Maakt Mailpile veilig mailen eindelijk mogelijk?

Dit artikel verscheen eerder bij decorrespondent.nl 
De schoorsteen moet roken. Ook bij noeste programmeurs die het internet beter willen beveiligen en het opnemen tegen geheime diensten, criminelen en bedrijven met een onstilbare honger voor privédata. En juist bij idealistische programmeurs wil die schoorsteen niet altijd roken. Vandaag in Red ‘t Web: de opkomst en voorlopige ondergang van de veilige mailservice Mailpile.

E-mail, het beginpunt van onze digitale identiteit

Typ, adresseer en verstuur een e-mail en je verricht een van de meest gemaakte en oudste handelingen online. Hoeveel nieuwe sociale netwerken, chatdiensten en videostreamingapps er ook gehypet worden, e-mail blijft de primaire vorm van online communicatie.

Helaas is er veel mis mee. De inhoud is leesbaar, veranderbaar en censuureerbaar door iedereen die de e-mail in handen krijgt. Net als bij gewone post gaat een e-mail via meerdere partijen voordat het z’n bestemming bereikt. Deze digitale versies van de brievenbus, sorteercentra en postbodes hebben allemaal toegang tot de inhoud van elk mailtje dat je verstuurt. Ook is het eenvoudig zogenaamd de afzender aan te passen. Onlangs wist een man nog uit de gevangenis te ontsnappen door een mail te versturen naar z’n bewakers uit naam van het Openbaar Ministerie met daarin het bevel tot onmiddellijke vrijlating. Het lukte zowaar.

Het drie man sterke bedrijf Mailpile wil beter beveiligde mail mogelijk maken. Maar wel met software die gebruiksvriendelijk is.

Mailpile begint in bad

Het verhaal van Mailpile begint twee jaar geleden. Brennan Novak, een vormgever uit Californië, plonst in een IJslands warmwaterbad (echt gebeurd) bij ontwikkelaar Bjarni Einarsson en hacker Smari McCarthy. Door de stoomwolken bespreken de drie heren in zwembroek de vele verschrikkingen van e-mail.

Wat ze willen? Einarsson vooral een snel e-mailprogramma met een uitstekende zoekfunctie, zodat hij elke mail altijd terug kan vinden. En het moet open source zijn. McCarthy, betrokken bij WikiLeaks, benadrukt vooral dat e-mail veilig moet zijn door PGP in te bouwen.

Om deze droom mogelijk te maken, starten de drie in de zomer van 2013 een crowdfundingcampagne. Tijdens een Nederlands hackersfestival vindt de aftrap plaats ten overstaan van drieduizend nerds en hackers. Een week later is het doel behaald en staat er 100.000 dollar op de rekening. Als na een maand de campagne eindigt, hebben ze meer dan 160.000 dollar opgehaald. Meer dan voldoende geld voor Novak, McCarthy en Einarsson om fulltime aan de slag te gaan en Mailpile werkelijkheid te laten worden.
Novak ziet dat hier vooral een goede vormgever nodig is. McCarthy is het met hem eens en vraagt hem mee te werken aan hun plan de wereld te voorzien van goede, veilige mail. Brennan Novak had nooit over open source en veilig mailen nagedacht. Net uit Silicon Valley, waar hippe start-ups de grond uit schieten, associeerde hij open source vooral met stoffige, slecht vormgegeven apps. Privacy en encryptie vond hij vooral iets voor rare bebaarde hackers. Maar dat mail én PGP al zo lang bestaan en nog steeds zoveel problemen kennen, intrigeerde hem.

Wat is ervan terechtgekomen?

Nu, twee jaar later, zit ik met Novak aan een kleine houten tafel in Valencia. We praten over de lange weg die Mailpile heeft afgelegd sinds het memorabele en ietwat vochtige begin. Een dag eerder heb ik de huidige bètaversie van Mailpile geïnstalleerd en er die ochtend en middag mijn werkmail mee ontvangen en verstuurd.

Ik schuif mijn laptop tussen ons in en start Mailpile op. Ik heb een Mac, en mijn ervaringen zijn dus hoe Mailpile werkt op OSX, maar volgens Novak verschilt dat weinig van andere besturingssystemen Een venster opent en verdwijnt direct weer, dan opent de webbrowser zich en het logo van Mailpile verschijnt, met een inlogveld. Een reeks gebeurtenissen die ik bij geen ander programma ooit gezien heb. Ik kijk Novak vragend aan.

