Instant messengers veilig gebruiken

Alieke van Sommeren
1

Inhoudsopgave

    Inleiding: instant messengers veilig gebruiken

    Met een messenger kun je met vrijwel iedereen makkelijk en snel bijkletsen. Maar dat je dat doet, en wat je elkaar allemaal toevertrouwt, blijft niet altijd privé. De keuze van de gebruikte messenger is daarbij van cruciaal belang.

    Via WhatsApp maak je afspraken om samen te gaan wandelen of sporten en komen de foto’s van de nieuwste telg in de familie met een simpele tik op een knop bij iedereen terecht. Dat is bijzonder handig, en de end-to-end encryptie van die messenger kun je zien als garantie voor geheimhouding – maar dat is toch echt te kort door de bocht.

    Bij het versturen van berichten via instant-messages zijn er drie risico’s waar je je bewust van moet zijn. Slechts één van die drie (dat iemand stiekem meeleest) kan worden ingeperkt met end-to-end-encryptie. Wat je aan wie vertelt is alleen betrouwbaar beschermd als dat op jouw apparaat wordt versleuteld voordat het naar internet wordt gestuurd en pas wordt ontsleuteld op de apparaten van je chatpartners nadat ze via internet zijn aangekomen.

    Bij de populaire Telegram-dienst geldt dat principe bijvoorbeeld alleen voor specifieke geheime chats met beperkte opties. Met Microsoft Teams, dat alle berichten op de server ontsleutelt en alleen voor aflevering opnieuw versleutelt, is gegevensbescherming altijd een ondergeschoven kindje.

    Bij WhatsApp en vooral de opensource-concurrenten Signal en Threema wordt inhoud als veilig afgeschermd beschouwd.

    Niet te vergeten: metadata

    De tweede overweging is de informatie over wanneer wie met wie chatte. Dat maakt je tijdens het wandelen misschien niet uit. Anderzijds zijn foto’s die worden gedeeld op de plaats en het tijdstip van je wandeling wel weer iets wat je niet per se met iedereen wilt delen. Daarom moet je er ook op letten hoe goed je contactgegevens en die van je gesprekspartners beschermd zijn. WhatsApp wil tijdens het installeren al leestoegang tot je hele adresboek. Als je dat niet expliciet weigert, komen de gegevens direct bij Facebook terecht. Ogenschijnlijk dient dat om WhatsApp-gebruikers onder je kennissen voor je op te sporen, maar Facebook heeft er groot belang bij die informatie te bezitten. Het hele bedrijfsmodel van Facebook is namelijk gebaseerd op het vermarkten van het wereldwijde sociale netwerk met alle denkbare informatie als een perfect reclameplatform en je te labelen als een geadresseerde voor gerichte reclame.

    Je kunt WhatsApp gebruiken zonder je adresboek te delen, maar dan moet je wel allerlei capriolen uithalen om te chatten met partners van wie je nog nooit een WhatsApp-bericht ontvangen hebt. Dan laat je je wandelpartner je bijvoorbeeld een bericht sturen, en meld je je aan voor de wandelgroep. Daarna kun je naar hartenlust wandelingen plannen zonder wereldwijde niet zichtbare bemoeienis.

    Met je oude apparaat bij de hand is het overzetten van messenger-accounts vaak zo gepiept.

    Vertrouwen, checken, wie?

    Het derde knelpunt heeft betrekking op de identiteit van je gesprekspartners. Een goede messenger maakt het niet alleen moeilijk om je je in een chat als iemand anders voor te doen, maar geeft de deelnemers ook de kans om de authenticiteit van een gesprekspartner te controleren. Die bescherming is belangrijker dan je je op het eerste oog realiseert: een e-mail waarin om de pincode van je bankpas wordt gevraagd, zal waarschijnlijk direct je gezonde verstand aanwakkeren. De situatie bij een messenger is daarentegen niet zo duidelijk. Een bericht dat zogenaamd van een goede vriend komt en je vraagt om je WhatsApp-verificatiecode, is moeilijk te controleren op zijn oorsprong. Maar als een oplichter de gewenste code onder een valse naam weet te verkrijgen, kan hij daarmee je WhatsApp-account overnemen, je ervan uitsluiten en onder jouw naam voortaan allerlei oplichtingspraktijken aanzwengelen.

    Alle populaire messenger-apps doen hun best om de accounts van hun gebruikers te beveiligen tegen misbruik. Bij Signal en Telegram kun je in de chat voortaan een code van je partner opvragen en die vergelijken met een referentiecode. Als je je mobiele apparaat verliest, is misbruik te voorkomen door de inloggegevens te beveiligen via 2FA of MFA.

