“Elke journalist moet weten hoe hij anoniem het web op kan”, zegt Arjan Kamphuis, IT-expert en activist op het gebied van online privacy. “Alleen al omdat hij anders mogelijk de scoop van z’n leven mist. Geen bron met serieuze informatie wil nog met een journalist praten die niet weet hoe hij een email versleutelt.”
Patrick Howell O’Neill, journalist bij het Amerikaanse online magazine The Daily Dot, over internetcultuur, beaamt dat. “Kennis over anonimiteit en cryptografie worden het komende decennium standaard. Als je als journalist die vaardigheden niet hebt, zul je bekend komen te staan als iemand die zijn bronnen niet kan beschermen”, zegt hij.
Maar waar begin je als leek op het gebied van internetveiligheid? Is het niet heel moeilijk om je sporen uit te wissen? Dat valt mee. Om je op weg te helpen, vijf basisvaardigheden die je als journalist moet hebben om veilig te internetten. Voor jezelf, én om je bronnen te beschermen.
Tip 1: Virtual Private Network
De term VPN ken je misschien omdat je er een gebruikt als je vanaf een privé-computer op het bedrijfsnetwerk wilt kunnen. Maar een Virtual Private Network is ook te gebruiken als veiligheidstool om je IP-adres te maskeren. Elk apparaat dat met het internet verbonden is, je laptop, printer of router, heeft namelijk een aantal IP-adressen, die jou identificeren en jouw locatie onthullen. Als je naar een louche site wil surfen, kun je dat het beste doen vanuit een koffietentje of instelling met een heel computernetwerk. Meeglurende entiteiten (overheden, hackers of boeven) kunnen dan het IP-adres van dat koffietentje of die instelling achterhalen, maar niet precies op welke pc dat werk gedaan wordt.
Maar dat is geen ideale situatie. Immers, in een koffietentje kan iemand gemakkelijk over je schouder mee gluren en als een kwaadwillend persoon op hetzelfde wifi-netwerk inlogt als jij, zijn je gegevens zo te achterhalen Journalist Maurits Martijn onderzocht hoe makkelijk het is om gegevens te onderscheppen van computer, tablets of smartphones die zijn ingelogd op een openbaar wifi-netwerk. Lees op De Correspondent zijn artikel..
Met een Virtual Private Network kun je het doen voorkomen dat je vanaf een ander IP-adres werkt, net als een anonieme proxy Een anonieme proxy is een manier om gebruik te maken van internet via een server die persoonlijke gegevens, zoals IP-adressen, zoveel mogelijk verborgen maakt. dat doet. Maar een VPN biedt iets extra’s: het legt een soort tunneltje aan tussen jouw computer en de server waar je je informatie ophaalt, waardoor niemand mee kan kijken. In landen waar populaire websites regelmatig geblokkeerd worden, zoals China, wordt VPN veel gebruikt om zulke websites toch te kunnen bezoeken.
Er bestaan bedrijven die een VPN-dienst aanbieden, zoals OpenVPN en ProXPN. Ze hebben vaak een gratis versie, waarbij je de mogelijkheid hebt één ander IP-adres te kiezen. Voor een klein bedrag per maand krijg je een grote hoeveelheid IP-adressen ter beschikking.
Je moet natuurlijk wel de bedrijven achter dit soort diensten vertrouwen. Zij weten immers precies wat jouw echte IP-adres is en wanneer je de dienst gebruikt, en welk maskerend IP-adres je gebruikt. In feite weten zij alles van je wat je internetprovider weet als je zónder VPN surft. Het is het meest veilig om je eigen VPN op te zetten, maar dat vereist behoorlijk wat technische kennis. Een andere optie is VPN te combineren met Tor (zie tip 2).
Tip 2: Tor Browser Bundle
Je kunt een stapje verder gaan door met de Tor-browser het internet op te gaan. Tor staat voor The Onion Router, een verwijzing naar de manier waarop je het internet rondgestuurd wordt.
