Veilig online: bouw een waterdichte cloud

© PXimport

Veilig online: bouw een waterdichte cloud

Geplaatst: 29 maart 2018 - 06:48

Aangepast: 14 december 2022 - 13:41

Toon van Daele

Of het nu om veiligheidsdiensten als de AIVD of om criminele hackersbendes gaat, er zijn altijd wel instanties die een ongezonde interesse tonen in wat je online allemaal uitvoert. Je mag helemaal zelf bepalen wie er toegang krijgt tot je surfverkeer, je chats, je sociale media-activiteiten en je cloudopslag, alleen moet je een aantal maatregelen nemen om veilig online te blijven.

Je kunt je online veiligheid nooit 100 procent waarborgen. Wat je wél kunt doen, is het pottenkijkers zo lastig mogelijk maken. Je online veiligheid verhogen werkt eigenlijk op twee niveaus door. Enerzijds houdt dat in dat je je data beter afschermt op het moment dat ze worden getransporteerd, anderzijds dien je de gegevens die je ergens online hebt opgeslagen zo goed mogelijk te beschermen tegen ongeautoriseerde toegang. Deze tweedeling openbaart zich dan ook in dit artikel.

Natuurlijk, wat baat het als je de ene deur stevig vergrendelt als je een andere nonchalant openlaat? Je mag dan nog zo alert zijn tijdens je online activiteiten, als je geen oog hebt voor de beveiliging van je eigen computer(s), komt een hacker alsnog tot bij je vertrouwelijke gegevens. Bijvoorbeeld in de lokale synchronisatiemap van je cloudopslagservice, of bij de wachtwoorden van je online accounts. Het blokkeren van gevoelige ‘lokale’ aanvalslocaties is dus minstens even belangrijk.

01 Openbare wifi

Publieke hotspots horen tot de meest onveilige omgevingen om online te gaan. Zelfs als je er zeker van bent dat een ssid als ‘Free BagelsBeans’ legitiem is en wel degelijk afkomstig is van de bijhorende organisatie, is het zelden veilig om daar gebruik van te maken. Iemand met de juiste tools kan immers alle data onderscheppen die over zo’n netwerk gaan. Dat geldt overigens ook voor het draadloze netwerk van je hotel: het kan al voldoende zijn wanneer een hacker over het bijbehorende wifi-wachtwoord beschikt.

Probeer in elk geval zo veel mogelijk van https-verbindingen gebruik te maken. Stel je mobiele apparaat bovendien zo in dat het zich niet automatisch opnieuw verbindt met een ssid waarmee je al eerder verbonden was. Dat kan via Instellingen / Netwerk en internet / Wifi / Netwerk vergeten (Android), via Instellingen / Wi-Fi / I-knop / Vergeet dit netwerk (iOS) of via Instellingen / Netwerk en internet / Wi-Fi / Bekende netwerken beheren, waarna je de ssid selecteert en Niet onthouden kiest (Windows 10).

De beste remedie is echter het opzetten van een vpn-verbinding (virtual private network), bij voorkeur via een service die je data niet logt.

Media has no description

© PXimport

Ingebouwde vpn

02 Https

Ook wanneer je vanaf een desktop-browser het internet op gaat, kun je dat het best zo veel mogelijk doen via een versleutelde https-verbinding. Dankzij initiatieven als StartCom en vooral ook Let’s Encrypt, die gratis de nodige ssl-certificaten verstrekken, ondersteunen steeds meer websites dit encryptie-protocol (althans, van het Domain Validation-type). Het is wel zo dat heel wat populaire sites als Facebook, Google en LinkedIn er automatisch voor zorgen dat je browser via https zal (trachten te) verbinden, maar dat is lang niet overal het geval. Een gratis plug-in als HTTPS Everywhere (beschikbaar voor Chrome, Firefox en Opera) probeert dat alsnog te forceren. De plug-in PassSec+, helaas alleen beschikbaar voor Firefox, gaat nog een stapje verder: die geeft met kleurcodes aan wanneer je bijvoorbeeld je accountgegevens invult op een niet-versleutelde inlogpagina.

