II.

Messaging en end-to-end encryptie

Helaas laten de normen voor mobiele netwerken nog steeds zeer zwakke encryptie-algoritmen toe en kunnen zij niet als echt veilig worden beschouwd. Communicatie via SMS, bijvoorbeeld, betekent dat aanvallers vrij gemakkelijk de encryptie kunnen breken en uw berichten zouden kunnen lezen. Bij mobiele netwerken wordt het verkeer over het algemeen alleen versleuteld van uw telefoon naar het basisstation, waar de versleuteling wordt gedecodeerd en het bericht vervolgens in onbewerkte tekst wordt verzonden.

Twee telefoons die boodschappen verzenden via een veilig end-to-endkanaal

Steeds meer toepassingen ondersteunen tegenwoordig end-to-end-encryptie, wat betekent dat zodra het verkeer op uw computer (of telefoon) is versleuteld, de informatie versleuteld verder reist totdat de ontvanger het bericht ontvangt en decodeert. Als de encryptie op een veilige manier is geïmplementeerd, kunnen buitenstaanders het bericht niet ontcijferen zonder de sleutel die alleen op de computer van de ontvanger aanwezig is. Om het bericht te ontcijferen zou een aanvaller moeten inbreken in uw computer of in die van de ontvanger om de communicatie te kunnen volgen. Kijk maar naar de voorbeelden van cryptografie in het vorige hoofdstuk: als het encryptiecijfer veilig is en de sleutel geheim wordt gehouden, kunnen alleen de beoogde ontvangers de berichten ontcijferen.

Voorbeelden van communicatie-apps die end-to-end encryptie gebruiken zijn:

  • Signal

  • Telegram

  • WhatsApp

  • Facebook Messenger

Van deze toepassingen maakt Signal gebruik van open-source implementaties, wat betekent dat ze voor iedereen te verifiëren zijn (het tegenovergestelde van beveiliging door obscuriteit). De algoritmes die gebruikt worden door de Signal-applicatie worden over het algemeen als veilig beschouwd en ze zijn uitvoerig bestudeerd. Het voordeel van een open-source en geverifieerde implementatie is dat zodra bewezen is dat de implementatie veilig is, deze ook door anderen kan worden gebruikt. Het Signal-protocol wordt bijvoorbeeld ook gebruikt door de WhatsApp-applicatie.

Note

Door de manier waarop WhatsApp-groepen worden gebruikt, zijn leden die aan een bestaande groep worden toegevoegd niet end-to-end versleuteld en kunnen zij door een aanvaller met toegang tot de WhatsApp-servers worden gekraakt.

Telegram deed in plaats daarvan wat velen beschouwen als het breken van de eerste regel van cryptografie (geef je eigen crypto niet vrij) en creëerde zijn eigen protocol. Er is veel kritiek geweest op het protocol en volgens sommige onderzoekers is het gebroken. Er zijn al enkele kwetsbaarheden in het protocol gevonden. De bekende kwetsbaarheden zijn verholpen, maar hoe dan ook, sommigen vinden nog steeds dat je niet moet vertrouwen op de geheimhouding van de cryptografische implementatie van Telegram. Zoals het er nu voor staat, is er geen bekende kwetsbaarheid in de cryptografische implementatie van Telegram.

Facebook Messenger heeft een modus genaamd geheime gesprekken die end-to-end versleuteld is. Deze is echter opt-in en niet de standaard. Groepschats zijn niet end-to-end versleuteld en kunnen niet worden vertrouwd op veiligheid.

Als u op zoek bent naar geheimhouding in een berichtentoepassing, lijken Signal en WhatsApp op dit moment de veiligste alternatieven te zijn. Sms-berichten mogen niet worden gebruikt voor vertrouwelijke communicatie.

Note

Waarom heb ik beveiligde berichten nodig?

U vraagt zich misschien af waarom u uw communicatie zou beveiligen als u toch niets illegaals doet. Denk echter eens na over de inhoud van uw communicatie. Hoewel de meeste informatie misschien niet vertrouwelijk is, kunnen er stukjes en beetjes informatie zijn die allemaal samen een aanvaller wel genoeg informatie kunnen geven om identiteitsdiefstal te plegen of zelfs in te breken in uw accounts.

Voorbeelden van gegevens die u zou kunnen vrijgeven zijn:

  • Bankgegevens

  • creditcardnummers

  • e-mail- en wachtwoordcombinaties

  • socialezekerheidsnummers

  • adressen

  • telefoonnummers

  • antwoorden op beveiligingsvragen waarmee u uw accounts hebt beveiligd

  • cookies waarmee een aanvaller uw sessie zou kunnen stelen en toegang tot uw account zou kunnen krijgen

Hoewel de bovenstaande lijst items bevat die u zelf kunt achterlaten, kunt u ook nadenken over de hoeveelheid informatie die door uw apparaten wordt verzameld. Dit kunnen gegevens zijn zoals GPS coördinaten, uw gebruik van applicaties, tijden dat u actief bent en gezondheidsgegevens zoals hartslag. Met deze gegevens kan de aanvaller zich een vrij compleet beeld vormen van uw dagelijkse leven, van uw thuislocatie tot plaatsen die u vaak bezoekt, mensen die u ontmoet, waar u eventueel werkt, of u gezondheidsproblemen hebt enzovoort.

Sommige landen worden verondersteld de communicatie van hun eigen burgers te controleren om de informatiestroom te beheersen en dissidenten in de gaten te houden. In sommige van deze landen kan end-to-end-encryptie zelfs worden verboden of kunnen regeringen opdracht geven achterdeurtjes of zwakke plekken in de technologie op te nemen, zodat zij de encryptie en de vertrouwelijkheid van het berichtenverkeer kunnen breken. Om te bepalen of dit voor u een risicofactor is, moet u de wetten onderzoeken van het land waar u zich bevindt of waar u mogelijk gegevens vandaan wilt verzenden/ontvangen.

Note

Wat u beter wel en niet doet op beveiligingsvlak

Doen

  • Ga na of u gecodeerde verbindingen maakt, zorg er bijvoorbeeld voor dat u het hangslotsymbool ziet in een browser.

  • Denk na waar u uw creditcard gebruikt: is de site betrouwbaar?

  • Wees u bewust van de data die uw apps blootgeven.

Niet doen

  • Gebruik geen beveiligingsvragen, zij zijn erg makkelijk te achterhalen.

  • Zorg ervoor dat apps uw niet zonder uw medeweten kunnen traceren en geef er de voorkeur aan data uit te schakelen als de app dit toelaat.

  • Vertrouwelijke persoonlijke informatie vrijgeven via sms’en, want die zijn niet veilig.

Next section
III. De soorten online aanvallen