‘Ik word hier als ontwerper ook nerveus van. Dit is niet hoe het uiteindelijk zal moeten werken. Wat je zag waren aantal stappen nodig zijn om Mailpile te laten werken. Maar uiteraard moeten deze stappen verborgen zijn voor de gebruiker.’
Dan verschijnt mijn mailbox op het scherm. Ik klik op knopjes die soms wel en soms niet werken. Er verschijnt een notificatie in beeld: Yay can now Encrypt Cannot Encrypt! Novak kijkt steeds ongelukkiger. Als ik ben ingelogd, zie ik een logo van drie envelopjes die aan en uit knipperen. Novak kijkt wat beteuterd als ik vraag waarom dit zo lang duurt. Want Mailpile werkt als volgt: álle mail wordt als een versleuteld bestand opgeslagen op mijn computer. Elke keer als ik Mailpile open, moet dat hele bestand worden ontsleuteld en in het werkgeheugen van mijn computer worden geladen. Dat duurt, zeker met mijn inbox van meer dan 10.000 mails, bijna een minuut.

‘Het geld was op voordat we klaar waren. We wilden niet nog een keer om geld gaan vragen, gezien we nog niet eens af hebben gemaakt wat we bij de crowdfunding hadden beloofd,’ zegt hij verontschuldigend.

Wat er misging en wat dat zegt

Mailpile heeft het uiteindelijk niet gehaald, dat blijkt wel als ik het programma met Novak bekijk. Einarsson werkt nog wel door aan Mailpile, maar is afhankelijk van een andere inkomstenbron om dit werk te financieren. McCarthy werkt nu aan andere projecten, evenals Novak zelf.

Een paar uur nadat we gesproken hebben verschijnt er een bericht van Bjarni op het Mailpileblog. Hij is ontevreden met Mailpile en raadt mensen af het te gebruiken. Volgens het bericht hebben zoveel mensen zoveel fouten ontdekt in het programma, dat er nog veel meer tijd nodig zal zijn om een goede eerste uitgave van de software te doen. Maar, omdat het geld op is, zal Einarsson er als enige aan verder werken. In zijn vrije tijd.

Een paar dagen later wordt ook bekend dat een nieuwe financier vragen heeft over de samenstelling van het team en extra informatie wil voordat hij geld in Mailpile steekt.

Ondanks de vliegende start met de succesvolle crowdfuncing en omarming door een groot deel van de veiligheids- en hackercommunity, lijkt Mailpile nu stukgelopen. Duurzame verdienmodellen blijft een probleem voor de bouwers van een veiliger internet. Goede oplossingen blijken keer op keer weerbarstiger dan van tevoren gedacht en, ook twee jaar na Snowden, blijven de investeringen voor een veiliger internet steken bij incidentele donaties.

Het warme bad blijft tot nader order een koude douche.

In dit dorpje proberen dappere hackers het internet te redden

Dit artikel verscheen eerder op decorrespondent.nl

Heel het internet is kapot. Heel het internet? Nee, een kleine groep hackers blijft moedig weerstand bieden tegen de overweldigers van het kapitalistische-militair complex van Google en de National Security Agency (NSA). In het Spaanse dorp Calafou kwamen ze samen op de Backbone-conferentie, om te praten over de manier waarop het internet werkt en wat er anders moet.

Een post-apokapitalistisch toevluchtsoord

Calafou ligt twee uur ten westen van Barcelona. De nederzetting is een industrieterrein met een kerk, aan een zwaar vervuilde rivier onder een vierbaanssnelweg. Er woont een hechte, anarchistische gemeenschap van rond de veertig mensen met evenzoveel ganzen, kippen, honden en katten.

Hier wordt zeep gemaakt van motorolie, is elk toiletbezoek een bijdrage aan de landbouwgrond en wordt ’s avonds tot in de kleine uurtjes zelfgebrouwen bier gedronken. Eén gebouw is deels afgebrand, een ander half ingestort, elke ruimte is stoffig.

Wat het ultieme middel voor vrijheid, gelijkheid en democratie had moeten zijn, lijkt de grootste afluister-, propaganda- en datahandelmachine in de geschiedenis van de mensheid te zijn geworden

Het is, zoals een van de bewoners het omschrijft, een ‘post-apokapitalistisch toevluchtsoord.’ Hier wordt geëxperimenteerd met het fundamenteel anders inrichten van de maatschappij. Een van die experimenten gaat over de digitale kant van onze wereld – ook wel bekend als het internet – en hoe we die kant kunnen terugveroveren op de hegemonie van de grote bedrijven en het afluisterend oor van de veiligheidsdiensten. De Backbone-conferentie is een onderdeel van dat experiment.

