Managed hosting door True

‘IoT zit vol met spionageapparatuur’

Voorman GNU System Richard Stallmann sprak op thema-avond Privacy in Utrecht

Internet of Things (IoT) is een bedreiging voor de persoonsbescherming. De huidige apparatuur spioneert alleen maar onder het mom van gebruiksgemak. IoT biedt mensen alleen voordelen als de toestellen zijn voorzien van vrije software, zo meent Richard Stallmann, de voorman van het GNU System.

Stallmann woont in Cambridge, Massachusetts. Hij sprak 9 maart tijdens een avond die het IT Talent College hield in Utrecht. Dit College is een gezamenlijk initiatief van it-studenten en Conjugo. Het online platform is bedoeld om alle it-studenten wereldwijd te inspireren en te informeren. Het thema van deze avond was ‘Privacy’. Een onderwerp waaraan Stallmann zijn leven heeft gewijd. Uit protest tegen fabriekseigen software heeft hij het besturingssysteem GNU/Linux ontwikkeld en aan de wieg gestaan van licentieprogramma’s GPL en LGPL die uitgaan van vrije software.

Nog steeds klinkt hij oprecht kwaad als het gaat om software die niet vrijelijk door de gebruikers is aan te passen aan de eigen behoeften. ‘Het is merkwaardig dat als je iets koopt, zoals software, je er niets mee mag doen. Het blijft eigendom van de producent. Velen klaagden daar over, maar ik heb er echt iets aan gedaan’, doelend op de ontwikkeling van GNU/Linux en de oprichting van de Free Software Foundation, die tegenwoordig wereldwijd meer dan drieduizend leden telt.

Achterdeurtjes

Het werk van Stallman heeft zich intussen uitgebreid naar internet en mobiele telefoons. ‘Er zijn heel veel websites die proprietary code sturen naar de gebruikers om informatie te verzamelen. Van veel websites is de verwachting gerechtvaardigd dat ze je bespioneren. Ze kunnen zelfs jouw webcam op afstand bedienen. Ik zelf heb Javascript uitgeschakeld en gebruik software die me automatisch waarschuwt als Javascript is gebruikt bij een website.’

Het stikt van de achterdeurtjes in software en apparatuur. ‘Als iets ‘smart’ is, dan moet je het wantrouwen’, meent Stallman. ‘Microsoft heeft zijn software zo gebouwd, dat het altijd op enig moment van afstand de code kunnen veranderen. Amazon heeft zijn Kindle zo ingericht dat het op afstand e-boeken kan verwijderen. Smart-tv’s kunnen de camera bedienen en alle beeld en geluid opnemen en smart meters verzamelen veel te veel informatie. Het zou genoeg moeten zijn dat ze twee keer per maand de meterstanden opnemen van afstand; dat hoeft niet continu en ze hoeven ook niet alles bij te houden.’

Dat Apple weigert de FBI te helpen een telefoon te kraken, verbaast hem hogelijk. ‘Juist Apple, die toch zijn gebruikers altijd aan de leiband houdt! Het maakt me overigens niet uit waarom Apple dat doet, belangrijk is dat ze de privacy van de gebruiker respecteren.’

Die houding heeft hij ook ten opzichte van de bedrijven die zeggen dat die ‘smart’ mogelijkheden worden gebruikt om de gebruikers van dienst te zijn. ‘Het kan me niet schelen wat voor prachtige diensten ze daarmee in het leven roepen, ze moeten gewoon van de gebruiker afblijven. En dat kan, met vrije software.’

Of er genoeg vrijelijk te gebruiken programmatuur is in de wereld? ‘Natuurlijk moet en kan er meer worden geschreven, maar de basis is er: het besturingsprogramma. Maar we hebben al een wereld vol vrije software gebouwd.’

