Managed hosting door True

Tools en tips die PRISM-zaken tegengaan

Door het bekend worden van het Amerikaanse spionageprogramma PRISM is de hele wereld op zoek naar oplossingen om dit soort praktijken tegen te gaan. Verschillende nieuwe tools en producten komen op de markt, maar ook blijken reeds bestaande producten deels of volledige veiligheid en anonimiteit te garanderen. Computable maakte met zijn experts een inventarisatie van tips en oplossingen. Dit overzicht is niet compleet, via de invulvelden mogen lezers aanvullingen doen.

Een groep van vijf ontwikkelaars heeft de tool NaviChat ontwikkeld waarmee volledig anoniem gecommuniceerd kan worden. De ontwikkelaars vinden het recht op privacy een basis die niet door overheden geschonden mag worden. Voor het in-huis ontwerp en de service is Kwik-Bit automatisering verantwoordelijk. Ook Sectra kwam onlangs met een anti-afluisteroplossing. Panthon 3 maakt het mogelijk om beveiligde gesprekken te voeren en beveiligd sms’en te versturen op geselecteerde smartphones met het Android-besturingssysteem. Voor het gebruik is echter wel toestemming vereist van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD).

Cor Rosielle, chief technology officer, Outpost24

Ik vind NaviChat en het product van Sectra wel interessant en ze kunnen zeker bijdragen tot meer privacy. Bij beide producten zie ik echter bezwaren waardoor volledige privacy niet gewaarborgd kan worden. Onder aanname dat NaviChat inderdaad geen sleutels opslaat op servers, is het niet uitgesloten dat logfiles van Kwik-Bit of hun service provider worden opgevraagd. Op basis daarvan kan misschien niet de inhoud van het bericht worden waargenomen, maar wellicht is op basis van meta-informatie vast te stellen wie met wie communiceert.

De oplossing Sectra heeft ernstige gebruiksbeperkingen: er is goedkeuring door AIVD vereist. Dat betekent dat dit product niet voor iedereen en voor alle doeleinden beschikbaar zal zijn, een ernstig tekort. Verder is een groot nadeel dat de AIVD niet bekend staat om openheid of om zich te verantwoorden, zelfs niet naar ons parlement. De vraag die dan rijst is of de AIVD of het Nationaal Bureau voor Verbindingsbeveiliging wel toegang heeft of kan verkrijgen tot de encryptiesleutels. Dit geheel naar analogie van de beschuldigingen die in het kader van PRISM geuit worden naar Google, Microsoft, et cetera.

Voor beide oplossingen geldt dat het nog steeds mogelijk is dat de versleutelde communicatie wordt afgetapt en opgeslagen. De inhoud kan dan misschien niet op dit moment worden ontcijferd, maar misschien kan dat morgen, volgende week, volgend jaar of over een aantal jaren wel. Het is sterk afhankelijk van de inhoud van die communicatie of de privacyschending dan nog steeds ernstige gevolgen kan hebben. Bij een kliklijn zal een getroffen georganiseerde misdaadorganisatie de rekening wel presenteren aan de verklikker, ook na vele jaren.

De reden dat de inhoud van de berichten gekraakt kan worden hoeft niet alleen veroorzaakt te worden door voortschrijdende technieken in cryptologie, maar het kan ook veroorzaakt worden door bugs in de software. De ervaring leert dat er met enige regelmaat updates beschikbaar komen voor Tor om security issues te verhelpen, terwijl dit product bekend staat om privacy te waarborgen.

Het beste is om zo min mogelijk privacygevoelige informatie te verstrekken. Daar waar dat toch vereist wordt, kun je overwegen om gewoon te liegen. Vraag je ook eens wat vaker af wat de gevolgen zijn als je bepaalde informatie gewoon niet verstrekt. Vaak is het helemaal niet nodig dat je dingen vrijwillig of spontaan vertelt of dat je vragen beantwoordt.

En als je dan toch iets vertrouwelijk moet delen met een ander, overweeg dan eens om het mensen in een persoonlijk gesprek te vertellen (nee, niet telefonisch of Skype, maar gewoon elkaar opzoeken en praten). Als dat lastig te realiseren is, bijvoorbeeld door grote afstanden, denk dan eens om de boodschap is stukken te splitsen en die allemaal via een ander kanaal te versturen (out-of-band). Verstuur een deel via messaging (het liefst versleuteld), een deel via e-mail (dat kan ook versleuteld, bijvoorbeeld met PGP) en een deel via de telefoon en zodanig dat alle delen een essentieel onderdeel van de gehele boodschap bevatten. In dat geval moeten verschillende communicatiekanalen allemaal getapt worden, maar ook op de juiste manier met elkaar gecombineerd worden.

