Een aantal techbedrijven doet samen een belofte, een privacy pledge, door het ondertekenen van een lijst met principes waar men zich aan zal houden. Deze beloften moeten in de toekomst de privacy van internetgebruikers waarborgen. Het gaat om de volgende beloften.

• Bedrijven moeten zodanig werken dat de behoeften van de gebruikers altijd voorop staan;
• Organisatie zouden alleen gegevens moeten verzamelen die nodig zijn voor het leveren van de diensten;
• Deze gegevens moeten tijdens het versturen altijd versleuteld zijn;
• Bedrijven moeten open en transparant zijn over hun organisatie en hun software;
• De aangeboden webdiensten moeten interoperabel zijn.

Het is een mooie opsomming van wat er nodig is. En het klinkt ook heel lovenswaardig. Maar het doet me ook een beetje denken aan de bankierseed die na de bankencrisis door bankmedewerkers afgelegd moet worden, maar waarvan je weet dat die voor de werking van de banken niet zo heel veel uit heeft gemaakt. Deze bankierseed is dan nog gerelateerd aan het tuchtrecht, maar het breken van deze “pledge” door een van deze bedrijven heeft totaal geen materiële gevolgen.

Prikkels

Ik sta erg sceptisch tegenover zulke beloften, omdat de situatie waaronder bedrijven werken gewoon hetzelfde blijft. Perverse prikkels blijven bestaan. Er moet geld verdiend worden, en de verleidingen om dat op een abjecte manier te doen blijven groot. Je kunt dat al zien aan de denkwijze die spreekt uit het volgende citaat.

The action comes as a growing wave of ordinary web users switches away from services controlled by the likes of Google and Meta, and as governments around the world consider adopting tighter online privacy laws. As such, the signatories believe it is important that the private sector takes the initiative to lead toward a private internet.

Het is kennelijk precies het juiste moment voor een goede pr-stunt. Hopelijk lopen er dan ook veel mensen weg van de Big Tech en vluchten in de armen van deze betrouwbare bedrijven. Maar wat gebeurt er als deze bedrijven ook Big worden, afhankelijk worden van het gemoed van aandeelhouders die verslaafd zijn aan geld verdienen? Dat de private sector het initiatief moet nemen voor een veilig internet waag ik daarom heel erg te betwijfelen.

Ik zeg: overheden ga door met stricte regulering rond privacy, knijp Big Tech af met flinke boetes, en tuig eindelijk eens een rechtvaardig globaal belastingregime op. En tegen deze ondertekenaars: doe je best, hou je aan je beloften, dat gaat een hoop boetes schelen.

#privacy #kapitalisme #surveillance

Vandaag kreeg ik een email van mijn verzekeraar Centraal Beheer in mijn postvakje. Centraal Beheer wil mij graag helpen mijn financiën op orde te houden en presenteert een gratis app waarmee ik dat kan doen. Mijn advies aan mezelf is: niet installeren. Waarom niet? Dat leg ik hier uit.

Rode vlag

Natuurlijk moet je tegenwoordig sowieso argwanend zijn bij de presentatie van gratis apps. Het is al een bekend gezegde geworden: “als je niet betaalt voor het product, ben je zelf het product”. Dat is volgens mij hier ook het geval. Want wat voor belang heeft Centraal Beheer erbij om jouw financiën goed op orde te houden? Controleren of je je verzekeringspremie kunt betalen? Of misschien toch nog iets anders? In ieder geval zou dat al een reden kunnen zijn, om de app niet te installeren. Rode vlag hier, wat mij betreft. De app heet Makkie, klaarblijkelijk om aan te geven dat zo'n financieel beheer een makkie is. Om aan je gegevens te komen, moet je de app verbinding laten maken met je bankgegevens. Dat is wettelijk mogelijk geworden door de invoering van PSD2 in 2018. Ik was destijds al niet blij hiermee. Je zou kunnen redeneren dat een app niet meer informatie tot zich mag nemen dan nodig is voor het functioneren van de app. Dus dan verzin je toch een app die alle bankgegevens nodig heeft? Makkie toch? Met name de organisatie Privacy First heeft geprobeerd hier wat tegengas te geven, en heeft zelfs een API ontwikkeld, waardoor de gebruiker meer mogelijkheden tot zijn of haar beschikking heeft om aan te geven welke gegevens wel en welke gegevens niet gedeeld mogen worden. Maar ik ben bang dat dat tot nu toe niet veel heeft uitgehaald, gezien deze nieuwe “service” van Centraal Beheer.

Veelgestelde vragen

Of vragen over privacy veel gesteld worden, waag ik te betwijfelen, maar ze staan in ieder geval genoemd in het document veelgestelde vragen bij deze app. Dit document is gelukkig wat gemakkelijker te lezen dan het privacy-regelement. Wat mij hier meteen al opvalt is dat iets wat in wezen politiek en juridisch is, weer naar de vermeend neutrale technische hoek getrokken wordt door het gebruik van het begrip “PSD2 technologie”. Het gaat bij PSD2 niet zozeer om een technologie, maar om de rechten en plichten van jou en van organisaties die bij je gegevens komen. Deze organisaties moeten een soort van certificaat hebben. Kennelijk heeft Centraal Beheer zo'n certificaat, en het feit dat men met zo'n certificaat in de hand een appje presenteert om van gebruikers gegevens te verzamelen geeft mij niet erg veel vertrouwen in de criteria die gebruikt worden bij uitgifte van zulke certificaten door de DNB. Verder staat hier dat Centraal Beheer jouw gegevens door kan geven aan andere zulke organisaties. Het is al vervelend dat Centraal Beheer je gegevens kan gebruiken om je premie te verhogen, omdat je bijvoorbeeld vaker een betaling hebt gedaan aan een privé-kliniek voor het een of ander. Maar als deze gegevens gedeeld kunnen worden met andere organisaties is het einde zoek. Stel dat je besluit om Centraal Beheer te verlaten en daarmee ook meteen eist dat al je gegevens verwijderd worden... Dat kan dan alleen bij Centraal Beheer, en niet bij al die andere organisaties die je gegevens hebben, en die gegevens misschien ook weer hebben doorgegeven.

Davilex

Waarom moeten die gegevens eigenlijk steeds op een andere computer terecht komen? Het lijkt wel of app-ontwikkelaars alleen maar mooie schermpjes maken, en de ingevoerde gegevens maar snel naar de “back-end” sturen. Dan zijn ze daar vanaf. Die back-end is dan de grote computer van Centraal Beheer in dit geval. Waarom kan dat niet gewoon een app zijn die je installeert, en die alleen verbinding met je bankgegevens maakt, en die gegevens dan op je telefoon neerzet, in plaats van door te sturen naar de computer van een ander? Vroeger, vroeger was niet alles beter. Maar dit in ieder geval wel. Computers van twintig jaar geleden konden dit trucje al zonder internetverbinding. En we weten nu onderhand wel dat een smartphone van nu bepaald niet onderdoet voor een computer van twintig jaar geleden. Integendeel.

#privacy #surveillance

Cory Doctorow is een bekende figuur in de wereld van internet en Silicon Valley. Hij is een activist die strijdt voor het liberaliseren van copyright wetten, is tegen DRM en een voorstander van de Creative Commons organisatie. Geen van zijn boeken zijn dan ook voorzien van DRM of een watermerk. In het voorwoord van dit boek en hier legt hij zijn standpunten hierover uit.

Spannend

Little Brother is een spannend jeugdverhaal volgens het bekende David-Goliath thema. Veel fantasy en sci-fi boeken volgen dit thema, zeker het YA deel ervan. Dit boek is niet anders, alleen speelt het rebellenverhaal van Little brother tegen Big brother bijna in onze eigen tijd af. Er zijn slechts enkele afwijkingen, waarvan je je zou kunnen afvragen of die afwijkingen in een paar jaar realiteit zijn. Big Brother gaat natuurlijk over surveillance, controle, bewaking en het monitoren van mensen. Gezichtsherkenning, volgen van kentekens, is nu al aan de orde. Het centraal digitaal volgen van alles wat je met pasjes doet: wat je koopt, waar je het koopt, waar je reist is al bijna realiteit. Het volgen van mensen via camera's en het analyseren van de loop door de gangen van je school: snel, haastig of zenuwachtig, kunnen je verdacht maken en er voor zorgen dat er bewakers op je af komen gerend. Een akelige en verstikkende wereld wordt er in dit boek beschreven, en de manieren waarop mensen erop reageren. De kracht van veel jeugdigen is, dat zij niet in de pas willen lopen en nieuwe dingen willen proberen. Die jeugdige benadering geeft onze maatschappij de energie om te veranderen. Dit boek beschrijft deze kracht van een tegencultuur op een hoopvolle en positieve manier.

