ONLINE VEILIGHEID
WAPEN JEZELF TEGEN
BITDEFENDER TOTAL
GLUURDERS
SECURITY
Je baas, je huisgenoten, Google en Facebook
Serieuze gevaren, serieuze beveiliging
HERKEN BEDREIGINGEN: ZO GAAN CYBERCRIMINELEN TE WERK!
QUICKSTART Een veilige pc
DE BESTE BESCHERMING
tegen de grootste veiligheidsrisico’s Virussen, ransomware, apps die al je gegevens stelen ... De lijst met risico’s die je online loopt gaat maar door. En hoe goed je je beveiliging ook op orde denkt te hebben, een ongeluk zit in een klein hoekje. Wat zijn eigenlijk de grootste beveiligingsrisico’s, en hoe kun je je daar het beste tegen beschermen?
I
edereen kan slachtoffer worden van online criminaliteit. Dat is heus niet alleen voorbehouden aan
1. Deze link
onwetende gebruikers die geen idee hebben waar
kun je beter niet
ze mee bezig zijn. Zelfs de best beveiligde surfer downloadt soms per ongeluk het verkeerde bestand of bezoekt een site met malvertising. Foutje, bedankt! Vaak slaat het noodlot zelfs toe zonder dat je iets verkeerds gedaan hebt.
Ransomware Een van de grootste en meest serieuze nieuwe dreigingen van het komende jaar is ransomware. Je krijgt een virus op je computer die al je bestanden versleutelt. Je krijgt die vervolgens pas terug als je losgeld betaalt – net als bij een gijzeling. En of je je bestanden ook daadwerkelijk terugkrijgt nadat je tot soms wel 1.000 euro betaalt voor je documenten is vaak nog maar de vraag. Criminelen hebben er weliswaar baat bij om ‘betrouwbaar’ over te komen, maar je kunt er bij criminelen natuurlijk niet van uitgaan dat ze zich netjes aan hun woord houden.
2
EERSTE HULP BIJ BEVEILIGING
aanklikken.
QUICKSTART Een veilige pc
Herhaalde wachtwoorden
liever niet gestolen ziet worden, maar veel gebruikers
Een groot gevaar voor je online veiligheid is je wacht-
denken helemaal niet na over beveiliging van hun
woordbeheer. Dat is vandaag de dag de nummer één
telefoon. “Dat is toch niet nodig”, of “Ach, ik heb toch
oorzaak van identiteitsfraude en het stelen van je ge-
genoeg back-ups”, is dan vaak het excuus. Ook veel ge-
gevens. Denk er maar eens over na: hoeveel accounts
hoord: “Dat trekt mijn accu meteen leeg”, of “Het maakt
heb je eigenlijk? Dat zijn er meer dan je denkt. Zoek
m’n telefoon zo traag”. Dat hoeft echter helemaal geen
voor de grap eens in je mailbox naar de term ‘Welkom
probleem te zijn – mits je het juiste antidiefstalpakket
bij’ of ‘Welcome to’. Je krijgt dan namelijk alle e-mails te
neemt. Weinig dingen zijn immers zo schrikbarend als
zien van diensten waarbij je een account hebt aange-
dat gevoel dat je telefoon niet meer in je broekzak zit,
maakt. Dat zijn er waarschijnlijk veel meer dan je had
toch? Op veel smartphones is een basale terugvind-
durven gokken. Die ene foto-app waar je twee jaar
dienst aanwezig (Zoek mijn iPhone of Android Appa-
geleden eens een account aanmaakte om even snel iets
raatbeheer). Het is echter wel verstandig dit door te
te versturen, die ene website waar je misschien in het
lopen voordat je je toestel verliest!
verleden eens een paar pdf’s mee hebt geconverteerd ... Zulke diensten hebben je wachtwoord nog ergens
Serieuze gevaren, serieuze beveiliging
opgeslagen - maar hoe is dat beveiligd? Weet je wel
Al deze beveiligingsrisico’s zijn serieuze gevaren. Waar-
zeker dat zij dat goed beschermd hebben?
schijnlijk weet je al wel het een en ander van beveili-
Afluisteren op openbare wifi-hotspots
ging. Toch zit een ongeluk vaak in een klein hoekje. Dan klik je per ongeluk de verkeerde email aan, download
Hoe vaak gebruik je een openbare wifi-hotspot? Bij-
je per ongeluk een verkeerde torrent, of raak je je tele-
voorbeeld in een café, of op vakantie in de plaatselijke
foon ergens kwijt. Je kunt dan maar beter goed bevei-
campingcafetaria? Het is makkelijk om op zulke plekken
ligd zijn. Met Bitdefender Total Security krijg je voor een
even snel mail te checken of een berichtje te versturen,
lage prijs een compleet beveiligingspakket voor zowel
maar openbare wifi-hotspots kunnen ook erg gevaarlijk
je desktop als je laptop en smartphone. Daarmee ben
zijn. Het is namelijk kinderlijk eenvoudig voor iedereen
je niet alleen verzekerd van een goede malware-detec-
op het netwerk om andere gebruikers af te luisteren,
tie, maar ook van beveiliging tegen ransomware, een
en zelfs om computers op die manier te infecteren. Een
veilige manier om van openbaar wifi gebruik te maken,
goed beveiligingspakket kan daar goed bij helpen.
en de beste antidiefstal-beveiliging voor je smartphone
Virussen scannen Dat je een virusscanner op jouw computer moet
Zo ben je altijd veilig, thuis óf onderweg.
zich ‘drive-by downloads’ verstopt hebben – malware
Lees hier de laatste tips om je pc, smartphone en alles wat daarbij hoort te beveiligingen.
die je computer probeert te infecteren zónder dat je
www.computertotaal.nl/online-veiligheid
hebben, weet je waarschijnlijk wel. In Windows 10 zit standaard (en gratis!) Windows Defender, maar dat is nogal basaal. Een goede virusscanner scant actief op de achtergrond, wat betekent dat je het programma niet bij iedere download aan hoeft te zetten. Dat is niet alleen handig bij het downloaden van programma’s, maar ook als je bijvoorbeeld websites bezoekt waar
ergens op klikt. Dat gebeurt vaak via ‘malvertising’ (een samentrekking van ‘malware’ en ‘advertising’): virussen die worden verspreid via de advertentienetwerken op sommige websites. Malvertising is bijna niet tegen te gaan, en dan is het een veilig gevoel als je een goede virusscanner hebt draaien die zulke dreigingen al tegenhoudt vóór ze je kunnen infecteren.
Ook mobiel veilig En hoe zit het eigenlijk met je telefoon? Heb je die wel beveiligd? Bedenk je ook eens hoeveel persoonlijke informatie er eigenlijk op je toestel staat; al je WhatsAppgesprekken, foto’s, e-mails ... Het zijn dingen die je
EERSTE HULP BIJ BEVEILIGING
3
QUICKSTART
Wapen jezelf tegen de baas
WAPEN JEZELF TEGEN DE BAAS
Maak bespieden lastiger voor je werkgever Er zijn werkgevers die de online praktijken van werknemers bespieden. Ze lezen stiekem mee met je mail, checken je chatverkeer en zien wat je allemaal op internet uitspookt. Kortom, sommige werkgevers gaan behoorlijk ver om hun personeel te controleren. Vind je dat ietwat kinderachtig en wens je meer privacy? Maak het je baas lastig en neem maatregelen om spionage tegen te gaan. MAIKEL DIJKHUIZEN
D
e Nederlandse wetgeving geeft werkgevers
Tethering
behoorlijk wat ruimte om online activiteiten van
Dankzij de functie tethering
hun personeel te monitoren. Bij vermoeden van
is het mogelijk om de
verminderde arbeidsproductiviteit, is het voor je baas
mobiele internetverbinding
al toegestaan om binnen redelijke grenzen een oogje
van je smartphone met de
in het zeil te houden. De kans bestaat dus dat je baas
werk-pc te delen. In dat
regelmatig meegluurt om te controleren of je het werk
geval functioneert het mo-
nog wel naar behoren doet. Overigens biedt de wet
biele apparaat als modem.
nog wel enigszins privacybescherming, al zijn de exacte
Op een iPhone navigeer je
regels hiervan op verschillende manieren te interprete-
achtereenvolgens naar Instellingen / Persoon-
ren. Bij afwezigheid is het voor werkgevers toegestaan
lijke hotspot, waarna je de schakelaar activeert.
mobiele inter-
om je zakelijke mails te openen. Privémailtjes lezen is
Je koppelt de iPhone op drie manieren aan je
netverbinding
daarentegen niet toegestaan. Je baas mag wel weer ge-
werkmachine, namelijk via usb, bluetooth of wifi.
van je smart-
richte controles uitvoeren om te zien of je wel voldoen-
Voor laatstgenoemde optie is het noodzakelijk
phone met je
de met je werk bezig bent. Voor internet geldt min of
om een wachtwoord in te stellen op het mobiele
werk-pc en surf
meer hetzelfde. Je baas mag niet de hele dag meekijken
toestel. Android-apparaten hebben o nder de
anoniem.
met welke websites je bezoekt, maar steekproeven zijn
naam Tethering en mobiele hotspot een verge-
wel mogelijk. Wanneer een werkgever wil monitoren,
lijkbare functie aan boord. Je vindt deze optie bij
moet hij of zij de controle overigens wel melden bij het
de netwerkinstellingen van je mobiele apparaat.
College Bescherming Persoonsgegevens.
4
ONLINE VEILIGHEID
Deel de
QUICKSTART Netwerkverkeer loggen
Wil je onopvallender te werk gaan, dan gebruik je hier-
Vraag je je af: hoe ziet mijn baas wat ik allemaal online
voor eventueel een tablet of smartphone. Op pagina
doe? Het antwoord hierop is simpel, namelijk door al
40 van dit nummer lees je een test over verschillende
het netwerkverkeer te loggen. De systeembeheerder
VPN-aanbieders.
of IT-afdeling van een organisatie beschikt hiervoor
Het is ook mogelijk om thuis een VPN-server op te
veelal over specifieke software. Hiermee lukt het om te
tuigen, zodat je geen abonnement bij een commerciële
achterhalen welke websites je allemaal hebt bezocht.
aanbieder hoeft af te sluiten. Wanneer je in een browser
Alle data die je ontvangt en verzendt legt een monitor-
een website opvraagt, haalt de VPN-server de benodig-
programma namelijk vast in een informatiebestand.
de data binnen. Vervolgens sluist de server de gegevens
Deze informatie is gekoppeld aan je bedrijfsaccount of
via een versleutelde verbinding door naar je werkma-
het IP-adres van je pc en is dus naar jou herleidbaar.
chine, zonder dat het voor werkgevers mogelijk is om de
Het controleren van e-mail is nog eenvoudiger, want
inhoud van het internetverkeer te detecteren.
werkgevers loggen simpelweg in op je account. Verder is het voor je baas ook mogelijk om e-mailverkeer te scannen en onderschepte mailtjes stiekem te lezen.
