Privacy Review: Apple Health en Microsoft Health Vault

Apple Health

Groot nieuws, Apple gaat de wereld (weer) een beetje beter maken met Apple Health, een unieke app van Apple die misschien wel een nieuwe health-revolutie ontketent! Nu ja, uniek…  Microsoft (Health Vault in 2012) en Google (Google Health in 2008!) zijn Apple voor de verandering een paar jaar voor.

Maar wat is Apple Health precies?

De informatie is nog schaars, maar de opzet lijkt al duidelijk: Apple wil alle gezondheidsinformatie die via verschillende apps verzameld worden op het iOS8 platform bundelen met zijn eigen overkoepelende app Health. Wat voor toepassingen denkt men bij Apple aan?

  • Alle verzamelde gezondheidsdata onder een vinger beweging
  • Nood informatie op het lock scherm (bloedgroep, allergien, …)
  • Dashboard data met recente fitness info en eetpatronen
  • Delen van data tussen verschillende apps

Kortom: Health Central op je iOS toestel. Het klinkt als iets waar een belangrijk deel van de Apple doelgroep interesse in zou kunnen hebben. Health apps zijn sowieso een succes voor Apple, getuige het schier oneindige aantal Health & Fitness apps dat al beschikbaar is.

Uiteraard ben ik wat sceptisch over het delen van al mijn health info met Apple. Niet omdat ik het idee van noodinfo op het lockscherm slecht vind (heel goed eigenlijk) maar wel omdat ik vrees dat het gewoonlijke business model ook op gezondheidsinfo van toepassing zal zijn, namelijk dat de data linea recta op de servers van Apple staat.

Microsoft Health Vault

Microsoft Health Vault

Die aanname over gezondheidsdata op Apple servers is echter nog wat voorbarig, de toepassing is immers net aangekondigd. Dus richt ik me maar op “the next best thing”, Microsoft Health Vault en dan in het bijzonder op de manier waarop data wordt beveiligd en op de privacy policy. Google Health kan ik niet bekijken aangezien die dienst simpelweg mislukte en al jaren weer offline is, Google was er duidelijk te vroeg bij.

Wat is de Health Vault? In feite een portaal (zie screenshot) met een overzicht van alle info die je hebt verstrekt, varierend van bloeddruk, gewicht, allergien etc. Precies wat je zou verwachten van een dergelijke applicatie. Wat is verder nog vermeldenswaardig:

  • Je kunt meerdere personen toevoegen, bij aanmelding bevestig je dat je expliciete toestemming hebt van deze personen
  • Koppeling met diverse health apps die Microsoft aanbiedt
  • Een emergency profile van waaruit je een print kunt maken voor in de portemonnee
  • De mogelijkheid om “Custodians” aan te duiden die volledige toegang krijgen
  • Een optie om info te sharen, met de uitdrukkelijke vermelding dat de uitnodiging via een “unencrypted mail message” wordt verstuurd

Meest opvallende feature: voor vandaag had ik nog nooit gehoord van de Microsoft Health Vault. Misschien is het bewust niet gemarketeerd in de EU vanwege al die lastige privacy richtlijnen?

Encryptie

De waarschuwing rond de “unencrypted email” insinueert dat je profiel versleuteld wordt opgeslagen, men benadrukt immers dat het bericht om te sharen niet encrypted is. Encryptie ligt ook voor de hand, maar ik moet de Help sectie induiken om informatie te vinden over de wijze van opslag. Microsoft geeft aan (zie privacy & security sectie) dat de servers in gecontroleerde faciliteiten zitten (wat dat ook moge betekenen), dat communicatie tussen apps en de Health Vault servers altijd geëncrypteerd is en tot slot dat backups altijd geëncrypteerd worden.

Wat staat er opvallend genoeg niet? Dat de servers zelf ook geëncrypteerd worden. Noem mij maar cynisch, maar de ervaring leert dat als iets geld kost en het er niet specifiek staat, het er ook niet is. In dit geval zou dat een gigantische tekortkoming zijn: het gaat om medische gegevens die open en bloot op servers in een “gecontroleerde faciliteit” staan. Als gecontroleerd betekent dat iemand er op let, dan heeft die iemand dus ook toegang tot al je gegevens. Geruststellend!

Privacy

Encryptie viel dus tegen, maar hoe zit het dan met de privacy statement? Die is zoals gebruikelijk lang en niet toegankelijk, maar ondertussen ken de ik de Microsoft privacy statements een beetje. De stukken die er toe doen:

  • Microsoft heeft geen richtlijnen rond privacy praktijken van externe programma’s die je toegang kunt geven tot je data (maar die toegang heb je zelf in de hand)
  • Informatie die je hebt geshared met iemand kan weer geshared worden door die persoon (al dan niet bewust) met externe programma’s
  • Ook niet onbelangrijk: “We may collect information about your visit to account.HealthVault.com, including the pages you view, the links you click, and other actions taken in connection with the Service.”
  • En de klassieke: “Microsoft may access and/or disclose your personal information if we believe such action is necessary to: (a) comply with the law or respond to legal process served on Microsoft; or (b) protect the rights or property of Microsoft (including the enforcement of our agreements).”