Media has no description

© PXimport

03 Tor & Tails

Wanneer je anonimiteit tijdens het surfen belangrijk vindt, dan kun je overwegen Tor (The Onion Router) in te zetten. Terwijl je in het geval van vpn via een tussenliggende server surft, zet Tor een volledig netwerk van tussenstations in. Dat zorgt ervoor dat je data een willekeurige route langs deze relays volgen, waarbij de ene relay alleen het ip-adres van de vorige en van de eerstvolgende relay kent. Geen enkele machine kent dus het volledige traject.

De eenvoudigste manier om met Tor aan de slag te gaan is met de Tor Browser, die is gebaseerd op Firefox. Je vindt de browser hier voor zowel Windows, macOS als Linux (ook in het Nederlands). Je treft in deze browser tevens knopjes aan waarmee je bepaalde scripts kunt verbieden, enkele privacy-instellingen kunt finetunen en voor een andere route kunt opteren. Let er ook hier op zo veel mogelijk van https gebruik te maken en bij voorkeur geen plug-ins in te zetten. Houd er overigens rekening mee dat Tor je surfsessies merkbaar kan vertragen.

Een nog ingrijpender oplossing is Tails (The Amnesic Incognito Live System), een live Linux-variant die je vanaf een extern medium als een usb-stick opstart. Tails maakt eveneens gebruik van Tor en bevat onder meer HTTPS Everywhere en NoScript. Hier vind je installatie-instructies voor diverse systemen.

Media has no description

© PXimport

04 E-mail

De kans is groot dat je voor je e-mailverkeer een browser met https-verbinding gebruikt. Zet je regelmatig ook een desktop-client als MS Outlook in, dan is de kans groot dat je e-maildata onversleuteld over internet gaan (tenzij je een vpn gebruikt). Om dat te vermijden, kun je het best gebruikmaken van een ssl/tls-connectie, mits je provider dat ondersteunt. Wordt je mail dan onderschept, dan ziet de hacker uitsluitend rommel, aangezien alleen de e-mailserver en -client over de benodigde decryptiesleutels beschikken.

Een alternatief is dat je zelf een digitaal certificaat installeert. Comodo biedt zo’n certificaat gratis aan. Of je maakt gebruik van een (eveneens gratis) oplossing als Gpg4win, waarmee je op basis van een stevige OpenPGP-2048bit-versleuteling end-to-end-encryptie voor je mailverkeer inzet. Je dient dan wel je eigen digitale certificaat te creëren, bijvoorbeeld met behulp van de meegeleverde certificaatsbeheerder Kleopatra.

De installatie en initiële configuratie van digitale certificaten zijn wel enigszins bewerkelijk en je moet bovendien over de publieke sleutel van de beoogde ontvanger beschikken om hem een versleuteld bericht te kunnen toesturen. Anders gezegd: beide partijen moeten zo’n digitaal certificaat hebben geïnstalleerd.

Media has no description

© PXimport

05 Mailservices

Je kunt eventueel ook gebruikmaken van een externe service als het Zwitserse ProtonMail (gratis met beperkingen: 150 berichten per dag met 500 MB opslagruimte). Mobiele apps worden aangeboden, maar het werkt niet samen met andere mail-apps als Outlook. Wel kun je versleutelde mails op basis van een afgesproken wachtwoord uitwisselen met personen die zelf geen ProtonMail-account hebben. Het is ook mogelijk een vervaldatum aan je berichten te koppelen, waarna die automatisch worden vernietigd. Een andere, vergelijkbare dienst is het Duitse Tutanota (tutanota.com). Beide diensten beschikken zelf niet over de decryptiesleutels voor je mail en kunnen je berichten dus niet ontcijferen.

Media has no description

© PXimport

06 Chat

Gebruik je populaire chat-apps als WhatsApp, Snapchat of Facebook Messenger, dan zit je al behoorlijk safe, aangezien deze diensten je chatberichten kunnen versleutelen. Behoorlijk veilig dus, want het kan weleens gebeuren dat er hiaten in de gebruikte encryptiemethode worden ontdekt. Let wel op dat deze encryptie alleen geldt voor chatberichten, en niet voor foto’s, video’s en spraakberichten. Bovendien is er nog altijd veel metadata beschikbaar, zoals met wie je communiceert, waar en wanneer.