Als je Tor start, wordt de data die je verzendt versleuteld en via een wirwar aan servers rondgestuurd tot je bij je eindpunt komt, de website waar je informatie zoekt. Bij elk knooppunt in die wirwar wordt er een laagje van de versleuteling verwijderd. Je data wordt als het ware verpakt in een soort ui en velletje voor velletje afgepulkt.
Tor is inmiddels gemakkelijk te downloaden en zeer gebruiksvriendelijk. De dienst is een stuk langzamer dan ‘normaal’ internet, omdat je langs al die knooppunten moet. Als je in Tor browst en je eigen IP-adres opzoekt, zul je zien dat je uit een willekeurige stad in een willekeurig land lijkt te komen, maar dat wel bekend is dat dat IP-adres een zogenaamde Tor Exit Node is. Dat is geen probleem: iemand die meekijkt, kan wel zien dat je Tor gebruikt, maar heeft geen idee wie je bent. En dat is uiteindelijk je doel.
Belangrijke bedenkingen
Maar er is een aantal dingen waarmee je rekening moet houden. Als je via Tor surft, zien websites eruit alsof het 1996 is. Weinig beeld en heel simpele opmaak. Dat heeft een reden: JavaScript wordt automatisch uitgezet, omdat het misbruikt kan worden om je ware IP-adres en locatie te onthullen. Zet dus nooit JavaScript aan in je Tor Browser, want daarmee kun je je anonimiteit om zeep helpen. Ook wordt het downloaden van bestanden via Tor afgeraden.
Daarnaast is de hele route binnen het Tor-netwerk versleuteld en dus veilig, maar jouw verbinding met het netwerk en het laatste stukje tussen de exit node en jouw bestemming zijn onbeveiligd. Iemand die data opvist uit beide openbare weggetjes kan via statistische analyse uitvinden wie je bent.
Het eerste probleem, de onbeveiligde informatie die jij naar het Tor-netwerk stuurt, kun je oplossen door eerst een VPN-verbinding te maken en daarna via Tor te surfen. Het verkeer van de exit node naar jouw bestemming kun je niet beveiligen tegen inbraak. Zorg dus dat daar nooit persoonlijke informatie (zoals je naam of e-mailadres) in staat, tenzij je mailencryptie gebruikt (zie tip 3).
Tip 3: E-mailencryptie
Als je e-mailt met een (potentiële) bron en je wilt niet dat iemand anders zo’n e-mail kan lezen, gebruik je mailencryptie (ook wel versleuteling genoemd). De methode die je daarvoor gebruikt is PGP: Pretty Good Privacy.
Hoe e-mailencryptie werkt
Met een PGP-programma als GPG4Win maak je een sleutelpaar aan: één publieke sleutel en één privé-sleutel. De sleutels horen bij elkaar en kunnen niet los van elkaar gebruikt worden. Je publieke sleutel adverteer je naar buiten toe: het is de sleutel die mensen nodig hebben om hun e-mail aan jou zo te versleutelen dat alleen jij ‘m kan ontcijferen.
Je privé-sleutel is beveiligd met een wachtwoord en moet altijd privé blijven. Als je ook maar het idee hebt dat iemand jouw wachtwoord of privé-sleutel weet, moet je een nieuw paar aanmaken en zorgen dat mensen de publieke sleutel die bij die privé-sleutel hoorde niet meer gebruiken.
Je kunt een e-mail versleutelen door je tekst te schrijven en vervolgens te selecteren. Nadat je de optie versleutelen hebt aangeklikt, kies je voor de publieke sleutel van degene aan wie je het mailtje stuurt – hij of zij moet het immers als enige kunnen openen met zijn of haar privé-sleutel. Publieke sleutels vind je in zogenaamd key-servers (die te vinden zijn via de software die je gebruikt), maar veel gebruikers adverteren hun sleutel of fingerprint (een afgeleide van de publieke sleutel) ook via bijvoorbeeld hun Twitterprofiel.
Als je een versleuteld e-mailtje ontvangt, kopieer je de letterbrei die je ontvangt (en die onleesbaar is) in het programma dat je gebruikt voor versleuteling en klik je op ontsleutelen. Je moet dan het wachtwoord van jouw privé-sleutel geven, waarna de onleesbare letterbrei verandert in normale tekst.