Dongel Het nadeel van een VPN-server is dat je werkgever kan zien dat je hiervoor speciale software gebruikt. Dat Een dongel
roept wellicht vervelende vragen op. Als alternatief
Er is een aantal mogelijk heden om anoniem op internet te surfen zonder dat je baas stiekem meegluurt.
voor mobiel in-
gebruik je voor privézaken tijdens het werk een dongel
ternet biedt een
voor mobiel internet. Je haalt de netwerkkabel tijdelijk
mogelijkheid
uit je werk-pc en bezoekt websites via een draadloze
om het zakelijke
3G- of 4G-verbinding. Doe de simkaart van je smart-
netwerk te
phone in de dongel en bezoek websites zonder dat je
Gebruikerssporen wissen
omzeilen.
last hebt van een nieuwsgierige baas.
Dankzij een VPN-server of mobiele internetverbinding ben je de monitorsoftware van systeembeheerders te slim af. Houd er wel rekening mee dat je werk-pc ook privacygevoelige gegevens lokaal bewaart. Denk bijvoorbeeld aan cookies, de zoekgeschiedenis en bezochte websites. Gelukkig beschikken tegenwoordig alle browsers over een privéknop waarbij het programma dergelijke gegevens niet opslaat. In Chrome open je hiervoor bijvoorbeeld een nieuw incognitovenster via
Zorg ervoor
de sneltoets Ctrl+Shift+N. Ook Microsoft Edge, Internet
dat je browser
Explorer en Firefox hebben een dergelijke functie in
geen surfge-
huis. Je wist overigens eenvoudig bestaande gegevens
gevens lokaal
die je browser al eerder hebt opgeslagen. In de meeste
bewaart en
browsers roep je het gewenste menu op via de toetsen-
gebruik de
combinatie Ctrl+Shift+Delete.
privéfunctie.
Surfen zonder pottenkijkers Er is een aantal mogelijkheden om anoniem op internet te surfen zonder dat je baas stiekem meegluurt. Je versleutelt het internetverkeer eventueel via een VPN-server. In dat geval installeer je op de pc of laptop een programma dat een virtuele tunnel naar een online server realiseert. Hiervoor is het wel een voorwaarde dat je voldoende rechten hebt om eigen software te installeren op de werkmachine. Is dat bij jou niet het geval? Neem dan een eigen laptop mee en installeer daarop een VPN-server om privétaken uit te voeren.
ONLINE VEILIGHEID
5
QUICKSTART
Wapen jezelf tegen de baas
Op veruit de meeste werk machines is er sprake van beperkte rechten, omdat werkgevers (dan wel systeembeheerders) graag de controle houden over de pc’s.
Facebook, YouTube of NPO Gemist zit en blokkeren om die reden de toegang tot deze websites. De oplossing hiervoor is al eerder in dit artikel aan bod gekomen, namelijk het gebruik van een VPN-server, eventueel op je eigen laptop of een tablet/smartphone. Andere oplossingen om geblokkeerde websites evengoed te bezoeken, zijn het gebruik van het anonimiteitsnetwerk Tor of een proxyserver.
Data vernietigen Als je weleens privébestanden op de computer bewaart, is het onvoldoende om de data via de
Beperkte rechten
standaardfunctie van Windows weg te gooien. De gegevens staan in werkelijkheid nog altijd op de
Op veruit de meeste werkmachines is er sprake van
harde schijf. Via gespecialiseerde software is het
beperkte rechten, omdat werkgevers (dan wel systeem-
mogelijk om de bestanden weer terug te halen,
beheerders) graag de controle houden over de pc’s. Je
waardoor de werkgever in theorie kan zien
kunt dan bijvoorbeeld geen nieuwe software install-
welke privédata je hebt bewaard. Om te voorkomen dat dit gebeurt, is het noodzakelijk om de gegevens te overschrijven met andere data. Het gratis en bekende tooltje CCleaner (www. piriform.com) heeft hiervoor een handige functie in huis. Via Gereedschap / Gegevenswisser lukt het om de vrije schijfruimte in Windows te overschrijven. Je selecteert het gewenste schijfstation, waarbij je aangeeft hoe vaak je wilt over-
De mobiele
eren, omdat je baas dat niet wil. Hiervoor is meestal
versie van
toestemming vereist van de systeembeheerder. Bepaal
de browser
je liever zelf welke programma’s je gebruikt? Ga dan op
Chrome draai
zoek naar portable versies. Vooral ontwikkelaars van
je bijvoorbeeld
freeware bieden programma’s aan die je zonder instal-
vanaf een usb-
latieprocedure kunt gebruiken (zie ook het artikel over
stick.
Portable Apps op pagina 98). Op een site als http://portableapps.com download je onder meer portable versies van Firefox, Chrome en allerlei spelletjes. Houd er overigens wel rekening mee dat sommige werkgevers ook het gebruik van portable software blokkeren, maar het is in ieder geval het proberen waard. Strenge werkgevers beperken zelfs de toegang tot internet. Ze willen bijvoorbeeld niet dat hun personeel onder werktijd op
6
ONLINE VEILIGHEID
schrijven. Wil je toch privébestanden permanent
CCleaner is
op een pc bewaren, kies dan voor een versleutel-
in staat om vrije
de map. Dit kan prima met het gratis programma
schijfruimte in
VeraCrypt. Dat is een actieve doorontwikkeling
Windows maxi-
van het originele TrueCrypt, dat al een paar jaar
maal 35 keer te
niet meer is bijgewerkt.
overschrijven.
QUICKSTART Op welke
mogelijk om tweets en foto’s af te schermen, waar-
tijden je
bij de updates alleen voor goedgekeurde personen
toegankelijk zijn.
gebruikt, gaat je baas natuurlijk
Whatsappen
helemaal niks
Het anonimiseren van WhatsApp is erg eenvoudig.
aan.
Wanneer je berichten verstuurt en/ of ontvangt, is het verstandig om hiervoor niet het wifi-netwerk van je werkgever te gebruiken. In dat geval gaan inkomende en uitgaande berichten langs de monitorsoftware van de IT-afdeling. Beter is om WhatsApp in een zakelijke omgeving Je voorkomt
Sociale media
via een mobiele internetverbinding te gebruiken. Dat geldt overigens
eenvoudig
Wanneer je dagelijks op sociale media als Facebook, Ins-
ook voor overige privétaken van je
dat iedereen
tagram en Twitter actief bent, post je misschien wel eens
smartphone. Is het mobiele bereik
persoonlijke
een statusbericht, foto of tweet onder werktijd. Je zorgt
binnen het kantoorpand slecht,
statusberichten
er eenvoudig voor dat je baas de inhoud hiervan niet te
waardoor je genoodzaakt bent om
op Facebook
zien krijgt. Bij veel bedrijven is het immers niet toegesta-
het toestel te verbinden met wifi? Veel
kan zien.
an om onder werktijd met sociale media bezig te zijn.
VPN-providers bieden tegenwoordig
Allereerst is het belangrijk dat je je baas nooit als online
ook een speciale app aan voor iOS-
vriend toevoegt aan je contactenlijst. Pas verder ook op
en Android-apparaten. Hiermee lukt
met overige collega’s, want wie weet komen er anders
het om al het netwerkverkeer van
evengoed privégegevens bij je leidinggevende terecht.
je toestel te versleutelen. Wanneer
Scherm je profiel daarnaast zo veel mogelijk af, zodat de
jouw baas je privénummer weet, is
inhoud alleen voor vrienden zichtbaar is. Onder andere
het slim om de privacy-instellingen
Facebook heeft diverse privacy-instellingen. Klik bove-
van WhatsApp even aan te passen.
naan op je profielpagina maar eens op het pictogram
Hij of zij ziet anders namelijk wanneer je voor het laatst
met het hangslotje. Je gebruikt deze privacysnelkoppelin-
de chatdienst hebt gebruikt en of dat tijdens werktijd is
gen om na te gaan voor wie je statusberichten zichtbaar
gebeurd. Open de privacy-instellingen van deze app en
zijn. Geef zo nodig aan dat je berichten voortaan alleen
kies bij Laatst gezien voor de optie Niemand. Schakel
met vrienden wilt delen. Op Twitter en Instagram is het
verder de functie Leesbewijzen uit.
Google Vertalen is eigenlijk een veredelde
Proxysites
webgebaseerde proxyserver.
Naast het handmatig instellen van een proxyserver in je browser, kun je er ook voor kiezen om op internet naar kant-en-klare proxyservers te zoeken. Hiermee lukt het om websites te bezoeken die door je werkgever zijn geblokkeerd. Een simpele zoekopdracht in Google geeft je toegang tot diverse aanbieders. Typ het adres dat je wilt bezoeken en gebruik via een omweg Facebook, YouTube of Dumpert. Leuk is dat je ook de website Google Vertalen (https://translate.google.nl) als proxyserver kunt gebruiken. Typ maar eens een url in het tekstvak en laat de inhoud hiervan naar het Nederlands vertalen. Klik vervolgens op de hyperlink om de website te openen.
ONLINE VEILIGHEID
7
QUICKSTART Huisgenoten
Wapen jezelf tegen je
HUISGENOTEN Veel mensen werken samen op dezelfde laptop of pc. Hierbij komt de privacy van alle gebruikers ernstig in het geding omdat iedereen overal bij kan. Gelukkig is hier eenvoudig iets aan te doen met een paar kleine aanpassingen en leefregels. R O B B I N O O I J E VA A R
A Maak voor iedereen die
ls je met het hele gezin of met andere huis-
met eigen mappen, een eigen browseromgeving (en
genoten op één laptop/pc werkt, dan is het
browserwachtwoorden), eigen documenten et cetera.
zonder maatregelen lastig om sociale media,
De manier om nieuwe gebruikers aan te maken ver-
mail en bestanden privé te houden. Met het juiste
schilt per Windows-versies, maar het is eenvoudig in te
gereedschap tover je zelfs alle wachtwoorden tevoor-
stellen. Druk op Windows-toets+R en geef de opdracht
schijn! We gaan aan de slag zodat je toch veilig met z’n
netplwiz gevolgd door Enter. Klik op Toevoegen en
allen van een computer gebruik kunt maken.
maak voor iedereen een gebruiker aan met een goed wachtwoord.
een gemeen-
Aparte gebruikers
schappelijke
Je doet jezelf en medecomputergebruikers het grootste
Sneltoets
computer geb-
plezier door voor iedereen een apart a ccount aan te
Als je werkt met meerdere gebruikers werkt op de-
ruikt een eigen
maken. Dit houdt in dat iedereen die de computer ge-
zelfde computer, hoef je maar één sneltoets te onthou-
Windows-ac-
bruikt, zich moet aanmelden bij Windows. Vervolgens
den: Windows-toets+L. Ezelsbruggetje: de L van ‘lock’.
count aan.
krijgt iedereen een eigen omgeving voorgeschoteld
Zodra je klaar bent met computeren of even wegloopt, gebruik je deze sneltoets. Het aanmeldscherm komt tevoorschijn en anderen kunnen zich aanmelden zonder dat ze per ongeluk verder werken op jouw account.