Matty Bakkeren, technical account manager (ETS), Intel

Matty Bakkeren

De beste manier om data te beveiligen is deze te encrypten en de key’s veilig te houden. Daarvoor heb je bijvoorbeeld AES-NI. Ook kan je bij data in rest of data in flight de encrypties offloaden. Zodoende reduceer je de performance-impact van encryptie (zeker in combinatie met ssd) van hd of bij het opzetten van ssl-sessie’s naar een server of het encrypten van records in een database.

Een andere manier om je communicatie wat veiliger te maken is om second level-authenticatie uit te voeren. Identity protection technology is een op hardware gebaseerd second level-authenticatiemechanisme. Het bevat vier sub-usage-modellen. IPT-PTD (protected transaction display) is specifiek bedacht om man in the middle (man in the browser)-attacks uit te sluiten.

Verder heb ik nog een persoonlijke toegift: 1Password. Deze wachtwoordmanager is gebruiksvriendelijk en lijkt mij vrij veilig. Op internet las ik er een blog over. Ik ben al jaren persoonlijk fan en gebruiker van dit product. Het werkt in ieder geval geweldig.

Erik Remmelzwaal, algemeen directeur, DearBytes

Een oplossing die voorkomt dat data überhaupt het internet op gaat is Data Loss Prevention van McAfee. Dit is een geïntegreerde suite van software en hardwareoplossingen om op de computers en in het netwerk datastromen te kunnen analyseren. Door middel van de juiste policies kan daarin worden gerealiseerd dat data dat op een bepaalde wijze is geclassificeerd niet het internet op kan (en dus ook niet in de sleepnetten van PRISM of vergelijkbare surveillance-praktijken).

Om met dit soort middelen gevoelige informatie te kunnen onderscheiden van data die wel het internet op kan, is classificatie ervan wel heel belangrijk. Daar heb je de classificatiesoftware van Titus voor, waardoor in de meta-informatie van bestanden en e-mails informatie over de gevoeligheid ervan kan worden vastgelegd, maar dan op een heel gebruiksvriendelijke manier. Op zo’n manier dat DLP-oplossingen het kunnen onderscheiden en het juiste beleid erop kunnen loslaten.

Een andere oplossing die data versleutelt als die het internet op gaan is encryptie. Encrypted data komt wel in de vangnetten van PRISM-achtige tools, maar kan dan niet worden uitgelezen zonder kennis van de encryptiesleutel. Let wel: bekend is geworden dat juist encrypted data eindeloos wordt bewaard door de NSA, en dit hen de mogelijkheid biedt om jarenlang te proberen de encryptie te kraken net zolang tot het lukt. Als je ook dat een te groot risico vind dan moet je dus echt vooral aan optie de eerdere opties denken.

Encryptie kan ook weer op tal van manieren gebeuren. Encryptie van datastromen zelf is wel bekend, denk aan https en tls voor smtp. Het nadeel ervan is dat dit aan twee kanten van de lijn een configuratie vereist waarover dus op voorhand moet worden nagedacht. Als we naar e-mail kijken, dan zou ik aanraden om na te denken over een e-mailencryptieoplossing die volgens het pull- of push-mechanisme werkt. Daarbij is het niet op voorhand met de ontvanger van je e-mail een ‘lastige’ configuratie op te bouwen en toch direct al op een veilige wijze je e-mail kunt versturen.

Pull wil zeggen dat de ontvanger van een e-mail niet een e-mail met bijlage ontvangt, maar dat de bijlage achterblijft in een portal en dat de ontvanger een linkje en uitnodiging krijgt om die bijlage over https op te halen. Push wil zeggen dat een attachment automatisch wordt ingepakt in een encrypted container, bijvoorbeeld .zip met een wachtwoord erop. Zo is er bijvoorbeeld CryptShare die pull ondersteunt en McAfee Email Gateway die zowel pull als push ondersteunt.

Een andere vorm van encryptie is die op bestandsniveau. Dus een willekeurige file zodanig versleutelen dat het communicatieprotocol op zich open mag zijn, maar de data die over de lijnen gaat onleesbaar blijft. Dit kan op tal van manieren gebeuren, maar het nadeel is dat het in grote omgevingen vrij ongebruiksvriendelijk is. Daar heeft McAfee de oplossing Endpoint Encryption for Files & Folders voor. Dit komt uit de overname van het voormalig Nederlandse SafeBoot en is inmiddels volledig geïntegreerd met de andere McAfee-securitysoftware. Met andere woorden, het kan binnen een omgeving die al voorzien is van McAfee-software en gemanaged wordt met ePolicy Orchestrator in een handomdraai worden uitgerold. Het levert de mogelijkheid op om op de achtergrond op elke computer een agent te hebben die signaleert als bepaalde data wordt opgeslagen of geopend.

