JamHard
Prepper goeroe
De laatste tijd wordt er steeds meer gesloopt aan het fundament van onze privacy en daarbij horende security met "de strijd tegen terrorisme", met als gevolg dat de ene na de andere draconische wet en regelgeving door de strot word geduwd.
Hoewel e.e.a. voor mij lang geleden is en weer opgerakeld dient te worden tracht ik hier toch wat wegwijs te bieden, zodat er een begin gemaakt kan worden met jezelf in bescherming te nemen.
In de ideale wereld, waarin we goed in de financiën/middelen zitten zouden we zelf ons systeem kunnen (laten) bouwen naar onze wensen die in de volgende opties voorzien om je online privacy en security zo goed mogelijk te waarborgen.
Beginnend bij het kiezen van vrije hardware... Ofwel, hardware die niet afhankelijk is van "propriëtary" (patenthoudende) drivers, zodat we deze laag (die voorheen BIOS genoemd werd en is vervangen door (U)EFI) kunnen voorzien van Libreboot. Waardoor we in de beginlaag al gelijk "eigen" controle hebben over de componenten. Eenmaal gebouwd, dient deze computer voorzien te worden van Software om de boel aan te sturen en dus te laten doen wat JIJ wil... Door dat te bereiken dien je ook hier weer verzekerd te zijn van het gegeven dat deze OS je die vrijheid bied en dus automatisch uitkomt bij FLOSS, omdat je zoals reeds hierboven omschreven toegang hebt tot de broncode.
Nu zou je zeggen door alleen daarop te focussen voldoening te kunnen behalen door je te beperken op OSS,... maar dit dekt de lading niet bepaald.
Door dit gegeven is je privacy dan ook al gelijk 'n stuk beter gewaarborgd, maar dit houdt niet in dat je nu lekker onderuit kunt zitten, want we zijn nog niet klaar.
Naast privacy dienen we ook te kijken naar security...
Vandaar de keuze voor QubesOS als vaste installatie. Deze maakt gebruik van virtualisatie techniek, die ervoor zorgt dat elke applicatie die word aangesproken in een virtuele omgeven (zandbak) terecht komt, waardoor de kans dat een kwaadwillende d.m.v. bv. een exploit uit de applicatie kan breken en toegang kan krijgen tot je hoofdsysteem.
Soortgelijke technieken gaan ook op voor CopperheadOS voor de smartphone.
De nadelen van bovenstaande oplossingen zijn dat je redelijk goed in de financiën dient te zitten, want de benodigde hardware om volledig vrije software te kunnen draaien heeft een behoorlijk prijskaartje.
4 a 5 duizend euro voor een moederbord met processor en geheugen, want ook het geheugen moet je al snel over minstens 6-8 GB beschikken om fatsoenlijk te kunnen werken met virtualisatie,... dit is nog zonder gamen in beschouwing te nemen.
Zo ook voor de smartphone, al zijn de kosten daar iets minder voor, omdat je daar niet echt de keuze hebt om dit op te bouwen van volledig vrije hardware en dus al gelijk een compromis dient te maken om die te blijven gebruiken en CopperheadOS ook nog maar voor 'n paar modellen beschikbaar is.
Op naar de realistische wereld...
Hoewel we niet alles op alles kunnen zetten,... althans, niet in een keer. Kunnen we al wel een goede start maken door onszelf te bewapenen.
Voor de basis taken maak ik hier gebruik van een computer die 5 jaar oud is en een laptop van inmiddels 10 jaar oud. Hoewel ik deze niet van de hardware laag af kan voorzien van FLOSS, kan ik dat wel op voor...
Het aansturingssysteem (Operating System = OS)...
Hierbij is mijn keuze uitgegaan naar Debian GNU/Linux, daar deze zich hard inzet voor FLOSS, maar wel rekening houd met mensen die niet in een "ideale wereld" leven en dus wat patenthoudende drivers (blobs) in de kernel toe laat, zodat in je in ieder geval je hardware kan gebruiken en pakketbronnen kunnen worden ingeschakeld voor als je voor bepaalde zaken ondersteunende (contrib) en/of niet vrije (non-free) software nodig zou hebben om bv. mp3 te beluisteren of 'n DVD te kunnen bekijken,... iets dat met enkel vrije software niet mogelijk is,... DVD's zijn vrijwel altijd voorzien van DRM.