Aanmeldgemak
en gebruik een pincode om je
woord in te typen om zich aan te melden bij Windows.
sneller aan te
In Windows 10 kun je in plaats van een wachtwoord
melden.
je sneller invoeren, vooral als je computer een numeriek toetsenbord heeft. In Windows 10 stel je de pincode in via Windowstoets+I /
ONLINE VEILIGHEID
wachtwoord in
Sommige mensen vinden het vervelend om een wacht-
ook een pincode kiezen. Dit werkt prettiger en kun
8
Stel eerst een goed
QUICKSTART Huisgenoten
Accounts / Aanmeldopties / Accounts. Dankzij een
vésessie’ of ‘privénavigatie’ (dat verschilt per browser).
pincode kun je een wachtwoord instellen (en dat is zeer
In de incognitomodus kun je websites bezoeken en
verstandig als er een koppeling is met een Microsoft-
inloggen, en de gegevens worden bewaard totdat je de
account) en je toch gebruiksvriendelijk aanmelden.
browser afsluit. Op dat moment wordt alles verwijderd
Andermans browser
De privé-
Soms heb je het niet voor het zeggen en werk je even
modus is
op een computer van iemand anders in zijn/haar
bedoeld om
browser. Dit is geen ideale situatie omdat het eenvou-
webadressen,
dig is om jouw wachtwoorden te achterhalen die je
logins en andere
intypt. Ook moet je opletten dat je niet aangemeld blijft
persoonlijke
biedt een bev-
bij je webmail, Facebook of andere websites. Vergeet
gegevens te
eiligde virtuele
dus niet om je af te melden bij de online dienst die
vergeten zodra
opslagschijf
je gebruikt. Een andere oplossing is om de browser
je de browser
die eenvoudig
alles te laten vergeten. Dit gaat via de toetscombinatie
afsluit.
toegankelijk is
Ctrl+Shift+Del. De mogelijkheden verschillen per brow-
via Windows
ser, maar meestal heb je de optie om bijvoorbeeld alles
en ben je niet meer aangemeld bij de websites. Je kunt
Verkenner.
van de afgelopen dag te laten ‘vergeten’.
deze truc ook toepassen als je even je mail wilt checken
VeraCrypt
op de computer van iemand anders. In Internet Explorer en Firefox open je een privésessie met de toetscombinatie Ctrl+Shift+P en in Chrome is dat Ctrl+Shift+N.
Sommige bestanden beveiligen Als je VeraCrypt te ingewikkeld vindt of alleen af en toe een bestand (of map met bestanden) ‘geheim’ wilt houden, kan dat op een eenvoudige manier. Met Encrypt OnClick (www.2brightsparks.com/onclick/eoc.html) kun je bij Encrypt / File een bestand aanwijzen of met Encrypt / Folder een map met bestanden. Stel een goed wachtwoord in en laat de inhoud beveiligen. Gebruik Decrypt / File of Decrypt / Folder om je bestanden weer
Kluis voor bestanden
EncryptOn-
leesbaar te maken.
Click maakt het
EncryptOnClick is handig voor beginners om bijvoor-
eenvoudig om
beeld snel een aantal foto’s, filmpjes of documenten te
persoonlijke
beveiligen. Let op: beveilig alleen je eigen foto’s, film-
bestanden te
pjes, documenten en andere persoonlijke bestanden.
beveiligen met
Op een gemeenschappelijke computer zijn bestanden
Laat Windows-mappen en programmamappen met
een wacht-
van andere gebruikers afgeschermd, maar met vol-
rust om storingen te voorkomen.
woord.
doende kennis van zaken is het toch mogelijk om deze te openen. Alleen met encryptie kun je je hiertegen wapenen. Met VeraCrypt (https://veracrypt.codeplex. com) maak je een virtuele beveiligde opslagschijf aan, zie ook ‘Wapen jezelf tegen de overheid’ op pagina 34. De beveiligde opslagruimte kun je koppelen aan een schijfletter in Windows Verkenner. De gegevens in de virtuele kluis zijn onleesbaar voor iedereen die niet beschikt over het juiste wachtwoord. VeraCrypt werkt ideaal als je al je documenten, foto’s en andere persoonlijke bestanden standaard veilig wilt bewaren.
Automatisch ‘vergeten’ De vorige tip mag je vergeten als je de incognitomodus van de browser gebruikt. Andere benamingen zijn ‘pri-
ONLINE VEILIGHEID
9
QUICKSTART Stichting Brein
WAPEN JEZELF TEGEN STICHTING BREIN Zorgeloos mediabestanden streamen en downloaden Illegaal downloaden en streamen blijft altijd bestaan, zolang het legale aanbod met films en series niet verbetert. En dus is het kat- en muisspelletje tussen rechthebbenden en consumenten inmiddels al zo’n twintig jaar aan de gang. Stichting Brein liet onlangs weer van zich horen en sluit niet uit dat rechthebbenden binnenkort schadeclaims indienen tegen individuele gebruikers van Popcorn Time. Moeten we ons hierover zorgen maken? En hoe kunnen we ons tegen deze dinosaurussen wapenen? MAIKEL DIJKHUIZEN
D
e afgelopen maanden is er onder aanvoering van Stichting Brein een offensief gaande tegen zowel gebruikers als ontwikkelaars
van Popcorn Time. Zo meldde directeur Tim Kuik afgelopen najaar op de radio dat het hem niet zou verbazen als Popcorn Time-gebruikers binnenkort boetes ontvangen. Hiermee doelde de voorman overigens niet op acties van Stichting Brein zelf, maar van rechthebbenden. Volgens hem stellen gebruikers van de illegale streamingdienst zich bloot aan schadeclaims
10
ONLINE VEILIGHEID
van filmmaatschappijen. Niet lang daarna kwam Dutch Filmworks met het bericht op de proppen om daadwerkelijk schadeclaims te willen eisen. Logischerwijs schrikt dat gebruikers van Popcorn Time behoorlijk af. In andere Europese landen zijn er inmiddels al flinke boetes uitgedeeld, zoals in Duitsland en Denemarken.
Op Popcorn
Zo ontving een Nederlandse gebruiker in Duitsland
Time zijn er
van filmmaatschappij Warner bros een brief met een
diverse titels van
schikkingsvoorstel van 1090 euro. De student had
Dutch Filmworks
via Popcorn Time namelijk enkele afleveringen van
beschikbaar,
een serie bekeken. Hoe reĂŤel is het dat er binnen de
zoals de Ameri-
Nederlandse grenzen daadwerkelijk een boetebrief op
kaanse kaskra-
je deurmat valt als je Popcorn Time en overige illegale
ker The Wolf of
downloadnetwerken blijft gebruiken?
Wall Street.
QUICKSTART Stichting Brein
Gerechtelijk bevel
Aanbodzijde Popcorn Time
Dutch Filmworks is van plan om in samenwerking
Stichting Brein gaat vooralsnog niet actief achter
met een gespecialiseerd ICT-bedrijf IP-adressen
individuele gebruikers van Popcorn Time aan.
van overtreders te verzamelen. Daarmee wil de
De organisatie maakte meermaals bekend vooral de aanbodzijde van illegale aanbieders aan banden te willen leggen. Twee Nederlandse ontwikkelaars van de inmiddels offline gehaalde versie www.popcorntime.io maakten onlangs kennis met deze strategie. Het tweetal kreeg een schikkingsvoorstel van tweeduizend euro per dag voorgelegd wanneer ze zouden doorgaan met het ontwikkelen van popcorn Time. De Nederlanders gingen daarmee akkoord en maken geen onderdeel meer uit van een ontwikkelteam dat plannen heeft om een herstart met de gevallen versie te maken. Verder spoort Brein ook grootschalige aanbieders van illegale torrentbestanden op. Met zo’n bestand is het mogelijk om films en series van het bittorrentnetwerk te plukken. Diverse personen hebben een schikking getroffen van zo’n tweeduizend
filmmaatschappij naar internetproviders stappen
euro. Verder moeten ze duizenden torrents van
catalogus van
om de benodigde NAW-gegevens op te vragen voor
diverse websites verwijderen.
zo’n drieduizend
het versturen van schadeclaims. Helaas voor Dutch
titels heeft
Filmworks werken Nederlandse internetproviders
Dutch Filmworks
niet zomaar mee aan het verstrekken van persoon-
Tim Kuik in het zonnetje
er veel belang
lijke informatie. De internetbedrijven raken dan
De Jan Nijland Zilveren Roos 2016, een prijs die
bij om individu-
namelijk vermoedelijk in één klap talloze klanten
jaarlijks wordt uitgereikt aan een persoon of instan-
ele gebruikers
kwijt wanneer ze gehoor geven aan dergelijke ver-
tie die van grote betekenis is voor de Nederlandse
Popcorn Time
zoeken. En dus is er een bevel van de rechter nodig
bioscoopwereld, is toegekend aan Tim Kuik. Uit het
aan te pakken.
om internetproviders hiertoe te dwingen. De vraag is
juryrapport: “Sinds zijn terugkeer in Nederland in
of het belang van filmmaatschappijen zwaarwegend
1998 heeft hij zich tot boegbeeld van de film- en
genoeg is om een rechter hiertoe te verleiden. Tot
muziekindustrie ontwikkeld, maar ook tot de meeste
dusver is het in Nederland bij een auteursrechtk-
gehate man op het internet. Hij speelt een voor de
westie nog niet eerder gebeurd, maar wat de
film- en bioscoopbranche onschatbare en door som-
toekomst ons brengt is natuurlijk koffiedik kijken. In
migen onderschatte rol als piraterijbestrijder.”
