Internet of Things (IoT) is een bedreiging voor de persoonsbescherming. De huidige apparatuur spioneert alleen maar onder het mom van gebruiksgemak. IoT biedt mensen alleen voordelen als de toestellen zijn voorzien van vrije software, zo meent Richard Stallmann, de voorman van het GNU System.
Stallmann woont in Cambridge, Massachusetts. Hij sprak 9 maart tijdens een avond die het IT Talent College hield in Utrecht. Dit College is een gezamenlijk initiatief van it-studenten en Conjugo. Het online platform is bedoeld om alle it-studenten wereldwijd te inspireren en te informeren. Het thema van deze avond was ‘Privacy’. Een onderwerp waaraan Stallmann zijn leven heeft gewijd. Uit protest tegen fabriekseigen software heeft hij het besturingssysteem GNU/Linux ontwikkeld en aan de wieg gestaan van licentieprogramma’s GPL en LGPL die uitgaan van vrije software.
Nog steeds klinkt hij oprecht kwaad als het gaat om software die niet vrijelijk door de gebruikers is aan te passen aan de eigen behoeften. ‘Het is merkwaardig dat als je iets koopt, zoals software, je er niets mee mag doen. Het blijft eigendom van de producent. Velen klaagden daar over, maar ik heb er echt iets aan gedaan’, doelend op de ontwikkeling van GNU/Linux en de oprichting van de Free Software Foundation, die tegenwoordig wereldwijd meer dan drieduizend leden telt.
Achterdeurtjes
Het werk van Stallman heeft zich intussen uitgebreid naar internet en mobiele telefoons. ‘Er zijn heel veel websites die proprietary code sturen naar de gebruikers om informatie te verzamelen. Van veel websites is de verwachting gerechtvaardigd dat ze je bespioneren. Ze kunnen zelfs jouw webcam op afstand bedienen. Ik zelf heb Javascript uitgeschakeld en gebruik software die me automatisch waarschuwt als Javascript is gebruikt bij een website.’
Het stikt van de achterdeurtjes in software en apparatuur. ‘Als iets ‘smart’ is, dan moet je het wantrouwen’, meent Stallman. ‘Microsoft heeft zijn software zo gebouwd, dat het altijd op enig moment van afstand de code kunnen veranderen. Amazon heeft zijn Kindle zo ingericht dat het op afstand e-boeken kan verwijderen. Smart-tv’s kunnen de camera bedienen en alle beeld en geluid opnemen en smart meters verzamelen veel te veel informatie. Het zou genoeg moeten zijn dat ze twee keer per maand de meterstanden opnemen van afstand; dat hoeft niet continu en ze hoeven ook niet alles bij te houden.’
Dat Apple weigert de FBI te helpen een telefoon te kraken, verbaast hem hogelijk. ‘Juist Apple, die toch zijn gebruikers altijd aan de leiband houdt! Het maakt me overigens niet uit waarom Apple dat doet, belangrijk is dat ze de privacy van de gebruiker respecteren.’
Die houding heeft hij ook ten opzichte van de bedrijven die zeggen dat die ‘smart’ mogelijkheden worden gebruikt om de gebruikers van dienst te zijn. ‘Het kan me niet schelen wat voor prachtige diensten ze daarmee in het leven roepen, ze moeten gewoon van de gebruiker afblijven. En dat kan, met vrije software.’
Of er genoeg vrijelijk te gebruiken programmatuur is in de wereld? ‘Natuurlijk moet en kan er meer worden geschreven, maar de basis is er: het besturingsprogramma. Maar we hebben al een wereld vol vrije software gebouwd.’
Opoffering
Niet toegeven aan de nukken en grillen van de gevestigde software-orde vraagt wel opoffering, zo geeft Stallman toe. ‘Ik heb geen mobiele telefoon, laat staan een smartphone. Ik wil niet dat ze altijd mijn gangen kunnen nagaan. Ik gebruik geen elektronische handel. Liever zoek ik een winkel waar ik iets kan kopen. En als iets alleen online te koop is, dan vraag ik een vriend die geen ethische bezwaren heeft tegen elektronische handel om het betreffende product aan te schaffen. Ik betaal altijd met baar geld.’
