mgm nvj maart

— dinsdag 15 juli 2014, 09:22 | 0 reacties, praat mee

Veilig surfen vanuit een koffietentje?

Veilig surfen vanuit een koffietentje?
Eva Schram: 'Als je naar een louche site wilt surfen, kun je dat het beste doen vanuit een koffietentje of bedrijf met een heel computernetwerk' - © Truus van Gog

Waar begin je als leek op het gebied van internetveiligheid? Eva Schram onderzocht het en beschrijft vijf basisvaardigheden die je als journalist moet hebben om veilig te internetten. Voor jezelf, én om je bronnen te beschermen. Leer alles over een Virtual Private Network, de Tor Browser, mail-encryptie, file-encryptie en Tails. Laatste wijziging: 27 februari 2015, 11:58

‘Elke journalist moet weten hoe hij anoniem het web op kan’, zegt Arjan Kamphuis, een IT-expert en activist op het gebied van online privacy. ‘Alleen al omdat hij anders mogelijk de scoop van z’n leven mist. Geen bron met serieuze informatie wil nog met een journalist praten die niet weet hoe hij een e-mail versleutelt.’ Patrick Howell O’Neill, journalist bij het Amerikaanse online magazine The Daily Dot, over internetcultuur, beaamt dat. ‘Kennis over anonimiteit en cryptografie worden het komende decennium standaard. Als je als journalist die vaardigheden niet hebt, zul je bekend komen te staan als iemand die zijn bronnen niet kan beschermen’, zegt hij. De heren kunnen het weten. Kamphuis dineerde ooit met Julian Assange en O’Neill schrijft voor The Daily Dot over zwarte markten op internet, en sprak daarvoor onder andere met wapen- en drugshandelaren.

Om je op weg te helpen, vijf basisvaardigheden:

1. Virtual Private Network

De term VPN ken je misschien omdat je het gebruikt als je vanaf een privé-computer op het bedrijfsnetwerk wilt kunnen. Maar een Virtual Private Network is ook te gebruiken als veiligheidstool om je IP-adres te maskeren. Elk apparaat dat met het internet verbonden is, je laptop, printer of router, heeft namelijk een aantal IP-adressen, die jou identificeren en jouw locatie onthullen. Als je naar een louche site wilt surfen, kun je dat het beste doen vanuit een koffietentje of bedrijf met een heel computernetwerk. Meeglurende entiteiten (overheden, hackers of boeven) kunnen dan het IP-adres van dat koffietentje of dat bedrijf achterhalen, maar niet precies op welke PC het werk gedaan wordt. Maar dat is geen ideale situatie. Immers,  in een café kan iemand gemakkelijk over je schouder meegluren en als je vanaf de redactievloer surft, kan degene die digitaal meekijkt het IP-adres van de redactie van waaruit je zit te snuffelen, gemakkelijk achterhalen.

Met een Virtual Private Network kun je het doen voorkomen dat je vanaf een ander IP-adres werkt, net als een anonieme proxy dat doet. Maar een VPN biedt iets extra’s: het legt een soort tunneltje aan tussen jouw computer en de server waar je je informatie ophaalt, waardoor niemand mee kan kijken. In landen waar populaire websites geregeld geblokkeerd worden, zoals China, wordt VPN veel gebruikt om zulke websites toch te kunnen bezoeken.

Er bestaan bedrijven die een VPN-dienst aanbieden, zoals OpenVPN en ProXPN. Ze hebben vaak een gratis versie, waarbij je de mogelijkheid hebt één ander IP-adres te kiezen. Voor een klein bedrag per maand krijg je een grote hoeveelheid IP-adressen ter beschikking. Je moet natuurlijk wel de bedrijven achter dit soort diensten vertrouwen. Zij weten immers precies wat jouw echte IP-adres is, wanneer je de dienst gebruikt en welk maskerend IP-adres je gebruikt. Het is het meest veilig om je eigen VPN op te zetten, maar dat vereist behoorlijk wat technische kennis.

2. Tor Browser Bundle

Je kunt een stapje verder gaan door met de Tor Browser het internet op te gaan. Tor staat voor The Onion Router, een verwijzing naar de manier waarop je het internet rondgestuurd wordt. Als je Tor start, worden de data die je verzendt versleuteld en via een wirwar aan servers rondgestuurd tot je bij je eindpunt komt, de website waar je informatie zoekt. Bij elk knooppunt in die wirwar wordt er een laagje van de versleuteling verwijderd. Je data worden als het ware verpakt en vervolgens velletje voor velletje afgepulkt. Tor is inmiddels gemakkelijk te downloaden en zeer gebruiksvriendelijk. De dienst is een stuk langzamer dan ‘normaal’ internet, omdat je langs al die knooppunten moet. Als je in Tor browst en je eigen IP-adres opzoekt, zul je zien dat je uit een willekeurige stad in een willekeurig land lijkt te komen, maar dat er wel bekend is dat dat IP-adres een zogenaamde Tor Exit Node is. Dat is geen probleem: iemand die meekijkt, kan wel zien dat je Tor gebruikt, maar heeft geen idee wie je bent. En dat is uiteindelijk je doel.