Duitsland zijn internetproviders bijvoorbeeld al ver-
De reactie van Tim Kuik op de website van BREIN:
plicht om aan dergelijke verzoeken mee te werken.
“Heel erg mooi om deze erkenning te krijgen vanuit
Met een
de bioscoopbranche. Die branche is de uitdaging van het digitale tijdperk aangegaan, past zich aan, ver-
Dutch Filmworks is van plan om in samenwerking met een gespecialiseerd ICT-bedrijf IP-adressen van overtreders te verzamelen.
nieuwt zich. Dat is een voorwaarde voor succes maar niet de enige voorwaarde. Tegelijkertijd moet je ook de diefstal van je dagelijks brood bestrijden.”
Anoniem streamen Dutch Filmworks heeft onder meer de rechten van The Wolf of Wall Street, Mannenharten 2 en Michiel De Ruyter in handen. Een grote speler dus in de filmwereld. In dit voorbeeld kun je in theorie een boetebrief krijgen, wanneer je The Wolf Of Wall Street via Popcorn Time hebt bekeken. De beschikking bedraagt dan naar verluidt ongeveer 150 euro. Zoals gezegd, moet de rechter
ONLINE VEILIGHEID
11
QUICKSTART Stichting Brein
Aan de hand
internetproviders dan wel dwingen om persoonlijke
van het publieke
gegevens te verstrekken. Om deze theoretische pak-
IP-adres weten
kans volledig weg te nemen, haal je videostreams het
internetpro-
beste anoniem binnen. De kunst is om met je IP-adres
viders precies
onder de radar te blijven, zodat internetproviders de
of je weleens
illegale streams niet naar jou kunnen herleiden. De
Popcorn Time
meest voor de hand liggende oplossing is om tegen
gebruikt. Neem
betaling een abonnement op een VPN-server te nemen.
daarom een
Deze VPN-server haalt de videostream voor je op en
VPN-server!
sluist alle data ontraceerbaar door naar jouw pc. Derde
Belangrijk om te beseffen is dat de locatie van de VPNserver onder de wetgeving valt van het desbetreffende land. tiveren. Besef wel dat je via deze aanbieder alleen per creditcard kan betalen. Deze persoonlijke informatie is theoretisch naar jou te herleiden. Je bent echter niet genoodzaakt om in zee te gaan met deze aanbieder. Je kunt net zo goed software van een andere VPN-server installeren, waarna al het internetverkeer van je pc is beveiligd. Wil je alle risico’s uitsluiten, dan gebruik je voor het VPN-account een anoniem e-mailadres en kies je bitcoin als betaalmethode. Onder meer bij NordVPN betaal je probleemloos via bitcoin.
Welk land? De grote VPN-aanbieders hebben servers in verschilpartijen zien dankzij een versleutelde verbinding niet
lende landen staan, het internetverkeer wordt via deze
om wat voor film of serie het gaat. Belangrijk is dat je
server omgeleid. Het is verstandig om een aanbieder
een betrouwbare VPN-server kiest die geen gebruikers-
te kiezen met een server in Nederland, bijvoorbeeld
gegevens bewaart en een snelle verbinding garandeert.
Private Internet Access of Anonymous VPN. Hierdoor
greerde VPN-
Op pagina 40 van dit nummer lees je een uitgebreide
bereikt je verbinding een hogere snelheid en verklein
dienst van Pop-
test van verschillende VPN-aanbieders.
je de kans op haperingen. Belangrijk om te beseffen is
Bij de geïnte-
corn Time ben je genoodzaakt
Interne VPN-dienst
om creditcardgegevens achter te laten.
12
dat de locatie van de server onder de wetgeving valt
Bekijk
van het desbetreffende land. In het slechtste geval
nauwkeurig in
De makers van Popcorn Time zijn zich bewust van het
vraagt een lokale overheid bijvoorbeeld gebruikersdata
welke landen de
toenemende gevaar voor hun gebruikers. Niet voor
op aan de VPN-provider en dan liggen je persoonlijke
VPN-servers zijn
niets beschikt de versie van www.popcorn-time.se (wat
gegevens alsnog op straat. Kies dus zorgvuldig je land
gevestigd.
ONLINE VEILIGHEID
een andere versie is, ook wel
uit en probeer te
fork genaamd, dan popcorntime.
achterhalen of de
io) over een interne VPN-dienst.
aanbieder écht
Je opent de functie door in het
geen persoon-
hoofdvenster op het hangslotje
lijke data bewaart.
te klikken. Zodra je bevestigt met
Nederland is ook
Create VPN Account verschijnt
voor deze kwestie
er een aanmeldvenster in beeld.
een goede keuze,
Popcorn Time werkt samen met
omdat je privacy
Anonymous VPN. Voor deze
in ons land goed
service betaal je 12 dollar per
is beschermd. Kijk
maand of 69 dollar per jaar. Je
ook in welk land
vult het e-mailadres in, waarna je
het VPN-bedrijf is
het benodigde wachtwoord via
geregistreerd, aangezien deze partij onder meer je ac-
e-mail ontvangt. Vervolgens geef
countgegevens bewaart. Uiteraard wil je niet dat deze
je een betaalmethode op om
informatie in handen komt van een omstreden regime
de beveiligde verbinding te ac-
dat lukraak privacygegevens bij bedrijven opvraagt.
QUICKSTART Stichting Brein
Bittorrent-
Usenet
client µTorrent
De afgelopen maanden trekt Popcorn Time alle
is in staat om
publiciteit naar zich toe, maar ook de download-
dataverkeer te
netwerken bittorrent en usenet kunnen rekenen op
versleutelen.
aandacht van Stichting Brein. Niet voor niets zijn er tegenwoordig usenetproviders die als extraatje een abonnement op een VPN-server bieden. Eweka werkt bijvoorbeeld samen met IPVanish en Giganews met VyprVPN. Verder is het mogelijk om downloads vanaf usenet met SSL-encryptie te versleutelen. Internetproviders zien dan alleen dat je verbinding maakt met een nieuwsgroep, maar het is niet duidelijk welke film of serie je binnenhaalt. Nagenoeg alle betaalde usenet-
Vuze of qBittorrent gebruikt. Ook uploads lopen
providers bieden SSL-encryptie aan. Belangrijk is dat
namelijk via een beveiligde VPN-verbinding. Als extra
je in het bewuste usenetprogramma wel aangeeft dat
beveiligingslaag kun je in geschikte downloadprogram-
je via SSL-versleuteling wilt downloaden. Afhankelijk
ma’s inkomend en uitgaand dataverkeer versleutelen.
van bij welke usenetprovider je een abonnement hebt
Bovendien hebben veel applicaties een optie om
afgesloten, wijzig je het poortnummer in 443 of 563. In
downloadverkeer via een zogeheten proxyserver om te
sommige gevallen is het daarnaast noodzakelijk om het
leiden. BTGuard is bijvoorbeeld een bekende aanbieder
serveradres aan te passen. Geschikte downloadpro-
om torrents via een proxyserver te anonimiseren. Net
net Access heeft
gramma’s zijn onder meer GrabIt, SABnzbd en Spotnet.
als VPN-aanbieders kost ook het gebruik van een be-
een eenvoudige
trouwbare proxyserver geld. Wanneer je niet van plan
app ontwikkeld
bent om diverse beveiligingsfuncties te combineren, is
om je IP-adres
het gebruik van een goede VPN-server de beste keuze.
te camoufleren.
Bij usenetprovider Eweka lo-
Private Inter-
pen versleutelde downloads via de nieuwsserver
Mobiel streamen Popcorn Time is middels een los apk-bestand ook beschikbaar voor Android. Via een omweg is het zelfs mogelijk om de streamingdienst op een iOS-toestel aan de praat te krijgen, zonder dat er hiervoor een jailbreak nodig is. Om te voorkomen dat internetproviders met je
Bittorrent
meegluren, is het belangrijk om net als de pc ook je smartphone
Zoals je misschien wel weet, haalt Popcorn Time
of tablet met een VPN-server te
streams rechtstreeks op vanaf het bittorrentnetwerk.
verbinden. Gelukkig is dat vrij
Stichting Brein en filmmaatschappijen zien dit gede-
eenvoudig. Veruit de meeste
centraliseerde peer-to-peernetwerk maar al te graag
VPN-aanbieders hebben zowel
onderuit gaan. Wanneer je bittorrent gebruikt, ben je
voor Android als iOS apps
op twee punten illegaal bezig: tijdens het download-
ontwikkeld. Na installatie van
en van auteursrechtelijk beschermd materiaal, stel
een app log je in en volg je de
je de bestanden namelijk automatisch aan andere
instructies om de versleutelde verbinding te acti-
deelnemers beschikbaar. In feite maak je beschermde
veren. In het beginscherm van je mobiele toestel
bestanden dus voor iedereen openbaar. Extra reden
verschijnt er vervolgens een VPN-logo in beeld
dus om een beroep te doen op een betrouwbare
dat aangeeft dat je veilig kunt streamen.
VPN-server wanneer je bittorrentclients als µTorrent,
ONLINE VEILIGHEID
13
QUICKSTART Overheid
WAPEN JEZELF TEGEN DE OVERHEID Big Brother is watching you Onder het mom van veiligheid geven overheden de politie en geheime diensten ongekende bevoegdheden. We hoeven niet ver de geschiedenisboeken in te duiken om de rampzalige maatschappelijke gevolgen van zo’n ‘(super-)Stasi’ aan te kaarten. Je maakt een land niet veiliger door iedereen als verdachte te behandelen. Recht op privacy is de belangrijkste pijler van een vrij land. Het is de hoogste tijd om dit recht terug te claimen, vooral als je vindt dat je niets te verbergen hebt.
bewezen dat de (inmiddels gestrande) dataretentiewet – die al het internetverkeer van burgers opslaat – ooit een misdaad heeft opgelost. Vooral kosten en geen baten dus. En dan laten we voor het gemak de beveiliging en ongeautoriseerde toegang tot deze immense hoeveelheid persoonsgegevens buiten beschouwing. Vind jij jouw privacy niet zo belangrijk en ben jij van mening persoonlijk niets
JORIS PETERSE
D
te verbergen te hebben, dan heb je alsnog wel de
Edward
verantwoordelijkheid voor de informatie van het bedrijf
Snowden, de
at veiligheid en terrorismebestrijding worden
waarvoor je werkt, zaken die anderen jou in vertrou-
klokkenlu-
misbruikt om vrijheid in te perken, is geen
wen vertellen et cetera. En ten slotte, als iemand
ider die het
complottheorie maar de werkelijkheid. Klok-
constant over je schouder op het scherm van je pc
PRISM-spio-
kenluider Edward Snowden liet de wereld al zien dat de
of smartphone mee zou kijken, zou je dat dan prettig
nageprogramma
ongekende sleepnetsurveillance van de NSA, de Britse
vinden? Waarom is het dan wel oké als het digitaal en
van de NSA aan
GHCQ en hun partners (waaronder de Nederlandse
ongemerkt gebeurt?
het licht bracht.
