Hou het voor jezelf

Wat kun je zelf doen om je tegen al te nieuwsgierige bedrijven, inlichtingendiensten en personen te beschermen? Door

Daar sta je dan, als relatief onschuldige burger, tussen de kogelvrije vesten, setjes met lopers, afluisterwekkerradio's, pennen met cameraatjes erin. Zonder de NSA zou je hier nooit hebben gestaan. Dit is het soort winkel waar criminelen hun boodschappen doen. Maar nu voor de spionagediensten iedereen verdacht is, vind je jezelf van de weeromstuit terug in zo'n zaak, op een regenachtig haventerrein aan de rand van de stad. Hebben ze ook iets om je tegen die diensten te beschermen?


Boven aan de boodschappenlijst: een telefoon die niet is af te luisteren.


Want het ziet ernaar uit dat we er voorlopig nog niet vanaf zijn, van de NSA. Uit zijn speech vorige week bleek dat de Amerikaanse president Obama maar weinig wil veranderen. Bovendien: als de NSA het niet doet, doen anderen het wel. Er zijn meer buitenlanden. En ook in Nederland wordt een wet voorbereid die de inlichtingendiensten ruimere bevoegdheden moet geven.


Mocht je je over de staatssurveillance geen zorgen maken, dan is er nog een tweede reden om dat toch te doen. Een scholier stond vorige week voor de rechter omdat hij duizenden computers had gekraakt, met malware die vergelijkbaar is met wat de opsporingsdiensten gebruiken. Hij had de cameraatjes boven andermans beeldschermen overgenomen, miljoenen bestanden binnengehaald, de toetsenbordaanslagen geregistreerd en geheimen gezien. Vervolgens plaatste hij een naaktfoto van een meisje op internet. Hij gooide iemands scriptie weg. Hij bedreigde bezitters van kinderporno.


Het waren pesterijtjes van een amateur, maar hij had ook mensen kunnen chanteren, wachtwoorden kunnen gebruiken, creditcardgegevens kunnen achterhalen, van alles kunnen kopen. En hij niet alleen. Iedereen met een beetje computerkennis en een beetje kwade wil, kan op internet alle programmaatjes vinden die nodig zijn om in computers te infiltreren. Om te hacken hoef je nauwelijks nog een hacker te zijn.


De derde sector die vervelend kan worden is het bedrijfsleven, de commercie, het grote geld. Uit persoonlijke gegevens, locaties, contacten, surfgedrag, foto's en aankopen kunnen ze een gedetailleerd profiel destilleren. Daar kunnen ze vooralsnog niet veel meer mee dan je persoonlijke advertenties sturen (hoe erg is dat?), maar er lonkt een toekomst waarin deze data bepalen hoeveel je voor een aankoop moet betalen en hoe hoog je verzekeringspremie wordt en of je die baan krijgt.


Dus: wat kun je doen om zo veel mogelijk voor jezelf te houden?


Begin bij het begin: je wachtwoorden. Wanneer iemand je wachtwoord heeft voor onlinediensten (DigiD!) kan je dat veel geld kosten. Kies geen woord als wachtwoord: daar komen hackers met een woordenboek zo achter. Combinaties van letters, woorden en symbolen zijn sterker, maar kunnen nog steeds worden achterhaald door een computer die gewoon alles probeert. Het devies: hoe langer hoe beter. Kies liever een wachtzin dan een wachtwoord, bijvoorbeeld een willekeurige zin uit een willekeurig boek. Nog beter: vijf of zes woorden die helemaal niets met elkaar te maken hebben.


Het probleem is wel dat je veel wachtzinnen nodig hebt, want het is geen goed idee om dezelfde zin te gebruiken voor verschillende toepassingen. Er zijn (gratis) programma's die dat oplossen, een soort onlinekluisjes waarin al je sleutels opgeborgen liggen, zoals Keepass en 1password. Je geeft één keer een hoofdsleutel op (goed onthouden) en daarna worden er verschillende versies van gemaakt. Gratis te downloaden.