    Kaf van koren scheiden

    messengers

    Diensten uit de mobiele wereld zoals WhatsApp, Telegram, Signal en Threema verschillen slechts oppervlakkig van tools als Teams, Slack en Stackfield, die eerst bekend werden als browser-apps op de desktop. Hoewel de aanmeldprocedures verschillen, lopen de twee categorieën in elkaar over en moeten de messengers op dezelfde criteria beoordeeld worden.

    Voor WhatsApp en Telegram en andere registreer je je met je telefoonnummer via je smartphone, en uit de apparaat-identificatie wordt het gebruikersaccount van de dienst afgeleid. Als je van telefoon verandert, eventueel zonder het contract met je provider te wijzigen, moet je de messenger op het nieuwe toestel opnieuw aanmelden. De details verschillen van platform tot platform en van messenger tot messenger. Je start het proces bijvoorbeeld vanaf de app die op het nieuwe apparaat geïnstalleerd is, en ontvangt vervolgens een bevestigingscode op het oude apparaat die je op de nieuwe dan moet invoeren. Threema is een uitzondering: die messenger werkt zonder een persoonlijk gebruikersaccount via een willekeurig gegenereerde ID, zonder dat je ooit iets over jezelf vastlegt.

    Als je geen smartphone bezit of je privésmartphone niet wilt registreren voor een dienst die op het werk wordt gebruikt, zit je bij die messengers (met uitzondering van Threema) niet goed. In dat geval kunt je beter diensten als Teams, Stackfield of Slack gebruiken, waarbij je je registreert via de website en je wachtwoord en de registratie bevestigt in antwoord op een sms of e-mail van de dienst.

    Ongeacht de apparaat-id kun je alle populaire mobiele messengers nu of binnenkort al op meerdere apparaten tegelijk gebruiken, zie de tabel voor details. Telegram biedt bovendien de mogelijkheid om de app met maximaal drie accounts vanaf hetzelfde apparaat te gebruiken.

    En de andere messengers

    Messengers zoals Rocket.Chat op basis van de Jabber-opvolger XMPP en het gedecentraliseerde communicatiesysteem Matrix maken nog uitgebreidere beveiligingsopties mogelijk. Je kunt ook zelf een eigen server voor deze diensten opzetten met opensourcesoftware en die autonoom draaien. Deze aanpak gaat echter ten koste van het bereik dat je ermee haalt. Zelfs als ze een standaard zoals XMPP implementeren, bevatten de meeste van deze diensten nog afzonderlijke extensies en werken ze slechts onvolledig met elkaar samen.

    Als je wilt chatten met dissidenten die vallen onder een totalitair regime, is je privacy tot het uiterste te beschermen met het Briar Project. Dat berust op end-to-end versleutelde verbindingen via het Tor-netwerk, of werkt zelfs geheel zonder continue internetverbinding, zoals via tussenstappen met gesmokkelde usb-sticks. Op deze manier kunnen alleen tekstberichten worden uitgewisseld en moeten de partners via een ander kanaal een gespreksdatum afspreken, omdat er niets wordt opgeslagen. Anderzijds werpt dit drempels op voor een aanvaller, zelfs als deze alleen de deelnemers aan het gesprek wil identificeren.

     

    (Dit artikel is verschenen in c’t 5/2021, p.64, met medewerking van Hans-Peter Schüler en Daniel Dupré)

     

    Op de hoogte blijven van nieuws en updates? Schrijf je in voor de c’t-nieuwsbrief:

     

    Meer achtergronden vind je in c't magazine nov/2021

    Meer over

    AppsSoftware

    Deel dit artikel

    Lees ook

    Zelf Ethereum minen: hoe doe je dat het beste?

    Als je pc een redelijk nieuwe grafische kaart heeft, kun je delen in de crypto-goudkoorts. Met ethereum kan dat ondanks de hoge stroomprijzen rendabel...

    eSIM vervangt de simkaart en maakt wissel provider eenvoudiger

    Met eSIM als vervanger voor de conventionele simkaarten kan mobiele telefonie goedkoper worden, wordt het wisselen van provider makkelijker gemaakt en...

    Interessant voor jou

    1 Praat mee
    avatar
      Abonneer  
    nieuwsteoudste
    Laat het mij weten wanneer er
    Waarom nou weer een naam
    Lezer
    Waarom nou weer een naam

    Element / Matrix gewoon helemaal niet meegenomen in het vergelijk…?