Leven zonder digitale sporen

Versleutel je mail en mijd Albert Heijn

Frank Mulder maakt zijn computer NSA-proof en probeert een week lang te leven zonder digitale sporen na te laten. Niet pinnen, al je apps deleten, je naam veranderen in Van Bremmelbips. Het is nog een hele klus.

Medium privacybehouden3

Wachtwoord? Hm. Ik kijk een beetje beteuterd. Ik mail versleuteld, surf veilig, reis anoniem, bel prepaid, betaal niet meer met pinpas en heb er zelfs over zitten denken om zo’n aluminium boerka te kopen die een New Yorkse kunstenaar maakte om de warmtesensoren te misleiden van de drones die tegenwoordig boven Nederland vliegen. Maar de eerste noodzakelijke stap als je digitaal onzichtbaar wilt worden voor nsa-agenten of andere gluurders is toch echt gewoon een wachtwoord op je laptop. En dat heb ik niet.

‘Iedere gek heeft de afgelopen tijd gewoon je bestanden kunnen kopiëren’, zegt Douwe Schmidt hoofdschuddend. Hij leunt een beetje achterover. Schmidt, van een internationale hackersconferentie, is een welbespraakte jongeman met een rossig baardje en een capuchontrui. Hij weet alles van beveiliging, spionage en anoniem internetten. Mijn imaginaire boerka glijdt een stukje van m’n hoofd. Een oude laptop, mompel ik, iets met ‘gemakzucht’, lang geleden. Stom.

Maar goed, ik ben bij hem op bezoek om te leren. Ik ben namelijk bezig met een poging om een week lang onzichtbaar door het leven te gaan. Althans, te leven zonder digitale sporen na te laten die kunnen worden gebruikt door spionagediensten, marketeers, verzekeraars of andere nieuwsgierige data-aagjes. Niet al te moeilijk, dacht ik, met mijn ingebakken wantrouwen tegen alles wat met chipkaarten, smartphones en social media te maken heeft. Mijn oude, krakerige Nokia uit de vroege oudheid kan amper bellen, laat staan gps-gegevens delen of op internet delen hoe mijn ontbijt er vanochtend uitzag. Sommige mensen met meer ervaring vinden me naïef. Je wordt overal gevolgd. ‘Ik heb het opgegeven’, mailde Karin Spaink, een journalist die hier al heel lang mee bezig is. ‘Je kunt niet leven zonder stapels sporen achter te laten, de hele dag door, bij allerlei instanties.’

‘Zonder sporen? Dat gaat een kort artikeltje worden’, zegt Rejo Zenger, werkzaam voor Bits of Freedom, een organisatie die opkomt voor internetvrijheid. Hij somt uit zijn hoofd alle activiteiten op die digitaal worden gemonitord. ‘Het is bijna onmogelijk om je buitenshuis te bewegen zonder opgemerkt te worden. Elke interactie, zoals pinnen, wordt geregistreerd. Je moet ook je telefoon thuislaten.’ Het probleem is dat er veel meer wordt vastgelegd dan je denkt, en dat niet altijd doorzichtig is door wie. ‘Als je pint, is dat bekend bij de betreffende bank, maar ook bij je eigen bank, waarmee het wordt verrekend, en bovendien bij Equence, het bedrijf dat het betalingsverkeer regelt. En daarnaast word je bij de automaat altijd op de camera vastgelegd.’

De enige oplossing voor onderduikers zoals ik is dus: niet pinnen. ‘Of één keer per week, en dan de rest van de week contant betalen. Maar dan moet je ook reizen met een anonieme OV-kaart, en in de trein met een papieren kaartje.’ Doet Zenger dat zelf ook? ‘Natuurlijk, zolang het nog kan, zal ik kaartjes blijven kopen.’

Waarom zou je moeite doen om je sporen te minimaliseren? Omdat onze vrijheid in het geding is, vindt Zenger. ‘De discussie gaat voor mij niet over privacy, maar over vrijheid. Een vrij land betekent dat je kunt gaan en staan waar je wilt, zonder gevolgd te worden. Als je gevolgd wordt, ga je je namelijk anders gedragen. Bovendien zijn digitale sporen makkelijk verkeerd te interpreteren. Vroeg of laat worden er fouten gemaakt en worden er verkeerde conclusies over je getrokken.’