Conclusie

Meest schokkende vind ik het gebrek aan encryptie van de data op de Microsoft Health Vault servers. Dit is in Belgie ondenkbaar, zo is het Vitalink initiatief van de Vlaamse Overheid zo opgezet dat de overheid zelf geen enkele inzage kan hebben in de data. Het is uiteraard nog koffiedik kijken, maar ik betwijfel of Apple de gebruikersdata wèl gaat encrypten.

Qua privacy lijkt het niet zo slecht in elkaar te zitten met uitzondering van de lacune dat Microsoft zegt geen invloed te (willen) hebben op de privacy policies van aangeboden externe apps. Uiteraard is er ook de eeuwig aanwezige uitzondering dat je medische data bij een Amerikaans bedrijf neerzetten een garantie is op indexatie door inlichtingendiensten, maar dat moet ondertussen algemene kennis zijn.

Al met al kon het erger, maar mijn (correcte) data zal er niet op te zien zijn: de enige opzet die een dergelijke app voor mij interessant zou kunnen maken is wanneer de data op mijn toestel wordt versleuteld en ook zo op de servers van Apple en Microsoft terecht komt.

PS: hopelijk gaat iemand er nog iets aan verdienen, Apple blijkt zijn ondersteunende toepassing “Health Kit” te noemen. Een naam die al even in gebruik is door een website die… een portaal aanbiedt voor gezondheidsgegevens.

eCall en Privacy objectief bekeken

eCall BMW

Gisteren, 26 februari 2014, stemde het Europees Parlement in met de eCall Verordening. Deze verordening verplicht alle fabrikanten actief binnen de Europese Unie om per 1 oktober 2015 nieuwe auto’s te leveren met het eCall systeem geimplementeerd.

Dit gaat uiteraard gepaard met het doorgeven van lokatie- en metadata dus privacy voorvechters doorheen de EU gingen collectief “Boe!” roepen, maar niet altijd even gefundeerd. Ik probeer de werking van eCall te bekijken en objectief te bedenken of er nu levens gered worden of privacy geschonden. Of beiden natuurlijk.

Wat is eCall?

eCall is de technologie die snelle hulpverlening bij ongevallen binnen de Europese Unie mogelijk moet maken. Dit werkt met een “black-box” voorzien in auto’s die GPS coordinaten en andere informatie doorstuurt naar hulpverleningsinstanties zoals 112. Aangezien hulpverleners exactere informatie krijgen die efficienter wordt doorgegeven is het mogelijk bij ongevallen cruciale tijd te winnen waarmee uiteindelijk levens worden gered. Ook niet onhandig: door snellere afhandeling van ongelukken zouden files moeten verminderen.

Hoe werkt eCall?

Informatie genoeg over hoe eCall werkt. Helaas is dit vaak op  kleuterniveau, zoals dit filmpje van BMW. Ik was op zoek iets meer technische details en die vond ik ook. Voordat eCall officieel gestemd werd liep er een uitgebreide pilot van januari 2011 tot januari 2013 in meerdere EU landen waaronder Belgie en deze bleken prima gedocumenteerd. De werkwijze van de pilot in Belgie zoals beschreven in de documentatie:

  1. Een eCall kan automatisch (doordat de sensoren in de auto een ongeval registeren) of manueel (doordat de bestuurder handmatig een eCall initieert) geactiveerd worden.
  2. Het Mobistar netwerk (in de pilot toch) herkent de eCall en stuurt deze door naar een speciaal nummer van de “filter entiteit” (Belgie koos voor een implementatie met een derde partij: eCalls gaan niet rechtstreeks naar 112 maar komen eerst terecht bij een andere partij, in Belgie de pechhulpverlener  Touring)
  3. Bij de filter entiteit wordt de MDS (Minimum Data Set, zie onder) verwerkt en opgeslagen in een database
  4. Na de verwerking van de MDS komt de eCall terecht bij een operator (oftewel, een mens) die de afweging maakt of het om een echte noodomroep gaat. Zoja voegt hij dit toe aan de data en neemt contact op met de nooddiensten
  5. De MDS wordt doorgestuurd naar ASTRID (Belgisch noodoproep- en communicatiesysteem van politie e.a.) en de operator van Touring praat met een operator van ASTRID. De operator van ASTRID kiest uit een overzicht dat tot zijn beschikking staat de juiste eCall en neemt de eCall over.
  6. De ASTRID operator neemt contact op met de bestuurder of passagier van de betreffende auto en heeft alle informatie van de MDS en Touring beschikbaar
  7. De eCall wordt afgehandeld zoals een “gewone” 112 noodoproep

Ik weet niet hoe lang dit in de praktijk allemaal duurt maar echt efficient vind ik het niet. Wanneer alle betrokkenen bij een ongeval dood, bewusteloos of anderzijds immobiel zijn is dit een prima oplossing. Is dat niet het geval lijkt rechtstreeks 112 bellen met de GSM toch aanzienlijk sneller.