Naast losstaande programma’s als GPG4Win bestaan er in het e-mailprogramma Thunderbird ook add-ons voor encryptie.
Het is een goede gewoonte om versleutelde e-mails ook te ondertekenen met een speciale handtekening, zodat de ontvanger van jouw e-mail kan verifiëren dat jij de e-mail verzonden hebt. Meer informatie daarover vind je in de helpsectie van het programma dat je gebruikt of op internetfora over PGP.
Anoniem e-mailen
Tenslotte is het goed om te onthouden dat de tekst van de email zelf versleuteld wordt, maar de e-mailadressen waar het vandaan komt en waar het naartoe gaat niet. Ook het onderwerp van de e-mail is zichtbaar voor iedereen die het mailtje onderschept.
Als je volledig anoniem wilt e-mailen, moet je dus een anoniem e-mailadres via bijvoorbeeld Hotmail of Gmail aanmaken (waarbij je niet je echte naam en persoonlijke gegevens opgeeft) en dat gebruiken voor je veilige e-mailverkeer. En in het onderwerpveld zet je natuurlijk niet de zeer gevoelige informatie waarover je e-mailt, maar nietszeggende termen of helemaal niets.
Tip 4: File-encryptie
Veilig online kunnen en anoniem e-mailen zijn belangrijke vaardigheden, maar wat als iemand beslag weet te leggen op je laptop of usb-stick waarop je geheime documenten hebt staan? Bijvoorbeeld met contactgegevens van je anonieme bronnen? Het overkwam David Miranda, partner van Glenn Greenwald Glenn Greenwald was de journalist van The Guardian die in 2013 publiceerde over de documenten die Edward Snowden als voormalig medewerker van de Amerikaanse geheimedienst National Security Agency (NSA) had gelekt., in augustus 2013 op Heathrow Airport. Gelukkig waren de documenten die hij bij zich droeg versleuteld.
Bestanden versleutelen werkt in principe hetzelfde als e-mailencryptie en kan ook met programma’s als GPG4Win (zie tip 3) . Daarbovenop kun je een programma TrueCrypt gebruiken. Daarmee kun je een nieuw volume creëren op je pc of USB. Naast C:/, D:/ en F:/ kun je bijvoorbeeld M:/ creëren. Die beveilig je met een wachtwoord. Daarin kun je dan bestanden zetten waar niet zo maar iedereen aan mag zitten.
Bovendien kun je zo’n volume eruit laten zien als een willekeurig pdf-bestand, met een weinig belangwekkende naam (bijvoorbeeld: Jaarverslag Ombudsman 2011). In dat volume staan dan al jouw geheime documenten (die je als het goed is ook nog versleuteld hebt, ook al hoeft dat niet per se), maar voor iemand die in het geheim jouw pc of usb-stick aan het bekijken is, lijkt het een weinig interessant document. TrueCrypt is vrij simpel te gebruiken en er bestaat een goede tutorial voor.
TrueCrypt wordt inmiddels overigens niet meer doorontwikkeld. Een groep vrijwilligers heeft onderzocht of de laatste versie nog veilig te gebruiken is, en het lijkt erop van wel. Maar als je zenuwachtig wordt van een dienst die niet meer officieel ondersteund wordt, kun je naar alternatieven kijken. Bijvoorbeeld BitLocker (standaard ingebouwd in Windows 8), of de open source-dienst DiskCryptor.
Tip 5: TAILS
Alle maatregelen die je neemt om anoniem te internetten en veilig te e-mailen, hebben geen zin als iemand van buiten zich al toegang heeft verschaft tot jouw computer. Helaas is het nagenoeg niet te achterhalen of jouw computer geïnfecteerd is, want een handige hacker weet z’n sporen goed te wissen.
Volgens Kamphuis is er voor journalisten maar een manier om écht veilig te kunnen werken. Dat is Tails, een besturingssysteem dat vanaf een usb-stick (of CD-ROM) werkt. Tails staat voor The Amnesia Incognito Live System, en wordt door vrijwilligers gemaakt.
