Crypto-chatapp Signal omzeilt censuur in Egypte en Emiraten

De crypto-chatapp Signal heeft een eerder aangekondigde wijziging doorgevoerd, waardoor Android-gebruikers in Egypte en de Verenigde Arabische Emiraten de blokkade van het verkeer van de app kunnen omzeilen. De software maakt daarvoor gebruik van domain fronting.

Signal logo Open Whisper Systems, de organisatie achter Signal, schrijft dat met deze techniek censuur alleen mogelijk is door internet in zijn geheel uit te schakelen. De methode werkt door in het dns-verzoek en in de aanduiding van de tls-server een bekend domein te gebruiken en daar een https-verzoek naartoe te sturen. Zo lijkt een verzoek aan de 'buitenkant' bijvoorbeeld naar Google, Amazon of Akamai verstuurd te worden. Wil een land dit soort verzoeken blokkeren, dan moet het al het verkeer naar deze diensten afsluiten, is de overweging van Open Whisper Systems.

Daarbij bevat de http host header, die is verborgen door de encryptie van https, het domein waar werkelijk mee gecommuniceerd wordt. Dit is het adres van de Signal-servers. Volgens de organisatie is domain fronting inmiddels ingeschakeld voor alle gebruikers met een telefoonnummer in Egypte en de Verenigde Arabische Emiraten. In volgende Signal-releases wil Open Whisper Systems tools opnemen waarmee de app zelf censuur detecteert en zo nodig omzeilt. Op die manier kunnen Signal-gebruikers naar andere landen reizen zonder gebruik te hoeven maken van een vpn.

De iOS-versie met domain fronting is in de bètafase en moet binnenkort een stabiele versie krijgen. Het aanmelden voor de beta channel van de iOS-versie is mogelijk door een e-mail naar Open Whisper Systems te sturen. De release voor Android bevat nog enkele andere functies, zoals het toevoegen van tekst en stickers aan afbeeldingen.

Open Whisper Systems kondigde de functie voor het omzeilen van censuur eerder deze week aan, nadat was gebleken dat communicatie via Signal in Egypte werd geblokkeerd. Volgens de organisatie gaan overheden als zij communicatie niet kunnen afluisteren, het proberen te blokkeren.

IT-banen

Reacties (90)

Ed Vertijsment 22 december 2016 10:13

Wat ik niet zo goed snap is dat als:

- Een fake DNS wordt gebruikt voor zowel de DNS lookup als TLS.
- De daadwerkelijke "host" wordt opgeslagen in de HTTP host header.

Hoe het bestaande internet er dan voor zorgt dat verkeer dat ogenschijnlijk naar google.com bij buurman Bob aankomt.

Tot zo ver mij bekent spreekt DNS geen HTTP en zal dus niet naar de host header kijken. En achteraf direct met het IP van Bob praten lijkt mij makkelijk te blokkeren...

Weet iemand hoe dit in een notendop werkt?

The Zep Man

Encryptie
Internet
Privacy
Netwerk en systeembeheer
Security

@Ed Vertijsment • 22 december 2016 10:22

Weet iemand hoe dit in een notendop werkt?

Het nieuwsartikel is erg vaag en de originele bron (een paper) helpt niet echt om het snel en comfortabel te begrijpen. Deze omschrijving is een stuk simpeler.

Huge internet companies like Google, Amazon and Microsoft offer their web services using CDNs (Content Delivery Networks). Not only do they offer their own services using these, but also the ones you can host on their servers (Amazon CloudFront for instance). That means that thousands of internet domains are all pointing to the same CDN. At CloudFront the domains include d3dsacqprgcsqh.cloudfront.net (9GAG), deayhd4nq31b0.cloudfront.net (DealPly), a0.awsstatic.com (General domain for static web content of AWS) and so on.

So, how is this useful? Let’s look at how Tor takes advantage of this: The Tor Project hosts a simple nice server that you can use as a Tor entry point. In Amazon’s CDN, that’s d2zfqthxsdq309.cloudfront.net. If you would just connect to this in the usual way, it could be easily censored by blocking that domain in the DNS or in many other ways. But what happens if we connect to another domain of Amazon’s CDN but set d2zfqthxsdq309.cloudfront.net as our host header?

(...)

We actually can talk to that Tor entry while looking like a web browser talking to 9GAG, Amazon or a whole lot of other websites from the outside. The host header is only transmitted via TLS so that no firewall can see it. Also, we never asked our DNS server for d2zfqthxsdq309.cloudfront.net. A censor like the Great Firewall of China cannot see, if you are actually talking to 9GAG. It also hopefully won’t dare to block this kind of sites in general because the colateral damage would be to big. Just to block this, the censor would have to block any single AWS site, in meek’s case also every Microsoft Azure service as well, making the Internet for a lot of people pretty damn unuseable.

Met andere woorden: content delivery networks (CDN's) zoals cloudfront.net kunnen verschillende diensten hosten. Bij hun maakt het niet uit of je met DNS naam a.cloudfront.net of b.cloudfront.net verbindt. Cloudfront is geïnteresseerd in de hostnaam die je browser (encrypted) naar hun stuurt.

Stel dat je dus met 'b.cloudfront.net' wilt verbinden. Al doe je dat direct, dan doe je een plain text DNS verzoek. Tevens zal je browser plain text de hostnaam communiceren om een SSL/TLS sessie op te zetten. Al deze informatie kan gebruikt worden om de verbinding te blokkeren als 'b.cloudfront.net' gecensureerd zou worden.