Rollercoaster

Marcus is een gewone scholier in Los Angeles, die het leuk vindt om samen met zijn vrienden computergames te spelen. Hij gaat graag naar school en accepteert gewoon de controle van de school op haar leerlingen. Hij vindt het een sport om wegen te vinden om toch te kunnen spijbelen of de onschuldige dingen te doen die kinderen doen, ook al zijn ze niet geoorloofd. Dat verandert na een terroristische aanslag op een brug waar hij toevallig in de buurt is. In de paniek wordt zijn beste vriend Darryl gewond door een messteek, en omdat Marcus en zijn vrienden hulp voor Darryl zoeken houden ze een voertuig aan. Dit voertuig is echter van de nationale inlichtingendienst, en de vrienden worden door hun plaats en gedrag als verdacht gezien, opgesloten en op een keiharde manier dagenlang op een afgelegen plek apart ondervraagd. Dit incident zet onze held in een rollercoaster van gebeurtenissen. Zijn vriend is verdwenen, hij kan niet leven met de onrechtvaardigheid van wat er is gebeurd. Hij gaat op zoek naar zijn vriend en naar wraak en rechtvaardigheid tegen het grote systeem dat zijn land en de generaties voor hem terwille van de veiligheid hebben opgebouwd. Hij ziet dat dit systeem is doorgeschoten en juist de veiligheid van burgers in gevaar brengt. Dit verhaal beschrijft daarmee een aantal problemen waarmee onze moderne maatschappij worstelt. Bijvoorbeeld de “profilering” door onze wetshandhavers: het verdacht verklaren van mensen louter omdat ze aan bepaalde kenmerken voldoen. Of het drama van de “false positives”: negenennegentig procent betrouwbaarheid van een controletest betekent wel één procent van zeventien miljoen, dus 170.000 onterechte beschuldigingen. We weten na de toeslagenaffaire wat één onterechte beschuldiging al voor de mensen in de praktijk betekent.

Technisch

Maar ook technische mogelijkheden worden op een natuurlijke manier verteld. Bijvoorbeeld het versleutelen van berichten, en het kunnen vertrouwen op de identiteit van de afzender zonder certificaat dat door een centrale “trusted” organisatie is afgeleverd, maar door een netwerk van vrienden, een “web of trust”. Het komt allemaal aan de orde en wordt goed uitgelegd in de context van een spannend verhaal. Deze context maakt ook dat je de zin van al deze op het eerste gezicht moeilijke concepten gemakkelijk kunt plaatsen.

Het boek is vooral een spannend verhaal, met heel veel leermomenten. Een echte aanrader. Zeker omdat dit boek gratis is!

#privacy #security #surveillance #boek #free #ebook

Cryptpad is een handig gratis gereedschap om teksten of code te schrijven, presentaties te componeren, berekeningen te maken in spreadsheets of bijvoorbeeld een whiteboard te gebruiken. Cryptpad gebruik je online, in de browser, en daardoor maakt het niet uit waar je bent. Als je als gebruiker ingelogd bent kun je altijd bij je teksten, als je die op de computer van cryptpad hebt opgeslagen. Je kunt op deze manier ook met meerdere mensen aan één document werken. In deze tijd van thuiswerken kan dat erg handig zijn.

Rijke tekst

Allereerst is er de “rich text” editor. De basis bewerkingen voor een dergelijke editor zijn snel te gebruiken via een menubalkje. Zoals bijvoorbeeld het vet, cursief maken, of het onderstrepen van tekst. Sub- en superscript is ook mogelijk en voor de wiskundigen onder ons is er zelfs een speciale manier om wiskundige formules in de tekst te voegen. Hiervoor is het wel nodig om iets te weten van Tex. Plaatjes kun je alleen in de tekst zetten als je deze uploadt op de “cryptdrive”, en hiervoor moet je je hebben aangemeld als gebruiker. Dat kan dus niet anoniem als “Anonymous”. Je tekstbestand kun je op de cryptdrive zetten, of exporteren en bewaren op je computer als html- of doc-bestand.

Markdown

De code editor is gewoon een markdown editor. Syntax highlighting voor bijvoorbeeld javascript heb ik hier dan ook niet in kunnen ontdekken. Dus echt een code-editor is het niet. Ook vond ik hierin niet de mogelijkheid om plaatjes in de tekst te zetten op de manier van markdown, zoals dat in een gewone editor kan. Ook dat zal te maken hebben met het feit dat je een plaatje alleen via je “cryptdrive” kan inladen, en niet via een url. Vergelijk dezelfde tekst met plaatje in cryptpad en in de editor Atom.

Samenwerken

Een van de belangrijkste voordelen van Cryptpad is dat je met meerdere mensen aan één document kunt werken. De gebruikers zie je aan de rechterkant van het scherm. Dus Cryptpad kan wat dat betreft hetzelfde als Google Docs of Office Online. Tijdens het werken kun je met elkaar overleggen via de chatfunctie.

Zero Knowledge

“Zero knowledge” is een wat rare aanprijzing van deze site. De makers van de site bedoelen hiermee dat ze op geen enkele manier kennis kunnen hebben van wat jij allemaal op hun omgeving uitspookt. De bestanden worden al in de browser versleuteld en komen dus versleuteld op de omgeving binnen. Zelfs van je wachtwoord hebben de makers geen weet. Als je je wachtwoord vergeten bent, dan kun je nooit meer bij je bestanden komen. Dus het is wel wijs om je wachtwoord in een wachtwoordmanager op te slaan.

Delen

Bestanden kunnen gedeeld worden door iemand een link toe te sturen via de knop “share”. Tegelijk kun je aangeven of de persoon waarmee je het bestand deelt het bestand alleen mag inzien, of ook mag bewerken.

Conclusie

Van Cryptpad heb ik de editors en het spreadsheet geprobeerd. Het werkt redelijk goed. Voor gewone zaken hou ik toch meer van een reguliere wordprocessor of editor die lokaal op je computer is geïnstalleerd. Maar als je vaak onderweg bent, of als je moet samenwerken met anderen, dan is dit wel ideaal. Bovendien heb je geen privacy-issues. Alles wordt versleuteld opgeslagen op de “cryptdrive”. Dat “cryptdrive” zo belangrijk is, vormt meteen ook een nadeel. De gratis variant heeft maar 50 mb vrije ruimte. Als je veel met plaatjes werkt, is dat zo vol. Maar het is wel een goede manier om het uit te proberen. En betalen voor een veilige omgeving is natuurlijk wel zo redelijk.

#cryptpad #alternative #office #security #privacy #opensource #hacks

Schrijvers schrijven in sommige gevallen om niet vergeten te worden en een plaatsje in de geschiedenis te krijgen. Ben jij er ook zo een, dan kun je het lot een beetje helpen door gebruik te maken van het webarchief. Hiermee kun je je blogje voor altijd vastleggen. Ook al ben je zelf of je blogje al helemaal niet meer in deze wereld, iedereen kan nog steeds met je kennismaken, of je kunstwerken herlezen. Ik ga het doen om een andere reden.

Ik wil mijn oude blog op WordPress weghalen, nu ik ben overgestapt op een ander blogplatform. Waarom zou ik eigenlijk mijn WordPress account willen verwijderen? Dat kan toch gewoon blijven bestaan? Tja, dat is persoonlijk. Ik wil bezoekers van mijn website niet opzadelen met allerlei trackers. Kijk eens naar de trackers van mistynotes.nl, mijn huidige website, en naar de trackers in mistynotes.wordpress.com.