Opoffering

Niet toegeven aan de nukken en grillen van de gevestigde software-orde vraagt wel opoffering, zo geeft Stallman toe. ‘Ik heb geen mobiele telefoon, laat staan een smartphone. Ik wil niet dat ze altijd mijn gangen kunnen nagaan. Ik gebruik geen elektronische handel. Liever zoek ik een winkel waar ik iets kan kopen. En als iets alleen online te koop is, dan vraag ik een vriend die geen ethische bezwaren heeft tegen elektronische handel om het betreffende product aan te schaffen. Ik betaal altijd met baar geld.’

Pas als alles met vrije software is ondersteund, dan is de bescherming van persoonsgegevens gewaarborgd. ‘Wat dat betreft, zouden mensenorganisaties zich meer moeten bemoeien met de software-industrie. Overheden laten dit liggen. Sterker nog, zij gebruiken zelf software om de bevolking te bespioneren. Onder het mom van terrorismebestrijding denken overheden dat alles is geoorloofd en dragen ondertussen de democratie ten grave. Een klokkenluider wordt al gauw een terrorist genoemd.’

Geheime diensten

Dankzij de onthullingen van Edward Snowden weten we hoe de NSA mensen bespioneert. ‘Ik ga ervan uit dat alle geheime diensten over de hele wereld dergelijke praktijken hanteren; alleen is dat niet onthuld door een klokkenluider. En het is alleen maar mogelijk, omdat proprietary software wordt gebruikt en de it-bedrijven worden gedwongen mee te werken.’

Stallman reist de wereld af om zijn boodschap te verkondigen: gebruik vrije software, eis van overheden dat zij vrije software gebruiken. ‘En gebruik de consumentenkracht om dit af te dwingen bij bedrijven. De houding moet zijn: dit is verkeerd, en het kan anders. It-managers moeten nadenken over de ethiek van software en de software-industrie. Al te gemakkelijk lopen ze aan de leiband en denken niet na over de alternatieven’, is zijn oordeel.

Hij vergelijkt de overgang naar vrije software met een ontsnapping uit de gevangenis. Nu IoT zich verder verspreidt, is het moment daar om zich verder te bezinnen. ‘Al die apparatuur is in beginsel spionage-apparatuur. Dat moet je niet willen.’

Dit artikel is ook verschenen in Computable Magazine, jaargang 49, nummer 4, april 2016.

IT Talent College

IT Talent College organiseert colleges over verschillende it-onderwerpen voor it-studenten en –starters. Het is een gezamenlijke initiatief van studentenverenigingen en van it-marktonderzoeksbureau Conjugo. Computable ondersteunt het initiatief als mediapartner. De organisatie maakt video-opnames van de colleges die vervolgens online worden geplaatst. Tijdens de big data-colleges van IT Talent College was Wouter de Bie van Spotify één van de sprekers.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5720750). © Jaarbeurs IT Media.
7,2

 

Reacties

Hij heeft een zeer groot punt, me dunkt.



Beste auteur, Stallman heeft niet het besturingssysteem GNU/Linux ontwikkeld. Hij heeft samen met zijn metgezellen binnen de GNU foundation de open-source GNU tools ontwikkeld, onder de GPL licentie beschikbaar gesteld. Linus Torvalds (inclusief kernel ontwikkelaars) heeft de Linux kernel ontwikkeld en zocht daarbij besturings-tools om tot een besturingssyteem te komen. Dit is uiteindelijk het GNU pakket geworden. Vandaar de officiele benaming GNU/Linux, wat tegenwoordig verkort is tot Linux. Het gros Linux distributies maken gebruik van GNU/Linux, een enkele nog van het alternatief HURD (Hurd/Linux).

FSF, OSS, GNU, GPL, allemaal kreten die door iedereen door elkaar worden gebruikt en die door sommigen als synoniemen worden gezien.

Gratis is geen garantie dat het (volledig) open source is, en open source is geen garantie dat er geen spionage-onderdelen in zitten.