De MDS

De MDS is de basis van het eCall systeem. Het is de minimale data set aan gegevens die doorgespeeld wordt aan de diensten die een eCall binnenkrijgen. Wat zit er in de MDS:

  • Een unieke ID
  • Of de eCall manueel of automatisch was
  • Type (test of echt)
  • Voertuig type
  • Voertuig identificatie nummer
  • Brandstof
  • Timestamp
  • Voertuig locatie (obv GPS coordinaten)
  • Vertrouwen in positie (er is een mogelijkheid een laag vertrouwen attribuut mee te geven indien er problemen zijn een goede positie door te geven)
  • Richting van het voertuig (voor bepalen rijbaan)
  • Aantal passagiers (Optioneel)
  • Recente locaties (Optioneel)
  • Overige optionele data (te bepalen door fabrikant, maar uiteraard toegankelijk voor ontvangers eCall)

Ok, maar waar zijn de privacy schendingen?!

Een kleine bloemlezing die ik willekeurig van het internet pluk:

Maar persoonlijk heb ik met de basis implementatie zoals die in veel Europese documenten beschreven wordt weinig moeite vanuit privacy oogpunt, overal wordt specifiek de 95/46 richtlijn vermeld rond data bescherming en ook de Artikel 29 werkgroep heeft zijn zegje gedaan. Ok, er worden tussen GSM masten locatiegegevens heen en weer gestuurd maar door wie die opgevangen zouden moeten worden en hoe die gekoppeld worden tot bruikbare data zie ik niemand beschrijven. Het valt me ook op dat de klassieke grote namen (zoals Bits of Freedom) opvallend stil zijn over eCall.

Maar goed, het is en blijft een systeem dat data verzamelt en rondstuurt. Laat het maar aan Europa over een paar caveats op het gebied van privacy te laten. Toch hebben mijn bedenkingen niet zo zeer met het kastje zelf te maken maar meer met de implementatie van de systemen en de verwerking van de data door derden.

  • Belgie kiest voor een variant met een derde partij die de eCall ontvangt: Touring. En nu net met Touring heb ik zeer recent meegemaakt dat ze geen flauw benul hebben van de vereisten in de privacywet en persoonsgegevens zonder meer doorgeven aan andere partijen
  • De MDS laat ruimte aan de fabrikant om zelf nog wat data toe te voegen. Of het dan gaat om de opties van de auto, of de ruitenwisser aanstond ten tijde van het ongeval of de naam, telefoonnummer en geboortedatum van de bestuurder is niet beschreven (proportionaliteit)
  • Voor het pure eCall systeem is continue tracken verboden, niet voor “added-value services” zoals men het mooi noemt, maw: deze zouden wel continu mogen tracken (hoor ik alarmbellen?)
  • Die added-value services worden zéér regelmatig genoemd in de documentatie over eCall. Men hint nadrukkelijk op diensten voor verzekeraars, rekeningrijden, etc, al blijft men steeds de voorwaarden van richtlijn 95/46 benadrukken: informed consent.
  • Hoe lang mag men de data in de databases bewaren (bewaartermijnen)?
  • Wie krijgt hier toegang toe (doorgifte aan derden)?
  • Wie is er verantwoordelijk voor de data, wie is het aanspreekpunt voor de betrokkenen voor wat betreft hun data (verantwoordelijke voor de verwerking)?
  • Hoe veilig is het eCall systeem, kan men inderdaad locatiegegevens onderscheppen?

Conclusie

Bottomline: in de basis implementatie zoals die straks vanaf oktober 2015 moet gelden vind ik dat de mogelijkheden levens te redden opwegen tegen privacy bedenkingen, mits toegepast conform de 95/46 richtlijn en mits keiharde afspraken met de dienstverleners die betrokken zijn in de keten, van fabrikanten tot operators.

Zodra de added-value services nadrukkelijker in beeld komen vrees ik dat de privacywet actief gehandhaafd moet worden om overschrijdingen te voorkomen en laten we wel zijn: dat lukt op dit moment ook niet best. Maar hoe lang duurt het voor verzekeraars dit gaan verplichten?

Tot slot

Dan nog een paar praktische bedenkingen: het eCall systeem is gebaseerd op GSM technologie, is dat niet wat achterhaald? En wat met het feit dat wij drie talen hebben in Belgie: komt dat straks mee als metadata in de MDS of zijn alle operators perfect drietalig, nog los van auto’s uit pakweg Roemenie die in Belgie een ongeluk hebben? Hoe gaat men zorgen dat operators van Touring de juiste afweging kunnen maken en het “gewone” 112 verkeer niet belasten? En hoe vangt men dubbele meldingen op, mensen die zowel met de GSM bellen als een auto hebben die dat doet?

Privacy For Profit

screenshot.534

Eén van de meest gehoorde argumenten tegen de draft GDPR (General Data Protection Regulation), was toch wel het argument over innovatie en groei. Of liever, dat de GDPR beiden zou afremmen. Ook elders, maar vooral vanuit de UK werden de noodklokken geluid.

