encryptie

E-mail is een halffabrikaat

Geschreven op door

De Volkskrant kopt vandaag: “Mag Google de mails lezen van Nederlandse wetenschappers?”

Het gaat over Google Apps for Education. Dat is een verzameling van programma’s in de cloud, waaronder Google Mail of Gmail. Als je gebruikmaakt van Google Apps kun je je eigen domeinnaam gebruiken voor de e-mail en ben je later flexibel om naar een andere cloudpartij te verhuizen. Gebruik je geen Google Apps en in plaats daarvan het “gewone” gratis Gmail, dan krijg je van Google een @gmail.com e-mailadres en dan kun je niet bij Google weg zonder je e-mailadres te veranderen.

Er bestaat ook een Google Apps for Business, die geld kost (EUR 4 per gebruiker per maand). Met gratis Google Apps for Education probeert Google iets te doen voor het onderwijs. Het verbaast mij dat er niet meer onderwijsinstellingen zijn die hiervan gebruik maken. In São Paulo gaan meer dan 4 miljoen studenten en docenten Google Apps for Education gebruiken. Daar kunnen we in Nederland nog iets van leren.

En dan de eindeloze discussie over privacy, waar sinds kort ook de vrees voor diefstal van bedrijfsgeheimen aan is toegevoegd. De angst van een (Amerikaanse) overheid die meeleest en natuurlijk Google zelf ook.
Die vrees wordt meestal uitgesproken door mensen die te naïef zijn om hun e-mail te versleutelen.

Het internet is een publiek netwerk dat per definitie alle verkeer via tussenpunten verstuurt. Je kunt dat niet voor onbeveiligde communicatie gebruiken en dan wijzen naar alle tussenliggende partijen dat ze je wel zullen afluisteren. Want zelfs als je geen gebruik maakt van de diensten van Google, dan is elk onversleuteld bericht dat je verzendt on ontvangt leesbaar voor en door iedereen tussen jou en degene met wie je mailt. Dat begint met je vriendin die het bericht op je laptop kan zien, gaat via je WiFi router die misschien afgeluisterd wordt, naar je ISP (Internet Service Provider) die kan meekijken, naar de systeembeheerder van de mailserver, via de diverse routers en tussenpunten waar iedereen die erin geïnteresseerd is het kan aftappen. Het is dus niet slim om onversleutelde e-mail te gebruiken voor het verzenden van loonstroken, paspoorten, jaarcijfers, bedrijfsgeheimen etc.

Tegenover de oude wet die ons briefgeheim garandeert staan andere wetten die regelen dat er te pas en te onpas kan wordt getapt door politie, justitie, AIVD, NSA en ga zo maar door. Dat is geen technisch probleem, maar een politiek probleem. Maar er is ook goed nieuws: Je kunt er iets aan doen!

23 jaar geleden werd Pretty Good Privacy, of kort PGP ontwikkeld door Phil Zimmerman. PGP was een gratis programmaatje waarmee je je e-mail kon beveiligen tegen afluisteren. Inmiddels kent het programma veel varianten die veelal gratis en soms betaald zijn.

Toen e-mail net nieuw was en de wereld geteisterd werd door spam, besloten de ISP’s gratis spam te filteren voor hun abonnees. Er waren toen al critici die waarschuwden voor afluisteren, want je kunt immers geen spam filteren zonder de e-mail te lezen.

Als de mensen die zich zulke enorme zorgen maken over hun privacy en (bedrijfs)geheimen gratis encryptie zouden toepassen en hun eigen spam zouden filteren, dan kunnen ze blij zijn met de gratis infrastructuur van Google of ze betalen voor eigen apparatuur.

Wie echt bezorgd is om zijn privacy, doet er zelf iets aan. Want onthoud: e-mail is een halffabrikaat.

Grote bestanden niet via de e-mail, maar via bijvoorbeeld YouSendIt

Geschreven op door

Size matters

Als je bestanden van A naar B wilt krijgen en ze zijn groter dan enkele megabytes, dan is de e-mail vaak een probleem.

