Menu

7) Chatten en Bellen

WhatsApp en Facebook (en vele andere sociale media) "spelen vals"
en (en vele andere sociale media) "spelen vals"

Er wordt tegenwoordig door iedereen enorm veel gechat en gebeld. Echter, veel van de door ons gebruikte chat en bel programma’s zij niet veilig omdat anderen mee kunnen lezen of luisteren. WhatsApp en Facebook (en vele andere sociale media) “spelen vals”, en het alomtegenwoordige is ontzettend onveilig. Hoe veranderen we dat? Een van de middelen is .

Veruit het meest gebruikte chatprogramma wereldwijd is WhatsApp. Tot april 2016 waren berichten via WhatsAppo niet versleuteld (encrypted), wat betekende dat iedere slimme hacker die de communicatie kon onderscheppen of afluisteren de berichten ook daadwerkelijk kon lezen. Encryptie zorgt er voor dat alleen de zender en ontvanger uitgewisselde berichten kunnen  lezen. WhatsApp heeft encryptie in april 2016 geïntroduceerd. Een hacker die nu de communicatie onderschept ziet alleen een onleesbare, niet te ontcijferen brij van tekens.

Wat doet encryptie

Berichten zonder encryptie versturen is als het versturen van een onbeveiligd handgeschreven bericht zoals bijvoorbeeld een ansichtkaart. De postbode kan lezen wat je aan de afzender geschreven hebt. Je kunt er een enveloppe omheen stoppen, maar een slimme postbode stoomt die open, leest het bericht, stopt het weer in de enveloppe en bezorgt hem vervolgens. Alleen een enveloppe helpt dus niet. Wat helpt dan wel?

Communicate blijft tussen jou en de geadresseerde

Encryptie helpt! Encryptie is een soort geheimschrift. De informatie (tekst, foto’s, video, telefoon- en videogesprekken, locatiegegevens etc.) worden middels een geheime sleutel gecodeerd en alleen degenen die de sleutel hebben kunnen het bericht ontcijferen en lezen. Zo blijft jou communicatie tussen jou en de geadresseerde.

Veel sociale media leveranciers spelen vals. WhatsApp en Facebook bijvoorbeeld verdienen geld met het verzamelen van informatie over hun gebruikers. Waarom spelen zij nu vals? Zij kennen de sleutels die gebruikt worden voor jouw communicatie en kunnen jouw berichten en overige communicatie dus ontcijferen (ontsleutelen / de-crypten). Je informatie is dus wel veilig voor andere partijen (zoals kwaadwillende hackers), maar wel voor de aanbieder van de sociale media. Zelfs als de aanbieder van het sociale medium dit niet doet “zien” zij altijd nog de z.g.n. metadata, ofwel met wie heb je wanneer contact gehad et cetera. En ook deze data is geld waard.

WhatsApp ligt onder vuur. In de nieuwe privacyverklaring staat dat er reclames komen in de berichtendienst. Ook zal WhatsApp gegevens delen met moederbedrijf Facebook en worden de databases van beide diensten aan elkaar gekoppeld. Voor veel gebruikers aanleiding om te zoeken naar een alternatief. We bespreken 5 alternatieven, waarvan Signal de beste is.

Alternatieven

Het is niet voor het eerst dat er gedoe is rond WhatsApp. In 2014 werd de berichtenapp overgenomen door Facebook. Er was niet alleen verbazing over de hoogte van het bedrag (19 miljard dollar), maar ook angst dat Facebook gegevens van WhatsApp zou koppelen aan de eigen gegevens.

Waar in 2014 voor werd gevreesd, wordt nu waarheid. De databases van WhatsApp en Facebook worden aan elkaar gekoppeld. Ook komen er advertenties in de app. Dat is een opvallende beleidswijziging, want de berichtendienst beweerde tot voor kort dat zoiets ‘absoluut nooit zou gebeuren’.

Je kunt wel een instelling wijzigen waardoor je voorkomt dat je gegevens worden gedeeld. Of Facebook zich aan de wens van de gebruiker houdt, is afwachten. In het verleden is het bedrijf niet altijd even netjes geweest met privacygegevens. Er is dus alle reden om uit te zoeken welke alternatieven er zijn.

Criteria

Bij het zoeken naar alternatieven voor WhatsApp letten we op een aantal zaken:

  • De privacy en de beveiliging moet in orde zijn.
  • Het systeem moet minstens zo gebruiksvriendelijk zijn.
  • Er moeten apps zijn voor de grote telefoonplatforms.