Tails wist na gebruik alle informatie van die computersessie. Het geheugen van je computer wordt bij afsluiten overschreven met random data, waardoor het niet te achterhalen is wat je precies gedaan hebt. In Tails kun je een persistent volume maken, een klein stukje binnen het besturingssysteem dat niet gewist wordt bij afsluiten. Daarin kun je bestanden opslaan die je niet kwijt wilt raken. Het persistent volume is beveiligd met een wachtwoord.
Tails installeren
Tails is redelijk ingewikkeld om te installeren. Het makkelijkst is het als je iemand kent met een versie die gekopieerd kan worden. Dan hoef je dat slechts te doen, en vervolgens je computer zo in te stellen dat-ie bij opstarten éérst kijkt of er een besturingssysteem op usb aanwezig is om op te starten, en als tweede optie pas Windows/OS start.
Dat doe je in de BIOS, software op het moederbord dat bij het opstarten van je pc kijkt of alle hardware werkt. Je komt daar door tijdens het opstarten F2 in te toetsen. Vervolgens onder Boot, de volgorde te veranderen in 1 = USB, 2 = Sata, en dat op te slaan. Als je je usb-stick met Tails niet in de pc hebt zitten, wordt je normale besturingssysteem opgestart. Als je je usb wel hebt ingeplugd, wordt Tails opgestart.
Als je Tails niet van iemand kunt kopiëren, heb je zelf twee lege usb-sticks nodig (met elk 2 GB ruimte), zodat je eerst de basisversie kunt installeren op één stick, om vervolgens te kopiëren op de ander. Die tweede gebruik je dan als besturingssysteem, met de eerste kun je voor je collega’s ook een stick maken.
Hulp vragen
Het gebruik van een VPN en de Tor-browser is inmiddels heel makkelijk. Iedereen die een beetje om kan gaan met een computer, kan die diensten installeren en gebruiken. Ook e-mail- en bestandsencryptie heb je na een dagje klungelen wel onder de knie. “E-mailencryptie is gewoon een kwestie van oefenen”, zegt Kamphuis. Zijn suggestie: “Stuur je collega met wie je gaat lunchen voortaan een versleuteld mailtje, want dan krijg je het sneller onder de knie. Als je het dan echt een keer nodig hebt omdat een bron naar jou toe komt met kostbare informatie, weet je hoe je met hem kunt communiceren.” Journalisten die niet leren hoe PGP werkt, schieten zichzelf in de voet, vindt Kamphuis.
Tails is een wat lastiger systeem. Als je zelf de technische kennis mist om het goed te installeren, kun je kijken of er op de redactie IT-ers rondlopen die er meer verstand van hebben. Of je kunt eens langsgaan bij een hackerspace Een hackerspace is een plek (studio, werkplaats, atelier) waar mensen met interesse in digitale technologie en internet elkaar ontmoeten en samenwerken.. “Daar zit heel veel kennis, die ze echt wel met je willen delen als je ze serieus neemt en een biertje voor ze koopt”, zegt Kamphuis. In Amsterdam bijvoorbeeld is elke woensdagavond een open avond van Tech Inc, waar je met vragen terecht kunt.
Wat echter elke hacker je zal vertellen is dat ondanks alle techniek die er bestaat, er één doorslaggevende factor is in veilig opereren. Dat ben je zelf. Je hebt gezond verstand nodig als je online aan het werk gaat. Maar ook als je offline een bron gaat ontmoeten die je wilt beschermen. Dan kun je je telefoon bijvoorbeeld beter thuis laten, want de metadata daarvan verraadt allerlei persoonlijke informatie, ook als-ie uitstaat. En als je wegloopt van je computer, vergrendel je hem dan, zodat niemand anders er op kan kijken? Hoe vaak maak je back-ups, en hoe beveilig je die? Voor echte veiligheid is naast gezond verstand en techniek ook een strategie nodig.
Dit artikel is eerder gepubliceerd door Villamedia.
Reacties