Categorie: nieuws

Book: Information security for journalists – V1.1

With journalist Silkie Carlo I have co-authored a ‘handbook’ on practical information security for journalists commissioned by the UK Centre for Investigative Journalism. The CIJ handbook ‘Information Security for Journalists‘ was launched at the CIJ Summer School 2014 in London. The book will be forever freely available in a range of electronic formats – see download links below. In the four months after the initial publication in we have rewritten certain parts based on feedback from the initial readers and updated other parts to stay current with the latest software changes. Many thanks to all who gave us valuable feedback.

Altough this book was originally written for investigative journalists most of the described concepts and technical solutions are just as usable by lawyers or advisors protecting communications with their clients, doctors protecting medical privacy and of course politicians, activists or anyone else who engages powerful state and corporate organisations. Really, we’re all journalists now. Inside the book is a mailadres for getting in touch, please let us know how your are using it and what we can do better.

If you have reasons to suspect your online movements are already under some form of surveilance you should not download this book using a computer or netwpork associated with your identity (such as your home or work systems).

Several participants of journalist training programs have written articles: Information security for journalists: staying secure online by Alastair Reid (from journalism.co.uk) – A day with the surveillance expert by Jason Murdock, Offtherecord.inValentina Novak wrote this interview after a lecture & workshop in Slovenia last November.

On Tuesday July 8th 2014 I was once more a guest on Max Keiser’s programme ‘The Keiser Report‘ to discuss the book. Video here on my blog, here on RT site and here on Youtube.

From the ‘backflap’ of the book:

This handbook is a very important practical tool for journalists and it is of particular importance to investigative reporters. For the first time journalists are now aware that virtually every electronic communication we make or receive is being recorded, stored and subject to analysis and action. As this surveillance is being conducted in secret, without scrutiny, transparency or any realistic form of accountability, our sources, our stories and our professional work itself is under threat.

Journalists were dismayed by the realisation that almost all digital communications are now being recorded; for them and their sources there are real risks and now danger in their work. This danger does not just worry reporters, whistleblowers and other sources, but all those who hear privileged information and whose privacy is considered fundamental to the courts, the practice of law, and justice in all of its meanings.  Lawyers and accountants and their clients are now without the protection of client confidentiality, and are vulnerable to the secret surveillance of an increasingly authoritarian and unaccountable state.

After knowing how Snowden’s disclosures were safely presented to the public, we know that there are real safeguards and counter measures available.  The CIJ’s latest handbook, Information Security for Journalists, lays out the most effective means of keeping your work private and safe from spying.  It explains how to write safely, how to think about security and how to safely receive, store and send information that a government or powerful corporation may be keen for you not to know, to have or to share.  To ensure your privacy and the safety of your sources, Information Security for Journalists will help you to make your communications indecipherable, untraceable and anonymous.

When planning work that must remain private and confidential it is important to carefully assess the level of threat that may be associated with it.   Shop floor maintenance, building site health and safety, restaurant hygiene, and hospital cleaning may be areas where the precautions and methods described here are unnecessary or might act to complicate and slow down your work. In these cases a phone call made or received away from work or home to a source or a reporter, may ensure sufficient protection at least in making an initial contact.

People working or reporting on national security, the military, intelligence, nuclear affairs, or at high levels of the state and in major corporations should probably consider this handbook as very important to their safety.

Although this handbook is largely about how to use your computer, you don’t need to have a computer science degree to use it. Its authors, and other experts advising on the project have worked to ensure its practical accuracy and usability.  The authors expect that after six months, updates and some changes will be required.  Please return to download the latest edition. You will not want to download this on a machine or network identified with or close to your employer or your source or your home.

Gavin MacFadyen, Director of the Centre for Investigative Journalism

Download links for the book in PDF for printing on A4 format, ePub (ebook for iPhone, iPad & Android devices, MOBI & AWZ3 for Kindle eReaders, LIT for older eReaders and FB2 for Samsung Bada and other Java eReaders. For easy management of ebook collections I strongly recomend the free and Free Software Calibre application. The 1-page instruction leaflet for starting Tails USB-drives here. The entire book is also available as a set of webpages for reading on your laptop as your set it up. Slides from the Summer School 2014 lectures on information security are here in PDF and PPT.

This handbook is being translated into Arabic, Chinese, French, German, Portugese, Spanish, and other languages.

CC BY-NC-SA

Creative Commons (CC BY-NC-SA 4.0). Licence for humans. Licence for lawyers.


RT.com interview on ‘secure’ smartphone apps

On Friday October 17th I was interviewed by Russia Today on the security of ‘secure’ smartphone apps that turn out to not be so secure. After 18 months of Snowden revelations that should be not news but for the Guardian newspaper it is.


