Transcript Informatiebeveiliging Thuis - Guilherme Luttikhuizen dos Santos

Informatiebeveiliging thuis:
Privacy is geen misdaad
Guilherme Luttikhuizen dos Santos
Maart 2014
Wachtwoorden
Anonimiteit
Bestanden
Browsing
Wachtwoorden
Anonimiteit
Bestanden
Browsing
Bij het gebruik van wachtwoorden kunnen de volgende 3 problemen optreden met
als gevolg dat je gegevens beschikbaar zijn voor derden:
Je gebruikt zwakke, makkelijk te kraken wachtwoorden;
 Anderen kunnen het wachtwoord aflezen van hetgeen je typt op het toetsenbord.
 Je gebruikt hetzelfde wachtwoord (of een soortgelijke variant) op verschillende
websites / portals / devices.

Oplossing: gebruik een password manager
en laat deze voor elke service unieke en
sterke wachtwoorden creëren.
Voorbeelden: KeePass (open source),
LastPass, 1Password, Password Safe, etc.
Ik gebruik wachtwoorden als:
3nNH$R/N;%3z1K@}jdP`7:0k,%(^597>tib
Wachtwoorden
Anonimiteit
Bestanden
Browsing
Voordelen van een password manager:
Slaat al je wachtwoorden encrypted op. Toegang door middel van 1 master
wachtwoord.
 Kan veilige wachtwoorden genereren, opslaan en categoriseren.
 Geen installatie nodig en toegankelijk op meerdere computers (door het
versleutelde wachtwoordbestand in combinatie met de cloud te gebruiken).
 Door middel van auto-paste functie kost het je vrijwel geen extra moeite.

Methode van aanpak:
Laat je password manager veilige wachtwoorden genereren per service.
Verander online het wachtwoord van de service naar dit nieuwe wachtwoord.
 Gebruik voortaan je password manager om in te loggen.
 Doe dit voor de zekerheid ook met het antwoord op de geheime vraag.
 Maak voor de zekerheid backups van je password bestand.


Wachtwoorden
Anonimiteit
Bestanden
Browsing
Check op shouldichangemypassword.com ook even of je huidige wachtwoorden
al publiekelijk zijn gehackt.
Let op:
 Dit is geen zekerheid dat je nu
veilig bent;
 Het is alsnog aan te raden om
overal veilige wachtwoorden te
implementeren.
Wachtwoorden
Anonimiteit
Bestanden
Nog een tip:

Gebruik waar mogelijk 2-factor authentication!
Dit kan bijvoorbeeld bij Gmail, Hotmail, Facebook,
LinkedIn, Twitter, DropBox, PayPal of je Bitcoin wallet.
 Zo kan je account alleen worden gehackt als de
hacker toegang heeft tot zowel je wachtwoord als
je telefoon.
Echter, de meest lange en veilige wachtwoorden hebben alsnog geen nut:

Als er een keylogger op je computer staat (zie slide 7);

Bij phishing of man-in-the-middle attacks (zie slide 8);

Als de website ze in plain text (niet encrypted) opslaat in de database.
Browsing
Wachtwoorden
Anonimiteit
Bestanden
Browsing
Mitigerende maatregel tegen schade door keylogging software:
 Virtual keyboard, maar dat is niet echt praktisch.
 Beter is een anti-keylogger, zoals Keyscrambler.
Keyscrambler:
 Encrypt alles wat je typt in real-time, en decrypt het in de browser of applicatie;
 Zorgt niet voor verlies van prestatie of snelheid.
Wachtwoorden
Anonimiteit
Bestanden
Mitigerende maatregelen tegen phishing :



Verdiep je in de basis van online fraude.
Zorg voor up-to-date internet security software, inclusief anti-virus.
Installeer updates (bijvoorbeeld van Windows, Java of Adobe) tijdig.
Mitigerende maatregelen tegen man-in-the-middle attacks:
Deze komen vrijwel allemaal neer op
sterke encryptie voor authenticatie.
Wat je als gebruiker kunt doen is zoveel
mogelijk een encrypted verbinding
gebruiken. Voorbeelden zijn HTTPS en
VPN. Hierover later meer.
 Als je écht voor MITM attacks vreest,
gebruik dan DNS Crypt.