Het is dus alleen al voor jezelf nuttig om niet te veel sporen na te laten. ‘Dan kan het ook niet tegen je gebruikt worden. Vergeet niet dat het helemaal niet ondenkbaar is dat er een keer andere mensen aan de macht komen, die kwaad willen. Als je ziet hoe snel nieuwe partijen aan de macht kunnen komen… We moeten beseffen: wat we bouwen, gaat nooit meer weg. Er wordt zelden een database verwijderd. Terwijl het doel ervan in de loop van de tijd altijd verandert.’ Neem het Nationaal Parkeer Register. Daarin staan de kentekens van de auto’s die bij een parkeerautomaat stonden geparkeerd. Officieel worden die gegevens na acht weken verwijderd. Toch bleek deze zomer dat de Belastingdienst een kopietje heeft gekregen met alle gegevens uit 2012 om de gangen van leaserijders na te trekken.

Medium privacy2

In het kantoor van Bits of Freedom werken juristen en techneuten. Directeur Hans de Zwart legt uit waarom het thema zo belangrijk is. ‘We komen langzaam in een surveillancestaat te leven. Snowden heeft laten zien dat het nog verder is gevorderd dan wij dachten.’ Tegelijkertijd zijn steeds meer interacties digitaal gemedieerd. Zelfs boeken zijn digitaal, met programmaatjes die bijhouden tot welke bladzijde je bent gekomen.’ Wat moet je doen als je in deze barre tijden nog wél iets om je privacy geeft? ‘Je kunt beginnen bij basale datahygiëne voor je computer. Dat maakt het nét iets moeilijker om een dataprofiel van je te maken.’ Als ik wil weten wat basale datahygiëne inhoudt, moet ik volgende week maar naar de Cryptoparty komen.

Als ik de koude fabriekshal betreed is het feest net begonnen. In het midden staan zes terrasverwarmers opgesteld. Party is een groot woord voor een bijeenkomst waar de muziek bestaat uit het getik van een honderdtal toetsenborden, maar dat neemt niet weg dat het er wel knus uitziet. Er is geen koffie maar wel bier, van een of ander obscuur Duits merk.

Achterin, als een rij bodyguards, staat een peloton van vijftien hackers, gereed om de tafels langs te gaan om mensen te leren hoe je anoniem kunt surfen en je e-mail kunt versleutelen. Het zijn ‘goeie hackers’, wordt ons verteld, die ons gaan leren hoe je je tegen ongenode gasten op je laptop kunt beschermen. Allemaal jongens, overwegend met baardje of sjaal, goed voorbereid op winterse omstandigheden. Hun publiek bestaat uit lezers van De Correspondent, die de avond heeft georganiseerd. Stuk voor stuk mensen die zich sinds de nsa-onthullingen hebben gerealiseerd hoeveel overheden en diensten van hen weten. En die daar iets aan willen doen.

Cryptoparty’s worden wereldwijd georganiseerd. Het doel is niet om letterlijk onzichtbaar te worden voor de Amerikaanse spionagediensten, maar vooral om mensen bewust te maken van digitale veiligheid. Het is helemaal niet zo ingewikkeld om je e-mail te leren versleutelen, om maar wat te noemen. En anoniem internetten scheelt geld. Iedereen die wel eens op internet een vliegticket heeft gekocht, kent het fenomeen: als je een goedkoop ticket hebt gevonden, en vervolgens nog eens naar hetzelfde zoekt, is de aanbieding ineens een stuk minder aantrekkelijk! De aanbieder herkent je, concludeert dat je blijkbaar erg geïnteresseerd bent en schroeft zodoende de prijs op. Kortom: iedereen die goedkoop wil vliegen, of staatsgeheimen wil delen, is bij de Cryptoparty aan het juiste adres.