Als er extra functies zijn die WhatsApp niet heeft, is dat mooi meegenomen.

We leggen een selectie van 5 populaire of veelbesproken instant messaging-apps langs deze meetlat. Er zijn nog veel meer messaging-apps. We horen graag jouw mening: geef je eigen suggesties door via een reactie onder de review.

Signal

Signal is op dit moment het beste alternatief voor WhatsApp. Het bedrijf erachter, Open Whisper Systems, doet er alles aan om het hackers moeilijk te maken. De software is open source, dus iedereen kan de code bekijken en de makers ervan wijzen op eventuele fouten. Een slimme manier om bugs te voorkomen. Er is end-to-end-encryptie, dus gesprekken zijn van begin tot eind versleuteld. De sleutel wordt niet op de server van Signal opgeslagen, maar op het toestel van de gebruiker zelf. Daardoor kan Signal zelf de gesprekken niet ontcijferen, ook niet als ze daarvoor een verzoek krijgen van politie of inlichtingendiensten.

Verder waarschuwt de app bij zogeheten man-in-the-middle-aanvallen, een veelgebruikte aanvalstechniek om de beveiliging om de tuin te leiden. Dit alles betekent niet dat Signal ingewikkeld in gebruik is. Het is juist een overzichtelijke app waarmee je niet alleen veilig berichten kunt versturen, maar ook versleutelde telefoongesprekken kunt voeren met andere Signal-gebruikers. Ook is het mogelijk om groepen aan te maken, bijvoorbeeld voor werk of met je gezin. Om te weten wie Signal al gebruikt, wordt op dezelfde manier in het adresboek van de telefoon gekeken als bij WhatsApp. Dat is een nadeel voor je privacy.

Je kunt de app ook gebruiken om (onveilige) sms- en mms-berichten te versturen. Dit kan van pas komen zolang nog niet al je contacten zijn overgestapt. Signal is gratis. Er staan geen advertenties in de app. De app is beschikbaar voor Android en iOS. De berichtbeveiliging van Whatsapp is sinds april gebaseerd op de uitstekende versleuteling die Signal eerder al gebruikte. Technisch is er tussen WhatsApp en Signal dus weinig verschil. 

Telegram Messenger

Telegram Messenger is gratis, werkt snel, is gebruiksvriendelijk en lijkt op WhatsApp. Je kunt er dus zo mee aan de slag. Telegram kent een interessante ontstaansgeschiedenis. Oprichter is Pavel Durov. Eerder was hij medeoprichter van het Russische Facebook-alternatief VKontakte. Durov kreeg ruzie met de Russische autoriteiten die meer controle eisten over het sociale netwerk. Dat liep flink uit de hand. Voordat hij opgepakt kon worden, wist Durov Rusland te ontvluchten. Vervolgens begon hij uit idealisme met Telegram, gevestigd in Berlijn.

Telegram is open source en bevat diverse privacy-opties. Gesprekken lopen over een versleutelde verbinding, maar zijn zelf niet versleuteld, dus Telegram zou kunnen meelezen. Wie dat niet veilig genoeg vindt, kan gebruik maken van de ‘Secret Chat’. Dat zijn versleutelde 1-op-1-gesprekken die alleen op het toestel worden bewaard. Je kunt zelfs een ‘self destruct’ instellen waarbij berichten zichzelf na verloop van tijd (minimaal 2 seconden, maximaal een week) vernietigen.

Ondanks al deze moeite hebben gerenommeerde beveiligingsonderzoekers wel kritiek op de versleutelingsmethode van Telegram. Ze vinden de versleuteling van andere messengers beter.

Ook handig: Telegram stuurt je een pushbericht als je account op een ander apparaat wordt gebruikt. Als je het niet vertrouwt kun je in 1 keer uitloggen op alle apparaten.

De app is beschikbaar voor iPhone, Android- en Windows-telefoons. Ook kun je Telegram Messenger op Windows, Mac en Linux-computers gebruiken. Tot slot is er een versie die in de browser werkt. 

Surespot

De maker van Surespot laat er geen twijfel over bestaan: bij deze app draait het om veiligheid. ‘Exceptional encryption for everyone’ staat er in grote letters op de voorpagina van de site. De app is gratis en open source. Vooral dat laatste wekt vertrouwen. Iedereen kan de broncode checken op fouten, waardoor de kans op bugs kleiner is. De mogelijkheden zijn uitgebreid. Zo kun je meerdere identiteiten gebruiken op hetzelfde toestel en kun je bijvoorbeeld werk en privé gescheiden houden. Berichten kun je compleet verwijderen van het toestel. Ook kun je een account, inclusief tekstberichten, overzetten naar een ander toestel.