Wanneer een file read of write aan een bepaalde policy voldoet, dan kan daarop automatisch encryptie/decryptie worden toegepast, zonder dat de gebruiker dus zelf hoeft na te denken over een wachtwoord. Denk aan een afgesproken locatie in het netwerk die geconfigureerd wordt als secure folder. Alle files die daar naartoe worden weggeschreven, worden dan automatisch versleuteld. De gebruikte sleutels kunnen op gebruikerniveau aan mensen beschikbaar worden gesteld zodat zelfs binnen de organisatie de data echt alleen bruikbaar is voor geautoriseerde medewerkers. Kortom, een heel gebruiksvriendelijke oplossing die ik iedere organisatie die zich zorgen maakt over hun informatie van harte aanbeveel.

Peter Foppen, sales engineer, Comstor

Er zijn heel veel oplossingen waarmee je netwerkverkeer kan versleutelen met behulp van bijvoorbeeld IPSec of ssl-tunnels. Vaak is dit een basisfunctionaliteit van routers en security appliances of utm-appliances. Uiteindelijk is security een kwestie van vertrouwen. Zo weet ik van een bank die utm-/firewall-appliances van een Europese fabrikant wilde hebben, omdat ze geen backdoor wilde hebben (of het risico daarop) in apparatuur van bijvoorbeeld Amerikaanse leveranciers, zoals Cisco of Juniper. Vertrouwen is dezelfde reden waarom het Chinese Huawei geen energie meer in de Amerikaanse markt steekt.

Encryptie van gegevens is handig, want je wil gegevens niet op een zilveren schaal weggeven, maar in deze discussie vond ik deze comic veelzeggend: http://xkcd.com/538. Sterke encryptie is een veelvoorkomende manier om gegevens veilig te versturen. Het is de sterkste schakel. Dus ‘men’ (overheden en criminelen) richt zich op andere manieren om gegevens te onderscheppen. De Amerikaanse NSA richt zich op Amerikaanse online services en cloud providers zoals Facebook en Microsoft. Criminelen richten zich op slecht beveiligde pc’s van consumenten om zo creditcard- en bankgegevens te onderscheppen. Men richt zich op de zwakste schakel.

In die zin wil ik het al oude deurslot nomineren als oplossing tegen PRISM. Je kunt heel veel geld uitgeven aan encryptiesoftware en -apparatuur, maar als de deur van de serverruimte niet op slot zit, heeft dit weinig zin. Als je datacenters selecteert om clouddiensten af te nemen, kies dan een datacenter waar de Europese of Nederlandse jurisdictie geldt. Het gaat om de volledige keten van communicatie.

Steven Vlastra, senior systems engineer Benelux, Blue Coat Systems

Ik verbaas mij over het feit dat men in der haast tools ontwikkelt om meekijkactiviteiten als PRISM tegen te gaan. Ze gaan er volledig aan voorbij dat met deze tools de zichtbaarheid van het verkeer volledig wordt afgeschermd. Een onmogelijke zaak voor een organisatie om op dat moment te kunnen detecteren of dit verkeer legitiem naar buiten gaat of dat het hier gaat om het ‘lekken’ van vertrouwelijke data, advanced persistent threats (apt’s) en eventuele advanced targeted attacks (ata’s).

Nu ben ik zelf werkzaam als systems engineer voor Blue Coat Systems. Een van de acquisities die wij onlangs hebben afgerond is die van Solera Networks. Solera biedt security intelligence en analytics (sia) op big data. Het komt er op neer dat Solera een camera met opnamefunctionaliteit is voor het bedrijfsnetwerk, door realtime al het netwerkverkeer (L2-L7) te analyseren. Het stelt organisaties in staat om context op te bouwen in het geval van een apt, malwareinfectie, dataverlies, et cetera.

Ik vind dat het inzetten van client encryptietools niet de oplossing van het probleem is. Per slot van rekening is het veel interessanter om uit te gaan van het standpunt dat er meegekeken wordt, maar ben ik als organisatie daarvan op de hoogte? Vragen als welke systemen zijn geïnfecteerd, hoe heeft de infectie zich tot het netwerk doorgedrongen, is de aanval over, et cetera. leven bij het C-level van organisaties, maar kunnen zelden tot niet ingevuld worden met de huidige securitymaatregelen.