‘Ik vind versleuteling niet meer dan normaal’, zegt een vrouw. ‘Je doet een brief toch ook in een envelop? Niet iedereen hoeft die te lezen. Ik versleutel mijn mail wanneer het maar kan. Steeds meer vrienden doen mee, mensen beginnen het zelfs leuk te vinden.’ De vrouw is geen beginner. Ze doet een promotieonderzoek naar surveillancetechnieken op internet. ‘Tracking wordt gebruikt om datasets te maken van mensen en hun surfgedrag. Maar je weet nooit waar de data voor worden gebruikt. Het kan ook worden gebruikt om je persoonlijk een online lening aan te bieden.’

Er zijn talloze bedrijven die gericht zijn op het verzamelen van gegevens, alleen maar om door te verkopen. Dat kan heel subtiel, zoals in het geval van de overbekende like-knop van Facebook. Wanneer je op een site komt die die knop alleen maar toont, wordt dat al geregistreerd door Facebook. Dit is heel simpel te omzeilen, vertellen de hackers van de Cryptoparty. Download Firefox, installeer een plugin die scriptjes blokkeert en je draait al deze bedrijven collectief een loer.

Een van de ‘goeie hackers’ vanavond is Jurre van Bergen. ‘Een rasnerd’, zoals hij zelf zegt. Van Bergen is een rustig ogende jongen, waarschijnlijk van het type dat zijn schooltijd programmerend heeft doorgebracht. Hij werkt bij Greenhost, een hostingbedrijf dat gespecialiseerd is in online privacy. Daarnaast is hij actief als hacktivist. Zo werkt hij bij een club die servers draait voor Tor-verbindingen. Dat is een methode om websites te bekijken via een paar andere computers, zodat je anoniem kunt blijven. ‘Daarmee helpen we dissidenten in andere landen die worden gevolgd door hun regime. In veel landen is dat een van de weinige manieren om internet te gebruiken. In China wordt zelfs een Tor-verbinding na tien minuten verbroken, maar in Syrië werkt het goed. Trouwens, ook de aivd gebruikt het.’

Een telefoon met dertig apps maakt binnen drie kwartier – onaangeroerd op tafel – vijftienduizend keer verbinding

Ook Van Bergen probeert zo weinig mogelijk digitale sporen achter te laten. ‘Ik heb die mogelijkheid, dan moet ik die ook gebruiken. Ik hoef niet bekend te maken waar ik ben. Deze zomer is de aivd twee keer bij me aan de deur geweest. Die wilde met me kennis maken, omdat ik wel eens trainingen geef aan Syrische activisten. Ik heb mijn telefoon na die tijd een tijdje helemaal uit gehad.’ Nu staat-ie weer aan. ‘Tja, helaas. Zo’n apparaat is een tracking device die alles bijhoudt, tot aan je precieze locatie. Maar zonder smartphone leef je best wel in een sociaal isolement. Als je een leuk meisje tegenkomt, heb je toch Whatsapp nodig.’

Het is waar, de smartphone is een serieuze dataslurper. De meeste apps staan continu in verbinding met hun maker om hem alles te vertellen wat ze weten. Een documentaire op het Britse Channel 4 toonde vorige maand aan dat een telefoon met dertig populaire apps binnen drie kwartier – onaangeroerd op tafel – maar liefst vijftienduizend keer verbinding maakt met 97 servers over de wereld. De meeste apps hebben het recht om vanaf het moment van installatie alles te gebruiken wat ze op je telefoon vinden.

Tot diep in de nacht ben ik bezig. Voor mijn e-mail- en browserprogramma’s heb ik de noodzakelijke plugins geïnstalleerd, en ik weet hoe ik moet Torren. Ik kan mijn e-mail maskeren, zodat die er anders uitziet en niet naar mij terug te voeren is, en daar heb ik vervolgens weer een Facebook-account mee aangemaakt. Een geheime account, niet naar mij te herleiden. Als naam kies ik iets onverdachts. Jozefien van Bremmelbips. Niemand zal me herkennen! Maar nu? Met wie moet ik mailen en Facebooken? Mijn vrienden weten niet wie Jozefien is, en mijn mailsleutel kent Jozefien al helemaal niet.