Doordat het account niet is gekoppeld aan een telefoonnummer of e-mailadres is Surespot volledig anoniem te gebruiken, een voordeel ten opzichte van veel andere hier genoemde diensten. Bij verlies van het wachtwoord heb je geen mogelijkheid om toegang te krijgen tot je account. Wel kun je alle gegevens back-uppen naar het toestel of naar Google Drive. Dit versleutelde bestand kun je later gebruiken om je account te herstellen. Er worden maximaal 1000 berichten in opgeslagen.

Geruchten dat Surespot een achterdeurtje voor veiligheidsdiensten bevat, worden tegengesproken door de maker.

Surespot bevat geen advertenties en kan gebruikt worden op Android- en iOS-toestellen. De maker vraagt wel om donaties via de website en de app. Ook kun je als aanvulling ondersteuning voor spraakberichten kopen voor €1,99.

Threema

Dit is de enige app op deze pagina waarvoor je moet betalen. Threema kost €0,99 (iOS, Windows Phone) of €1,79 (Android). Vooral in Duitstalige landen is het populair. Het bedrijf achter Threema is gevestigd in Zwitserland. Alle servers van het bedrijf staan ook in dat land, waardoor de gegevens vallen onder de strenge Zwitserse privacywetgeving.

De app kan anoniem gebruikt worden, maar het is ook mogelijk een account te koppelen aan je e-mailadres of telefoonnummer. In dat geval kan Threema je helpen bij het vinden van vrienden die de dienst ook gebruiken. Daarvoor worden de adressen uit je adressenboek versleuteld verzonden naar de Threema-servers.

Nadeel van Threema is dat het geen opensourcesoftware is. We moeten er dus maar op vertrouwen dat er geen achterdeurtje in de code zit. Zelf controleren is er niet bij. Het is wel duidelijk dat Threema sterke encryptie gebruikt en berichten op het toestel op een veilige manier opslaat.

Berichten worden verstuurd via de servers van Threema en nadat ze zijn afgeleverd ook meteen weer verwijderd. De sleutel voor het ontcijferen van berichten staat opgeslagen op het toestel en niet op de server van Threema. De dienst kan berichten daarom nooit ontcijferen.

De app is gebruiksvriendelijk en bevat voldoende mogelijkheden. Uniek is de manier waarop je kunt aangeven of de persoon waarmee je chat ook echt de persoon is waarmee je wilt chatten. Versleuteld chatten werkt immers met een sleutel. Via een QR-code kun je de identiteit van de persoon waar je mee chat controleren. Zij krijgen dan een drietal groene stippen in de app. Ongecontroleerde contactpersonen hebben een oranje puntjescode.

Wire

Dit bedrijf werd opgezet door internetondernemer Janus Friis. Hij is ook medeoprichter van Skype. Net als Threema is Wire gevestigd in Zwitserland, waardoor het profiteert van de gunstige privacywetgeving. Bijzonder aan Wire is dat er ook ondersteuning is voor versleutelde videogesprekken, naast tekstberichten en telefonie.

De app bestaat sinds 2014, maar kwam snel onder vuur te liggen omdat het ten onrechte beweerde gebruik te maken van end-to-end-encryption voor al het verkeer. Dat gold wel voor bellen, maar niet voor tekstberichten. Inmiddels heeft Wire die fout hersteld waardoor nu al het verkeer van begin tot het eind versleuteld is en het bedrijf er zelf geen toegang toe heeft. De sleutels voor het ontcijferen van de gegevens worden opgeslagen op de apparaten van gebruikers.

Wire is er voor Android, iOS, Windows en Mac OS, maar kan ook gebruikt worden via de website. De mogelijkheden van Wire zijn uitgebreid, inclusief ondersteuning voor groepen en het uitwisselen van bestanden. De software is open source en kan dus gecontroleerd worden op fouten. Het bedrijf belooft geen advertenties te zullen plaatsen. Wel heeft de oprichter gezegd dat in de toekomst mogelijk betaald moet worden voor extra functies in de app. Op dit moment kun je alles gratis gebruiken. De adressen die je invoert worden eerst versleuteld en dan geanonimiseerd opgeslagen. De app kan het adresboek van je telefoon importeren, maar dat is niet verplicht.

iMessage

Apples chat-app werkt alleen met iPhones en iPads. Berichten worden versleuteld met end-to-end-encryptie en je kunt ook je Macbook of iMac gebruiken om berichtjes te sturen. iMessage ondersteunt allerlei andere apps, waardoor je bijvoorbeeld gemakkelijk in een chatgesprek geld terugvraagt, een Uber boekt of je navigatieroute deelt. Apple bewaart wel metadata voor maximaal een maand, dus houd daar rekening mee.

