Achtergronden
Bronbescherming doe je zo
woensdag 29 juli 2009
Opnieuw werd recent duidelijk dat in ieder geval verslaggevers van De Telegraaf worden afgeluisterd. Ook een huiszoeking naar journalistiek materiaal is niet langer taboe in Nederland. Zowel journalisten als bronnen lijken vogelvrij te zijn verklaard. Gelukkig is beveiliging goedkoop en goed te regelen. De Journalist bekijkt de mogelijkheden.
Een paar simpele stappen kunnen de beveiliging van informatie fors verbeteren. Dat vermindert de zin van huiszoekingen en taps, terwijl bij verlies of diefstal van gegevens er minder serieuze schade ontstaat. Zelfbescherming begint bij het besef dat journalisten per definitie omgaan met informatie die interessant is. In veel gevallen nemen bronnen risico’s voor ons en dat geeft een morele plicht bewust met gegevens om te gaan. Het rondslingeren van documenten op bureaus of ze onnodig meenemen in tas of koffer kan niet. Behandel data als een staatslot waar net de jackpot op is gevallen.
Beveiliging begint bij de documenten zelf, die vaak op papier beschikbaar komen. Dat is onhandig, want in fysieke vorm zijn ze eenvoudig toegankelijk, nemen ruimte in en zijn makkelijk mee te nemen. Bij een huiszoeking liggen ze snel voor het grijpen. Na een paar jaar neemt de omvang zo toe dat het goed beveiligen tegen een lage prijs een probleem is. Verstandiger is het ze te scannen en de digitale kopie goed te bewaren. Na publicatie gaat onderbouwing met documenten vaak via de website en is papier niet nodig. Vernietig het dan ook als het kan!
Alleen een digitale kopie maakt data niet veilig. Alleen de vorm is immers veranderd. De meeste problemen zijn te voorkomen door te zorgen dat computers verschoond blijven van virussen, spyware en andere programmatuur die onbevoegden toegang tot uw informatie geeft. Een grote stap is het trouw installeren van de updates op software en het gebruik van anti-virusprogrammatuur. De overheid geeft op de website van het programma Digibewust nuttige tips om de risico’s te beperken. Schrijf u ook in voor de Waarschuwingsdienst, zodat u bij ernstige beveiligingslekken gratis een e-mail of SMS-bericht krijgt. De meeste problemen treden op als er zwakheden in programmatuur worden gevonden.
Daarnaast verdient de computer met gevoelige documenten een meer nauwkeurige behandeling als een reguliere pc. Gebruik alleen de strikt noodzakelijke software, zodat het risico op zwakheden minimaal is. Vooral spyware blijft een populaire manier om toegang tot andermans documenten te krijgen. Spelletjes, experimentele applicaties of programma’s van een niet vertrouwde bron horen niet op gevoelige systemen thuis. Werk voor vertrouwelijke projecten met een aparte computer als het maar enigszins kan. Ook internetten moet tot het absolute minimum terug gebracht om geen ellendige software binnen te halen.
Door deze stappen zijn de gewone risico’s fors minder, maar de informatie is nog niet veilig. Als de computer in verkeerde handen valt zijn de documenten gewoon leesbaar. Een goede bescherming is daarom de inzet van versleuteling. Dat klinkt ingewikkeld, maar hoeft het niet te zijn. In Apple’s Mac OS X zit standaard FileVault, waarmee met een druk op de knop de home-directory te versleutelen is. Ook Microsoft Windows Vista in de Enterprise en Ultimate versie biedt standaard BitLocker, waarmee hele schijven te versleutelen zijn. Voor veel gevallen is dat een voldoende bescherming, maar onduidelijk blijft of dit afdoende is om een overheid buiten de deur te houden.
Wie op zeker wil spelen kan gebruik maken van het gratis TrueCrypt. Met de programmatuur kunnen hele schijven worden versleuteld, waardoor het niet mogelijk is zelfs de computer maar op te starten zonder dat een wachtwoord wordt ingegeven. Ook een backup-schijf of een USB-stick kan hiermee worden dichtgetimmerd. Wie het wachtwoord niet kent, komt er niet in. Een spannende toevoeging onder Windows is de mogelijkheid om de schijf in stukken te delen en een complete kloon van het hele systeem te maken. Afhankelijk van het wachtwoord start of de beveiligde normale omgeving op of de omgeving met de gevoelige documenten. Zelfs wanneer een journalist wordt gedwongen zijn code af te geven, is er geen spoor van gevoelige documenten of de verborgen omgeving te vinden. (Het verdient dan wel de voorkeur om dit besturingssysteem ook te gebruiken voor normale werkzaamheden)
Truecrypt helpt Apple gebruikers nog niet bij het versleutelen van de opstartschijf en zij moeten terugvallen op commerciële software van bijvoorbeeld PGP. Dat timmert niet alleen schijven dicht, maar biedt ook de mogelijkheid de e-mailberichten te beveiligen. Voor alle software geldt wel dat een draaiende computer toegang tot bestanden geeft. Als er niet wordt gewerkt moet de computer worden uitgezet en niet in de slaapstand worden geplaatst.
