Dit weekend kregen we het nieuws dat de veiligheidsdiensten van de Verenigde Staten vrijwel elk grote sociale netwerk aftappen voor privédata. Je foto's, videogesprekken, chats en Skype-gesprekken – vrijwel alles. Dit is iets wat de Piratenpartij al jaren zegt, maar andere politieke partijen tot gekke samenzweringstheorieën bestempelden. En nu hebben we dan de documenten, zwart op wit.Kort gezegd, de National Security Agency (NSA) in de Verenigde Staten had, en heeft, directe toegang tot praktisch elk sociaal netwerk in de afgelopen jaren, zelfs teruggaand tot 2007. Dit programma heet PRISM. Onder dit programma sturen deze internetdiensten vrijwillig privédata van hun gebruikers naar de NSA. Ofwel, als je gebruik maakt van:
– e-mail
– video of voice chat
– video's
– foto's
– opgeslagen data
– VoIP-gesprekken
– bestandsoverdracht
– video conferencing
– (en meer)
…van…
– Microsoft (incl. Hotmail, etc.), sinds 11 september 2007
– Google, sinds 14 januari 2009
– Yahoo!, sinds 12 maart 2008
– Facebook, sinds 3 juni 2009
– PalTalk, sinds 7 december 2009
– YouTube, sinds 24 september 2010
– Skype, sinds 6 februari 2011
– AOL, sinds 31 maart 2011
– Apple, sinds oktober 2012
…dan ben je afgeluisterd, en word je nog steeds afgeluisterd.
Dit nieuws is openbaar gemaakt door een klokkenluider, Edward Snowden, nadat onthuld werd dat de NSA telefoongegevens opeist van één van de grootste telecombedrijven in de Verenigde Staten, en waarschijnlijk van allemaal.
Anders gezegd, praktisch elke dienst die werkt onder het "vertrouw ons"-principe heeft je data naar met de STASI vergelijkbare veiligheidsdiensten gestuurd. Praktisch elke dienst. De enige opvallende afwezige in deze lijst is Twitter (maar Twitter gebruikt broadcastberichten – het is sowieso niet verstandig om gevoelige informatie op Twitter te schrijven).
Het PRISM-programma is ook niet uniek. Diverse Europese landen hebben een vorm van afluistering, waaronder Nederland. We zijn dan ook niet voor niets nog altijd wereldwijd kampioen telefoontaps. Deze instellingen delen onderling vrijuit de ruwe data die ze hebben, en omzeilen hiermee simpelweg de wettelijke restricties die er zijn tegen het wiretappen van de eigen bevolking. Ofwel, "Ik luister die van jou af als jij die van mij afluistert."
Dit weekend is dit nieuws praktisch opgeblazen. Het is iets waarvan de Piratenpartij al jaren meent dat aannemelijk was, en ondanks dat het een dieptrieste affaire betreft, kunnen we nu wel eindelijk onze aluhoedjes afdoen, en er nog meer harde feiten voor in de plaats bieden. Voorspelbaar genoeg zijn de eerder genoemde bedrijven al druk aan het schrijven om dit nieuws te ontkennen en/of te bagatelliseren.
Google, bijvoorbeeld, schreef in een statement aan The Guardian: "Google cares deeply about the security of our users' data. We disclose user data to government in accordance with the law, and we review all such requests carefully. From time to time, people allege that we have created a government 'back door' into our systems, but Google does not have a back door for the government to access private user data."
Het is vooral verbazingwekkend hoe zorgvuldig deze reactie is samengesteld: om de schijn te wekken dat de beschuldigingen verworpen worden, zonder ze daadwerkelijk te verwerpen. Er wordt dan ook niet gezegd: "wat er ons verweten wordt is gelogen."
Bijvoorbeeld, er kan een systeem gebruikt worden dat de NSA continu data stuurt vanaf de servers van Google, volledig in lijn met de documenten van de NSA, en dan is de verklaring van Google nog steeds net zo geldig (als Google data naar de NSA stuurt, in plaats van dat de NSA het opvraagt).
Microsoft – wiens motto "Privacy is our priority" is – was de eerste om zich het PRISM-programma te voegen in 2007. Aan de andere kant, Microsoft werd al niet veel meer vertrouwd, dus weinig verrassends op dat gebied.
Wat we hier echter van leren is iets wat internetvrijheidsstrijders al tijden weten en doen: als je wilt dat je data privé is, kun je er niemand mee vertrouwen. Niemand. Je moet er zelf voor zorgen dat je zelf je data versleutelt. Alleen dan kun je het onder beheer van iemand anders laten vallen. Een onversleuteld bestand op Dropbox, Google Drive, in je mail, enz., plaatsen, was en is het equivalent van het van de daken roepen.
Een systeem dat privacy vereist, maar gebouwd is op vertrouwen in een derde partij, is 'broken by design'.
Uiteindelijk kun je enkel systemen vertrouwen die gebouwd zijn op het wantrouwen van de gehele wereld (zoals bitcoin, nota bene), of systemen die fysiek onder je beheer zijn. Daarbij is 'fysiek' het sleutelwoord: virtuele servers "in de cloud" is niet voldoende, aangezien een beheerder van die cloud gemakkelijk je server kan betreden en alles wat je daar verwerkt kan lezen – en doorsturen naar wie ze willen. En zoals dit bericht laat zien, moet je er van uit gaan dat dit ook daadwerkelijk gebeurt. Om dezelfde reden is een eigen server in een datacentrum ook eigenlijk niet voldoende: de beheerder van dat datacentrum kan tevens fysieke toegang tot je computers geven wanneer en aan wie ze willen. (Vandaar dat de servers van de Piratenpartij bij één van onze vrijwilligers draaien, en volledig digitaal versleuteld zijn.)
Dit is de reden dat je Dropbox, Gmail, Skype, en vergelijkbare diensten niet kunt vertrouwen met gegevens die ook maar een beetje gevoelig zijn. Als je gevoelige data hebt, zul je je eigen servers moeten hebben voor de opslag en communicatie. Servers die fysiek onder je beheer zijn. Dit is de reden dat je een versleutelde SparkleShare of OwnCloud op je eigen servers moet kunnen hebben; waarom je een standaard versleutelde Mumble op je eigen servers moet kunnen draaien in plaats van Skype; waarom RedPhone vanaf je mobieltje beter is dan reguliere telefoongesprekken.
Het is al een kwestie van leven of dood op veel plaatsen in de wereld. Het zijn dan ook niet de wetten van vandaag waar je je zorgen om moet maken: alles wordt opgenomen en opgeslagen, en je onschuldige woorden van vandaag kunnen je over 30 jaar een hoop last opleveren onder een ander bewind.
Privacy is je eigen verantwoordelijkheid. Je kunt niemand vertrouwen.
En dat is niet zoals het moet wezen; daarom zijn Piratenpartijen nodig – wereldwijd. Niet iedereen heeft de technische kennis (of zin) om te leren hoe zijn data het best beveiligd kan worden. Het wordt er immers ook niet gemakkelijker op. Als Piratenpartij geloven we dat privacy een burgerrecht is: en hoewel het vandaag de dag anders blijkt te zijn, moeten mensen kunnen vertrouwen in hun overheid voor de bescherming van hun privacy. De Piratenpartij heeft inmiddels wereldwijd lokale raden, parlementen en het Europees Parlement geënterd: en samen kielhalen we de politici die deze misstanden goedkeuren van hun pluche en in de oceaan.
Deze week besteden we dieper aandacht aan het PRISM-programma, wat het precies is en wat de gevolgen voor ons in Nederland zijn, en plaatsen we simpele how-to's om je eigen privacy te kunnen behouden.
Nog een leuk verhaal: al deze afluister-praktijken zijn goedgekeurd door een geheime Amerikaanse rechter. Volgens sommigen is zo'n stiekeme waakhond genoeg voor onze privacy (Die US-rechtbank weigert geen enkel verzoek).
“Een systeem dat privacy vereist, maar gebouwd is op vertrouwen in een derde partij, is ‘broken by design’.”;
Als je het zo zegt klinkt het net alsof elke CA (certificate authority, trusted third party) een DigiNotar kloon is. En dus eigenlijk elke HTTPS-verbinding per definitie (ook de verbinding naar je internetbankieren) niet te vertrouwen is.
Ik vertel mezelf liever dat dat niet waar is hoor, dan slaap ik beter s’nachts.
De een-na-laatste alinea bevat op het eind wat piraatbeeldspraak die misschien beter wat genuanceerd kan worden voor de niet-piraatlezers. 🙂
Werdt met dt? Serieus?
Ontopic: Belachelijk natuurlijk! Die Amerikanen gaan steeds verder en ook hier in Europa gaat het deze kant op. We kunnen er als burgers nu nog iets aan doen voordat het vierde rijk zich heeft gevestigd en er geen weg meer terug is…
De Nederlandse overheid wil dit niet alleen graag, dit doen ze allang, en graag: we zijn het meest afgeluisterde volk ter wereld. Erger nog, we laten het aan de Israëli over om ons af te luisteren, en we zijn zo incompetent dat we geen flauw idee hebben wat ze doen. Daar werden in 2002 al Kamervragen over gesteld: https://zoek.officielebekendmakingen.nl/h-tk-20022003-1715-1719.pdf
De bid voor het VOLLEDIG tappen van AL ons internetverkeer (hoe ze dat in de praktijk gaan doen is maar de vraag) is naar wederom een Israëlisch bedrijf gegaan. Maakt het wel makkelijk voor in ieder geval de Israëlische geheime dienst, en misschien ook wel voor de Amerikanen, om ons af te luisteren. Wederom Kamervragen: https://zoek.officielebekendmakingen.nl/kv-229712.pdf