Maar er zijn een aantal dingen om te onthouden. Als je via Tor surft, zien websites eruit alsof het 1996 is. Weinig beeld en heel simpele opmaak. Dat heeft een reden: JavaScript wordt automatisch uitgezet, omdat het misbruikt kan worden om je ware IP-adres en locatie te onthullen. Zet dus nooit JavaScript aan in je Tor browser, want daarmee kun je je anonimiteit om zeep helpen.  Ook wordt het downloaden van bestanden via Tor afgeraden.

Daarnaast is de hele route binnen het Tor-netwerk versleuteld en dus veilig, maar jouw verbinding met het netwerk en het laatste stukje tussen de exit node en jouw bestemming zijn onbeveiligd. Iemand die data opvist uit beide openbare weggetjes kan uitvinden wie je bent. Het eerste probleem, de onbeveiligde informatie die jij naar het Tor-netwerk stuurt, kun je oplossen door eerst een VPN-verbinding te maken en daarna via Tor te surfen. Het verkeer van de exit node naar jouw bestemming kun je niet beveiligen tegen inbraak. Zorg dus dat daar nooit persoonlijke informatie (zoals je naam of e-mailadres) in staat, tenzij je mailencryptie gebruikt.

3. Mail-encryptie

Als je e-mailt met een (potentiële) bron en je wilt niet dat iemand anders zo’n e-mail kan lezen, gebruik je mail-encryptie (ook wel versleuteling genoemd). De methode die je daarvoor gebruikt is PGP – Pretty Good Privacy. Met een PGP-programma als GPG4Win maak je een sleutelpaar aan: één publieke sleutel, en één privé-sleutel. De sleutels horen bij elkaar en kunnen niet los van elkaar gebruikt worden. Je publieke sleutel adverteer je naar buiten toe: het is de sleutel die mensen nodig hebben om hun e-mail aan jou zo te versleutelen dat alleen jij ‘m kan ontcijferen. Je privé-sleutel is beveiligd met een wachtwoord en moet altijd privé blijven. Als je ook maar het idee hebt dat iemand jouw wachtwoord of privé-sleutel weet, moet je een nieuw paar aanmaken en zorgen dat mensen de publieke sleutel die bij die privé-sleutel hoorde niet meer gebruiken.

Belangrijk is om te beseffen dat de tekst van de e-mail zelf versleuteld wordt, maar de e-mailadressen waar het vandaan komt en waar het naartoe gaat niet. Ook het onderwerp van de e-mail is zichtbaar voor iedereen die het mailtje onderschept. Als je volledig anoniem wilt mailen, moet je een anoniem e-mailadres via bijvoorbeeld hotmail of gmail aanmaken (waarbij je niet je echte naam en persoonlijke gegevens opgeeft) en dat gebruiken voor je veilige e-mailverkeer. En in het onderwerpveld zet je natuurlijk niet de zeer gevoelige informatie waarover je mailt, maar nietszeggende termen of helemaal niets.

4. File-encryptie

Veilig online kunnen en anoniem e-mailen zijn belangrijke vaardigheden, maar wat als iemand beslag weet te leggen op je laptop of USB-stick waarop je geheime documenten hebt staan? (bijvoorbeeld met contactgegevens van je anonieme bronnen?). Het overkwam David Miranda, de partner van Glenn Greenwald, in augustus 2013 op Heathrow Airport. Gelukkig waren de documenten die hij bij zich droeg versleuteld. Bestanden versleutelen werkt in principe hetzelfde als mail-encryptie en kan ook met programma’s als GPG4Win.

5. Tails

Alle maatregelen die je neemt om anoniem te internetten en veilig te e-mailen, hebben geen zin als iemand van buiten zich al toegang heeft verschaft tot jouw computer. Helaas is het nagenoeg niet te achterhalen of jouw computer geïnfecteerd is, want een handige hacker weet z’n sporen goed te wissen.

