Tech by VICE

De Motherboard-gids om nooit gehackt te worden

Wil je voorkomen dat criminelen toegang krijgen tot je Gmail- of Facebook-account? Maak je je zorgen dat de politie je bespioneert? We hebben alle antwoorden over hoe je jezelf kunt beschermen.

door MOTHERBOARD STAFF
30 november 2017, 10:44am

Illustratie: Lia Kantrowitz

Het nieuwe seizoen van CYBERWAR laat zien hoe online oorlog, offline net zo verwoestend is. Dit is geen science fiction, maar keiharde realiteit. CYBERWAR gaat langs bij hackende drugskartels, onderzoekt CIA-dodenlijsten en legt overheidsspionage bloot. Klik hier voor meer info over CYBERWAR en kijk elke vrijdagavond om 21.00 uur naar VICELAND voor een nieuwe aflevering.

Eén van de vragen die we bij Motherboard het meest krijgen is, “Wat kan ik doen om te voorkomen dat ik gehackt word?”

Omdat leven in een moderne samenleving een ongemakkelijk groot vertrouwen in andere mensen en bedrijven vereist, is het antwoord op die vraag meestal, “vrij weinig”.

Hackers stelen honderden miljoenen wachtwoorden in één klap en veroorzaken soms grootschalige stroomstoringen. De toekomst zal waarschijnlijk niet beter worden, met rampen die worden veroorzaakt door apparaten die met het internet zijn verbonden, slimme huishoudrobots die je kunnen doden, vliegende hacklaptops en de gevaren van hackers die je genetische gegevens kunnen stelen. Ondertussen schendt de overheid ook onze privacy steeds vaker.

Dat betekent niet dat onze toekomst hopeloos is. Er zijn veel dingen die je kunt doen om het een stuk moeilijker te maken voor hackers om toegang te krijgen tot je apparaten en accounts. Het doel van deze handleiding is dan ook om je heldere, makkelijk te volgen stappen te bieden om je digitale veiligheid te verbeteren. Er zijn over het algemeen twee soorten hacks: hacks die niet te voorkomen zijn door gebruikers en hacks die je in principe kunt voorkomen.

Wij willen je helpen om de schade te beperken van dat eerste type en je bijstaan om het tweede soort te voorkomen. Jij als gebruiker kunt niets doen om te voorkomen dat je e-mailprovider of het bedrijf dat je financiële gegevens bewaart, wordt gehackt. Maar je kunt phishing-aanvallen voorkomen die hackers toegang geven tot je eigen e-mailaccount en je kunt ook voorkomen dat een van je wachtwoorden die buitgemaakt is bij een grotere hack wordt hergebruikt bij een ander account.

Deze handleiding is niet volledig en niet op maat gemaakt; er bestaat niet zoiets als een "perfecte beveiliging" en er zijn geen one-size-fits-all-oplossingen. In plaats daarvan hopen we dat dit een beginpunt zal zijn voor mensen die hun digitale leven wat beter willen beveiligen Dat is waarom we hebben geprobeerd om deze handleiding zo toegankelijk mogelijk te maken.

Deze gids is het werk van veel mensen uit het Motherboard-team uit zowel het heden als verleden en is gecheckt door mensen aan wie we veel dank verschuldigd zijn. Grote delen van deze gids zijn geschreven door Lorenzo Franceschi-Bicchierai, Joseph Cox, Sarah Jeong en Jason Koebler, maar de tips komen voort uit jaren van artikelen en onderzoek naar digitale veiligheid door tientallen journalisten en infosec-professionals. Beschouw het als een voor altijd lopende work-in-progress die ten één keer per jaar vernieuwt zal worden, evenals kleinere updates wanneer belangrijke nieuwe kwetsbaarheden worden blootgelegd. Speciale dank aan Matt Mitchell van Crypto Harlem en Eva Galperin van de Electronic Frontier Foundation voor het checken van delen van deze gids.

Dit is de Motherboard-gids om nooit gehackt te worden.

Illustratie: Koji Yamamoto & Seth Laupus

THREAT MODELING

Alles in deze handleiding begint met “threat models,” wat 1337 hackertaal is voor het vaststellen van de kans dat je gehackt of afgeluisterd wordt. Als je denkt aan hoe je je digitale communicatie kunt beschermen, is het noodzakelijk dat je eerst denk aan wat je wil beschermen en waarvoor je het wil beschermen. “Het hangt af van het threat model,” is iets wat infosec-pro’s zeggen als ze de vraag krijgen of bijvoorbeeld Signal de beste berichten-app is of Tor de veiligste browser is. Het antwoord op iedere vraag over de “beste” beveiliging is: “Het hangt er van af.”

Geen beveiligingsplan is hetzelfde. Wat voor beveiligingsmaatregelen je neemt, hangt puur af van wie mogelijk toegang kan krijgen tot je accounts of wie mogelijk je berichten kan lezen. Het slechte nieuws is dat er geen perfecte oplossing voor is, maar het goede nieuws is dat de meeste mensen threat models hebben waarin zij waarschijnlijk niet hoeven te leven als een paranoïde kluizenaar om online redelijk veilig te kunnen zijn.

Dus voordat je iets anders doet, is het handig om je threat model te overwegen. Wat bescherm je en waarvan of van wie wil je het beschermen?
De Electronic Frontier Foundation adviseert je om jezelf deze vijf vragen te stellen bij het maken van een threat model:
• Wat wil je beschermen?
• Van wie wil je het beschermen?
• Hoe groot is de kans dat je het moet beschermen?
• Hoe groot zijn de consequenties als dit mislukt?
• Hoeveel moeite ben je bereid te doen om deze consequenties te voorkomen?

Is jouw dreiging een ex die wellicht toegang probeert te krijgen tot je Facebook-account? Een goed begin zou zijn om in eerste instantie er voor te zorgen dat ze je wachtwoord niet kent. (Deel nooit belangrijke wachtwoorden met anderen, wie ze ook mogen zijn; als het om Netflix gaat, zorg er dan voor dat je het wachtwoord daarvan voor geen ander account gebruik zoals bijvoorbeeld Facebook.)

Probeer je te voorkomen dat opportunistische doxers je persoonlijke informatie samentrekken – zoals als je verjaardag – om vervolgens andere informatie te vinden? Dan is het een goed idee om in de gaten te houden wat je op social media plaatst of hebt geplaatst. Twee-factor-authenticatie (daarover later meer) kan een goede bijdrage leveren aan het tegenwerken van meer serieuze criminelen. Als je de overheid, de staat of justitie vreest omdat je bijvoorbeeld een activist of journalist bent, is er een aanzienlijk verschil in de stappen die je moet nemen om jezelf te beschermen dan als je een surprise party voor je beste vriend geheim probeert te houden.

Het overschatten van dreiging kan ook een probleem zijn: als je obscure, aangepaste besturingssystemen, virtuele machines of iets anders technisch gebruikt als het echt niet nodig is (of als je niet weet hoe je het moet gebruiken), verspil je waarschijnlijk je tijd en loop je mogelijk gevaar. In het beste geval kunnen zelfs de meest eenvoudige taken een stuk langer duren; in het ergste geval zou je jezelf misschien in een vals gevoel van veiligheid geven met diensten en hardware die je niet nodig hebt, terwijl je niet kijkt naar wat er echt toe doet voor jou en de werkelijke bedreigingen waarmee je te maken kunt krijgen.

Op bepaalde plaatsen biedt deze gids specifieke stappen die moeten worden genomen als je een threat model waarbij je bedreigd wordt door mensen met hele geavanceerde mogelijkheden. Maar over het algemeen is deze gids bedoeld voor mensen die de basis van digitale beveiliging willen leren. Als er in je threat model NSA-hackers of andere groepen die door de staat worden gesteund – zoals Fancy Bear – zitten, raden we je aan om met een professional over jouw specifieke situatie te praten.

