website over journalistiek

x

Download de Villamedia-app

 

5 tips om als journalist veilig te internetten

Dolf Rogmans — Geplaatst in afluisteren op woensdag 21 mei 2014, 10:02

Nieuws

Prominente onderzoeksjournalisten als Glenn Greenwald, James Ball en John Goetz zijn het over 1 ding eens: als journalist dien je je digitaal te beveiligen. Freelance journaliste en onderzoeksredacteur bij OneWorld, Eva Schram, werkte voor Villamedia 5 stappen uit waarmee je een meer dan goed begin maakt met het serieus nemen van bronbescherming.

‘Elke journalist moet weten hoe hij anoniem het web op kan,’ zegt Arjan Kamphuis, een IT-expert en activist op het gebied van online privacy. ‘Alleen al omdat hij anders mogelijk de scoop van z’n leven mist.

Geen bron met serieuze informatie wil nog met een journalist praten die niet weet hoe hij een email versleutelt.’ Patrick Howell O’Neill, journalist bij het Amerikaanse online magazine The Daily Dot, over internetcultuur, beaamt dat. ‘Kennis over anonimiteit en cryptografie worden het komende decennium standaard. Als je als journalist die vaardigheden niet hebt, zul je bekend komen te staan als iemand die zijn bronnen niet kan beschermen,’ zegt hij.

Maar waar begin je als leek op het gebied van internetveiligheid? Is het niet heel moeilijk om je sporen uit te wissen? Dat valt mee. Om je op weg te helpen, vijf basisvaardigheden die je als journalist moet hebben om veilig te internetten. Voor jezelf, én om je bronnen te beschermen.

1. Virtual Private Network
De term VPN ken je misschien omdat je er een gebruikt als je vanaf een privé-computer op het bedrijfsnetwerk wilt kunnen. Maar een Virtual Private Network is ook te gebruiken als veiligheidstool om je IP-adres te maskeren. Elk apparaat dat met het internet verbonden is, je laptop, printer of router, heeft namelijk een aantal IP-adressen, die jou identificeren en jouw locatie onthullen. Als je naar een louche site wil surfen, kun je dat het beste doen vanuit een koffietentje of instelling met een heel computernetwerk. Mee glurende entiteiten (overheden, hackers of boeven) kunnen dan het IP-adres van dat koffietentje of die instelling achterhalen, maar niet precies op welke pc dat werk gedaan wordt. Maar dat is geen ideale situatie. Immers,  in een koffietentje kan iemand gemakkelijk over je schouder mee gluren en als je vanaf de redactievloer surft, kan degene die digitaal meekijkt het IP-adres van welke redactie zit te snuffelen gemakkelijk achterhalen.

Met een Virtual Private Network kun je het doen voorkomen dat je vanaf een ander IP-adres werkt, net als een anonieme proxy dat doet. Maar een VPN biedt iets extra’s: het legt een soort tunneltje aan tussen jouw computer en de server waar je je informatie ophaalt, waardoor niemand mee kan kijken. In landen waar populaire websites regelmatig geblokkeerd worden, zoals China, wordt VPN veel gebruikt om zulke websites toch te kunnen bezoeken.

Er bestaan bedrijven die een VPN-dienst aanbieden, zoals OpenVPN en ProXPN. Ze hebben vaak een gratis versie, waarbij je de mogelijkheid hebt één ander IP-adres te kiezen. Voor een klein bedrag per maand krijg je een grote hoeveelheid IP-adressen ter beschikking. Je moet natuurlijk wel de bedrijven achter dit soort diensten vertrouwen. Zij weten immers precies wat jouw echte IP-adres is en wanneer je de dienst gebruikt, en welk maskerend IP-adres je gebruikt. Het is het meest veilig om je eigen VPN op te zetten, maar dat vereist behoorlijk wat technische kennis.