Dat komt natuurlijk doordat ik niet betaal voor die ruimte op wordpress.com. Als ik mijn eigen spullen en privacy ter beschikking stel aan al die data-gieren omdat ik niet betaal, dan is dat nog te begrijpen. Maar bezoekers die mijn verhaaltjes willen lezen, wil ik daar niet aan blootstellen.

Hoe sla je nu je website op? Als je naar de archive.org gaat vind je op een wat onlogische plek een veldje met “Save Page Now”.

Als je dit hebt gedaan vind je de pagina terug in het archief. Maar als je daar een artikel wil lezen, en je klikt op een “read more”-link, dan krijg je helaas een foutmelding.

Het bewaren van de pagina levert alleen die hoofdpagina van je blog op in het archief. Nu kun je handmatig alle pagina's van je website afgaan. Voor mij geldt dat ik maar een keer per maand gemiddeld een blogje schrijf, maar zelfs dan is het een heel werk. Bij het opslaan echter zag ik in kleine letters deze tekst.

Sign in to use extra features: “Save outlinks”, “Save screenshot” and “My webarchive”

Sign up!

Dus dan maar opseinen. Het “sign-up” proces gaat zoals zo vaak, e-mail adres en wachtwoord invullen, op de link klikken van een toegezonden e-mail ter verificatie, en vervolgens inloggen.

Je ziet nu een andere welkomstpagina. Klik op web.

En rechts zie je dan de felbegeerde “Save Page Now”. Klik de extra vinkjes aan bij “save outlinks” en “save to my webarchive”.

Je ziet nu duidelijk dat ook andere pagina's worden geladen.

En klaar.

Je ziet dan ook meteen de url waar je het archief kunt bekijken. Hier is dat:

(A snapshot was captured. Visit page: /web/20200925081748/https://mistynotes.nl/)

Buiten de site is dat dan: https://web.archive.org/web/20200925081748/https://mistynotes.nl/

Als we deze links gebruiken en naar het archief gaan, zien we dat de links nu wel werken. Het huidige artikel is natuurlijk nog niet bewaard in het archief. Bij een simpel blog als dat van mij krijg je vaak op de eerste pagina een aantal titels te zien met meestal een stukje tekst, de “lead” of inleiding van een artikel, met een linkje “meer lezen” of “read more” erbij. Als je het vinkje “save outlinks” hebt aanstaan, dan komen ook alle artikelen mee die je onder “meer lezen” hebt staan.

Exponentieel

Nu staan niet alle artikelen van mij op die eerste pagina en moet je op de link onderaan klikken “older” om de andere artikelen te zien. Die pagina die naar “older” wijst wordt ook netjes opgeslagen. Maar alle “meer lezen” links op deze “older”-pagina dus niet, helaas. Het linken gaat namelijk maar één niveau diep. En dat is wel begrijpelijk, met meerdere niveaus of op een recursieve manier ben je al gauw het hele internet aan het archiveren vanuit een simpel blogje. Netwerkrelaties zijn exponentieel in aantal. Waar kennen we dat van? Ook van de virusbesmettingen natuurlijk. Een virus kent ook de kracht van netwerken voor verspreiding en maakt daarom ook gebruik van een netwerk van mensen. Dus archive.org wil graag ver onder die virtuele R0 blijven bij het aanmaken van nieuwe pagina's. Een veilige manier is dan om maar een niveau diep te zoeken. Gelukkig heb ik maar twee hoofdpagina's. De tweede pagina laat ik dan op dezelfde manier archiveren.

Oeps, te laat

Nu heb ik alle voorbeelden van het bewaren van een website gedaan met mijn nieuwe site. Maar eigenlijk zou ik dat moeten doen met mijn oude site natuurlijk. Die wil ik verlaten, en links die ernaar toe verwijzen veranderen in links die naar het webarchive wijzen. Helaas kan dat nu niet meer. Ik heb mijn betaalde account al opgezegd, en daarmee kan ik met mistynotes.blog, het domein dat wordpress.com netjes afhandelde om naar het subdomein mistynotes.wordpress.com te wijzen, niet meer gebruiken. Ik verwijs er nog naar, via een omweg. Maar met webarchive.com krijg je hiermee je website niet terug. Gelukkig heb ik de afgelopen jaren wel af en toe een archief-snapshot van mijn WordPress site gemaakt.

Als je je account van wordpress verwijdert, is het dus nodig eerst alle links in je nieuwe site die naar je oude website verwijzen, te veranderen zodat ze naar dit webarchive gaan wijzen. Voor iedere website is dat natuurlijk anders. Als dat er niet al te veel zijn, kun je deze handmatig aanpassen. In mijn geval zijn het er maar een paar. Dan hoop ik maar dat ik die pagina's waarnaar verwezen wordt, terug te vinden zijn op webarchive, omdat ik toevallig vond dat dat belangrijk was om op te slaan. En anders sla ik ze natuurlijk nog apart op in het webarchief, nu het nog kan.

Struinen

Mocht je je hebben ingeschreven op de website archive.org, kijk dan ook eens naar de andere tools. Een 404 foutmelding afhandeling voor als je een gearchiveerde pagina uit je blog verwijdert. Of een dode links checker voor je WP-blog. En je kunt natuurlijk struinen in het grote webarchief met boeken, video's, geluiden, beelden en zelfs oude software.

#webarchive #waybackmachine #blogging #privacy #website #hacks

Een steeds terugkomend onderwerp in tijdschriften en fora op het internet is: het internet zelf. En dan met name het functioneren van internet de laatste jaren. Oudere deelnemers zoals ik, denken wel eens met weemoed terug aan de jaren dat internet een hobby was, en niet een manier om snel en veel geld te verdienen. Advertenties moeten nu eenmaal veel bekeken worden, en die associëren zich daarom met berichten die veel gelezen worden. Wat komt er op je Facebook- of Twitter-tijdlijn? Dat zijn berichten waar veel mensen zich druk over maken. Dus dat zijn geen berichten over het weer, “het zonnetje schijnt”, of “wat ben ik toch tevreden met mijn leven”. Het zijn juist de berichten met een negatieve inslag, die de aandacht trekken. Kennelijk zijn wij mensen zo gebouwd. Het nare is dat er nu slechts een paar grote techbedrijven over zijn gebleven die het grootste deel van het internet in hun macht hebben. Zij verdienen er op deze manier hun geld aan, en proberen dat ook zo te houden. Zo worden de negatieve en extreme berichten steeds maar weer versterkt. Ook komen er steeds meer privacyproblemen aan het licht, doordat deze bedrijven niet alleen advertenties verkopen, maar ook gegevens over jou en mij. Daarom borrelen er steeds meer initiatieven op die een alternatief internet willen bieden. Ik heb enkele ervan in een eerder blogje genoemd. De Beaker Browser is weer zo'n initiatief.

Beaker Browser

Met de Beaker Browser kun je een alternatief netwerk doorbladeren. Belangrijk is daarbij dat je met de browser niet alleen kunt bladeren en browsen, maar je kunt ook zelf een website, een plekje op dit netwerk maken. In die zin is de browser ook een “builder”. Je kunt in de browser je website aanpassen. Daarvoor is er een editor en een bestands-beheertool ingebouwd. Het grote verschil daarbij is, dat alles op je eigen computer komt te staan, en niet op een andere computer in het internet. Als alles op je eigen computer staat, heeft Google, Facebook of Twitter helemaal niets met je gegevens van doen, en mogen ze er niks mee doen, als ze het al zouden willen gebruiken. Het blijft jouw eigendom, je hebt nergens een vinkje gezet dat alles wat je uploadt door een of ander bedrijf zonder jouw toestemming gebruikt mag worden.