HOUD JE APPS UP-TO-DATE

Waarschijnlijk het belangrijkste en meest fundamentele wat je kunt doen om jezelf te beschermen, is om de software die je gebruikt te updaten naar de laatste versie. Dat betekent dat je een bijgewerkte versie van welk besturingssysteem dan ook gebruikt en dat je al je apps en software bijwerkt. Het betekent ook dat je de firmware van je router en alle andere apparaten die verbinding maken met het internet updatet.

Houd er rekening mee dat je op je computer niet noodzakelijkerwijs de nieuwste versie van een besturingssysteem hoeft te gebruiken. In sommige gevallen krijgen zelfs enigszins oudere versies van besturingssystemen beveiligingsupdates. (Helaas is dit niet langer het geval voor Windows XP – echt kappen om hier mee te werken!) Het belangrijkste is dat je besturingssysteem nog steeds beveiligingsupdates ontvangt en dat je ze ook uitvoert.

Dus, als je met één les weggaat uit deze handleiding is het: update, update, update of patch, patch, patch.

Veel voorkomende cyberaanvallen maken gebruik van fouten in verouderde software, zoals oude browsers, PDF-readers of spreadsheet- en tekstverwerkers. Door alles up-to-date te houden, heb je een veel lagere kans om slachtoffer te worden van malware, omdat verantwoordelijke fabrikanten en softwareontwikkelaars hun producten snel patchen nadat er nieuwe hacks in het wild zijn gezien.

Hacken gaat vaak via de weg van de minste weerstand: je gaat eerst achter gemakkelijke doelen aan. Bijvoorbeeld: de hackers achter de destructieve WannaCry-aanval vielen mensen aan die een beveiligingsupdate niet hadden geïnstalleerd die al weken beschikbaar was. Met andere woorden, ze wisten dat ze binnen zouden komen omdat de slachtoffers het slot van hun deur niet hadden veranderd, ook al waren hun sleutels al voor iedereen beschikbaar.

WACHTWOORDEN

We moeten allemaal te veel wachtwoorden onthouden en daarom gebruiken veel mensen dezelfde toegangscode steeds opnieuw. Het opnieuw gebruiken van wachtwoorden is een slecht idee, want als een hacker bijvoorbeeld achter je Netflix- of Spotify-wachtwoord komt, kunnen ze deze bijvoorbeeld gebruiken om toegang te krijgen tot je bankrekening om deze zo leeg te trekken. Hoewel onze hersenen eigenlijk helemaal niet zo slecht zijn in het onthouden van wachtwoorden, toch is het bijna onmogelijk om tientallen unieke, sterke wachtwoorden te onthouden.

Het goede nieuws is dat de oplossing voor dit probleem al beschikbaar is: wachtwoordbeheerders. Dit zijn apps of browser extensies die wachtwoorden voor je bijhouden, je automatisch helpen bij het maken van goede wachtwoorden en je online leven vereenvoudigen. Als je een wachtwoordmanager gebruikt, hoef je slechts één wachtwoord te onthouden: het wachtwoord dat de kluis van je andere wachtwoorden ontgrendelt.

Dat ene wachtwoord moet dan wel écht goed zijn. Vergeet hoofdletters, symbolen en cijfers. De gemakkelijkste manier om een veilig hoofdwachtwoord te maken, is door een wachtwoordzin te maken: verschillende willekeurige maar uitspreekbare woorden. Bijvoorbeeld: recycle zeeotter kurkentrekker snackje dobbelsteen (gebruik dit wachtwoord niet).

Als je dat wachtwoord eenmaal hebt, kun je voor alle andere plekken unieke wachtwoorden van veel tekens gebruiken, zolang je ze maar met een wachtwoordbeheerder maakt en ze nooit opnieuw gebruikt. Het hoofdwachtwoord is beter als wachtwoordzin omdat het gemakkelijker te onthouden is en de andere wachtwoorden niet onthouden hoeven te worden omdat deze door de wachtwoordbeheerder worden opgeslagen.

Intuïtief denk je misschien dat het niet verstandig is om je wachtwoorden op te slaan op je computer of met een wachtwoordbeheer gemaakt door een derde partij. Wat als een hacker toegang krijgt? Het is toch beter als ik ze allemaal in mijn hoofd houd? Nou, niet echt: het risico dat iemand met snode plannen je wachtwoord dat je op meerdere plekken gebruikt ergens steelt, is veel groter dan dat een geavanceerde hacker zich alleen op jouw database met wachtwoorden richt. Als je bijvoorbeeld hetzelfde wachtwoord op verschillende websites gebruikt en dat wachtwoord gestolen is in de gigantische Yahoo!-hacks (waar 3 miljard mensen slachtoffer werden), kan het gemakkelijk gebruikt worden om op je Gmail, Uber, Facebook en andere websites in te breken.

Sommige wachtwoordmanagers slaan je wachtwoorden versleuteld op in de cloud. Dus zelfs als het bedrijf wordt gehackt, zijn je wachtwoorden veilig. De wachtwoordmanager LastPass is bijvoorbeeld minstens twee keer gehackt, maar er zijn geen wachtwoorden gestolen omdat het bedrijf ze veilig en versleuteld op had geslagen. Daarom LastPass blijft nog steeds een aanbevolen wachtwoordbeheerder ondanks deze incidenten. Nogmaals, het gaat erom dat je je eigen threat model goed snapt.

Gebruik daarom een van de vele wachtwoordmanagers die er zijn, zoals 1Password, LastPass of KeePass. Er is geen reden om het niet te doen. Het maakt jou - en de rest van ons – veiliger en het maakt je leven zelfs makkelijker.

En als je werkgever je vraagt periodiek je wachtwoorden te wijzigen voor de veiligheid, vertel ze dan dat dit een vreselijk dom idee is (misschien is het wel slim om het iets diplomatieker te zeggen, het blijft je werkgever). Als je wachtwoordbeheer, twee-staps-verificatie (zie hieronder) gebruikt en unieke sterke wachtwoorden voor elke account gebruikt, is het niet nodig ze voortdurend te wijzigen – tenzij de backend is gehackt of je wachtwoord op de een of andere manier wordt gestolen.

TWEE-STAPS-VERIFICATIE

Unieke, sterke wachtwoorden gebruiken is een geweldige eerste stap, maar zelfs deze kunnen gestolen worden. Dus voor je belangrijkste accounts (denk aan je e-mail, je Facebook-, Twitter-accounts, je bank- of financiële accounts) moet je een extra beschermingslaag toevoegen die bekend staat als twee-staps-verificatie (of 2FA). Veel services bieden tegenwoordig twee-factor aan, dus het doet geen kwaad om het op zoveel mogelijk plaatsen aan te zetten. Bekijk alle services die 2FA aanbieden op twofactorauth.org.

Door twee-staps-verificatie in te schakelen, heb je meer nodig dan alleen je wachtwoord om je bij die accounts aan te melden. Gewoonlijk is het een numerieke code die via een sms naar je mobiele telefoon wordt verzonden, of het kan een code zijn die door een speciale app is aangemaakt (wat geweldig is als je even geen bereik hebt), of een kleine, fysieke token zoals een USB-sleutel (soms een U2F-beveiligingssleutel of YubiKey genoemd, naar het populairste merk).

Er is het afgelopen jaar veel discussie geweest over de vraag of sms-berichten wel als een veilige “tweede stap” kunnen worden beschouwd. Het telefoonnummer van activist Deray McKesson werd gekaapt, wat betekende dat hackers de extra beveiligingscodes die accounts beschermen rechtstreeks naar zichzelf konden sturen. Het National Institute of Standards and Technology (NIST), een onderdeel van de Amerikaanse overheid die richtlijnen schrijft over regels en metingen, inclusief beveiliging, heeft onlangs het gebruik van 2FA met sms afgeraden.