De teneur lijkt dat, zonder spoedige fundamentele wijzigingen aan het internet, we het maar beter gewoon kunnen afsluiten. Wat het ultieme middel voor vrijheid, gelijkheid en democratie had moeten zijn, lijkt de grootste afluister-, propaganda- en datahandelmachine in de geschiedenis van de mensheid te zijn geworden.

Hier in Calafou zal men dat in ieder geval niet onder slag of stoot laten gebeuren. Alle berichten over de schaduwzijde van het internet ten spijt, is het nog immer een krachtig communicatiemiddel voor miljarden mensen.

De aanwezigen in Calafou zijn vastberaden zich die verworvenheden niet zonder slag of stoot af te laten nemen.

Encryptie is de sleutel tot een veiliger internet

Buiten is het 38 graden Celsius. Binnen zit ik naast cryptopunk Lunar, Niet iedereen die ik voor dit artikel sprak wilde onder volledige naam genoemd worden. een ontwikkelaar van Tor-software. ‘Het idee van het internet als open en vrij communicatiekanaal is kapot,’ zegt hij plompverloren, ‘maar met goede cryptografie maken we een kans om het te repareren.’

Encryptie,  of versleuteling, is voor de aanwezigen het laatste antwoord op alle problemen. Het is gebaseerd op een fundamenteel principe waar iedereen (vooral mensen met kinderen) bekend mee is: rommel is sneller gemaakt dan opgeruimd. Chaos ontstaat met het grootste gemak, orde met de grootste moeite.

Het is de basis van cryptografie: het is makkelijker om berichten te versleutelen dan te ontrafelen. Een simpele computer kan berichten zo verhaspelen dat zelfs de snelste computer ter wereld er tientallen jaren over doet om ze te ontcijferen.

Volgens Lunar is het voornaamste probleem de implementatie. Hiermee doelt hij op het toepassen van deze abstracte wiskunde in het dagelijks leven. Zoals een titanium slot geen zin heeft als je voordeur van karton is gemaakt, zo is de beste encryptie niks waard als het gebruikt wordt in een computer die de kwetsbaarheden bevat van een besturingssysteem als Windows XP.

Om iets lastigs als encryptie goed te implementeren, kan je het in de handen geven van een kleine groep uitstekende cryptografen, terwijl wij verder gaan met ons leven. Lunar: ‘Privacy is fundamenteel voor vrije communicatie. En het huidige internet geeft weinig om privacy. Maar we weten dat encryptie werkt, dus hebben we een kans om het te repareren. We moeten in dat geval een selecte groep cryptografen vertrouwen dat onze data ook echt goed versleuteld zijn.’

Data beschermen doe je zo

‘Dit vertrouwen is keer op keer geschonden,’ zegt Micah, ontwikkelaar voor de activistische mailprovider RiseUp en het platform LEAP. We dineren samen aan een lang stuk hout op schragen terwijl hij met zijn lage stem de grootste problemen van het huidige gebruik van internet beschrijft. ‘In de jaren negentig hadden we een bloeiend en gezond ecosysteem van mailproviders. Nu zijn er drie grote data-silo’s: Gmail, Hotmail en Yahoo, die bijna alle mail ter wereld afhandelen. Alle drie zitten in het PRISM-programma van de NSA, waarmee de Amerikaanse overheid onbeperkt toegang heeft tot onze communicatie.’

Veel kleine mailproviders maken sleepnetsurveillance lastiger en voorkomen dat de bedrijven zelf de data van hun gebruikers inzien, analyseren of doorverkopen

Volgens Micah moeten we terug naar het oude systeem. Veel kleine mailproviders maken sleepnetsurveillance door de overheid lastiger en voorkomen dat de bedrijven zelf de data van hun gebruikers inzien, analyseren of doorverkopen. Het probleem: we moeten er maar op vertrouwen dat die bedrijven dat niet doen. ‘En dat is,’ zegt Micah, slechts op te lossen door ervoor te zorgen dat de techniek niet misbruikt kán worden. ‘Dat proberen we met LEAP te bereiken.’

LEAP is software voor de beheerders van internetservers. Het verkleint de mogelijkheid voor deze providers om aan de data van hun klanten te zitten. Aangezien we voorlopig niet zonder een zekere mate van centralisatie van onze diensten kunnen en niet iedereen een eigen, veilige, mailserver kan bouwen en beveiligen, moeten we ervoor zorgen dat deze diensten zo min mogelijk van ons weten. In de ideale situatie wordt de provider een simpele opslag en doorstuurservice, met minimale kennis van de data op de server. ‘In dat geval kun je zelfs een provider gebruiken die je niet vertrouwt,’ zegt Micah.