Bankrupting the NSA with Tails & defeating TTIP

On Tuesday July 8th 2014 I was once more a guest on Max Keiser’s programme ‘The Keiser Report‘. Max is a former Wall Street trader who foresaw the current economic crisis a decade ago. On his show he lets rip on the insane financial system and allows his guests to do the same.

Max asked me about the handbook ‘Information Security for Journalists‘ I co-authored with journalist Silkie Carlo. The tools and methods it describes can help is slowing down the NSA by increasing the cost of surveiling individuals by a factor of about 1 million. We also discussed the latest US-inspired attempt-at-corporate-takeover-disquised-as-trade-agreement known as TTIP. I think this wil be defeated in the same way as its smaller precursors ACTA and SOPA before it because it is not in Europe’s interest. This will require some serious action on behalf of Europeans since our politicians seem a tad slow in recognising the patterns here.

Full Keiserreport episode here on RT site and here on Youtube.


Book: Information security for journalists

With journalist Silkie Carlo I have co-authored a ‘handbook’ on practical information security for journalists commissioned by the UK Centre for Investigative Journalism. The CIJ handbook ‘Information Security for Journalists‘ was launched at the CIJ Summer School 2014 last weekend in London. The book will be freely available in electronic format and in print after the summer. Just like last year I gave lectures (slides) and ran a hands-on workshop to get journalists ‘tooled-up‘ so they can better protect their sources, themselves and their stories in a post-Snowden world.

From the ‘backflap’ of the book:

This handbook is a very important practical tool for journalists. And it is of particular importance to investigative reporters. For the first time journalists are now aware that virtually every electronic communication we make or receive is being recorded, stored and subject to analysis and action. As this surveillance is being conducted in secret, without scrutiny, transparency or any realistic form of accountability, our sources, our stories and our professional work itself is under threat.

After Snowden’s disclosures we know that there are real safeguards and real counter measures available. The CIJ’s latest handbook, Information Security for Journalists, lays out the most effective means of keeping your work private and safe from spying. It explains how to write safely, how to think about security and how to safely receive, store and send information that a government or powerful corporation may be keen for you not to know, to have or to share. To ensure your privacy and the safety of your sources, Information Security for Journalists will help you to make your communications indecipherable, untraceable and anonymous.

Although this handbook is largely about how to use your computer, you don’t need to have a computer science degree to use it. Its authors, and the experts advising the project are ensuring its practical accuracy and usability, and work with the latest technology.

Gavin MacFadyen,
Director of the Centre for Investigative Journalism

This handbook is being translated into Arabic, Chinese, French, German, Portugese, Spanish, and other languages

On Tuesday July 8th 2014 I was once more a guest on Max Keiser’s programme ‘The Keiser Report‘ to discuss the book. Video here on my blog, here on RT site and here on Youtube.


De andere IT van een ander Nederland

Onderstaande column is het vervolg op een artikel dat ik schreef in de eerste week van het Snowden/NSA schandaal in juni 2013. Waar dat artikel de concrete problemen beschreef beschrijf ik hieronder de andere keuzen de gemaakt hadden kunnen worden en nog steeds gemaakt worden en de voordelen voor Nederland en Europa ten opzicht van het huidige ‘beleid’.

Ook gepubliceerd in het Engels op Consortium News en de Huffington Post

De afgelopen 10-15 jaar heeft de IT in Nederland zich niet ontwikkeld in lijn met publieke belangen en het garanderen van grondrechten van de burgers van Nederland. Ook zijn er enorme kansen op het gebied van economische ontwikkeling en werkgelegenheid gemist. Nederland besteedt veel IT uit aan buitenlandse partijen wat niet alleen tientallen miljarden Euro’s (1-2% BNP) aan lokale economische groei/werkgelegenheid kost maar de samenleving ook de-facto uitlevert aan buitenlandse spionage op bestuurlijke instanties, bedrijfsleven en alle individuele burgers. Hoewel voor deze risico’s al ruim 15 jaar werd gewaarschuwd is dit laatste aspect het afgelopen jaar door de onthullingen van Edward Snowden onweerlegbaar en zijn volle omvang aangetoond. 12 maanden later is er in Nederland geen spoor van een reactie op deze problematiek.

Het had ook anders gekund…

In de eerste 21 maanden van de 21ste eeuw barstte de dotcom bubbel en storten er drie wolkenkrabbers in elkaar in New York. Tussen deze twee gebeurtenissen in verscheen in de zomer van 2001 een grotendeels vergeten rapport aan het Europese Parlement dat de schaal en impact van elektronische spionage beschreef op Europa door de VS en haar ‘Echelon’ partners (Canada, het VK, Australië en Nieuw Zeeland). Naast een gedetailleerde probleem-analyse gaf het rapport ook concrete voorbeelden van beleidsmaatregelen op IT gebied die overheden konden nemen om buitenlandse inlichtingendiensten het bespioneren van Europa een stuk moeilijker te maken.

