5 vragen over de veiligheid van (niet-)versleutelde berichtenplatformen: hoe privé zijn online berichtjes?
Wat betekent end-to-end-versleuteling van online berichten voor onze privacy? En krijgen criminelen hierdoor vrij spel? Die vragen rijzen nu de Europese politiedienst Europol een oproep lanceert om toegang te blijven krijgen tot data van onlineberichtendiensten. Ethisch hacker Inti De Ceukelaire beantwoordt 5 vragen.
1. Welke informatie wordt versleuteld bij end-to-end-encryptie?
"Dat hangt af van app tot app, en sowieso lopen techbedrijven hier niet echt mee te koop", legt De Ceukelaire uit. "Soms gaan bedrijven alles versleutelen, soms enkel de absolute 'core'. Bij chatapplicaties is die basis de inhoud van de chatberichten. De metadata worden dan vaak niet mee versleuteld."
Hierdoor zou je als gerechtelijke autoriteit wel kunnen zien wie met wie heeft gecommuniceerd en wanneer het gesprek plaatsvond, maar niet waarover.
Ook bestanden tussen verzender en ontvanger zijn niet altijd 'end-to-end-encrypted'. "Als bedrijf kies je zelf hoe ver je gaat in dat versleutelen."
2. Op welke veelgebruikte apps is die versleuteling (niet) van toepassing?
Bij een bedrijf als Meta wordt end-to-end-encryptie standaard toegepast op berichten en bestanden. Soms zijn voor het bedrijf achter Facebook en Instagram ook de metadata versleuteld, maar niet altijd.
"Bij WhatsApp is dat standaard al zeker niet het geval", weet De Ceukelaire. "Moest de FBI of CIA nu plots de hoofdzetel van Meta binnenvallen, dan kunnen de inspecteurs zo wel te weten komen welke crimineel met wie chatte en wanneer." En soms volstaat die info al om een sterk gerechtelijk dossier tegen iemand op te bouwen.
Bovendien zijn de back-ups van je WhatsApp-berichten vaak niet 'encrypted', waardoor hackers ze toch kunnen bemachtigen via je cloud. "Je kan dat wel veranderen via je instellingen, maar mensen zijn met andere dingen bezig en klikken de pop-up die hen deze optie aanbiedt vaak gewoon weg."
Via een onlineformulier kan een juridische dienst of overheidsinstantie een aanvraag tot het delen van die beschikbare gegevens indienen bij WhatsApp. "En ook Facebook biedt dit aan, maar dan heb je vooraf wel een heel sterke case nodig. Verzoeken van autoriteiten uit landen waar veel corruptie heerst, worden vaak niet eens bekeken."
Bij Instagram wordt de berichtfunctie dan weer enkel in bepaalde regio's ter wereld optioneel versleuteld. Op dit moment is dit dus de minst veilige app van het bedrijf Meta. "Bij Messenger zijn ze zo'n veilige end-to-end-encryptie wel standaard aan het uitrollen voor alle gebruikers."
Wat bij apps die niet tot Meta behoren?
Bij apps van andere concerns is het ook niet altijd eenduidig. "Bij Telegram is er geen standaardversleuteling, je vindt er wel een 'geheime chatoptie'. Maar door al die groepschats die moeilijk gecodeerd kunnen worden, zou ik de app sowieso al niet als veilig omschrijven."
Signal, de app waar gebruikers naartoe trekken die veel waarde hechten aan privacy, is dan weer één van de veiligste applicaties op de markt. "Dit bedrijf gaat ook zijn metadata versleutelen, waardoor ze zelf enkel toegang hebben tot je absolute basisinfo."
Politiediensten zullen daar dan ook van een kale reis thuiskomen. "Met een beetje geluk krijgen ze een telefoonnummer mee, de aanmaakdatum van het verdachte account en de laatste inlogpoging."