AIVD) vaak wordt misbruikt voor (bedrijfs)spionage en
14
Ook in Nederland is niet
intimidatie van onder andere journalisten, advocaten
Hoe te beschermen?
en activisten. Hierbij worden mensenrechten en inter-
Hoe bescherm je jezelf tegen een stalker die onge-
nationale wetgeving aan de kant geschoven. Pijnlijkst
merkt te werk gaat en zich van geen kwaad bewust is?
is dat met deze jarenlange spionage geen enkele ter-
Door zo veel mogelijk barrières op te werpen!
roristische daad is voorkomen.
Een eerste stapje is een sticker of klepje voor je web-
ONLINE VEILIGHEID
QUICKSTART
Overheid
pagina’s uit Googles nieuwsfeed. Hierdoor raakt je echte internetverkeer begraven onder nep-internetverkeer.
Bestandsbeveiliging Ook je bestanden wil je beveiligen, zoals persoonlijke foto’s, documenten, mail-archieven enzovoort. Snowden liet in zijn gelekte documenten zien dat er door middel van achterdeurtjes in je Windows-pc ingebroken kan worden … wat direct Linux op de kaart zet als veiliger alternatief. Ook de bestanden in je cloudopslag zijn prooi voor ongewensten: je bestanden staan immers op de servers van anderen en weet je nooit wie er allemaal bij kunnen. Dat is sowieso een belangrijk gegeven om altijd cam, maar dit heeft natuurlijk maar een beperkt effect.
in je achterhoofd te houden voordat je Dropbox, Google
ben je veiliger
De basis van barrières opwerpen ligt bij versleuteling.
Drive, OneDrive of iCloud gebruikt om dingen in op te
af met Linux
Het ontsleutelen van jouw gegevens is namelijk wel
slaan. Ook hier is beveiliging dus een noodzaak.
dan met Win-
mogelijk, maar kost veel moeite en tenzij je hoog in de
Maar achterdeurtjes en beveiligingslekken zijn niet de
dows, maar in
boom zit bij een multinational of verdacht wordt van
enige ingang. Technologiebedrijven en programmeurs
praktijk stappen
grootschalige criminele activiteiten, is het veelal niet de
kunnen in de VS worden verplicht tot het afstaan van
er helaas maar
moeite waard.
encryptiesleutels via een speciale rechtbank, FISA Court
weinig over.
Ook je internetverkeer kun je versleutelen. Door een
genaamd. Deze bedrijven worden bovendien met zware
VPN-verbinding te gebruiken, bescherm je je browsege-
straffen als sanctie het zwijgen opgelegd. De enige
gevens maar ook overig internetverkeer, zoals chats
manier waarop je je gegevens met enige zekerheid veilig
en mailverkeer. Er is ook nog een andere (of extra)
kunt versleutelen? Opensource encryptieprogramma’s.
barrière: een ontwikkelaar heeft uit protest een gratis
Omdat de broncode hiervan openbaar is, kunnen onaf-
tooltje geschreven (www.binge-surfing.xyz) dat op de
hankelijke beveiligingsexperts deze doornemen. Weet
achtergrond constant internetverkeer genereert naar
je dan zeker of de software veilig is? Nee. Maar bij tools
Van het
waarvan de broncode niet openbaar is, zoals BitLocker,
ene op het
heb je minder garantie. De beste tool om je bestanden,
andere moment
usb-opslagmedia of hele schijven en partities mee
verdween het
De maatschappelijke gevolgen van een maat-
te versleutelen is TrueCrypt. Een jaar geleden kwam
originele TrueC-
schappij die privacy inlevert zijn enorm, maar vaak
TrueCrypt nog in het nieuws omdat de tool op myster-
rypt op vreemde
moeilijk voor te stellen. Wil je meer weten over hoe
ieuze wijze door de ontwikkelaars werd verlaten. Maar
wijze en werd
het een maatschappij ontwricht en wat Edward
omdat het opensource software is, wordt er momenteel
het onveilig-
Snowden precies aan het licht heeft gebracht? Dan
door anderen aan gewerkt en is TrueCrypt gewoon te
ere BitLocker
Der Anderen
hebben we een paar tips voor je:
downloaden via https://truecrypt.ch.
aangeraden.
laat een beeld
Das Leben Der Anderen: film over het leven van
zien van hoe
een Stasi-medewerker in de DDR.
de Oost-Duitse
Citizenfour: Oscar-winnende documentaire over de
veiligheidsdienst
NSA-onthullingen van Edward Snowden.
iedereen in de
1984: boek dat een beeld schetst over een dystopi-
gaten hield.
sche maatschappij zonder privacy.
Natuurlijk
Meer lezen
Das Leben
ONLINE VEILIGHEID
15
QUICKSTART Overheid
Bestanden in de cloud beveiligen
en GDATA stellen overheidsmalware te verwijderen wanneer het op je systeem wordt aangetroffen. Of En-
Wanneer je bestanden in de cloud zet, verlies je de
gelse en Amerikaanse malwarebestrijders zoals McAfee,
controle over wie er allemaal bij kunnen. Als je je
Norton of Sophos dit juridisch gezien ook kunnen, is
bestanden hierin versleuteld opslaat, pak je deze
moeilijk te zeggen.
controle terug. Met de gratis tool Boxcryptor is dat mogelijk. Deze tool is helaas niet opensource,
Communicatie
maar integreert wel naadloos met grote cloudop-
Nederland heeft de dubieuze eer om het land te zijn
slagdiensten als OneDrive, Google Drive, Box,
waar telefoongesprekken het vaakst door justitie
Dropbox, iCloud en meer. Bovendien zijn er apps
worden afgeluisterd. En dat terwijl Nederland wereld-
voor je smartphone en tablet. Wil je echter meer
wijd nou niet echt te boek staat als een crimineel land.
cloudveiligheid, dan kun je beter kiezen voor Spi-
Steeds meer communicatie verplaatst zich echter naar
derOak (www.spideroak.com). Deze cloudopslag-
het internet en net zoals bij gewone conversaties het
dienst slaat alles versleuteld op, inclusief je wacht-
geval is, heeft iedereen het recht om deze persoonlijk
woord. Zo weet je zeker dat ze zelf nooit toegang
te houden. In sommige landen is er echter discussie
hebben en dit ook niet aan anderen kunnen geven.
om versleutelde communicatie te verbieden zolang
Heb je liever helemaal zelf de controle, dan kun je
geheime diensten geen toegang hebben. Hilary Clinton
met OwnCloud zelf een clouddienst opzetten.
gooide een balletje op tijdens een verkiezingsdebat, maar ook David Cameron diende een vergelijkbaar
Antivirus
Orweliaans plan in. In de nasleep van de afschuwelijke aanslagen in Parijs dit najaar, smeden de Fransen ook
Meermaals zijn overheden erop betrapt spyware
een soortgelijk plan. Terwijl deze terroristen – ironisch
op systemen te installeren. Zo nu en dan stuit een
genoeg – gewoon sms’jes stuurden naar elkaar. Zonder
antivirusbedrijf op malware die ingezet wordt door
dat er een haan naar kraaide. In plaats van gericht communicatie van verdachten onderscheppen, is het vizier dus gericht op alle communicatie van iedereen onderscheppen. Wat je echter in vertrouwen typt, hoeft niet in een sleepnet terecht te komen en voor het volgen van mensen die wél verdacht zijn, heeft justitie genoeg wettelijke andere methodes die niets te maken hebben met jouw chatberichtjes en mailtjes. Veel communicatiediensten zijn ontworpen voor gemak, niet voor veiligheid. Maar bij e-mailverkeer valt er een veiligheidsschepje bovenop te doen: door het PGP-pro-
Stel eerst
tocol te gebruiken, dat het mailverkeer tussen zender
een goed
en ontvanger versleutelt. Hoe je dat doet lees je op onze
wachtwoord in
site: http://tiny.cc/pgpprot. Op je smartphone kun je
en gebruik een
hier de app OpenKeychain voor gebruiken.
pincode om je sneller aan te melden.
overheden. Meestal zijn het behoorlijk geavanceerde
Met het tooltje Detekt
programma’s, die moeilijk te detecteren zijn. Daar-
kun je nagaan of
om is het ook lastig aan te geven hoe wijdverspreid
je pc besmet is
deze besmettingen zijn. Uit een recente inbraak bij
met overheids-
The Hacking Team, een organisatie die in opdracht
malware.
van overheden dit vuile werk opknapt, blijkt dat onze nationale politie als klant in ieder geval geïnteresseerd was in deze diensten. Veel antivirusbedrijven, zoals ESET
16
ONLINE VEILIGHEID
In sommige landen is er echter discussie om versleutelde communicatie te verbieden zolang geheime diensten geen toegang hebben.
QUICKSTART
Overheid
Niet alleen de Nederlandse, Amerikaanse en Britse overheden zijn op jouw gegevens uit, maar China en Rusland zitten ook niet bepaald stil.
erg moeilijk maakt. Ook in Signal kun je – net als bij WhatsApp – video’s, afbeeldingen en spraakberichten sturen, en je kunt ook internetbellen. Maar dan wél veilig. Zoek je ook een alternatief voor FaceTime en Skype? Dan kun je met Jitsi aan de slag om veilig te kunnen videobellen. Je leest ook daar meer over op onze site: http:// tiny.cc/jitsibel.
Conclusie Kun je helemaal onzichtbaar worden voor de datahonger van overheden en geheime diensten? Nee. De methodes en trucs die ingezet worden gaan vaak de verbeelding
Smartphone
te boven. Maar met deze kleine barrières maak je het in ieder geval minder
Natuurlijk is een smartphone de ultieme droom van
makkelijk om jezelf te laten afluisteren,
iedere stalker. Een microfoon, camera’s aan de voor- en
niet alleen voor overheden en geheime diensten (niet
achterkant, nauwkeurige plaatsbepaling door gps, wifi,
alleen de Nederlandse, Amerikaanse en Britse zijn op
op Whatsapp,
bluetooth én op basis van de verbinding
jouw gegevens uit, maar China en Rusland zitten ook
maar is een stuk
met de telefoonmast … bovendien is de
niet bepaald stil). Bijkomend voordeel is dat je het
veiliger.
batterij in de meeste gevallen ook nog
andere datahongerigen, zoals hackers en bedrijven die
eens niet te verwijderen, zodat het toestel
persoonsgegevens
altijd aanspreekbaar blijft. En dan heb-
verkopen, ook
ben we het nog niet eens over de zeer
moeilijker maakt.
persoonlijke gegevens die erop staan.
