Wie gun je toegang tot je bedrijfsinformatie? Wie laat je bepalen hoe veilig die is opgeslagen? Als je alle data en mailverkeer volledig veilig zou kunnen beheren, kies je daar dan voor? Of laat je de deur op een kier? Geef je de overheid een sleutel? Die vraag dringt zich op nu terrorisme overheden verleidt tot ‘achterdeurtjespolitiek’. Alleen met open source software blijf je baas over je eigen database.
Ruim tien jaar en aanslagen, zoals 9/11, geleden, klonk het allemaal zo goed. Het Europees Parlement droeg privacy hoog in het vaandel. Beveiliging van gegevens en vertrouwelijkheid van communicatie moest in handen van burgers komen. Versleutelingstechnologiën en software waarvan de broncode niet is gepubliceerd, werden onbetrouwbaar genoemd. Hoe anders is dat nu het volk terroristen vreest.
Laat de politie in godsnaam overal bij kunnen waar terroristen gebruik van zouden kunnen maken: databases, sms’jes, appjes, chatprogramma’s. Sla het flink lang op (retentie) en verbied het zodanig versleutelen dat louter de gebruiker het kan lezen (end-to-end encryptie).
Wat de agenda van overheden en instituties als Europol en FBI ook moge zijn, encryptie beperken en achterdeurtjes verplicht stellen leidt tot een minder open internet en juist minder beveiliging. Wie zegt dat een inbreker niet door het kiertje glipt?
Snooper’s Charter
In Groot Brittannië is de regering van David Cameron, gesterkt door de recente aanslagen in Parijs, bezig met een ‘Investigatory Powers Bill’ (in de volksmond ‘Snooper’s charter’) die sterke encryptie voor providers en leveranciers verbiedt. In november heeft Tim Cook van Apple hiertegen nog fors geprotesteerd, want Apple wil zijn klanten privacy kunnen bieden. Je begrenst ook niet de snelheid van alle auto’s om te voorkomen dat bankrovers snel kunnen vluchten.
Ook in Nederland kun je maar beter voorzichtig zijn met spelfouten op het internet. Voor je het weet, ben je verdacht. Voor de veiligheid mogen tegenwoordig de goeden onder de kwaden leiden. Recent is een wet ingediend die de politie verregaande bevoegdheden geeft om verdachten te hacken. En dan is er al enige tijd de Amerikaanse Patriot Act. Deze wet schrijft voor dat Amerikaanse bedrijven op verzoek data aan Amerikaanse regeringsinstanties beschikbaar moeten stellen. Zelfs als deze data op servers in Nederland, van Amerikaanse bedrijven weliswaar, staan. Bovendien moeten ze dit voor alle betrokkenen volledig geheim houden.
Onduidelijk is in hoeverre partijen als Microsoft en Apple dergelijke achterdeuren in hun systemen hebben. Formeel wordt dit ontkend, maar de Patriot Act schrijft in feite ook voor dat ze eventuele achterdeuren niet bekend zouden mogen maken. Uit netwerkanalyses is gebleken dat Windows 10 allerlei data naar Microsoft stuurt, zelfs als de privacy instellingen dit zouden moeten tegengaan.
Onafhankelijk
Met terrorisme als excuus wordt het dus juist steeds lastiger om informatie op een deugdelijke manier te beveiligen. Ik ga hier de discussie over de wenselijkheid van spionage even uit de weg en ga er vanuit dat onafhankelijke organisaties – en hun klanten – zelf willen kunnen bepalen hoe veilig hun data is en of er een achterdeur is. Als geheime diensten erbij moeten mogen, dan kunnen Chinese en Russische hackers dat zeker. Vertel dat je klant maar eens. Niet voor niets protesteren grote bedrijven en nemen andere hun vlucht tot landen waar beveiliging nog wel is toegestaan (Silent Circle met de Blackphone in Zwitserland).