Maar stel dat je voor DNS en voor de plain text data om een SSL/TLS sessie op te bouwen met 'a.cloudfront.net' verbindt, die niet gecensureerd is omdat het een volledige andere dienst betreft, en (encrypted) via de browser aan de server aangeeft dat je eigenlijk met b.cloudfront.net wilt communiceren. Cloudfront verbindt je dan intern door met b.cloudfront.net zonder dat externe partijen dit kunnen zien.

Kort samengevat gaat het om de volgende kerninformatie die essentieel is bij het opbouwen van een sessie tussen een client (browser/applicatie) en server:
1. Het DNS verzoek (plain text)
2. Het domeinverzoek van de browser om een SSL/TLS sessie op te bouwen (plain text)
3. Het domeinverzoek van de browser in de HTTPS sessie naar de server (encrypted)

Maak van 1 en 2 een verzoek naar een niet gecensureerd subdomein om een veilige verbinding op te zetten, en laat de server via 3 weten met welk subdomein (mogelijk gecensureerd) je eigenlijk wilt verbinden.

Natuurlijk komt er wat meer bij kijken al lees je het originele paper. Zo moet je fingerprinting voorkomen bij het opbouwen van de SSL/TLS sessie. In het paper doen zij dat door daadwerkelijk een browser te gebruiken om de SSL/TLS sessie op te zetten. Signal zou dit kunnen doen door zoveel mogelijk een gewone browser te simuleren bij het opbouwen van de verbinding.

Waarom is dit zo moeilijk te blokkeren? Je kan in theorie van zeerpopulairewebdienstABC.cloudfront.net gebruik maken voor 1 en 2. Stel dat die geblokkeerd wordt, dan kan je gebruik maken van zeerpopulairewebdienstXYZ.cloudfront.net, enzovoort. Een overheid zou een hele CDN (en mogelijk ook andere CDN's, als de applicatie er meer ondersteunt) moeten blokkeren om Signal te kunnen blokkeren. Dat legt de drempel voor censuur hoger, doordat veel belangrijke partijen (ook die overheden liever niet censureren) gebruik maken van CDN's.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 15:45]

chrisborst @The Zep Man • 22 december 2016 10:58

Dus eigenlijk ga je via de voordeur van een heel groot gebouw (zeerpopulairewebdienstXYZ.cloudfront.net) naar binnen om vervolgens via een route binnen het gebouw uit te komen in de kamer (b.cloudfront.net) waar de dienst draait waarmee je wil verbinden.

Jerie

@chrisborst • 22 december 2016 14:12

Op zich een slimme vorm van steganografie.

Kan een IDS niet detecteren dat jij vervolgens zeer_populaire_website niet bezoekt, of wordt de gehele content enkel via CDN geleverd? Is het de CDN die de daadwerkelijke data aanvraagt bij de website? Wordt de website wel bezocht dan kan ML leren dat er meer gedaan wordt dan enkel bezoeken van de website.

Als een IDS dat wel kan detecteren, dan kan de IDS ook nav daar van IPs uit het netwerk blokkeren die dergelijke requests maken. En/of die mensen op een zwarte lijst zetten.

"Unblockable" is dus relatief.

rbr320 @Jerie • 22 december 2016 14:44

Voor zover ik de materie begrijp is het niet te detecteren. De browser of app verbind uiteindelijk slechts met een endpoint van het CDN, een soort load-balancer/router. Dat het verkeer dat tussen het CDN en de client wordt uitgewisseld van dienst A lijkt te komen (want dat stond in de plain tekst DNS header en domein verzoek) maar daadwerkelijk van dienst B komt (want dat stond in de encrypted HTTP header die het CDN kan lezen) is dus pas te detecteren als je de routering binnen het CDN kan inzien. Een IDS kan door de encryptie van de uitgewisselde data niet het verschil zien tussen lolcat plaatjes of Signal berichten.

Jerie

@rbr320 • 22 december 2016 16:19

Kan een IDS niet detecteren dat de pakketjes bijvoorbeeld andere lengtes hebben?

Ik denk dat er wel wat in zit, dat dit zou werken (maar ik vind het 'ondetecteerbaar' arrogant). Want heen en weer babbelen dat doen websites tegenwoordig sinds Web 2.0 ook.

En, kan de CDN gedwongen worden tot packet inspection? Waarom denkt men dat regeringen niet over zullen gaan tot het volledig blokkeren van CDNs? Turkije blokkeert rustig geheel YouTube. Of, ze knijpen het af.

bluegoaindian @Jerie • 22 december 2016 17:11

Kan een IDS niet detecteren dat de pakketjes bijvoorbeeld andere lengtes hebben?

Ik denk dat er wel wat in zit, dat dit zou werken (maar ik vind het 'ondetecteerbaar' arrogant). Want heen en weer babbelen dat doen websites tegenwoordig sinds Web 2.0 ook.

En, kan de CDN gedwongen worden tot packet inspection? Waarom denkt men dat regeringen niet over zullen gaan tot het volledig blokkeren van CDNs? Turkije blokkeert rustig geheel YouTube. Of, ze knijpen het af.

Ondetecteerbaar , ga maar eens een verschil tussen een signal gesprek en een audio bestandje detecterenm kwa bandbreedte en lengte ,,, gaat niet.
Dit is vrij dodelijk voor cencuur , je kan verder van alles in t protocol inbowen op signal nievau om het iets anders te laten lijken , dat wat jij propbeert heet fingerprinting , en dat is vrij makkelijk te voorkomen door random bogus date mee te versturen.