Gedistribueerd

Als je met de Beaker Browser een eigen plek vastlegt voor een site, dan maakt het programma op je computer een zogenaamde “hyperdrive” aan. Je ziet die drive dan ook in je computer als een echte drive. Dit stukje is dan gereserveerd om in verbinding te staan met dit speciale netwerk. Een gedistribueerd netwerk. Stel je voor dat je je computer uitzet. Dan kan niemand meer je geweldige website zien. Nu is het zo, dat je buren, of misschien beter, iemand van de andere kant van de wereld jouw site kan co-hosten. Dat betekent dat hij of zij een kopie van je website, je hyperdrive maakt. Dat is het leuke van die hyperdrive, dat gaat allemaal automatisch. Als je iets verandert, dan verandert het op de andere plek mee. Zo kan jouw site op meerdere plekken verspreid staan, “gedistribueerd”, zoals ze dat noemen. En zo word je een deel van een gedistribueerd netwerk. Als een computer uitvalt, dan wordt binnen het netwerk automatisch een andere route naar een computer gevonden die wel online is. Een DDOS aanval zal dan niet zo makkelijk zijn, kun je bedenken. Zo'n gedistribueerd netwerk werkt aan de buitenkant wel ongeveer als het world wide web, maar de techniek is dus anders. Dat zie je bij de Beaker Browser al aan het eerste stukje van de url. Daarin staat het protocol dat de browser moet gebruiken om de plaats op het internet goed weer te geven. Meestal staat er https://, soms sftp://, of zelfs file:///. In dit speciale geval is het hyper://. Mijn adres is bijvoorbeeld:

hyper://624557f3a5008883c49fb8f7b028f2bd240c0ff04e52b50ad430eba6b0c02058/

Silo's

Als je jouw computer uitzet, dan is er dus nog altijd een kopie op te halen op een andere plek, iemand bijvoorbeeld die aan de andere kant van de wereld woont, waar het dag is, als jij naar bed bent, en waar de computer daarom nog aanstaat. En hier geldt natuurlijk: hoe groter het netwerk, des te beter het gaat functioneren. Alles in je hyperdrive is benaderbaar (leesbaar) via het netwerk, met alle mogelijkheden van het hyperdrive-protocol. Een aparte webserver in de lucht houden, met al het gedoe, is helemaal niet nodig. Dus elk bestand kun je met een url ophalen vanuit een andere computer op het netwerk. Deze openheid is bewust in het netwerk ingebakken. De Beaker Browser oprichters zijn tegen zogenaamde “data silo's”.

Applicaties

Een website maken is niet het enige wat je met de Beaker Browser kunt doen. Als je wat meer ervaring hebt in programmeren, dan kun je er applicaties mee maken, die op het gedistribueerde netwerk hun werk doen. Een foto-album bijvoorbeeld, of een chatsite. Alles wat je maakt is open en bloot voor iedereen te zien. Dat is een hard principe van deze manier om een alternatief net te bouwen. Alle code (programmeercode) is open en voor anderen te hergebruiken. Als jij een mooie site maakt, kan een ander die gebruiken. Die persoon kan dan jouw hyperdrive “forken”, een kopie maken, en vervolgens aan zijn eigen wensen aanpassen en zijn eigen verhaal vertellen in een nieuwe mooie website die op de site van jou gebaseerd is. Dit schuurt nogal met ons copyright-idee, maar ik vind het wel een sympathieke werkwijze. Als mensen kunnen voortbouwen op uitvindingen van anderen, kan het netwerk zich heel snel vernieuwen. Veel sneller dan we gewend zijn in onze wereld van copyright en patenten. Ik kan me voorstellen, dat je de inhoud die je op je website zet, wel met een licentie verbindt. Dit “forken” geldt ook voor de applicaties die gemaakt zijn. Er is een contactenlijst en een forum en vraagbaak waar over het bouwen van applicaties gepraat wordt. Je kunt je hier alleen nog maar aanmelden via een twitter-account. Niet echt slim, maar kennelijk komt daar snel verandering in. Daarnaast is er een lijst van zogenaamde API's die je kunt gebruiken in je applicatie, om zoveel mogelijk gebruik te maken van de voordelen van het gedistribueerde netwerk. En natuurlijk is er een lijst van templates van sites of applicaties die al gemaakt zijn. Dat moeten er dan natuurlijk meer worden.

Probeersel

Als probeersel heb ik snel de laatste drie artikelen van mistynotes als website op een hyperdrive gezet, om daarmee een eenvoudig blogje te maken. Dat is gelukt. Maar je ziet nu wel dat je nog veel handmatig moet doen. Wel is het handig dat ik gewoon de markdown tekst kan kopiëren, en dan is de site meteen goed. De css moest wel nog wat aangepast worden, maar het meest vervelende is dat de landingspage niet automatisch wordt aangemaakt. Daarmee bedoel ik dat wanneer je een blogbericht schrijft, dan zorgt Wordpress, of Write.as er automatisch voor dat dit bericht (of een deel van het bericht) op je landingspage komt. Die pagina is dan een soort van inhoudsopgave met alle berichten die je hebt gemaakt in het verleden. Om dit te bewerkstelligen, zul je vast een applicatie kunnen maken. Via de frontends-.ui-folder denk ik. Maar dat is misschien iets voor later, als dit zich goed ontwikkelt. Zo ziet het er nu uit:

En als ik mijn computer aan heb staan met de hyperdrive online, kun je dat misschien ook hier zien met de Beaker Browser:

hyper://041030fa16a809ce27d78f0f608785edcfc47541836dc8dc637545f155375ebd/index.md

Maar wees niet teleurgesteld als je niets ziet. Ik ben nu eenmaal niet de hele tijd aan het Beakeren.

Installeren

Mocht je nieuwsgierig zijn, twijfel niet en probeer het uit. De installatie is niet zo moeilijk. Tenminste op linux niet, daarvoor is een zogenaamde AppImage gemaakt, dat op alle distributies moet kunnen draaien. Windows en Mac zal ook wel makkelijk te doen zijn. Veel succes!

#beaker #browser #distributed #tor #privacy #hacks

Nu las ik het al in een eerder bericht, maar het is de kracht van de herhaling die me er met de neus op drukte: wat is nu eigenlijk de rol van de Autoriteit Persoonsgegevens? Lees het volgende stukje, en kijk dan naar de laatste zin. Het lijkt erop dat de AP goed voor onze privacy opkomt. Maar als de overheid niet van zins is voor een goede privacy te zorgen, en Big-Brother-wetten gaat maken, lijkt de AP het hoofd maar al te snel te laten hangen.

Eerder gaf de AP al aan dat data van telecomproviders niet zonder toestemming mogen worden gedeeld, tenzij de wet wordt aangepast.

Die laatste “tenzij” roept bij mij een hoop vragen op. Geeft de AP dan geen advies? Laat de AP dan niet weten wat belangrijk is? Helpt de AP de regering dan niet om een goede wet te maken? En is de Autoriteit Persoonsgegevens er dan niet bij, als er een nieuwe wet gemaakt wordt? Passieve zinnen zonder handelend onderwerp maken het er over het algemeen niet duidelijker op, zoals nu ook weer blijkt. Als je naar de website van de Autoriteit Persoonsgegevens kijkt, en haar taken opzoekt, dan zie je dat een hoofdbestanddeel van het functioneren van de AP “het toezicht houden op het naleven van de wetten” betreft. Maar er staat toch ook:

Andere belangrijke taken van de AP zijn adviseren over nieuwe regelgeving en voorlichting geven over de privacywetgeving.

Het adviseren is dus een belangrijke taak, en ik zou toch ook wel graag zien dat de Autoriteit Persoonsgegevens wat alternatieven zou laten zien. Ok, Aleid Wolfsen, klinkt hier strijdbaar:

De AP is dan ook van plan “strak en alert toezicht” te houden.

Maar dat zijn loze woorden. Want wat hebben we aan strenger toezicht, als de wet verandert, zonder dat AP iets doet? Opbouwend adviseren hoe bijvoorbeeld zo'n corona-app er uit moet zien, zou een betere insteek zijn. Er zijn genoeg mensen die hiermee bezig zijn, gratis en voor niks. Kijk eens naar Waag of een blog van een veiligheidsexpert. De houding van Wolfsen tegenover een ver doorgevoerde inbreuk op privacy is mijns inziens heel gematigd en gelaten.

Wat zou kunnen is dat de overheid er wetgeving voor maakt, dat zou spoedwetgeving moeten zijn, maar daar zie ik het niet zo snel van komen. Dan ga je echt diep ingrijpen in de grondrechten van mensen.

Ook hier klinkt meteen door, dat als de wetgeving er is, meneer Wolfsen niets meer te doen heeft. Ik ben er niet gerust op. Over dit soort zaken hoor je niet voorzichtig en diplomatiek te zijn, maar kun je gewoon zeggen dat dit volgens de AP niet bespreekbaar is. Hopelijk laat de AP eindelijk eens zien dat het écht voor privacy is, en met verve voor onze grondrechten opkomt.