3. Kunnen hackers end-to-end-encryptie toch omzeilen?
"Hackers en grote criminelen hoeven zich weinig zorgen te maken als er gehoor wordt gegeven aan de vraag van Europol", waarschuwt de expert. "Misdaadorganisaties hebben standaard goede programmeurs in hun gelederen. Zij ontwikkelen wel hun eigen goed versleutelde apps."
Al pakken ze het soms nog efficiënter aan. "Iedereen kan zo'n verzoek tot het delen van gegevens indienen bij sociale apps. Een aantrekkelijk achterpoortje voor sommige hackers die zich zo gemakkelijk als overheidsinstantie kunnen voordoen."
Meteen ook één van de redenen waarom veel techbedrijven zo weigerachtig staan tegenover het aanleveren van persoonlijke data. "Al is deze praktijk nu ook geen schering en inslag", geeft de cybercrime-specialist toe.
Een 3e optie om end-to-end-encryptie te omzeilen, is hacken op afstand. "Heel soms passen politiediensten dit toe voor zware zaken van staatsbelang; een op til zijnde terroristische aanslag, bijvoorbeeld. Door ongemerkt een virus te sturen naar de telefoon van een verdachte, kan je toegang tot het apparaat verkrijgen en dus ook alle verstuurde en ontvangen berichten meelezen."
Zulke ingrepen zijn wel erg complex en duur, want je moet er datalekken voor aankopen op de zwarte markt. “Kruimeldieven kunnen wat dit betreft rustig ademhalen."
4. Welke instanties kunnen op dit moment aan de inhoud van mijn berichtjes?
"Ook dit hangt er weer sterk van af wie je bent en wat je vraagt", gaat De Ceukelaire verder. "Je moet als 'wettelijke' entiteit vanuit een officieel e-mailadres een 'proportioneel' verzoek kunnen indienen. Vragen die te maken hebben met de veiligheid van kinderen staan hoog op het prioriteitenlijstje van bedrijven zoals Meta."
De wetgeving van het land waaruit het verzoek komt, speelt hier ook een grote rol in. "Meta is een Amerikaans bedrijf, dus de kans is groot dat zij iets meer op hun hoede zijn voor de eigen nationale rechtsregels dan wanneer pakweg België zijn privacyregels aanpast."
"In de VS is er een dagvaarding nodig binnen een officieel strafrechtelijk onderzoek. Daarmee kan je als gerechtelijke of overheidsinstantie de naam, de duur van de service, de creditcard gegevens, de e-mailadressen van de betrokken personen en hun recente IP-adressen krijgen. Bij een huiszoekingsbevel kunnen er ook extra infogegevens zoals het adresboek worden doorgespeeld."
Bij ons moet er sprake zijn van een inbreuk op de mensenrechten, de eerlijke rechtsgang en de rechtsstaat voor Meta gegevens kan delen. "Dat is bewust heel vaag geformuleerd, zodat het bedrijf niet in de problemen komt."
In de praktijk gaat Meta geval per geval beoordelen, waardoor een antwoord weken op zich kan laten wachten. "Nodeloos te zeggen dat de FBI, CIA of de Britse geheime diensten wel sneller iets gedaan zullen krijgen van Meta dan de politie van Wevelgem."
5. Hoe kan ik mijn online veiligheid zelf beter beschermen tijdens het chatten?
"De beste tip die ik mensen kan geven? Verwijder regelmatig eens je gegevens! Of het nu gaat om conversaties over koetjes en kalfjes met een vriend(in) of een Facebookprivégroep van 10 jaar geleden, heb je die gesprekken echt nog nodig?", stelt De Ceuckelaire de vraag.
"Als je die gewoon deletet, valt er niets meer te hacken. Zet bij WhatsApp ook de optie tot het maken van back-ups uit of stel de encryptie van back-upbestanden in."
Wees je tot slot bewust welke gevoelige data zoals paswoorden je met wie deelt. "Verwijder die berichten steeds achteraf en vraag je contactpersoon om hetzelfde te doen", beveelt de ethisch hacker aan. "Tenzij er staat: 'verwijderen voor iedereen'. Dan kan je op beide oren slapen."