Diamondo25

@Jerie • 22 december 2016 14:42

Je kunt wel op basis van IP blokkeren, maar dat gaat niet op met cloud providers omdat je dan heel veel blokkeert

Ed Vertijsment @The Zep Man • 22 december 2016 10:36

Thanks voor de uitleg, maar in de paper stond ook:

does not require special cooperation by network intermediaries.

Dat is dus niet helemaal waar?

The Zep Man

Encryptie
Internet
Privacy
Netwerk en systeembeheer
Security

@Ed Vertijsment • 22 december 2016 10:38

Dat is dus niet helemaal waar?

Dat is wel waar. Open Whisper Systems (het bedrijf achter Signal) moet alleen een account afnemen bij een CDN.

Stel dat zij dit doen bij een CDN die ook Twitter host. Dan kunnen zij voor punt 1 en 2 in mijn uitleg gebruik maken van het subdomein dat Twitter gebruikt. Dit kost Twitter niets en zij merken het niet eens, omdat de CDN dit zal afvangen (via punt 3). Men hoeft dus niet apart samen te werken om dit mogelijk te maken: het is een inherent ondersteunde functie van CDN's.

Natuurlijk kan je Twitter vervangen met een willekeurige andere webdienst die gehost wordt via een CDN (en waarbij Open Whisper Systems een account heeft).

[Reactie gewijzigd door The Zep Man op 25 juli 2024 15:45]

rbr320 @The Zep Man • 22 december 2016 14:35

(en waarbij Open Whisper Systems een account heeft).

Als ik het goed begrijp hangt het hier dus op? Met andere woorden, als Open Whisper Systems er voor had gekozen om volledig onafhankelijk te zijn van andere diensten en zelf servers was gaan hosten in datacenters wereldwijd dan had dit trucje niet gewerkt?

Edit: en ook werkt het waarschijnlijk alleen als de sessie over HTTP plaats vindt en niet als het een directe verbinding betreft? Ik weet bijvoorbeeld van Telegram dat de verbinding standaard een directe TCP verbinding is, met HTTP als fallback.

Gelukkig is tegenwoordig gebruik maken van een van de grote CDNs een "best practice" en waarschijnlijk ook kosten efficiënter en kunnen ze dus wel dit soort mooie trucs uithalen om censuur te omzeilen.

[Reactie gewijzigd door rbr320 op 25 juli 2024 15:45]

The Zep Man

Encryptie
Internet
Privacy
Netwerk en systeembeheer
Security

@rbr320 • 22 december 2016 15:03

[...]

Als ik het goed begrijp hangt het hier dus op? Met andere woorden, als Open Whisper Systems er voor had gekozen om volledig onafhankelijk te zijn van andere diensten en zelf servers was gaan hosten in datacenters wereldwijd dan had dit trucje niet gewerkt?

Niet echt van toepassing. Signal was al afhankelijk van diensten van anderen (Google Cloud Messaging).

Maar inderdaad. De CDN's worden gebruikt als rookgordijn. Zonder een account daar gaat dit niet werken.

Hierom ben ik een voorstander van compleet decentrale instant messaging. Daarmee is potentieel het hele Internet een rookgordijn.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 15:45]

Alphyraz

22 december 2016 09:53

In het artikel staat dat een verzoek bijvoorbeeld via Google, Amazon of Akamai herleid wordt voordat het bij de Signal-servers aankomt. Wat ik mij dan afvraag: werken (onder andere) bovenstaande partijen hier dan (vrijwillig) aan mee?

rhuijben @Alphyraz • 22 december 2016 10:10

Als ik het bron artikel over fronting lees komt het er op neer dat ze gewoon connecten met een clouddienst IP en dan in de publieke informatie (SNI) een relatief veilige hostnaam meesturen, en vervolgens encrypted (op de http level) een andere hostname gebruiken. Dit blijkt te werken bij deze clouddiensten, die TLS en de http infra ontkoppeld hebben.
Voor zover ik weet geeft een gewone Apache Httpd een foutmelding als je dit zou doen met niet geconfigureerde combinaties.

Het gaat dus niet om de grote publieke sites van deze partijen... of die zouden zelf op hun public cloud IP adressen moeten zitten, wat mij onwaarschijnlijk lijkt.

equit1986 @Alphyraz • 22 december 2016 09:58

deze partijen hebben toch allemaal open DNS servers waar je gebruik van kan maken?

kvdveer @equit1986 • 22 december 2016 11:21

Het draait hier om CDN, DNS is slechts detail van waarom het werkt. En ja. AWS, Google, Microsoft, en nog veel meer partijen hebben een CDN waarmee dit trucje mogelijk is. Het enige dat je nodig hebt is hosting achter een wildcard certificaat - iets wat bij CDNs de norm is.

Scraxxy @Alphyraz • 22 december 2016 10:24

Ze maken waarschijnlijk gebruik van hun CDN, dat valt bijna niet te blokkeren, of de rest van de wereld heeft er ook last van.

"Domain fronting is the use of different domain names at different communication layers. The client program builds a special HTTPS request and sends it to an intermediate web service with many domains behind it, such as a CDN. What's special about the request is that one domain name (the "front domain") appears on the "outside" of the request—in the DNS query and SNI—and a different name appears on the "inside"—in the HTTP Host header. The censor sees the outside name but the CDN sees the inside name, and forwards the request to the real destination."

Je kunt dit op de volgende manier testen;
$ wget -q -O - https://a0.awsstatic.com/ --header 'Host: d2zfqthxsdq309.cloudfront.net'
I’m just a happy little web server.