#coronaapp #privacy #ap

Tegenwoordig hoor je zoveel over versleuteling. Websites op internet met “https” en een “slotje” sturen en ontvangen versleuteld informatie. Berichtjes die je stuurt met Whatsapp of met Signal zijn automatisch versleuteld. Ministers die een reservesleutel willen hebben, om in je berichten te kunnen koekeloeren. Als je je browser, Whatsapp of Signal gebruikt, dan heb je helemaal niet in de gaten dat je berichtenverkeer versleuteld is. Alles wordt afgehandeld door het programma. Je hoeft er zelf niets voor te doen. Het programma maakt zelf openbare en privé-sleutels aan en gebruikt deze om de berichten te versleutelen. Het zou fijn zijn, als dat met e-mail ook zo zou zijn. Voor een deel is dat nu ook zo. Werden de berichten vroeger over het net in gewone tekst verzonden, de laatste jaren wordt het transporteren van e-mail via het berichten-protocol SMTP eerst versleuteld met het encryptie-protocol TLS. Je e-mail provider zorgt hiervoor en daar hoef je alleen bij de installatie van je e-mail programma even rekening mee te houden. Maar e-mail is zo nog steeds niet “end-to-end” versleuteld. De provider zet namelijk het versleutelde bericht bij aankomst voor je om in gewone tekst om het daarna in je mailbox op te slaan. De provider kan je bericht daarmee, theoretisch gezien, ook lezen. Als de provider het kan lezen, dan zou onze minister het ook kunnen lezen. Als je vindt dat je niets te verbergen hebt lees dan even dit stukje van Bits of Freedom. Het is gelukkig mogelijk je e-mail zo te versleutelen, zodat het versleuteld bij de provider aankomt, en pas bij het lezen door de ontvanger ontsleuteld wordt. Het instellen van deze “end-to-end”-versleuteling bij e-mail is niet gemakkelijk. Het helpt ook niet, dat er verschillende mogelijke protocollen voor deze versleuteling zijn: S/MIME en Open PGP. Toch zijn er tegenwoordig e-mail providers die dit versleutelen een beetje makkelijker maken.

Geheim: ik vind je leuk

Als kind heb je misschien wel eens geprobeerd iets geheims op te schrijven wat alleen jij zou kunnen lezen. Of alleen jij en nog iemand anders die zou weten hoe die het zou moeten lezen. Een voorbeeld van zo'n manier: gebruik steeds een letter later in het alfabet. “Jl wjoe kf mfvl” betekent dan “ik vind je leuk”. Om dit te ontcijferen heb je de sleutel nodig: het alfabet, en de encryptie-operatie: één letter later. Nu is het zo, dat als eenmaal deze sleutel bekend is, iedereen het geheime bericht kan ontcijferen. Men wilde het daarom wat veiliger maken, zodat het bericht alleen door de ontvanger ontcijferd kan worden. Daarom is het wat ingewikkelder gemaakt. De ontvanger heeft een openbare en een privé-sleutel. En jij, als verzender, hebt ook twee van deze sleutels. Jij weet de openbare sleutel van de ontvanger. Die heeft hij jou gegeven, of die kun je opzoeken in een groot sleutelboek, waarin per e-mailadres een openbare sleutel staat. Jij versleutelt het geheime bericht met deze openbare sleutel van de ontvanger, en met jouw eigen privé sleutel. De ontvanger kan dan dit bericht weer tevoorschijn toveren door het te ontsleutelen met zijn privé sleutel en jouw openbare sleutel. Ja, hoe is dat nou mogelijk? Ik heb eerlijk gezegd geen idee. We noemen het maar de “magie” van de wiskunde. Die openbare sleutel en de privé-sleutel zijn samen natuurlijk geen toevallige combinatie. Berichten die je met de openbare sleutel hebt versleuteld, kun je met de privé sleutel ontcijferen. Op de een of andere manier zijn dit daarom getallen die in verband met elkaar staan en waarmee je samen met een andere combinatie van openbare en privésleutel berichten kunt versleutelen en ontsleutelen.

Hoofdbrekens

Het is jammer dat bij e-mail die versleuteling niet automatisch gaat. Waarom moeten wij ons hoofd breken over die ingewikkelde sleutelzaken? Het kan zijn, dat dat komt doordat je bij e-mail vrij bent om je eigen e-mail programma te kiezen. Whatsapp berichten bijvoorbeeld, sturen alleen maar naar andere Whatsapp programma's. Daardoor kan het Whatsapp programma zelf bijhouden wat de openbare sleutels zijn van de personen in je contactenlijst. De privé sleutel heeft Whatsapp of Signal snel aangemaakt tijdens de installatie van de app op je telefoon. Je hoeft dus niet zelf je openbare sleutel met anderen uit te wisselen. Dit idee is er ook bij het S/MIME protocol, waarbij er X.509 certificate servers bijhouden wie wie is en welke openbare sleutel daar dan ook bijhoort. Je hoeft zo je eigen openbare sleutel niet aan je vrienden te versturen. Het S/MIME protocol is er al jaren en het is beschikbaar in veel e-mail programma's. Toch is dit protocol nooit doorgebroken. En dat kan komen doordat je, in tegenstelling tot wat er gebeurt bij apps als Whatsapp en Signal, je eigen certificaat moet aanvragen bij zo'n server. In dit certificaat komt dan je openbare sleutel te staan. Vervolgens moet je dat certificaat nog eens inladen in je e-mail programma. “Laat maar zitten, ik heb toch niks te verbergen.”, is dan de gemakzuchtige reactie. Ook Open PGP is niet gemakkelijk te configureren. Maar er zijn tegenwoordig email-providers die het Open PGP protocol in hun web-omgeving ondersteunen. Je hoeft daarvoor in ieder geval dit registratieproces niet te doorlopen. En dat maakt de drempel om deze versleuteling te gebruiken iets lager.

Ik ben echt wel wie ik ben

Je ziet nu dat er sommige emailproviders aan de slag zijn gegaan met de versleuteling volgens het protocol Open PGP in plaats van S/MIME. Met Open PGP hoef je je niet te registreren bij een “trusted third party” en een certificaat aan te vragen dat je kunt gebruiken om te versleutelen en te tekenen. Je geeft je openbare sleutel gewoon aan je vriend. Die moet jou dan maar vertrouwen dat je bent die je bent. En in de meeste gewone contacten is dat ook geen probleem, want die kennen je van de echte wereld. Die sleutel wordt dan voornamelijk gebruikt om te versleutelen, en niet om te bewijzen dat je bent die je zegt te zijn. Toch is het ook binnen dit protocol mogelijk enige mate van vertrouwen aan een openbare sleutel toe te kennen. Je vrienden kunnen jouw sleutel tekenen, en er voor instaan dat jij bent die je zegt te zijn. Hoe meer vrienden zeggen dat jij werkelijk bent die je zegt te zijn, hoe betrouwbaarder jouw identeit gezien wordt. Voor een deel is dit hetzelfde als bij het S/MIME protocol, alleen is er bij S/MIME maar één belangrijke “trusted party” nodig die er voor instaat dat jij bent die je zegt te zijn. Maar om een akkoord van deze partij te krijgen moet je voor het aanmelden naar het postkantoor met je paspoort en van alles en nog wat. Een heel gedoe, en het is dan ook niet verwonderlijk dat dit geen grote vlucht heeft genomen bij de gewone man en vrouw.