De aanval op Deray werd mogelijk gemaakt door “social engineering”. In dit geval werd een vertegenwoordiger van de klantenservice door een crimineel misleid om Deray kwetsbaar te maken. De aanval hield in dat de hackers zijn telefoonaanbieder zo ver kregen om ze een nieuwe simkaart te sturen, zodat ze zijn telefoonnummer konden overnemen. Dat betekent dat wanneer zij zijn eerste stap (het wachtwoord) gebruikten om in te loggen op zijn account, de tweede stap (de code) rechtstreeks naar ze werd verstuurd. Dit is een steeds vaker voorkomende hack.

Het is moeilijk om je te verdedigen tegen zo’n soort aanval en het is een trieste waarheid dat er de perfecte beveiliging niet bestaat. Maar er zijn stappen die je kunt nemen om deze aanvallen moeilijker te maken en we beschrijven ze hieronder in het stuk over mobiele beveiliging.

Twee-staps-verificatie met sms kan worden misleid en het is ook mogelijk om gebruik te maken van kwetsbaarheden in de telecommunicatie-infrastructuur waarover onze gesprekken lopen. Het is ook mogelijk om met een IMSI-catcher, ook bekend als een Stingray, om je telefoonverkeer – en dus inclusief je verificatieberichten – af te luisteren. We zeggen dit niet om je bang te maken, het is goed om te weten dat elke vorm van twee-staps-verificatie beter is dan niks doen. is gewoon de moeite waard om op te merken dat terwijl alle vormen van twee-staps-verificatie beter zijn dan niets, Maar het is beter om een authenticatie-app te gebruiken of nog beter een fysieke sleutel.

Als de website het toestaat, is het het beste idee om een 2FA te gebruiken die geen gebruikmaakt van sms, zoals een authenticatie-app op je smartphone (bijvoorbeeld Google Authenticator, DUO Mobile of Authy) of een fysieke token.

Gebruik geen Flash: Flash is van oudsher een van de meest onveilige stukjes software die ooit op je computer. Hackers houden van Flash omdat er meer gaten in zitten dan Zwitserse kaas. Het goede nieuws is dat veel van het web zich heeft gedistantieerd van Flash, zodat je het niet echt meer nodig hebt om nog steeds te genieten van een volledig uitgeruste en rijke browserervaring. Overweeg het dus van je computer te verwijderen, of op zijn minst de instellingen te wijzigen in je browser, zodat je telkens moet klikken om Flash te gebruiken.

Gebruik antivirussoftware: Ja, je hebt dit eerder gehoord. Maar het is nog steeds (over het algemeen) waar. Antivirussoftware zit, ironisch genoeg, vaak vol met beveiligingsgaten, maar als je niet iemand bent die het risico loopt om het doelwit te worden van hackers van nationale overheden of behoorlijk geavanceerde criminelen, is het gebruik van antivirus nog steeds een goed idee. Toch is antivirussoftware verre van een wondermiddel en in 2017 heb je meer dan dat nodig om veilig te zijn.

Houd er ook rekening mee dat antivirussoftware per definitie ongelooflijk invasief is: het moet diep in je computer doordringen om malware te kunnen opsporen en stoppen. En dit kan worden misbruikt. De Amerikaanse overheid beschuldigt bijvoorbeeld Kaspersky Lab, een van de bekendste antivirusprogramma's ter wereld, van het doorgeven van gevoelige documenten van een van haar klanten aan de Russische overheid.

Gebruik enkele eenvoudige beveiliging plug-ins: Soms hoeft een hacker je alleen maar naar de juiste website te brengen – een die vol zit met malware – om je goed te grazen te nemen. Daarom is het de moeite waard om een paar plugins die je één keer eenvoudig installeert en daarna kunt vergeten. Je kunt bijvoorbeeld een adblocker gebruiken die je beschermt tegen malware in advertenties op de iets onguurdere stukken van het internet – maar ook op legitieme sites. (Wij zouden het natuurlijk wel waarderen als je Motherboard op de whitelist zet, anders verdienen we geen geld meer om stukken te maken)

Een andere nuttige plug-in is HTTPS Everywhere, waardoor je verbinding wordt versleuteld (wanneer de site dit ondersteunt). Dit zal je niet redden als de website waar je naartoe gaat malware bevat, maar in sommige gevallen helpt het voorkomen dat hackers je omleiden naar valse versies van die site (als een versleutelde versie beschikbaar is) en zal het je over het algemeen beschermen tegen aanvallers die proberen te knoeien met je verbinding met de legitieme site.

Gebruik een VPN: Virtual Private Networks vormen een veilig verbinding tussen jouw computer en internet. Als je een VPN gebruikt, maakt je eerst verbinding met het VPN en vervolgens maak je contact met het hele internet door een laagje beveiliging en privacy. Als je internet gebruikt op een openbare plek, of het nu een koffiezaak, een luchthaven of zelfs een Airbnb-appartement is, deel je dit met mensen die je niet kent. En als een of andere hacker zich op hetzelfde netwerk bevinden, kan hij met je verbinding en je computer knoeien. Het is de moeite waard om wat onderzoek naar VPN's te doen voordat je er een neemt, omdat sommige veel beter zijn dan andere (de meeste gratis VPN’s beschermen je privacy niet goed). We raden Freedome, Private Internet Access of, als je een technische gebruiker bent, Algo aan.

Schakel macro's uit: Hackers kunnen Microsoft Office-macro's in documenten gebruiken om malware op je computer te verspreiden. Het is wat ouderwets, maar het is nu wel weer terug in de mode om hiermee ransomware te verspreiden. Schakel ze uit!

Maak back-ups van je bestanden: Dit natuurlijk geen wereldschokkend nieuws, maar als je je zorgen maakt over hackers die je bestanden vernietigen of versleutelen zodat je er niks meer mee kan (zoals met ransomware), moet je een back-up maken. Ideaal gezien doe je dit terwijl je niet verbonden bent met het internet naar een externe harde schijf, zodat zelfs als je ransomware krijgt, de back-up niet geïnfecteerd raakt.

Deel niet je hele leven zonder reden: mensen delen graag alles over hun leven op sociale media. Maar alsjeblieft, we smeken je, tweet bijvoorbeeld geen foto van de boardingpass of je creditcard. Meer in het algemeen is het een goede instelling om te beseffen dat een bericht op sociale media vaak een bericht is dat iedereen op het internet kan zien. Zelfs als het maar gaat om het raden van je huisadres via je looproutes op een site zoals Strava, een sociaal netwerk voor hardlopers en fietsers.

Persoonlijke gegevens zoals jouw thuisadres of middelbare school kunnen vervolgens worden gebruikt om meer informatie te vinden via een social engineering. Hoe meer persoonlijke gegevens een aanvaller heeft, hoe groter de kans dat deze toegang krijgen tot een van je accounts. Met dat in gedachten, kun je overwegen om ook de privacy-instellingen in sommige van je accounts te verhogen.

Open geen bijlagen zonder voorzorgsmaatregelen: al tientallen jaren hebben cybercriminelen malware in bijlagen zoals Word-documenten of pdf's verborgen. Antivirussoftware stopt die bedreigingen soms, maar het is beter om gewoon je verstand te gebruiken: open geen bijlagen (of klik niet op links) van mensen die je niet kent, of die je niet verwachtte. Als je dat toch wilt doen, gebruik dan voorzorgsmaatregelen, zoals het openen van de bijlagen in Chrome (zonder de bestanden te downloaden). Of nog beter, sla het bestand op in Google Drive en open het vervolgens in Drive, wat nog veiliger is omdat het bestand dan wordt geopend door Google en niet door je computer.

We leven nu in een wereld waarin smartphones onze primaire computerapparaten zijn geworden. Niet alleen gebruiken we mobiele telefoons meer dan computers, maar we houden ze vrijwel altijd bij ons. Het spreekt dan ook vanzelf dat hackers zich elke dag meer en meer op mobiele telefoons richten.