Wickr Me

Wickr Me is vergelijkbaar met Threema: ook bij deze app heb je geen telefoonnummer of e-mailadres nodig om een account te creëren. Je kunt automatisch verdwijnende berichten instellen, de app op meerdere apparaten gebruiken en groepen creëren. In tegenstelling tot Threema is Wickr Me gratis.

Wickr Me is vergelijkbaar met Threema: ook bij deze app heb je geen telefoonnummer of e-mailadres nodig om een account te creëren. Je kunt automatisch verdwijnende berichten instellen, de app op meerdere apparaten gebruiken en groepen creëren. In tegenstelling tot Threema is Wickr Me gratis..

Wat je niet hebt, kan ook niet worden gestolen. Dat geldt ook voor chatberichten. Voer je gevoelige gesprekken met iemand en wil je dat niemand ze leest? Schakel dan automatisch verdwijnende berichten in. Onder andere Signal, Telegram, Wickr Me en Wire ondersteunen deze functie.

Met onder andere WhatsApp, Signal en FaceTime kun je bellen met end-to-end-encryptie. Dit houdt in dat de dienst die je gebruikt je niet kan horen of zien. Deze apps zijn ook aan te raden als je gevoelige gesprekken wilt voeren. Als je een keer met je neef uit Australië wilt videobellen, is Skype – dat niet van end-to-end-encryptie is voorzien – geen probleem.

Het normale bellen is voor het gros van de mensen ook een veilige manier om te communiceren. Een hacker kan niet zomaar jouw telefoonverbinding  overnemen. Dat moet dan echt een gerichte aanval zijn van bijvoorbeeld een opsporingsdienst. Daarover later meer.

Email, meest populair en meest onveilig

is een van de meest populaire communicatiemedia van tegenwoordig. Het is bijzonder eenvoudig om iemand een te sturen, en het behandelen van is een stuk vrijblijvender dan bijvoorbeeld een telefoongesprek. Iedereen kan iedereen sturen, en iedereen doet dat ook. Door de jaren heen zijn diverse extensies en uitbreidingen verzonnen, maar gek genoeg is de basis-infrastructuur waarover wordt verstuurd, nog steeds dezelfde als die oorspronkelijk in de jaren zeventig werd ontwikkeld. Inmiddels is wel duidelijk dat e-mail om vele redenen een onveilig communicatiemedium is.

Email is niet versleutelde platte tekst

E-mail is in essentie platte, leesbare tekst. Een e-mail programma verstuurt een bericht naar een ontvanger door de tekst te versturen naar een server (de SMTP server, wellicht bekend uit uw e-mail instellingen). Deze server zoekt dan uit aan welke server het bericht moet worden doorgegeven, en zorgt ervoor dat het bericht dan daar terechtkomt. Soms is er een hele keten van servers nodig die het bericht aan elkaar doorgeven, voordat het terechtkomt bij de server die het bericht in de mailbox van de ontvanger kan plaatsen.

Tussenliggende keten van servers niet veilig

Het moge duidelijk zijn dat al deze servers toegang hebben tot de volledige tekst van het bericht. Dit betekent dat iedereen die toegang heeft tot deze servers, daarmee ook toegang heeft tot alle e-mail berichten die via deze servers worden verstuurd. Ook wordt het bericht getransporteerd over de Internet verbindingen tussen deze servers. Het aftappen van deze verbindingen geeft dan ook toegang tot de e-mail berichten.

Email kent vele zwakke schakels

Er zitten dus vele zwakke schakels in het transport van e-mail. De zwakste is wellicht nog wel de server waarop de mailbox van de ontvanger wordt beheerd, vaak een POP3 of IMAP server. Deze server moet immers de e-mail berichten gedurende mogelijk lange tijd beschikbaar houden. De overige servers houden het bericht slechts enkele seconden of minuten vast, waardoor het een stuk lastiger is om daar een bepaald bericht te onderscheppen. Het is dus bijzonder aantrekkelijk (maar wel strafbaar) om de server met de mailbox te kraken en zo berichten te achterhalen.