Inhoudsopgave:
Op dinsdag (7 maart 2017 als je aan het lezen bent voor de toekomst) hebben Wikileaks de Vault 7 CIA-bestanden uitgegeven. Deze gooiden een hoop informatie samen met enkele tweets over hoe journalisten werden verondersteld bang te zijn dat de CIA in ieders telefoon heeft getapt en dat gecodeerde berichten zijn gehackt. Dit leverde de verwachte resultaten op, waarbij woorden snel werden getypt om je te laten weten hoe alles is veranderd en dit is een vreselijk nieuw ding waar je bang voor moet zijn. Wikileaks is daar goed in; ze weten hoe ze een wortel moeten bengelen en mensen hun boodschap moeten laten verspreiden, ongeacht feiten of waarheid. PT Barnum zou het goedkeuren.
Maar na de tijd te hebben genomen om naar de claims te kijken en verder te gaan dan de hyperbool, zijn er enkele dingen die kunnen worden geleerd uit de Vault 7-bestanden. Ze zouden je bezorgd moeten maken, maar niet bang, wanneer je je telefoon gebruikt om iets te doen waarvan je niet zou willen dat de rest van de wereld het ziet.
Meer: Wat is codering?
Het goede nieuws is dat, ongeacht wat er wordt beweerd, veilige coderingsmethoden veilig lijken te zijn. WhatsApp, Telegram en Signal zijn populaire berichten-apps die end-to-end encryptie ondersteunen en werden door Wikileaks opgeroepen in verband met het gelekte materiaal. Nader onderzoek van de claims toont aan dat de daadwerkelijke codering niet is gekraakt. Deze apps verschijnen zelfs niet in een van de bestanden van de CIA bij naam, en de tools en trucs die in de gelekte documenten worden genoemd, zeggen niets over het "omzeilen" van de codering die door hen wordt gebruikt. In feite ondersteunt het allemaal hoe sterk de codering is en laat het zien dat Wikileaks gewoon snel en los met het nieuws speelde zoals ze geneigd zijn te doen.
Het voordeel van Vault 7 is dat de coderingsmethoden echt sterk zijn en dat we ze zouden moeten gebruiken.
Het begrip van Wikileaks dat je Android of iPhone niet veilig is, is hetzelfde type overdreven bewering dat op een bepaald niveau waar is, maar de waarheid net genoeg uitrekken om sensationeel te zijn. Er zijn tal van geldige tools om bekende beveiligingsproblemen voor Android en iOS te benutten, gedetailleerd beschreven in de lekken. Het grootste probleem is dat geen van hen nieuw is: het zijn dezelfde bedreigingen en kwetsbaarheden waar mensen zoals ik over praten als we zeggen dat u uw privacy wat serieuzer moet nemen. Sommige zijn gepatcht, sommige hebben nog nooit gewerkt zoals geadverteerd en bij de meeste is er iemand die je telefoon in handen heeft die op een computer is aangesloten. We moeten ons allemaal zorgen maken over deze dingen en daarom beweren we dat beveiligingspatches zo belangrijk zijn. Maar niets dat uitgelekt heeft, zou je meer bang moeten maken om je telefoon te gebruiken dan vorige week.
Het slechte nieuws uit de CIA-bestanden is hoe het beveiligingslandschap is veranderd. Waar surveillance vroeger een breed net uitstraalde en vervolgens bepaalde resultaten filterde voor een nadere blik, gebruiken mensen die willen weten wat er op je telefoon staat nu individueel gerichte methoden om erin te komen. Het maakt niet uit hoe je de good guys versus de bad guys definieert, wetende dat slimme mensen de taak hebben manieren te vinden om toegang tot je telefoon te krijgen, is een heel ander scenario dan een groep boeven die op Visa-kaartnummers op Yahoo! mailservers.
Dit is een probleem met de apparaatbeveiliging. Doe uw deel en eis dat de mensen die uw telefoon hebben gemaakt hetzelfde doen.
Iemand die de bescherming van een app als Signal moet omzeilen, moet een manier vinden om de app te vertellen dat ze dit mogen doen. Ze moeten in je telefoon inbreken en eruit zien, net alsof ze over je schouder keken terwijl je hem aan het lezen was. Dat betekent dat mensen zoals degenen die zonder hulp van Apple in een gecodeerde iPhone konden tikken, nu aan manieren werken om elke telefoon te kraken. Inclusief die van jou. Hoewel je misschien wel OK bent om te weten dat wetshandhavers in de telefoon van een crimineel kunnen komen, weet je dat deze methoden wijdverbreid zullen worden. Twee of meer mensen kunnen geen geheim bewaren en deze CIA-gelekte bestanden worden weergegeven.
Wat moeten we doen?
Dat is het, nietwaar? Ik betwijfel of iemand die dit leest een doelwit is van een drieletterige overheidsinstantie. Maar je hebt nog steeds recht op privacy.
Gelukkig is het advies dat we al hebben gehoord nog steeds de beste manier om het te doen. Gezond verstand dingen zoals het niet openen van bijlagen van mensen die u niet kent, nooit een bestand installeren van iemand die het niet zou moeten verspreiden en niet op willekeurige links klikken via URL-verkorters, tenzij u weet wie ze aan u geeft. Doe deze dingen, maar zet dingen een stukje hoger en doe ze ook echt. Als je nog een stapje verder wilt gaan, gebruik dan beveiligde berichtenservices voor sms en e-mail.
Gebruik deze apps voor echte privéberichten
Er is nog een ding dat we allemaal moeten doen: koop alleen telefoons gemaakt door bedrijven die om veiligheid geven. Als uw telefoon geen regelmatige patches krijgt om deze exploits te verminderen, koop dat merk dan de volgende keer niet. Telefoonfabrikanten geven alleen om winst, dus om ervoor te zorgen dat ze opletten, moet je een deuk in die winst maken.
Er is geen magic hacker-tool getrokken uit de Vault 7-bestanden en u hoeft niet paranoïde te zijn. Maar er is een plaats tussen niet zorgen en het dragen van een aluminiumfolie hoed, en dat is waar we moeten zijn.
Blijf Veilig.