Met Facebook Messenger is het bovendien even opletten geblazen: standaard worden berichten namelijk niet ‘end-to-end’ versleuteld; dat moet je zelf instellen op je mobiele apparaat. Open een conversatie in Messenger, tik het I-knopje aan en kies Naar geheim gesprek gaan. Bevestig met OK. Of je tikt het gesprekspictogram in het Home-venster aan en je verschuift het hangslotje naar rechts.

Een gratis alternatief met een solide reputatie is Signal, beschikbaar voor Android en iOS. Deze app voorziet in end-to-end-encryptie op basis van een opensourceprotocol en kan ook telefoongesprekken versleutelen. Er is tevens een Chrome-extensie beschikbaar voor gebruik op je computer.

Cloudopslag

Er zijn weliswaar heel wat cloudopslagdiensten die je data onderweg en ook in de cloud versleutelen, maar veelal heeft de aanbieder de encryptiesleutel (ook) in handen en kan hij die bijvoorbeeld aan bepaalde overheidsinstanties doorspelen. Met een gratis tool als Cryptomator (beschikbaar voor Windows, macOS, Linux en voor mobiele apparaten) steek je daar een stokje voor. Deze tool zorgt er namelijk voor dat de gegevens in je lokale synchronisatiemap worden versleuteld voordat ze naar de cloudopslagdienst worden verstuurd. De werking is relatief eenvoudig: je creëert één of meerdere versleutelde mappen oftewel ‘kluizen’ en die bewaar je dan in de gewenste synchronisatiemap. Nadat je een bijbehorend wachtwoord hebt ingevoerd, komt je kluis beschikbaar als een virtueel lokaal station. Zodra je Vergrendel kluis aanklikt, zijn er alleen nog maar versleutelde data (256bit-AES) te zien.

Media has no description

© PXimport

2FA

Media has no description

© PXimport

Sociale media

Is jouw privacy je lief? Gebruik dan liever helemaal geen sociale media, ongeacht of je je graag beschermt tegen overheden of hackers. Het is nauwelijks te bevatten welke informatie gebruikers via sociale media allemaal over zichzelf prijsgeven. Wanneer je je privacy-instellingen niet goed voor elkaar hebt, kan zo’n beetje iedereen bij die informatie. Hackers kunnen die dan bijvoorbeeld misbruiken voor ‘spear phishing’ (valse berichten die jou specifiek in het vizier hebben) of om makkelijker jouw identiteit aan te meten (in het geval van identiteitsfraude). Ben je actief op Facebook, dan kan een bezoek aan www.stalkscan.com ontluisterend werken.

De moraal van dit verhaal mag duidelijk zijn: maak informatie op je sociale media voor zover mogelijk uitsluitend zichtbaar voor degenen met wie je die effectief wenst te delen. Nagenoeg alle sociale media hebben daartoe een privacy-rubriek waar je een en ander kunt aanschroeven. In Facebook bijvoorbeeld klik je het kleine pijltje rechtsboven aan en kies je Instellingen / Privacy. In het geval van Google kun je je aanmelden bij https://myaccount.google.com/privacycheckup, waarna je de wizard opent via Nu starten en alle instellingen checkt.

Media has no description

© PXimport

Cloudservices

We raden je tevens aan na te gaan welke cloudservices je intussen allemaal aan je Google-account of je Facebook-account (open Facebook en kies Instellingen / Apps) hebt gekoppeld. De kans is groot dat er een aantal diensten tussen zitten die je niet langer gebruikt. Die accounts kun je dan maar beter opzeggen. Een site als deze, met directe links naar talrijke opzegpagina’s, kan daarbij handig zijn. Of je meldt je met je Google- of Outlook-account aan bij www.deseat.me (de site zelf ontvangt hierdoor niet je aanmeldgegevens), waarna je een overzicht krijgt van de services waarbij je een account hebt. Via de optie Delete queue verplaats je zo’n service naar een lijst met overtollige accounts. Tref je bij die service een Delete-knop aan, dan word je naar de pagina geleid waar je je kunt uitschrijven. In het andere geval moet je zelf op zoek naar de eigenlijke opzegpagina.

Deel dit artikel
Voeg toe aan favorieten