In dezelfde periode had de Amerikaanse overheid had een van de grootste anti-trust zaken in haar geschiedenis, tegen Microsoft, gewonnen en de EU was naar aanleiding van deze overwinning een vergelijkbare zaak gestart die ook tot een veroordeling en de hoogste boete in de geschiedenis van de EU zou leiden.

Het was tegen deze achtergrond dat het nadenken over de strategische versus operationele aspecten van IT in de publieke sector veranderde. Het rapport over Echelon maakte duidelijk dat het reduceren van IT tot een instrumentele zaak rampzalige consequenties had op de soevereiniteit van Europese staten te opzichte van, met name, de VS (en wellicht in de toekomst China, andere technisch capabele landen of niet-statelijke organisaties). Ook de economische gevolgen van industriële spionage tegen bedrijven werd een punt van zorg voor de overheid.

IT beleid van de overheid diende gebaseerd te worden op de principes van een democratische en soevereine staat. Dit hield niet alleen een heel ander beleid in op het gebied van selectie en inkoop van technologie maar ook van de balans tussen uitbesteden versus zelf uitvoeren en het vereisen van een hoge mate van transparantie van leveranciers. Open data-standaarden voor publieke informatie werden verplicht en op non-compliance stonden zware sancties (hoewel publieke ridiculisering vanaf 2009 meestal het effectiefste was). De nieuwe kaders voor publieke ICT leidde tot een nieuwe markt voor dienstverleners die oplossingen realiseerden op basis van z.g. ‘Vrije Software‘ (eerder ook wel bekend als ‘Open Source’). De hoge mate van transparantie zowel in projectvoering als in de techniek zelf hield alle partijen scherp en maakte hergebruik van systemen de norm. Bestedingen aan software daalde scherp en de budgetruimte die hierdoor vrijkwam werd ingezet voor het in dienst nemen van hooggekwalificeerde IT-ers onder arbeidsvoorwaarden die konden concurreren met het aanbod van marktpartijen.

De combinatie van projectmatige- en technische transparantie en diepgaande kennis binnen de overheid scherpte de markt voor softwareontwikkeling en IT-dienstverlening aan. Kwaliteit steeg gestaag terwijl prijzen permanent onder druk bleven staan. Aangezien alle aanbieders van diensten volledige toegang hadden tot alle in de overheid gebruikte software (enkele uitzonderingen bij defensie, justitie en binnenlandse zaken daargelaten) ontstond er een zeer open speelveld waar alle aanbieders vervangbaar waren (en zij die onder de maat presteerden werden dan ook met enige regelmaat vervangen).

Daarnaast werd computer- en IT onderwijs van kleuterschool tot universitaire studies informatica grondig herzien. Basisbegrip over de werking van computers en informatienetwerken werd net zo normaal als lezen en schrijven. Vanaf 2006 leerde iedere 14-jarige op school hoe je email kon versleutelen en wat de nadelen waren van het gebruik van software waarvan de broncodes niet gepubliceerd zijn. Door dit bewustzijn bij jongeren verliep in Nederland (en vele andere delen van Europa) de adoptie van sociale media heel anders dan in de VS. Jongeren hadden niet alleen ‘knoppen handigheid’ maar ook echt inzicht in wat er me je informatie gebeurt als je een bericht verstuurd of een foto upload naar websites. Omdat voorzichtig omgaan met je privégegevens cool was werd het sociale-media landschap niet gedomineerd door een handvol Amerikaanse bedrijven maar was er een landschap van gefedereerde diensten zoals Diaspora die onderling concurreerden maar ook compatibel waren op dezelfde wijze zoals dat met email het geval is. Deze diensten waren soms enigszins gecentraliseerd maar net zo vaak volledig gedecentraliseerd en draaiden op micro-servers (zoal de in de UK ontwikkelde RaspberryPi van 35 euro) bij veel mensen thuis.

Door het hoge privacy en veiligheids- bewustzijn had online criminaliteit niet veel vat op Nederland. Vrijwel niemand was naïef genoeg om in te loggen op .ru domeinen naar aanleiding van een fake mail die van hun bank lijkt te komen. En het gebruik van enige ander systeem dan een door de Nederlandse banken sector op maat gemaakte beveiligde USB-stick was al vanzelfsprekend geaccepteerd en ook technisch onmogelijk gemaakt.