[Reactie gewijzigd door Scraxxy op 25 juli 2024 15:45]

GrooV @Scraxxy • 22 december 2016 11:08

Tot dat die landen gewoon AWS dicht zetten, dan werkt het niet meer

kvdveer @GrooV • 22 december 2016 11:19

Dat kunnen ze doen, maar dat moeten ze dan doen voor alle CDNs. Aangezien bijna alle grote hosters ook een CDN hebben, moeten ze dus 90% van het internet blokkeren. Als ze dat doen, kunnen ze net zo goed de internetkabel doorknippen - even effectief, en stukken goedkoper.

MeMoRy @kvdveer • 22 december 2016 14:24

En als ze het nou niet geheel blokkeren, maar filteren op specifieke inhoud?

Diamondo25

@MeMoRy • 22 december 2016 14:46

Dat kan niet, want HTTPS. Of je moet erg veel macht hebben en andere certificaten doorgeven (zoals sommige firewalls doen) zodat ook HTTPS gedecrypt wordt.

MeMoRy @Diamondo25 • 22 december 2016 15:20

thx

bluegoaindian @Diamondo25 • 22 december 2016 18:13

Dat kan niet, want HTTPS. Of je moet erg veel macht hebben en andere certificaten doorgeven (zoals sommige firewalls doen) zodat ook HTTPS gedecrypt wordt.

Kan aleen als je het root cert bezit van de signing provider ,, maar als je een cert gebruikt waat door een eigen rootkey is gesingeerd gaat dit niet ...
en dat is precies wat ze bij signal doen....

Diamondo25

@bluegoaindian • 22 december 2016 21:11

Dit kan wel wanneer het is goedgekeurd, bijvoorbeeld door de lokale certificate store aan te passen of andere achterdeurtjes in software. We zullen denk ik de komende tijd nog wel vaker SSL problemen gaan zien...

bluegoaindian @Diamondo25 • 22 december 2016 21:38

Ja dat geld voor een browser , maar in geval van signal kan dat dus veel minder makkelijk.
Signal gebruikt zijn eigen certs, als basis gebruikt slechts een cert van een normale site als eerste stap. de daar op volgende stap is aleen zichbaar voor de gebruikte site , maar die voklgende stap hoeft NIET direct de signal server te zijn , kan net zo makkelijk weer een tussen stap zijn.
Achterdeurtjes in software is bij opensource een stuk meilijker , omdat iedereen deze kan ontdekken.
bij gesloten software is dat makkelijker in te bakken.

Het aantal tussen stappen is immers niet beperkt.
Je kan ook provider a dmv een vertualhost koppelen met provider b , door als het ware een machine in te richten die aleen maar als tussen stuk fubgeert , zo kan je via provider a + naar provider B hoppen , via een bijna niet zichbare link.
Kortom er zijn zoveel variaties mogelijk dat het het blokeren onmogelijk word.

[Reactie gewijzigd door bluegoaindian op 25 juli 2024 15:45]

bluegoaindian @Diamondo25 • 24 december 2016 02:38

Dit kan wel wanneer het is goedgekeurd, bijvoorbeeld door de lokale certificate store aan te passen of andere achterdeurtjes in software. We zullen denk ik de komende tijd nog wel vaker SSL problemen gaan zien...

SSL is laag 1 van de encryptie bij open wisper systems maw , als je de ssl MITM , heb je nog niets....
je kan daarnaast meerdere lagen SSL gebruiken.
aleen een door ows gesineerde cert toestaan anders redirectie afwijzen maakt MITM erg lastig.

Verwijderd @Alphyraz • 22 december 2016 10:01

Volgens mij gaat het uiteindelijke verkeer daar niet naar toe. In het echte adres staat de server van Signal.

bluegoaindian @Verwijderd • 22 december 2016 14:27

Volgens mij gaat het uiteindelijke verkeer daar niet naar toe. In het echte adres staat de server van Signal.

Het geniale is dat het dus als een echte tunnel werkt....CDN
a.egypte.eg staat bij cloudfront door die maakt een tunnel aan <====> naar signal.
Dat gaat dus vanaf het IP van cloufront.
met hat certificaat van het domijn a.egypte.eg
maar omdat je verkeer behalve de doorverwijzing binnen cloudfaire naar totaal encrypted is , is er geen enkel gevaar voor een MITM aanval.

teek2

@Alphyraz • 22 december 2016 10:04

Goede vraag, lijkt me wel, daar wordt het verkeer toch echt heengeleid als eerste, de DNS servers weten niet beter. Vraag me ook af, omdat het echte domein (van de signal servers lijkt me) onder de https valt, of bij Google/Amazon etc de https laag weg valt en het bericht ook zichtbaar wordt? Al denk ik van niet aangezien het end to end encrypted is zal alleen de ontvanger het bericht moeten kunnen decrypten. In het https pakket zit dus nog een laag met encryptie. Google en Amazon krijgen zo echter wel de beschikking over de metadata lijkt me, tot op een bepaald niveau. Wellicht gaat alles na het verwijderen van de eerste encryptie laag naar een Signal server en wordt daar pas de ontvanger geïdentificeerd.

[Reactie gewijzigd door teek2 op 25 juli 2024 15:45]

sc0ut84 22 december 2016 09:48

Mooie ontwikkeling / feature. Alles wat censuur omzeilt verdient een dikke plus in mijn ogen

blinchik @sc0ut84 • 22 december 2016 10:27

Inderdaad een mooie feature. Maar ik vraag me inderdaad af of je via die clouddiensten zomaar naar 'elke' domeinnaam kan redirecten.

