Wake up and smell the coffee: E-mail is een halffabrikaat

De Volkskrant kopt vandaag: “Mag Google de mails lezen van Nederlandse wetenschappers?”

Het gaat over Google Apps for Education. Dat is een verzameling van programma’s in de cloud, waaronder Google Mail of Gmail. Als je gebruikmaakt van Google Apps kun je je eigen domeinnaam gebruiken voor de e-mail en ben je later flexibel om naar een andere cloudpartij te verhuizen. Gebruik je geen Google Apps en in plaats daarvan het “gewone” gratis Gmail, dan krijg je van Google een @gmail.com e-mailadres en dan kun je niet bij Google weg zonder je e-mailadres te veranderen.

Er bestaat ook een Google Apps for Business, die geld kost (EUR 4 per gebruiker per maand). Met gratis Google Apps for Education probeert Google iets te doen voor het onderwijs. Het verbaast mij dat er niet meer onderwijsinstellingen zijn die hiervan gebruik maken. In São Paulo gaan meer dan 4 miljoen studenten en docenten Google Apps for Education gebruiken. Daar kunnen we in Nederland nog iets van leren.

En dan de eindeloze discussie over privacy, waar sinds kort ook de vrees voor diefstal van bedrijfsgeheimen aan is toegevoegd. De angst van een (Amerikaanse) overheid die meeleest en natuurlijk Google zelf ook.
Die vrees wordt meestal uitgesproken door mensen die te naïef zijn om hun e-mail te versleutelen.

Het internet is een publiek netwerk dat per definitie alle verkeer via tussenpunten verstuurt. Je kunt dat niet voor onbeveiligde communicatie gebruiken en dan wijzen naar alle tussenliggende partijen dat ze je wel zullen afluisteren. Want zelfs als je geen gebruik maakt van de diensten van Google, dan is elk onversleuteld bericht dat je verzendt on ontvangt leesbaar voor en door iedereen tussen jou en degene met wie je mailt. Dat begint met je vriendin die het bericht op je laptop kan zien, gaat via je WiFi router die misschien afgeluisterd wordt, naar je ISP (Internet Service Provider) die kan meekijken, naar de systeembeheerder van de mailserver, via de diverse routers en tussenpunten waar iedereen die erin geïnteresseerd is het kan aftappen. Het is dus niet slim om onversleutelde e-mail te gebruiken voor het verzenden van loonstroken, paspoorten, jaarcijfers, bedrijfsgeheimen etc.

Tegenover de oude wet die ons briefgeheim garandeert staan andere wetten die regelen dat er te pas en te onpas kan wordt getapt door politie, justitie, AIVD, NSA en ga zo maar door. Dat is geen technisch probleem, maar een politiek probleem. Maar er is ook goed nieuws: Je kunt er iets aan doen!

23 jaar geleden werd Pretty Good Privacy, of kort PGP ontwikkeld door Phil Zimmerman. PGP was een gratis programmaatje waarmee je je e-mail kon beveiligen tegen afluisteren. Inmiddels kent het programma veel varianten die veelal gratis en soms betaald zijn.

Toen e-mail net nieuw was en de wereld geteisterd werd door spam, besloten de ISP’s gratis spam te filteren voor hun abonnees. Er waren toen al critici die waarschuwden voor afluisteren, want je kunt immers geen spam filteren zonder de e-mail te lezen.

Als de mensen die zich zulke enorme zorgen maken over hun privacy en (bedrijfs)geheimen gratis encryptie zouden toepassen en hun eigen spam zouden filteren, dan kunnen ze blij zijn met de gratis infrastructuur van Google of ze betalen voor eigen apparatuur.

Wie echt bezorgd is om zijn privacy, doet er zelf iets aan. Want onthoud: e-mail is een halffabrikaat.

AirPort Extreme of Time Capsule knippert oranje

Heb je thuis of op kantoor een AirPort Extreme WiFi-basisstation of een Time Capsule?
Normaal brandt het statuslampje aan de voorzijde groen. Als het opeens oranje knippert en je WiFi lijkt normaal te functioneren, dan is de kans groot dat er een software-update (firmware) voor je apparaat beschikbaar is.
Zorg ervoor dat je het apparaat zo snel mogelijk laat bijwerken naar de nieuwste versie. Tijdens het installeren van de update kun je even geen gebruik maken van je WiFi. Hou daar rekening mee.

Lees hierover meer op de website van Apple: Wi-Fi-basisstation: een beter begrip en oplossing van een knipperend oranje statuslampje

Website gemeente Hollands Kroon: werk in uitvoering

Even een compliment voor de gemeente Hollands Kroon: Na het nieuws, vanmorgen in het Noordhollands Dagblad, hebben ze de oude link naar het onbeveiligde afspraakformulier vervangen door een link naar het beveiligde afspraakformulier. Het formulier was ooit onbeveiligd, maar nu niet meer. En sinds vandaag is het beveiligde formulier dus bereikbaar. Dat gaat de goede kant op!

Dan blijft enkel nog het onbeveiligde contactformulier, waarbij burgers de mogelijkheid hebben om bijlagen naar de gemeente te versturen.

Het zou niet onverstandig zijn om bij dat contactformulier een waarschuwing te vermelden met de tekst “Burger, let op! Dit contactformulier is onbeveiligd en daarom ongeschikt om gevoelige informatie mee naar ons te versturen. Stuurt u geen kopie van bijvoorbeeld uw paspoort mee als bijlage”. Blijft natuurlijk de vraag welke niet-gevoelige informatie je dan als burger wel zou kunnen meesturen. Beetje verwarrend.

Gratis tip voor de gemeente Hollands Kroon: De beveiliging van het afspraakformulier geschiedt met een zogenaamd wildcard-certificaat (*.hollandskroon.nl), dat tevens het contactformulier kan beveiligen! Als het contactformulier eenmaal is beveiligd, hoeft die waarschuwing er natuurlijk niet bij…

Website gemeente Medemblik: onveilig

Als je een afspraak wilt maken met de gemeente Medemblik, dan kun je daarvoor de volgende link gebruiken:
http://www.medemblik.nl/Direct_regelen/Formulieren/Webformulieren/Afspraak_maken_webformulier
De gegevens die je op deze pagina intoetst, worden onbeveiligd over het internet verzonden en zijn op elk willekeurig punt tussen burger en gemeente te onderscheppen, af te luisteren en te wijzigen.

Wrang is dat de gemeente Medemblik je achternaam, burgerservicenummer (BSN), telefoonnummer overdag, telefoonnummer privé en zelfs de reden van je afspraak als verplichte velden heeft gemarkeerd. Als nietsvermoedende burger volg je graag de instructies van je gemeente op en gooi je dus op hun aanwijzingen jouw persoonsgegevens op straat.

Dit is bijzonder gevaarlijk! Wie is er verantwoordelijk voor het uitlekker van jouw persoonsgegevens? Ik hoop dat de gemeente Medemblik hier snel actie op onderneemt.

Woon je in de gemeente Medemblik? Maak dan geen gebruik van het formulier.

Klik op het plaatje hieronder voor een afbeelding van het afspraakformulier. In de adresbalk zie je “http” staan. Dat betekent dat er geen beveiliging is voor de gegevens in het formulier.

medemblik