In dit artikel zetten
Je smartphone ga je er echter toch niet
we pas een paar
voor thuislaten. Hoe je veilig mailt en
eerste stapjes. Wil
chat hebben we net uitgelegd. Maar het
je een paar stappen
is natuurlijk ook van enorm groot belang
verder gaan, neem
om deze gegevens versleuteld op te slaan.
dan eens een kijkje
Op de iPhone gebeurt dit vanzelfspre-
op https://prism-
kend, op Android (nog) niet. Ga hiervoor
break.org.
Signal lijkt
naar Instellingen / Beveiliging / Telefoon versleutelen. Zorg uiteraard ook voor een vergrendelscherm dat bij voorkeur vergrendeld is met een pincode of sterk wachtwoord. Je communi-
De site Prism
Gewetenloos hacken
Break geeft een
Je kunt zelf zoveel mogelijk barrières opwerpen om
stortvloed aan veilige tips.
catie versleu-
Er zijn – naast surveillance – genoeg redenen om
niet in het datagraai-sleepnet van overheidsdien-
telen is een
WhatsApp af te danken. Allereerst de eigenaar: Face-
sten te komen, maar er helemaal aan ontkomen
van de weinige
book is een bedrijf dat weinig op heeft met privacy en
doe je niet. Vooral als je nagaat wat er naar buiten
ingrepen die je
gebruikersgericht denken. Bovendien is het bedrijf sinds
is gekomen. Vooral de Britse geheime dienst blijkt
kunt doen op je
kort begonnen met het actief censureren van links naar
gewetenloos als het aankomt op dataverzame-
smartphone.
concurrenten. Probeer maar eens via WhatsApp een
ling. Zo blijkt de grote internetkabel die de VS. en
linkje naar de site van Telegram te versturen, en vergeli-
het VK. verbindt af te zijn getapt (waarna Brazilië
jk dat met een linkje naar bijvoorbeeld Facebook.
begon met de aanleg van een eigen kabel die via
Hoog tijd om zelf over te stappen, en natuurlijk al je bek-
Afrika loopt), de Belgische provider Belgacom werd
enden hierin mee te nemen. Signal is een app voor iOS
gehackt en ook Gemalto (de Nederlandse sim-
en Android die erg veel lijkt op WhatsApp en afluisteren
kaartfabrikant) was een doelwit.
ONLINE VEILIGHEID
17
QUICKSTART Google & Facebook
GOOGLE & FACEBOOK Trek de gordijnen dicht tegen notoire cyberstalkers De commerciële motieven van Facebook en Google zijn duidelijk: zo veel mogelijk persoonsgegevens binnenharken om een zo gedetailleerd mogelijk profiel van je op te bouwen. Op deze manier kunnen ze advertenties effectiever inzetten. De gegevensverzameling gaat wel heel erg ver, zelfs als je er geen gebruik van maakt. Gelukkig is er genoeg tegen te doen. JORIS PETERSE
Met kinderachtige dino’s
I
Veel dingen zijn gelukkig te wijzigen en verwijderen. Dat is vooral belangrijk bij de locatiegeschiedenis, want als je een Android-toestel gebruikt is het wel even schrikken dat je toestel exact heeft bijgehouden waar je allemaal bent geweest. Ook je zoekgeschiedenis is nauwkeurig bijgehouden, het kan geen kwaad deze zo nu en dan te legen. Via de url www.google. com/settings/ads kun je je
n tegenstelling tot de extreme spionage die
advertentieprofiel inzien en wijzigen. Vergeet niet Ad-
Microsoft in Windows 10 heeft gebouwd, kunnen
vertenties op basis van interesses hier uit te schakelen,
bruikt standaard
Google en Facebook op de pc eigenlijk alleen pas
Google ge-
evenals de advertenties voor uitgelogde status.
je internet- en
dat Facebook
echt te werk gaan zodra je je browser opent. Denk na
Bij Facebook word je erger als advertentie-vee gebrui-
zoekgeschie-
eigenlijk nauwe-
welke browser je gebruikt. Chrome is fijn, maar van
kt, zelfs al heb je geen profiel. Heb je wel een profiel,
denis voor
lijks privacy-in-
Google. Edge is tot nu toe nog ondermaats. Dus blijft
dan kun je bij Instellingen / Advertenties in ieder geval
advertenties.
stellingen heeft.
Firefox over als beste optie. Het verder dichttimmeren
gepersonaliseerde advertenties uitzetten. Veel hand-
wordt verhuld
18
ONLINE VEILIGHEID
doen we daarom vanuit deze
matige controle heb je dus niet, maar onthoud dat
browser, hoewel de meeste mo-
het belangrijk is om zowel bij Google als bij Face-
gelijkheden ook werken onder
book uit te loggen na gebruik, zodat de verzamelde
Chrome en Opera, dat dezelfde
gegevens moeilijker aan jouw profiel kunnen
basis heeft als Chrome.
worden gekoppeld.
Dashboard
Browser dichttimmeren
Google geeft nog opvallend veel
Je internetgedrag wordt nauwkeurig gevolgd door
prijs over wat er van je ver-
trackers en cookies. Helaas zijn er veel meer parti-
zameld wordt. Als je naar www.
jen dan Google en Facebook die je internetgedrag
google.com/settings/dashboard
monitoren. Ook hebben de like-knoppen en Googles
gaat, kun je precies zien wat
+1-knoppen een ingebouwde tracker, welke minder
er van je bewaard is gebleven.
effectief is als je altijd uitlogt. De overige trackers
QUICKSTART Google & Facebook
Zelfs helemaal geen gebruikmaken van Facebook en Googlediensten is niet voldoende om ze van je af te schudden.
Privacy Bad-
Als dit nog niet voldoende is, kun je een extra stap overwegen: je internetverkeer laten omleiden via een VPN-verbinding of met TOR. Hierdoor kan je locatie en IP-adres niet worden achterhaald.
Weg die apps! Als je dacht dat er veel gegevens van je verzameld werden op de pc … vrees dan voor de smartphone en tablet, want hierop ben je nog veel slechter af. In het Google Dashboard kun je beheren welke gegevens je Android-toestel mag verzamelen, bovendien kun je
Een veilige
Google-apps altijd verwijderen van je Android-toestel.
browser en mo-
Facebook komt er ook minder goed vanaf. Het zit
biele website:
schakelen we uit met browserplug-ins. Ghostery (www.
namelijk erg diep geïntegreerd in iOS en de Android-app
privacy- en bat-
ghostery.com; voor Firefox, Chrome, Safari en Opera)
verlangt toegang tot waanzinnig veel systeemonderdel-
terijvriendelijk!
is de bekendste en laat
en: contactpersonen, locaties, agenda,
handig zien welke trackers
camera, microfoon, omgevings- en
er precies geblokkeerd
bekende netwerken, welke apps je
worden. Eventueel kun je
hebt, browsegeschiedenis, bladwijzers,
ook trackers deblokkeren
welke andere accounts je op je toestel
als ze de functionaliteit
hebt en nog heel erg veel meer. De
van een website in de weg
remedie? Installeer de app niet! Ook
zitten. Daarnaast kun je
is het verstandig om op je iOS-toestel
Privacy Badger gebruiken,
niet in te loggen op Facebook. Zonder
een plug-in van de EFF (de
de app en de iOS-integratie merk
Amerikaanse tegenhanger
je meteen een enorm verschil in je
van Bits of Freedom). Ook
batterij (hetzelfde geldt overigens voor
Disconnect en NoScript
Twitter). Bovendien hoef je niets te
zijn plug-ins die het lastiger
missen, Facebook heeft een uitste-
maken om je te volgen,
kende mobiele website: http://m.
alhoewel NoScript ook re-
facebook.com. Via de browser kan
gelmatig functionaliteit van
Facebook niet alle gegevens uit het
sites in de weg zit omdat
systeem wegsluizen en je batterij
scripts volledig geblokkeerd
zwaar belasten. Als je de mobiele
worden.
site bezoekt via de Ghostery Browser
Verder van de horizon
ger kan per site
Helaas is zelfs helemaal geen gebruikmaken van Face-
aangeven of ze
book en Google-diensten niet voldoende om ze van je
cookies mogen
af te schudden. Maar met deze relatief kleine ingrepen
plaatsen.
trek je de gordijnen dicht voor deze notoire stalkers.
(gratis verkrijgbaar in de Play Store en App Store) knijp je de trackers van Facebook ook nog eens af.
ABN internetbankieren en Ghostery Gebruik je Ghostery en kun je opeens niet meer inloggen bij de ABN AMRO? Dat kan kloppen. Ghostery blokkeert de tracker Omniture. Volkomen terecht overigens, aangezien deze tracker statistische gegevens verzamelt en analyseert. Bovendien is Omniture niet van de ABN, maar van Adobe. Andere bedrijven weren uit je finan-
Facebook en
ciële gegevens lijkt een verstandig idee en kan in
Twitter kun je
dit geval de werking van ABN internetbankieren
integreren in
niet in de weg zitten. Maar toch sluit de bank
iOS, maar of dat
mensen die Omniture blokkeren buiten.
slim is …
ONLINE VEILIGHEID
19
QUICKSTART Security - zero-days
CONTROVERSIËLE HANDEL IN LEKKE SOFTWARE Handel in ‘zero-days’ levert veel discussie op
Dat software vaak lekken bevat is geen nieuws meer, maar de manier waarop bedrijven, hackers en opsporingsdiensten tegenwoordig met gevaarlijke gaten in software omgaan is op dit moment een belangrijke discussie. De zoektocht naar zogenaamde ‘zero-days’ zit namelijk vol met ethische dilemma’s, grote geldbedragen en corrupte buitenlandse regimes, en niemand weet hoe je ermee om moet gaan. TIJS HOFMANS
kwartmiljoen dollar die je krijgt voor het melden voor een lek in iOS is veel te weinig geld, en Apple is niet erg scheutig met het uitbetalen van beloningen. Ondertussen zijn er echter steeds meer dubieuze bedrijven die actief zoeken naar zulke software-lekken.