2. Tor Browser Bundle
Je kunt een stapje verder gaan door met de Tor Browser het internet op te gaan. Tor staat voor The Onion Router, een verwijzing naar de manier waarop je het internet rondgestuurd wordt. Als je Tor start, wordt de data die je verzendt versleuteld en via een wirwar aan servers rondgestuurd tot je bij je eindpunt komt, de website waar je informatie zoekt. Bij elk knooppunt in die wirwar wordt er een laagje van de versleuteling verwijderd. Je data wordt als het ware verpakt in een soort ui en velletje voor velletje afgepulkt. Tor is inmiddels gemakkelijk te downloaden en zeer gebruiksvriendelijk. De dienst is een stuk langzamer dan ‘normaal’ internet, omdat je langs al die knooppunten moet. Als je in Tor browst en je eigen IP-adres opzoekt, zul je zien dat je uit een willekeurige stad in een willekeurig land lijkt te komen, maar dat er wel bekend is dat dat IP-adres een zogenaamde Tor Exit Node is. Dat is geen probleem: iemand die meekijkt, kan wel zien dat je Tor gebruikt, maar heeft geen idee wie je bent. En dat is uiteindelijk je doel.

Maar er is een aantal dingen om te onthouden. Als je via Tor surft, zien websites eruit alsof het 1996 is. Weinig beeld en heel simpele opmaak. Dat heeft een reden: JavaScript wordt automatisch uitgezet, omdat het misbruikt kan worden om je ware IP-adres en locatie te onthullen. Zet dus nooit JavaScript aan in je Tor browser, want daarmee kun je je anonimiteit om zeep helpen.  Ook wordt het downloaden van bestanden via Tor afgeraden.

Daarnaast is de hele route binnen het Tor-netwerk versleuteld en dus veilig, maar jouw verbinding met het netwerk en het laatste stukje tussen de exit node en jouw bestemming zijn onbeveiligd. Iemand die data opvist uit beide openbare weggetjes kan via statische analyse uitvinden wie je bent. Het eerste probleem, de onbeveiligde informatie die jij naar het Tor-netwerk stuurt, kun je oplossen door eerst een VPN-verbinding te maken en daarna via Tor te surfen. Het verkeer van de exit node naar jouw bestemming kun je niet beveiligen tegen inbraak. Zorg dus dat daar nooit persoonlijke informatie (zoals je naam of emailadres) in staat, tenzij je mailencryptie gebruikt.

3.Mailencryptie
Als je emailt met een (potentiële) bron en je wilt niet dat iemand anders zo’n email kan lezen, gebruik je mailencryptie (ook wel versleuteling genoemd). De methode die je daarvoor gebruikt is PGP – Pretty Good Privacy. Met een PGP-programma als GPG4Win maak je een sleutelpaar aan: één publieke sleutel, en een privé-sleutel. De sleutels horen bij elkaar en kunnen niet los van elkaar gebruikt worden. Je publieke sleutel adverteer je naar buiten toe: het is de sleutel die mensen nodig hebben om hun email aan jou zo te versleutelen dat alleen jij ‘m kan ontcijferen.

Je privé-sleutel is beveiligd met een wachtwoord en moet altijd privé blijven. Als je ook maar het idee hebt dat iemand jouw wachtwoord of privé-sleutel weet, moet je een nieuw paar aanmaken en zorgen dat mensen de publieke sleutel die bij die privé-sleutel hoorde niet meer gebruiken.

Je kunt een email versleutelen door je tekst te schrijven en vervolgens te selecteren. Nadat je de optie versleutelen hebt aangeklikt, kies je voor de publieke sleutel van degene aan wie je het mailtje stuurt – hij of zij moet het immers als enige kunnen openen met zijn of haar privé-sleutel. Publieke sleutels vind je in zogenaamd key-servers (die te vinden zijn via de software die je gebruikt), maar veel gebruikers adverteren hun sleutel of fingerprint (een afgeleide van de publieke sleutel) ook via bijvoorbeeld hun Twitterprofiel.

Als je een versleuteld emailtje ontvangt, kopieer je de letterbrei die je ontvangt (en die onleesbaar is) in het programma dat je gebruikt voor versleuteling en klik je op ontsleutelen. Je moet dan het wachtwoord van jouw privé-sleutel geven, waarna de onleesbare letterbrei verandert in normale tekst.

Naast losstaande programma’s als GPG4Win bestaan er in het emailprogramma Thunderbird ook add-ons voor encryptie.

Het is een goede gewoonte om versleutelde emails ook te ondertekenen met een speciale handtekening, zodat de ontvanger van jouw email kan verifiëren dat jij de email verzonden hebt. Meer informatie daarover vind je in de helpsectie van het programma dat je gebruikt of op internetfora over PGP.

