XS4CHINA | Blijft WhatsApp veilig?

Goedemorgen. In deze editie: Huawei, Whatsapp, en een phishing-quiz.

Vier vandaag de Europese dag van de privacy met ons! Stuur deze nieuwsbrief door aan een collega of vriend die wel wat cyber kan gebruiken. Hier melden zij zich dan vervolgens aan om Cybernieuwtjes tweewekelijks te blijven ontvangen.

Het komende jaar zullen providers beginnen met de aanleg van de infrastructuur voor de nieuwe 5G internetstandaard. Chinese netwerkapparatuur biedt daarbij een uitkomst om de kosten te drukken.

Afgelopen november nam de Tweede Kamer een VVD-motie aan die het kabinet opdraagt om de afhankelijkheid van Chinese technologiebedrijven te onderzoeken. Nederland moet zich over de rol van deze bedrijven niet naïef opstellen, vinden staatssecretaris Keijzer van EZK en premier Rutte.

Huawei probeert nu haar naam te zuiveren, onder andere door een security ‘testcentrum’ te openen in Brussel. Maar zoals het bedrijf nu ondervindt, is het lastig te bewijzen dat iets er niet is. Dat gold voor de hypothetische theepot in een baan om de aarde van Russel evenzeer als voor een Politburo-backdoor in een ethernetswitch.

Bij de aanleg van de internetinfrastructuur van morgen staat vertrouwen dus centraal. In het voorjaar zal het kabinet haar zogenaamde Chinastrategie publiceren. Daarin zal zeker ook aandacht zijn voor technologische afhankelijkheid en spionage. Het wordt de vraag of Nederland zo ver zal gaan als Australie en het Verenigd Koningkrijk om Huawei en collega-fabrikant ZTE te mijden bij de aanleg van 5G infrastructuur.

Op dit moment gebruiken de drie grote internetproviders T-Mobile, VodafoneZiggo en KPN allemaal apparatuur van deze Chinese bedrijven. Die is immers goedkoop en de concurrentie is moordend. En breedband is tenslotte breedband. Toch?

Er is één ISP die nog moedig weerstand biedt en dat is XS4ALL. Zij trekt een idealistische lijn door klanten te voorzien van de Duitse Fritzbox modems. Ook zeggen medewerkers gebruik te maken van “eigen routers [en] eigen switches”. Wat zou dit precies inhouden? Hebben de lezers van Cybernieuwtjes misschien details? Laat het ons weten met een reply.

In plaats van dit dochterbedrijf nu de das om te doen, zou KPN misschien beter de Chinastrategie van het kabinet af kunnen wachten. Wellicht ontstaat er in korte tijd wel een sterke vraag naar het soort ‘premium’ dienstverlening dat XS4ALL aanbiedt.

Kijk bijvoorbeeld naar hoe energiebedrijven zich proberen te onderscheiden met groene stroom sinds de toename van het bewustzijn over klimaatverandering. Zoals we nu meer willen betalen voor ‘groene stroom’ willen we straks misschien ook wel spionagevrije internet-infrastructuur. Een kleine provider zoals XS4ALL zou zich hierop kunnen onderscheiden. Bij de drie grote providers is het namelijk kiezen tussen Huawei, Huawei, of Huawei.

Vooralsnog lijkt het er op dat KPN dat potentiële gat in de markt nog niet erkent: het bedrijf is nog steeds van plan om XS4ALL uit te faseren.

Weinig diensten hebben zo'n revolutionaire groei in beveiliging doorgemaakt als WhatsApp. Ooit het lachertje onder de chat-apps dankzij een totaal gebrek aan effectieve versleuteling: op een openbaar wifi-netwerk met WhatsApp communiceren was ongeveer net zo veilig als je diepste geheimen op een whitebord kalken. Maar inmiddels voorzien van dezelfde beveiliging als het uitstekende Signal.

Niet dat er helemaal niets op de encryptie van WhatsApp is aan te merken: zo is de implementatie van het Signal-protocol niet open-source en is het dus onmogelijk om te verifiëren of je berichten daadwerkelijk worden versleuteld. Maar vooralsnog is WhatsApp de enige echt populaire cross-platform-chat-app die standaard end-to-end-encryptie aanbiedt.

Maar voor hoe lang? Vrijdag berichtte The New York Times dat WhatsApp, Facebook Messenger en Instagram aan elkaar wil knopen. Daarmee zouden gebruikers van verschillende apps met elkaar kunnen communiceren.

Dat vereist dat de infrastructuur van de apps, die nu nog volledig los van elkaar staan, op de schop moet. De gebruikte techniek verschilt nogal: WhatsApp biedt standaard end-to-end-encryptie, Facebook Messenger biedt dat op verzoek en Instagram niet.

In een reactie stelt Facebook dat het er aan werkt om ‘meer producten van end-to-end-encryptie te voorzien’. Daarmee zou dit goed uit kunnen pakken: Facebook en de berichtenfunctie van Instagram zouden daarmee op het niveau van WhatsApp kunnen worden gebracht.

Maar, zoals cryptograaf Matthew Green ook aanstipt, dat is verre van zeker. De encryptie van WhatsApp zou kunnen worden afgezwakt ten gunste van compatibiliteit. Blijft end-to-end-encryptie in alle gevallen standaard? Of wordt het optioneel zodra een WhatsApp-gebruiker met iemand op Instagram chat? Want optionele beveiliging is genegeerde beveiliging.

Een ander probleem: Facebook krijgt hiermee meer toegang tot metadata. Facebook- en WhatsApp-accounts kunnen mogelijk makkelijker aan elkaar worden gekoppeld als de onderliggende infrastructuur gelijk wordt getrokken.

Een gevoelig thema in Europa, waar Facebook bij de overname van WhatsApp immers valselijk beloofde dat beide platforms nooit informatie zouden delen. Iets waar het bedrijf heel snel op terug kwam, maar tot op de dag van vandaag worden Facebook- en WhatsApp-data in Europa niet aan elkaar gekoppeld. Dat zou hiermee dus kunnen veranderen.

Hoe dan ook: drie van de populairste communicatieplatforms vielen al onder hetzelfde concern en worden nu mogelijk één groot sociaal netwerk. Los van privacy- en beveiligingszorgen levert dat ook nogal wat mededingingszorgen op.

Eind dit jaar of begin volgend jaar zal Facebook de wijzigingen doorvoeren, verwacht The New York Times. Een kans voor concurrerende chat-apps om in die tijd te investeren in wijzigingen waarmee ze zich kunnen onderscheiden ten opzichte van WhatsApp.

Wordt Signal eindelijk iets gebruikersvriendelijker? Krijgt het end-to-end-versleutelde iMessage een Android-client? Bouwt Telegram dan nu toch echt standaard end-to-end-encryptie in, en dan liever niet met zelf geknutselde crypto? Of eindigen we met z'n allen in de datamachine van de Zuck? Het laatste scenario lijkt ons het meest waarschijnlijke, maar we laten ons graag verrassen.

Train je oog voor phishingaanvallen met deze quiz van Google. Goed vormgegeven nepmails blijken namelijk keer op keer een effectieve aanvalsmethode.

Problematisch aan deze aanpak: de verantwoordelijkheid wordt nog steeds bij de gebruiker gelegd, net zoals bij het herkennen van ‘beveiligde’ nepsites.

Zelfs met de methoden uit de quiz is dit lastig. Bijvoorbeeld het checken van de domeinnaam—de quiz wordt nota bene gehost op een ander domein dan het vertrouwde google.com. Een écht veilige oplossing werkt zelfs als de gebruiker geen lezer van cybernieuwtjes is.