Anders zie ik deze feature ook wel opduiken in botnets of virussen, die de gebruiker door de firewall willen doorfietsen naar een site die anders geblokkeerd zou zijn...

bluegoaindian @blinchik • 22 december 2016 14:32

Inderdaad een mooie feature. Maar ik vraag me inderdaad af of je via die clouddiensten zomaar naar 'elke' domeinnaam kan redirecten.

Anders zie ik deze feature ook wel opduiken in botnets of virussen, die de gebruiker door de firewall willen doorfietsen naar een site die anders geblokkeerd zou zijn...

Dat doet het al , daarom is de trughackwet zo iedioot!
en laat het zien dat het totaal tegen ze gaat werken!

Deathspike @blinchik • 22 december 2016 11:42

Natuurlijk kan dat. Een IP blokkade is sowieso al geen effectieve manier om een botnet proberen te blokkeren. Er is vaak geen command and control server, of centrale server, in een botnet. Deze werken namelijk op het principe van BitTorrent, een peer-to-peer netwerk, en dat is niet te blokkeren.

lololig @sc0ut84 • 22 december 2016 10:33

Alleen kan men op precies deze manier ook alle mogelijk ads serveren. Ads blocken wordt zo ook erg moeilijk lijkt me.

leuk_he @lololig • 22 december 2016 14:55

Ads blokkeren op een proxy op een geencrypte (https) sessie gaat toch al redelijk moeilijk. Je moet immers de inhoud van een pagina aanpassen.

In de browser blokkeren met een plugin maakt dit helemaal niet uit, de browser kent wel de inhoud van de berichtje. In de browser is alles decrypted.

tabashi @sc0ut84 • 22 december 2016 09:51

Ik deel deze mening ook. Heel goed van Signal!

Verwijderd 22 december 2016 13:40

Ben ik de enige die het verdacht vind dat WhatsApp niet wordt geblokkeerd maar Signal wel? En dat na Facebook censorship tools aan China gaat geven. WhatsApp stinkt behoordelijk.

WhatsappHack

Internet
Netwerk en systeembeheer
Encryptie
Privacy
Security

@Verwijderd • 22 december 2016 17:43

WhatsApp is al sinds Oktober 2015 geblokkeerd in Egypte.

bluegoaindian @Verwijderd • 22 december 2016 14:42

Ben ik de enige die het verdacht vind dat WhatsApp niet wordt geblokkeerd maar Signal wel? En dat na Facebook censorship tools aan China gaat geven. WhatsApp stinkt behoordelijk.

Nee , maar je weet tioch dat whatsapp alles backupt. via google drive?
https://github.com/EliteAndroidApps/WhatsApp-GD-Extractor/

Frogmen

22 december 2016 10:17

Door dit soort systemen is het steeds moeilijker om nog de grens tussen goed en slecht te zien. Goed dat mensen niet beperkt worden in hun communicatie. Slecht dat criminelen een veilig communicatiemiddel hebben.

Belgar @Frogmen • 22 december 2016 10:39

Ja, want dat heeft criminelen de afgelopen 3000 jaar namelijk tegen gehouden... Het niet hebben van een chat-app.

Nederland is afluisterland nr. 1 ter wereld. Al jaren voordat er zoiets als een populaire chatapp bestond. Natuurlijk werd toen wel het grootste deel van de drugstransporten tegen gehouden, omdat we dat konden afluisteren .... /s

Frogmen

@Belgar • 22 december 2016 11:33

Criminelen en terroristen maken hier heel erg graag gebruik van vooral de laatste groep is toch wel actueel. En misschien hebben ze dus wel de voorkeur voor andere landen omdat we afluisterland nr1 zijn. Je kan wel groot voorstander zijn dat iedereen vrij kan communiceren maar vrij en veilig over straat kunnen is ook een recht welke beschermd moet worden. Vandaar mijn dilemma.

esak @Frogmen • 22 december 2016 12:46

Dat stuk dat men "veiligheid" noemt is allemaal relatief. Sinds 1950 tot 2009 zijn er 30 dodelijke slachtoffers in Nederland gevallen. Daarnaast zijn er natuurlijk nog meer gewonden en getraumatiseerde. Als je 99 niet dodelijke slachtoffers per 1 dodelijk slachtoffer meerekent heb je 3000 slachtoffers in ongeveer 60 jaar (wat een hele grove overschatting is). Ofwel 50 slachtoffers per jaar. De kans dat je in je hele leven slachtoffer wordt is dan 0.026%.

Waarom gaat er hier bijna een miljard euro per jaar naar toe? Waarom zoveel discussie over dit onderwerp? Het is allemaal pure angst en onderbuik gevoel dat nergens op slaat.

Als je echt veiligheid wilt moet je investeren ziekenhuizen, verkeersslachtoffers en psychiatrische hulp (zelfdoding: 1871 doden in 2015). En misschien nog wel het best: Investeren in langdurig onderzoek van ziektes als kanker.

De encrypted apps zorgen misschien wel voor meer terrorisme omdat het moeilijk op te sporen is maar dat extra aandeel zal een fractie zijn van bovengenoemde 30 doden per 60 jaar. Oftewel je wint er verschrikkelijk weinig mee om dit soort apps te verbieden of te decrypten en beter wordt het geld geïnvesteerd in zaken die wel echt bijdrage aan de veiligheid.