Het goede nieuws is dat er enkele basisstappen zijn en enkele voorzorgsmaatregelen die je kunt nemen om de risico's te minimaliseren en we gaan je vertellen wat deze zijn.

THREAT MODELING OP EEN SMARTPHONE

De meeste mensen gebruiken codes, of patronen om hun telefoon te “vergrendelen”. Als je dit niet doet, zou je dat absoluut moeten doen! (Volgens een recente studie zijn patronen veel eenvoudiger te raden of te af te kijken dan pincodes of wachtwoorden.)

Een van de grootste mobiele bedreigingen is iemand die fysieke toegang tot je telefoon heeft en deze kan ontgrendelen. Dit betekent dat je veiligheid slechts zo goed is als je toegangscode: geef je code niet aan andere mensen en vermijd gemakkelijk te raden toegangscodes zoals je geboortedatum of adres. Zelfs simpele toegangscodes en wachtwoorden werken goed om zakkenrollers of straatdieven tegen te houden, maar ze doen niet zo goed hun werk als je je zorgen maakt over een partner die bijvoorbeeld je pincode kent.

Hier zijn een paar basisstappen die je kunt doen om andere veel voorkomende bedreigingen voor je mobiele telefoon te voorkomen.

GEBRUIK EEN iPHONE

Vrijwel iedereen in de wereld van cyber security – behalve misschien de technici die aan Android werken – is van mening dat iPhones de veiligste mobiele telefoons zijn. Er zijn een paar redenen waarom, maar de belangrijkste reden is dat iOS, het mobiele besturingssysteem van Apple, hermetisch afgesloten is.

Apps worden uitgebreid gecontroleerd voordat ze in de App Store komen en er zijn uitgebreide veiligheidsmaatregelen getroffen, zoals dat alleen code die is goedgekeurd en digitaal is ondertekend door Apple kan worden gebruikt (een maatregel die bekend staat als code-signing) en het feit dat apps maar beperkt kunnen verbinden andere apps (sandboxing). Deze functies maken het erg moeilijk voor hackers om de meest gevoelige delen van het besturingssysteem aan te vallen. Omdat Apple de iOS-infrastructuur bestuurt, krijgen iPhones onmiddellijke, regelmatige beveiligingsupdates en patches van Apple; het kan soms maanden of weken duren voordat Android-apparaten kritieke beveiligingsupdates krijgen. Zelfs de iPhone 5s, die in 2013 werd gelanceerd, wordt nog steeds ondersteund.

Dus als je paranoïde bent, is de iPhone de mobiele telefoon die uit de doos het meest veilig is. En tenzij je er een heel goede reden voor hebt, moet je je telefoon NIET jailbreaken. Hoewel de jailbreak-beweging en de hackers erachter hebben bijgedragen om de iPhone veiliger te maken, krijg je met het jailbreaken van een iPhone op dit moment niet echt een functie die de verhoogde risico's waard is. In het verleden waren hackers in staat om alleen ‘jailbroken’ iPhones op grote schaal aan te vallen.

Niets is echter onmogelijk om te hacken. We weten dat sommige regeringen zijn bewapend met miljoenen dollars aan hacktools om iPhones te hacken en misschien hebben sommige geavanceerde criminelen deze ook wel tot hun beschikking. Maar toch raden we je aan om een iPhone te gebruiken, installeer de updates en jailbreak hem niet. Waarschijnlijk zit je dan wel goed.

MAAR IK HOU VAN ANDROID! OKÉ DAN...

Android is het meest populaire besturingssysteem ter wereld geworden dankzij het gedecentraliseerd en open-source is, en omdat er veel telefoons te koop zijn die veel goedkoper zijn dan iPhones. In sommige opzichten was dit openlijke karakter de grootste zonde van Android: Google ruilde de controle en daarmee de veiligheid in voor marktaandeel. Op deze manier zijn kritieke beveiligingsupdates de verantwoordelijkheid van providers en fabrikanten die het in het verleden nogal eens laconiek met het uitrollen hiervan zijn geweest.

Het goede nieuws is dat dit de afgelopen twee jaar veel verbeterd is. Google heeft partners gestimuleerd om gebruikers maandelijkse updates te geven en de Googles eigen telefoons worden bijna even vaak geüpdatet als een iPhone en ook een aantal van dezelfde beveiligingsfeatures.

Je kunt dus het beste vasthouden aan Pixels of Nexus-telefoons waarvan de beveiliging niet afhankelijk is van iemand anders dan Google. Als je echt geen Google-telefoon wilt, hebben deze telefoons volgens Google een goed trackrecord van het pushen van beveiligingsupdates.

Welke Android-telefoon je ook bezit, wees voorzichtig met welke apps je installeert. Hackers zijn vaak erg succesvol geweest om kwaadaardige apps in de Play Store te krijgen, dus denk goed na voordat je een weinig bekende app installeert, of controleer of de app die je installeert echt de gewenste app is. Eerder dit najaar werd een nep-versie van WhatsApp geïnstalleerd door meer dan een miljoen Android-gebruikers. Blijf ook bij de Play Store en vermijd het downloaden en installeren van apps in externe winkels, waar het risico veel groter is. Op de meeste Android-telefoons is het installeren van apps van derden niet standaard ingeschakeld en het zou verstandig zijn om dit ook zo te laten.

Om de gegevens op je Android-telefoon te beschermen, moet je ervoor zorgen dat de volledige schijfversleuteling is ingeschakeld. Open je Instellingen app, ga naar "Beveiliging" en klik op "Telefoon versleutelen" als dit nog niet is ingeschakeld. (Als dit niet werkt op je apparaat, Google je de instructies voor je specifieke handset).

Ten slotte, hoewel niet verplicht, kan het een goed idee zijn om een mobiele antivirussoftware, als Lookout of Zips te installeren. Hoewel deze effectief kunnen zijn tegen criminele malware, zullen ze waarschijnlijk de hackers van de overheid niet stoppen.

VERGRENDEL DIE SIMKAART

Onlangs onthulden we dat hackers een vervelende bug op een T-Mobile-website hadden misbruikt om de persoonlijke gegevens van klanten te verzamelen in een poging om deze vervolgens te gebruiken om zich voor te doen als de slachtoffers en helpdeskmedewerkers van T-Mobile te misleiden om nieuwe SIM-kaarten naar de hackers te sturen. Dit soort aanvallen, bekend als “SIM-swapping” of “SIM-kaping'”, stellen hackers in staat om je mobiele telefoonnummer over te nemen en op zijn beurt alles wat ermee verbonden is. Zo maakt SIM-kaping twee-staps-verificatie via sms zo gevaarlijk.

Je telefoonnummer is waarschijnlijk de toegangspoort tot meerdere andere, wellicht meer gevoelige delen van je digitale leven: je e-mail, je bankrekening en je iCloud-back-ups.

Als consument heb je geen controle over de bugs die je provider openlaat voor hackers. Wel kun je het een beetje moeilijker maken voor hackers om zich als jou voor te doen tegenover goedgelovige helpdeskmedewerkers. De oplossing is gemakkelijk, hoewel niet veel mensen er van op de hoogte zijn: een secundair wachtwoord of toegangscode die je moet opgeven als je je mobiele provider belt. De meeste Amerikaanse providers bieden deze optie bijvoorbeeld al aan.

Bel je provider op en vraag ze om dit voor je in te stellen. Zorg er natuurlijk wel voor dat je dit telefoonwachtwoord onthoudt, of nog beter, schrijf het op in je wachtwoordbeheerder.

Illustartie: Koji Yamamoto & Seth Laupus

In de nasleep van 11 september kregen inlichtingendiensten overal ter wereld meer bevoegdheden.