Open source
Aan de politieke agenda van tien jaar geleden was niets mis. Angst verandert de wereld, maar niet de principes van veiligheid en privacy. Er is maar één echte oplossing om totale controle te houden over de beveiliging van je informatie: open source software. Niet dat open source software perfect is of dat er geen fouten in zitten, maar de broncode is bekend en iedereen kan zelf controleren of laten controleren of de software veilig is en de encryptie voldoende sterk. En mochten er onverhoopt toch gaten gevonden worden, dan is de oplostijd bij populaire open source producten meestal aanzienlijk korter dan van gesloten systemen.
En er zijn vandaag de dag voldoende uitstekende open source producten om het volledige spectrum van ict af te dekken. Android versus iOS en Windows Mobile, Chrome OS en Linux versus Windows, OpenIMS versus Sharepoint, Apache versus IIS en FireFox en Chrome versus IE / Edge, om er een paar te noemen.
Achterdeurtjespolitiek
Steeds meer organisaties zullen de achterdeurtjespolitiek niet accepteren. Niet tolereren dat overheden, tot aan de andere kant van de oceaan, bepalen hoe veilig hun informatie mag zijn, zonder dat ze ook maar de conclusie mogen weten. Het is geen verstandige, klantvriendelijke optie en de Wet Bescherming Persoonsgegevens verbiedt het in veel gevallen. Steeds meer organisaties zullen daarom kiezen voor het volwaardige, veilige alternatief, dat de EU tien jaar geleden al stimuleerde. Blijf je baas in eigen database?
De ‘war on terrorism’ is eigenlijk ‘war on privacy’.
Westerse landen die landen als Saudi Arabië en Turkije niet op de vingers tikken als zij zit bezig houden met het logistiek en financieel ondersteunen van terroristen spreekt boekdelen. Als daaruit een groepje extremisten in het westen komen om terreur te zaaien blijkt dat tientallen miljarden aan opsporingsdiensten weinig tot niets uitmaken. Of kijken zij de andere kant op omdat het de politiek uitstekend van pas komt om de ontstane paniek om te zetten in voor hen gunstige wetgeving?
De uitdrukking ‘all against terror’ moeten we natuurlijk wel even nuanceren. In de marge; is het namelijk niet zo dat landen als de VS, het VK, Frankrijk, ook Nederland, Israël en regimes van tal van landen zich bezig hebben gehouden met de in stand houding van regimes, groeperingen die nu geklasseerd worden als terroristen? Ik noem alleen al de miljarden die de Amerikaanse belastingbetaler via dubieuze manieren, heroine/cocaine handel, duistere wapenhandel, verdiende en weer uitgaf aan allerlei groeperingen op het moment dat het erg opportuun was.
Niet in de laatste plaats van de regelrechte farce van onze eigen regering die scheeps en vliegtuigladingen met dubieuze handel door laat gaan via haven en luchthavens of het ridicule gelegaliseerde idioterie democratie te gaan brengen in landen waar zij en wij niets hebben te zoeken Afghanistan om nu een Rutte en Koender te horen kwelen dat de Taliban onze partners zijn die eerder onze doodsvijanden bleken. We hebben het even niet over de rol die Nederland nu speelt op het strijdtoneel etc etc.
War on privacy
Het is inderdaad War On Privacy. Daar doet onze regering overigens heel driftig aan mee. De registratie van de burger in tal van facetten, databases, gekoppelde systemen, knellende regelgeving en in toenemende mate het plaatsen van batterijen aan camera’s door het hele land en in steden om uw en mijn veiligheid te waarborgen?
Ik ben vrijdenker, erken dat we iets nodig hebben als een overheid die als ‘overkoepeling’ enkele generieke zaken (nuts) voor ons moet borgen maar, daar nu zelf, door gelegaliseerde criminaliteit, wetten met voeten aan het treden is.
Koppeling naar opensource
Ik zie die koppeling eerlijk gezegd niet zo. Als terreur kenner, met de ervaring die ik op dit vlak heb, het operationele vlak, wel te verstaan, zie ik niet wat open source en terreur met elkaar te maken zouden hebben. Is Mickey Soft betrouwbaar? Allerminst. Maar dat zijn de meeste datalijnen ter wereld allang niet meer als wij Snowden mogen geloven, en ik geloof die best wel, zonder paranoïde te worden.