Pas als alles met vrije software is ondersteund, dan is de bescherming van persoonsgegevens gewaarborgd. ‘Wat dat betreft, zouden mensenorganisaties zich meer moeten bemoeien met de software-industrie. Overheden laten dit liggen. Sterker nog, zij gebruiken zelf software om de bevolking te bespioneren. Onder het mom van terrorismebestrijding denken overheden dat alles is geoorloofd en dragen ondertussen de democratie ten grave. Een klokkenluider wordt al gauw een terrorist genoemd.’
Geheime diensten
Dankzij de onthullingen van Edward Snowden weten we hoe de NSA mensen bespioneert. ‘Ik ga ervan uit dat alle geheime diensten over de hele wereld dergelijke praktijken hanteren; alleen is dat niet onthuld door een klokkenluider. En het is alleen maar mogelijk, omdat proprietary software wordt gebruikt en de it-bedrijven worden gedwongen mee te werken.’
Stallman reist de wereld af om zijn boodschap te verkondigen: gebruik vrije software, eis van overheden dat zij vrije software gebruiken. ‘En gebruik de consumentenkracht om dit af te dwingen bij bedrijven. De houding moet zijn: dit is verkeerd, en het kan anders. It-managers moeten nadenken over de ethiek van software en de software-industrie. Al te gemakkelijk lopen ze aan de leiband en denken niet na over de alternatieven’, is zijn oordeel.
Hij vergelijkt de overgang naar vrije software met een ontsnapping uit de gevangenis. Nu IoT zich verder verspreidt, is het moment daar om zich verder te bezinnen. ‘Al die apparatuur is in beginsel spionage-apparatuur. Dat moet je niet willen.’
Dit artikel is ook verschenen in Computable Magazine, jaargang 49, nummer 4, april 2016.
IT Talent College
IT Talent College organiseert colleges over verschillende it-onderwerpen voor it-studenten en –starters. Het is een gezamenlijke initiatief van studentenverenigingen en van it-marktonderzoeksbureau Conjugo. Computable ondersteunt het initiatief als mediapartner. De organisatie maakt video-opnames van de colleges die vervolgens online worden geplaatst. Tijdens de big data-colleges van IT Talent College was Wouter de Bie van Spotify één van de sprekers.
Jan van Leeuwen,
Toch typisch dat wikipedia (en anderen) stelt dat toegang tot de broncode geen garanties geeft voor de kwaliteit, dat minder fouten en sneller herstel van FOSS gewoon een mythe is.
FOSS heeft net als veel andere software ook de ‘golden key’ backdoor van updates, weinig gebruikers zullen tenslotte de moeite nemen om alle benodigde binaries vanuit de (gecontroleerde) broncode te compileren. Evenzo zullen ze ook niet een background onderzoek doen van OSS-team leden waardoor FOSS steeds vaker gebruikt wordt om backdoors aan te brengen in een systeem.
‘Secure code delivery is the problem of getting software from its author to its users safely, with a healthy dose of mistrust towards the author and everything else in between.’
Aha Wikipedia, natuurlijk de meest betrouwbare bron van informatie, ach ach ach.
Aha Wikipedia, natuurlijk de meest betrouwbare bron van informatie, ach ach ach.
Hier is een goede samenvatting, ook als het artikel wat ouder is, de principes hebben zich niet veranderd.
http://www.dwheeler.com/secure-programs/Secure-Programs-HOWTO/open-source-security.html
@Jan om 10:42
Commerciële bedrijven hebben een reputatie hoog te houden. Als duidelijk wordt dat je een achterdeur in je producten hebt, dan levert dat reputatieschade op (tenzij je Google heet), die zelfs tot een faillissement kan leiden.
Deze bedrijven zullen er dus alles aan doen om hun software zo goed mogelijk te maken, of ze dat nu als closed of open source software uitbrengen.
Je buurjongen kan een aanpassing maken in een OSS pakket, hoeft zich geen zorgen te maken over z’n reputatie (want hij doet dat onder z’n pseudoniem “Pietje Puk”), en kan het aan de distributie toevoegen.