Maar door vele kleine providers te promoten kom je weer op het probleem dat zij elk hun beveiliging op orde moeten hebben. ‘Om een echt goede provider op te zetten, moet je bereid zijn je leven op te offeren aan het leren en bijwerken van je kennis over beveiliging,’ meent Micah. Dat is een offer die maar weinigen willen of kunnen maken. LEAP lost dit op door niet de provider, maar de software centraal te ontwikkelen en gratis beschikbaar te stellen. Zo kan iedereen een dienst opzetten zonder zich zorgen te maken over de juiste implementatie van de encryptie.

Ik krab me op m’n achterhoofd en vraag of Micah het probleem van centralisatie dan niet heeft verplaatst van de provider naar de ontwikkelaars van de software. ‘Ja, dat is zo, maar software kan je, anders dan providerinstellingen, publiceren, zodat anderen de code kunnen controleren. En dat is precies wat we doen.’

Ieder voor zich

Ella Dymaxion is ontwikkelaar van Briar en vindt dit niet ver genoeg gaan. ‘Zolang er centrale servers zijn heb je meer problemen dan het afluisteren van communicatie alleen.’ In het geval van een ramp of censuur, is er één punt waar de verbinding kan worden afgesloten.

Briar is nu in ontwikkeling als een veilige vervanging voor applicaties als WhatsApp. Het versturen van berichten op een veilige manier is het eerste doel

Het kleine team van Briar, waar Dymaxion onderdeel van is, ontwikkelt software die geen enkele centrale dienst meer nodig heeft. In het geval van een black-out van het internet, of dat nu door een orkaan of door een dictator komt, kun je met Briar lokale netwerken opzetten en via wifi of bluetooth met elkaar communiceren. ‘Elke gebruiker heeft lokaal op de telefoon of computer een volledige back-up van de berichten. Eenmaal verzonden kan een bericht dus ook niet meer verwijderd of anderszins gecensureerd worden.’

Briar is nu in ontwikkeling als een veilige vervanging voor applicaties als WhatsApp. Het versturen van berichten op een veilige manier – direct tussen vrienden, geliefden of collega’s – is het eerste doel. Als dat eenmaal gelukt is, wil het bedrijf geavanceerde functies toevoegen. Zoals het delen van bestanden, het opzetten van een blog, of een functie waarmee incidenten in een conflictgebied in kaart kunnen worden gebracht zodat hulpverleners sneller weten waar hulp geboden kan worden.

Een smeulende hoop

In de koele avond zitten we buiten in een kring rond een kampvuur. Micah schetst een somber toekomstbeeld. ‘We zijn in een strijd verwikkeld waarbij sommige zaken tot de grond toe af zullen branden. Het goede nieuws is dat sinds de onthullingen van Edward Snowden steeds meer mensen doorhebben dat deze strijd bestaat én zich erin mengen.’

‘Maar er is meer voor nodig,’ zegt Micah, ‘om niet met een geheel overgenomen telecommunicatiemedium achter te blijven. Hopelijk verplaatsen meer mensen straks hun mail naar een kleine provider en groeit de steun voor software als LEAP en Briar.’

Ik pook in het vuur, onder een hemel gevuld met sterren. Misschien toch maar weer terug naar de oude rooksignalen? Nee, ik heb het volste vertrouwen in de encryptie en software ontwikkeld door deze toegewijde groep hackers. Het kan ontmoedigend zijn om te zien hoe klein de groep is.

Maar áls het lukt, zal het een onoverwinnelijke toverdrank blijken.