Alleen versleutelen

In de praktijk worden de openbare sleutels met PGP voornamelijk gebruikt om de berichten te versleutelen samen met de eigen privésleutel. Misschien dat dat in de toekomst nog wel gaat veranderen, en dat we echt een hele “Web of Trust” krijgen van openbare sleutels, die niet, weinig of door veel andere mensen zijn bevestigd. Het aanmaken van een openbare sleutel bij zulke providers is een fluitje van een cent. Er komt geen paspoort of postkantoor bij kijken. Alleen wat klikken met de muis op de goede plek. Er zijn al veel providers die PGP-versleuteling makkelijker maken. Ik kan je laten zien hoe het bij freedom.nl is geregeld. Freedom.nl van Bits of Freedom, wordt zoals je misschien weet nu gebruikt door ex-medewerkers van internet-provider XS4ALL, uit onvrede met het KPN beleid om de provider XS4ALL in te kapselen in het grote KPN-lichaam. Je kunt er nu al e-mail abonnementen kopen voor vijftig euro per jaar, waarbij je zelfs een eigen domein kunt kiezen voor je postadres. Bijvoorbeeld anneskantoor.nl voor post@anneskantoor.nl. of post@paulsplekje.nl. Zo zit je niet vast aan freedom.nl en kun je verhuizen naar een andere provider zonder dat je je e-mailadres hoeft te veranderen.

We gaan versleutelen!

Bij freedom.nl kun je je sleutelpaar in de webmail-omgeving handig aanmaken. Ga naar instellingen, PGP-sleutels en druk beneden op het plusje. Je krijgt dan de mogelijkheid om voor de identiteit waarmee je bent ingelogd sleutels aan te maken. Verzin een goed wachtwoord of wachtwoordzin. Klaar! Is dat alles? Het enige wat je nog moet doen om een versleutelde mail te sturen is een vinkje aanzetten bij het opstellen van je e-mail. Je ontvanger moet dan wel je versleutelde e-mail kunnen ontsleutelen. Dat wil zeggen, hij of zij moet hetzelfde gedaan hebben als jij en beschikken over een publieke en privésleutel. Jullie moeten elkaars publieke sleutels ook uitwisselen. Het is ook mogelijk om meteen tijdens het versturen van je mail, je publieke sleutel mee te sturen als attachment. Als je wil dan kun je je openbare sleutel publiceren door het te uploaden op een “key-server” zoals bijvoorbeeld keys.openpgp.org. Hier vind je er meer.

Nu wil je natuurlijk ook de versleutelde e-mails kunnen ontvangen. Het enige wat daar nu nog voor nodig is, is dat je de publieke sleutel van degene die jou een versleuteld bericht wil sturen, importeert in de mail-omgeving van je mailprovider. Bij Freedom.nl is het dan weer naar instellingen, PGP-sleutels en importeren. Je ziet hier ook dat je de sleutels van een keyserver zou kunnen halen.

Lokaal

Jouw sleutels worden bewaard op de emailserver van de provider. Je kunt ze ook exporteren en gebruiken in een e-mail programma, zoals Thunderbird of het pakket Evolution. Je kunt zelfs helemaal zonder die e-mail-provider, een sleutel aanmaken en deze gebruiken in je lokale e-mail programma. Het kan namelijk zijn dat je helemaal niemand je sleutel wil geven. Dus ook niet je e-mail provider. Dat is een kwestie van vertrouwen. In feite doe je dan hetzelfde als op de webserver van je webmailprovider. Het is alleen wat bewerkelijker. De meeste e-mail programma's kunnen zelf een sleutelpaar genereren. Als dat niet kan, dan kun je je toevlucht zoeken in de terminal van je operating systeem en de opensource gpg software gebruiken om die aan te maken. Als je de sleutels al hebt gemaakt bij je webmail, dan kun je deze sleutels ook importeren op je computer. Die komen dan in een kluisje van je operating systeem terecht en zijn dan door het email-programma op te halen door het key-id te gebruiken. Om dit voor elkaar te krijgen moet je dus eerst je sleutelpaar exporteren naar een bestand op je computer. Bij freedom.nl klik je dan bij pgp-sleutels en boven in de hoek op exporteren. Vervolgens importeer je de sleutels op je systeem. Hiervoor zul je een gpg-commando in je terminalvenster moeten uitvoeren. Met gpg-software kun je pgp-versleuteling bewerkstelligen. Mocht je de GnuPG nog niet geinstalleerd hebben, dan kun je die voor je besturingssysteem hier vinden.

gpg2 --import Naamvanexportbestandje.asc

Je krijgt dan vervolgens de vraag naar het wachtwoord voor de geheime sleutel. Die vul je dan in en dan staan je sleutels op je computer.

gpg: sleutel 8D7KKP99: publieke sleutel "bla <pietje@puk.nl>" geïmporteerd 
gpg: sleutel 8D7KKP99: "Peter <jantje@plok.nl>" niet veranderd
gpg: sleutel 8D7KKP99: geheime sleutel geïmporteerd
gpg: sleutel 8D7KKP99: "Peter Plok <jantje@plok.nl>" niet veranderd
gpg: Totaal aantal verwerkt: 3
gpg:               Geimporteerd: 1
gpg:              Onveranderd: 2
gpg:       Geheime sleutels gelezen: 1
gpg:   Geheime sleutels geimporteerd: 1 

Je kunt eventueel alle sleutels bekijken met:

gpg2 -k

Daarna is het voldoende het key-id in te vullen bij eigenschappen van het e-mail-adres waarvan je de mails in je e-mail programma wil ontvangen. In mijn Evolution applicatie klik ik daarvoor op eigenschappen voor het email-account en ga naar “beveiliging”. Vermoedelijk is het bij andere mail-programma's niet veel anders. Mocht je het Key-Id zijn vergeten, dan heb je die snel weer opgezocht in je webmail-omgeving. Een klein testje laat zien dat het versleuteld versturen en ontvangen van e-mail helemaal goed werkt!

Waar zijn mijn sleutels?

Veel in ons leven gaat om vertrouwen. Vertrouw je de “trusted third party” als die zegt dat iemand werkelijk is, zoals die zich voordoet? Het DigiNotar schandaal laat zien, dat ook dit hiërarchisch vertrouwenssysteem zijn gebreken heeft. Daarom kun je je ook afvragen in hoeverre je het opslaan van je sleutels wel in de cloud, dus bij zo'n e-mail provider moet doen. In de voorbeelden hier zijn de sleutels aangemaakt en opgeslagen door je e-mail provider. De providers die jouw pgp-sleutels opslaan, hebben ieder zo hun eigen manier om dit zo veilig te doen, dat ze zelf jouw sleutel niet kunnen bekijken. Startmail bijvoorbeeld, genereert de sleutel op hun server en zet het in een versleutelde gebruikerskluis, waar ze zelf niet bij kunnen. Protonmail laat het genereren in je browser en vervolgens versleutelen, voordat het bij hun op de server gezet wordt. En ook bij freedom.nl, dat gebruik maakt van soverin.net mail kan men niet bij je privé-sleutel. Als je toch besluit je privésleutel lokaal te houden, maak er dan een goede backup van. En dan niet in de cloud opslaan, want dan kun je het net zo goed bij je emailprovider laten staan.

#deletegmail

Er is, zoals gezegd, een aantal e-mailproviders die de nadruk legt op privacy. Gmail is dat natuurlijk niet. Met gmail verstuur je weliswaar versleuteld je e-mail over het internet, maar de e-mail die bij je binnen komt wordt als gewone tekst opgeslagen. Google kan dan zien wat er in de e-mail staat, en wil je vanuit die inhoud ook diensten en advertenties aanbieden. Als je bijvoorbeeld vliegtickets hebt binnengekregen, dan waarschuwt Google je, wanneer het tijd is om naar het vliegveld te gaan. Dat is handig, maar ook een beetje griezelig. Ik was verrast, toen ik dat een aantal jaren voor het eerst merkte en kreeg er een dubbel gevoel over. Google wil je helpen, Google weet bijna alles. En Google kan niet anders. Het is haar verdienmodel. Het is aan onszelf en onze nationale en Europese politiek om ons te beschermen tegen die grote drang om alles van ons te weten en aan ons geld te verdienen. Dus hier is een lijstje met mailproviders die zeggen privacy op de eerste plaats te stellen.

• Freedom internet
• Soverin
• Startmail
• ProtonMail
• TutaNota
• Mailfence
• Disroot

Sommige providers bieden voor je smartphone apps aan, waarin alles, net als bij Signal of Whatsapp geregeld is, zodat je weinig zelf hoeft te doen. Maar google () eens voor jezelf. Als je voor het nieuwe jaar echt van gmail af wil, bedenk dan ook dat sommige e-mail providers ook agenda's ondersteunen. Wil je ook af van Google Calendar, dan heb je meteen twee vliegen in één klap bij de keuze van een nieuwe e-mail provider. Ja, je moet iets betalen, maar je krijgt er iets waardevols voor terug.