Voordeel van zulke programma's is dat je de wachtwoorden niet zelf hoeft in te typen, zodat een keylogger (een hackprogramma dat bijhoudt welke toetsten je intikt) niets kan verraden.


Ook is het altijd veiliger om naast een wachtwoord nog een extra apparaat te gebruiken om jezelf kenbaar te maken. Om bij je bank in te loggen heb je daarom altijd een 'token' nodig die, in combinatie met je pas, een extra code oplevert. Ook de telefoon kan die extra authenticatie leveren. Bij DigiD, maar ook bij Twitter, Facebook en Google kun je daarom je telefoonnummer opgeven, waarna je voortaan via sms een code krijgt om te kunnen inloggen. Bedenk wel: wil je Google je 06-nummer geven?


Over Google gesproken: stop daarmee. Het bedrijf verzamelt zelf zoekopdrachten, mailtjes (via Gmail), filmpjes (via YouTube) en locatiegegevens (via Google Maps) en 'spint daarmee een onzichtbaar web van onze persoonsgevevens, zonder onze expliciete toestemming', aldus Jacob Kohnstamm, voorzitter van het College Bescherming Persoonsgegevens twee maanden geleden.


Er zijn alternatieven. Kies als zoekmachine bijvoorbeeld voor DuckDuckGo of het Nederlandse Ixquick. Die hebben je identiteit niet nodig om iets op te zoeken op internet. De servers van Ixquick staan in Nederland en kunnen dus niet (eenvoudig) worden doorzocht door Amerikaanse inlichtingendiensten.


Je wordt nog wat anoniemer als je (gratis) extraatjes, zogeheten add-ons, installeert die het voor bedrijven moeilijker maken je te volgen. Programma's als Twitter en Facebook plaatsen vaak 'buttons' op een website waarop je kunt klikken als je die site leuk vindt.


Die knoppen fungeren vooral als spionnetjes van je surfgedrag: ook als je er niet op klikt, registreren ze wat je doet. Er bestaat een add-on, ShareMeNot, die deze commerciële spionnen uitschakelt. Al weet deze add-on dan weer precies wat je doet.


Om erachter te komen wie er allemaal achter je aan zitten, kun je (in Google Chrome) het gratis programmaatje Collusion aan je browser toevoegen. Die laat in een mooi overzichtje zien wie er allemaal naar je zitten te kijken als je een website aanklikt. Eén bezoek aan de Volkskrant-site levert zo zestien volgers op. Die kun je vervolgens stuk voor stuk blokkeren.


Wie echt werk wil maken van zijn internetprivacy gaat met Tor aan de slag. Tor (The Onion Router, ofwel de ui-verbinding) is een versleutelde omweg om internet op te gaan, waarbij het ip-adres van je computer verborgen blijft. Dat betekent dat Tor ook wordt gebruikt voor allerlei misselijkmakende zaakjes - als relatief onschuldige burger bevind je je dankzij de NSA ineens in slecht gezelschap. De beveiligde omweg betekent wel dat het netwerk veel trager is dan een normale browser. Het is bijna ondoenlijk om altijd op deze manier het internet op te gaan; kies Tor alleen voor zoektochten waarbij je echt geheim wilt blijven.


Dat is eigenlijk bij alle privacyoplossingen het probleem: het kan allemaal, maar je moet er wel wat voor doen of voor opgeven. We zijn eraan gewend om alles, vaak gratis, op internet te kunnen doen. Maar alles heeft een prijs: ook voor gratis betaal je, maar dan met je privacy.


Ga Tor vooral niet gebruiken om op Facebook te gaan: dan blindeer je de voordeur om de ramen wijd open te zetten. Alles wat je op Facebook zet, wordt ooit ergens zichtbaar voor iemand voor wie je het niet hebt bedoeld. Sharing, het centrale praatgroepbegrip van de sociale media, is natuurlijk het tegenovergestelde van privacy. De beste remedie is fantasie: probeer te bedenken wat er gebeurt als foto's in verkeerde handen vallen. Zowel criminelen als bedrijven of inlichtingendiensten maken gebruik van deze informatie.