Niet geheel verrassend, zoals wel vaker zullen bedrijven hun bestaande verdienmodellen kost wat kost willen verdedigen, en de verdienmodellen van Facebook en Google bestaan nu eenmaal uit het ongebreideld kunnen bewerken, profileren en verkopen van de data van hun gebruikers. Iets wat (hopelijk) tot redelijke proporties wordt teruggebracht door de GDPR. Het lijkt haast onvoorstelbaar voor deze bedrijven, maar men zal manieren moeten vinden om de voordelen van big data te koppelen aan de voorwaarden van privacy. Iets dat mijn inziens ook perfect mogelijk is volgens de principes van “Privacy by Design”.

Dit is echter niet hetzelfde als innovatie belemmeren. Kijk maar eens naar privacy startups of nieuwe diensten. Telegram, Blackphone, Silent Circle, de lijst aan bedrijven die momenteel hoogtijdagen beleven door netjes in te springen in de privacy hype is schier oneindig. Beste android privacy apps, Top 4 anti-surveillance, Top 10, Top 5, …

Typisch kapitalistisch probleem

Wat ik licht zorgelijk vind is de trend die ik voor mezelf “Privacy for Profit” ben gaan noemen en waarmee ik doel op bedrijven die zich op de privacy markt storten zonder dat dit gesteund is op idealen of zelfs kennis maar slechts om te kapitaliseren op de groeimarkt die privacy heet. Zo lijkt het alsof privacy een enorme boost krijgt onder het mom van een typisch kapitalistische gedachte: als het goed is voor de markt is het goed voor iedereen.

Maar we lopen ook tegen het typisch kapitalistische probleem aan: vraag zorgt voor aanbod, maar niet noodzakelijk kwalitatief aanbod. Ja, er zijn nu talloze applicaties, programma’s en diensten beschikbaar rond privacy, maar zijn ze iets waard in de handen van een huis-tuin-en-keuken gebruiker, of zelfs uberhaupt?

Telegram

Telegram lag er dit weekend uit omdat de dienst de gigantische toeloop van nieuwe gebruikers niet aan kan naar aanleiding van de aankondiging dat Whatsapp overgenomen wordt door Facebook. Ik zit zelf ook op Telegram ondertussen, en hoe ik het ook draai of keer: ik heb liever mijn data daar dan bij Facebook, sowieso. Maar wat meer onderzoek lijkt te wijzen op het feit dat Telegram in ieder geval niet veiliger zal zijn dan Whatsapp was.

Tja, wat valt er dan nog meer te zeggen als die basis al fout zit? Een paar andere aspecten (geen TLS, kwetsbaar voor MiTM aanvallen) maken al niets meer uit als je met je eigen crypto aan de slag gaat. Ik heb ook eigenlijk spijt van het feit dat ik meteen Telegram aandroeg als vervanger van Whatsapp bij m’n vrienden. Bijna iedereen die ik op Whatsapp had zit er nu op terwijl TextSecure een betere oplossing is.

Blackphone

Laat ik vooropstellen dat ik de kennis (en een exemplaar) mis om deze telefoon niet veilig te noemen. Het team achter de telefoon genoemd op de website bestaat uit internationaal erkende experts en de tools die ze aanbieden op de telefoon zijn authentiek. Mijn probleem met Blackphone zit hem in het feit dat alles rond Blackphone bewust opgezet lijkt om eens flink binnen te lopen op de privacy hype:

  • De prijs is (om te laten leveren in Belgie) met $760,- verre van goedkoop. Dan heb je nog geen abonnement en 2 jaar service van de apps op de telefoon, daarna zijn deze weer te betalen. Privacy voor de elite, ik hou niet van die gedachte
  • Het team experts lijkt vooral het uithangbord: de mensen die er effectief over praten, op de beurzen staan etc. zijn niet dat team maar “de mensen achter de schermen”. Deze mensen kunnen perfect capabel zijn, het gaat mij om de bewuste misinformatie door te schermen met grote namen die er wellicht slechts zijdelings bij betrokken zijn
  • Het OS, PrivatOS, is niet van de grond af gebouwd maar gebaseerd  op stock Android.
  • Ze gebruiken een standaard processor die de standaard zwakheden in zich heeft (iedere processor draait tweede OS dat kwetsbaar is, zo kwetsbaar dat een backdoor niet nodig is)
  • Ik blijf maar denken dat het een geeksphone Revolution (€220 incl BTW!) is met een andere body, betere chip, custom rom en een paar goede privacy apps: dezelfde site, dezelfde mensen die het beheren achter de schermen, MultiOS opzet
  • Ik mis wat nadruk op het belangrijkste aspect: als de ontvanger van je berichten of gesprekken niet dezelfde app gebruikt (zoals Silent Circle, de default app op de Blackphone) is het absoluut zinloos

Conclusie

Ik heb absoluut geen moeite met de plotselinge “boom” in privacy gerelateerde applicaties en ontwikkelingen en het bewijst voor mij het feit dat “privacy by design” uitstekend mogelijk is zonder groei en innovatie af te remmen.

