Veel programmeurs zijn naast lichtelijk autistisch ook lichtelijk anarchistisch. Informatie moet vrij zijn, code het liefst openbaar, er moet gehackt kunnen worden en alsjeblieft geen centrale autoriteit. Maar hoe om te gaan met dat anarchistische resultaat, het internet?
Deels komt de anarchistische grondhouding van programmeurs voort uit de academische wereld waaruit de IT voortkomt en waarin beeldbepalende technologieën als het internet groot zijn geworden (nadat het door de Amerikaanse defensie was opgezet). Voor de vooruitgang is dit zeer goed geweest, juist dankzij het nagenoeg niet aanwezig zijn van belemmeringen en de continue uitwisseling van ideeën kon het internet onbegrensd groeien tot wat het nu is.
Wat gecreëerd is in een anarchistisch milieu gedraagt zich echter ook anarchistisch en zo zitten we nu met een internet dat op zich wel redelijk veilig kán zijn, maar wel alleen wanneer je om kunt gaan met die anarchie en je jezelf weet te beschermen. En dat is jammer, want lang niet iedereen kan om gaan met die chaos én beschikt over de kennis om ook maar iets van die chaos te begrijpen. Het gevolg is dat velen onbewust zijn van wifi-toegangspunten die de certificaten weghalen en je daarmee kunnen misleiden en je gegevens (ook) doorspelen naar een onbedoelde andere ontvanger, USB-oplaadpunten die data kopiëren, en ja, dan trappen er nog steeds mensen in phishing mailtjes.
Je kende geen van de bovengenoemde gevaren? Even ‘snel’ samengevat en daarna zal ik inzoomen op wat volgens mij de oplossing is.
Restaurants en treinen met gratis internet. Mooi. Veilig? Het kan op zich best. Maar dan moet je wel scherp zijn (in De Correspondent schreef Maurits Martijn daar een interessant stuk over). Je kunt via een beveiligde manier verbinding maken met een website, als via een onbeveiligde manier. (V: weet je dat zeker, murb?, A: wel in dit geval hoef je je als reguliere gebruiker minder zorgen te maken, je browser gebruikt waarschijnlijk iets anders dan OpenSSL, maar OpenSSL is een grote bekende zwakte van het internet op dit moment (er wordt dan ook hard aangewerkt)). De onbeveiligde manier was vroeger de standaard en voor veel simpele sites waar je slechts consumeert volstaat dat (tenzij je je zorgen maakt over je privacy, want een ieder kán wel meelezen met de pagina’s je bekijkt). De veilige manier heb je bijvoorbeeld wanneer je bankiert via internet, maar tegenwoordig ook terwijl je zoekt op b.v. Google en Facebook.
In de beveiliging van websites zit een mechanisme waarmee het ontzettend lastig wordt gemaakt om mee te lezen en waardoor het nagenoeg niet mogelijk is om je als de echte bank-website voor te doen zonder dat je het ook echt bent Als je doorgestuurd wordt naar de verkeerde server waarschuwt je browser dat er iets niet klopt. Dus wat is de meest eenvoudige manier om mensen te misleiden? Haal het certificaat gewoon helemaal weg; dan geeft de browser niet eens een waarschuwing, de mensen letten toch meestal niet op het slotje. (tenzij er bij een vertrouwelijke partij die certificaten uitdeelt wordt ingebroken; een grote donkere wolk boven de internet-veiligheid die enkele jaren terug duidelijk werd tijdens de DigiNotar affaire, of wanneer je computer echt is voorzien is door toedoen van een virus of een binnendringer waardoor andere partijen dan door de browser vertrouwde partijen zich voor kunnen doen als geaccepteerd… vergeef me de mitsen en maren)
Wat had jij kunnen doen? Gewoon controleren of het certificaat überhaupt aanwezig was, en/of het domein nog steeds wel klopt. Wat zou je idealiter moeten doen: helemaal niets. Klopt. Ik draai voor mijzelf nu al een tijdje een tool (een Firefox extensie Certificate Patrol die in de gaten houdt of certificaten stiekem worden gewijzigd, en het is een behoorlijke chaos op sommige sites. Treurig.
Bij iemand even de telefoon in de USB poort hangen, of ergens op een publieke plek gebruik maken van de USB poort die speciaal bedoeld is om op te laden. Bedenk wel dat je op die manier het toestaat om een directe dataverbinding op te zetten tussen jouw apparaat en wat voor apparaat er maar achter zit. Veiligheidsadviseurs raden het daarom aan om altijd je eigen lader mee te nemen en wanneer die ontbreekt een USB condoom te gebruiken die al het overbodige dataverkeer wegfiltert (er vind bijna altijd wel iets aan data-uitwisseling plaats, om te achterhalen hoeveel vermogen het de poort dient te leveren om snelladen mogelijk te maken).