Met e-mail richt je je maar tot één ontvanger, maar een mailtje is als een briefkaart die ook door de postbode gelezen kan worden en door iedereen die in de postzak meekijkt. Gmail en Hotmail doen dat dan ook gretig: de mailtjes worden doorzocht op trefwoorden, om daarmee door te bouwen aan je profiel. Een manier om het de profielbouwers iets moeilijker te maken, is door zoveel mogelijk e-mailadressen te gebruiken, en die steeds te veranderen.


Wie echt geen meelezers wil, moet zijn mailtjes omzetten in geheimtaal. Daar moet je wel moeite voor doen: je hebt een encryptieprogramma nodig en moet ervoor zorgen dat mensen met wie je communiceert de sleutel kunnen vinden om je berichten toe te sturen. Veelgebruikt is PGP (Pretty Good Privacy), maar bedenk dat de metadata, dus wie met wie mailt, wel bewaard blijven.


Mobiele telefoons zijn de grootste goudmijn voor iedereen die wil weten wat je doet. Ze weten daardoor wie je belt, maar ook waar je bent: gegevens die niet alleen voor opsporingsautoriteiten maar ook voor bedrijven interessant zijn. De telefonieproviders zelf krijgen die gegevens binnen, maar nog erger zijn de apps die je op je telefoon zet: die programmaatjes vragen vaak toegang tot locatiegegevens, contacten en meer privé-informatie - zelfs de app die je telefoon omtovert in een zaklantaarn vraagt om toegang tot je adressenboek. Denk daarover na, voor je zo'n handig gratis programmaatje binnenhaalt.


Maar hoe zit het nou met het bellen zelf? In de spionagewinkel in het havengebied hebben ze niets beters dan de Cryptophone, een mobieltje à 1.850 euro waar je, hoewel de naam anders suggereert, alleen veilig mee kunt sms'en. En dan moet de ander er ook eentje hebben.


Maar dan lopen ze echt achter, zegt Jaap-Henk Hoepman van het Privacy en Identity Lab van de Radboud Universiteit in Nijmegen. Want voor het bellen en sms'en zijn tegenwoordig wel degelijk oplossingen: een app van het bedrijf Silent Circle (Amerikaans, maar niet gevestigd in Amerika) die zonder dat je er iets voor hoeft te doen je gesprekken en berichtjes versleutelt. Kost rond 75 euro per jaar. De ontvanger moet de app dan ook hebben. De makers brengen volgende maand ook een telefoon uit, Blackphone, waar alle benodigde software al op zit.


Met Silent Circle blijven ook je metadata onzichtbaar, die veel zeggen over wie je bent en waar je bent. Die metadata zijn, zo bleek deze week uit een onthulling van nu.nl, ook te verbergen met een zogeheten spoofing card (waarmee je kunt doen alsof je van een ander nummer belt). Dat kost wel gauw tientallen euro's per maand.


Silent Circle, een bedrijf van encryptie-goeroe Phil Zimmermann en een Amerikaanse ex-marinier, is typisch zo'n bedrijf dat veel baat heeft gehad bij de NSA-onthullingen: de omzet is verveelvoudigd, de afgelopen maanden. Toch, zegt Arno Reuser, een voormalige MIVD'er die nu onder meer journalisten adviseert hoe ze zich digitaal kunnen verbergen, is er niet zoiets als totale veiligheid. 'Ik zeg nooit: dit is veilig. Ik zeg alleen: dit is veiliger.'


'Het is bijna onmogelijk om helemaal geen sporen achter te laten', zegt ook Niels Westerlaken, een expert die voor de privacy-organisatie Bits of Freedom een lijst suggesties heeft gemaakt voor mensen die de controle over hun computer willen terugkrijgen. 'Voor een deel kun je een stukje privacy terugveroveren. Maar het blijft natuurlijk symptoombestrijding.'


Privacy

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.