Je mag inmiddels twijfelen aan de veiligheid van bijna alle communicatie via het internet. Versleutelingsmethoden op basis van certificaten(zoals SSL of TLS) zijn dus niet veilig. Certificaatverstrekkers kunnen net zo makkelijk diep in het geheim gedwongen worden de sleutels af te geven als wie dan ook. Trouwens, Cisco verkoopt inmiddels apparatuur met ingebakken Man in the Middle functionaliteit. Dan kunnen dus ook mindere goden dan de Amerikaanse President uit de voeten.

Dus als je veilig wilt communiceren via het internet dan is er maar een mogelijkheid: Een goed encryptiemethode en vooraf uitgewisselde sleutels.

Een beetje een warrige vraag waar weinig concreets op te zeggen is. Hier, zet dit aluhoedje op en ga even zitten.

Je kan je indenken dat je de NSA bent en dat je graag zoveel mogelijk data opslurpt om later eventueel te analyseren, liefst automatisch. Bedenk dat ze geen 100% "verdachtheids"detectieratio nodig hebben, zeg 20% is genoeg. Gewoon meer data erin want de wereld blijft toch wel produceren. Ze hebben een gigantisch budget voor computers en opslag en gigantische toegang.

Vangen ze onversleutelde tekst, dan kunnen ze die bijvoorbeeld op sleutelwoorden siften. Vangen ze spraak, dan kan die eerst in tekst omgezet en dan gesift. Hebben ze alleen de metadata (wie wanneer met wie belde of emailde) dan kunnen ze daar grafiekjes van bakken en die analyseren. Zoiets kan ook met GSM-locatiedata. En zo verder.

Hoe ze data te pakken krijgen is nog een hele vraag en ze zullen het je niet willen vertellen. Je kan er vanuit gaan dat, zeg, al het amerikaanse telefoonverkeer rechtstreeks in hun servers verdwijnt. Al het internetverkeer dat door grote exchanges loops zullen ze toegang toe hebben, minstens in de VS maar wellicht ook in, zeg, het VK. Ze hebben verschillende radioluisterstations her en der staan. Ze hebben allianties met allerlei andere inlichtingendiensten, waaronder alle in de commonwealth maar ze zullen "goede contacten" hebben met zowat heel europa en ook israel. Ze hebben directe toegang tot alle grensoverschrijdende geldtransacties, waar ook in de westerse wereld, en veel binnenlandse ook. Ze weten precies wie in welk vlieguit op welke stoel zit en houden daar vanalles over bij, tot welk boek je leest (ok, dat doet "homeland security", detail). Alle opslag bij amerikaanse hosters kan de hele amerikaanse overheid gewoon bij, per geheime (en geheim te houden! "national security letter") vordering als ze daar zin in hebben. Dat was vast geen compleet lijstje.

Of ze ook bij je NAS kunnen ligt eraan hoe jij jouw thuisnetwerkje hebt opgezet. Of ze dat ook doen, geen idee. Of ze een bundestrojaner bij jou naarbinnen schuiven? Niet typisch iets wat de NSA lijkt te doen, maar een andere instantie wellicht wel. De NSA graait, verzamelt, breekt codes, en analyseert vooral, wat daar uitrolt doen anderen weer wat mee.

Vergelijk hoe google begon met een zoekfunctie en hoe ze in de jaren erna steeds weer met nieuwe dingen kwamen en hoe ze verder en verder uitbreidden. De NSA is al een tijdje langer bezig dan google. Ook zijn ze de grootste werkgever van wiskundigen, en er wordt geschat dat ze zo'n vijf jaar voorlopen op de "open" wetenschap op het gebied van cryptografie. Dat is heel mooi allemaal, maar die gigantische berg data is nog steeds best groot, zelfs voor de NSA. Dus bedenk je eens, was je de NSA, wat zouden je prioriteiten zijn, welke data zou je eerst doorsnuffelen?

We weten dat de NSA zeer waarschijnlijk een eigen achterdeur in windows heeft. We weten dat niet van linux (of een ander FOSS OS, er zijn er meer, waarvan sommigen prima voor dagelijks algemeen computergebruik). Om verschillende redenen is dat niet onmogelijk maar ook niet heel waarschijnlijk.

Wil je je data beschermen dan moet je die goed in eigen hand houden en vooralsnog heb je daar behoorlijk wat kennis voor nodig. Ik bedoel dan niet het populistische security gedoe (alles waar de media "hackers!" over roept), maar snappen hoe de datastromen lopen en hoe ze te beveiligen. Een basiscursus computerarchitectuur en netwerken, en een introductie cryptografie (als in, hoe het werkt, en vooral hoe het niet te gebruiken) ben je meer mee geholpen.