Als je gaat surfen op het web, dan gebruik je een browser en deze browser geeft een heleboel informatie over je vrij,... (meta-)data,
Op basis van die (meta-)data kan er een vingerafdruk van je gemaakt worden, waarop ze je kunnen volgen over web.
Om je hier tegen te wapenen zou je bv. gebruik kunnen maken van de tor-bundel, dit is een aangepaste Firefox-browser met tor-geïntegreerd.
Mocht je geen tor kunnen/willen gebruiken, dan kun je gebruik maken van bv. een goede VPN dienst. (kies er wel een die je er geen log files op nahoud)
Zelf gebruik ik tijdens sessies zonder tor een "gewone" Firefox browser, echter wel een die alsnog behoorlijk aangepast is om een zo klein mogelijke vingerafdruk achter te laten.
Buiten de nodige aanpassingen in de "about:config" pagina, heb ik er dan ook nog de add-ons https-everywhere en no-script bij draaien.
De instellingen van no-script heb ik overgenomen uit de tor-browser en hieronder de zaken die ik aangepast heb in de "about:config" pagina om de betreffende score te verkrijgen.
Zoals te zien op de afbeelding waar ik geen beveiliging voer, is mijn browser uniek onder de ruim 195 duizend geteste browsers en met de beveiliging aan komt de vingerafdruk van mijn browser zo'n 2844 keer voor in die betreffende data-set
Kijkend naar het aantal internetgebruikers wereldwijd was dit in bv 2015 3,2 miljard.
Als we dit doortrekken op het totaal aantal gebruikers dan zouden we kunnen stellen dat de vingerafdruk van mijn browser in onaangepaste vorm zo'n 16.355 keer voor komt
Met de aangepaste versie is dit echter zo'n 46.518.389
Email...
Hoewel ik zelf vrijwel geen email gebruik, kun je je hier ook nog redelijk bewapenen door gebruik te maken van encryptie door bv GnuPG
Hiermee creëer je een set, waarvan een publiek (slot) en een privé (sleutel), door het slot van je correspondent aan je te verzenden email toe te voegen is hij/zij de enige die dat slot kan openen, omdat die de sleutel in "handen" heeft. Andersom voegt iemand jouw publiek slot toe aan de te versturen email, waardoor jij de enige bent die dit slot kan openen.
Door vervolgens ook nog gebruik te maken van een betrouwbare provider, kun je dit redelijk afgeschermd houden voor de grote graaiers als BIG-DATA bedrijven (Amazon, Apple, Google, Facebook, Microsoft, Yahoo e.d.) en Inlichtingendiensten.
Deze volgorde (buiten de opsomming van bedrijven die in alfabetische volgorde staan) is bewust zodanig gehanteerd, daar de inlichtingendiensten maar een fractie aan data in bezit hebben t.o.v. de private bedrijven. Hoewel de inlichtingendiensten wel toegang kunnen bemachtigen tot die data van de private bedrijven, zijn zij echter wel "enigszins" gehinderd door wetgeving (voor zover zij zich hieraan houden).
Wat je vrijwel direct al zoveel mogelijk kunt gaan inperken is de data die private bedrijven tot hun beschikking krijgen, daar de meest verkregen data door mensen ZELF word aangeleverd. Dat zijn dan al twee vliegen in een klap!
Berichten versturen...
Velen, waaronder ikzelf maken gebruik van bericht-diensten, echter is het in deze kiezen tussen kwaden en ontkom je er niet aan om compromissen te maken.
De meeste mensen zullen gebruik maken van Whatsapp, maar om dat ik persoonlijk Facebook niet verder vertrouw dan dat ik het zie, verkies ik om hier zo min mogelijk gebruik van te maken. Een tegenhanger van Whatsapp is Telegram, die weliswaar een afwijkend encryptie protocol hanteert voor de reguliere chat tussen mensen, maar deze wel de mogelijkheid geeft om een sterke end-2-end encryptie te voeren tussen twee individuen. Verder gebruik ik Signal nog om daar waar nodig zowel Whatsapp en Telegram het hoofd te bieden.
