerde bericht wordt niet teruggesynchroniseerd naar de IMAP server.

Wellicht heb je gelijk, maar waar baseer je dat laatste dan op? Een bericht wordt (naar ik meen) niet gesynchroniseerd zolang het nog alleen in het (ram) geheugen staat. Dat kan dus alleen zolang het bericht niet ergens (tussentijds) in klare taal lokaal wordt opgeslagen. (aanvulling: Ik zeg dit omdat ik er geen idee van heb wat er gebeurt op het moment dat een bericht encrypt/decrypt wordt en/of erg groot is. Wordt dat dan nergens tussendoor in klare taal opgeslagen? Is er hier iemand die dat wel weet?)

Zodra (e.e.a. afhankelijk van je account instellingen) een bericht (in klare taal) ergens (al dan niet tijdelijk) wordt opgeslagen wordt dat bericht immers gesynchroniseerd. En in de Enigmail handleiding wordt ook niet gezegd dat een bericht niet zou worden gesynchroniseerd?


Ik zou me bij dergelijke problematiek nimmer op "aannames" durven te baseren.

Zojuist even getest, en het bericht wordt niet gesynchroniseerd.
23-07-2013, 21:53 door sloepie
@ignitem 21:32

Bedankt voor je info! :-)
24-07-2013, 00:32 door KwukDuck
Deze site is al heel wat langer in de lucht en bied nog wat meer tools: http://prism-break.org/
24-07-2013, 09:36 door Briolet
Door Sokolum: Heeft geen zin, want met een hier geschreven artikel blijkt kennelijk dat NSA ook instaat is om in het SSL verkeer te kijken.
Dus geen SSL met AES meer, tenzij de generator niet door een Intel (Intelligence) Chip wordt uitgevoerd.
Volgens mij heb jij dat artikel zelf niet gelezen, maar alleen de titel. En dan ook nog het vraagteken in de titel genegeerd. Er staat in het geheel niet dat NSA het kan. Er staat alleen dat niet te controleren is of er een backdoor in het algoritme zit. Intel beweerd dat de random nummers door ruis gegenereerd worden en het artikel (en zijn links) schrijven alleen dat je een elektronen microscoop nodig hebt om te controleren of die chip echt zo geconstrueerd is en de random nummers niet toch voorspelbaar gegenereerd worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.