Dit is de IT die Nederland had kunnen hebben als er andere keuzes waren gemaakt de afgelopen 12 jaar. Alle informatie en technologie voor deze keuzes was beschikbaar in de eerste maanden van deze eeuw. Doordat er geen- of andere keuzes zijn gemaakt heeft Nederland tientallen miljarden besteedt aan software licenties en diensten van Amerikaanse bedrijven terwijl er goedkopere (vaak gratis) en betere alternatieven bestonden die niet als spionageplatform ingezet kunnen worden. Deze tientallen miljarden zijn niet geïnvesteerd in Nederlandse of Europese dienstverleners, opleiding, onderwijs en R&D. De economische impact daarvan is mogelijk een veelvoud van de 50-70 miljard die in Nederland alleen al aan software licenties is uitgegeven.

Nederland heeft nog steeds alles in huis om alsnog andere keuzes te maken. Hoe laat het ook is en hoe vele tientallen miljarden er ook verkwist zijn het is nog niet te laat om een andere koers in te zetten. Vandaag kan de eerste dag zijn van zo’n nieuwe koers. Concrete voorbeelden in Nederland, Duitsland, Frankrijk en Spanje laten zien dat dit niet alleen mogelijk is maar vrijwel direct leidt tot enorme besparingen, hogere veiligheid en onafhankelijkheid van buitenlandse partijen in toekomstig IT-beleid.

Het is niet vaak dat het herwinnen van nationale soevereiniteit en het herstel van burgerrechten tegelijkertijd kan werken als een nationaal innovatie- en werkgelegenheidsprogramma. Het enige dat ontbreekt is de politieke wil om de bedrijven en overheden die ons bespioneren niet langer daarvoor te belonen met ons geld en onze informatie. We hebben niets te verliezen behalve onze NSA-ketenen.


Sidekick BNR digitaal

Op woensdag 4 juni was ik de sidekick bij BNR digitaal en mocht ik Herbert Blankenstein ondersteunen.

We spraken over HHB-tv, een nieuwe methode van TV-uitzendingen met allerlei additioneel oproepbare informatie/content stromen waar de NOS meer aan het expertimenteren is. Verder over het eenvoudig inbreken en overnemen van de computernetwerken die de meeste moderne auto’s besturen met mogelijk specaculaire gevolgen. Als laatste over Nederlands bedrijf Selphee de makers van een nieuwe app die foto’s en korter video’s tot een enkel media-object maakt dat eenvoudig via social media te delen is. Ben zelf geen smartphone gebruiker maar nieuwe mediavormen leiden altijd tot onverwachte nieuwe toepassinge en kunstvormen. Ben beniewd wat er de komende maanden gemaakt gaar worden.

Luister hier de BNR stream of de MP3.

De volledige video van Motherboard over slecht beveiligde auto’s hier:


Kerckhoffs lecture: what Europe needs to do after Snowden

At 12:30 on Friday 13th of June 2014 I will give the Kerckhoff Lecture at the Radboud Universities Kerckhoffs Institute for information security in Nijmegen in room HG00.068. For an audience of students and faculty who probably know more about the maths of cryptography than myself I will talk about the tech-policy implications of the Snowden revelations and why Europe has been doing so very, very little.

Imagine a whistleblower releasing detailed documentary proof of a group of organisations that dump large volumes of toxic mixed chemical waste in European rivers and lakes. The documents describe in detail how often (daily) and how toxic (very). Now imagine journalists, civic organisations and elected representatives all starting furious discussions about how bad this is and what the possible horrible consequences theoretically could be for european citizens.

Now imagine that this debate goes on and on for months as slowly more documentation is published showing ever more detailed descriptions of the various compounds in the toxic chemicals and what rivers and lakes precisely they are being dumped into.

Now imagine that no journalist, civic organisation or elected representative comes up with a single concrete and actionable proposal to stop the actual and ongoing toxic dumping or to prevent future organisations getting into the habit of illegal dumping.

Imagine also that both governments and public-sector organisations, including the ones responsable for health- and environmental matters continue not only to procure products and services from above organisations but also continue to give them the licences they need to operate.

Imagine that this goes on for month after month after month for a full year.

Now Imagine it turns out that the Government not only already knew about this 13 years before but also had a detailed report on practical solutions to clean up the mess and prevent future poisoning.

Imagine that.

Sounds incredible does it not?

Except this is precisely how Europe has been not-dealing with the revelations by Edward Snowden on industrialised mass-surveillance of our government & civic institutions, companies and citizens.

The EU has spent most of a year holding meetings and hearings to ‘understand’ the problem but has not produced a single word on what concrete actions could regain the right to privacy for its citizens now. This while a July 2001 report on Echelon, the NSA/GCHQ precursor program to the current alphabet soup, explained the scope of the problem of electronic dragnet surveillance and made practical and detailed recomendations that would have protected Europeans and their institutions had they been implemented. Currently only Germany has seen the beginnings of policies that will offer some protection for its citizens.

On Friday the 13th of June I will discuss the full scope of the NSA surveillance problem, the available technological and policy solutions and some suggestions about why they have not and are not being implemented (or even discussed).

Slides from lecture are here in ODF and PDF