Versleuteling kan ook helpen om e-mail en telefonie te beveiligen tegen een tap. Dankzij internetbellen is dat eenvoudig te regelen. Zo biedt Skype standaard versleuteling in gesprekken, maar experts twijfelen of Skype geen achterdeuren heeft. Om op zeker te spelen kan een concurrerende dienst als Gizmo Project uitkomst bieden. Dit lijkt sterk op Skype, maar heeft als voordeel dat er hoogwaardige beveiliging toe te voegen is. Het Zfone Project helpt bij het ontdekken als iemand toch probeert tussen beide partijen te zitten. Ook deze software is gratis.
Voor e-mail is het handig berichten met PGP te versleutelen. Naast de commerciële versie biedt GnuPG een gratis oplossing. Om dit in te zetten moeten er digitale sleutels tussen zender en ontvanger worden uitgewisseld. Dat vergt een kleine leercurve, waarna de privacy met sprongen omhoog gaat. Benut dan de software maximaal, zodat het een levensstijl wordt. Voor een onderschepper is het dan ook onduidelijk of dit nu een interessant bericht is of juist niet.
Versleuteling is een onmisbaar hulpmiddel in beveiliging. In Nederland hoeven we niet tegen onszelf te getuigen en kunnen bijna nooit gedwongen worden de wachtwoorden te geven. Wie de moeite neemt zichzelf te beveiligen voorkomt niet alleen ellende, maar maakt ook naar bronnen duidelijk een betrouwbare zakenpartner te zijn. Een volgende telefoontap of huiszoeking zal dan ook fors minder aantrekkelijk zijn, want de overheid krijgt wel het gezeur maar niet de gezochte informatie. De journalistiek kan ondertussen zijn werk weer doen.
Tips
1 Wees bewust van de waarde van informatie en de eigen verantwoordelijkheid
2 Werk zo min mogelijk op papier
3 Bewaar gevoelige gegevens zo min mogelijk op papier
4 Neem alle basisstappen voor een goed beveiligde computer
5 Kies een losse computer als het enigszins kan en beperk het gebruik
6 Versleutel de harde schijf, de telefoongesprekken en e-mail
7 Gebruik versleuteling ook voor niet-gevoelige zaken, maak het een levensstijl
Handige sites
Digibewust
Gizmo
GnuPG
PGP
Skype
Truecrypt
Waarschuwingsdienst
Zfone Project
De Telegraaf
Op 18 juni j.l. viel de Rijksrecherche de woning van Telegraaf-journaliste Jolande van der Graaf binnen. Aanleiding voor de inval was de berichtgeving van de journaliste over de inlichtingendienst AIVD. Eerder waren al twee mensen aangehouden, onder wie een AIVD-medewerker, die werden verdacht van het lekken van informatie. In de woning van Van der Graaf werden mogelijk staatsgeheime stukken aangetroffen. Het publiceren van staatsgeheime stukken is strafbaar. De rechtbank in Haarlem oordeelde vorige week in een kort geding dat de huiszoeking terecht was. De journaliste “hoort niet te beschikken over staatsgeheime stukken”, aldus de rechtbank. De onderzoeksrechter in Den Haag moet bepalen of de inbeslaggenomen documenten inderdaad staatsgeheime informatie bevat. De gegevens liggen nu nog verzegeld in een kluis. In een tweede kort geding heeft de rechtbank in Amsterdam korte metten gemaakt met het afluisteren van Jolande van der Graaf, hoofdredacteur Sjuul Paradijs en adjunct-hoofdredacteur Joost de Haas door de AIVD. Van der Graaf moet echter wel binnen een maand een klacht indienen bij de Commissie van Toezicht op de Veiligheidsdiensten. De AIVD moet het afluisteren staken tot die commissie uitspraak heeft gedaan. Ook heeft de rechtbank bepaald dat de AIVD de informatie die zij al heeft verkregen niet mag gebruiken of over mag dragen aan het openbaar ministerie. Beide partijen procederen verder.