Dit verhaal is geschreven door gastauteur Douwe Schmidt Douwe Schmidt is oprichter van het Privacy Cafe, een plek waar iedereen digitale veiligheid kan leren, en werknemer bij privacy bewust webhosting bedrijf Greenhost. Hij organiseert maandelijks avonden over techno-activisme waarin workshops, presentaties en discussies worden gehouden over het raakvlak van activisme en techniek. Ook schrijft onregelmatig voor de Correspondent over de zoektocht naar zijn digitale alterego. en geïllustreerd door striptekenaar Typex Typex is een Nederlands striptekenaar en illustrator. Typex werkt als illustrator onder andere voor VPRO, OOR, Zone 5300, Vrij Nederland, Intermediair, NRC, Volkskrant en De Filmkrant. Zijn eerste strips verschenen in het stripblad Balloen. Vorig jaar verscheen van hem de beeldroman Typex’ Rembrandt. Het verschijnt onder Creative Commons 3.0-licentie​. Lees hier wat dat betekent. Ik had mijn stuk nooit kunnen schrijven zonder vrienden, supporters en buren die door de jaren heen een onvoorstelbare hoeveelheid werk hebben verzet om Calafou tot bloei te brengen. Aangezien ik hen nooit allemaal persoonlijk kan bedanken, of financieel kan compenseren voor hun aandeel in mijn stuk, kan het stuk het beste openbaar en ter inspiratie van iedereen gepubliceerd worden. Iedereen heeft inspiratiebronnen en gebruikt bewust of onbewust de ideeën van anderen. Het gebruiken van een open licentie erkent dat je eigen werk niet in een vacuüm ontstaat waar alleen jij de vruchten van kan plukken. En, nog belangrijker, het moedigt anderen aan door te gaan, waar jezelf bent gestopt. Er zijn vele verschillende vormen van vrije licenties. De bekendste is misschien wel de Creative Commons, die in verschillende smaken komt. Maar er is ook een GNU-licentie, die meestal voor software wordt gebruikt en, een van mijn favorieten, de Do What the Fuck You Want License. Het meeste werk dat ik maak geef ik uit onder een Creative Commons 3.0-licentie. Dat betekent dat je mijn teksten mag kopiëren, bewerken, herpubliceren zonder restrictie, als je me maar vermeldt als auteur en linkt naar het originele artikel. Voor de rest: ga je gang!

ESSAY: Dark nets en mesh networks – Donkere netwerken voor duistere tijden

Er is internet buiten het internet. Het is een diffuse wereld, verborgen voor de meesten van ons. Het wordt ontwikkeld voor diverse doelen, op basis van uiteenlopende technologieën en voor verschillende gebruikers. Toch streven die allemaal naar hetzelfde internationale ideaal: onafhankelijkheid van de grote bedrijven en een spionerende overheid middels een darknet of mesh network; netwerken van en voor de mensen die het gebruiken. Een darknet is een netwerk buiten het internet, en een mesh network verbindt gebruikers direct met elkaar, zodat ze kunnen communiceren zonder middenpartij. Een beetje zoals walkietalkies of twee blikjes met een koordje ertussen, en niet als telefonie, waar je bericht via een telefooncentrale moet gaan.
Het fenomeen intrigeert me en ik wil er graag meer van weten. Daarom heb ik tijdens hackersconferentie HOPE (Hackers on Planet Earth, afgelopen juli in New York, red) afgesproken met netwerkbouwers Dan Phiffer, Dan Staples en Ciaby.
Op Schiphol wacht ik op mijn vlucht naar JFK. Met mijn nieuwe paspoort met vingerafdruk passeer ik de douane. Ik vul een vragenlijst in waarin ik toegeef geen terrorist te zijn, overhandig mijn document voor een tijdelijk visum en passeer de bodyscan. Ik zie Londen onder me als ik uit het raam kijk en moet naar de wc. Naast me zit een Filipijnse dame met onverstaanbaar Engels accent. De stem van Tyler Durden fluistert me toe: ‘As I pass, do I give you the ass or the crotch?’ Ik passeer haar rugwaarts. De volgende acht uur lijd ik in stilte.
Continue reading ESSAY: Dark nets en mesh networks – Donkere netwerken voor duistere tijden

Diversity Talk at HopeX

On Sunday 20 July 2014 I gave a talk at the HopeX conference in New York. This is the integral text:To see it back, go here: http://new.livestream.com/internetsociety/hopex1/videos/57122450

So what can we conclude after more then a year of Snowden revelations? Snowden coudn’t have more clear in his speech yesterday: everything we do is recorded.

We are all fucked. And we, the tech savy people, the ones that eat python for breakfast, the ones who can hack their way out of an iron vault buried 4 miles deep in the Utah desert are fucked most of all because not only do we have endowed ourselves with some extra responsibilitites. We have to save ourselves ánd we have to save the world. We have to save our favourite pizza baker, our doctor and our mom. We have to save them to save ourselves.

My name is Douwe Schmidt, I work for hosting provider Greenhost and in monthly crypto parties I try to teach random people digital safety at the Amsterdam Public Library. I also try to stay on top of the latest news in the tech community. I read my libtech, (never posted to it tough), go to the European hacker camps and have a tor relay on my rapsberry pi at home. But I can’t even hack my way out of a paper bag.

And a year after Snowden I am more and more unsure if any of this stuff I do makes any sense. If I look at the amount of hoops and loops I have to jump through to notch up my digital security even a tiny bit, never knowing if it is enough… how on earth are my favourite pizza baker, my docter or my mom ever gonna defend themselves against the claws of mass-surveillance?

