Tips hoe je Big Brother kunt omzeilen

<ook op Sargasso.nl>

Op 6 juli 2013 publiceerde de Britse krant The Guardian het eerste interview met Edward Snowden, tot dat moment systeembeheerder voor het Amerikaanse National Security Agency. Snowden kreeg door zijn werkzaamheden een gedetailleerd beeld van de mate waarin de NSA een wereldwijde Big Brother-staat in het inrichten was. Vrijwel alle elektronische communicatie wereldwijd werd realtime getapt, telefoons, laptops en servers werden gekraakt en softwarebedrijven werden gedwongen hun systemen met lekken op te leveren om dit mogelijk te maken.

Vermoedens van dergelijke activiteiten door onder meer Amerikaanse veiligheidsdiensten bestonden al decennia (zie dit artikel uit 1999) maar de schaal van de onthullingen die Snowden naar buiten brengt doet zelfs de meest paranoia-experts de rillingen over de rug lopen. Een korte opsomming en wat je er als burger aan kan doen.


Belgacom en Braziliƫ

De NSA en haar partners (onder andere het Britse GCHQ) tappen telefooncentrales en onderzeese glasvezelkabels af, ook in andere landen. Recentelijk is gebleken dat de telefooncentrales van Belgacom (de Belgische KPN) volledig gekraakt waren door experts van GCHQ (mogelijk met Amerikaanse hulp). Dit stelde GCHQ in staat al het telefonie- en dataverkeer te volgen en gericht af te luisteren. In Braziliƫ werden deze technieken ingezet tegen de nationale oliemaatschappij, het Braziliaanse Parlement en zelfs de persoonlijke communicatie van de Braziliaanse presidente. Die zegde meteen een staatsdiner met Obama af uit woede over deze schending van diplomatieke normen. Voorlopig moeten wij als eindgebruikers alle grote infrastructuren als onveilig beschouwen. Onversleutelde e-mails en telefoongesprekken kunnen worden afgeluisterd en dat wordt geautomatiseerd gedaan op onvoorstelbare schaal.

Alle grote sociale media platformen en diensten als Gmail worden realtime op de server van die bedrijven afgetapt. Het maakt dus niet uit of je in Facebook je privacy-instellingen op maximaal zet. De NSA kijkt direct in de Facebookdatabase onder de motorkap toch mee en kan overal bij. Dit betekent bijvoorbeeld dat het aantal seconden dat jij met je muis over een profielfoto in Facebook blijft hangen (zal je klikken of niet?) bekend is bij de NSA als men daar interesse in heeft. De NSA weet dus welke oude of nieuwe vlam jij nauwelijks bewust aan het volgen bent. Alle mail die je via een dienst al Gmail verstuurt, wordt bewaard (ook al verwijder jij de mail uit je mailbox) en gebruikt om een gedetailleerd beeld op te bouwen met wie je in gesprek bent, waarover, vanaf welke locatie en welk apparaat je daarvoor gebruikt.

Minder op sociale media

Sociale media zo min mogelijk of in ieder geval bewust (wetende dat je geen enkele privacy hebt) gebruiken is voorlopig het enige wat je zelf kan doen. Voor een emaildienst als Gmail bestaan wel heel veel alternatieven, die kosten soms een beetje geld (paar euro per maand) or iets meer moeite om te gebruiken. Daarnaast zijn er goed werkende technieken om je e-mails te versleutelen zodat deze onleesbaar zijn bij onderschepping tussen zender en ontvanger. Probleem met deze technieken is vooralsnog dat het wat moeite kost (een of twee uurtjes) het aan de praat te krijgen en dat de ontvanger ook deze techniek moet gebruiken. Een van de zaken die door Snowden worden bevestigd is dat de NSA correct gebruikte mail-encryptie nog niet kan kraken. De beperking van email-encryptie is dat dit alleen de inhoud van het bericht beschermt, niet wie er berichten uitwisselen, op welk moment en vanaf welke plaats. Hou dus rekening met die beperking als je dit toepast.