ALTIJD LEK Software is altijd lek. Het is een illusie dat je als bedrijf een besturingssysteem of programma kunt maken zonder gaten, maar hoe je daarmee omgaat is een andere vraag. Het is een probleem dat steeds dringender om een oplossing vraagt, maar een eenduidig antwoord is er niet.
H
Een gat in software dat door de fabrikant nog niet is ontdekt, heet een ‘zero-day’, iets dat ‘pas 0 dagen’ et is mei 2015 als Apple tijdens hackerscon-
bekend is bij de softwareleverancier.
ferentie Black Hat een belangrijke onthulling
Zero-days moeten zo snel mogelijk worden opgelost,
doet. Niet de nieuwe versie van iOS of een
want iedereen die de software gebruikt zonder een
update aan de ontwikkelaarskit, maar de aankondiging
patch is potentieel kwetsbaar voor hackers. Daarbij
van een eigen bug-bountyprogramma is voor veel
draait het er echter wel om wie er allemaal weet van
aanwezige bezoekers van Black Hat de interessantste
een lek en wat daarmee gedaan wordt.
onthulling. Het rijkste bedrijf ter wereld betaalt nu
20
al snel krijgt Apple veel kritiek over zich heen. De bijna
eindelijk aan onderzoekers die kritieke gaten vinden
STUXNETS ZERO-DAYS
in software, en flinke bedragen ook. Apple is één van
Eén van de bekendste voorbeelden van het misbruik
de laatste bedrijven dat een dergelijke programma
van zero-days voor actieve aanvallen was Stuxnet, het
opzet, in navolging van vrijwel iedere techgigant. Maar
virus dat in 2009 en 2010 het Iraanse kernprogramma
ONLINE VEILIGHEID
QUICKSTART
Security - zero-days
grotendeels stil wist te leggen. Stuxnet werd (waarschijnlijk, de echte makers hebben zich nooit bekend gemaakt) ontwikkeld door de Amerikaanse en de Israëlische geheime diensten, die het kernprogramma zagen als een bedreiging voor de vredesbesprekingen in het Midden-Oosten. Stuxnet werd gebruikt als alternatief voor fysieke bombardementen, een ‘cyberwapen’ waarvan de echte aanvallers nooit officieel hebben
Een ‘zero-day’ is een lek dat pas ‘nul dagen’ bekend is bij de softwarefabrikant
toegegeven dat het bestond. Stuxnet werd opgemerkt door onderzoekers van onder andere Kaspersky Labs, die ‘reverse engineering’
kapot te maken. Het beste voorbeeld daarvan zit ook
toepasten op de malware. Ze ontdekten dat Stuxnet
in de film over het ontstaan van Facebook: The Social
gebruikmaakte van niet minder dan vier zero-days, een
Network.
ongekend hoog aantal. Het is volgens onderzoekers al zeldzaam om één lek actief uit te kunnen buiten, maar
ROEM EN EER
Stuxnet was zo geavanceerd dat de makers vier gaten
De ‘bounty’ in het programma verschilt van bedrijf
wisten te misbruiken om hun virus effectief te laten
tot bedrijf. Veel kleine bedrijven bieden bijvoorbeeld
toeslaan.
slechts een bedankje, een vermelding op de website
Stuxnet schudde de beveiligingsgemeenschap goed
met een uitleg van het lek en misschien een klein
wakker. Het was ineens bekend dat er grote spelers
presentje zoals een powerbank of een usb-stick. Dat
waren die softwarelekken inzetten voor heel dubieuze
is voor veel ethische hackers ook genoeg. Whitehat-
doeleinden. Of je het nu eens was met de Amerikaanse
onderzoekers speuren naar zero-days voor de roem,
aanpak om een cyberwapen in zetten of juist niet,
niet voor het grote geld. Als zij dat willen verdienen,
Stuxnet was in ieder geval controversieel en zonder
kunnen ze in dienst van bijvoorbeeld het Team High
precedent, en liet zien dat lekke software een groter
Tech Crime of bij multinationals als Shell veel sneller
gevaar vormde dan tot dan toe werd aangenomen.
rijk worden. Bug-bountyprogramma’s draaien vooral
SAMEN OP JACHT
om de erkenning van de hacker, die dat vaak met veel trots in hun Twitter-bio of op hun websites zetten. Het
Inmiddels erkennen de meeste bedrijven wel dat hun
aantal gevonden bugs op je naam wordt door zulke
software niet perfect is. In plaats van dat onder het
hackers gedragen als medailles of trofeeën: hoe meer
tapijt te schuiven, is het beter daar verantwoord mee
hoe beter.
om te gaan. Een aantal jaar geleden kwamen de eerste
Deze praktijk verandert de laatste jaren echter wel
grote softwarebedrijven dan ook met bug-bountypro-
en dat levert inmiddels frictie op. Waarom zou je nog
virus was een
gramma’s, die inmiddels zo ingeburgerd zijn dat ieder
genoegen nemen met ‘erkenning’ als een miljardenbe-
cyberwapen dat
serieus bedrijf er wel eentje heeft.
drijf zoals Google, Facebook of Apple beter wordt van
niet minder dan
Een bug-bountyprogramma is de openbare jacht naar
jouw ontdekkingen? Steeds vaker vinden hackers dat
vier zero-days
lekken in software. In plaats van hopen dat niemand
een simpel bedankje niet genoeg meer is.
gebruikte om
ze vindt, zetten veel bedrijven een eigen programma
Apple was het laatste bedrijf dat daarop insprong. Het
het Iraanse
op om hackers aan te moedigen actief te gaan zoeken
programma bood gelijk één van de hoogste belonin-
kernprogramma
naar zwakke plekken in programma’s, websites of ser-
gen aan van alle bedrijven voor het melden van bugs.
aan te vallen.
Het Stuxnet-
vers. Op die manier worden hackers gestimuleerd zelf actief op zoek te gaan naar lekken en om daar op een verantwoordelijke manier mee om te gaan. Bij veel bedrijven gebeurt dat op de achtergrond. Het bug-bountybeleid zit ergens verstopt op de site, alleen te vinden voor wie er specifiek naar zoekt op Google. Er zijn echter ook genoeg bedrijven te vinden die het anders doen. Neem Google of Facebook. Die hebben namelijk hele divisies opgezet voor het vinden van datalekken. Facebook staat erom bekend hackathons te houden, feestelijke avonden waarin hackers bij elkaar komen om een avond lang firewalls door te breken, te penetratietesten en het systeem zoveel mogelijk
ONLINE VEILIGHEID
21
QUICKSTART Security - zero-days
Facebook organiseert eigen ‘hackathons’ waarin hackers bij elkaar kunnen komen om tijdens een feestje Facebooks beveiliging te kraken.
Onderzoekers kunnen tot wel 200.000 dollar verdienen
de zero-days dus praktisch weggegooid geld is.
met het programma – al zijn minder grote lekken een
Daar komt bij dat veel beveiligingsonderzoekers van
stuk minder waard.
mening zijn dat overheden geen zero-days nodig
VERSCHILLENDE PRIJZEN
hebben om verdachten te hacken. Zeker bij de NSA is het sinds de onthullingen van Edward Snowden wel
De prijs van een melding verschilt per bedrijf, maar ook
duidelijk dat datalekken niet nodig zijn om te spioneren
per lek zelf. Daarbij wordt gekeken naar de ernst van
– daarvoor zijn programma’s als PRISM veel effectiever
het lek, wat je daarmee kunt doen, en hoeveel mensen
én legaler.
er potentieel slachtoffer van worden. Ook de uitbetaling is vaak afhankelijk van hoe het lek wordt gepatcht ... of juist niet. De bijna kwartmiljoen dollar van Apple is bijvoorbeeld de hoogste prijs die het bedrijf betaalt voor een lek, maar dat is alleen voor een exploit waarmee je malafide applicaties kunt installeren. Vind je een lek waarmee je bijvoorbeeld ‘slechts’ malafide code kunt injecteren vanuit de kernel, dan krijg je 50.000 dollar. De hoogte van de beloning heeft ook te maken met hoeveel mensen mogelijk geraakt worden door de bug.
Ethische hackers werken vooral voor de eer: het aantal gevonden hacks is een soort trofee
Zo is een lek in Windows meer waard dan een lek in macOS, en een exploit in Chrome meer dan een lek in
22
Firefox. Je moet daarna ook kijken naar hoe makkelijk
BEDRIJFSLEVEN
een lek is uit te buiten. Een lek in Flash is bijvoorbeeld
Waar bug-bountyprogramma’s zich vooral richten
makkelijker te vinden en daarom minder waard. Maar
op externe partijen die toevallig op lekken stuiten, is
een lek in het zeer goed beveiligde iOS, daar zit wel veel
er ook een grote groep van hackers die actief speurt
geld in.
naar lekken vanuit het bedrijfsleven. Dat zijn onder
Malafide bedrijven die handelen in zero-days betalen
andere grote antivirus- of beveiligingsbedrijven
vaak in termijnen uit, om te voorkomen dat vlak na de
zoals ESET of Kaspersky, die hele divisies hebben
verkoop een lek wordt gedicht en het aanschaffen van
van malware-ingenieurs die dag in, dag uit speuren
ONLINE VEILIGHEID
QUICKSTART
Security - zero-days
naar softwarelekken – om die vervolgens netjes bij
Eén van de bekendste van die bedrijven is Hacking
fabrikanten te melden.