Ik voel me net meneer Ter Beek uit het verhaal van Herman Finkers. Ter Beek leefde in Almelo in de tijd dat telefoonnummers nog uit één cijfer bestonden. De familie Ten Cate had telefoonnummer 1, Hofkes had 2, Bendien had 3, Smits had 4, Salomonson had 5, Palthe had 6, Hospers had 7, Ter Beek had een geheim nummer en Dijkers had 9. Met andere woorden: je hebt er niets aan om in je eentje anders te zijn. Tijd voor nieuwe vrienden dus, besluit ik, en het liefst vrienden die een wat meer dan gemiddelde aanleg voor paranoia hebben. Misschien biedt het eerder genoemde Greenhost wel uitkomst. Dat is immers, zoals ze zelf zeggen, ‘het enige hostingbedrijf dat geen gegevens logt’.

Medium privacybehouden1

In de trein van mijn woonplaats naar Amsterdam weet ik de blieper van de conducteur te omzeilen met de klassieke wc-truc. De laatste kilometer neem ik niet de metro, maar ga ik te voet de lange Weesperstraat af waar Greenhost kantoor houdt. Onderwijl moet ik denken aan Ahmed, een goede vriend van me die geen verblijfsvergunning heeft. Hij kán niet eens pinnen. Als hij naar een andere stad gaat, doet hij dat op de fiets. Hij leeft altijd in het geheim. Ik denk ook aan die oude kluizenaar waar iemand me over vertelde. Die heeft het wereldse leven gewoon vrijwillig ingeruild voor een hutje op de hei, of beter gezegd, in de Betuwe. Is wel zo consequent. Ik loop een beetje kritisch te doen op het systeem maar hang ondertussen wel lekker de toffe randstedeling uit die vindt dat hij recht heeft op gratis en ook nog geheim. Ik ga die kluizenaar eens opzoeken, besluit ik.

Maar goed, eerst Greenhost. Als ik binnenkom, word ik ontvangen door Douwe Schmidt. Het pand is van Free Press Unlimited, zegt hij, dat is een club die journalisten uit Darfur, Syrië en andere conflictgebieden helpt om onafhankelijk en geheim te opereren. Schmidt is ook degene die me er fijntjes op wijst dat elke beveiliging zinloos is als ik geen wachtwoord heb. Desondanks wil hij best een keer versleuteld met me e-mailen. Dat is aardig.

Een vriend van Jozefien kan hij echter niet worden. Daar doet hij niet aan. ‘Facebook is evil! Het is een van de slechtste dingen die de mensheid ooit gemaakt heeft. Nee, ik vind niet dat ik achterloop. Ik vind dat je achterloopt als je nog wel op Facebook zit.’ Waarom? Schmidt, die niet alleen hacktivist is maar ook filosoof, heeft er goed over nagedacht. ‘Omdat het de maatschappij voorspelbaar maakt. Een maatschappij die voorspelbaar is, is controleerbaar. En een maatschappij die controleerbaar is, kan niet democratisch zijn. Ik hoed me voor partijen die veel macht hebben zonder tegenmacht. Macht corrumpeert. Facebook heeft Instagram gekocht, een applicatie waarmee je makkelijk foto’s kunt delen. Net voordat het veel waard werd. Ze wisten uit hun data dat het een enorme hype ging worden. Ze weten waarschijnlijk ook als eerste wie de volgende verkiezingen gaat winnen. Ik vind het onbegrijpelijk dat we internet, een techniek die het in zich heeft om de hele wereld toegang te geven tot kennis, aan het ombouwen zijn tot één grote surveillancemachine.’

Schmidt schudt zijn hoofd als hij denkt aan de kritiekloze manier waarop de goegemeente alles omarmt wat maar nieuw is. ‘Over een paar jaar komen hier de Google-brillen op de markt waarmee je foto’s kunt maken door twee keer met je ogen te knipperen. Ik houd mijn hart vast.’