Het optrekken van een rookgordijn door deze tools, zal alleen maar averechts werken en problemen voor organisaties groter maken. Jammer dat hier verder niet op ingegaan wordt, en dat het gebaseerd is op basis van angst.

Jurgen de Poorter, pre-sales consultant, Crypsys

Jurgen de Poorter

Data is steeds meer ‘on the move’ en is om die reden, vaak ook (makkelijker) toegankelijk voor derden. Ook wordt steeds data gedeeld via e-mail en online storageoplossingen. Steeds meer aandachtsgebieden en uitdagingen dus als je jouw data veilig wil delen met klanten en/of medewerkers.

De meeste e-mail encryptie-oplossingen zijn gateway-gebaseerd en dan ook alleen maar te gebruiken wanneer je communiceert met een klant en/of organisatie die ook een gateway-gebaseerde e-mail encryptie-oplossing gebruikt. Wanneer je ook incidenteel of naar gebruikers zonder een gateway gebaseerde oplossing beveiligd wil mailen, wordt het vaak lastiger en misschien wel onmogelijk. Met Sophos SPX encryptie is het mogelijk om per mail te bepalen of je deze wel of niet met encryptie wilt versturen, dit door middel van het aanklikken van een button binnen de e-mail client.

Naast e-mail worden cloud storage-diensten steeds meer gebruikt. Niet alleen om privédata op te slaan maar ook steeds meer om zakelijke bestanden te delen met collega’s en klanten. Uitdaging hierbij is dat je niet precies weet waar jouw data zich bevind en wie daar allemaal bij kunnen, al dan niet gewenst. Het beveiligen van deze bestanden is dan ook de oplossing. Met Sophos Encryption for Cloud Storage kun je op een veilige manier gebruik maken van cloud storage-diensten geheel transparant voor gebruikers.

Eddy Willems, global security evangelist, G-Data

Voor iedereen, met name gebruikers die gebruik maken van clouddiensten zoals bijvoorbeeld Gmail of Dropbox, maar ook voor andere gebruikers die hun gegevens zo privé mogelijk willen houden, is het verstandig om bestanden en gegevens eerst te versleutelen voordat ze via het internet worden verstuurd. Het is verder verstandig voor mensen die veel van privacy houden, om hun belangrijke documenten op hun pc in een datakluis te bewaren, waarin de documenten zijn versleuteld en waarvoor een extra wachtwoord nodig is.

Overigens vind ik het ook belangrijk om iedereen erop te wijzen dat heel veel van de privacygevoelige informatie die voor een spionageproject interessant zou kunnen zijn, eenvoudigweg door gebruikers zelf wordt gepubliceerd op sociale netwerken. Wie zich boos maakt over PRISM en de NSA doet er dus verstandig aan om eerst bij zichzelf na te gaan of hij zelf wel voorzichtig met zijn eigen gegevens omgaat op dergelijke netwerken. Want daar valt volgens mij al een wereld te winnen.

Richard Jonker, vice president Emerging Markets, Netgear

Mensen en bedrijven die via internet met elkaar in verbinding staan, moeten zeker zijn van vrijheid en gelijkheid. Wanneer je deelneemt aan een public cloud, dan maak je gebruik van die mogelijkheden. Daarin is het hybride model, tussen public en private, het ideale cloudmodel. Wanneer je als bedrijf of consument kiest voor een private cloud, maak je geen gebruik van de diensten die door PRISM gescand zouden worden. In een private cloud kan je altijd bij je data, waar je ook bent, via ieder soort scherm. De verbinding moet wel voorzien zijn van encryptie. Er zijn oplossingen voor de meest voorkomende public cloud-toepassingen; van filesharing tot e-mail, crm, Dropbox, media streaming, contacts en kalender, vpn, blogs, cloud back-up.

Arie Timmerman, information security consultant, Capgemini

PGP (Pretty Good Privacy) is een bekende versleutelmethode die werkt door de te versleutelen tekst eerst te comprimeren, vervolgens te versleutelen met een publieke sleutel van de ontvanger, waarna het bericht verstuurd kan worden en weer leesbaar gemaakt met de private sleutel van de ontvanger. PGP wordt vooral gebruikt om de integriteit en vertrouwelijkheid van e-mailberichten te waarborgen. Helaas ondersteunen veel e-mailclients PGP niet standaard, wat toepassing van de methodiek weinig gebruikersvriendelijk maakt.