Nog wat interessante linkjes:
Veel meer slachtoffers terreur in jaren 70 en 80
Is angst voor een aanslag in Nederland wel terecht?
Harde cijfers: oorlog, terrorisme en moord nemen al jaren af
Kans op overlijden door terrorisme in Nederland 2002-2011

[Reactie gewijzigd door esak op 25 juli 2024 15:45]

Jerie

@esak • 22 december 2016 16:15

Angst zaaien, en onze vrije samenleving vernietigen van binnen uit, zijn de doelen van terroristen. Het gaat helemaal niet om het aantal slachtoffers.

Zie ook Terrorism and Counterterrorism: Comparing Theory and Practice door Edwin Bakker, prof. dr. van de Universiteit Leiden

Frogmen

@esak • 22 december 2016 13:02

Refereren aan een artikel uit 2006 vindt ik niet zo sterk net als je hele stelling die je inneemt. Je vergeet dat een gevoel van onveiligheid ook een ziekte is. Hoeveel geven we uit aan onze ziekenzorg? Maar volgens mij haal je er ook zaken bij die erg of topic zijn. Plus ik stel juist dat er voors en tegens aan alle encryptie zitten, meer niet.

esak @Frogmen • 22 december 2016 13:21

Het gaat mij niet om de exacte aantallen. Ik heb de bronnen erbij gezet om er een orde grootte aan te hangen. Ik schat zelfs dat die kosten sinds 2006 aardig zijn toegenomen maar heb daar geen bron van.

Een gevoel van onveiligheid terwijl dat er nauwelijks is is ook iets dat je zou moeten bestrijden. Maar doe je dat door nog meer geld naar diensten als de AIVD te pompen of door het uitgebreid voorlichten van de objectieve cijfers?

Een heel groot deel gaat al naar ziekenzorg, en terecht want daar vallen de meeste doden. Dat neemt niet af dat de kosten voor terrorisme bestrijding buiten proportioneel zijn.

Ik ben het echter wel met je eens dat dit iets wat naar richting off-topic gaat. Het gaat mij er vooral om dat de pogingen om encryptie en vrijheid te beperken onder het motto 'terrorisme bestrijding' niet proportioneel is.

HuisRocker @Frogmen • 22 december 2016 13:40

Zodra een artikel iets ouder is is het niet meer "sterk" en daarom geen onderbouwing voor een stelling volgens jou? Sorry hoor, maar wat een onzin, esak geeft zijn stelling juist op een zeer sterke en goed onderbouwde manier weer, sterker nog, deed iedereen het maar zo sterk!

edit:
Overigens, "criminelen en terroristen" en "vrij en veilig over straat kunnen" heeft geen enkel direct verband met dit artikel over een chatapp die censuur omzeild, ondertussen zeg je in een reactie hierop vrolijk dat een ander "erg off topic gaat" als hij, zoals te verwachten is, met een goede en uitgebreide onderbouwing van het tegendeel van jou bewering komt.

Mocht je van mening blijven dat jou opmerking wel on topic was mag dat natuurlijk, maar beschuldig dan anderen ook niet gelijk van off topic zijn.

[Reactie gewijzigd door HuisRocker op 25 juli 2024 15:45]

SwiftPengu @esak • 22 december 2016 14:18

Maar het is een stuk lastiger om te bepalen wat het dodenaantal zou zijn wanneer er niet zou zijn afgeluisterd. Aan de andere kant is 'de afgelopen x jaar 50 doden gevallen door terroristen' beter meetbaar dan 'door meer af te luisteren hopen de we de komende x jaar n doden te voorkomen'. Dan verwacht ik inderdaad dat betere (psychische/fysieke) zorg een betere investering zal zijn.

supersnathan94

Internet

@Frogmen • 22 december 2016 12:17

Heb je het nieuws niet in de gaten gehouden? Tot nu toe is idere keer gebleken dat terroristen gewoon plain text SMS gebruikten. Hiding in plain sight heet dat.

YangWenli @supersnathan94 • 22 december 2016 13:31

Of ze verbergen zich helemaal niet, die terror trucker in Duitsland was een bekende van de politie.

Frogmen

@supersnathan94 • 22 december 2016 12:55

Tuurlijk want alles wat in de krant staat is waar. Kan je een ding vertellen dat de AIVD en MIVD nooit het achterste van hun tong laten zien. Simpelweg omdat dat niet handig is. Het is allemaal niet zo simpel en dat is waar ik op doel.

HuisRocker @Frogmen • 22 december 2016 14:05

Na terroristische aanslagen blijkt keer op keer dat de veiligheidsdiensten de daders al tijden in de gaten hadden en er hele stapels met aanwijzingen en bewijs zijn. Daar zit volgens mij het echte probleem, en stiekem toch nog redelijk simpel ook...
Ik zal mijn enige vraag aan jou heel duidelijk stellen; hoe is het stapelen van nog meer van dezelfde aanwijzingen en bewijs (alleen nu uit chatapps i.p.v. dezelfde info uit telefoontaps/sms/brieven/postduiven/email/gamechat/enz.), waar men nu ook al aantoonbaar niets mee kan, mag of wil doen, dan precies nuttig volgens jou?

Frogmen

@HuisRocker • 23 december 2016 12:59

Het probleem is dat tot op zekere hoogte je altijd eerst iets strafbaars moet doen of wel erg vergaande plannen hebben. We leven gelukkig nog steeds in een rechtsstaat. Los daarvan ook veiligheidsdiensten doen aan propaganda!

HuisRocker @Frogmen • 26 december 2016 16:48

Dat is, hoe je het ook bekijkt, gewoon geen antwoord op mijn vraag...