Hierdoor zou je een beetje paranoïde kunnen worden. Het zijn niet alleen de NSA en de FBI, maar zelfs lokale politie heeft meer middelen tot hun beschikking om mensen af luisteren dan ooit tevoren. En er is een angstaanjagende hoeveelheid passieve en onverwachte bewaking om je zorgen over te maken: je social media accounts kunnen worden gedagvaard, je e-mails of telefoontjes kunnen worden achterhaald en de metadata van je mobiel telefoon kan worden vastgelegd door Stingrays en IMSI-catchers die eigenlijk bedoeld zijn om iemand anders te vangen.

Onthoud dat anti-surveillance geen de remedie is, het is maar één ding dat je kunt doen om jezelf en anderen te beschermen. Jij bent waarschijnlijk niet de persoon die het grootste risico loopt, maar dat betekent niet dat je geen betere beveiliging moet nemen. Staatstoezicht is een ingewikkeld ding: je kunt de beste beveiliging van de wereld hebben, maar als je berichten stuurt naar iemand die dat niet heeft, kun je nog steeds bespioneerd worden via hun apparaat of via hun communicatie met andere mensen (als ze over datgene wat je ze hebt verteld praten bijvoorbeeld).

Daarom is het belangrijk dat goede beveiliging normaal wordt: als je niet zoveel hebt om bang voor te zijn, is het des te belangrijker dat je sommige van deze tools gebruikt, omdat dat de acties van je vrienden minder opvallend maakt, wat vooral belangrijk is als ze bijvoorbeeld immigranten zonder papieren zijn of zich bezighouden met activisme. De huidige CIA-directeur denkt dat het gebruik van encryptie aanwijzing kan zijn dat je iets in je schild voert. Als je "niets te verbergen" hebt, kun je door encryptie te gebruiken mensen die gevaar lopen helpen om minder op te vallen. Door deze handleiding te volgen, maak je iemand anders veiliger. Zie het als kudde-immuniteit. Hoe meer mensen goede beveiliging toepassen, hoe veiliger iedereen is.

De beveiligingstips eerder in deze handleiding zijn nog steeds van toepassing: als je jezelf kunt beschermen tegen hacks, kun je beter voorkomen dat je wordt afgeluisterd (als het op het afluisteren van iPhones aankomt, hebben overheden bijvoorbeeld vaak weinig opties behalve het hacken van de telefoon). Maar technische tools lossen niet alle problemen op. Regeringen hebben een wapen in handen dat criminele hackers niet hebben: de wet. Veel van de tips in dit gedeelte van de gids helpen je niet alleen tegen juridische verzoeken en hacks door de overheid, maar ook tegen iedereen die je probeert te bespioneren.

Je hoeft geen beveiligingsdeskundige te worden. Denk gewoon aan je risico's en laat je niet intimideren door de technologie. Beveiliging is een continu leerproces. Zowel de bedreigingen als de tools die zijn ontwikkeld om deze aan te pakken veranderen voortdurend, wat een van de redenen is waarom privacy- en beveiligingsadvies vaak wispelturig en tegenstrijdig lijkt. Niettemin zijn de onderstaande tips een goed begin.

THREAT MODELING (de privacy- en afluistereditie)

Houd er rekening mee dat verschillende tools verschillende problemen aanpakken. Zonder threat modeling is het gemakkelijk om je overweldigd te voelen door de hoeveelheid bruikbare tools die er zijn. Threat modeling tegen spionage is vergelijkbaar met threat modeling tegen hackers, maar er zijn enkele nuances die in elke situatie verschillen. Het is bijvoorbeeld voor sommige mensen makkelijk om de hele tijd “Gebruik Signal, gebruik Tor” te zeggen en er klaar mee te zijn, maar dat werkt niet voor iedereen.

Als het gaat om staten die mensen afluisteren, kan het handig zijn om onderscheid te maken tussen twee verschillende vormen: het afluisteren van metadata (wie je bent, met wie je praat, wanneer je praat) en het afluisteren van de inhoud (wat je zegt). Zoals met alle dingen, wanneer je een beetje dieper graaft, is het niet zo simpel als dat. Maar als je hier voor de eerste keer over nadenkt, is dit een goed begin.

Aftapwetten zijn ingewikkeld, maar kort gezegd, zowel de wet als de huidige techniek maken het gemakkelijker om metadata te bemachtigen dan de inhoud van communicatie. Metadata is niet noodzakelijkerwijs minder belangrijk of onthullend dan de inhoud. Als iemand bijvoorbeeld met een abortuskliniek beld, en alleen de metadata kan worden achterhaald, zegt deze data al bijna net zoveel als de inhoud van het specifieke gesprek.

Begin te denken aan wat open en bloot staat en wat je kunt beschermen. Soms moet je accepteren dat je maar heel weinig kunt doen aan een bepaald communicatiekanaal. Als de omstandigheden moeilijk zijn, moet je omheen werken.

SIGNAL

Signal is een berichtendienst met goede encryptie voor smartphones en computers. Het is voor veel, maar niet voor alle mensen, een goede optie om niet afgetapt te worden. Omdat de overheid elektronische berichten kan onderscheppen al ze worden verzonden, wil je end-to-end-encryptie gebruiken voor zoveel mogelijk van je berichten.

Het gebruik van Signal is eenvoudig. Je kunt de vinden en installeren in de app store van je telefoon. (In de iOS App Store en de Google Play Store heet de app "Signal Private Messenger" en wordt deze uitgebracht door Open Whisper Systems.)

Als je het telefoonnummer van de andere persoon in je lijst met contacten hebt, kun je deze bekijken in Signal en diegene berichten of bellen. Zolang de andere persoon ook Signal heeft, worden de berichten automatisch versleuteld.

Er bestaat zelfs een desktop-app. Ga naar de website van Signal.org en download de app voor jouw besturingssysteem. Volg gewoon de instructies – het is makkelijker dan je denkt.

Met Signal kun je ook berichten na een bepaalde tijd automatisch laten verdwijnen. Je kunt allerlei verschillende tijden instellen, inclusief zeer korte lengtes. Dit is een geweldige functie voor journalisten die hun bronnen of gesprekken met redacteuren willen beschermen.

Dit zijn geweldige functies en ze maken deel uit van de reden waarom we Signal aanbevelen boven veel andere veilige berichtenapps. iMessage en WhatsApp gebruiken ook end-to-end-encryptie, maar ze hebben allebei nadelen.

We raden WhatsApp niet aan, omdat WhatsApp eigendom is van Facebook en het gebruikersinformatie heeft gedeeld met het moederbedrijf. Hoewel dit alleen metadata is, toch wordt hier de privacybelofte die werd gedaan toen WhatsApp werd overgenomen door Facebook teruggedraaid. We denken dat dit niet veel goeds zegt over de algehele betrouwbaarheid van het bedrijf in de toekomst.

Het is een goede zaak dat Apple iMessages end-to-end versleutelt. Maar iMessage maakt ook standaard een back-up naar iCloud, daarom kun je ook berichten op al je Apple-apparaten ontvangen. Dit is een geweldige en leuke functie, maar als je je zorgen maakt over een overheid die je afluistert, onthoud dan dat Apple gegeven overdraagt aan overheden als ze dat eisen "iMessage en sms-berichten worden voor jouw gemak geback-upt met iCloud," valt te lezen op de privacypagina van Apple. Je kunt deze functie uitschakelen, maar in theorie kan Apple worden gedwongen toegang te krijgen tot de iMessages die je hebt gestuurd aan mensen die de functie nog steeds hebben ingeschakeld.

Signal bewaart heel weinig informatie. We weten dit, omdat Open Whisper Systems vorig jaar door de regering van de VS werd gedagvaard en werd gedwongen om informatie over te dragen. Maar omdat de app zo ontworpen was dat ze min mogelijk informatie opsloegen, viel er ook niet veel te halen. Signal houdt het telefoonnummer, de datum waarop het account is gemaakt en het tijdstip van de laatste verbinding met Signal-servers bij. Ja, dat is nog steeds iets, maar zoals je kunt zien, is het niet erg veel.