Wees je er echter van bewust dat een hype mensen aantrekt, en vooral mensen die niet noodzakelijk inhoudelijk kennis hebben van de hype. “Privacy for Profit” is niet inherent verkeerd, maar het gevaar bestaat dat het stukje profit ten koste gaat van het stukje oprechte privacy. Standaard (i.e. niet security onderlegd) gebruikers kunnen gaan denken privacybewust bezig te zijn om vervolgens nog makkelijker dan ervoor die privacy prijs te geven. Een gezonde kritische kijk, nu nog meer dan voor de hype, is broodnodig.

7 Privacy Tools voor Dagelijks Gebruik

privacy word cloud

Privacy is hot, en dat zal voorlopig nog wel even zo blijven. Je wordt om de oren geslagen met rapporten, cijfertjes, belangengroepjes en privacyschendingen. Allemaal nuttige informatie, maar wat moet je nu praktisch doen als je op je privacy of anonimiteit gesteld bent maar niet de tijd of zin hebt om zelf een Linux variant te compileren?

Het gaat er niet om dat ik iets te verbergen heb (dat gaat je niks aan!) maar om het principe dat ik niet getracked of gevolgd kan worden. En mócht ik ooit dermate interessant zijn voor een NSA-achtige dienst dat ze mijn communicatie willen onderscheppen kan ik het ze tenminste zo moeilijk mogelijk maken. Onderstaand een aantal van de applicaties die ik dagelijks gebruik en die helpen de veiligheid en vertrouwelijkheid van mijn communicatie te waarborgen zonder al teveel offers te brengen naar gebruikerservaring. 100% security is er niet, maar alle beetjes helpen.

Surfen: Firefox / Iron (Chromium)

Firefox

De Firefox browser zit in de categorie “minder recent”: ik gebruik Firefox al sinds 2006 en heb nooit meer omgekeken. Firefox vervangt uiteraard Internet Explorer, de min of meer standaard browser voor windows omgevingen alsook de browser met de meeste kwetsbaarheden op security vlak. Firefox is weliswaar Amerikaans, maar ook al jaren open source en ontwikkeld door ontwikkelaars over de hele wereld: als er specifieke tracking code of backdoors in Firefox zouden zitten ga ik er vanuit dat die al lang ontdekt zouden zijn.

Chrome heb ik indertijd ook meteen geprobeerd. Snel, van het grote Google en vliegensvlug zeer populair, maar ik vond het maar niks. Zoals veel nieuwe tools wil ik het best even proberen maar Firefox vond en vind ik echter beter. Zodra de eerste signalen van tracking en privacy schendingen door Google zichtbaar werden heb ik Chrome nooit meer willen gebruiken. Probleem is echter dat het ondertussen wel de populairste browser is. Omdat ik regelmatig een website maak moest ik toch lange tijd een Chrome installatie hebben. Gelukkig is de engine achter Chrome open source en ontdekte ik Iron: al het snelle van de engine achter Chrome, maar gestript van de typische Google trucjes tot tracking en auto-installatie van bijproducten (b.v. Google Auto updater).

Anti Virus

Dat lijkt nog tegen te vallen: vraag een paar mensen om je heen eens anti virus producten te noemen. Gegarandeerd dat daar namen zoals McAfee, Norton, MSE bij zitten. Allemaal Amerikaans. Maar tot mijn grote verbazing, de meeste van de gratis anti virus programma’s die ik kende zijn niet uit de VS. Europa, en in het bijzonder Tsjechië, blijkt vruchtbare grond voor anti virus bedrijven.

Welke zijn niet Amerikaans?

  • Avira (Duits, kantoren in VS)
  • Bitdefender (Roemeens)
  • AVG (Tsjechisch, kantoren in de VS)
  • Avast (Tsjechisch, kantoren in de VS)

Dat valt nog mee niet? Ik wist het alleszins niet en heb dus voor niets AVG vervangen door Bitdefender. Ach ja, Bitdefender scoort beter en heeft voor zover ik kon zien geen kantoor in de VS. En zeg nu zelf, een bedrijf met zulke teksten op hun site:

Who are we? We’re a sublime alloy of intelligence, strength and willpower. We have the sharp mind of the wolf and the sleekness of the dragon, the vigilance of the alpha-male and the indestructibility of the snake’s body. We are a unique combination of symbols that fight on Good’s side.

Als je dat al niet meer kunt vertrouwen?  En voor iemand Kaspersky noemt: gezien de eigenaar zijn recente uitspraken over Snowden staat dat bedrijf op mijn blacklist.