Als individu ga je steeds meer in een coconnetje leven, zegt Schmidt. ‘De Groene Amsterdammer is voor alle lezers hetzelfde. Maar digitale media zijn dat niet. Die kunnen je individueel targeten. Als je op een site komt om een auto te kopen, krijg je een andere auto te zien of een andere prijs dan iemand anders. Het probleem is dat totaal niet transparant is welke keuzes achter dat soort systemen zitten.’

Schmidt vindt het helemaal niet onzinnig om je digitale sporen tot een minimum te beperken. ‘Maar dat lukt niet in één keer. Het is een project. Ik zie het als ambacht. Digitale veiligheid, onafhankelijk zijn van commerciële partijen die jouw data gebruiken, is een ambacht. Zoals het ook een ambacht is om zelf een stopcontact te kunnen repareren of prei te verbouwen. Daar moet je over praten, feestjes omheen organiseren zoals cryptoparty’s. Gewoon, met je buren rond de computer, met koffie en taart erbij. Ik doe het regelmatig.’ Wat hij overigens ook regelmatig doet is treinkaartjes kopen. Dat zijn er met Rejo Zenger, mijn oma en ik dus in elk geval al vier.

De arts kijkt me de volgende ochtend ernstig aan. Ik zit met mijn dochtertje op het consultatiebureau. Ze is traag met kijken, zegt de arts. Te traag. De assistente vult het braaf in, in het alwetende lopen-uw-kindertjes-wel-op-schema-volgsysteem. Ik wil daar een bijdehante vraag over stellen, maar op dat moment buigt de dokter zich naar me toe. ‘U moet snel naar de oogarts’, zegt ze indringend. ‘In deze fase van de ontwikkeling telt elke dag.’ Ik zeg maar niks over dat volgsysteem. Ik wil toch ook het beste voor mijn kind?

Dat mijn dochtertje thuis weer vrolijk rondkijkt, weet het systeem niet. Wat het wel weet, is dat haar broertje op de kleuterschool vijftien cijfers heeft, elke drie weken geactualiseerd, voor vijftien ‘ontwikkelingslijnen’, waaronder motoriek en eigenwaarde, waar hij dan een 5,8 voor heeft, tegenover het gemiddelde van 6,7 in Nederland, of vice versa, en dat dat een vooruitgang is van 0,2 ten opzichte van de vorige keer, wat dan wel weer normaal is. Ik kan er niets tegen doen. Dit zijn systemen die aannames maken over wat goed en fout is, en wat wel of niet risicovol is, maar die aannames ken ik niet.

Dat Eneco, als ik drie maanden de elektriciteitsrekening niet betaal, mijn naam doorgeeft aan de gemeente, die vervolgens een welzijnswerker langs stuurt om te vragen of ik behoefte heb aan financiële hulpverlening, daar kan ik ook niets tegen doen. Ik kan alleen maar zorgen dat ik altijd netjes mijn rekeningen openmaak. En dat mijn zoontje aan zijn eigenwaarde werkt. En dat mijn dochtertje dokters aankijkt.

Daarbij vergeleken is niet meer pinnen nog de eenvoudigste opgave. Ik neem me voor om de hele Albert Heijn voortaan links te laten liggen, met z’n zelfscanners zodat je niet meer langs de kassa hoeft, en z’n bonuskaarten die koopgegevens drie jaar lang mogen bewaren. Nog afgezien van de experimenten die de winkel doet om via ons telefoonsignaal onze route door de winkel te gaan analyseren. Het net sluit zich. Over een tijdje kun je niet meer reizen zonder OV-chipkaart. Camera’s boven de snelweg registreren je kenteken. Gezichtsherkenning is nog niet zo goed, maar ook dat is een kwestie van tijd. Hoe kom ik dan nog ongezien bij de kluizenaar, de laatste etappe van mijn zoektocht? Ik kijk op reportacam.nl en cameralocaties.nl en ontdek dat ik in elk geval alle binnensteden en winkelcentra moet vermijden. Eenmaal aangekomen op het station ben ik alsnog af.