Er zijn slechtere producten te gebruiken dan iMessage en WhatsApp. Je moet absoluut vermijden om Telegram te gebruiken voor gevoelige communicatie. Google kan je GChats lezen, tenzij je aanvullende stappen neemt om ze end-to-end te versleutelen. Er zijn verschillende andere producten op de markt die fatsoenlijke alternatieven zijn (bijvoorbeeld Wire), maar net als WhatsApp en iMessage zitten er bedrijven achter die winst willen maken, en weten we niet hoe ze hier in de toekomst geld aan willen gaan verdienen. Signal is een open source-, non-profit-project. Dat heeft zijn eigen nadelen (Signal werkt bijvoorbeeld niet zo lekker als iMessage, en het heeft ook niet de luxe dat er een groot beveiligingsteam achter zit), dus misschien is het een idee om een kleine donatie te doen als je de app downloadt.

Een ding dat het vermelden waard is over Signal, is dat je het apparaat moet koppelen aan een telefoonnummer. Dit betekent dat je de mensen die je bericht hebben moet vertrouwen met je telefoonnummer (of je moet allerlei moeilijke dingen doen om Signal met een neptelefoonnummer te gebruiken). Er zijn genoeg redenen te verzinnen waarom je mensen een bericht zou willen sturen zonder dat je je telefoonnummer aan ze zou willen geven. Als dit voor jou een probleem is, overweeg dan een andere app.

Iets anders om te onthouden is dat alleen omdat communicatie end-to-end versleuteld is, dat nog niet betekent dat deze onzichtbaar is voor de overheid. Het betekent alleen dat de inhoud wordt versleuteld tussen de eindpunten. Je kunt het bericht zien en de ontvanger kan het bericht zien. Als het tijdens het versturen wordt onderschept, is het volledig onleesbaar en is de inhoud van je bericht beschermd.

Maar als een “eindpunt” compromitteert is, of met andere woorden, als je eigen telefoon wordt gehackt of fysiek in het bezit komt van de overheid, of als je sms-partner een screenshot maakt van jullie gesprek, is het game-over.

Encryptie maakt het voor de overheid niet onmogelijk om je af te luisteren, het maakt het alleen maar veel moeilijker.

SOCIAL MEDIA

Weet dat inlichtingendiensten dingen die activisten online posten bijhouden. Facebook, Instagram en Twitter hebben bijvoorbeeld allemaal de Amerikaanse politie geholpen met gegevens die gebruikt konden worden om Black Lives Matter-activisten te volgen.

Zelfs als je je privacyinstellingen op slot zet, kunnen socialmediabedrijven gedagvaardigd worden om jou gegeven over te leveren. Vaak zullen ze informatie doorzoeken zonder de gebruiker er ooit van op de hoogte te stellen dat dit is gebeurd. Neem van social media aan dat alles wat je publiceert openbaar is. Dit betekent niet dat je moet stoppen met het gebruiken van sociale media, het betekent alleen dat je je bewust moet zijn van hoe je het gebruikt.

Als je een activist bent, overweeg dan om een pseudoniem te gebruiken voor je activisme. Als je überhaupt online publiceert, houd dan ook rekening met de veiligheid en privacy van anderen.

Wie tag je in je berichten? Voegt je je locatie toe? Van wie ben je op de foto en waarom? Wees vooral voorzichtig met foto's of berichten over demonstraties, betogingen of vergaderingen. Gezichtsherkenningstechnologie is nu behoorlijk verfijnd, dus zelfs als je mensen niet tagt, kan een algoritme in theorie naar activisten zoeken en ze identificeren op een foto van een betoging. Je kunt dit al aan het werk zien in de tag-suggesties van Facebook.

Als je een foto van iemand maakt bij een demonstratie, zorg dan dat hij of zij instemt en dat ze weten wat de implicaties hiervan kunnen zijn.

CAMERA'S EN MICROFOONS

Woon je in de buurt van camera's? Als je met internet verbonden beveiligingscamera's in je huis gebruikt een webcam aan hebt staan, laat deze dingen dan niet onbeveiligd. Zorg ervoor dat je de standaardwachtwoorden hebt gewijzigd en bedek ze wanneer je ze niet gebruikt.Als je een laptop of een smartphone hebt, gebruik dan een sticker om de camera aan de voorzijde te bedekken. Je hoeft niet te stoppen met facetimen of selfies te versturen, je wil dat ding gewoon bedekken zodat niemand meekijkt als je dat niet wil. De Electronic Frontier Foundation verkoopt verwijderbare stickers voor op je laptopcamera (vijf voor € 5,-) die geen lijmresten achterlaten op je camera, zodat je ze makkelijk eraf kunt halen als je je camera nodig hebt.

Ten slotte is er absoluut geen manier om ervoor te zorgen dat je microfoon niet opneemt. Als je je zorgen maakt over het feit dat je afgeluisterd kunt worden, kun je overwegen je telefoon uit te zetten en in de magnetron te leggen ( tijdelijk en met de magnetron uitgeschakeld!) of je telefoon in de andere kamer achter te laten. Je telefoon uitschakelen, hoeft je niet per se te beschermen! En overweeg al je apparaten buiten de slaapkamer te laten wanneer je seks hebt.

In 2012 werd Khadija Ismayilova, een journalist uit Azerbeidzjan, gechanteerd met een stiekem gefilmde sekstape. De afperser zei tegen Ismayilova dat ze moest stoppen met het publiceren van kritische artikelen over de overheid, of dat haar tape zou worden vrijgegeven. (Ismayilova trad in de openbaarheid en de tape werd op het internet geplaatst.) In 2015 veroordeelde de Azerbeidzjaanse regering haar tot zeven en een half jaar gevangenisstraf wegens belastingontduiking. Ze is momenteel op proef vrij.

Regeringen in binnen- en buitenland hebben seks gebruikt om mensen te chanteren. Houd daar rekening mee en bescherm je privacy.

TOEGANGSSCHERM

Gebruik een wachtwoord of toegangscode op je telefoon en je computer. Vertrouw niet alleen op je vingerafdruk. De politie heeft meer kans om je wettelijk te verplichten om je vingerafdruk te gebruiken om je telefoon te openen. Je kunt een sterker grondwettelijk recht hebben om je wachtwoord niet uit te spreken.

GEBRUIK OTR OM TE CHATTEN (als het nodig is)

Het is het beste om Signal voor desktop te gebruiken om met mensen te chatten. Maar hier is nog een andere optie die vooral handig is voor journalisten.

Sluit je Gmail-venster en gebruik in plaats daarvan OTR (Off The Record) om te chatten. Houd er rekening mee dat je alleen OTR kunt gebruiken als de andere persoon ook OTR gebruikt. Mac-gebruikers kunnen Adium installeren, PC- en Linux-gebruikers moeten Pidgin en de OTR-plug-in installeren.

Je kunt je Gmail-account gebruiken als je chat-ID. Dus wat er aan de hand is, is dat je Gchat gebruikt, maar dan met nog een laag encryptie erbovenop. Open een chatvenster en klik op het vergrendelingsicoon om de encryptie te starten. En zorg ervoor dat je je instellingen aanpast, zodat je geen chatlogs behoudt tijdens versleutelde gesprekken.

Nogmaals, end-to-end gaat alleen zo ver. Als de andere persoon je gesprekken registreert, maakt het niet niet uit wat je doet. Als je je zorgen maakt, vraag je vriend dan om te stoppen met jullie gesprek te registreren.

DE TOR-BROWSER

Tor – de naam is een afkorting voor "The Onion Router" – versleutelt je internetverkeer door het door verschillende lagen van computers te leiden. Op deze manier kan het, wanneer je een website bezoekt, niet vertellen waar je verbinding vandaan komt. De eenvoudigste manier om Tor te gebruiken is om de Tor-browser te installeren. Het werkt net als Firefox of Chrome of Internet Explorer, maar dan een stuk langzamer door de extra lagen privacy die het biedt.