Browsing
Wachtwoorden
Anonimiteit
Bestanden
Bestanden of folders versleutelen?
USB stick of externe harde schijf
versleutelen?

Er zijn veel tools, maar bij Google
zoekopdrachten, online publicaties,
vergelijkingen en experts komt het
open-source programma TrueCrypt
steeds als winnaar uit de bus.
Deze versleutelt (AES-256) wat je wilt
tot een voor derden onbruikbare file.
 De file kan je enkel decrypten met een
wachtwoord.
 In combinatie met bijvoorbeeld een
wachtwoord manager als KeePass kun
je je files beveiligen met een
wachtwoord van 65 karakters.

Browsing
Wachtwoorden
Anonimiteit
Bestanden
Zorg altijd voor meerdere backups van je bestanden.
Het is aan te raden om zowel online als offline backups te hebben.

Online (DropBox, Google Drive, Skydrive, Crashplan, etc.)

Offline (externe harde schijf)
Zelf heb ik een externe harde schijf zowel thuis als bij een vriend liggen.
Hierdoor gaat er geen data verloren in geval van diefstal of brand.
Zorg er natuurlijk wel voor dat je je backups zowel online als op
externe harde schijf versleutelt, bijvoorbeeld met TrueCrypt.
Browsing
Wachtwoorden
Anonimiteit
Bestanden
Gebruik waar mogelijk een HTTPS (encrypted) verbinding.
Must-do:
 Installeer de extensie HTTPS everywhere (Chrome, Firefox).
 Deze zorgt ervoor dat je standaard HTTPS gebruikt waar mogelijk.
Overige maatregelen om privacy te waarborgen:

Gebruik InPrivate browsing (incognitomodus).

Installeer de browser extensie Adblock Plus (IE, Chrome, Firefox).

Installeer de browser extensie DoNotTrackMe (IE, Chrome, Firefox).

Log altijd uit wanneer je een service niet meer gebruikt.
Browsing
Wachtwoorden
Anonimiteit
Bestanden
Browsing
Je IP adres is de makkelijkste manier om je online activiteiten te traceren naar
jou als persoon.
Anonimiteit wordt bereikt wanneer je je IP adres verborgen houdt. (zie slide 13-23)
Globaal gezien zijn er drie mogelijkheden om je IP adres te verbergen:
 Tor en alternatieven
 VPN
 Proxies
Wachtwoorden
Anonimiteit
Bestanden
Browsing
Tor is een netwerk dat wordt gebruikt voor anonieme communicatie.
Voor anoniem browsen, gebruik de Tor Browser bundle.
Je verkeer gaat dan encrypted door een willekeurig pad van verschillende
Onion servers naar de bestemming.
 Elke tussenstap krijgt alleen de informatie van de vorige server.
 Zo lijkt het voor de eindbestemming alsof het bericht van de laatste Onion
server komt. Geen enkel tussenstation kent het gehele traject.
 Hierdoor is het onmogelijk om te bepalen waar de data vandaan komt.


Wachtwoorden
Anonimiteit
Bestanden
Browsing
Tor wordt bijv. gebruikt door journalisten die kritiek leveren op autoritaire regimes.
Ook is een groot deel van the deep web alleen te bereiken via Tor (.onion websites).
Let op:
 Check voor de zekerheid of Javascript en Flash in Tor uitstaan. Deze kunnen
namelijk je identiteit vrijgeven.
 Gebruik Tor niet om zaken te bestellen of om in te loggen in persoonlijke accounts!
 Tor is (door alle tussenstappen) in het gebruik langzamer dan andere browsers.
Wachtwoorden
Anonimiteit
Bestanden
I2P staat voor The Invisible Internet Project.
I2P is een peer-to-peer anonimiseringsnetwerk, die ervoor zorgt dat
je huidige internet activiteiten (HTTP, e-mail, file sharing, etc.)
anoniem worden.
Het is dus een netwerk laag die door andere applicaties gebruikt kan
worden om anoniem data te versturen.
Het verkeer wordt end-to-end
versleuteld.
 Ook kun je hiermee .I2P sites
bezoeken.
 Open source.