Waarom drie diensten? zul je je afvragen... Om de dood eenvoudige reden dat ondanks iets end-2-end versleuteld zal zijn, er alsnog meta-data over blijft om te analyseren en ik die dan liever zoveel mogelijk verspreidt.
Nu zal van die drie diensten waarschijnlijk Signal het meest veilig zijn, waarna Whatsapp en Telegram komen, maar over alle drie valt er wat te zeggen.
Reguliere chat zal ik trachten over Telegram te voeren.
Meer discutabele zaken zal ik communiceren over Signal of SecretChat van Telegram, e.e.a. ook afhankelijk van wat mijn gesprekspartner ter beschikking heeft.
Bellen doe ik over het algemeen op de gangbare manier, maar bij discutabele zaken tracht ik dit via face2face te doen en indien niet mogelijk staat de optie van Signal open.
Voor de zaken die ik in geen enkel opzicht over de lijn wil communiceren zal ik dit face2face doen.
Uiteraard is er ook nog het langer bekende gebruik van IM (Instant Messaging), die ook met wat aanpassingen versleuteld kan plaatsvinden met bv. OTR (Off The Reccord), via het programma pidgin bv., maar zoals de benaming al doet vermoeden zit hier een keerzijde aan,... dit werkt enkel in real-time. Ergo, je dient beiden tegelijk online te zijn, wat weer andere implicaties met zich mee brengt.
Je zal dit vooraf moeten afspreken, indien je dit d.m.v. een bericht doet, is er een verband te leggen en tijdens een OTR gesprek zijn beiden ook aan elkaar te koppelen m.b.v. meta-data en data-koppeling.
Denk ook aan:
Voor onderweg...
Gebruik ik Tails van het Tor Project
Dit is een Live aansturingssysteem gebaseerd op Debian GNU/Linux dat zich volledig in het werkgeheugen laadt van de betreffende computer en is o.a. vanaf DVD en USB op te starten met tevens de mogelijkheid om een "persistence" volume (als extra USB indien gekozen voor de DVD, of als extra partitie op dezelfde USB) te benutten, zodat je bv. instellingen en eventueel wat documenten mee kan nemen voor onderweg, daar dit volume tevens beveiligd is, zal dit niet zo snel inzichtelijk zijn voor ongenode gasten.
Bij deze wil ik dan nog duidelijk stellen dat ik zeker niet alle kennis in pacht heb en zie dan ook graag dat de aangedragen methodes waar nodig beargumenteerd en aangevuld gaan worden. Hetgeen hier uiteengezet is om een start te maken een ieder te helpen zich tegen het gegraai te bewapenen.
Hoewel e.e.a. voor mij lang geleden is en weer opgerakeld dient te worden tracht ik hier toch wat wegwijs te bieden, zodat er een begin gemaakt kan worden met jezelf in bescherming te nemen.
In de ideale wereld, waarin we goed in de financiën/middelen zitten zouden we zelf ons systeem kunnen (laten) bouwen naar onze wensen die in de volgende opties voorzien om je online privacy en security zo goed mogelijk te waarborgen.
Beginnend bij het kiezen van vrije hardware... Ofwel, hardware die niet afhankelijk is van "propriëtary" (patenthoudende) drivers, zodat we deze laag (die voorheen BIOS genoemd werd en is vervangen door (U)EFI) kunnen voorzien van Libreboot. Waardoor we in de beginlaag al gelijk "eigen" controle hebben over de componenten. Eenmaal gebouwd, dient deze computer voorzien te worden van Software om de boel aan te sturen en dus te laten doen wat JIJ wil... Door dat te bereiken dien je ook hier weer verzekerd te zijn van het gegeven dat deze OS je die vrijheid bied en dus automatisch uitkomt bij FLOSS, omdat je zoals reeds hierboven omschreven toegang hebt tot de broncode.
Nu zou je zeggen door alleen daarop te focussen voldoening te kunnen behalen door je te beperken op OSS,... maar dit dekt de lading niet bepaald.
- OSS = Open Source Software
- FLOSS = Free/Libre Open Source Software
Door dit gegeven is je privacy dan ook al gelijk 'n stuk beter gewaarborgd, maar dit houdt niet in dat je nu lekker onderuit kunt zitten, want we zijn nog niet klaar.