Cloud Storage: Wuala

wuala

Wat mij betreft onmisbaar maar ook meteen een bron van bezorgdheid: alles wat in de cloud zit ligt voor het grijpen. Dropbox, Google Drive, Skydrive en noem ze maar op: alles wat op servers van  Amerikaanse bedrijven zit is vogelvrij (dus ook in Europa!). Cloud storage moet voor mij dus voldoen aan twee criteria: versleuteld en niet gerund door een Amerikaans bedrijf. Enter Wuala. Cloud storage volgens het bekende recept (5 gigabyte gratis, web toegang, synchronizatie, collaboration etc) maar alle data wordt lokaal versleuteld met 256bit AES voor het naar de Wuala servers gaat. Bedrijf is ook nog eens Zwitsers (overgenomen door LaCie, Frans).

Ik gebruik het ondertussen al een paar jaar en betaal met plezier de 110 euro per jaar voor mijn 100 gigabyte ruimte. Aanrader!

 Password Manager: Clipperz

Een password manager kan ik niet missen. Ookal zijn mijn webdesign dagen ondertussen geteld beschik ik nog steeds over honderden logins en er komt er bijna dagelijks één bij. Niets is slechter dan overal hetzelfde wachtwoord dus een betrouwbare oplossing om al mijn wachtwoorden op te slaan is onmisbaar. Ik heb jarenlang met tevredenheid Lastpass gebruikt, maar ondanks hun bezweringen (die gezien de zwijgplicht jammer genoeg niets betekent) wil ik geen Amerikaans bedrijf mijn persoonlijke data toevertrouwen.

Ik ben dus op zoek gegaan naar een alternatief. Even gebruiksvriendelijk als Lastpass wordt moeilijk, maar ik wil in ieder geval een systeem waar ik beveiligd en overal toegankelijk mijn wachtwoorden kan opslaan. Clipperz voorziet daarin. Het is nog een beetje een work in progress, maar tot nu toe ben ik niet tegen bugs aangelopen, alleen tegen minder gebruiksgemak (“Want Lastpass to save this password for you?”). Een trade-off die ik dan maar moet maken.

Encryptie: Truecrypt

Ik gebruik FDE (Full Disk Encryption). Toen ik nog LinuxMint draaide zat het netjes ingebakken in de installer, die luxe heb je bij Windows niet. Uiteraard kun je gebruik maken van Bitlocker (als je Pro of Ultimate Windows hebt) maar dat blijft een FDE door een Amerikaans bedrijf dat specifiek is gevraagd een backdoor in te bouwen. Met Truecrypt is FDE  amper moeilijk te noemen (eenvoudige Wizard) en toch een veilig gevoel. A word to the wise: PC uitzetten of in Hibernate, sleep mode heeft voor FDE geen zin.

Wat betreft de oorsprong, niemand weet zeker waar het vandaan komt, maar een aanbeveling van Bruce Schneier is goed genoeg. Daarnaast vindt op dit moment de #IsTrueCryptAuditedYet actie plaats waar hopelijk een definitief “No backdoor”-goedkeuringsstempel uit komt.

Mail: Thunderbird

thunderbird

Amerikaans, maar open source en geleverd door de Mozilla Foundation die zijn sporen al ruimschoots verdiend heeft. Nadat Outlook 2013 fatsoenlijke IMAP support definitief de nek om draaide was de keuze niet moeilijk. Thunderbird is een robuuste mail client met plugins voor alle opties die ik nodig heb zoals daar zijn Enigmail (PGP implementatie) en Lightning (kalender). Ook niet onaardig: er zit een Master Password optie op. Lijkt simpel, maar Outlook heeft het niet.

VPN: OpenVPN

Al is de sterkte van een VPN evenzeer bepaald door het gebruikte algoritme als de client, een goede Open Source client kan geen kwaad en OpenVPN is precies dat. Ik streef er naar de VPN continu actief te hebben, maar zeker op hotspots of andere publieke netwerken is surfen en mailen zonder VPN vragen om problemen, vraag maar aan Europarlementariers.

Wat ontbreekt er nog?

Hoezeer ik ook probeer enigszins te waken over mijn data met bovenvermelde tools, ik laat de bal op één belangrijk punt vallen: Windows 7. Post-Snowden was ik weer eens op het punt gekomen dat ik Windows wilde dumpen en over schakelde op Linux Mint. Bijna alle applicaties hierboven zijn ook voor Linux beschikbaar (Debian based toch).

Na 3 maanden liep ik echter vast op één applicatie die onvervangbaar bleek: MS Office. Ik kom dagelijks in aanrekening met Word documenten (met inhoudstafel, comments, track changes) en Excel spreadsheets waar Libreoffice onuitspreekbare dingen mee doet. Ik heb het echt geprobeerd (zelfs even met een Windows VM alleen voor Office, onwerkbaar op een ultrabook), maar er was geen ontkomen aan: ik kan niet zonder Office. En als je Office zegt, zeg je Windows.

Of Mac, maar dat is nauwelijks veiliger en ik weiger pertinent in te stappen in de afgeschermde Apple biotoop waar ieder product aanzienlijk meer kost dan o.b.v. de hard- of software te verklaren is. En dan laat ik de hipster factor nog buiten beschouwing.