Tenslotte is het goed om te onthouden dat de tekst van de email zelf versleuteld wordt, maar de emailadressen waar het vandaan komt en waar het naartoe gaat niet. Ook het onderwerp van de email is zichtbaar voor iedereen die het mailtje onderschept. Als je volledig anoniem wilt emailen, moet je dus een anoniem emailadres via bijvoorbeeld hotmail of gmail aanmaken (waarbij je niet je echte naam en persoonlijke gegevens opgeeft) en dat gebruiken voor je veilige emailverkeer. En in het onderwerpveld zet je natuurlijk niet de zeer gevoelige informatie waarover je emailt, maar nietszeggende termen of helemaal niets.

4. File-encryptie
Veilig online kunnen en anoniem emailen zijn belangrijke vaardigheden, maar wat als iemand beslag weet te leggen op je laptop of usb-stick waarop je geheime documenten hebt staan? (bijvoorbeeld met contactgegevens van je anonieme bronnen?). Het overkwam David Miranda, partner van Glenn Greenwald, in augustus 2013 op Heathrow Airport. Gelukkig waren de documenten die hij bij zich droeg versleuteld.

Bestanden versleutelen werkt in principe hetzelfde als mailencryptie en kan ook met programma’s als GPG4Win. Daarbovenop kun je het programma TrueCrypt gebruiken. Daarmee kun je een nieuw volume creëren op je pc of USB. Naast C:/, D:/ en F:/ kun je bijvoorbeeld M:/ creëren. Die beveilig je met een wachtwoord. Daarin kun je dan bestanden zetten waar niet zo maar iedereen aan mag zitten. Bovendien kun je zo’n volume eruit laten zien als een willekeurig pdf-bestand, met een weinig belangwekkende naam (bijvoorbeeld: jaarverslag Ombudsman 2011). In dat volume staan dan al jouw geheime documenten (die je als het goed is ook nog versleuteld hebt, ook al hoeft dat niet per se), maar voor iemand die in het geheim jouw pc of USB aan het bekijken is, lijkt het een weinig interessant document.
TrueCrypt is vrij simpel te gebruiken en er bestaat een goede tutorial voor.

UPDATE 13/07/2014
TrueCrypt wordt inmiddels niet meer doorontwikkeld. Een groep vrijwilligers heeft onderzocht of de laatste versie nog veilig te gebruiken is, en het lijkt erop van wel. Maar als je zenuwachtig wordt van een dienst die niet meer officieel ondersteund wordt, kun je naar alternatieven kijken. Bijvoorbeeld BitLocker (standaard ingebouwd in Windows 8), of de open source-dienst DiskCryptor.

5. TAILS
Alle maatregelen die je neemt om anoniem te internetten en veilig te emailen, hebben geen zin als iemand van buiten zich al toegang heeft verschaft tot jouw computer. Helaas is het nagenoeg niet te achterhalen of jouw computer geïnfecteerd is, want een handige hacker weet z’n sporen goed te wissen.

Volgens Kamphuis is er voor journalisten maar een manier om écht veilig te kunnen werken. Dat is Tails, een besturingssysteem dat vanaf een USB-stick (of CD-ROM) werkt. Tails staat voor The Amnesia Incognito Live System, en wordt door vrijwilligers gemaakt. Tails wist na gebruik alle informatie van die computersessie. Het geheugen van je computer wordt bij afsluiten overschreven met random data, waardoor het niet te achterhalen is wat je precies gedaan hebt. In Tails kun je een Persistent Volume maken, een klein stukje binnen het besturingssysteem dat niet gewist wordt bij afsluiten. Daarin kun je bestanden opslaan die je niet kwijt wilt raken. Het Persistent Volume is beveiligd met een wachtwoord.

Tails is redelijk ingewikkeld om te installeren. Het makkelijkst is het als je iemand kent met een versie die gekopieerd kan worden. Dan hoef je dat slechts te doen, en vervolgens je computer zo in te stellen dat-ie bij opstarten éérst kijkt of er een besturingssysteem op USB aanwezig is om op te starten, en als tweede optie pas Windows/OS start. Dat doe je in de BIOS, software op het moederbord dat bij het opstarten van je pc kijkt of alle hardware werkt. Je komt daar door tijdens het opstarten F2 in te toetsen. Vervolgens onder Boot, de volgorde te veranderen in 1 = USB, 2 = Sata en dat op te slaan. Als je je USB-stick met Tails niet in de pc hebt zitten, wordt je normale besturingssysteem opgestart. Als je je USB wel hebt ingeplugd, wordt Tails opgestart.