Als het bespieden van "iedereen op alles" ook maar enigszins zinvol zou zijn tegen "criminelen en terroristen" dan is het makkelijk, en hopelijk niet teveel van je moeite gevraagd, om de vraag WEL te beantwoorden.
Dat je het niet doet (of moet ik zeggen kunt?) zegt mij in ieder geval genoeg.

Frogmen

@HuisRocker • 26 december 2016 23:04

Volgens mij heb ik nergens gezegd dat ik er voorstander van ben. Ik heb alleen mijn twijfels of het nou een geweldige ontwikkeling is dat het niet meer kan. Ik probeer de situatie van meerdere kanten te bekijken en voors en tegens af te wegen en ik weet het niet.
Krijg wel het idee dat hier nogal zwart wit gedacht wordt.

stresstak @Frogmen • 22 december 2016 14:15

Tuurlijk want alles wat in de krant staat is waar.

Dat geldt hooguit heel misschien voor de Staats Courant.

Mij is het niet bekend of hele conversaties in plain text zijn verlopen bij vele aanslagen. Dat zeggen mensen wel, maar er is hooguit bekend dat het startsein gewoon leesbaar was. Dat maakt niet uit, het is toch te laat om in te grijpen.

Bekende van de politie zijn is ook geen argument. Er moet ook een reden zijn om iemand aan te houden.

supersnathan94

Internet

@stresstak • 22 december 2016 15:34

Bekende van de politie zijn betekent dat je actief in de gaten wordt gehouden. Zeker als het gaat om dit soort dingen. We houden syrie gangers actief tegen aan de grens met een halve tip, maar mensen in eigen land in de kraag vatten voor ze hier iets doen terwijl er stapels informatie beschikbaar is, is erg lastig blijkt maar weer na maandag.

HuisRocker @Frogmen • 22 december 2016 13:23

Men zal moeten leren accepteren dat privacy en vrijheid ook een zeer belangrijk onderdeel zijn van veiligheid en juist geen tegenpolen zijn. Zolang er nog zeer veel mensen zijn die denken dat het simpelweg een kwestie is van "een stukje privacy/vrijheid inleveren voor een stukje meer veiligheid" is er nog een hoop werk te doen...

Veiligheid wordt te pas en te onpas gebruikt (lees: misbruikt) om allerlei privacy/vrijheid beperkende maatregelen door te drukken die feitelijk niets aan veiligheid toevoegen. Daar is een heel groot deel van de "iets meer dan gemiddeld nadenkende mensen", en gelukkig zijn er hier op tweakers nog een hoop van, zo langzamerhand wel eens klaar mee.

Zolang als er geweldadige idioten op deze wereld zijn die mensen om zeep willen helpen zullen er ook altijd manieren gevonden kunnen worden om dat te doen. Chatapps ontsleutelen/kraken/verbieden/blokken/etc. gaat hier echt niets aan veranderen, het is of 1) wishful thinking of 2) symboolpolitiek of 3) heeft andere doeleinden maar met "verhogen van de veiligheid" heeft het realistisch en praktisch gezien niets te maken. Net als de meeste andere gevallen voor hem was ook de geweldadige idioot van de kerstmarkt in Berlijn in beeld bij de veiligheidsdiensten, ook met het bestaan van versleutelde chatapps dus, gewoon via de middelen die de veiligheidsdiensten al hebben. Het probleem is dus duidelijk niet dat er "een teveel aan privacy/vrijheid is die de veiligheid beperkt", het probleem is dat veiligheidsdiensten blijkbaar niet genoeg mogen, kunnen of willen doen met de overweldigende hoeveelheid aanwijzingen en bewijzen die er zijn. Dat lijkt mij genoeg stof tot nadenken.

stresstak @HuisRocker • 22 december 2016 14:24

Zolang er nog zeer veel mensen zijn die denken dat het simpelweg een kwestie is van "een stukje privacy/vrijheid inleveren voor een stukje meer veiligheid" is er nog een hoop werk te doen...

Mede omdat dat inleveren niet bij een stukje blijft. Telkens weer wordt er onder dezelfde noemer een stukje meer afgenomen. Het argument blijft niet eeuwig geldig.

Zo langzaamaan is de inbreuk op mijn privacy en persoonlijke levenssfeer een (toenemende) vorm van onderdrukking.

Verwijderd @Frogmen • 23 december 2016 16:24

Hahaha denk je echt dat terroristen bang zijn voor Nederland? Als ze willen zouden ze makkelijk een paar bommen laten exploderen hier. Ze zijn gewoon niet (nog) geintresseerd in Nederland.

bluegoaindian @Frogmen • 22 december 2016 14:30

Door dit soort systemen is het steeds moeilijker om nog de grens tussen goed en slecht te zien. Goed dat mensen niet beperkt worden in hun communicatie. Slecht dat criminelen een veilig communicatiemiddel hebben.

Stop te denken in goed vs slecht , er bestaat aleen balans.
Wat voor Iran goed is kan voor ons slecht zijn.
daarom werkt een backdoor voor the "GOEDE" mensen niet , omdat wat in Iran goed is iets heel anders is als wat hier goed is...
toch krijgen ze ALLEBIJ de backdoor (gewoon te koop op markt) omdat het voor hen beiden gebruikt word voor goede zaken....

pimwijnands 22 december 2016 09:51

Ik hoop dat ze deze techniek naar meer landen uitrollen, fantastische ontwikkeling om er voor te zorgen dat mensen ook daadwerkelijk kunnen zeggen tegen elkaar wat ze denken.

