Het rommelt een beetje in de wereld van instant messaging. WhatsApp is daar de onbetwiste leider, maar er is onbehagen. "Huh? Het werkt toch prima?", denk je nu misschien. Ja, dat klopt. Maar er zijn wat kanttekeningen bij de beveiliging te plaatsen. WhatsApp heeft onlangs een flinke stap voorwaarts gezet met de beveiliging van zijn dienst. Alle communicatie is nu versleuteld. Iemand die de boodschap onderschept, kan haar niet lezen. Ook WhatsApp kan het passerende verkeer niet lezen. Dus wat zeur ik nou?
Bij versleuteling horen sleutels. En wie heeft de sleutels van jouw berichtuitwisseling? Jij en je gesprekspartner, keurig asymmetrisch, met elk een setje bestaande uit een publieke en een geheime sleutel. Bovendien wordt voor ieder contact een unieke sleutel gebruikt, zodat áls iemand een sleutel weet te achterhalen niet meteen alles open en bloot ligt. Bovendien past WhatsApp open source software toe en die wordt over het algemeen als veiliger (want controleerbaar) beschouwd dan gesloten software. Een vet groen vinkje dus.
WhatsApp biedt een optie om een back-up op te slaan in Google Drive of de iCloud. En daar zit het addertje: die back-up is niet versleuteld. Omdat deze optie het mogelijk maakt om je berichten naar je volgende telefoon over te hevelen, zijn er ongetwijfeld mensen die de optie aanzetten. En al heb je dat zelf niet, dan zorgen zij er wel voor dat tenminste een deel van jouw berichten onversleuteld in de cloud kom te staan. Rood kruis!
Nou en? Het hangt natuurlijk van de inhoud en de context af hoe erg dat allemaal is. Voor privégebruik is het allicht niet zo spannend, tenzij er pikanterieën in het spel zijn. WhatsApp wordt echter in toenemende mate zakelijk toegepast. Er zijn voorbeelden bekend van artsen die even een foto van een stuk patiënt naar een collega appen voor een second opinion, of van opsporingsambtenaren die via WhatsApp bij een collega informeren naar de wettelijke status van een gefotografeerd voorwerp. De meegestuurde tekst zou zo’n plaatje wel eens extra spannend kunnen maken. Met dat soort dingen moet je toch uitkijken, hoe goedbedoeld de acties ook zijn.
Sceptici voeren ook aan dat WhatsApp tegenwoordig tot het Facebook-imperium hoort, een bedrijf dat niet heel hoog staat aangeschreven als het om privacy gaat. Mede daarom gebruiken ze liever alternatieve messenger apps als Threema, Signal of Telegram. Die eerste schermt niet alleen met zijn Zwitserse onafhankelijkheid, maar ook met end-to-end encryptie (zoals hierboven beschreven bij WhatsApp), anonimiteit en het minimaliseren van metadata – data over de uitgewisselde berichten. Metadata zijn belangrijk, want zij verschaffen inzicht in wie wanneer met wie communiceert. De NSA doet daar bijvoorbeeld heel veel mee. En op het gebied van metadata heeft WhatsApp ook een minpunt: zij verzamelen ze, doen er ongetwijfeld een paar marketingkunstjes mee en staan ze waarschijnlijk ook wel af aan opsporingsdiensten als die erom vragen.
Signal scoort ook veel punten en heeft op zijn homepage citaten staan van grootheden als Edward Snowden (die ken je), Bruce Schneier (een Amerikaanse beveiligingsgoeroe) en Matt Green (cryptograaf aan de Johns Hopkins University). Bovendien staat hun ontwikkelaar Moxie Marlinspike hoog aangeschreven in de community. Concurrent Telegram belooft dat je berichten "heavily encrypted" zijn, een zelfvernietigingsmechanisme hebben en je tegen hackers beschermen. Een paar jaar geleden loofden ze $ 200.000 uit voor degene die Telegram zou kraken. Dat geld hoefden ze niet uit te keren. Vorig jaar werd het prijzengeld met een ton verhoogd en de opdracht werd gemakkelijker gemaakt. Ook nu werd daar niemand rijk van.
Zoals altijd geldt ook hier dat je je moet laten leiden door een risico-afweging. Houd er ook rekening mee in hoeverre je een doelwit voor een gerichte aanval zou kunnen zijn – beschik je over informatie die voor anderen dusdanig interessant zou kunnen zijn dat ze gericht proberen om jouw communicatie te onderscheppen? Instant messaging gebeurt in de cloud, dus op andermans computers. Dat is een belangrijk aandachtspunt.
Voorstanders van alternatieve apps lopen steeds tegen hetzelfde probleem aan: iedereen zit op WhatsApp en ze hebben geen zin om er een tweede app op na te houden omdat jij dat graag wilt. Vooralsnog weten de kleintjes geen kritieke massa te bereiken. Ter vergelijking: WhatsApp heeft een miljard actieve gebruikers, Facebook Messenger (!) 900 miljoen en Telegram toch nog 100 miljoen. Threema en Signal worden op de Amerikaanse marketingsite* waar deze cijfers vandaan komen niet eens genoemd, elders heb ik geen actuele cijfers gevonden.
Rest organisaties die besluiten om WhatsApp te wantrouwen één optie: een ander systeem verplicht stellen voor zakelijk gebruik. Of teruggrijpen op SMS.