Overigens sta ik achter de waarschuwing van Stallman voor alles wat IoT is. Nu, maar helemaal als we straks (ooit) overgaan op IPv6, dan weten de IoT dienstverleners precies hoe je netwerk thuis eruit ziet, elk apparaat heeft een eigen uniek adres, ipv dat alles via je router middels één adres met de buitenwereld communiceert.

@Frank
open source is wel degelijk een garantie dat er geen achterdeurtjes in zitten omdat iedere ontwikkelaar die kan zien, veranderingen in de aourcekode worden ook bij FOSS gemonitort.

Wat IPv6 betreft, ook daar kun je de boel zo instellen dat niet meer zichtbaar is wat achter de router staat, even de zoekmachine gebruiken en natuurlijk geen google maar swisscows.ch of ixquick.com of duckduckgo.com.

Het is zeker 2 jaar geleden of meer dat ik daar een paar artikelen over gelezen heb, zal nog eens zoeken.

Zo te zien heb je moeite met de afkortingen uit de wereld van open source, wikipedia heeft de meeste uitgebreid beschreven.

@Jan
Ik heb geen probleem met afkortingen, ik zeg alleen dat velen ze op een hoop gooien.

OSS betekent dat de source bekend is en in is te zien. Deze source hoeft geen hogere taal te zijn (bv C++), maar kan ook assembler zijn; een kernel maakt daar bijvoorbeeld gebruik van. Deze assemblertaal is niet zo erg leesbaar, daar kun je makkelijk wat geniepigs in verstoppen.

Jan van Leeuwen,
Wat een onzin kraam je weer uit, de meeste 'achterdeurtjes' zitten in de FOSS oplossingen als ik even kijk naar wat verdachte connecties hierin. Zelfs wikipedia kan niet zonder sponsors omdat uiteindelijk gewoon de rekeningen betaald moeten worden.

Het doel van IoT is om de mensen verslaafd te maken aan technologie met een achterdeur. Het verdienmodel is dan niet de apparatuur zelf maar de informatie stroom die erdoor wordt gegenereerd.
Dan is het beeld wat Stallmann schept een mogelijke oplossing door wel de innovatie van IoT te omarmen maar wel onder de strikte voorwaarde dat de gebruikers zelf altijd controle houden over welke informatie zij wel en vooral ook niet delen. Kies en koop bewust is dan ook het motto.

@Johan:
Helemaal mee eens!

Kijk maar eens naar de Nest thermostaat. Dit geef Google gedetailleerde informatie wanneer je thuis komt, hoe laat je gaat slapen, wanneer je wakker wordt, wanneer je naar je werk gaat, ..., en hoe warm je het graag hebt als je thuis bent.

Inbrekers hoeven alleen maar de data van Google te hebben (via een hack), hoe makkelijk wil je het ze maken?

Mooie stelling, zonder ook het minste aan bewijzen.
"Wat een onzin kraam je weer uit, de meeste 'achterdeurtjes' zitten in de FOSS oplossingen"
Uit de statistiek over securitypatches blijkt dat FOSS minder fouten heeft en sneller gepatched wordt, dat kun je vinden als je zoekt (je weet toch hoe dat gaat?).

Omdat sourcekode van commerciele bedrijven niet te bekijken is kun je niet beoordelen hoeveel achterdeurtjes daar zijn. De programmeurs van FOSS kunnen wel alle kode bekijken en merken het als er afwijkingen zijn.

Er is geen overmatige intelligentie nodig om te begrijpen dat de kans op achterdeurtjes groter is bij een "zwarte doos".

@Frank
lees eens wat over de manier waarop programmaveranderingen in een OSS-team tot stand komen en hoeveel "peerreviews" er zijn, dan kom je zelf tot een andere konklusie.

Jan van Leeuwen,
Toch typisch dat wikipedia (en anderen) stelt dat toegang tot de broncode geen garanties geeft voor de kwaliteit, dat minder fouten en sneller herstel van FOSS gewoon een mythe is.