‘Facebook is evil, een van de slechtste dingen die de mensheid ooit gemaakt heeft. Je loopt achter als je er nog op zit’

En zo lift ik de stad uit, op een koude, donkere decembernamiddag. De controlemaatschappij laat ik achter me, evenals mijn telefoon, mijn pinpas en niet te vergeten de Tomtom die altijd zo’n fijn gevoel geeft met z’n ‘verwachte aankomsttijd’. Ik heb twee lifts nodig, plus een half uurtje lopen over een beregende Waaldijk. Ik voel me Pluk van de Petteflet die aan het eind van zijn queeste uitkwam bij de Kluizelaar met toverbramen, aan de overzijde van de Waas. Hij lijkt er verdacht veel op, mijn kluizelaar in bramenland. Daar woont hij al twintig jaar, in een tuin van iemand anders, in een hut van nog geen twee bij drie. Hij bidt en hij werkt. Het dorp, waar iedereen hem kent, komt hij niet uit. Geld, daar doet hij niet aan. Hij leeft van wat hem wordt gegeven.

Ik vraag me stiekem af of hij niet wat meer eigen ruimte zou willen, wat meer privacy, maar ik besef dat ik precies de paradox van onze tijd te pakken heb.

Ik blijf de hele middag. Een kluizenaar heeft misschien geen klok, maar wel tijd. En hete aanmaakkoffie, die we drinken terwijl ik mijn natgeregende voeten bij de hete kachel houd. Zijn woorden heeft hij liever niet op papier, wie ze wil weten, mag langskomen. Om me heen liggen boeken over Russische spiritualiteit. Een kleine kaars beschijnt maar één kant van zijn gerimpelde, bebaarde gezicht. Ik waan me op de geheimzinnigste bladzijden van Dostojevski, met zijn heilige dwazen en kluizenaars, en bedenk dat hoe smarter de wereld om ons heen wordt, hoe meer we de dwazen moeten koesteren die we nog kunnen vinden.


Hoe maak je je computer NSA-proof?

Datahygiëne is een ambacht. Met deze eenvoudige maatregelen ben je al een eind op weg om het aantal digitale sporen dat je nalaat te verminderen:

Internet

_._Installeer Firefox. Het is een open source-browser, zonder geheime datalekken en met een grote hoeveelheid add-ons die je achteraf kunt installeren.

_._Handige add-ons, die ervoor zorgen dat websites geen gegevens over je kunnen verzamelen, zijn bijvoorbeeld AdBlock, Ghostery en Disconnect. Met die laatste kun je ook googelen zonder je IP-adres prijs te geven.

_._De standaard zoekbalk in Firefox is Google. Kies voor een zoekmachine die geen gegevens bijhoudt, zoals Duckduckgo.

_._Gebruik een versleutelde verbinding als je informatie uitwisselt met een website. Je ziet aan het prefix https (in plaats van http) dat de verbinding veilig is. Installeer de add-on HTTPS Everywhere om automatisch te versleutelen wanneer dat maar mogelijk is.

_._Surf via een VPN, oftewel een Virtual Private Network. Dan is voor buitenstaanders niet te zien dat jij een bepaalde website bezoekt. Gebruik hiervoor het netwerk van je bedrijf of universiteit, sluit een abonnement af, of zet zelf een VPN op.

_._Installeer de Tor-browser om je internetverkeer via een aantal andere computers te laten verlopen. Zo blijf je echt anoniem.

E-mail

_._Stap over van een Amerikaanse e-mailprovider naar een Nederlandse, of eentje in een land waar de privacywetgeving nog beter is.

_._Versleutel je e-mailberichten. Dat kan bij Outlook of Thunderbird eenvoudig met een plugin genaamd PGP. Ook de ontvanger heeft PGP nodig. Je codeert je bericht met de sleutel van de ontvanger, die je vrij op internet kunt vinden. Die codering kan echter alleen worden gelezen met een tweede, private sleutel, die alleen de ontvanger heeft.

_._Stuur een ouderwetse, handgeschreven brief. Er zijn drie ministers voor nodig om die te mogen openen.


Voor uitgebreide informatie over veilig computeren, van chatten tot social media en niet te vergeten het kiezen van veilige wachtwoorden, kijk op prism-break.org of op de site van Bits of Freedom.