Gert Jan Timmerman, hoofd Kenniscentrum, Info Support

Een website die al heel lang bestaat is http://infoencrypt.com. Hier kun je een bericht versleutelen met een zelfgekozen wachtwoord. Het bericht wordt geëncrypt en je kunt de tekst dan zelf in bijvoorbeeld een e-mail kopiëren. Uiteraard is de bescherming afhankelijk van de kracht van het zelfgekozen wachtwoord en van het aantal keren dat je hetzelfde wachtwoord gebruikt (zo weinig mogelijk). Ook moet je zelf zorgen (via een ander medium) dat je het wachtwoord deelt met de geadresseerde. Dat laatste is vaak lastig.

Fred Streefland, director Education, Training & Knowledge Center, ENCS

De PRISM-onthullingen waren helemaal geen verrassing voor mij. Sinds de wereld interconnected is, bestaan deze mogelijkheden. Als ex-inlichtingenofficier, ga ik er al vanuit dat ik constant ‘bekeken/afgeluisterd’ word en gedraag mij als zodanig. Ook al claimen bedrijven/organisaties dat zij tools hebben die dit voorkomen, er zijn legio andere manieren om mensen en hun gedrag te ‘observeren’. Dus ik geloof niet meer in pivacy en denk dat de mensen dit moeten beseffen, tenzij zij in een grot zonder enige vorm van contact willen leven. Ik heb dan ook geen anti-PRISM oplossing.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4797440). © Jaarbeurs IT Media.
?

 

Reacties

Ben met twee vrienden een gratis en open source messaging service voor mobiele apparaten aan het ontwikkelen. Zie http://www.hisser.eu/ voor meer informatie.

Het beste is voor het laatst bewaard: Fred Streefland raakt een belangrijk punt. Door het hebben van een telefoon, accounts, bonuskaart, bankpas, auto, het gebruik van Google, et cetera, laten we zeer veel informatie over onszelf achter die we als normale stervelingen niet kunnen voorkomen (je betaald belasting en gaat dood). Tooltjes zijn leuk, maar lossen je probleem nauwelijks op.

Let wel! We hebben het hier vooral over de mogelijke bescherming van onze privacy tegenover overheden!

Het enige middel wat ik tegen meeluisterende overheden kan verzinnen is politiek. Inlichtingendiensten hebben een broertje dood aan transparantie en overheid omdat dit kwaadwillenden een voorsprong zou kunnen geven. Van mij hoeft die openheid niet naar de volledige buitenwereld te zijn, maar moet het wel plaatsvinden binnen de scheiding der machten.

De grote vraag echter is, hoe weet iemand van de bestuurlijke macht dat hij werkelijk open en transparant wordt voorgelicht door de uitvoerende macht? Wie bewaakt de bewakers?

In de VS stemt het congres steeds toe aan de praktijken van de FBI/NSA, maar ik kan niet bovenwater krijgen wat de kwaliteit is van de data die zij krijgen.

Laat ik voorop stellen dat het zonder verdenking kunnen verzamelen van data over individuen en het koppelen daarvan aan andere gegevensbronnen evil is.

Het pad waarop we nu lopen leidt tot 100% trajectcontroles op snelwegen, maar ook dat we op een gegeven moment aangesproken worden op ons koopgedrag. Je koopt "slecht" eten of je rookt, daarom betaal je meer premie, want slecht leven schaadt de economie van mensen die goed eten. En op dat vlak moet je als mensheid niet willen opereren, daarmee gaat de essentie van leven verloren. Bij het "ik heb niets te verbergen" argument gaat dat misschien nu nog op, maar als het kopen van sigaretten als slecht wordt bestempeld wordt het kopen van sigaretten wel ineens iets om te verbergen...

Een ander ding is dit: Als je tegen iets bent kun je politiek vermoord worden door de regerende partij die immers de macht heeft om alles over je te weten. Toon mij maar aan dat dit niet gebeurd...



transparantie en overheid moet zijn transparantie en openheid.

Nog een kleine aanvulling: Als je goed bent opgevoed, gezond bent en geen erge dingen hebt meegemaakt heb je geluk gehad. Niet ieder individu heeft dit privilege, op dit hellende vlak ontstaat er dalijk een kleine elite die alles heeft versus de burger die als een slaaf van het systeem moet blijven functioneren. Dit klinkt allemaal wat overtrokken, maar neem nu eens kleine stapjes die genomen kunnen en zullen worden. Als er niets fundamenteel verandert (in overeenstemming met meerdere overheden waarop we geen invloed kunnen uitoefenen), dan gaan we hier naar toe. Zeker in tijden van heftige crisis zouden stappen snel drastisch kunnen worden, onder druk wordt alles vloeibaar, ook principes.