5 reacties
1. door Martin, 31 juli 2009, 08:30
“Truecrypt helpt Apple gebruikers nog niet bij het versleutelen van de opstartschijf en zij moeten terugvallen op commerciële software van bijvoorbeeld PGP.” Wat een onzin! Zoek het anders eerst uit. OSX heeft gewoon ingebouwd, gratis dus, AES-128 versleuteling. Hoef je alleen maar te activeren: http://www.apple.com/sg/macosx/features/filevault/. Verder kan je natuurlijk een wachtwoord op accounts zetten bij het opstarten, maar je kan ook een Open Firmware wachtwoord instellen: http://support.apple.com/kb/HT1352?viewlocale=nl_NL. Allemaal zonder software van derden te downloaden dus. Niet iedere Mac-gebruiker zal dit weten. Dat maakt het extra kwalijk dat ze niet op het goede spoor worden gebracht, maar op het verkeerde been worden gezet.
2. door Brenno de Winter, 31 juli 2009, 17:54
@Martin nee hoor geen onzin. Filevault crypt niet de hele harde schijf en dus blijven er mogelijk nog sporen achter. In de beperkte ruimte ging het vooral om het versleutelen van de *hele* schijf. Dus computer in handen dan heb je nog niets als uitgangspunt. Ik heb een Mac, heb het uitgezocht en het is niet voldoende. Sorry. Filevault kan een stuk helpen. Een hele computer crypten is voor dit doel beter.
3. door Rik, 4 augustus 2009, 17:12
Brenno… serieus.
1) De gerichte zoekactie heeft te maken met het publiekelijk maken van staatsgeheimen. Iets heel anders als jouw ‘bronnen’ en werkzaamheden.
2) ZO’n AIVD doet dat alleen indien daar noodzaak voor is en er toestemming voor wordt gegeven…
3) Als je denkt dat deze maatregelen daar enig effect op zouden hebben dan heb je ook een plaat voor je hoofd (in mijn ogen). Dit gezien al deze ‘technieken’ een eitje zijn voor een club als de AIVD.
4. door G. Flater, 5 augustus 2009, 15:19
@Rik:
1) In het bovengenoemde geval ging het inderdaad om staatsgeheimen. Maar wie garandeert ons dat er niet nog (veel?) meer journalisten worden afgeluisterd? En we hebben ook nog andere tapdiensten dan alleen de AIVD. Zo heeft de KLPD in elk geval 2 tapkamers in Driebergen en Epe. En dan hebben we ook nog de MIVD. En wie weet wat voor ongure diensten er nog meer actief zijn. Er gaan geruchten dat bijvoorbeeld Gladio toch blijkt te bestaan.
2) Wie geeft de AIVD toestemming? Waar vindt de controle plaats? Wie bepaalt of er niet toch nog andere mogelijkheden zijn?
3) Graag zou ik een linkje naar een artikel zien waarin dat bevestigd wordt. Ik denk dat er wereldwijd meer wetenschappers (!) bezig zijn met het proberen encryptie-algoritmes te ‘kraken’ dan het totale personeelsbestand van bijvoorbeeld de AIVD.
5. door Rik, 5 augustus 2009, 18:04
@Guust:
1) Als ze afluisteren hebben ze daar een reden voor. Journalisten die niets raars uitspoken komen niet eens in beeld als het goed is. Dat ‘alle’ journalisten zouden worden afgeluisterd is natuurlijk kolder, die capaciteit is er niet. Wie zou men dan wel- en wie niet moeten afluisteren? (men zal dan moeten gaan selecteren op welke gronden??). Deze journalisten zijn bezig geweest met het runnen van een informant binnen een veiligheidsdienst, als iets strafbaar zou moeten zijn is dat het wel.
Gladio bestond alleen in Italië, hier had het een hele andere naam, een hele andere oorsprong en hele andere doelstellingen. Gladio is opgeheven en wie weet, wie weet bestaat er nog wel zoiets (het zou in mijn ogen verstandig zijn).
2) Goedkeuring door een minister, rechter of weet ik veel wat voor persoon die dat normaal doet. Dat zal verschillen per organisatie.
3) Op het moment dat een 256AES gekraakt is (ergens op de wereld), gaat die kennis natuurlijk razendsnel rond binnen dit soort kringen. Zo met alle ‘gebroken’ algoritmes. Los daarvan hebben we in Nederland erg veel kennis op dat gebied in bedrijfsleven en op universitair gebied. Deze stellen dit met liefde ter beschikking aan de overheid (logisch).
Over artikeltjes: er zijn er honderden, ik neem aan dat je zelf ook kunt Googlen.