Dagje wellness

Ook bij end-to-end encryptie ben je niet helemaal verlost van spiedende ogen, want zogenaamde “meta-data” over je berichten zijn bij de provider meestal wel bekend. Facebook, dat nu eigenaar is van Whatsapp, kan nu niet in je berichten kijken, maar weet wel naar wie je berichten verstuurt. Als je ook je locatiegeschiedenis aan hebt staan, dan zou het kunstmatige slimpie van Facebook kunnen achterhalen dat je naar het ziekenhuis bent gegaan, en onderweg, terug naar huis, naar je moeder een berichtje hebt gestuurd. Misschien is er iets ergs gebeurd? Wil je advertenties voor medicijnen tegen hartaanvallen, bloeddrukverlagers misschien? Of ja, wellness en een dagje sauna zou je goed doen.

2020

Het lijkt erop dat zelfs deze metadata niet genoeg zijn voor minister Grapperhaus. Die wil ook nog in je berichten kunnen kijken. Laten we als antwoord daarop onze e-mail ook maar helemaal gaan versleutelen. Als de overheid de burgers niet vertrouwt, en de bewijslast maar al te graag aan de verkeerde kant legt, kunnen we het beste ook de overheid voorlopig maar niet meer vertrouwen, al hebben we die zelf gekozen. Kies een goede provider, betaal er een beetje voor, en ga beter beschermd het nieuwe jaar in. Hopelijk gaan regenten komend jaar inzien dat we niet allemaal criminelen zijn en begrijpen dat angst een heel slechte raadgever is. Alleen met beleid dat goed is voor de gewone mens, kunnen we èchte criminelen onverdeeld samen aanpakken.

tags #nieuwjaar #privacy #encryptie #email #hacks

De werking van sociale media, het is nog steeds een “hot topic” in het nieuws. Vooral als het gaat om de macht van slechts een paar bedrijven om invloed uit te oefenen op de opinie van grote bevolkingsgroepen. De regering is bezorgd om desinformatie in deze ongecontroleerde media en wil daar iets aan doen. Volgens voorvechter voor behoud van privacy en controle over je eigen data Bits Of Freedom pakt de regering de desinformatie aan de verkeerde kant aan. Niet de communicatie zou het probleem zijn, maar de uitbundige vrijheid van de markt om munt te slaan uit sensatieberichten. Daarnaast is het recht op privacy een grote zorg voor menigeen. Zeker na het beruchte Cambridge Analytica schandaal, waarbij veel gegevens van Facebookgebruikers opengesteld waren aan derde partijen.

Netwerkeffect

Er zijn al veel Facebook-alternatieven geweest, en geen van de alternatieven is maar in de buurt gekomen van Facebook. Facebook heeft nu eenmaal het voordeel dat er al veel mensen een Facebook account hebben. Dat is het zogenaamde netwerkeffect. Voor jou als gebruiker zie je familie en vrienden ook op Facebook zitten, en waarom zou je dan een ander medium gaan gebruiken? Hoewel het niet gemakkelijk is om je te overtuigen om een ander medium te gebruiken wil ik het toch proberen.

#deletedFacebook

Zelf heb ik mijn Facebook-account verwijderd. Net als mijn Whatsapp en Instagram account. Dat betekent voor mij dat ik een paar mensen niet meer kan volgen, en dat ik contact op moet nemen met hen op een ouderwetse manier. Via e-mail of de telefoon. Hoewel ik het een beetje mis, dat ik de levens van deze enkelingen niet meer “realtime” kan volgen, voel ik me wel meer vrij om te doen en laten wat ik wil. Ik keek al niet lang in mijn Facebook-account, maar nu ik helemaal niet meer die mogelijkheid heb, voelt dat wel een stuk beter. Dat is eigenlijk wel raar. De drempel om te bellen of te mailen is wat hoger, het heeft meer een reden nodig, maar ik vind dat wel prima. Er is al genoeg spam, nietwaar? Hoe zou jij dat vinden? Stel je eens voor dat je niet meer aan Facebook vastzit. Kun je dat aan?

Ironie

Je gaat niet zomaar weg van Facebook. Dat begrijp ik helemaal. Zoals je ongetwijfeld weet, gaat Facebook niet voorzichtig om met je gegevens. Facebook verdient nou eenmaal veel geld aan je. Kijk eens even wat ik al een probleem had met een e-mail adres dat openbaar werd gemaakt. En dat is echt maar peanuts vergeleken met mensen die echt slachtoffer zijn geworden van identiteits-diefstal. Als je vindt dat je niets te verbergen hebt, zou je je eens kunnen afvragen of je dan wèl iets te beschermen hebt. Wat als iemand met je e-mail adres van alles gaat doen. Petities ondertekenen, accounts aanmaken. Het kan op sommige plekken kennelijk gemakkelijk. Facebook heeft ook mobiele telefoonnummers aan anderen verkocht. Die telefoonnummers waren bedoeld om het inloggen op Facebook veiliger te maken door de zogenaamde 2 factor autorisatie. Dat Facebook iets verkoopt, waarmee je denkt bij Facebook veiliger te zijn tegen aanvallen op je privacy is niet meer ironisch te noemen. Hoe moet je het dan noemen? De werkelijkheid is hier niet meer in een stijlvorm te vatten. En als je niet meer naar rede wil luisteren, probeer dan eens naar je intuïtie te luisteren. Zou je deze man jouw paspoort een tijdje in bewaring willen geven? Je hebt het niet in de gaten, maar deze man kan alles van je te weten komen, ook al denk je alle instellingen in Facebook goed ingesteld te hebben. Als hij wil, kan hij gewoon bij je gegevens. En hij kan ze ook verkopen. En... hij verkoopt ze dus ook.

Alternatieven

Er is al een aantal alternatieven. MeWe, Vero, Ello ... ik heb ze wel bekeken en soms geprobeerd. Maar het deed me op de een of andere manier helemaal niets. Alleen Diaspora en Mastodon konden me verleiden om wat te proberen. Dat was ook het geval met Okuna. En ik moet je eerlijk bekennen: ik ben met Okuna afgegaan op mijn intuïtie. Misschien is het omdat ik in de alpha release en nu in de beta release meedoe in deze community. Dat kan. Je moet je er thuis voelen. Er is niemand van mijn familie op dit medium. Zelfs mijn vrouw heb ik niet gevraagd om mee te doen. (Ze heeft wel speciaal voor mij een account op Signal aangemaakt, omdat ik Whatsapp vaarwel zei). Ik denk dat het nog eerder ligt. Ik “geloof” in de mensen die dit initiatief hebben genomen om een sociaal medium te bouwen dat veilig is. Mocht je deze app ook willen uitproberen, dan kan ik je een uitnodiging geven.

Veilig

In onze wereld waarin er steeds grotere bedrijven zijn, die een paar miljoen euro een klein bedrag noemen, is het voor de kleine mens, zoals jij en ik, eigenlijk gevaarlijk ons in te laten met deze wolven. Ik besefte dit pas echt goed, toen ik van Amazon een e-mail kreeg, dat vriendelijk begon, daarna onvriendelijk een aantal bedreigingen uitte, om vervolgens weer heel vrolijk af te sluiten. Het beeld kwam in me op van de grote boze wolf die vriendelijk probeert te doen tegen Roodkapje, maar zijn gemeenheid in het gesprek niet kan verbergen. Amazon heeft op dit moment het account dat met mijn e-mail adres is aangemaakt voor mij onbereikbaar gemaakt. Ik kan het niet meer verwijderen. Ze zullen best in hun officiële 'recht' staan, maar ik voel wel dat mijn e-mail adres, dat toch eigenlijk een stukje van mij is, is gegijzeld. Hetzelfde gebeurt niet alleen met personen, maar zelfs met organisaties. Oracle is ook zo'n groot bedrijf. Het heeft in 2009 het eigenaarschap van Java gekocht, en het heeft er nu licenties aan geplakt. Niet voor particulieren, gelukkig. Overheidsinstanties hebben nu problemen met Oracle gekregen. Men spreekt al van wurgcontracten. En eigenlijk is het toch ons belastinggeld dat hier nu verloren dreigt te gaan. Bij grote bedrijven verdwijnt het respect voor de klant. Dat is al bekend sinds men de term “monopolie” heeft uitgevonden. Dat betekent voor mij, dat je als kleine particulier niet echt veilig kunt zijn met Google, Amazon, Facebook, Apple of Microsoft (GAFAM). Voor de duidelijkheid: ik denk niet dat deze bedrijven je opzettelijk een hak gaan zetten. Maar als je gegevens niet goed beschermd zijn, dan kunnen er altijd criminelen zijn, die je identiteit aannemen en hun louche zaakje onder jouw naam uitvoeren. En dan mag jij proberen de advocaten van GAFAM eronder te krijgen. Succes! Vergezocht? Weet jij wie jouw mobiele telefoonnummer, of e-mail adres, nu heeft, sinds meneer Zuckerberg die verkocht heeft? En weet jij welke hacker dat gaat gebruiken?