Volgens Kamphuis is er voor journalisten maar één manier om écht veilig te kunnen werken. Dat is Tails, een besturingssysteem dat vanaf een USB-stick (of CD-Rom) werkt. Tails staat voor The Amnesia Incognito Live System, en wordt door vrijwilligers gemaakt. Tails wist na gebruik alle informatie van een computersessie. Het geheugen van je computer wordt bij afsluiten overschreven met random data, waardoor niet te achterhalen is wat je precies gedaan hebt. In Tails kun je een Persistent Volume maken, een klein stukje binnen het besturingssysteem dat niet gewist wordt bij afsluiten. Daarin kun je bestanden opslaan die je niet kwijt wilt raken. Het Persistent Volume is beveiligd met een wachtwoord.

Tails is redelijk ingewikkeld om te installeren. Het makkelijkst is het als je iemand kent met een versie die gekopieerd kan worden. Mocht je niemand kennen met een versie van Tails, kun je contact zoeken met bijvoorbeeld handige IT-ers of hackers.

Hulp vragen

Het gebruik van een VPN en de Tor Browser is inmiddels heel gemakkelijk. Iedereen die een beetje om kan gaan met een computer, kan die diensten installeren en gebruiken. Ook mail- en bestands-encryptie heb je na een dagje klungelen wel onder de knie. ‘Mail-encryptie is ook een kwestie van oefenen’,  zegt Kamphuis. Dus stuur je collega met wie je morgen gaat lunchen een versleuteld mailtje, ‘want dan krijg je het sneller onder de knie. Als je het dan echt een keer nodig hebt omdat een bron naar jou toe komt met kostbare informatie, weet je hoe je met hem kunt communiceren’. Journalisten die niet leren hoe Pretty Good Privacy werkt, schieten zichzelf in de voet, vindt Kamphuis.

Tails is een wat lastiger systeem. Als je zelf de technische kennis mist om het goed te installeren, kun je kijken of er op de redactie IT’ers rondlopen die er meer verstand van hebben. Of je kunt eens langsgaan bij een hackerspace. ‘Daar zit heel veel kennis, die ze echt wel met je willen delen als je ze serieus neemt en een biertje voor ze koopt’, zegt Kamphuis. In Amsterdam bijvoorbeeld is elke woensdagavond een open avond van de hackerspace Technologia Incognita, waar je met vragen terecht kunt.

Wat elke hacker je echter zal vertellen is dat ondanks alle techniek die er bestaat, er één doorslaggevende factor is in veilig opereren. Dat ben je zelf. Je hebt gezond verstand nodig als je online aan het werk gaat. Maar ook als je offline een bron gaat ontmoeten die je wilt beschermen. Dan kun je je telefoon bijvoorbeeld beter thuis laten, want de metadata daarvan verraadt allerlei persoonlijke informatie, ook als-ie uitstaat. En als je wegloopt van je computer, vergrendel je hem dan, zodat niemand anders er op kan kijken? Hoe vaak maak je back-ups, en hoe beveilig je die? Voor echte veiligheid is naast gezond verstand en techniek ook een strategie nodig.

 

 

Dit artikel werd mede mogelijk gemaakt door het Fonds Bijzondere Journalistieke Projecten.

Tip de redactie

Logo Publeaks Wil je Villamedia tippen, maar is dat te gevoelig voor een gewone mail? Villamedia is aangesloten bij Publeaks, het platform waarmee je veilig en volledig anoniem materiaal met de redactie kunt delen: publeaks.nl/villamedia

Praat mee

Colofon

Villamedia is een uitgave van Villamedia Uitgeverij BV

Uitgever

Dolf Rogmans

Postadres

Villamedia Uitgeverij BV
Postbus 75997
1070 AZ Amsterdam

Bezoekadres

Johannes Vermeerstraat 22
1071 DR Amsterdam

Factuurgegevens

Villamedia Uitgeverij BV
Johannes Vermeerstraat 22
1071 DR Amsterdam

Contact

redactie@villamedia.nl

Redactie (tips?)

Chris Helt, hoofdredacteur

Marjolein Slats, adjunct-hoofdredacteur

Linda Nab, redacteur

Lars Pasveer, redacteur

Trudy Brandenburg-Van de Ven, redacteur

Rutger de Quay, redacteur

Nick Kivits, redacteur

Sales

Sofia van Wijk

Emiel Smit

Teddy van der Laan

Webbeheer

Marc Willemsen

Vacatures & advertenties

vacatures@villamedia.nl

Bereik

Villamedia trekt maandelijks gemiddeld 120.000 unieke bezoekers. De bezoekers genereren momenteel zo’n 800.000 pageviews.

Rechten

Villamedia heeft zich ingespannen om alle rechthebbenden van beelden en teksten te achterhalen. Meen je rechten te kunnen doen gelden, dan kun je je bij ons melden.