Wat zou er gedaan moeten worden door jou? Wederom helemaal niets, bouwers van telefoons zouden zich er bewust van moeten zijn dat dit een zwakte is, en hiermee rekening houden. Op iOS moet je dan ook vaak je code invoeren als je koppelt, maar het is onduidelijk of je dan de telefoon vrijgeeft voor de dataverbinding, of gewoon om de telefoon te gebruiken. Op Android zijn er fouten gevonden die misbruikt werden, zonder dat dit ook maar enige interactie met de gebruiker vereiste.
Bij de meeste mensen inmiddels wel bekend, of niet? Mailtjes die lijken te komen van b.v. je bank, die je vragen om even in te loggen met b.v. je identifier maar dan zodanig dat ze er gelijk wat geld mee kunnen overschrijven. Kan gebruikt worden ook in combinatie met een zogenaamde man in het midden aanval (zoals hierboven besproken) zodat het lijkt alsof je gewoon normale interactie hebt met je bank, maar ondertussen wordt het geld naar net een ander rekeningnummer overgemaakt. Wat doe je hier weer aan? Niet op in gaan dus.
Maar moet jij doen om ze te herkennen? Vooralsnog zijn de meeste te herkennen aan slecht taalgebruik, maar ook dat wordt beter. De website veilig bankieren somt de belangrijkste aandachtspunten op. Te veel punten inderdaad om steeds bij stil te staan. Dat moet beter kunnen. En, eigenlijk zou je er niet eens bij na hoeven te denken.
Is meer wetgeving de oplossing? Zoals slagers het liefst hun eigen vlees keuren, met paardenvlees dat verkocht wordt als rundvlees als gevolg, lossen ook IT’ers het liefst hun eigen zaken op. Op zich vrees ik de mensen die het IT werk doen ook niet, dat anti-autoritaire gecombineerd met de academische houding zorgt er wel voor dat ze zelf ook willen dat hun eigen systemen veilig zijn voor de autoriteiten. Maar de belangrijkste reden om niet te vertrouwen op wetgeving is dat nationale wetgevers moeilijk grip kunnen krijgen op het internationale netwerk. Wetgeving helpt misschien om een lokale grapjas in te tomen, maar de echte criminelen zijn veel handiger dan dat. Wetgeving zou natuurlijk ook kunnen inhouden dat providers sites zouden moeten afschermen. Maar waar trek je dan de grens met censuur. Onwelgevallig zijn die sites die niet langer toegankelijk worden gemaakt?
Alhoewel weleens wordt gesproken over het idee van een internetrijbewijs is de techniek dermate complex, en de wijze van oplichten soms dermate slim dat je niet kunt verwachten dat je als gebruiker altijd scherp blijft. Natuurlijk, blijf altijd kritisch, maar houdt er altijd rekening mee met mensen en/of partijen die slimmer zijn dan jou.
De oplossing voor een veiliger internet is niet wetgeving. En ook opleiding is niet afdoende. Het is simpelweg betere software.
Met betere software maak je veilig werken gebruiksvriendelijk. Die transparant te controleren is. Betere software schaalt echt, het vereist niet een continue uitdijend team nodig van digitale politieagenten. Veiligheid is iets waar jezelf recht op hebt, en niet iets dat in ‘vertrouwen’ moet liggen bij bedrijven (noch overheden) die je veiligheid aanbieden als zijnde koopwaar waaraan voorwaarden gesteld kunnen worden (zoals opgeven van je privacy).
Het onwenselijk dat bedrijven de sites voor jou scannen door alle sites even te controleren tegen een lijst op hun servers. Dit is de reden dat autonomiteit en open source voorvechter Richard Stallman open source software propagandeert waarin iedereen (met voldoende technische kennis) code kan controleren. Maar het zou ook kunnen inhouden dat speciale partijen toegang krijgen tot code van partijen die gesloten software maken en een verificatie doen van de veiligheid op basis van wat er in de code staat en wat er door het bedrijf als gesloten software wordt aangeboden aan de consument.
Software staat in dienst van de gebruikers. Gebruikers mogen zaken van software verlangen. Andersom bij voorkeur niet.
Vond je dit leuk, volg me op Mastodon, voeg die RSS, euh ATOM feed toe aan je feedreader, of schrijf je hieronder in op mijn nieuwsbrief.
Dit artikel van murblog van Maarten Brouwers (murb) is in licentie gegeven volgens een Creative Commons Naamsvermelding 3.0 Nederland licentie .