Kleine gemeenschappen

Okuna, net als bijvoorbeeld Diaspora of Mastodon heeft deze gevaren niet in zich. Hun eerste aandacht in het ontwerp voor het medium is de gebruiker, en niet de manier om geld te verdienen. Daarom is de programmacode door iedereen te controleren. En ook als je geen programmeur bent, geloof maar dat er genoeg mensen zijn die de code bekijken. Al is het alleen maar voor een “moment of fame”, of om een fout of een “glitch” te ontdekken. Deze media:

• hebben geen verborgen algoritmes,
• hebben geen advertenties,
• zijn gemaakt voor privacy,
• hebben een openlijk verdienmodel,
• hebben openlijke programmeercode.

Wat een rust en veiligheid straalt hiervan uit!. Wil je dat ook niet, dan? Denk er nog maar eens over na. Als er al een “baas” is van Okuna, Mastodon of Diaspora, die verzamelt echt geen extra profielgegevens. Vergeleken met Facebook zijn dit ook maar kleine gemeenschappen. Maar is het wel zo slecht dat ze klein blijven? Het is helemaal niet erg als er veel kleinere gemeenschappen zijn. Het is in ieder geval beter dan één applicatie van een bedrijf dat alle macht heeft. Het zou mooi zijn als al deze gemeenschappen onderling zouden kunnen communiceren. Enkele kunnen dat al door een tussenliggend communicatieprotocol (activitypub voor Mastodon en Diaspora bijvoorbeeld). Maar ik denk dat het niet in de lijn van verwachting ligt dat Facebook een stabiele API gaat verzorgen om van buiten Facebook te kunnen posten. Want dan gaan mensen al gauw op een ander en veiliger sociaal medium zitten en “crossposten” naar Facebook, waar ook een groot aantal van hun vrienden zijn. En dat betekent dan een groot verlies aan inkomsten, want de tijdlijn met de advertenties op Facebook blijven onbekeken. Facebook zal dit alleen maar onder dwang doen. Toch is het helemaal niet onlogisch om van Facebook te vragen om mee te werken aan een goede internet-infrastructuur. Alleen kunnen we dat alleen maar via de politiek en de wet voor elkaar krijgen.

Rust

Natuurlijk is het een hele stap om van Facebook weg te gaan. Eigenlijk zou je je vrienden ervan moeten overtuigen hetzelfde te doen, en met je mee te gaan. Ik had die moed en overtuigingskracht niet. Maar wellicht heb jij dat wel. En ook als je je vrienden niet meekrijgt, en je teruggeworpen bent op ouderwetse communicatiemiddelen. Je voelt je thuis in dat nieuwe medium, en je voelt je veilig omdat er geen advertenties zijn, niemand bij je gegevens kan komen en niemand je probeert te manipuleren met algoritmes. Hoe sereen is dat? Het is tijd voor een meditatie!

#okuna #mastodon #diaspora #fediverse #activitypub #facebook #socialmedia #privacy #security

Een tijdje geleden kreeg ik een e-mail van Amazon met een vrolijke welkomst-boodschap. Ik kon gebruik maken van het free-tier programma van de Amazon Web Services. Nu is het wel zo dat ik daar wel eens rondgesnuffeld heb, op zoek naar een goedkoop Windows alternatief: een “Desktop As A Service”, dat ik sporadisch zou gebruiken om enkele windows-only programma's te kunnen starten. Maar dat alternatief had ik daar juist niet gevonden. Ik heb een tijdje een Windows VPS gehad bij een andere provider. Dat was een stuk goedkoper. Een paar euro per maand slechts.

Onversleuteld

Maar waarom krijg ik dit mailtje dan? Weten ze nog dat ik drie jaar geleden daar rond heb gesnuffeld? Het kan zijn dat ik er mijn e-mail adres heb achtergelaten. Maar ik heb daar in ieder geval geen nieuw account aangemaakt de laatste weken. Het e-mail adres waar het welkomstbericht naar gestuurd, is een adres dat ik al geruime tijd niet meer actief gebruik, omdat het door onze vrienden van LinkedIn gelekt is, samen met mijn wachtwoord. Die lagen beide onversleuteld opgeslagen. LinkedIn doet kennelijk alles voor haar gebruikers, als er iets mee verdiend kan worden, maar het beschermen van haar gebruikers kost alleen maar geld, nietwaar? Dat wachtwoord voor het LinkedIn account heb ik natuurlijk meteen veranderd. Nu is dit e-mail adres ook al eens gebruikt om een petitie mee te ondertekenen voor een of andere mevrouw in Amerika. Geen idee wat dat was, maar ik moest wel weer de moeite doen, om die handtekening weg te halen.

Spookaccount

En nu dit spookaccount. Ik heb ook hier meteen het wachtwoord veranderd. Je kunt gelukkig altijd aangeven dat je het wachtwoord “vergeten” bent, om het daarna te kunnen veranderen. Als ik toen dacht dat ik er van af was, had ik buiten Amazon gerekend. Na het derde reclame-mailtje van “ga er eens iets mee doen”, logde ik in op het account. Toen bleek dat ik ene mevrouw Brenda G Gordon uit Eagleville US was. Zou dat een dummy account zijn? Of is het echt van iemand anders? Het leek er zelfs op dat er een visa creditcard nummer was ingevuld. Oei, de laatste vier nummers zouden dat de nummers van mijn creditcard zijn?

Pfff, gelukkig niet! Wat nu te doen? Ik kan het account wel weggooien, maar dan is die mevrouw niet erg gelukkig, ook al heeft ze verder ook geen gebruik gemaakt van de diensten van Amazon. Binnen dit account is er de mogelijkheid vragen te stellen aan de hulpdienst van Amazon, de “support”. Dus maar snel gevraagd of dit nu een dummy-account is of wat er verder aan de hand kan zijn, en of ik het account kan verwijderen. De case met nummer 6569695841 staat in de wacht en heeft prioriteit laag. Aan het nummer te zien, moeten ze inderdaad een hoop ergere dingen op te lossen hebben.

'Have a great day!'

Inmiddels, na 13 uur al een definitief tweede antwoord gekregen, nadat een eerste bevestigingsmail vriendelijk begon, daarna onvriendelijke gevolgen opsomde als ik nog zaken zou moeten betalen, ingeval ik het account zou verwijderen, en vervolgens weer vriendelijk afsloot: “Have a great day ahead!”. Het definitieve antwoord ging als volgt:

Greetings from Amazon.com.

It appears that someone used your email address to create an Amazon Web Services (AWS) account. If you did not create an AWS account, you can ignore any emails you may receive concerning one. We reviewed your Amazon.com account and did not detect any signs of unauthorized activity.

This does not indicate that your email was compromised, but as a precaution, we recommend changing your email password. We cannot guarantee it was not accessed by an unauthorized party.

Sincerely,

Best regards,

Dus dan nog maar een keer mijn wachtwoord veranderen. En mocht er nog iemand zijn die denkt dat ie niets te verbergen heeft, denk er dan aan dat zelfs zoiets gewoon als je e-mail adres je een hoop last kan bezorgen, als het in een database terecht komt van gehackte accounts in de donkere gedeelten van het internet.

#amazon #security #privacy