De meeste mailservers hebben een harde limiet van 12 megabyte per e-mail, maar bijvoorbeeld Hotmail hanteert een maximum van slechts 1 megabyte per e-mail!

Let wel: het is 2009 en sommige digitale foto’s zijn per stuk al groter dan 1 megabyte! Digitale scanners kunnen, afhankelijk van DPI, kleurgebruik, dubbelzijdig scannen en natuurlijk het aantal pagina’s documenten produceren van enkele tientallen megabytes, zonder dat je er erg in hebt. Zo’n groot document kun je natuurlijk opdelen in losse scans, maar dat is niet echt handig. Als je (bedrijf) zelf over een eigen mailserver beschikt, bestaat er de mogelijkheid om de limiet van de maximale grootte van e-mails te verhogen, maar zodra je dan je mailtje wilt doorsturen naar iemand anders, dan loop je tegen hetzelfde probleem aan en je hebt simpelweg nooit invloed op de mailserver van de ontvangende partij. Het moet dus anders.

Om grote(re) bestanden eenvoudig de wereld rond te kunnen sturen, kun je de gratis online dienst YouSendIt gebruiken.

Ga hiervoor met je browser naar:

http://www.yousendit.com/

en geef aan naar wie je het bestand wilt sturen. Vervolgens geef je jouw eigen e-mailadres op en eventueel de extra (betaalde) toeters en bellen waarmee je het bestand wilt versturen.

Hoe werkt YouSendIt?

Je stuurt je grote bestand(en) via je browser naar YouSendIt. Als je bestand binnen is, stuurt YouSendIt een mailtje naar de ontvanger, met daarin een link waar de ontvanger jouw bestand kan downloaden.

LET OP! GEBRUIK LIEVER HET INTERNET NIET VOOR HET VERZENDEN VAN VERTROUWELIJKE STUKKEN, TENZIJ JE GEBRUIK MAAKT VAN ENCRYPTIE

Alles wat je normaal per e-mail zou versturen gaat nooit direct van A naar B, maar via een hoop tussenpunten.

Op ieder tussenpunt (je provider, je mailserver en alle andere punten tussen A en B) is jouw e-mail te onderscheppen en zijn eventuele bijlagen door derden te lezen en zelfs te aan te passen!

Er bestaan programma’s (sommige zijn gratis en voor andere moet je betalen) waarmee je bestanden/e-mails of bijlagen kunt versleutelen en hoewel YouSendIt een gratis dienst is (tot 100 megabyte), bestaat er de mogelijkheid om tegen betaling je bestand te beveiligen met een wachtwoord. Persoonlijk heb ik dat nooit getest en ik zou niet gauw betalen voor versleuteling, omdat bijvoorbeeld een programma als TrueCrypt (http://www.truecrypt.com) heel goede gratis versleuteling biedt.

Maar daar moet je wel wat moeite voor doen (downloaden, installeren en de handleiding lezen).

Voor kleine vertrouwelijke e-mails bestaat er het betaalde programma Pretty Good Privacy, of kort: PGP (http://nl.wikipedia.org/wiki/Pretty_Good_Privacy).

Er bestaan gratis varianten van PGP (bijvoorbeeld GPG), maar ook daarvoor geldt dat je wat meer moeite voor moet doen om alles op te tuigen.

Je kunt er ook voor kiezen om je bestand(en) te verpakken in een ZIP-bestand en om dat ZIP-bestand met een wachtwoord uit te rusten, maar dat wachtwoord is relatief eenvoudig te kraken, dus ook dat is geen goede manier om digitaal je vertrouwelijke zaken te versturen. Verpakken in een ZIP-bestand (“ZIPpen”) is enkel een mooie manier om veel losse bestanden in één bestand te krijgen en om de inhoud te verkleinen (comprimeren).