Het gebruik van Tor voor alles geeft je een grote privacy boost, maar het is een beetje onpraktisch. Het praktisch onmogelijk om Netflix via Tor te streamen. Evalueer je behoeften en bedenk hoeveel Tor je nodig hebt in je leven. Onthoud altijd dat je IP-adres (dat kan verklappen waar je je verbindt) wordt blootgelegd als je het niet gebruikt.

Er zijn vier redenen waarom je Tor misschien zou willen gebruiken.

  • Je probeert je identiteit verborgen te houden.
  • Je gebruikt veel openbare netwerken.
  • Je probeert de overheid censuur te omzeilen.
  • Je andere mensen die Tor gebruiken wil beschermen.

Als je een activist bent die probeert zijn identiteit te verbergen, moet je met Tor je IP-adres maskeren. Dit scenario is voor beperkt gebruik. Het zou natuurlijk nergens op slaan om Tor te openen, in te loggen op mijn openbare Twitter-account en te tweeten, "Hoe gaat het met iedereen? Ik Tweet vanuit de kantoren van Vice Media in Amsterdam." Ik geef alle informatie die Tor voor mij maskeert meteen weer vrij.

Als je verbinding maakt met veel openbare netwerken (denk aan koffiezaken, een hotel of de luchthaven), moet je Tor gebruiken. Het biedt vergelijkbare voordelen als VPN's, maar zonder veel van de nadelen van een VPN (zie de volgende sectie voor meer info).
Als onze regering delen van het internet begint te censureren, zoals veel andere regeringen doen, kan Tor je misschien helpen om dat te omzeilen. Tor helpt mensen zeker om verbinding te maken met internet vanuit andere landen die internetcensuur toepassen.

Ten slotte is het ding over Tor dat hoe meer mensen het gebruiken, hoe minder traceerbaar iedereen is. Wanneer veel willekeurige mensen van over de hele wereld het gebruiken, wordt het sterker en sterker. Als je de tijd neemt om Tor elke dag te gebruiken, help je mensen die het echt nodig hebben.

Een paar kanttekeningen: Tor is niet kogelvrij. Het is bekend dat de overheden groepen gebruikers op Tor kan hacken, net zoals dat het massaal VPN-gebruikers hackt. Tor maakt het op zichzelf niet onwaarschijnlijker dat je wordt gehackt. Tor is er voor privacy en niet voor beveiliging. En Tor is ontworpen om het moeilijk te maken om je verkeer te achterhalen, niet onmogelijk. Er is dus altijd een risico dat je niet wordt verborgen.

De computers die deel uitmaken van het Tor-netwerk - die waar je verkeer doorheen stuitert - worden gerund door vrijwilligers, instellingen en organisaties over de hele wereld, van wie sommigen juridische risico's lopen door dit te doen. Het is niet de bedoeling dat ze het verkeer dat door hen heen gaat registreren, maar omdat het een vrijwilligersnetwerk is, kunnen sommigen dat doen. Het risico wordt beperkt door het feit dat elk knooppunt alleen een momentopname ziet van het verkeer dat er doorheen loopt, en niemand heeft toegang tot zowel het IP van de gebruiker als hun niet-versleutelde verkeer. Iemand met slechte zou een heel groot aantal Tor-knooppunten moeten hebben om zinvol verkeer te loggen - wat moeilijk zou zijn - en het Tor-project controleert ook of mensen dat proberen te doen.

Uiteindelijk is Tor beter om te beschermen tegen aftappen van de overheid dan een VPN, en een VPN is beter dan niets.

Het is niet duidelijk of Tor in de toekomst zal blijven bestaan. Tor wordt deels beheerd door subsidies van de overheid. (Zoals veel geavanceerde technologieën werd Tor oorspronkelijk ontwikkeld door het Amerikaanse leger.) Het is mogelijk dat Tor het grootste deel van zijn financiering op zeer korte termijn zal verliezen. Dus overweeg donatie aan het Tor-project.

VIRTUAL PRIVATE NETWORKS (VPN'S)

Als het gaat om afluisteren door de overheid gaat een VPN niet veel helpen. Een VPN zal je IP-adres verbergen, maar als het gaat om regeringen die je afluisteren, kunnen de aanbieders van VPN's worden gedagvaard voor gebruikersinformatie die jou uiteindelijk kunnen identificeren. Bijvoorbeeld: veel VPN-bedrijven houden bij wanneer en op welke sites toegang wordt verkregen tot welke IP-adressen zich aanmelden – uiteindelijk terug te leiden is naar jou, vooral als je je creditcard hebt gebruikt om te betalen voor een VPN-abonnement.

Sommige VPN-bedrijven claimen geen gebruikersinformatie te loggen. Je moet evalueren hoeveel je deze bedrijven vertrouwt en die beslissing voor jezelf nemen. Als je je zorgen maakt over overheids surveillance, is onze aanbeveling dat je bij Tor blijft.

PGP (waarschijnlijk niet de moeite waard)

De enige betrouwbare manier om je e-mail te versleutelen is PGP, ook wel bekend als Pretty Good Privacy. PGP is echter ongelooflijk vervelend om te gebruiken. Zelfs de maker van PGP, Phil Zimmermann, is gestopt om het te gebruiken, omdat hij het niet op zijn telefoon kan gebruiken. Het probleem is niet alleen dat je PGP moet kunnen begrijpen om er gebruik van te maken, maar iedereen met wie je praat, moet het ook uitzoeken. Iemand vertellen om Signal te downloaden is een stuk eenvoudiger dan ze door openbare of private sleutelcodering te laten lopen. Dit is waar je threat model van pas komt, om te helpen bepalen of PGP het je echt waard zal zijn.

Als je absoluut een versleutelde e-mail moet gebruiken, kan deze gids voor PGP nuttig zijn. Het is lastig, dus misschien wil je naar een crypto-feest gaan en een activist of technoloog vragen om je te helpen bij het opzetten ervan.

EEN PRIVÉ-EMAILSERVER GEBRUIKEN (doe het niet)

Als 2016 iets heeft gedaan, is dat het iedereen ervan heeft overtuigd om geen eigen e-mailserver te gebruiken.

Het is waar dat Google en andere bedrijven zich moeten houden aan gerechtelijke bevelen voor jouw informatie, inclusief je e-mails. Maar aan de andere kant weet Google veel beter hoe je e-mailservers kunt runnen dan jijzelf. E-mailservers zijn moeilijk! Vraag het maar aan Hillary Clinton.

Als je e-mail versleuteld, kan Google alleen de metadata overhandigen (wie verzendt naar wie en het onderwerp). Omdat het versleutelen van e-mail enorm ingewikkeld is, is het een goed idee er niet mee te versturen, maar kanalen met end-to-end-encryptie. Laat je e-mailaccount niet in de steek, maar wees je ervan bewust dat de overheid de inhoud kan achterhalen.

VERSLEUTEL JE HARDE SCHIJF

Goed nieuws: dit is niet zo moeilijk meer als vroeger!

Full-disk-encryptie betekent dat zodra je apparaat is vergrendeld (wanneer het is uitgeschakeld, of wanneer het scherm vergrendeld is), de inhoud van je harde schijf niet toegankelijk is zonder je wachtwoord of sleutel.

Veel smartphones worden geleverd met volledige ingebouwde schijfversleuteling. Als je een iPhone bezit met een recentelijk bijgewerkt besturingssysteem (dus zo ongeveer de afgelopen drie jaar), gooi je gewoon een wachtwoord erop en zit je goed.

Als je een Android-telefoon hebt, is deze mogelijk al standaard versleuteld (de Google Pixel is dit bijvoorbeeld wel). Maar de kans is groot dat dit niet zo is. Er is geen actuele handleiding over het inschakelen van versleuteling op alle Android-apparaten, dus je zult zelf moeten rondneuzen of een vriend vragen. En als je een Windows-telefoon hebt, moge God u helpen, want wij kunnen dat niet.