Team, een Italiaanse organisatie die vorig jaar in het
Ook bij Google zit zo’n afdeling. De Google Project
nieuws kwam nadat duizenden interne documenten na
Zero-divisie bestaat uit een twintigtal beveiligings-
een hack op het bedrijf online kwamen te staan. Uit de
onderzoekers, vaak met bekende namen zoals de
e-mails, prijslijsten, offertes en klantbestanden kwam
hacker George Hotz. Project Zero zoekt iedere dag
een goed beeld naar boven van wat Hacking Team
opnieuw naar gaten in software, spreekt de makers
precies was: een dubieuze handelaar van zero-days,
daarop aan, en publiceert erover zodra de gaten
softwarelekken, en de tools om ze uit te buiten. In één
gedicht zijn.
van de uitgelekte agenda’s bleek dat onder andere de
Google heeft de Project Zero-divisie opgezet ‘om
Nederlandse politie een afspraak had staan om met
te werken aan een veiliger internet’. Niet dat het
het bedrijf te praten, maar die afspraak werd te elfder
handjevol lekken dat het team jaarlijks vindt zoden
ure weer afgezegd. Wat de politie precies wilde doen
aan de dijk zet, maar wel om het goede voorbeeld te
met de software van Hacking Team is niet bekend.
geven. Door te laten zien hoe je als bedrijf omgaat met ‘responsible disclosure’, openheid, en meldingen van datalekken hoopt Google andere bedrijven te
De FBI versus Apple
stimuleren ook op een verantwoorde manier om te
Het gebruik van zero-days door opsporingsdiensten werd zelden
gaan met zero-days.
bevestigd, maar werd in 2016 één van de meest verhitte discus-
WILDGROEI
sies in de tech-gemeenschap toen de FBI een achterdeurtje in een iPhone eiste. De Amerikaanse politiedienst eiste van Apple dat het
Google is zeker niet het enige bedrijf dat dat doet,
bedrijf een achterdeur zou inbouwen in de iPhone, zodat het bij
maar wel één van de weinig die altruïstische motieven
informatie kon die op een (vergrendelde) telefoon van een terrorist
heeft. De laatste jaren is er namelijk een wildgroei
stond. Apple weigerde, en ontketende daarmee een discussie over
ontstaan van bedrijven die actief op zoek gaan naar
hoe ver opsporingsdiensten mochten gaan met hacken. “Als één
zero-days, om daar zelf software omheen te bou-
partij een achterdeur heeft, heeft iedereen die”, redeneerde het be-
wen. Die wordt kant-en-klaar verkocht aan bedrijven,
drijf. Uiteindelijk bleek de FBI de telefoon alsnog te kunnen kraken
overheden en inlichtingsdiensten, en kan worden
met behulp van een Israëlisch bedrijf – zonder dat ze de medewer-
ingezet om verdachten te hacken of om anderen te
king van Apple nodig hadden.
bespioneren.
ONLINE VEILIGHEID
23
QUICKSTART Security - zero-days
ONDERGRONDSE ZOEKTOCHT Lange tijd was de handel in zero-days een publiek geheim. De bedrijven die erin handelden (zoals Hacking Team) waren niet per se illegaal, maar zaten in zo’n grijs gebied dat ze ook niet echt te koop liepen met hun diensten. Ze waren vooral bekend bij beveiligingsonderzoekers, maar niet bij het grote publiek. Dat veranderde na de hack op Hacking Team, want hoewel er even commotie ontstond over het bestaan van zulke handelaren was de ophef van korte duur. Inmiddels zijn er meerdere bedrijven die hun diensten publiekelijk bekend maken. Neem Zerodium, een handelaar die
Er zijn veel bedrijven die zonder blikken of blozen handelen in gaten in bijvoorbeeld Windows of Android
een paar maanden geleden in het nieuws kwam door open en bloot te adverteren met een bug-bounty van niet minder dan een miljoen dollar voor een lek in iOS.
dayhandel. Soghoian noemde verkopers en bedrijven
Bedrijven als Zerodium ontlenen hun bestaansrecht
die zo werken ‘merchants of death’ en vergeleek hen
grotendeels aan de handel in dergelijke software, maar
ooit met notoire wapenhandelaren als Victor Bout die
ook grote bedrijven (vaak defensieaannemers) zoals
miljoenen wapens verkocht – ook tijdens burgeroorlo-
Lockheed Martin en Northup Grumman hebben divisies
gen in Afrika.
die handelen in zero-days. Die worden over het alge-
Soghoian heeft vooral kritiek op het feit dat zero-
meen gebruikt om spionagesoftware te maken die dan
dayhandel zorgt voor een wildgroei aan lekken waarvan
weer wordt verkocht aan het Amerikaanse leger of de
niemand weet waar ze eindigen. Iedere ‘bad guy’ kan
inlichtingendiensten, en soms aan malafide partijen.
bijvoorbeeld ook achter het lek komen, misschien door
Dat levert frictie op. Bug-bountyprogramma’s draaien
het zelf te vinden, het van een andere handelaar te
namelijk vooral de ethiek van hackers, en kleine
kopen of zélfs van dezelfde. Er is namelijk geen enkele
beloningen die grotendeels symbolisch zijn. Zet daar
garantie dat een hacker een zero-day aan slechts één
ineens harde centen tegenover, en er ontstaat een
partij verkoopt.
heel andere dynamiek tussen bedrijven, hackers en
Er zijn echter ook genoeg hackers en onderzoekers
zero-dayhandelaren. Waarom zou een hacker een gat
die heel erg vóór de handel in zero-days zijn, en daar
in Flash melden als daar een usb-stick tegenover staat?
ook voor uit durven te komen. Eén van de meest
En hoewel veel bedrijven inmiddels redelijk grote
vocale hackers is een Zuid-Afrikaanse onderzoeker
Hacking Team
geldbedragen uitkeren voor gevonden bugs, weegt
die bekend staat onder het pseudoniem The Grugq.
verkoopt een
zelfs Apples 200.000 dollar niet op tegen de miljoen die
“Zero-days verkopen is precies hetzelfde als het ver-
kant-en-klaar
Zerodium biedt.
kopen van een gewoon softwarepakket. Je levert het
Het bedrijf
pakket genaamd
met een handleiding op, zorgt dat alles werkt. Het
Galileo, een pak-
TWEEDELING
ket speciaal voor
In de beveiligingswereld zijn inmiddels twee kampen
en het daarbij laat”, zei hij ooit in een interview.
overheden met
ontstaan. Aan de ene kant zitten beveiligingsonder-
Binnen de verkoop aan commerciële partijen kun je
keyloggers en
zoekers zoals Chris Soghoian, een privacyactivist die al
overigens nog steeds ethisch werken. Zo zeggen veel
bios-rootkits.
jaren één van de meest uitgesproken critici is van zero-
onderzoekers hun bevindingen alleen te verkopen
enige verschil is dat je slechts één licentie verkoopt
aan Europese of Amerikaanse partijen, maar niet aan Russische of Chinese. Dat gebeurt zowel vanwege financiële motieven (laatstgenoemde landen betalen significant minder voor een vondst), maar sommige hackers zeggen op deze manier ook instellingen als de NSA ‘op scherp’ te houden omdat landen als China zich ook niet laten tegenhouden door handelsembargo’s op zero-days.
DE KOPERS De handelaren en verkopers mogen dan wel steeds opener worden over hun werkzaamheden, het blijft nog steeds lastig te zeggen aan wie de exploits nou
24
ONLINE VEILIGHEID
QUICKSTART
Security - zero-days
Prijzen Dit zijn de prijzen van bug-bountyprogramma’s zoals die door bedrijven als Google en Facebook worden uitgekeerd. De prijzen verschilprecies worden verkocht. De hack op Hacking Team gaf
len in hoogte, afhankelijk van de ernst van het lek.
voor het eerst een inkijkje in het klantenbestand van de handelaren, maar ook uit interviews is voorzichtig op te
Adobe (Flash): 5.000 - 30.000 dollar
Windows: 60.000 - 120.000 dollar
maken wie er interesse heeft in zero-days.
macOS: 20.000 - 50.000 dollar
Firefox: 60.000 - 150.000 dollar
Aan de ene kant zijn dat overheden en inlichtingen-
Android: 30.000 - 60.000 dollar
Chrome: 80.000 - 200.000 dollar
diensten, zoals de NSA of de Nederlandse politie. Voor
Word: 50.000 - 100.000 dollar
zover bekend maakt de politie nu nog geen gebruik van zero-days voor het hacken van computers, maar eind 2016 werd wel in de wet opgenomen dat die methode
van een lek, waarom zou een andere dat dan niet
binnenkort tot de mogelijkheden van de Nederlandse
weten? Het is niet realistisch om te denken dat alléén de
opsporingsdiensten valt. Maar ook andere bedrijven,
Nederlandse politie weet van een gat in Adobe Flash of
zelf softwarebouwers, kopen exploits. Volgens Adriel
Firefox, maar dat malafide overheden of hackersgroe-
Desautels van Hacking Team-concurrent Netragard
pen daar niet achter komen.
gebruikt heus niet iedere koper de lekken om te spioneren bij gebruikers. Het is ook goed mogelijk dat een
WASSENAAR AKKOORD
bedrijf een exploit gebruikt als een ‘proof of concept’
Het handelen in zero-days kreeg in 2013 een contro-
om op hackersconferenties mee te adverteren, of dat
versiële rol in het Wassenaar Akkoord, eentje waar
een lek wordt gebruikt voor penetratietesten. “Als je
politici én hackers op dit moment nog steeds maar
een kogelvrij vest gaat testen, gebruik je kogels, geen
moeilijk mee kunnen werken. Het Wassenaar Ak-
waterpistool”, zegt Desautels in een interview.
koord stamt al uit 1995 en is een verdrag tussen 13
LEVENDIGE HANDEL
landen waarin de export van wapens naar repressieve regimes zoveel mogelijk wordt beperkt. In 2013 kreeg
Er is een levendige handel in zero-days, en hoewel die
het Akkoord een grote revisie, met als voornaamste
allang niet meer uitsluitend ondergronds plaatsvindt,
update dat nu ook digitale wapens niet meer mochten
is de import en export van softwarelekken nog steeds
worden verkocht. De definitie van ‘digitaal wapen’ is
controversieel. Veel Westerse landen hebben inmiddels
echter nogal breed, want dat kunnen zowel virussen
eigen regels voor het gebruik van zero-days.
als Stuxnet zijn als simpele bekende gaten in Chrome.
Zo is er de Nederlandse politie, die actief wil gaan
Volgens het Akkoord zou het in theorie mogelijk zijn
zoeken naar datalekken om die vervolgens te gebrui-
om beveiligingsonderzoekers te verbieden om een
ken voor het hacken van verdachten. Het wetsvoorstel
kwetsbaarheid op een internationale conferentie te to-
waarin dat staat ligt op dit moment bij de Tweede
nen – één van de bekendste en belangrijkste manieren
Kamer ter evaluatie. De Wet Computercriminaliteit III is
waarop dat op dit moment gebeurt.
een uitbreiding van een oudere wet die niet meer up-to-
De zero-dayhandel wordt steeds groter en de bedra-
date was en niet voorzag in bepaalde onderdelen waar
gen die omgaan in de verkoop van softwarelekken
de politie wel behoefte aan heeft – zoals het zoeken
gaan steeds verder omhoog. Toch blijft de regelgeving
naar gaten in de wet.
nog steeds achter, en ontstaat er een flinke tweedeling
Maar daar zit een groot probleem. Als één partij weet
onder onderzoekers over de ethiek van het verkopen.
ONLINE VEILIGHEID
25