Bitcoin: analyse en bedenkingen

Aangezien ook de traditionele media Bitcoin nu opgepikt hebben is de kans klein dat je nog niet van Bitcoin hebt gehoord. De meeste berichtgeving is echter oppervlakkig en komt niet verder dan de definitie dat Bitcoin een digitale munt is, anoniem en dat je Bitcoins krijgt door codes te kraken. En natuurlijk héél gevaarlijk! Ik ging op zoek naar iets meer detail: hoe werkt het, valt er iets te zeggen voor alle waarschuwingen van bankiers en ministers, en is Bitcoin echt anoniem?

Wat is Bitcoin?

Bitcoin is een cryptocurrency. Dat betekent dat het een munt is die werkt dankzij cryptografie zonder sturende invloeden van externe partijen. Er is geen centrale bank of overheid die toezicht uitoefent en dat is ook de bewuste opzet van de bedenker van Bitcoin, Satoshi Nakamura. In zijn originele paper, waar Bitcoin voor het eerst beschreven werd, geeft hij dat ook aan:

“What is needed is an electronic payment system based on cryptographic proof instead of trust, allowing any two willing parties to transact directly with each other without the need for a trusted third party.”

Hoe werkt Bitcoin?

Twee mensen besluiten elkaar te betalen De aard van de transactie maakt niet uit, de locaties van beide personen maakt niet uit, er is niemand die toezicht uitoefent. Beide gebruikers tekenen hun deel van de transactie met een private key zodat onomstotelijk vaststaat dat de transactie bij hen vandaan komt en zenden de transactie het netwerk in. Betalen kan via mobiele apps, QR codes, NFC technologie of eenvoudigweg online en iedereen kan zijn favoriete Bitcoin app gebruiken aangezien die per definitie compatibel zijn.

Het netwerk is gebaseerd op peer-to-peer architectuur. Dit betekent dat er niet één locatie is waar Bitcoin draait maar dat het netwerk het totaal is van alle gebruikers, denk maar aan torrents. Zodra een transactie is gecreëerd wordt deze naar nodes in het Bitcoin netwerk gestuurd om verwerkt te worden. Hetzij meteen, hetzij wanneer de transactie-eigenaren online gaan. Deze nodes gaan de transacties die zij ontvangen timestampen en verwerken in een block. Nodes zijn onderdelen van het netwerk die CPU kracht ter beschikking stellen van de verwerking van transacties en blocks. Om een block te creëren dient namelijk een hash berekend te worden. Wanneer deze hash berekend is stuurt de node een nieuwe block naar alle andere nodes waardoor een block in de “block chain” komt, het grote logboek van Bitcoin waar alle transacties ooit inzitten. Die andere nodes werken op hun beurt weer verder op de block chain: de hash van de nieuwste block wordt gebruikt als basis voor de berekening van een volgende block. Dit berekenen van hashes door nodes is het bekende “mining” waarvoor de nodes ter compensatie van CPU power en electriciteitskosten een beloning in Bitcoins krijgen.

Zoveel mogelijk nodes (maar niet noodzakelijk alle) werken aan dezelfde transacties en de meerderheid bepaalt welke transacties “echt” zijn door vast te stellen aan de hand van de andere transacties op het netwerk of de gebruikte Bitcoins niet dubbel gespendeerd zijn. Deze meerderheid wordt niet bepaald op basis van IP adressen maar op basis van CPU kracht, opnieuw een beveiliging tegen aanvallen: het is moeilijker om CPU kracht te verkrijgen dan IP adressen. Deze vorm van CPU democratie is dan ook de basis van de integriteit van het systeem: alleen wanneer een aanvaller de meerderheid van de Bitcoin nodes/CPU kracht in bezit zou hebben kan hij op grote schaal frauderen. Gezien de huidige hoeveelheid nodes is dit ondertussen een haast onmogelijke opdracht. Deze hele verwerking van transacties gebeurt overigens in minuten tot uren, geen dagen zoals men gewend is bij traditioneel bankieren.

Hoe anoniem is Bitcoin?

Bitcoin is niet anoniem. Het feit dat alle transacties in de block chain zitten zorgt er voor dat iedere transactie te traceren is naar een specifiek adres. Dit adres wordt gemaakt door je Bitcoin wallet die automatisch aangemaakt wordt als je Bitcoin gaat gebruiken. Die wallet kan overigens in eigen beheer zijn of online. Vanuit deze wallet kan men de link te leggen naar een persoon of in ieder geval een IP adres. Bitcoin kan anoniem zijn, maar daar moet je moeite voor doen: je IP adres maskeren, meerdere wallets gebruiken en binnen die wallets per transactie andere adressen gebruiken, zoals hier uitgelegd.

Ook het verkrijgen van Bitcoins is niet meer zo eenvoudig: in het begin kon je als persoon nog best iets verdienen met mining en zo aan je Bitcoins komen. Tegenwoordig schiet dat niet op, met één PC of zelfs een thuisnetwerk kun je amper nog Bitcoins verdienen met mining en ben je dus al snel aangewezen op Bitcoin Exchanges (deze calculator rekent het je voor). Volledig anoniem bij een exchange Bitcoins aanschaffen is ook niet evident.