... moet je zelf ook nog aan de bak om Signal echt veilig te kunnen gebruiken.
https://theintercept.com/2016/07/02/security-tips-every-signal-user-should-know/
https://theintercept.com/2016/07/02/security-tips-every-signal-user-should-know/
... kunnen metadata ook bedrog aan het licht brengen.
https://www.grahamcluley.com/2016/07/huawei-learns-photo-meta-data-bite-bum/
https://www.grahamcluley.com/2016/07/huawei-learns-photo-meta-data-bite-bum/
... gaan Nederlandse banken goed om met digitale certificaten.
https://www.computable.nl/artikel/blogs/security/5792865/5260614/banken-lijken-tls-beveiliging-te-snappen.html
Het bijbehorende overzicht: https://mobile.twitter.com/meneer/status/751046500818583552/photo/1
https://www.computable.nl/artikel/blogs/security/5792865/5260614/banken-lijken-tls-beveiliging-te-snappen.html
Het bijbehorende overzicht: https://mobile.twitter.com/meneer/status/751046500818583552/photo/1
... wordt jouw telefoon – en dus jij – gevolgd terwijl je winkelt. Hoe fout is dat eigenlijk?
http://blog.iusmentis.com/2016/06/27/huh-grote-steden-word-telefoon-gevolgd
http://blog.iusmentis.com/2016/06/27/huh-grote-steden-word-telefoon-gevolgd
... maakt deze Mac-malware misbruik van Tor.
https://www.grahamcluley.com/2016/07/mac-malware-uses-tor-obtain-access-systems/
https://www.grahamcluley.com/2016/07/mac-malware-uses-tor-obtain-access-systems/
... neemt het risico op financiële cybercrime toe, zegt het CPB.
http://www.cpb.nl/persbericht/risico-op-financiele-cybercrime-neemt-toe
http://www.cpb.nl/persbericht/risico-op-financiele-cybercrime-neemt-toe
... heb je deze kennis en eigenschappen nodig om penetratietester te worden.
http://www.darkreading.com/careers-and-people/so-you-want-to-be-a-penetration-tester/d/d-id/1326163
http://www.darkreading.com/careers-and-people/so-you-want-to-be-a-penetration-tester/d/d-id/1326163
... moet je ook met linkjes op Facebook oppassen.
https://securelist.com/blog/incidents/75237/facebook-malware-tag-me-if-you-can/
https://securelist.com/blog/incidents/75237/facebook-malware-tag-me-if-you-can/
... valt Facebook Support voor social engineering.
https://nakedsecurity.sophos.com/2016/07/06/hacker-talks-into-facebook-account-reddit/
https://nakedsecurity.sophos.com/2016/07/06/hacker-talks-into-facebook-account-reddit/
... snapt minister Kamp eindelijk dat hij zijn privémail niet zakelijk moet gebruiken. Maar hij is niet de enige bewindspersoon die achterloopt op het gebied van beveiligingsbewustzijn.
http://www.volkskrant.nl/binnenland/meer-nederlandse-ministers-gebruiken-prive-mail-voor-zakelijke-doeleinden~a4334700
http://www.volkskrant.nl/binnenland/meer-nederlandse-ministers-gebruiken-prive-mail-voor-zakelijke-doeleinden~a4334700
... leek Hillary Clinton in een soortgelijke affaire met de hakken over de sloot aan vervolging te ontkomen. Maar nu heeft 'haar' ministerie van Buitenlandse zaken het interne onderzoek heropend.
http://blogs.wsj.com/washwire/2016/07/05/no-charges-are-appropriate-statement-by-fbi-director-comey-on-clinton-email-probe/
http://www.bbc.com/news/election-us-2016-36742095
http://blogs.wsj.com/washwire/2016/07/05/no-charges-are-appropriate-statement-by-fbi-director-comey-on-clinton-email-probe/
http://www.bbc.com/news/election-us-2016-36742095
... moeten werkgevers en werknemers onderling afspreken wat wel en niet naar huis mag worden gemaild.
https://ictrecht.nl/arbeidsrecht/mag-een-werknemer-gevoelige-bedrijfsinformatie-naar-zijn-prive-emailadres-sturen
https://ictrecht.nl/arbeidsrecht/mag-een-werknemer-gevoelige-bedrijfsinformatie-naar-zijn-prive-emailadres-sturen
... kun je de initiële wachtwoorden van wifi-routers – die vaak ongewijzigd blijven – gewoon berekenen.
https://www.dancvrcek.com/hacking-wifi-passwords-a-randomness-problem/
https://www.dancvrcek.com/hacking-wifi-passwords-a-randomness-problem/
... geeft de politie op scholen voorlichting over kinderporno en social media.
https://www.om.nl/onderwerpen/kinderporno/@93272/kennen-jullie/
https://www.om.nl/onderwerpen/kinderporno/@93272/kennen-jullie/
... vergroot het vermelden van het BSN op het paspoort de kans op identiteitsfraude niet, aldus de minister van Veiligheid en Justitie. Ondertussen promoot zijn collega van BZK al jaren een app waarmee je een geschoonde scan van je reisdocument kunt maken.
https://www.security.nl/posting/477111/Minister%3A+BSN+op+paspoort+vergroot+risico+id-fraude+niet
https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs
https://www.security.nl/posting/477111/Minister%3A+BSN+op+paspoort+vergroot+risico+id-fraude+niet
https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs
... is het nieuwste spotje van Centraal Beheer allesbehalve fictie.
https://www.security.nl/posting/477192/Smartphones+kwetsbaar+voor+verborgen+stemopdrachten
https://www.security.nl/posting/477192/Smartphones+kwetsbaar+voor+verborgen+stemopdrachten
Geen opmerkingen:
Een reactie posten