PerlinNoise @pimwijnands • 22 december 2016 10:21

Dat gaan ze ook doen:

In volgende Signal-releases wil Open Whisper Systems tools opnemen waarmee de app zelf censuur detecteert en zo nodig omzeilt. Op die manier kunnen Signal-gebruikers naar andere landen reizen zonder gebruik te hoeven maken van een vpn.

stresstak @pimwijnands • 22 december 2016 14:05

fantastische ontwikkeling om er voor te zorgen dat mensen ook daadwerkelijk kunnen zeggen tegen elkaar wat ze denken.

Er zijn anders zat mensen die het meteen als belediging opvatten als ik zeg wat ik denk en vind.
Niet dat het me weerhoudt.

Wil een land dit soort verzoeken blokkeren, dan moet het al het verkeer naar deze diensten afsluiten, is de overweging

Als het gedrag de spuigaten uitloopt schromen de betreffende landen niet om inderdaad die diensten te blokkeren.

Kermit123 @pimwijnands • 22 december 2016 14:57

Ik krijg net een update binnen van Signal met de melding dat het ook in de normale versie ingebouwd zit. Geen idee of het ook actief al is

Verwijderd 22 december 2016 15:08

Het klopt niet wat Open Whisper Systems zegt dat men het 'hele internet' moet blokkeren om dit tegen te gaan. Alleen de websites die de desbetreffende CDN (content delivery network) gebruiken lopen gevaar. Ik denk dat deze CDN's en hun klanten niet blij zullen zijn als een land de CDN toch gaat blocken om Signal te blokkeren. Dat betkent dat hun websites ook niet meer (goed) werken.

Ik ben benieuwd hoe dit gaat aflopen. Het zou mij niet verbazen als CDN's Open Whisper Systems niet toestaan om hun netwerk te gebruiken.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 15:45]

bluegoaindian @Verwijderd • 22 december 2016 16:57

Het klopt niet wat Open Whisper Systems zegt dat men het 'hele internet' moet blokkeren om dit tegen te gaan. Alleen de websites die de desbetreffende CDN (content delivery network) gebruiken lopen gevaar. Ik denk dat deze CDN's en hun klanten niet blij zullen zijn als een land de CDN toch gaat blocken om Signal te blokkeren. Dat betkent dat hun websites ook niet meer (goed) werken.

Ik ben benieuwd hoe dit gaat aflopen. Het zou mij niet verbazen als CDN's Open Whisper Systems niet toestaan om hun netwerk te gebruiken.

Je aaneenschakeling is NIET beperkt tot 2
maw je kan rustig 7 connecties maken begiunnenend bij bedrijf 1 => 2 => 3 => 4 => 5 , geen van de bedrijven ziet dan wat er over de lijn gaat of waar het vabndaan komt..... en waar t uiteindelijk heen gaat aleen de eerste weet waar t vandaan komt , en de laaste weet waar t heen gaat.

WhatsappHack

Internet
Netwerk en systeembeheer
Encryptie
Privacy
Security

@Verwijderd • 22 december 2016 17:48

AWS, AKAMAI, CloudFlare, Azure etc. hebben verschrikkelijk veel klanten en verwerken heel erg veel data; als je die allemaal moet blokkeren om Signal te blocken dan tref je daar echt heel veel diensten en websites mee. Denk ook aan Apple's update systeem bijvoorbeeld.

CDN's zullen Signal waarschijnlijk niet blocken, dat levert een PR-disaster op vanwege het meewerken aan censuur...

Het levert best een interessante situatie op.

GeforceAA 22 december 2016 11:45

Gaan Apple en Google wel Signal toestaan in hun stores? Die voldoen meestal wel aan de eisen van het land toch?

YangWenli @GeforceAA • 22 december 2016 13:34

In Android heb je Google niet nodig om apps te installeren.

Verwijderd @YangWenli • 22 december 2016 13:41

Signal heb Google services wel nodig om te werken op Android.

(hele domme ontwerpfout en Merlinspike is te koppig om te zien dat hij gewoon fout zat)

bluegoaindian @Verwijderd • 22 december 2016 14:38

Signal heb Google services wel nodig om te werken op Android.

(hele domme ontwerpfout en Merlinspike is te koppig om te zien dat hij gewoon fout zat)

Oke deze data kan je op die manier tunnelen!
Je kan dus via site x via Y naar Z gaan..

Verwijderd @bluegoaindian • 23 december 2016 16:20

Je heb gereageerd op de verkeerde.

HolaGanz 22 december 2016 09:49

Interessante en helaas onvermijdelijke ontwikkeling, ik ben benieuwd wat deze staten hier tegenover gaan zetten.

Waarom hebben diensten als Twitter dit niet eerder gedaan in bijv. Turkije?

Maurits van Baerle @HolaGanz • 22 december 2016 10:05

Het lijkt me dat het alleen werkt op gesloten systemen waar je zowel de server als de client volledig kunt beheren. Twitter werkt met veel alternatieve clients en zou het dus veel moeilijker hebben om zoiets werkend te krijgen.

aileron 22 december 2016 10:41

Volgens mij zijn niet alleen Egypte en de Emiraten hier niet blij mee. Maar privacy is een recht en deze app helpt ons hierbij. Nu nog Whatsapp bij iedereen vervangen hiermee!

Verwijderd @aileron • 22 december 2016 13:43

Volledig mee eens.

Ook heel verdacht dat WhatsApp juist niet geblokkeerd wordt.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (90)

Sorteer op:

Weergave: