Je wordt in de gaten gehouden. We bieden middelen om uw privacy te beschermen.

Het kiezen van de juiste Messenger

Gepubliceerd door: Dan Arel
Vertaald door: SeemsLegit
Geplaatst op: 29 maart 2020

Een van de meest voorkomende vragen die gebruikers hebben als het gaat om privacy is over berichtendiensten. Het lijkt erop dat ze bijna allemaal een bepaald niveau van privacy of encryptie noemen om de gebruiker te verleiden zich aan te melden voor hun dienst, maar hoe weet u zeker dat u gebruik maakt van het meest veilige, privacy-vriendelijke platform?

Het antwoord ligt eigenlijk in iemands bedreigingsmodel, dat vaak een genegeerde stap is in het kiezen van alle privacy-gerelateerde apps en diensten, wat betekent dat veel gebruikers hun internet- en communicatie-ervaring beperken omdat ze denken dat ze de privacyinstellingen op Edward Snowden-niveau nodig hebben.

De waarheid is dat elke gebruiker moet beslissen wat zijn of haar privacydoelstellingen zijn. Is het uw doel om te voorkomen dat bedrijven u volgen, zich op u richten en profiteren van uw gegevens? Of probeert u communicatie te verbergen voor de overheid of de wetshandhaving, wat gebruikelijk is voor journalisten en activisten die hun bronnen of communicatie willen beschermen tegen de ogen van de overheid?

Als je eenmaal je doelen begrijpt, kun je beginnen te kijken naar boodschappers en hun voor- en nadelen, en het is belangrijk om te onthouden dat er geen perfecte oplossing is. Elke dienst, hoe veilig ook, kan worden gecompromitteerd, want aan het eind van de dag heb je te maken met andere mensen die je berichten kunnen screenen, kopiëren of doorsturen naar partijen die je niet van plan was om ze te zien. Het is dus ook belangrijk om te weten wie je berichten stuurt, hun sleutels te controleren en ervoor te zorgen dat je het grootste vertrouwen in hen stelt met de inhoud die je verstuurt.

Als het uw doel is om eenvoudigweg het volgen van uw bedrijf en het verzamelen van uw gegevens uit uw communicatie te vermijden, kunt u apps zoals Facebook Messenger en WhatsApp, beide services die eigendom zijn van Facebook en die gecodeerde berichten aanbieden (optioneel in Messenger), Facebook leest uw niet-versleutelde berichten en WhatsApp is het slachtoffer geworden van beveiligingsinbreuken.

Voor dit type gebruiker zijn uw opties veel ruimer, omdat u misschien meer bereid bent om uw e-mailadres of telefoonnummer te delen bij het aanmelden en u zich minder bezig hoeft te houden met metadata (daar komen we binnenkort op terug), en u wilt een boodschapper zoeken die gewoonweg niet uw inhoud of gedrag scant om het te verkopen.

Als uw doel is om meer massale door de staat gesponsorde bewakingsprogramma’s te omzeilen, zijn de bovengenoemde apps uit den boze, maar dat geldt ook voor vele andere.

Dit komt omdat als het gaat om deze apps, en andere zoals het, u niet de eigenaar bent van de encryptie-sleutels, de dienst doet, dus ze zijn in staat om uw berichten te ontcijferen, voor hun eigen gebruik, of voor het gebruik van overheidsfunctionarissen die daarom vragen. Dit is iets belangrijks dat u zult willen onthouden als u de boodschapper kiest die voor u geschikt is.

Zelfs iMessage van Apple, dat versleuteld is, is weliswaar veiliger dan het aanbod van Facebook, maar heeft toch de controle over de sleutels en kan indien nodig toegang krijgen tot je berichten. Apple verzamelt ook gegevens op basis van je gedrag, dus terwijl het gebruik van iMessage niet hetzelfde is als het overdragen van je gegevens aan Facebook, heb je nog steeds te maken met verschillende kwetsbaarheden op het gebied van privacy. Op Android gebruik je sms-berichten die nog minder veilig zijn en gemakkelijk kunnen worden gekaapt door iemand met net genoeg kennis van zaken.

Metadata

Een belangrijk aspect van messaging apps waar je zeker van moet zijn is wat voor soort metadata het blootlegt, wat gecodeerd is en wat niet.

Wire, een populaire gecodeerde messenger app is altijd bekritiseerd voor zijn beslissing om niet te versleutelen gebruikersmetadata, zoals de datum en tijd van de registratie, IP geografische coördinaten, en de datum en tijd van de oprichting, de maker, de naam en de lijst van deelnemers aan een gesprek.

Metadata kan worden gebruikt om je op een bepaalde locatie te plaatsen, met een bepaalde persoon te spreken en kan tegen je worden gebruikt door de wetshandhaving, zelfs als ze geen idee hebben en geen toegang hebben tot waar het gesprek over ging.

Apps zoals Signal of Wickr versleutelen metadata, waardoor de gesprekken tussen twee of meer partijen veiliger en moeilijker te volgen zijn voor individuele gebruikers.

Als het gaat om het vermijden van corporate data mining, zal uw metadata niet zo nuttig zijn, vooral als u een service gebruikt die niet profiteert van uw gegevens om te beginnen. Voor degenen die door de staat gesponsorde bewaking vermijden, kunnen metagegevens een moordenaar zijn.

Encryptie

Dit artikel gaat niet in op de complexiteit van de beste soorten end-to-end encryptie (E2EE), maar zorgt ervoor dat je boodschapper het heeft, dat moet worden besproken.

De populaire messaging app Telegram is hiervoor het meest onder vuur komen te liggen. Telegram zegt op hun homepage dat “Telegramberichten zwaar versleuteld zijn en zichzelf kunnen vernietigen”. Toch is deze bewering slechts gedeeltelijk waar. Ja, u kunt uw berichten op zelfvernietiging instellen, een geweldige privacy-functie voor sommigen, en ja, ze bieden wel versleuteling aan, maar wat ze de gebruikers niet vertellen is dat versleuteling niet standaard is ingeschakeld.

In een interview met Gizmodo zei Christopher Soghoian, Principal Technologist en Senior Policy Analyst bij de American Civil Liberties Union: “Er zijn veel Telegramgebruikers die denken dat ze op een [end-to-end] gecodeerde manier communiceren, wanneer ze niet omdat ze zich niet realiseren dat ze een extra instelling moeten inschakelen,” bleef hij zeggen dat terwijl hij blij is dat ze de codering aanbieden, het niet nuttig is als het is uitgeschakeld.

Apps zoals Signal, Keybase en Wickr bieden standaard E2EE aan. Minder populaire maar snel groeiende apps zoals Riot, bieden E2EE, maar net als Telegram, hebben het niet tot een standaardinstelling gemaakt, hoewel Riot heeft gezegd dat standaard encryptie op hun routekaart staat.

Ervoor zorgen dat uw gesprekken en metadata E2EE zijn, is een van de best practices die u kunt hebben bij het kiezen van een boodschapper.

Aanmeldingsproces

Als het gaat om uw doelen en bedreigingsmodel, zult u moeten beslissen hoeveel, indien van toepassing, informatie u bereid bent om dit bedrijf bij de inschrijving te geven. Hebben ze een telefoonnummer en of een SIM-kaart nodig? Hebben ze een e-mailadres nodig, of staan ze volledig anonieme aanmeldingen toe, en hoe anoniem is dat? Bewaren ze die informatie (onthoud de metagegevens) onversleuteld?

Het opgeven van uw telefoonnummer of e-mail zal voor velen geen probleem zijn, omdat elk goed privacybeleid zal aangeven dat ze het niet zullen gebruiken voor andere doeleinden dan waarvoor u toestemming heeft gegeven. Toch kan het zijn dat u voor degenen die door de staat gesponsord toezicht vermijden, een regelmatig wisselend nummer hebt, geen nummer, of dat u liever niet het risico loopt om die informatie op te geven. Hetzelfde geldt voor e-mail.

U zult dus een dienst willen vinden die aan deze behoefte voldoet. Terwijl Signal op dit moment de inschrijving zonder telefoonnummer aan het testen is, kunt u dat op dit moment niet doen. Riot, Wickr, veel XMPP diensten, vereisen niets anders dan het kiezen van een gebruikersnaam.

Source Code

Open source is misschien wel de meest gebruikte uitdrukking in alle privacy en veiligheid, en niet voor niets. Het is echt nuttig om de broncode van het product dat u vertrouwt te kunnen bekijken. Deskundigen kunnen op zoek gaan naar backdoors, lekken en andere bugs. Organisaties die ervoor kiezen om hun broncode te openen, doen te goeder trouw hun best om het vertrouwen tussen hen en de gebruiker te vergroten.

Toch kan open source ook uw opties beperken, alweer afhankelijk van uw bedreigingsmodel en doelstellingen. Signal, Wire en Keybase bieden allemaal open source repositories van hun applicaties, en soms zelfs van de serversoftware zelf.

Open source betekent ook niet veilig. Dit wordt vaak verkeerd begrepen, en mensen horen open source en gaan ervan uit dat het goed moet zijn. Kijk naar de applicatiecode die je wilt gebruiken, je hoeft die niet te kunnen controleren, maar zijn het wel anderen? Een open-source-app die niemand volgt, of waaraan niemand bijdraagt, is niet meer of minder veilig dan een gesloten-source-app.

Wickr, Threema en anderen zijn closed source. Ze bieden niet de mogelijkheid om de bron te controleren, maar dat sluit ook niet direct uit. Toen de Electronic Frontier Foundation (EFF) een vergelijkingstabel voor messenger apps had, kreeg Wickr 5 sterren. Dit betekent niet dat het perfect is voor iemand als Snowden, maar voor degenen die Facebook en Google vermijden, zou het een bruikbare optie kunnen zijn.

Het is ook belangrijk om te onthouden dat er geen manier is om te controleren of iemand altijd de broncode in zijn of haar repository gebruikt in de app of server die je downloadt in de Apple Store of Google Play. Als het gaat om dit, wordt de reputatie een belangrijke speler in je beslissing, net als het vertrouwen, dat we vervolgens zullen krijgen.

Als je niet zeker weet wat je hier moet doen, is het altijd een veilige gok om je te houden aan open source die een grote bijdrage levert en een sterke reputatie heeft. Het is altijd het beste om open-source-opties te gebruiken als ze beschikbaar zijn en alleen aan te bevelen als er geen bruikbare open-source-optie is. Dit is over het algemeen een goede manier om ook een messenger app te kiezen.

Eigendom & vertrouwen

Een vaak over het hoofd geziene, maar steeds belangrijker onderdeel van het kiezen van een veilige boodschapper is, wie is de eigenaar van het bedrijf dat uw dienst verleent? Wat zou de winst of het verlies van de verkoop van uw gegevens zijn en aan wie beantwoordt het bedrijf?

Wire verloor onlangs een groot deel van het vertrouwen en de status in de privacy wereld omdat ze stilletjes hun bedrijf verkochten en verhuisden naar de VS. Ze hebben ook delen van hun privacybeleid veranderd, waardoor het voor gebruikers moeilijker wordt om te vertellen wanneer Wire klantgegevens zou delen. Zij hebben dit alles gedaan terwijl zij nooit hun huidige gebruikers van dergelijke wijzigingen op de hoogte hebben gebracht, noch van de wijziging van het privacybeleid, noch van de verhuizing naar de VS.

Wire nam ook meer dan 8 miljoen dollar aan durfkapitaalfinanciering op. Dus nu wilden de gebruikers meer weten over wie de eigenaar was van hun gegevens en welke wettelijke rechten er met de verhuizing van Europa naar de Verenigde Staten veranderden?

Dit zijn vragen die we aan alle diensten moeten stellen. Wire heeft nu investeerders om te antwoorden op wie een rendement wil op hun miljoenen dollars.

Signaal aan de andere kant is een non-profit organisatie die niet afhankelijk is van investeerders en in plaats daarvan afhankelijk is van donaties, sponsoring en subsidies. Vanwege hun non-profit status in de VS moeten ze ook zeer transparant zijn over niet alleen waar het geld vandaan komt, maar ook hoe ze het uitgeven. Zo kunnen gebruikers zien waar het geld naartoe gaat en naar wie het gaat.

Matrix.org (de dienst die Riot gebruikt) heeft een vergelijkbaar bedrijfsmodel als Signal, gevestigd in het Verenigd Koninkrijk in plaats van de VS, ze reageren op donaties, partnerschappen en subsidies. Matrix.org wordt sterk ondersteund door New Vector, een venture capital gesteunde onderneming, maar Matrix.org is als non-profit organisatie transparant over haar uitgaven, inkomsten en invloeden.

Niet alle diensten zijn non-profit, en dat zou ze niet onmiddellijk moeten uitsluiten. U kunt ook hun financieringsdoelen volgen. Wire verloor zijn geloofwaardigheid omdat ze, in plaats van simpelweg te vertrouwen op de aanmeldingen van gebruikers, de volgende Skype for Business wilden zijn en een groter genoeg gebruikersbasis wilden opbouwen om de aandacht van de investeerders te krijgen. Ondertussen zijn apps zoals Wickr, terwijl ze voor de winst, transparant over het nemen van beperkte investeerders om duurzaam te worden op abonnementen.

Dit kan enige tijd duren, want het is belangrijk om te weten wie de investeerders zijn en wat de organisatiedoelstellingen zijn. Zullen ze uiteindelijk hun toevlucht moeten nemen tot data harvesting om zichzelf in stand te houden, als ze dat doen, en je besluit het platform te verlaten, laat je dan data achter die je niet in handen wilt hebben?

Het maken van uw keuze

Nu is het tijd om een boodschapper te kiezen en niemand kan dat voor je doen. Populariteit zal hier een rol moeten spelen, het heeft geen zin om je aan te sluiten bij de nieuwe up and coming messenger service als je er geen enkel contact mee hebt. Een van de redenen waarom Telegram zo populair is, is dat het ze gelukt is om meer dan 100 miljoen mensen te overtuigen zich aan te melden. Als u zich vandaag aanmeldt, ziet u waarschijnlijk een groep van uw vrienden daarbinnen. Het signaal ligt niet zo ver achter, en anderen halen het in.

Je zult moeten beslissen wie je vertrouwt, en wie je andere contacten vertrouwen, en dat alles vervolgens vergelijken met je doelen en je bedreigingsmodel. Hoeveel informatie ben je bereid te geven bij het aanmelden, zijn metadata van belang voor je bedreigingsmodel en is het waarschijnlijk dat de service die je kiest zichzelf verkoopt aan de hoogste bieder zodra er voldoende mensen zich aanmelden?

Het belangrijkste om te onthouden is dat er geen one size fits all is voor boodschappers, en dat elke gebruiker moet beslissen wat het beste voor hem of haar is. Als iemand een fanatieke WhatsApp of Facebook Messenger gebruiker is, is zelfs Telegram een stap in de goede richting. Maar als die gebruiker zich bezighoudt met meer dan alleen het doorgeven van gegevens aan Facebook, moet hij of zij wellicht kijken naar meer veilige opties.

Zorg ervoor dat u uw messenger-apps up-to-date houdt. U wilt niet ontdekken dat u bent gecompromitteerd omdat een bug die in versie 1 is gevonden, is opgelost in versie 2, maar u hebt niet de moeite genomen om uw apps te upgraden.

Een laatste advies is dat gebruikers ijverig moeten zijn en nooit zelfgenoegzaam moeten worden in hun beslissing. U moet bereid zijn om diensten te veranderen als de doelen en waarden van uw boodschapper van keuze veranderen op een manier die niet meer overeenkomt met de uwe. Zoek naar nieuws over verkopen, fusies of overnames die de organisatie in gevaar kunnen brengen.

Reageren

Reacties op deze blog zijn voor de veiligheid uitgeschakeld.
Wil je alsnog reageren op deze blog?
Gebruik dan één van de onderstaande knoppen.

Vertel het door en help je vrienden

Mobiel

           
           

URL en beschrijving kopiëren

Voor gemakkelijk kopiëren en plakken. Deel dit tekstfragment.

Doneer

Geen advertenties, geen Google Analytics, geen filialen, geen cross-site verzoeken.
privacy-tools.nl is een sociaal gemotiveerde website die informatie biedt voor het beschermen van uw gegevensbeveiliging en privacy.
Vertrouw nooit een bedrijf met uw privacy, maak altijd gebruik van encryptie.
-------------------------------------------------------------------------------------
Aangedreven door JohnTM | Site Index | Issues / Report / Suggesties| Privacybeleid | Over ons & Contact