Een veelgehoorde kreet is: "ik heb niets te verbergen, maar dat hoeft niet iedereen te weten". Dagelijks word ik geconfronteerd met onzorgvuldig handelen van mensen die uit hoofde van hun functie privacy gevoelige data verwerken. Vaak gedreven door goede bedoelingen maar zich niet realiserend wat de gevolgen zijn, worden bijvoorbeeld dossiers doorgestuurd naar privé Gmail adressen zodat ze in het weekend achterstallig werk kunnen afmaken. Als het dossier is bijgewerkt gaat het dezelfde weg weer terug. Yep, het staat nu 2 keer op de Googleservers waardoor de "pakkans" verdubbeld is. Wij kunnen van de gemiddelde Nederlander niet verwachten dat ze ineens kennis gaan krijgen van e-Mail encryptie, Private- en Public keys, Certificaten, digital signing en andere kennis die belangrijk is om je mailcommunicatie veilig te houden. Wij mogen echter wel van onze bestuurders verwachten dat ze zorgvuldig omgaan met de data die normaalgesproken niet onder de "WOB*" valt. Een van de betere methoden om het de betreffende organisaties gemakkelijk te maken is om de e-Mail centraal in de eigen organisatie volledig automatisch te "managen" met rules gebaseerd op de policy en ervoor te zorgen dat er automatisch wordt ge-signed (Met overheidsgoedgekeurd certificaat) en ge-crypt. Op deze manier hoeft de gebruiker er niet al te lang over na te denken als hij een mail met "gevoelige" data het boze internet op lanceert. Nu is het zelfs mogelijk om veilig te mailen naar je Gmail account, de inhoud is immers toch gecrypt en voor meekijkers en filteraars onleesbaar.
Het product wat dit op een fijne manier realiseert is de CompuMail Gateway, een Nederlands product (zonder achterdeurtjes)waarvan de bijzonderheden zijn te vinden op http://tinyurl.com/Mailencryptie1 *WOB= Wet Openbaarheid Bestuur

@Henri
"Als er niets fundamenteel verandert (in overeenstemming met meerdere overheden waarop we geen invloed kunnen uitoefenen)"

Besef je wel wat je hier zegt? Het is nl. het toegeven van het democratisch faillisement van onze rechtsstaten.

Toegeven dat dit geen zwart-wit zaak is maar met een passieve houding die iedereen lijkt aan te nemen blijven de kleine stapjes in de verkeerde richting doorgaan.

Daar moeten wij dus vanaf. En wat dat betreft zou je veel effectiever te werk kunnen gaan door mee te helpen om de stappen in de goede richting te zetten dan door telkens maar weer de symptomen te bestrijden. Het politieke klimaat is al te veranderen als een relatief kleine kritieke massa zich duidelijk laat horen.

Henri,

Welke pil heb jij geslikt? Want voor een cloud evangelist lijk je nu wel van je geloof af gevallen te zijn ;-)

Ik vind het trouwens opmerkelijk dat een ex-inlichtingen officier, nu werkzaam bij ENCS geen tips heeft of mag/wil geven. Dat maakt me benieuwd naar wat er eigenlijk onderwezen wordt en aan wie.

@Ad,

Geheel met je eens, waar was het ook al weer die lezing waar jij ook was, dat een promovendus onderzoek deed op 1 Miljoen GBA gegevens en met drie gegeven je kon identificeren in de rurale gebieden van NL en op 10 in de drukke gebieden...

kortom, met vage informatie over iemand, ga je hem met wat meer vage informatie individueel vinden. Het is dus inderdaad niet zo dat je met vage persoonsinformatie anoniem bent, integendeel. prima dienst dus die je noemt.

End-to-End Encryptie als anti-PRISM maatregel

Op de link wuala.com/FreemoveQuantumExchange/Aspects/Security/Programs/ChannelCodingExamples zijn operationele voorbeelden te vinden van End-to-End Encryptie om passieve interceptie zoals met PRISM te voorkomen. In het documentje sharing_secrets.pdf in de subdirectories is een simpele toelichting te vinden. Welliswaar kan de data in het kanaal onderschept worden, echter dit betreft alleen encrypte data.

Voorbeelden hoe de data encrypt wordt aan de bron zijn te vinden in /wuala.com/FreemoveQuantumExchange/Aspects/Security/Programs/SourceCodingExamples

@PGPmail

misschien iets om te combineren met TOR...., geeft weer een extra handicap, omdat dan de bron ook onduidelijk wordt. dat is met pgp nog niet het geval.

Maarten, aan het (ontbreken van) het IP adres van PGPMAIL gebruiker zie ik dat hij eerder ook heeft gereageerd onder de naam Q en altijd aan Wuala promotie doet wat mij altijd een naar smaakje heeft. Met wat Google werk ben ik overigens achter zijn identiteit gekomen, maar dat terzijde.