Tot slot is een mooi alternatief voor veilige e-mail S/MIME, maar daarvoor hebben verzender en ontvanger Microsoft Outlook nodig (en een betaald certificaat) en bij het versleutelen van gegevens moet je natuurlijk afspraken maken met je ontvangende partij; anders weet die niet wat hij/zij met jouw versleutelde e-mailtje moet beginnen…

Je Microsoft Outlook is standaard in staat om met S/MIME om te gaan en ook je BlackBerry kan gratis van S/MIME gebruik maken; de iPhone daarentegen helaas niet…

Over dat certificaat: Als je geen certificaat t.b.v. S/MIME hebt, moet je er eentje kopen. De kosten vallen mee, zeker als je bedenkt dat je daarmee veilig en versleuteld kunt mailen.

Feit: Alle advocaten in Nederland zijn aangesloten bij de Nederlandse Orde van Advocaten (Dutch Bar Association) en beschikken over een certificaat waarmee ze zichzelf aan de website van de NOA kunnen authenticeren. Dat certificaat is ook geschikt voor S/MIME, alleen gek genoeg weten de meeste advocaten dat niet, terwijl dit juist een beroepsgroep is die gebaat zou zijn bij S/MIME! De meeste advocaten zijn geen technici (wij wel en we helpen jullie graag!) en hun cliënten, die dan natuurlijk ook S/MIME nodig hebben, evenmin…

Heb je, na het lezen van dit verhaal nog vragen over het versturen van grote bestanden, encryptie op je werkplek of onderweg? Neem dan gerust contact met ons op!

De #iPhone: Wolf in schaapskleren

Geschreven op door

Een tijdje geleden ontdekte dat, ondanks het fantastische uiterlijk van de iPhone, het eigenlijk een heel onveilig apparaat is en ik moet er niet aan denken dat ik hem ooit kwijtraak of dat-ie wordt gestolen. Tijd voor actie, dus!

Ik besloot mijn zakelijke gegevens eraf te halen. Daarna volgde mijn Gmail en nu gebruik ik mijn iPhone alleen nog maar voor Twitter en als digitaal boodschappenlijstje. Ik heb de voorzieningen van mijn BlackBerry BES tot beveiligingsstandaard verheven en blijkbaar staat BlackBerry hierin op eenzame hoogte…

Zelfs Twitter is gevaarlijk (als Twitter het tenminste doet), omdat mijn favoriete Twitter-applicatie SimplyTweet geen beveiligde SSL gebruikt om mijn gegevens naar Twitter te verzenden. Moet je nagaan: De hele beveiligingswereld predikt “SSL is onveilig, gebruik in plaats daarvan EV SSL“, terwijl er nog steeds bedrijven, diensten en applicaties zijn, die nog niet eens “gewone” SSL gebruiken… Zelfs Onze Overheid en Onze Banken zien nog maar net het nut van SSL en zij voelen zich bij gebleken en overduidelijke onveiligheid van SSL nog niet genoodzaakt EV SSL te implementeren, dus waarom zou jij je daar dan druk om maken?

Tweetie, mijn vorige favoriete Twitter-applicatie, maakt al jaren gebruik van SSL, alleen was Tweetie zijn tijd zó ver vooruit, dat er al tijden geen update meer van geweest is. Typisch geval van De Wet Van De Remmende Voorsprong.

Ik vind het ongelooflijk te moeten constateren dat veel mensen blijkbaar niet nadenken over diefstal of verlies van hun mobiele telefoon, over wat er dan met hun gegevens gebeurt en wat voor impact dat kan hebben op hun posities. En zolang de mensen zelf niet nadenken, denken de fabrikanten van de apparaten er ook niet over na. Behalve dan natuurlijk het Canadese bedrijf Research in Motion…

Stel je het volgende scenario eens voor: Je bent accountant en je maakt dagelijks gebruik van e-mail. Je hebt ook een mobiele telefoon. Laten we zeggen: een Nokia. Je hebt hem al een tijdje en je hebt er al behoorlijk wat telefoonnummers op verzameld. Ook heb je inmiddels de telefoon aan je Exchange-server op de zaak laten koppelen. Dat had wat voeten in de aarde (certificaat, software-update voor je toestel, soms doet-ie het niet en via WiFi heeft-ie eigenlijk al nooit lekker gewerkt), maar je kunt er af en toe een mailtje op bekijken en beantwoorden.