FOSS heeft net als veel andere software ook de 'golden key' backdoor van updates, weinig gebruikers zullen tenslotte de moeite nemen om alle benodigde binaries vanuit de (gecontroleerde) broncode te compileren. Evenzo zullen ze ook niet een background onderzoek doen van OSS-team leden waardoor FOSS steeds vaker gebruikt wordt om backdoors aan te brengen in een systeem.

'Secure code delivery is the problem of getting software from its author to its users safely, with a healthy dose of mistrust towards the author and everything else in between.'

Aha Wikipedia, natuurlijk de meest betrouwbare bron van informatie, ach ach ach.

Aha Wikipedia, natuurlijk de meest betrouwbare bron van informatie, ach ach ach.

Hier is een goede samenvatting, ook als het artikel wat ouder is, de principes hebben zich niet veranderd.
http://www.dwheeler.com/secure-programs/Secure-Programs-HOWTO/open-source-security.html

@Jan om 10:42
Commerciële bedrijven hebben een reputatie hoog te houden. Als duidelijk wordt dat je een achterdeur in je producten hebt, dan levert dat reputatieschade op (tenzij je Google heet), die zelfs tot een faillissement kan leiden.

Deze bedrijven zullen er dus alles aan doen om hun software zo goed mogelijk te maken, of ze dat nu als closed of open source software uitbrengen.

Je buurjongen kan een aanpassing maken in een OSS pakket, hoeft zich geen zorgen te maken over z'n reputatie (want hij doet dat onder z'n pseudoniem "Pietje Puk"), en kan het aan de distributie toevoegen.
(wordt vervolgd)

@Jan om 10:46
Er is veel OSS, maar niet elk pakket is zo groot als Linux of LibreOffice. Er zijn pakketten met slechts een handvol gebruikers en één of enkele ontwikkelaars. Er is dus geen community van duizenden peer-reviewers voor veel OSS pakketten.

Het is voor "Pietje Puk" dus heel goed mogelijk om z'n achterdeur in een wat minder populair pakket te krijgen. Of z'n ransomware; het ligt er maar net aan hoe Pietje aan z'n geld wil komen!

@iedereen
Ik wil niemand bang maken voor OSS; sterker, OSS brengt ons veel goeds. Een pc met Linux en LibreOffice is een goed alternatief voor een pc met MS Windows en MS Office. Een mix is ook prima mogelijk, zoals een Windows pc met LibreOffice. Ik wil alleen één punt duidelijk maken: OSS is niet synoniem met veilig, betrouwbaar, foutvrij of achterdeurvrij.

Jan,
'Clearly, it doesn’t matter if there are “many eyeballs” if none of the eyeballs know what to look for.'

Natuurlijk kun je wikipedia afdoen als onbetrouwbaar maar deze kent ook een vorm van 'peer-review' waardoor wijzigingen - zoals ooit gemaakt vanuit Huis ten Bosch - tot betere vertalingen leiden. Ik heb je link gelezen en wijs je middels BLOKLETTERS op enkele nuances in de uitspraken van experts:

'Open Source Software certainly DOES HAVE THE POTENTIAL to be more secure than its closed source counterpart. But make no mistake, SIMPLY BEING OPEN SOURCE IS NO GUARANTEE OF SECURITY.'

'Open source software projects CAN be more secure than closed source projects. However, the very things that CAN make open source programs secure -- the availability of the source code, and the fact that large numbers of users are available to look for and fix security holes -- CAN also lull people into a FALSE SENSE of security.'

Aangezien je niet inhoudelijk ingaat op mijn opmerking over het volledig opnieuw compileren van alle binaries vanuit de broncode, welke uiteraard voorzien moet zijn van een digitale handtekening, blijf ik bij mijn eerdere mening. FOSS is geen antwoord op het probleem van backdoors wanneer je het proces van de software distributie zelf niet veranderd.

