Schneier: meeste mensen zullen nooit Tor of PGP gebruiken
Ondanks alle ophef over de onthullingen van Edward Snowden en de surveillancepraktijkten van de NSA zullen de meeste mensen nooit anti-surveillancemaatregelen nemen. Sterker nog, de meeste surveillancetools zoals Facebook, Google en een smartphone worden vrijwillig door mensen gebruikt omdat ze juist zo "handig" zijn, zo stelt beveiligingsexpert Bruce Schneier tegenover Wired.
Op de vraag hoe hij doorsnee, rechtsschapen internetgebruikers zou overtuigen om tools zoals Tor of PGP of een eigen mailserver te gebruiken zegt hij dat dit niet mogelijk is. De surveillancetools zijn volgens hem handig en gratis. "Daarom gebruiken we ze. De meeste technische oplossingen om surveillance te vermijden zijn vervelend en lastig te gebruiken. En ze werken alleen tot een bepaald niveau."
Schneier geeft als voorbeeld de mobiele telefoon, die hij als een "incidenteel trackingapparaat" omschrijft. "Als dat niet het geval was kon het systeem geen telefoongesprekken afleveren. Metadata is zeer intieme surveillancedata en het kan niet worden versleuteld." Als het gaat om het aanpakken van surveillance moet er dan ook niet naar technische oplossingen worden gekeken, merkt Schneier op.
Het belangrijkste is juist om er met elkaar over te praten, zo stelt hij. "Dit zijn politieke onderwerpen die politieke oplossingen vereisen, en het zullen geen politieke onderwerpen worden als wij ze er niet van maken. Op dit moment is surveillance nog niet opvallend; we merken het niet, omdat het automatisch in de achtergrond gebeurt. Snowden liet ons zien wat er gebeurt als mensen het opmerken. Mensen moeten het dan ook meer opmerken."
Op basis van waarom zou men het dan moeten doen?
Persoonlijk zie ik momenteel ook nog niet het nut er van in, om zowel TOR als PGP te gaan gebruiken prive of in mijn bedrijf.
Laat staan dat ik er mijn vrienden of eventueel mijn klanten hierover zou adviseren om dit te gaan doen.
- Torbrowser is relatief eenvoudig te gebruiken.
- PGP is zeer onpraktisch en heel veel hoogdrempeliger in gebruik, dat is wat versleuteld gaan mailen nekt.
Zeer begrijpelijk dat dat de gemiddelde consument en ook de gemiddelde werkelijk in privacy geïnteresseerde consument afschrikt.
Daardoor zal het kantelpunt dat de massa over de streep moet trekken in de verste verte niet bereikt gaat worden.
Tenzij het ineens als toepassing standaard en eenvoudig als default instelling geïmplementeerd wordt in één of ander populair massaproduct.
Dat is nog lang niet aan de hand maar is vast een reden voor polpol- en andere controlepeuk-mannetjes alvast heel hard te roepen dat dat het einde van alle kindertjes op de wereld zou betekenen.
Niet doen?
http://computerworld.nl/beveiliging/85492-gpg-is-een-technologisch-dood-spoor
https://decorrespondent.nl/2556/Waarom-is-het-zo-moeilijk-e-mail-goed-te-beveiligen-/124469532-505003d6
Wel doen?
http://www.vn.nl/Archief/Samenleving/Artikel-Samenleving/Phil-Zimmermann-Het-is-vooral-erg-als-je-eigen-regering-je-bespioneert.htm
Die stelling is complete onzin, want ten eerste is PGP niet gebruiksvriendelijk, en ten tweede is misschien wel 99% van de
internetgebruikers niet van plan om zich daar druk over te maken. Sterker nog, wie nu PGP of andere versleuteling gebruikt,
trekt zelfs de aandacht van de overheden. Wie zich bezig houd met geheime zaken, kan beter overstappen op het ouderwets
uitwisselen van informatie door een combinatie van fysiek kleine versleutelde mediadragers via de gewone post.
Zeer begrijpelijk dat dat de gemiddelde consument en ook de gemiddelde werkelijk in privacy geïnteresseerde consument afschrikt.
Daardoor zal het kantelpunt dat de massa over de streep moet trekken in de verste verte niet bereikt gaat worden.
Tenzij het ineens als toepassing standaard en eenvoudig als default instelling geïmplementeerd wordt in één of ander populair massaproduct.