Naast privacy dienen we ook te kijken naar security...
Vandaar de keuze voor QubesOS als vaste installatie. Deze maakt gebruik van virtualisatie techniek, die ervoor zorgt dat elke applicatie die word aangesproken in een virtuele omgeven (zandbak) terecht komt, waardoor de kans dat een kwaadwillende d.m.v. bv. een exploit uit de applicatie kan breken en toegang kan krijgen tot je hoofdsysteem.
Soortgelijke technieken gaan ook op voor CopperheadOS voor de smartphone.
De nadelen van bovenstaande oplossingen zijn dat je redelijk goed in de financiën dient te zitten, want de benodigde hardware om volledig vrije software te kunnen draaien heeft een behoorlijk prijskaartje.
4 a 5 duizend euro voor een moederbord met processor en geheugen, want ook het geheugen moet je al snel over minstens 6-8 GB beschikken om fatsoenlijk te kunnen werken met virtualisatie,... dit is nog zonder gamen in beschouwing te nemen.
Zo ook voor de smartphone, al zijn de kosten daar iets minder voor, omdat je daar niet echt de keuze hebt om dit op te bouwen van volledig vrije hardware en dus al gelijk een compromis dient te maken om die te blijven gebruiken en CopperheadOS ook nog maar voor 'n paar modellen beschikbaar is.
Op naar de realistische wereld...
Hoewel we niet alles op alles kunnen zetten,... althans, niet in een keer. Kunnen we al wel een goede start maken door onszelf te bewapenen.
Voor de basis taken maak ik hier gebruik van een computer die 5 jaar oud is en een laptop van inmiddels 10 jaar oud. Hoewel ik deze niet van de hardware laag af kan voorzien van FLOSS, kan ik dat wel op voor...
Het aansturingssysteem (Operating System = OS)...
Hierbij is mijn keuze uitgegaan naar Debian GNU/Linux, daar deze zich hard inzet voor FLOSS, maar wel rekening houd met mensen die niet in een "ideale wereld" leven en dus wat patenthoudende drivers (blobs) in de kernel toe laat, zodat in je in ieder geval je hardware kan gebruiken en pakketbronnen kunnen worden ingeschakeld voor als je voor bepaalde zaken ondersteunende (contrib) en/of niet vrije (non-free) software nodig zou hebben om bv. mp3 te beluisteren of 'n DVD te kunnen bekijken,... iets dat met enkel vrije software niet mogelijk is,... DVD's zijn vrijwel altijd voorzien van DRM.
- Dat mp3 een "standaard" is, wil nog niet zeggen dat dit vrij is. Om mp3 af te kunnen spelen heb je codec's nodig die de patenthoudende code uitvoeren om deze "standaard" te kunnen beluisteren. Deze zou je al kunnen vermijden door je muziek en filmpjes om te zetten naar ogg, dit is ook een standaard,... maar dan wel vrij!
- DRM = Digital Restriction Management,... echter propageren de bedrijven dit als Digital "Rights" Management, maar dit heeft helemaal niets met rechten te maken,... enkel dan voor de bedrijven die dit aanvoerden.
Als je gaat surfen op het web, dan gebruik je een browser en deze browser geeft een heleboel informatie over je vrij,... (meta-)data,
Op basis van die (meta-)data kan er een vingerafdruk van je gemaakt worden, waarop ze je kunnen volgen over web.
Om je hier tegen te wapenen zou je bv. gebruik kunnen maken van de tor-bundel, dit is een aangepaste Firefox-browser met tor-geïntegreerd.
- Tor zorgt voor de anonimiteitslaag en de aangepaste instellingen zorgen ervoor dat je op zoveel mogelijk op andere tor-browsers lijkt.
Mocht je geen tor kunnen/willen gebruiken, dan kun je gebruik maken van bv. een goede VPN dienst. (kies er wel een die je er geen log files op nahoud)
Zelf gebruik ik tijdens sessies zonder tor een "gewone" Firefox browser, echter wel een die alsnog behoorlijk aangepast is om een zo klein mogelijke vingerafdruk achter te laten.
Buiten de nodige aanpassingen in de "about:config" pagina, heb ik er dan ook nog de add-ons https-everywhere en no-script bij draaien.