Je kan niet alles beveiligen maar je kan wel duidelijke keuzes maken en de meest gevoelige dingen alleen op, zeg, een zelf samengesteld windows-vrij machientje versleuteld bewaren en het ding netjes van het netwerk af laten. Zorg liefst ook dat de rest van je netwerk windows-vrij is. Scheelt ook nog eens in risico op phishing- en andere malware. Dat soort truuks zijn goed te doen als je snapt waar de crux in zit.

Dus, je ziet, we weten een hele hoop niet maar dat wil niet zeggen dat we geen idee hebben wat er gebeurt. En we kunnen ons ook enig idee vormen van hoe en in hoeverre we ons daar direct tegen kunnen beschermen. Het is geen rooskleurig beeld, dat zeker, maar helemaal machteloos zijn we nog net niet. Vooralsnog.

"Als Microsoft de NSA bijvoorbeeld volledige toegang geeft kunnen ze in principe precies zien wat er op een PC gebeurd toch?
Aangezien dat geen geheim meer is zal dat ook gebeuren vermoed ik? Of in ieder geval een volledige keylogging? "

Een volledige keylogging. En nog nooit heeft iemand dergelijke dataflows waargenomen. Indien ze zouden doen wat jij suggereert, dan zou je binnen no time blog posts lezen van beveiligingsonderzoekers die dergelijk verkeer detecteren en analyseren, en je vertellen hoe je dergelijke dataflows in je firewall kunt blokkeren.

"Ook een NAS zou uitgelezen kunnen worden. Of groter denkende aan servers, filers e.d.? "

Dat verkeer kan je ook detecteren en blokkeren. En ook dergelijk verkeer is nog nooit waargenomen.

"Certificaatverstrekkers kunnen net zo makkelijk diep in het geheim gedwongen worden de sleutels af te geven als wie dan ook."

Indien ze worden geconfronteerd met een gerechtelijk bevel, dan zullen ze de informatie ongetwijfeld afgeven. Het feit dat bedrijven moeten meewerken aan gerechtelijke bevelen is in ieder geval niet (diep) geheim.

"Een beetje een warrige vraag waar weinig concreets op te zeggen is. "

Dat valt wel mee. De TS gaat volledig voorbij aan zaken als access control en traffic analysis. Alsof alles aan het open internet hangt, en alsof je niet kunt zien wat voor verkeer er vanaf je computer richting Microsoft of andere systemen wordt verzonden. Er valt vrij concreet te zeggen dat de TS zich niet zorgen hoeft te maken voor de zaken waar hij bang voor is.

Hoho wacht even... zo werkt dat niet!
Bij SSL/TLS heeft de certificaatverstrekker NIET de beschikking over de secret key van de communicatie, tenzij
je zelf zo dom geweest bent om een of ander handig tooltje op de pagina van de certificaat verstrekker te gebruiken
om deze key te genereren (dat bieden verstrekkers vaak aan om je werk uit handen te nemen).

De manier waarop het werkt is dat je zelf je secret key genereert en geheim houdt, en alleen je public key ter
signing naar de certificaatverstrekker stuurt. De NSA zal dan dus eerst het keypaar moeten kraken voor ze de
secret key hebben.

Waar het systeem op mank gaat is dat er voor iedere domeinnaam certificaten kunnen worden uitgegeven door iedere
uitgever, dus ook door de vele uitgevers die in handen zijn van de overheid. Wat er dus zou kunnen gebeuren is dat er een
man-in-the-middle tussen gezet wordt die werkt met een overheidsscertificaat voor de partij waar jij mee denkt te
communiceren, in plaats van met het eigen certificaat van die partij. Dan kan men meeluisteren. Maar als je een
bewaking hebt van de gebruikte certificaten en hun uitgevers (zoals certpatrol) dan krijg je daar wel een waarschuwing
van.

In principe moeten wij ons geen illusies maken over onbespied communiceren. Er is geen reden waarom in een situatie waarin men toelaat dat een organisatie met meer geld, meer menskracht en / of een geweldsmonopolie alle middelen mag inzetten om onbeperkt te kunnen luistervinken, mensen die geen duidelijk contragewicht hebben dat zouden kunnen verslaan.

Dat is niet gezegd dat er helemaal niets kan. De Electronic Frontier Foundation heeft een lijst gepubliceerd met alternatieven voor PRISM-gerelateerde diensten, en die lijst is vrij uitgebreid. Zie http://prism-break.org/. Dit houdt de 'wapenwedloop' wat langer op gang.