Google (gmail) en Yahoo zijn er mee bezig, zelfs voor hun webmail:
http://arstechnica.com/security/2014/08/yahoo-to-begin-offering-pgp-encryption-support-in-yahoo-mail-service/
- voeg een email contact toe
- automatisch stuurt de client een verzoek om pgp public keys uit te wisselen. Met de eigen public key bijgevoegd.
- de ander ontvangt het verzoek en kan het ignoren (zodat spammers niet weten dat zijn account echt is) of accepteren waardoor een public key automatisch teruggestuurd en verwerkt word
Zo moeilijk hoeft het dus niet te zijn. Het kan net zo simpel gemaakt worden als het doen van een friends request op Facebook.Wellicht kunnen bedrijven die bereikbaar willen zijn automatisch de friend requests accepteren.
En dat probleem zie ik ook op het moment dat 'Henk en Ingrid' encryptie gaan gebruiken voor e-mails naar de Bingoclub en het jaarlijkse familie uitje. Oma begrijpt het niet, Henk eigenlijk ook niet, maar een neefje heeft nog wel ergens een handleiding liggen. Die is voor Android, maar niet voor iOS of wel maar dan voor de vorige versie... Het lukt gewoon niet om encryptie overal toe te passen zolang het niet (bijna) vanzelf gaat.Dat zie je ook bij software patches op Windows: als je er moeite voor moet doen, gebeurt het niet. Windows update wordt nog wel eens gedraaid, maar Flash, Java en Acrobat blijven netjes op de versie van die van de eerste installatie.
Willen we dus mensen helpen hun mail te encrypten, dan zullen we een oplossing moeten vinden voor Henk en z'n vrouw - tot die tijd blijven ze gewoon unencrypted versturen...
- voeg een email contact toe
- automatisch stuurt de client een verzoek om pgp public keys uit te wisselen. Met de eigen public key bijgevoegd.
- de ander ontvangt het verzoek en kan het ignoren (zodat spammers niet weten dat zijn account echt is) of accepteren waardoor een public key automatisch teruggestuurd en verwerkt word
Zo moeilijk hoeft het dus niet te zijn. Het kan net zo simpel gemaakt worden als het doen van een friends request op Facebook.Wellicht kunnen bedrijven die bereikbaar willen zijn automatisch de friend requests accepteren.
- gebruiker 1 stuurt een automatische bevestiging dat de acceptatie van de friend request (en de daarbij horende public keys) van gebruiker 2 in goede orde is ontvangen en dat de friend request daadwerkelijk van gebruiker 1 kwam
Dan heb je gelijk een oplossing voor email spoofing.
De meeste privacy problemen met e-mail kunnen gewoon met een beetje communicatie opgelost worden. Gmail, Yahoo en Outlook.com moeten dit eigenlijk volautomatisch kunnen.
Op basis van waarom zou men het dan moeten doen?
Persoonlijk zie ik momenteel ook nog niet het nut er van in, om zowel TOR als PGP te gaan gebruiken prive of in mijn bedrijf.
Laat staan dat ik er mijn vrienden of eventueel mijn klanten hierover zou adviseren om dit te gaan doen.
Haha dat is dus precies mijn punt! Mensen zien het nut er niet van :). Kijk ik doe zelf ook niet bij alles moeilijk over anonimiteit en privacy. Maar iedereen heeft zo ze geheimen en als die digitaal zijn, zou ik je aanraden dit soort dingen wel te gebruiken. Zoiets als second love ofzo ... ;).
Ga er van uit dat (bij internetgebruik) alles wat met de computer wordt gedaan en alles wat op de computer en daarop aangesloten apparatuur is opgeslagen kan worden gezien, gemanipuleerd, langdurig kan worden opgeslagen en dat er ongemerkt kan worden meegekeken en geluisterd via de camera en microfoon. Zo weet je welk risico je loopt. Of het allemaal daadwerkelijk en/of vaak plaatsvindt is niet van belang maar dat het kan wel. Vind je dat onaanvaardbaar? Gebruik het internet dan maar niet! En neem de beloftes bij beveiligingspakketten maar met een grote korrel zout.
Gebruik een Chromebook, alleen voor gevoelige internet-zaken. Niet omdat daarmee de risico's zijn verdwenen, maar omdat je niet kan worden verweten je computer niet op orde te hebben.
Samenvatting: Geloof niets en bepaal zelf of het risico aanvaardbaar is. Autorijden is ook onveilig!
Een risico is aanvaardbaar zolang je denkt dat het alleen een ander overkomt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.