Als je Tails niet van iemand kunt kopiëren, heb je zelf twee lege USB-sticks nodig (met elk 2 GB ruimte), zodat je eerst de basisversie kunt installeren op één stick, om vervolgens te kopiëren op de ander. Die tweede gebruik je dan als besturingssysteem, met de eerste kun je voor je collega’s ook een stick maken.

Hulp vragen
Het gebruik van een VPN en de Tor browser is inmiddels heel makkelijk. Iedereen die een beetje om kan gaan met een computer, kan die diensten installeren en gebruiken. Ook mail- en bestandsencryptie heb je na een dagje klungelen wel onder de knie. ‘Mailencryptie is ook een kwestie van oefenen,’ zegt Kamphuis. Dus stuur je collega met wie je morgen gaat lunchen een versleuteld mailtje, ‘want dan krijg je het sneller onder de knie. Als je het dan echt een keer nodig hebt omdat een bron naar jou toe komt met kostbare informatie, weet je hoe je met hem kunt communiceren.’ Journalisten die niet leren hoe PGP werkt, schieten zichzelf in de voet, vindt Kamphuis.

Tails is een wat lastiger systeem. Als je zelf de technische kennis mist om het goed te installeren, kun je kijken of er op de redactie IT-ers rondlopen die er meer verstand van hebben. Of je kunt eens langsgaan bij een hackerspace. ‘Daar zit heel veel kennis, die ze echt wel met je willen delen als je ze serieus neemt en een biertje voor ze koopt,’ zegt Kamphuis. In Amsterdam bijvoorbeeld is elke woensdagavond een open avond van Tech Inc, waar je met vragen terecht kunt.

Wat echter elke hacker je zal vertellen is dat ondanks alle techniek die er bestaat, er één doorslaggevende factor is in veilig opereren. Dat ben je zelf. Je hebt gezond verstand nodig als je online aan het werk gaat. Maar ook als je offline een bron gaat ontmoeten die je wilt beschermen. Dan kun je je telefoon bijvoorbeeld beter thuis laten, want de metadata daarvan verraadt allerlei persoonlijke informatie, ook als-ie uitstaat. En als je wegloopt van je computer, vergrendel je hem dan, zodat niemand anders er op kan kijken? Hoe vaak maak je back-ups, en hoe beveilig je die? Voor echte veiligheid is naast gezond verstand en techniek ook een strategie nodig.

Dit artikel werd mede mogelijk gemaakt door het Fonds Bijzondere Journalistieke Projecten.

1 reactie

Om te reageren moet je een Villamedia Account hebben en moet je eerst ingelogd zijn.

  1. 1. Dolf Rogmans, 22 mei 2014, 14:55

    Van @TomEtty deze aanvulling:
    In een koffietentje internetten zonder VPN is slecht advies: https://decorrespondent.nl/845/dit-geef-je-allemaal-prijs-als-je-inlogt-op-een-openbaar-wifi-netwerk/66137215430-94cb473e 

    Een VPN-provider ziet meer dan wat er in het stuk genoemd wordt. De VPN-provider kan ook precies zien wát je uitspookt op het internet, net zoals je eigen internetaanbieder dat kan als je zonder VPN werkt. Voorzichtigheid is daarom geboden. Wanneer je echt gevoelig werk moet doen kun je het beste Tor over een VPN-verbinding gebruiken. 

    Zie bijvoorbeeld ook:
      https://decorrespondent.nl/483/cryptoparty-gemist-hier-twaalf-tips-om-je-digitale-ik-te-beveiligen/14855148-3d809f3c
      https://decorrespondent.nl/863/hoe-kun-je-veilig-gebruikmaken-van-een-openbaar-wifi-netwerk-/22118690-915bd6a5 
     
    Verder zou ik ook 5 tips geven over veilig smartphone gebruik. Zolang de batterij erin zit kun je afgeluisterd worden, kan je locatie bepaald worden en kan er zelfs meegekeken worden door de ingebouwde cameras. Niet handig als je de anonimiteit van je bron moet waarborgen tegen een een organisatie met motivatie en middelen.

    het origineel staat hier: http://pastebin.com/raw.php?i=wc9G40P0

Masterclass EU