Stel nu dat je toestel stuk gaat, vermist raakt of gestolen wordt.

Toestel stuk
Welke informatie stond er eigenlijk op je toestel? Heb je wel dagelijks met dat datakabeltje of met de Bluetooth lopen stoeien om al je waardevolle contactpersoongegevens en je afspraken van je toestel naar je computer te krijgen? Heb je na die zondagmiddag dubbele afspraken verwijderen uit je agenda nog de behoefte gehad het later nog eens te proberen? Nee, natuurlijk niet, want het is veel te veel gedoe en er is veel te veel software voor nodig. Maar wat je dus niet elders hebt, ben je kwijt! Da’s jammer.

Toestel weg
Als je toestel weg is en je weet niet waar het is, kan het gewoon thuis tussen de kussens van de bank liggen, maar het kan ook gestolen zijn. Het probleem is, dat je het niet weet en je moet er dus van uit gaan dat je het niet meer zult vinden. Blokkeer als eerste je SIM-kaart, zodat de mogelijke dief niet op jouw kosten kan bellen. Beveilig je SIM-kaart ALTIJD met een pincode (en dan niet 0000 of 1234), zodat tussen de tijd die jij ervoor nodig hebt om vermissing van je toestel te constateren en je de kaart hebt laten blokkeren, de dief niet tóch kan bellen op jouw kosten. En dan je gegevens. Ze zijn niet alleen weg, maar iemand anders heeft ze. Iemand die enkel sterretje-menu hoeft te drukken om toegang te krijgen tot al jouw contactpersonen, telefoonnummers, afspraken, e-mails, smsjes, notities en wat ik verder nog vergeet.

En dan nog: Wat als je toestel niet wordt gestolen, maar je hebt een dankbare collega, concurrent, “vriend” of iemand die af en toe even door je telefoon gaat om te kijken of er nog iets interessants tussen zit? Ik ken geen mensen met staatsgeheimen op hun telefoons, maar jouw gegevens zijn jouw gegevens en daar moet iedereen met z’n handen vanaf blijven. Dat kun je dus niet goed regelen met je Nokia.

Wat voor Nokia geldt, geldt in gelijke mate ook voor de iPhone. Het koppelen van een iPhone aan de server op kantoor is makkelijker dan met een Nokia, maar ook voor de overige gegevens geldt dat wat je niet had gekopieerd met een kabeltje, je verliest als je het toestel kwijtraakt. En dan de beveiliging. Kun je je voorstellen dat Apple een iPhone 3GS maakt, waarbij alle gegevens worden versleuteld d.m.v. encryptie en dat ze de sleutel tot je gegevens op je toestel zelf bewaren?!? Je hoeft niet gestudeerd te hebben, om te begrijpen dat deze vorm van “beveiliging” een bedenksel is van de afdeling Marketing, die op de doos wilde zetten dat de iPhone 3GS Encryptie ondersteunt…

Laat je e-mail later uit gaan – Deferred Sender @deferredsender

Geschreven op door

Met sommige dingen kun je alvast vooruit werken. Maar als het om e-mail gaat, kun je enkel concepten klaarzetten en ze versturen zodra ze werkelijk de deur uit mogen.

Met de gratis dienst Deferred Sender kun je je mails alvast versturen, waarna ze op het door jou aangegeven tijdstip daadwerkelijk de deur pas uit gaan.

Let op! Lees (even) goed de Algemene Voorwaarden door. Zoals je misschien weet, gaat e-mail als platte tekst de wereld over en vindt de bezorging tussen zender en ontvanger nooit direct plaats, maar altijd via “tussenstops”. Zonder speciale maatregelen kan iedereen jouw inkomende en uitgaande mail lezen (Deferred Sender doet daar niets aan af).

Ben je gesteld op je privacy? Overweeg dan het gebruik van encryptie. Neem voor meer informatie over de mogelijkheden van encryptie op e-mail contact op met ons kantoor.

Deferred Sender