Het echte terreur, ons beperkend tot ons kikkerlandje, is onze eigen overheid die tal van manieren en wegen gebruikt, u en mij, te harnassen in alles wat wij doen, onder de noemer dat dit vooruitstrevend zou zijn. Deze overheid die blijk heeft gegeven niet eens te weten hoe degelijk en veilig met IT om te gaan, beperkt de persoonlijke vrijheid van u en mij naar believen en verkopen die zelfs aan de VS & cie.
Als ik kijk naar de mogelijkheden, IT wise, die ik heb, hoef ik niet alleen te denken aan open source maar kan ook goed uit de voeten met tal van end 2 end encryptie mogelijkheden en met enkele hardware grepen, kom je tot een verrassend hoog niveau.
Zin?
Is dat zinvol? Voor slimmer wordende terroristen, ik wijs even naar landen als Iran, Pakistan en laten wij India niet vergeten, zijn daar jongere generaties bezig met IT, en sommige van hen ook met terreur, waar de VS of een Koenders of Rutte alleen nog maar van kunnen dromen en daar ook last van gaan krijgen een keer. Of dat nu open source is of Mickey Soft. Als ik zelf enkele hele eenvoudige stappen kan bedenken om mijn IT beveiliging naar een hoger plan te brengen, dan kan ik dat, en daar heb je niet per definitie open source voor nodig.
Wel common sense en de vraag aan jezelf, leg ik mij neer bij persoonlijke beperkingen die anderen ongevraagd mij opleggen of kies ik er voor, principieel, voor mijn persoonlijke vrijheid, een vrijheid die dan ongetwijfeld op zich weer een prijskaartje kan blijken te hebben.
War on Getting Control dus ….
Ach als je iets (open source) wilt verkopen, dan is het soms zoeken naar argumenten en wat is nu makkelijker om het dan op overheden te gooien die privacy niet respecteren?
Laat ik voorop stellen dat ik tegen zaken ben zoals wat de belastingdienst heeft gedaan door alle parkeergarages en app bouwers te dwingen hun data op te geven. Ik ben ook tegen sleepnet methodes die gehanteerd worden om te proberen alle data te verzamelen. Die tasten de grenzen van democratie aan.
Maar dit soort discussie moet je niet vermengen met het draaien van een business.
Noem nu even de pijn van jouw business als het gaat om het veronderstelde gemis aan privacy. Hoe raakt je dat dan precies?
En uitspraken zoals “Er is maar één echte oplossing om totale controle te houden over de beveiliging van je informatie: open source software”
Dit is pertinente onzin en daarmee zak je direct volledig door het ijs.
Of je iets doet in je eigen serverruimte in je eigen pand liefst zonder netwerk verbinding en zeker niet met een verbinding naar het internet dan heb je kans (een klein kansje) dat je data niet gelezen kan worden door externe partijen.
Maar hackers en onbetrouwbaar personeel of gebrek aan security kennis (99,9% van alle bedrijven) zijn een groter gevaar dan de boze overheid. En bij een *goede* provider is je data een stuk veiliger dan bij jezelf op locatie.
Maar open source bij een provider is net zo “data opvraagbaar” als closed source.
Het artikel had eigenlijk moeten heten “De uitvlucht van terrorisme waarmee overheden het rechtvaardigen om hun burgers en bedrijven te bespioneren”.
De essentie is dat er bij overheden een steeds grotere nieuwsgierigheid bestaat naar wat mensen denken en doen. Of hun motieven zuiver zijn betwijfel ik. Nederland is (nog) een rechtsstaat, maar de VS? Groot-Brittanië? De overheden rechtvaardigen hun snuffelzucht door te verwijzen naar terrorisme, kinderporno, enzovoorts, allemaal dingen die een nette burger niet zal tegenspreken. Intussen worden zijn vrijheden steeds meer afgepakt. Stap voor stap gaan we zo naar een “brain police” waarin niemand meer durft uit te spreken waar hij voor staat. En waarin de overheden steeds meer macht krijgen ten koste van de burger.