I know some of you have answers. Many of you have many answers. They involve a great deal of the same abbriviation lingo we know from the leaks. We just have to use OTR over TLS with PFS and use TOR to exhange our PGP. Right?

Wrong. Or no, right. We have to do exactly that. That shit rocks and I love it. But we, I mean literally we in this room, are not enough. We have to OTR over TLS with PFS to order pizza, we have to use TOR to order medicine and we, for sure like hell have to PGP with our mom. We have to get these tools to them to make sure we can be safe. If they are not gonna use it, we are gonna stand out like a sore thumb as the only ones using encryption on a decent level.

We need to diversify.

Because we have to make sure the tools we make can be used by our bakers, docters and moms. Could it be that most of the tools we make are not being used because we deisgned them for ourselves and our friends? When was the last time you let your little brother try the code, or asked your grandma to fire up your program? For the ones running mailservers: when did you last use your webmail that 80% of your users use?

We need userled design. The ones who are going to use the programs must be part of the design and development process from the start. We need to know who these people are who are gonna use our code to safe lives on the other side of the earth. Many of us don’t have the research budgets of google and facebook to get an exact profile of the whimps and wishes of our users. So we have to meet face-to-face with them to learn what they need. We need to be part of their struggles and know their stories.

We need to diversify

Because there is not one solution.
There are people who say we need technical solutions. There are people who say we need political solutions. They are both wrong. We need both. Just making a new app with extra crypto won’t solve anything if your politics is down the drain.

But only Political solutions won’t work either. Ella Saita very rightly pointed out in her talk at the Noisy Square at OHM that once a method or policy is in place, it will not leave again. As she said: “The NSA did very politely in 1975 turn off their telegram surveillance program. It had never in their entire history produced anything useful. So that’s our one example of a technological capability being rolled back. So, so much for history.”

Further more, you have a national problem here. And once again, this is a straight quote from Ella: “the NSA taps every politician’s email, and even anybody who might become a politician. They tap their phones, they tap their email, Partially they do this for national security reasons: they need to know if those people have sold out to somebody or any number of justifications. But it also means that they have all the dirt on all the politicians. Now, how easy do you think it is to keep a politician bought if their career can be destroyed at any moment? How well do you think their long term policy will is going to be when they know that if they stand up too much they just get destroyed.”

We need to diversify to fight the political battle internationally. I am sorry to say, but I have more faith in the Germany, Poland, the Netherlands and more faith in Brazil in this regard then in the US. But we’ll need the help of you here to keep our politicians in check. So you have a place to hide. We need international coalitions and show the US through international pressure that they are backwards and destroying not only businesess, but freedom at large.

We need diversity.

Because we are circle jerking in an echo chamber.
Here is a shout out to Moxie Marlinspike, you are making great stuff like chatsecure and redphone. But two weeks ago you found it nessecary to call out on twitter and asking peple not to fund cryptocat for Android but instead fund your project. Moxies work is great and I understand he believes it is the best thing around. He might even be right at that. But to think that it is good to have just one cryptoapp, and not multiple is beyond me. Anyone with some basic understandig of biology know what monoculture can mean in a time of crisis. We need many different tools, aimed at many different people. We need to make sure not everyone dies when one heart bleeds.

We need diversity.

Because we are going to die. And that I mean literally. We need coders doing journalism, we need journalists coding, we need activists, docters, laywers, teachers, civil servants and the pr0n business understanding their jobs will become impossible without security and privacy. We need the entire society or else we are small. We are going to be targeted hunted and smoked out of our mancaves. Like XKCD says; we are going to be drugged and beaten with a $5,- crank and the 4096bit RSA encryption will not stand up for us.

We need to diversify and open up our communities to LGBTQ community, the syrian fighters, artists, academics and mexicans trying to defend themselves against the drug cartels. We need to understand their struggles to empower them. And they are ready. They want to. A recent call for academic papers to mathematicians on the NSA resulted in submissions carrying titles like: “Mathematicians Should Sever Ties with the NSA” and “Dear NSA: Long-Term Security Depends on Freedom” and “The NSA Back Door to NIST”.

This year every mayor art-academie in The Netherlands had students graduating with art works dealing with privacy, surveillance and technology. Syrians fighting both ISIS and Assad want and need Mesh networks. And pizza bakers want to know how to have a TOR hidden service delivery service accepting bitcoin. They are ready to take our knowledge and craftsmanship global.

Now it is our task to be ready and make sure we can welcome all their ideas, cultures and insight with open arms.

Thank you.