Johan, ja dat is inderdaad het democratisch faillissement van onze rechtstaat. Ik ben echter niet van plan de politiek in te gaan aangezien ik te resultaat gericht ben, maar als ik mijn steentje bij kan dragen zal ik dat zeker niet nalaten. Ik ben niet tegen tappen en afluisteren als het maar in de basis uitgevoerd wordt middels de scheiding der machten hoe bureaucratisch dat dan ook moge zijn.

Ewout, ik ben echt niet van mijn geloof gevallen hoor :-) Dat ik voor cloud computing ben mag duidelijk zijn, ik geloof in de techniek en het model, alleen staat het dus ook open voor misbruik door overheid. Als ik in een ministerie kom zeggen ze dat ze niet aan cloud computing doen, maar dat is dus niet waar ;-)

Maar nogmaals , ik ben niet tegen anti-terrorisme, maar wel tegen het massaal schenden van privacy en het niet open zijn van hoe hier mee om wordt gegaan wat dus leidt tot machtsmisbruik en een hellend vlak als het gaat om het samenbrengen van data die ten koste gaat van privacy.

Overigens wordt hier veel over veilige communicatie gesproken en het versleutelen van gegevens. Het versleutelen van databases vanaf client side is nagenoeg onmogelijk en ook op het gebied van het beveiligen van grote datasets moet er nog heel wat water naar de zee stromen voordat dit goed te doen is.

Overigens denk ik dat PRISM wel iets anders is dan de meeste mensen denken. Ik denk dat het gewoon een tool is die je op een dataset kunt laten landen zodat je er vragen aan kunt stellen. Deze data lijkt mij echter niet "totaal" (dus over iedereen), maar gebaseerd op soort van "dropbox" (niet te verwarren met de dienst) mappen bij providers van waaruit geput kan worden. Overheid doet verzoek aan provider, provider stopt deze data al dan niet automatisch in zo'n dropbox waaruit de overheidsdienst dan kan putten. Dit staat overigens los van de (meta) data die verkregen wordt uit telefoongesprekken en internet verkeer wat de VS doorkruist.

Het lijkt mij onmogelijk dat overheid van de VS alle data tot zijn beschikking heeft, dat zou extreem duur zijn, idioot veel datacenters kosten en teveel bandbreedte kosten.

Daarnaast heb je nog een samenwerking tussen bijv. Google en US overheid dat er op sleutelwoorden en combinaties wordt gefilterd. Dit kan leiden tot een "trigger" waardoor een functionaris even verder kijkt en evt. beslist tot het aanvragen van een huiszoeking.

Maarten,

Mattijs Koot vertelde op Alt-S over quasi identifiers:

http://www.computable.nl/artikel/expertverslag/cloud_computing/4642646/2333364/open-it-security-congres-alts-is-openbaring.html

@Maarten Oberman,

Je analyse is onjuist.

In het aangehaalde Freemove Quantum Exchange Systeem (dat sinds 2007 operationeel is) zijn bron- en kanaalcodering gescheiden. TOR behoort tot de kanaalcodering en PGP tot de broncodering. De bron kan zich dus onafhankelijk van TOR via digitale ondertekening als onderdeel van de broncodering prima identificeren bij de groep van ontvangers (welke in het bezit zijn van de public-key van de afzender).

@Ewout,

klopt nu ik het zie dat was het onderzoek waar ik aan refereerde, met dank dus voor de sneller "opsporing", ik was de bron en naam etc kwijt. Het is interessant, omdat je met onnauwkeurigheden nauwkeurig kan worden, kort 30 vage zaken over mij en je weet wie ik echt ben... Dus ook niet interessante zaken worden vanzelf gecombineerd tot wel interessant.

@Henri,

Op zich ben ik het je eens, zeker hier in dit soort fora, als je wil zeggen wat je vindt, is er ook het recht om de achtergrond te kennen waarom en wie waarom iets vind. Maar ik kan me ook goed voorstellen in point tot point in ten stelling tot point to multipoint communicatie, dat ik wel alles wil beveiligen en dan is tor weer een drempeltje.

Men spreekt hier over prism maar niemand noemt de volgende website:
https://prism-break.org/

Het geeft een beeld van wat er zo te vinden is, daarbij als kanttekening dat niet alles wat daar aangedragen is voldoende kwaliteit heeft.

Als je de inhoud van een bericht/file wilt versleutelen is truecrypt het beste echter wanneer je dat gaat versturen kunnen altijd nog de metadata afgevangen en bekeken worden.
Geheimdiensten zullen altijd wegen vinden om mensen te screenen, wat momenteel stoort is het gebrek aan demokratische kontrolle. Vragen we ons eens af wat we in 1989 eigenlijk binnen gehaald hebben, en of we zorgvuldig genoeg geweest zijn met het screenen van ongewenste elementen uit omgevingen waar het normaal was dat mensen op grote schaal bespioneerd werden.

