Dit artikel verscheen eerder bij decorrespondent.nl
In de serie ‘Hoe redden we het web?’ zullen Maurits Martijn, Dimitri Tokmetzis en ik schrijven over de projecten, ideeën en apps die het internet kunnen redden.
Want het internet zoals we dat nu gebruiken is lek en kapot, zoals vele verhalen op De Correspondent hebben laten zien. Maar elke keer dat we aan het licht brengen hoe het internet gebukt gaat onder surveillance, spionage en de verkoop van onze gegevens komen we ook oplossingen tegen.
Hackers, bedrijven en overheden werken aan technologische producten die gebruikers meer macht geven. We willen in deze serie hun werk laten zien.
De oplossingen die we zullen behandelen kiezen we zorgvuldig uit. Wat zijn de voorwaarden waaraan een project moet voldoen wil het de huidige uitdagingen het hoofd kunnen bieden? We vonden er vier.
Voorwaarde 1: het moet Open Source zijn
Open Source is een licentie. Een softwarelicentie waarmee de maker aangeeft dat anderen de broncode
van een programma mogen gebruiken, onder bepaalde voorwaarden. Om anderen in staat te stellen de code te (her)gebruiken, moet deze inzichtelijk en begrijpelijk zijn, oftewel Open. Een Open Source-code is zo door iedereen te controleren op fouten.We gebruiken in het dagelijks leven al veel Open Source-software. Misschien leest u dit artikel in Firefox, heeft u een blog via WordPress of een Androidtelefoon; allemaal Open Source-software.
Maar de meeste programma’s die we dagelijks gebruiken zijn Closed Source. Windows, iOS, Facebook; allemaal gesloten systemen waarbij we niet zomaar kunnen zien hoe het precies werkt. We moeten erop vertrouwen dat onze apparaten niet meer (of iets heel anders) doen dan de makers beweren.
De voordelen van Open Source: projecten kunnen door anderen worden ontwikkeld als de huidige ontwikkelaars er geen zin meer in hebben, open standaarden zorgen dat je makkelijker van leverancier kunt wisselen en niet vast komt te zitten aan één bedrijf (de zogeheten ‘vendor lock-in’) en, niet geheel onbelangrijk, Open Source-software is vaak gratis. Je hoeft dus niet op zoek naar een ‘illegale kopie’ (vaak onveilig) als je de licentie niet kunt betalen.
Open Source is echter ook niet zaligmakend. Dat de code gecontroleerd kan worden, betekent niet dat die ook gecontroleerd wordt. De zeer grote fout Heartbleed, die eerder dit jaar ontdekt werd, was jarenlang onderdeel van de beveiliging van het internet. En toch werd hij al die tijd niet opgemerkt. Maar toen hij ontdekt en gepubliceerd werd, werd hij snel gerepareerd. Of makers van Closed Source-software ook zo snel hadden gereageerd? Daar moeten we maar op vertrouwen.
Voorwaarde 2: het moet gebruiksvriendelijk zijn
Een oplossing werkt alleen als het een bruikbare oplossing is. Er zijn oplossingen die het digitale equivalent zijn van je huis beveiligen door er een atoombunker van te maken. Extra veiligheid kan zorgen voor minder gebruiksgemak. Vooral als het niet werkt. Het whizzkidneefje moet erbij komen, je moet terug naar de winkel, of bellen met de technische support van het bedrijf dat de hard- of software gemaakt heeft.
Bij veel Open Source-software kan dit niet. De software wordt niet zelden door een klein team programmeurs gemaakt, in hun vrije tijd, of binnen een subsidieprogramma waarvoor na verloop van tijd de funding verloopt.
Zaken waar wij gezien de gebruiksvriendelijkheid dus op letten, zijn de levensvatbaarheid van een project. Hoe vaak komen er updates uit, is het een hobbyproject of zit er een heel team achter, reageren de ontwikkelaars snel op vragen, is er goede documentatie voorhanden?
En toch, projecten als WordPress of de minicomputer Raspberry Pi beschikken over een gigantische gebruikersgroep met vele actieve websites en fora waar je extra informatie kunt inwinnen. Met een zoekmachine en wat geduld is er geen probleem dat je niet zelf kunt oplossen, ondanks dat het ontwikkelteam je mails niet zal beantwoorden.
En we zullen altijd de dreiging tegen het gebruiksgemak af moeten zetten. Als je veiligheid enorm toeneemt is wat extra werk de moeite waard. Als je een atoombom een reële dreiging acht, dan zul je de extra ongemakken op de koop toe moeten nemen en toch van je huis een atoombunker moeten maken.
Voorwaarde 3: baas in eigen database
Een effectieve manier om je data niet te verliezen, is door te zorgen dat bedrijven, overheden of criminelen er geen toegang tot hebben. Dit kan door je data goed te versleutelen met een wachtwoord of door ze fysiek uit de buurt te houden.
Veel systemen die je beloven je gegevens totaal te versleutelen, blijken bij nadere inspectie niet waterdicht. Cryptograaf Matthew Green ontwikkelde daarom de zogenoemde ‘mud puddle test’ om te bepalen of je echt eigenaar bent van je gegevens.
In dit voorbeeld gebruiken we een iPhone:
- Neem je iPhone en maak een back-up naar de iCloud van Apple en beveilig deze met een wachtwoord;
- Glij uit in een modderplas zodat je iPhone kapot is en je je wachtwoord vergeet;
- Koop een nieuwe iPhone en probeer de back-up uit de iCloud terug te zetten. Lukt dit? Dan ben je niet de enige die bij je back-up kan; kennelijk had Apple ook een sleutel.
Een test die we zeker ook zullen gebruiken bij het beoordelen van oplossingen om je data te bewaken.
Verder kun je ervoor zorgen dat niet alle data bij één provider terechtkomen. Net zoals het onverstandig is op één paard te wedden. Eén veiligheidslek en alle data vallen in verkeerde handen.
Oplossingen voor het redden van het web zullen zodoende tot op zekere hoogte decentraal moeten zijn. Het verspreiden van diensten en opslag over meerdere locaties, jurisdicties en apparaten verkleint het risico op grote datalekken en maakt het lastiger voor opsporingsdiensten om sleepnetsurveillance toe te passen.
Toch zijn er ook grote nadelen te bedenken van decentralisatie. Een decentrale infrastructuur vereist ook een decentrale beveiliging, onderhoud en controle van die gegevens. Een back-up van je iPhone thuis ligt buiten bereik van Apple en de overheid, maar vereist meer kunde van de eigenaar in het bijhouden van de back-up en ook de hardware waar deze op staat.
Voorwaarde 4: het moet ergens toe doen
Zoals voor een man met een hamer elk probleem een spijker lijkt, moeten we geen oplossingen zoeken waar geen problemen zijn. En voor sommige problemen zijn geen oplossingen. Het gebruik van je mobieltje verraadt je locatie aan de telecomproviders en dus aan de overheid. De enige oplossing is dan geen mobieltje te gebruiken.
Verder zijn sommige oplossingen schijnoplossingen. Telegram bleek geen goede vervanger van WhatsApp omdat het verdienmodel (data verkopen) niet anders is.
Alternatieven zullen minstens zo goed als het origineel moeten zijn en een duidelijke verbetering betekenen voor de gebruikers op het vlak van privacy en bescherming van gegevens.
Met deze kritische meetlat in de hand zullen we de komende maanden op zoek gaan naar oplossingen. En met deze meetlat kun je bovendien zelf aan de slag om apps en sites te beoordelen.