@Frank en WieRoeptMij
iedereen heeft recht op een mening, onderbouwen van een mening is beter.
Ik weet niet hoeveel FOSS jullie dagelijks gebruiken en installeren maar ik vermoed weinig, in alle projekten waaraan ik meewerk hebben we peerreviewing en "PietjePuk" heeft geen schijn van kans iets slecht in de sources te smokkelen.
Dat een hoger niveau van security een wet van meden en perzen is, heb ik nooit beweerd, wel dat in doorsnee FOSS een betere reputatie heeft als het om achterdeurtjes gaat.
Net als bij commerciele software is het natuurlijk de kunst om de projekten waar je mee werkt zorgvuldig uit te zoeken, dat moet je als specialist je klanten kunnen aanbieden.

Jan,
Je vermoedens (op basis van slechte informatie) zijn een abjecte voorstelling van de feiten, backdoor van apt-get update gaat om een keten aan vertrouwen welke nog weleens gebroken schakels bevat.

nogmaals voor WieroeptMij:
iedereen heeft recht op een mening, onderbouwen van een mening is beter

@Jan
De onderbouwing was al gegeven door de geroepene. Review je alle sources, hercompileer je alle gereviewde sources, en vervang je eventueel aanwezige closed source onderdelen (of open source onderdelen waarvan de source code niet meegeleverd is), zoals bv een IP stack, door open source varianten waarvan je de source hebt?

OSS is doorgaans veilig, maar geen absolute garantie voor veiligheid. Ook dat argument was al eerder gegeven. Maar dat negeer jij; jij hoeft jouw mening blijkbaar niet te onderbouwen, want jij weet hoe men in de (F)OSS wereld te werk gaat.

"(of open source onderdelen waarvan de source code niet meegeleverd is)"
Dan is het geen open source meer. Wazig verhaal dit. Zoiets van de klok horen luiden, maar niet weten waar de klepel hangt.

@R. de Kuijer
Jouw verhaal klopt bijna helemaal, maar aan het einde bedoelde je GNU/Hurd ;)

@Wieroeptmij: Het is hetzelfde als het verhaal over de nieuwe kleren van de Keijzer. Op een gegeven moment heeft een klein jongentje het door. Je zou theoretisch heel even van een exploit gebruik kunnen maken, zolang niemand anders er nog achter gekomen is.

@Technicus
"Dan is het geen open source meer. Wazig verhaal dit. Zoiets van de klok horen luiden, maar niet weten waar de klepel hangt."

Neem als voorbeeld LibreOffice. Dat is hier te downloaden:
https://nl.libreoffice.org/download/libreoffice-fris/

Ik heb het gedownload, maar heb gewoon de tweede link gebruikt (dus het pakket met de Nederlandse vertaling). Ik heb de versie zonder source code gepakt. Dat ik de source zelf niet heb, maakt het pakket nog geen closed source pakket, het blijft open source!

Hoeveel mensen downloaden de sources van open source software? Wie geeft je overigens de garantie dat de binary echt met de meegeleverde sources gemaakt is? Zelf compileren en linken levert altijd andere binaries op, dus checksums controleren helpt niet.

Ik heb de klok horen luiden, en weet zelfs hoe laat het is!

@Frank: Ah, duidelijk!, maar de manier waarop je het opschrijft, lijkt het alsof de maker van de software de source niet mee levert. Dat je zelf niet de source downloadt, dat is natuurlijk een keuze van jou en maakt het inderdaad niet opeens niet meer open source.

Als je zelf compileert tegen precies dezelfde libraries en op precies dezelfde omgeving krijg je precies dezelfde binary. De checksum zou hetzelfde moeten wezen. De betrouwbaarheid van een repository is wel een valide punt. Wie beschouw je als betrouwbaar en laat je toe je systeem up te daten?

GNU System

Richard Stallmann, de voorman van het GNU System

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×