Browsing
Wachtwoorden
Anonimiteit
Bestanden
Browsing
Freenet wordt voornamelijk gebruikt voor het anoniem uitwisselen van bestanden.
Je kunt er echter ook anoniem mee internetten. Freenet is volledig gedecentraliseerd:
Elke gebruiker van Freenet stelt een stuk van zijn harde schijf
beschikbaar als opslagruimte.
 Je kunt een bestand opslaan op Freenet en dan wordt het
bestand in stukjes op meerdere computers versleuteld opgeslagen.
 Je krijgt een unieke sleutel, waarmee je altijd je bestand kan opvragen.

Andere gebruikers slaan dus ook bestanden op
jouw harde schijf op. Deze zijn versleuteld en je
kunt niet zien wat het precies is. Er bestaat dus
een kans dat het illegale content bevat, maar dit
kun je niet weten. Tips:


Gebruik Truecrypt voor extra versleuteling.
Maak voor jezelf een afweging tussen
open modus en friends-only modus.
Wachtwoorden
Anonimiteit
Bestanden
Browsing
Een VPN-verbinding wordt veel zakelijk gebruikt, maar ook thuis heeft een VPN veel
voordelen:
Een VPN encrypt al het netwerkverkeer en is dus immuun voor sniffing attacks.
 Je computer neemt het IP adres van de VPN server aan.
 VPN providers stellen je in staat om verbinding te maken met servers in
verschillende landen. Zo heb je voor de buitenwereld bijvoorbeeld een IP uit
Rusland en kun je in een paar tellen switchen naar een IP uit Canada.
 Zo kun je ook regioblocks omzeilen: je kunt series en films op Hulu.com kijken
vanuit de VS, de Engelse uitzendinggemist van de BBC vanuit Engeland, etc.

Wachtwoorden
Anonimiteit
Bestanden
Na het debacle dat een Lulzsec lid
is gepakt doordat de VPN provider
logging bijhield, is het issue van
logging erg belangrijk geworden.

Voor anonimiteit, kies een VPN service
die geen logging bijhoudt. Lees de
privacy policy van de VPN provider.

Voor een overzicht van VPN providers en
de mate van logging, zie dit en dit artikel.

Google de VPN provider gevolgd door
‘logging’ om het te checken.
Browsing
Wachtwoorden
Anonimiteit
Bestanden
Browsing
Een VPN thuis is een uitstekende manier om jezelf online te beschermen, ook als je
bijvoorbeeld torrents download.
Al je online activiteiten worden dus gelinkt aan het IP adres van je VPN provider (uit
bijv. Rusland) en niet aan je eigen IP adres. Zelfs je eigen ISP kan de inhoud van het
verkeer niet zien (het is tenslotte encrypted).
Let op:
 Kies een VPN die gebruik maakt van het OpenVPN protocol.
 Een goede VPN heeft DNS leak protection en een VPN kill switch, die je internet
meteen uitzet als de verbinding met de VPN uitvalt (om anonimiteit te bewaren).
 Vertrouwen in een VPN provider is erg belangrijk.
 Veel goede VPN-providers kosten geld, maar er zijn ook enkele gratis providers.
 Als je serieus bent over internet veiligheid, kun je beter een betaalde VPN nemen.
Betaal je VPN in bitcoins en gebruik een disposable e-mail adres voor
extra anonimiteit! Gebruik geen creditcard of iets dergelijks die naar
jou kan worden gelinkt.
Wachtwoorden
Anonimiteit
Bestanden
Browsing
Een open proxy server is een server tussen jouw computer en het internet.
Door gebruik van een proxy server is je IP niet zo makkelijk te achterhalen.
Proxies slaan bezochte pagina’s op in een buffer, zodat toegang sneller wordt.
 Er zijn honderden gratis proxy servers en in veel browsers kun je ze standaard
activeren.