Over het bespioneren van bedrijven kunnen we kort zijn. Er zijn sterke vermoedens dat deze informatie bij de VS terecht komt en daar wordt gebruikt om Amerikaanse bedrijven te helpen.
Open software gebruiken is de enige manier om er zeker van te zijn dat er geen achterdeurtjes zitten in de software die je gebruikt. En dan hebben we het nog niet over het veilig gebruiken van internet, telefoons, e-mail…
Het artikel had eigenlijk moeten heten “De uitvlucht van terrorisme waarmee overheden het rechtvaardigen om hun burgers en bedrijven te bespioneren”.
De essentie is dat er bij overheden een steeds grotere nieuwsgierigheid bestaat naar wat mensen denken en doen. Of hun motieven zuiver zijn betwijfel ik. Nederland is (nog) een rechtsstaat, maar de VS? Groot-Brittanië? De overheden rechtvaardigen hun snuffelzucht door te verwijzen naar terrorisme, kinderporno, enzovoorts, allemaal dingen die een nette burger niet zal tegenspreken. Intussen worden zijn vrijheden steeds meer afgepakt. Stap voor stap gaan we zo naar een “brain police” waarin niemand meer durft uit te spreken waar hij voor staat. En waarin de overheden steeds meer macht krijgen ten koste van de burger.
Over het bespioneren van bedrijven kunnen we kort zijn. Er zijn sterke vermoedens dat deze informatie bij de VS terecht komt en daar wordt gebruikt om Amerikaanse bedrijven te helpen.
Open software gebruiken is de enige manier om er zeker van te zijn dat er geen achterdeurtjes zitten in de software die je gebruikt. En dan hebben we het nog niet over het veilig gebruiken van internet, telefoons, e-mail…
Het artikel had eigenlijk moeten heten “De uitvlucht van terrorisme waarmee overheden het rechtvaardigen om hun burgers en bedrijven te bespioneren”.
De essentie is dat er bij overheden een steeds grotere nieuwsgierigheid bestaat naar wat mensen denken en doen. Of hun motieven zuiver zijn betwijfel ik. Nederland is (nog) een rechtsstaat, maar de VS? Groot-Brittanië? De overheden rechtvaardigen hun snuffelzucht door te verwijzen naar terrorisme, kinderporno, enzovoorts, allemaal dingen die een nette burger niet zal tegenspreken. Intussen worden zijn vrijheden steeds meer afgepakt. Stap voor stap gaan we zo naar een “brain police” waarin niemand meer durft uit te spreken waar hij voor staat. En waarin de overheden steeds meer macht krijgen ten koste van de burger.
Over het bespioneren van bedrijven kunnen we kort zijn. Er zijn sterke vermoedens dat deze informatie bij de VS terecht komt en daar wordt gebruikt om Amerikaanse bedrijven te helpen.
Open software gebruiken is de enige manier om er zeker van te zijn dat er geen achterdeurtjes zitten in de software die je gebruikt. En dan hebben we het nog niet over het veilig gebruiken van internet, telefoons, e-mail…
Open Source draagt bij tot transparantie, dat hebben we kunnen zien bij de onafhankelijke audit van De encryptiesoftware TrueCrypt. Zelfs security goeroe Steve Gibson dacht op grond van emotionele waarneming te kunnen beweren dat TrueCrypt nog steeds veilig genoeg zou zijn. Op zijn site GRC.com staat dat nog steeds, terwijl hij in een radioprogramma al heeft toegegeven dat de door de audit aangetoonde kwetsbaarheden toch blijkt dat TrueCrypt niet meer voldoende veiligheid biedt.
Op grond van open Source zullen waarschijnlijk niet meer terroristen worden opgepakt.
Open Source kan wel helpen om de War against privacy beter te bestrijden, de achterdeurtjes worden dan eindelijk publiek domein.