Wat betreft computers zijn dingen veel eenvoudiger dan vroeger. Gebruik in plaats daarvan de volledige schijfcodering optie van uw besturingssysteem. Voor MacBooks met Lion of nieuwer zet je gewoon FileVault aan.

Windows daarentegen is een stuk gecompliceerder. Ten eerste hebben sommige gebruikers standaard encryptie. Wat meer gebruikers kunnen het inschakelen, maar het is een beetje vervelend. Als je de Bitlocker van Microsoft gebruikt, moet je wat extra instellingen gebruiken om het veiliger te maken. Apple behoudt niet de mogelijkheid om je apparaten te ontgrendelen. Het is bekend dat als de overheid naar Apple gaat, Apple niet zomaar je telefoon voor de politie kan decoderen. Althans, niet zonder een hack te bedenken die invloed zal hebben op elke iPhone in de wereld. Microsoft doet niet helemaal hetzelfde – in sommige gevallen gebruiken ze wat bekend staat als 'key escrow', wat betekent dat ze je machine kunnen ontcijferen - dus je moet extra stappen nemen (in dit artikel uitgelegd) om hetzelfde beschermingsniveau te bereiken.

Je moet mogelijk een beroep doen op VeraCrypt. Volgens veel oudere guides moet je TrueCrypt gebruiken, ongeacht het besturingssysteem. Dit is nu achterhaald advies. Maar dat is een gigantische crypto-soap, die niemand meer echt snapt. Om kort hierop in te gaan: er is niets mis met VeraCrypt voor zover de experts het kunnen vertellen, maar als je de optie hebt, gebruik dan de volledige schijfversleuteling die al in je besturingssysteem zit.

Als je Linux gebruikt, ondersteunt je distro waarschijnlijk meteen encryptie. Volg de instructies tijdens het installeren.

CREDITCARDS

Weet dat creditcardbedrijven nooit de overheid tegenwerken. Als je betaalt voor iets met je creditcard, weet dan dat de overheid die informatie vrij gemakkelijk kan verkrijgen. En onthoud dat als je identiteit ergens aan bod komt, er een keten ontstaat die de overheid helemaal kan volgen.

Als je bijvoorbeeld een prepaid Visa-cadeaubon ontvangt met je persoonlijke creditcard en daarmee een VPN-bedrijf betaalt, dan kan de overheid gewoon teruggaan door de keten en zo je persoonlijke creditcard en jou vinden. Als je een VPN-bedrijf betaalt met Bitcoin, maar de Bitcoin via een Bitcoin-tra hebt gekocht met je persoonlijke creditcard, is dat ook traceerbaar.

Dit geldt voor alles waarvoor je geld gebruikt, zoals het kopen van domeinen of goedkope prepaid telefoons, ook wel burners genoemd. Praktisch gezien kun je hier niet veel aan doen. Dit is een van de redenen waarom we Tor aanbevelen in plaats van een VPN.

Het is ook een van de redenen waarom het zo moeilijk is om een burner-telefoon te krijgen die echt een burner is. (Hoe ga je betalen voor een abonnement zonder je naam hieraan te koppelen?) Er is geen eenvoudig antwoord. We gaan niet doen alsof we in dit geval goed advies kunnen geven. Als je merkt dat je leven afhankelijk is van anoniem blijven, zul je veel meer hulp nodig hebben dan welke internetgids dan ook.

Nog een ding: vooralsnog hebben organisaties als de ACLU en NAACP een grondwettelijk recht om de namen van donoren niet op te geven. Maar je creditcard of PayPal kunnen jou hoe dan ook verraden. Dit betekent niet dat je niet moet doneren aan organisaties die zich verzetten tegen onderdrukking en vechten voor burgerrechten. Integendeel, het maakt het des te belangrijker dat je het doet. Hoe meer gewone mensen dat doen, hoe meer individuele donoren worden beschermd tegen controle en achterdocht.

SPECIALE OPMERKINGEN VOOR JOURNALISTEN

Wil je je bronnen beschermen? Je aantekeningen, je Slack-chats, je Gchats, je Google Drive, je Dropbox, je opgenomen interviews, je transcripties en je teksten kunnen allemaal voor de rechtbank terechtkomen. Afhankelijk van wat voor soort rechtszaak het is, maakt het misschien niet uit of je informatie versleuteld is.

Wacht niet tot een rechtszaak dreigt om al je informatie te verwijderen. Dat is misschien illegaal en misschien riskeer je om naar de gevangenis te gaan. Elke situatie is anders: je aantekeningen zijn misschien nodig om je uit de problemen te halen. Dus als je het type bent dat nooit aantekening en notities weggooit, weet dan wat de risico’s zijn, praat met een advocaat en handel op verantwoorde wijze.

DE TOEKOMST (?)

at brengt ons bij ons volgende punt: we weten niet wat de toekomst inhoudt. Deze gids is geschreven met de huidige technische en juridische mogelijkheden van in gedachten. Maar dat kan in de toekomst allemaal veranderen. Sterke encryptie kan illegaal worden. De Verenigde Staten kunnen internetcensuur beginnen te bedrijven zoals China en andere landen dat doen. De overheid kan een nationaal identiteitsbeleid invoeren om online te gaan, waardoor het bijna onmogelijk wordt om anoniem te posten.

Deze dingen zijn moeilijker te handhaven en uit te voeren, dus het is niet waarschijnlijk dat ze snel zullen gebeuren.

Het is ook niet onhaalbaar dat de overheid app stores onder druk zet om Signal - en andere apps met end-to-end-encryptie te verwijderen. Deze gids zal ook niet voor altijd relevant blijven. Dat is des te meer reden om nu proactief te worden en om je aan te passen aan veranderende omstandigheden.

LOG UIT

Veel openbare plaatsen hebben camera's en sommige plekken zijn er zelfs microfoons aanwezig. Er is altijd de mogelijkheid dat jij als persoon gevolgd wordt. Maar uiteindelijk is het een stuk moeilijker om iemand persoonlijk te controleren dan om de elektronische communicatie van veel mensen tegelijkertijd te verzamelen.

Neem een pauze van de digitale wereld en ontmoet mensen in het echt. Als je buiten gehoorsafstand blijft, zul je niet worden afgeluisterd en zullen je woorden met de wind wegwaaien, zonder dat iemand er iets van kan opnemen.

Bovendien, als je deze gids echt aan het lezen bent, is de kans groot dat je nu echt een knuffel nodig hebt.

Spreek dus af met je vrienden, verifieer elkaars Signal-sleutels en geef elkaar een dikke knuffel. Omdat jullie waarschijnlijk allebei bang zijn en jullie elkaar meer nodig hebben dan dat jullie deze technologie nodig hebben.

GO NAAR BUITEN EN WEES VOORZICHTIG

Dat is alles voor nu. Nogmaals, dit is slechts bedoeld als een basisgids voor gemiddelde computergebruikers. Dus als je een mensenrechtenactivist bent die in een gevaarlijk land of een oorlogsgebied werkt, of een organisatie die IT-infrastructuur bouwt, is dit zeker niet genoeg en heb je meer voorzorgsmaatregelen nodig.

Dit zijn essentiële tips voor gezond verstand waarvan iedereen op de hoogte moet zijn.

Natuurlijk zullen sommige lezers de kans aangrijpen om te wijzen op alles wat misschien ontbreekt in deze gids en wij willen jullie feedback graag horen. Beveiliging is een voortdurend veranderende wereld en wat vandaag goed advies is, is morgen misschien al weer verouderd. Ons doel is om deze gids enigszins regelmatig bij te werken, dus neem alsjeblieft contact op als je denkt dat we iets verkeerd hebben of iets zijn vergeten.

En vergeet niet, wees altijd waakzaam!

Tagged:
tech
Motherboard
DIY
cybersecurity
hackers
FAQ
Infosec
Motherboard guides
information security