Wachtwoorden
Anonimiteit
Bestanden
Browsing
Proxies en VPN’s veranderen beiden je IP adres en zitten beiden tussen jouw computer
en het internet. Toch zijn er enkele belangrijke verschillen tussen een proxy server en een
VPN:






Een VPN encrypt de verbinding en een proxy niet.
VPN’s gelden voor al je internetverkeer, terwijl een web proxy alleen voor HTTP geldt.
Veel publiekelijk vrij toegankelijke proxies hebben lage snelheden, zijn onveilig en
onstabiel. Wie is de eigenaar van de proxy en wat gaan ze met je data doen? Bij VPN’s
spelen deze problemen niet. Het is tenslotte een virtual private network.
Ook kunnen proxies door gebruik van Flash of Javascript soms je echte IP vrijgeven. Bij
VPN’s kan dit niet.
VPN provider moet vaak met software worden geïnstalleerd, terwijl een web proxy
makkelijker te configureren/gebruiken is.
VPN’s kunnen alle regioblocks omzeilen, terwijl proxies enkel sommige (niet alle) blocks
omzeilen, omdat veel web proxies worden geblokkeerd door sommige websites.
 Hierdoor heeft een VPN de voorkeur, maar deze zijn vaak duurder.
Wachtwoorden
Anonimiteit
Bestanden
Browsing
Anonimiteit is niet altijd 100% te garanderen, maar je kunt wel maatregelen nemen
om dicht bij de 100% te komen.
Als je écht anoniem wilt zijn, gebruik Linux in combinatie met Tor/I2P en een VPN.
 Ook is het aan te raden om regelmatig je IP adres te veranderen.

Dit zorgt voor 99% anonimiteit.
Wil je echt 100% halen, gebruik dan een air gap: koop een nieuwe computer en laat
deze nooit met internet verbinden. Contact met de air gap computer verloopt enkel via
een beveiligde USB stick.
Wachtwoorden
Anonimiteit
Bestanden
Browsing
Als voorgaande maatregelen niet genoeg voor je zijn, kun je het volgende doen:

Gebruik 2 verschillende VPN’s. Zo gaat de ene encrypte verbinding door nog een
andere encrypted tunnel. Zo weet VPN1 je echte IP adres, maar niet de content van je
internetverkeer, en weet VPN2 wel de content van je internetverkeer maar niet je
echte IP adres.

Encrypt je harde schijf inclusief operating system (met TrueCrypt).

Gebruik ‘hidden volumes’ in je TrueCrypt volumes, waarbij er dus sprake is van een
‘echt’ wachtwoord en een ‘nep’ wachtwoord. Deze geven toegang tot andere files en
folders. Dit is het principe van plausible deniability: niemand kan weten of een
wachtwoord echt of nep is en of er eventueel een nep wachtwoord is.

Gebruik Linux Tails, een op USB installeerbaar OS, gemaakt voor anonimiteit en privacy.
Linux Tails komt inclusief tools voor anoniem browsen en encryptie voor files, folders
en e-mail. Laat lokaal geen traces achter, zelfs niet op een publieke computer. Kan op
USB overal mee naartoe worden genomen.
Uiteindelijk is het aan jezelf om te beslissen of het de moeite waard is om deze
technieken te gebruiken.
Er is vaak een spanningsveld tussen veiligheid en gebruiksgemak.
 Je kunt alleen voor jezelf het optimale punt bepalen.

Door het implementeren van deze maatregelen zijn je bestanden en internetverkeer
met een redelijke mate van zekerheid veilig voor afluisteren en inbraak door:
Je buurman.
Hackers op internet.
Stichting Brein.
 Mensen die (financieel) misbruik van je gegevens willen maken.



Behalve voor…
Luistert communicatie
tussen servers af van
grote internetbedrijven
… de NSA.
Infiltreert het
Tor netwerk
En nog veel meer
Verzamelt metadata
van telefoon- en
internetcommunicatie
Beschikt over
meerdere zero-day
exploits, die het zelf
ontwikkelt of koopt van
derden
Imiteert websites om
malware te installeren
Misbruikt SSL
certificaten
Bouwt een
kwantumcomputer om
wereldwijde encryptie
standaarden te kraken