De instellingen van no-script heb ik overgenomen uit de tor-browser en hieronder de zaken die ik aangepast heb in de "about:config" pagina om de betreffende score te verkrijgen.
- browser.cache.offline.enable = false
- browser.safebrowsing.malware.enabled = false
- browser.send_pings = false
- browser.sessionstore.max_tabs_undo = 0
- dom.battery.enabled = false
- dom.event.clipboardevents.enabled = false
- geo.enabled = false
- media.peerconnection.enabled = false
- media.peerconnection.turn.disable = true
- media.peerconnection.use_document_iceservers = false
- media.peerconnection.video.enabled = false
- media.peerconnection.identity.timeout = 1
- privacy.trackingprotection.enabled = true
- network.cookie.cookieBehavior = 1
- network.cookie.lifetimePolicy = 2
- webgl.disabled = true
- general.useragent.override
- Mozilla/5.0 (Windows NT 6.1; rv:45.0) Gecko/20100101 Firefox/45.0
- Alles uit:
- Alles aan:
Zoals te zien op de afbeelding waar ik geen beveiliging voer, is mijn browser uniek onder de ruim 195 duizend geteste browsers en met de beveiliging aan komt de vingerafdruk van mijn browser zo'n 2844 keer voor in die betreffende data-set
Kijkend naar het aantal internetgebruikers wereldwijd was dit in bv 2015 3,2 miljard.
Als we dit doortrekken op het totaal aantal gebruikers dan zouden we kunnen stellen dat de vingerafdruk van mijn browser in onaangepaste vorm zo'n 16.355 keer voor komt
Met de aangepaste versie is dit echter zo'n 46.518.389
Email...
Hoewel ik zelf vrijwel geen email gebruik, kun je je hier ook nog redelijk bewapenen door gebruik te maken van encryptie door bv GnuPG
Hiermee creëer je een set, waarvan een publiek (slot) en een privé (sleutel), door het slot van je correspondent aan je te verzenden email toe te voegen is hij/zij de enige die dat slot kan openen, omdat die de sleutel in "handen" heeft. Andersom voegt iemand jouw publiek slot toe aan de te versturen email, waardoor jij de enige bent die dit slot kan openen.
Door vervolgens ook nog gebruik te maken van een betrouwbare provider, kun je dit redelijk afgeschermd houden voor de grote graaiers als BIG-DATA bedrijven (Amazon, Apple, Google, Facebook, Microsoft, Yahoo e.d.) en Inlichtingendiensten.
Deze volgorde (buiten de opsomming van bedrijven die in alfabetische volgorde staan) is bewust zodanig gehanteerd, daar de inlichtingendiensten maar een fractie aan data in bezit hebben t.o.v. de private bedrijven. Hoewel de inlichtingendiensten wel toegang kunnen bemachtigen tot die data van de private bedrijven, zijn zij echter wel "enigszins" gehinderd door wetgeving (voor zover zij zich hieraan houden).
Wat je vrijwel direct al zoveel mogelijk kunt gaan inperken is de data die private bedrijven tot hun beschikking krijgen, daar de meest verkregen data door mensen ZELF word aangeleverd. Dat zijn dan al twee vliegen in een klap!
Berichten versturen...
Velen, waaronder ikzelf maken gebruik van bericht-diensten, echter is het in deze kiezen tussen kwaden en ontkom je er niet aan om compromissen te maken.
De meeste mensen zullen gebruik maken van Whatsapp, maar om dat ik persoonlijk Facebook niet verder vertrouw dan dat ik het zie, verkies ik om hier zo min mogelijk gebruik van te maken. Een tegenhanger van Whatsapp is Telegram, die weliswaar een afwijkend encryptie protocol hanteert voor de reguliere chat tussen mensen, maar deze wel de mogelijkheid geeft om een sterke end-2-end encryptie te voeren tussen twee individuen. Verder gebruik ik Signal nog om daar waar nodig zowel Whatsapp en Telegram het hoofd te bieden.
Waarom drie diensten? zul je je afvragen... Om de dood eenvoudige reden dat ondanks iets end-2-end versleuteld zal zijn, er alsnog meta-data over blijft om te analyseren en ik die dan liever zoveel mogelijk verspreidt.