Marktplaats artikel bij De Correspondent

Vrijdag 30 mei werd m’n artikel over Marktplaats op de Correspondent geplaatst. Dat het goed ontvangen zou worden vermoede ik wel, maar dat zoveel media er melding van zouden maken…

Hier de inleiding en link naar het artikel, en daaronder alle media (die ik zo snel kon vinden) die naar het artikel verwijzen.

Wie zijn gegevens opvraagt bij Marktplaats, krijgt niet alleen inzage in de eigen transacties, maar ook in de persoonsgegevens van derden. Gastauteur Douwe Schmidt kreeg van 32 gebruikers zomaar het IP-adres toegestuurd en van 14 het mobiele telefoonnummer. Dat is in strijd met de privacyvoorwaarden van de site zelf en waarschijnlijk ook met de wet. En het blijkt geen incident, maar een structureel probleem bij de grootste koopjesmarkt van Nederland.

via De Correspondent.

Linked at:
NRC.nl
De Volkskrant
NU.nl
Tweakers.net
Het Parool
AD.nl
Z24.nl
Webwereld
Security.nl
Nieuws.nl
BNR (met Audio reactie Marktplaats)
PZC.nl
Fok.nl

De NSA heeft wat ik wil

De NSA verzamelt elke dag 5 miljard locatiegegevens van mobiele telefoons. The Washington Post onthulde afgelopen week nieuwe documenten van klokkenluider Edward Snowden. Daarin werd een nieuw onderdeel van het surveillance-apparaat van de National Security Agency (NSA) beschreven. Het programma, CO-TRAVELER genaamd, legt dagelijks de locatie vast van honderden miljoenen mobiele telefoons van burgers over de hele wereld. De NSA probeert van bepaalde personen zo te kunnen vaststellen met wie ze bellen en omgaan. Door de vergaring van zoveel mogelijk gegevens, worden verbanden duidelijk tussen reeds bekende targets van de dienst en die van nog onbekende personen.

Om dit te bereiken, registreren en analyseren de NSA en de GHCQ, de Engelse evenknie van de NSA, de metadata van tientallen miljoenen burgers. Hoeveel precies is onduidelijk, maar een senior collection manager gaf op voorwaarde van anonimiteit en met toestemming van de NSA aan de Washington Post toe dat het ging om ‘grote volumes.’

In Europa gebeurt dit al sinds 2007

De omvang van het afluistersysteem van de NSA blijft verbazen. Het gekke is: in de EU doen we iets soortgelijks al zes jaar, openbaar en via de wet geregeld.

De wet op dataretentie verplicht sinds september 2007 elke Europese staat de internet- en telefoniegegevens (de metadata dus, niet de inhoud van de e-mails en gesprekken) van elke internet- en telefoongebruiker voor tenminste een half en maximaal twee jaar op te slaan. In Nederland slaan we de data één jaar op. In andere Europese landen verschilt het van zes maanden in Duitsland tot een volle twee jaar in Polen.

Dit betekent dat er een jaar aan gegevens van elke Nederlander ligt opgeslagen bij internet- en telefoniemaatschappijen. Dat is een hooiberg voor de AIVD om terroristen in te vinden, maar een potentiële privacyramp als een database ooit lek blijkt. En een goudmijn voor een datamijnwerker zoals ik. Onze riante wetgeving helpt mij aan een betrouwbare persoonlijke database waar ik in kan gaan spitten.

Dit voorjaar heb ik een eerste poging gedaan om deze gegevens aan te boren. Met artikel 35 van de wet op persoonsgegevens onder de arm, klopte ik bij T-Mobile aan. Ik kreeg toen, keurig binnen de termijn van vier weken, een overzicht met de volgende persoonsgegevens: wie ik ben, wanneer ik geboren ben, hoelang ik al een abonnement heb en welke telefoon ik gebruik. Informatie die mij al via andere wegen bekend was. Niet de informatie waar ik op hoopte.

Het gaat me om de metadata die, volgens de wet, een jaar in de T-Mobile-datakluis moet worden opgeslagen. Na wat aandringen kreeg ik als antwoord: ‘Een heel jaar kunnen we niet aan beginnen, maar je mag tien dagen uitkiezen.’ Onder protest ben ik daarmee akkoord gegaan en ondanks de beperkte verzameling gegevens, is het resultaat een eye-opener. Met Google Maps kun je het resultaat zien van één dag van een deel van deze metadata. Je ziet de GSM-masten waarmee ik verbinding heb gemaakt op 11 maart 2012. Dit is voor één dag.

Laat staan als je tien dagen kunt bekijken. Of een heel jaar. Of jaren lang elke dag de gegevens van 711 miljoen EU-burgers, zoals de Europese opsporingsdiensten.