Bitcoin market value USD

Bedenkingen bij Bitcoin

Zoals alle vormen van innovatie krijgt ook Bitcoin kritiek te verwerken. Wat me echter opvalt is dat de kritiek, zeker vanuit overheids- of bankenhoek, vaak niet verder komt dan “het is niet gereguleerd, pas op!”. Nu is Bitcoin vaak geassocieerd met Silk Road, maar uiteraard is Bitcoin daar slechts het betalingsmiddel net zoals gewoon geld dat is voor illegale transacties in de analoge wereld. Ook het ontbreken van regulering is niet noodzakelijk een issue: het is niet per definitie gevaarlijk omdat er geen toezicht is, iets dat je een overheid wellicht moeilijk uitgelegd krijgt.

Zelf heb ik een aantal bedenkingen die ik veel minder voorbij hoor komen. Zoals rond de oprichter van Bitcoin: Satoshi Nakamoto. Die naam is uiteraard een pseudoniem. Mogelijk gaat achter deze naam niet zozeer één persoon maar een groep schuil, de theorieën zijn in ieder geval legio. Wat mij vooral interesseert aan Satoshi Nakamoto is het feit dat hij naar schatting beschikt over 1 miljoen Bitcoins. In gedachten houdend dat het aantal Bitcoins (uiteindelijk) gelimiteerd is op 21 miljoen houdt dit in dat Satoshi Nakamoto op het hoogtepunt bijna 5% van alle Bitcoins in bezit heeft. Om dit in perspectief te plaatsen, probeer je voor te stellen dat één groep in bezit zou zijn van 4,76% van alle Euro’s in omloop. Dat is genoeg om de economie lam te leggen, en toch (als het al vernoemd wordt) heeft men het over de benevolente Satoshi Nakamoto die op die manier een safeguard in probeert te bouwen. Wat als een particulier belegger of zelfs Google zich over 10 jaar openbaart als de grondlegger van Bitcoin?

De volatiliteit is ook reden tot zorgen: Bitcoin is een ideaal speculatieobject geworden waar veel geld mee te winnen en veel geld mee te verliezen valt. (zie het plaatje hierboven). Een interessant Forbes artikel heeft de koers van Bitcoin naast de klassieke “Bubble Chart” gelegd en de gelijkenissen zijn toch amper te negeren, waarbij we nu bijna op het hoogste niveau zitten voor de uiteindelijke crash.

Ook rond mogelijke fraude of het kraken van de encryptie lees ik maar weinig. Het kraken van het ECDSA algoritme dat gebruikt wordt voor de private key (de sleutel tot eigendom van Bitcoins) was in augustus toch even nieuws: een slechte implementatie dankzij Java SecureRandom (die dus niet zo random was) leidde er toe dat Android wallets gestolen konden worden. Het structureel kraken van het algoritme in een goede implementatie is nu slechts een theoretische mogelijkheid, maar dat was de kwantum computer ook. Bitcoin fans geven aan dat men eenvoudigweg het algoritme verandert als het gekraakt is, maar dat moet dan wel geweten zijn.

Het aantal fraudegevallen valt tot op heden nog mee, maar dat is misschien ook omdat de focus er nog niet op ligt, want zelfs op de Bitcoin site worden legio mogelijkheden beschreven, zowel rond zwakheden als “double spending”. Mac computers hadden ook geen last van virussen totdat Apple midden 2000 wild populair begon te worden. Het idee dat Macs veilig waren zit ondertussen al ingebakken bij de gebruikers waardoor deze lakser zijn in het updaten en beveiligen dan PC gebruikers die al jaren geconfronteerd worden met kwetsbaarheden.

Ook niet onbelangrijk, bij ontwikkeling van Bitcoin was het concept van een decentrale munt zonder controlerende derde partij het belangrijkst. Net dat concept wordt langzaam maar zeker ondermijnd: er zijn Bitcoin exchanges, Bitcoin escrow services, contractdiensten, een hele lijst. Hoe lang duurt het voordat ook Bitcoin niet meer zonder deze diensten kan voor “serieuze” transacties?

Conclusie

Al met al ben ik blij dat ik de tijd heb genomen in Bitcoin te duiken. Bitcoin is here to stay, en het systeem snappen is nuttige informatie. Maar voorlopig koop ik nog geen Bitcoins. Ten eerste verwacht ik nog een kleine crash (dan koop ik wèl!) waarna Bitcoin zich zal stabiliseren. Ten tweede ben ik benieuwd hoelang Bitcoin onafhankelijk zal kunnen blijven van “third party services” als de populariteit blijft groeien en wanneer de eerste Westerse overheden (in navolging van China) Bitcoin aan banden gaan proberen te leggen. Tot slot, in hoeverre zal de grotere populariteit leiden tot meer interesse van malafide partijen en welke mogelijkheden tot fraude zullen die verzinnen?