De US is aan het infuus van de federale bank en er wordt elke maand 85 miljard aan dollars bijgedrukt en krijgt onder een extreem lage rente het geld te leen.
De schuldmeter staat 'officieel' op 15 triljoen maar er zijn economen dat 21 dichter in de buurt komt. (Die teller is overigens de laatste 10 jaar verdubbeld.)
Maar de prijs van 20 miljard per maand aan 'surveillance' uit te rekken is dus geen probleem want de veiligheid van het land is belangrijker dan die paar dollars.

@Henri Koppen:

Zoals je weet, bestaat een Wuala groep (welke onderdeel van de kanaalcodering is) uit meerdere personen. In het gescheiden bron- en kanaalcoderingsconcept kan hetzelfde kanaal door door meerdere bronnen gebruikt worden. Een en ander is goed uitgelegd sharing_secrets.pdf document in m`n eerste reactie. Het Freemove Quantum Exchange Systeem is in 1e instantie opgezet als proof-of-concept systeem om verschillende aspecten [ zie wuala.com/FreemoveQuantumExchange/Aspects ] in de praktijk te testen. Dat Wuala hiervoor gekozen is, hangt samen met SurfNet en Novay onderzoeken. Het is niet de intentie reklame te maken voor een bepaald Cloud Storage Systeem. Deze concepten kunnen in willekeurige andere systemen ook geimplementeerd worden. De conclusies welke je trekt zijn dan ook onjuist.

@Maarten Oberman:

Het sharing_secrets.pdf documentje geeft wat achtergrond info waarnaar je vraagt.

PGPMail: Dat wist ik niet, en bedankt voor de toelichting. Mijn conclusie is dus inderdaad verkeerd getrokken. Excuus daarvoor. Je verwijst inderdaad naar interessante materie die heel relevant is :-) Dank hiervoor.

@PGPMail

dank voor de link is zeer lezenswaardig. Het blijft een boeiend onderwerp/wedstrijd...

@PGPMAIL
Noscript moet uitstaan om die links te laden, beter even erbij noteren.

@{Henri Koppen, Maarten Oberman, Jan van Leeuwen}

Leden van de pspstore groep kunnen encrypte content opslaan welke encrypt is met de Public-Key van ontvangers (welke geen lid van de groep behoeven te zijn). Een persoon kan natuurlijk zowel de rol van zender en ontvanger hebben bij verschillende encrypte files.

De doelstelling van deze groep is niet in de eerste plaats security, maar anti-contentfilter en actieve intrusion detection op de content.

Daarom kunnen ook niet groepsleden de encrypte content downloaden.

Een zeer goede oplossing tegen PRISM is encrypte peer-to-peer links met Quantum Encryptie, zoals reeds enkele jaren operationeel tussen Zoetermeer en Den Haag.

Quantum encryptie maakt passieve intrusion detection op de link mogelijk, wat met klassieke encryptie onmogelijk is. Dit anticipeerd op voorgenomen wetgeving van het verplicht melden van inbreuken op ICT-Systemen van kritieke infrastructuren, zie bijvoorbeeld internetconsultatie.nl/meldplicht_ict_inbreuken

De peer-to-peer link loopt niet over de ASM-IX, wat onderscheppen van het communicatieverkeer op de AMS-IX onmogelijk maakt.

Achtergrond over Quantum Encryptie is bijvoorbeeld te vinden op wuala.com/QuantumRandomnessApplications/Information/Examples/

@Q:

Bij Quantum Key Distribution en Quantum Entanglement zijn de bits gecodeerd als qubit in de toestand van de fotonen. Om de waarde van de qubit te kunnen bepalen moet je de toestand van het foton meten en dit kan niet zonder verstoring van de toestand van het foton (zie het no-cloning theorem). Dit maakt de intrusion detection function mogelijk in quantum encryptie systemen.

Intrusion detection is echter de enige extra functie welke quantum encryptie geeft boven informatie-theoretische encryptie met true (quantum) randomness, zoals in het aangehaalde Freemove Quantum Exchange systeem dat sinds 2007 operationeel is.

Andere voordelen van dit systeem ten opzichte van Quantum Encryptie zijn: Lage kosten, Hoge snelheid en dat het werkt over alle infrastructuren en alle afstanden.

Echter beide typen systemen kunnen gebruikt worden om PRISM tegen te gaan.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×