Selectieve verontwaardiging

Datgene waarvoor de NSA en haar zusje de GHCQ bedrijven moeten dwingen, eigen afluisterstations moeten inrichten en duizenden werknemers aan het werk hebben gezet, is in de EU bij wet geregeld. De overheid betaalt geen cent voor de vergaring en opslag van al die gegevens en verkrijgt er redelijk simpel inzicht in.

Nu gaat de NSA verder, doordat ze tot ver over haar eigen grenzen haar methodes toepast. Maar ik krabte me toch even achter de oren over de ophef van afgelopen week, aangezien we hier in Europa met soortgelijke surveillance zelf hebben ingestemd. Voordat we onze verontwaardiging richten op de NSA en de GHCQ, moeten we wellicht eerst nagaan welke wetgeving we zelf geschapen hebben en met welk doel ook alweer.

Gelukkig zijn er genoeg groepen die al jaren kritisch zijn over deze wetgeving van de EU, zoals het Nederlandse Bits of Freedom en het Ierse Digital Rights. De website van Digital Rights.Die laatste spande in 2006 een rechtszaak aan tegen de nieuwe regelgeving. De nationale rechtbank vroeg om advies aan het Europese Hof in deze zaak en die gaf op haar beurt een advocaat-generaal de opdracht met een uitspraak te komen over de Europese Regelgeving. Vorige week was het dan eindelijk zo ver. De advocaat-generaal van het Europees Hof, Pedro Cruz Villalón, concludeerde Lees hier meer over de uitspraak van de advocaat-generaaldat de masale opslag van deze gegevens, in strijd is met het Europees Handvest van de Grondrechten van de Europese Unie:

‘Door aanbieders van elektronische communicatiediensten te verplichten om verkeers- en localisatiegegevens van elektronische communicatie te verzamelen en te bewaren, vormt de richtlijn een duidelijke inmenging in het grondrecht van burgers op eerbiediging van hun privéleven.’

Het is nog afwachten wat het Europese Hof met dit advies gaat doen en wat vervolgens de nationale rechtbank in Ierland zich hier van aantrekt. Maar als Cruz Villalón zijn zin krijgt, begint de klok te tikken voor ons datamijnwerkers om onze verkeersgegevens in handen te krijgen.

Dit artikel verscheen eerder op De Correspondent

We zijn elkaars ergste spion dankzij iPhone en Facebook

Het Amerikaanse Bureau voor Nationale Veiligheid (NSA) trekt zich niets aan van de privacy van burgers en politici. Maar wat is gevaarlijker: een al dan niet bebaarde terrorist met een bom in de koffer of een legioen onzichtbare ambtenaren dat onbeperkt onze gegevens bekijkt? Dat laatste dus.Bijna één op de zes wereldburgers heeft tegenwoordig een Facebook-account. Het meest populaire netwerk ter wereld is sinds augustus 2013 meer dan 100 miljard dollar waard dankzij de miljarden uren die gebruikers op het netwerk doorbrengen. De aldus verzamelde data worden doorverkocht aan de hoogste bieder of gratis aan de overheid gegeven. In ruil daarvoor hebben we een blauwe like-knop op elke webpagina en inzicht in de meest onnozele kanten van onze vrienden.

Lees het hele artikel op: Trouw of Sociale Vraagstukken

Privacy is een functie van veiligheid

– Dit blog verscheen eerder bij Data denkers, een site van het Rathenau Instituut. –Deze week bleek dat zelfs de mobiele telefoon van Angela Merkel wellicht doel was van de aftappraktijken van de NSA. Douwe Schmidt vraagt zich af of het opgeven van onze privacy wel daadwerkelijk bijdraagt aan een veiligere samenleving, en waar wij met onze digitale bezigheden allemaal zonder te denken data achterlaten.

Sinds 2009 blog ik. Een kleine en krimpende minderheid van mijn lezers heeft geen Facebook. Bijna één op de zes wereldburgers heeft tegenwoordig een account. Het meest populaire netwerk ter wereld is sinds augustus 2013 meer dan 100 miljard dollar waard door al die miljarden uren die de gebruikers op het netwerk doorbrengen. De wereld heeft voor meer dan 100 miljard dollar gratis arbeid geleverd aan het datahandeltje van Mark Zuckerberg. Deze data wordt doorverkocht aan de hoogste bieder. Of gratis aan de overheid gegeven. Als dank hiervoor hebben we een blauwe like-knop op elke webpagina en inzicht in de meest onnozele kanten van onze vrienden. Thanx Mark. De minderheid die niet op Facebook zit is zo gek nog niet.

Continue reading Privacy is een functie van veiligheid