Anoniem(er) surfen

Om minder informatie over je surfgedrag weg te geven zijn er uitbreidingen op webbrowsers als Firefox zoals ‘Ghostery’ die het lastiger maken voor allerlei bedrijven jou uniek te identificeren en te volgen. Om nog anoniemer te zijn kan je voor spannende zaken surfen met de TOR-browser. Deze dienst stuurt je verkeer via drie andere servers over de hele wereld voordat je verbinding maakt met de website die je echt wilt bezoeken. Daardoor is het enorm veel lastiger je surfgedrag te volgen. Dergelijke anonimiteit is niet perfect en valt om zodra je gaat inloggen op een online dienst met je echte naam. Maar zolang je TOR goed gebruikt is het niet eenvoudig je te volgen en voor de NSA is TOR echt een hoofdpijndossier, zoals bleek uit recente interne documenten.

Daarnaast is het mogelijk bestanden of zelfs je hele harde schijf te versleutelen zodat verlies, diefstal of in beslagname van opslagmedia of je hele laptop niet meteen al je gegevens in handen van anderen laat vallen. Truecrypt is een krachtig stuk software hiervoor, dat in tegenstelling tot producten als Microsoft Bitlocker en Apple FileVault geen door NSA ingebouwde achterdeuren lijkt te hebben. Ook deze methoden zijn door Snowden bevestigd als ‘NSA-proof’, mits correct toegepast.

Kraken

De meest gebruikte methode om effectief gebruikte encryptie te omzeilen is het kraken van de computer van de eindgebruiker. De NSA is al zeker vijftien jaar actief bezig om toegang tot individuele systemen zo eenvoudig mogelijk te maken. De meeste bekende systemen zoals Windows, Android, MacOSX en iOS hebben ingebouwde achterdeuren of zwakheden die door de NSA gebruikt worden om individuele computers (een smartphone is ook een computer) te kraken om effectieve methoden als mailencryptie te omzeilen. Ook aan systemen als Linux (die vooralsnog als minder onveilig worden gezien) wordt gepoogd om zwakheden te introduceren. Dit onder meer door NSA-medewerkers actief deel te laten nemen aan de ontwikkeling van de software en communicatiestandaarden. Enkele malen zijn dergelijke pogingen in het verleden gedetecteerd door andere ontwikkelaars en gecorrigeerd door de wereldwijde gemeenschap van programmeurs. Hoeveel pogingen niet gedetecteerd zijn, is enorm lastig met zekerheid te zeggen. Door de enorme complexiteit van vrijwel alle moderne besturingssystemen kan geen mens meer alles overzien.

Het kraken van individuele systemen wordt in hoge mate geautomatiseerd, waardoor de NSA met beperkte menskracht toch miljoenen ‘targets’ aankan. Om deze automatisering mogelijk te maken werkt de NSA samen met bedrijven als Microsoft en Apple die lekken in hun systeem eerst aan de NSA moeten melden en pas (veel) later aan hun klanten.

Dit laatste probleem is het meest lastige om als eindgebruiker iets aan te doen omdat het gaan gebruiken van een heel nieuw besturingssysteem veel kennis en tijd kost, nog afgezien van het feit dat de meeste professionele gebruikers, scholieren of studenten vaak helemaal niet zelf mogen kiezen.

Voor serieuze journalisten en anderen die wel bereid zijn extra moeite te doen is er TAILS. Dit is een zeer zwaar beveiligd en minimalistische opgezet systeem dat helemaal werkt vanaf een USB-stick. Goedkoop en eenvoudig om altijd bij je te dragen.

Hier een een overzicht van tips, trucs en tools voor iedereen die hier mee aan de slag wil. Hier een video van een workshop voor onderzoeksjournalisten afgelopen juli.