Nu zal van die drie diensten waarschijnlijk Signal het meest veilig zijn, waarna Whatsapp en Telegram komen, maar over alle drie valt er wat te zeggen.
- Whatsapp deelt namelijk zijn gegevens met Facebook,... JA, zelfs na de vinkjes op de juiste plaatsen. Daarbij is Whatsapp gesloten software, dus valt die in mijn optiek dan ook af.
- Signal, hoewel geen info achterblijft of in ieder geval niet langer dan nodig om een bericht af te leveren houdt dus geen meta-data bij,... MAAR, ze vereisen wel Google frameworks en die zou dan wel toegang hebben tot de meta-data.
- Telegram heeft naar zeggen de zwakste encryptie (voor reguliere chat), maar dit tot op heden nog niet onomstotelijk bewezen. Ook deze zal naar alle waarschijnlijkheid meta-data bij houden, maar is in de verste verte te vergelijken met de grote spelers in het veld.
Reguliere chat zal ik trachten over Telegram te voeren.
Meer discutabele zaken zal ik communiceren over Signal of SecretChat van Telegram, e.e.a. ook afhankelijk van wat mijn gesprekspartner ter beschikking heeft.
Bellen doe ik over het algemeen op de gangbare manier, maar bij discutabele zaken tracht ik dit via face2face te doen en indien niet mogelijk staat de optie van Signal open.
Voor de zaken die ik in geen enkel opzicht over de lijn wil communiceren zal ik dit face2face doen.
Uiteraard is er ook nog het langer bekende gebruik van IM (Instant Messaging), die ook met wat aanpassingen versleuteld kan plaatsvinden met bv. OTR (Off The Reccord), via het programma pidgin bv., maar zoals de benaming al doet vermoeden zit hier een keerzijde aan,... dit werkt enkel in real-time. Ergo, je dient beiden tegelijk online te zijn, wat weer andere implicaties met zich mee brengt.
Je zal dit vooraf moeten afspreken, indien je dit d.m.v. een bericht doet, is er een verband te leggen en tijdens een OTR gesprek zijn beiden ook aan elkaar te koppelen m.b.v. meta-data en data-koppeling.
Denk ook aan:
- Zaken waar je 2-factor authenticatie kan toepassen, waardoor het een stuk lastiger word toegang te krijgen voor ongenode gasten, omdat je bv. een app op je smartphone draait, waardoor je smartphone nu tevens een hardware sleutel is geworden. Kies er bij voorkeur een die zowel op smartphone als desktop kan draaien en afgeschermd kan worden met ook weer een beveiliging, te denken aan wachtwoord/pincode. In de app geef je aan welke apparaten gemachtigd zijn, dus er is ook niet "zomaar" een apparaat toe te voegen.
- Verschillende wachtwoorden, al dan niet opgeslagen in een wachtwoord manager,... hoewel zo'n manager in mijn optiek ook weer zwakke schakel is, omdat je al je verschillende wachtwoorden gaat toevertrouwen aan een programma die dit afschermt met 1 wachtwoord, tenzij je hiervoor ook 2-factor authenticatie voor toe kunt passen.
Voor onderweg...
Gebruik ik Tails van het Tor Project
Dit is een Live aansturingssysteem gebaseerd op Debian GNU/Linux dat zich volledig in het werkgeheugen laadt van de betreffende computer en is o.a. vanaf DVD en USB op te starten met tevens de mogelijkheid om een "persistence" volume (als extra USB indien gekozen voor de DVD, of als extra partitie op dezelfde USB) te benutten, zodat je bv. instellingen en eventueel wat documenten mee kan nemen voor onderweg, daar dit volume tevens beveiligd is, zal dit niet zo snel inzichtelijk zijn voor ongenode gasten.
Bij deze wil ik dan nog duidelijk stellen dat ik zeker niet alle kennis in pacht heb en zie dan ook graag dat de aangedragen methodes waar nodig beargumenteerd en aangevuld gaan worden. Hetgeen hier uiteengezet is om een start te maken een ieder te helpen zich tegen het gegraai te bewapenen.
Toen mocht 'ie zijn eigen anti-diefstal accountje uiteraard overnemen, was die meteen ook geconfigureerd en sinds doet 'ie dat zelf met al z'n phones.