Belangrijker misschien is dat het mes aan twee kanten snijdt. De meeste van de PRISM diensten zijn Amerikaanse bedrijven, de meeste alternatieven community of niet Amerikaanse bedrijven. Met andere woorden, de betrokken bedrijven en de Amerikaanse overheid worden door overstappen op beperkte schaal gestraft door (belasting)inkomsten mis te lopen.

Dat vind ik een belangrijk punt. Ergens op dit forum las ik afgelopen week een opmerking dat overheden privacy altijd als 'rest' recht hebben beschouwd na aftrek van wat men handig heeft gevonden. Daar ben ik het niet helemaal mee eens. Ik ken tijden en plaatsen waarin mensenrechten (inclusief privacy) redelijk goed beschermd zijn. Dat is altijd waar en wanneer de stok achter de deur staat dat mensen zonder die rechten te waarborgen per definitie niet goed genoeg zijn en dus het voorrecht niet mogen hebben te regeren.

Ik zie geen reden om de tegenstand bij protesten te laten. Concurrentie en het legaal en geweldloos op andere punten afstraffen kunnen krachtige signalen zijn. Laten we actief kijken waar we met name overheden en bedrijven in de portomonnee kunnen raken. Het zou mij niet verbazen als we daar ook nog in alle opzichten betere diensten vinden...

Kijk naar recente eerdere resultaten: Twee oorlogen beginnen--en oorlog met moderne middelen is duur-- en tegelijkertijd belasingverlagen, het geld wordt with reckless abandon geleend en bijgedrukt. Ik heb niet het idee dat ze wakkerliggen van een klein beetje misgelopen internationale omzet danwel belastinginkomsten. Daarbij, hoe groter het bedrijf hoe relatief minder belasting het betaalt. En uiteindelijk zullen omzetverliezen wel meevallen, want verreweg de meeste grootbedrijven zijn óf sowieso al amerikaans óf nemen toch wel weer amerikaans af.


(Deze anoniem schreef dat. Ik bedoelde dat je de kracht van simpele ambtelijke inertie niet moet onderschatten, en dat het ons op privacyniveau voorheen in de kaart speelde--misbruikers ook, maar soit. Privacy an sich leeft gewoon niet in het ambtelijke, dat je het had was een fortuinlijk bijproduct, een gevolg van slaafs de regeltjes volgen. Met automatisering en grote datazeverij niet meer, en zodra die grote en doorgekoppelde databases er eenmaal zijn, werkt diezelfde inertie ons juist tegen. Ook een factor in de zgn. "database of ruin"--google daar maar op.)

Ik zou het iets anders verwoorden maar je punt is wel duidelijk. Maar eerstvolgende vraag is dan: Wordt die eis ergens nog gehaald in de westerse wereld? Hier in Nederland?

De amerikaanse founding fathers geloofden in de "better educated voter" om hun representatoren aangelijnd te houden. Als je kijkt naar het niveau van nieuwspresentatie aldaar, of naar de enorme invloed van allerhande lobbygroepen, blijkt dat nu te werken, denk je?

En hier? Ik noem een burgemeesterslobby stemcomputer, ik noem een voor-het-rapport-er-is-snel-besluiten-nemen-lobby van de verenigde korpsschefs tegen de schutterijen. Dat laatste is achteraf niet verwonderlijk nu het rapport er eenmaal is. Netjes is het niet, en hoeveel wordt er teruggefloten?

Is het je al opgevallen dat verschillende bewindslieden om het minste of geringste weer een nieuwe database voorstellen? Om over al die andere plannetjes van fred&ivo maar te zwijgen.


Op zich een aardig initiatief. Maar om behoorlijk invloed uit te oefenen heb je best wat schaalgrootte nodig. De EU zou best wat invloed kunnen uitoefenen, en ze zijn onder andere voor unificeren en samenbundelen van invloed opgezet. Maar zie jij het de EU doen? Ik niet. Wat dan weer betekent dat we EU-breed toch wel enige tientallen miljoenen mensen mee moeten zien te krijgen, en dat van de grond af. Dat is een beetje werk.

Wellicht wat kleiner beginnen dan, maar je moet nog steeds groot op de bewustwording inzetten, en een groot deel van het Nederlandse Volk is nog steeds volstrekt apatisch, of snapt het niet (hallo Jack de Vries!).


Wat denk je nou zelf, als burger zijnde?