(wordt vervolgd)
@Jan om 10:46
Er is veel OSS, maar niet elk pakket is zo groot als Linux of LibreOffice. Er zijn pakketten met slechts een handvol gebruikers en één of enkele ontwikkelaars. Er is dus geen community van duizenden peer-reviewers voor veel OSS pakketten.
Het is voor “Pietje Puk” dus heel goed mogelijk om z’n achterdeur in een wat minder populair pakket te krijgen. Of z’n ransomware; het ligt er maar net aan hoe Pietje aan z’n geld wil komen!
@iedereen
Ik wil niemand bang maken voor OSS; sterker, OSS brengt ons veel goeds. Een pc met Linux en LibreOffice is een goed alternatief voor een pc met MS Windows en MS Office. Een mix is ook prima mogelijk, zoals een Windows pc met LibreOffice. Ik wil alleen één punt duidelijk maken: OSS is niet synoniem met veilig, betrouwbaar, foutvrij of achterdeurvrij.
Jan,
‘Clearly, it doesn’t matter if there are “many eyeballs” if none of the eyeballs know what to look for.’
Natuurlijk kun je wikipedia afdoen als onbetrouwbaar maar deze kent ook een vorm van ‘peer-review’ waardoor wijzigingen – zoals ooit gemaakt vanuit Huis ten Bosch – tot betere vertalingen leiden. Ik heb je link gelezen en wijs je middels BLOKLETTERS op enkele nuances in de uitspraken van experts:
‘Open Source Software certainly DOES HAVE THE POTENTIAL to be more secure than its closed source counterpart. But make no mistake, SIMPLY BEING OPEN SOURCE IS NO GUARANTEE OF SECURITY.’
‘Open source software projects CAN be more secure than closed source projects. However, the very things that CAN make open source programs secure — the availability of the source code, and the fact that large numbers of users are available to look for and fix security holes — CAN also lull people into a FALSE SENSE of security.’
Aangezien je niet inhoudelijk ingaat op mijn opmerking over het volledig opnieuw compileren van alle binaries vanuit de broncode, welke uiteraard voorzien moet zijn van een digitale handtekening, blijf ik bij mijn eerdere mening. FOSS is geen antwoord op het probleem van backdoors wanneer je het proces van de software distributie zelf niet veranderd.
@Frank en WieRoeptMij
iedereen heeft recht op een mening, onderbouwen van een mening is beter.
Ik weet niet hoeveel FOSS jullie dagelijks gebruiken en installeren maar ik vermoed weinig, in alle projekten waaraan ik meewerk hebben we peerreviewing en “PietjePuk” heeft geen schijn van kans iets slecht in de sources te smokkelen.
Dat een hoger niveau van security een wet van meden en perzen is, heb ik nooit beweerd, wel dat in doorsnee FOSS een betere reputatie heeft als het om achterdeurtjes gaat.
Net als bij commerciele software is het natuurlijk de kunst om de projekten waar je mee werkt zorgvuldig uit te zoeken, dat moet je als specialist je klanten kunnen aanbieden.
Jan,
Je vermoedens (op basis van slechte informatie) zijn een abjecte voorstelling van de feiten, backdoor van apt-get update gaat om een keten aan vertrouwen welke nog weleens gebroken schakels bevat.
nogmaals voor WieroeptMij:
iedereen heeft recht op een mening, onderbouwen van een mening is beter
@Jan
De onderbouwing was al gegeven door de geroepene. Review je alle sources, hercompileer je alle gereviewde sources, en vervang je eventueel aanwezige closed source onderdelen (of open source onderdelen waarvan de source code niet meegeleverd is), zoals bv een IP stack, door open source varianten waarvan je de source hebt?
OSS is doorgaans veilig, maar geen absolute garantie voor veiligheid. Ook dat argument was al eerder gegeven. Maar dat negeer jij; jij hoeft jouw mening blijkbaar niet te onderbouwen, want jij weet hoe men in de (F)OSS wereld te werk gaat.