Signal of Niet Signal
Onlangs publiceerde Global Info een stuk van Yasha Levine over de communicatiesoftware Signal. Het is helaas een tendentieus en suggestief stuk. Ik heb geen andere teksten van Levine gelezen, maar dit stuk suggereert zonder dat met zoveel woorden te zeggen dat Signal gebruikt wordt door de Amerikaanse regering om af te luisteren, zonder daarvoor enig bewijs aan te dragen, en staat vol met irrelevante feiten maar laat cruciale feiten juist weg.
(Door Isaac N. Ternet)
Zoals een bron die de auteur zelf aandraagt suggereert: het lijkt of deze persoon een appeltje te schillen heeft met Signal, en dat doet door mensen onterecht angst aan te praten voor wat volgens velen een grote verbetering is op het gebied van veilige online communicatie. Of misschien heeft hij gewoon een boek te verkopen.
De cruciale feiten die de auteur weglaat zijn de volgende. Signal is vrije software: iedereen staat het volledig vrij om de broncode van Signal te downloaden, deze te bestuderen en vervolgens zelf vanuit de broncode de Signal app te bouwen. Is dat eenvoudig? Nee. Maar software is ook geen magie. Er zijn wereldwijd duizenden mensen met de vaardigheden om de broncode van Signal te bestuderen. En zo’n ‘audit’ is daadwerkelijk gebeurd, en dat kan iedereen opzoeken en controleren. Als iemand in een veelgebruikte app als Signal een geheim achterdeurtje zou vinden van de CIA, zou dat deze persoon in één klap wereldberoemd maken in de softwarewereld en zou deze persoon, voorzover die dat nog niet heeft, een mooie baan aan een universiteit of bij een technologiebedrijf kunnen krijgen. Genoeg motivatie dus, en toch is het niet gebeurd. Dat is de beste indicatie die je kunt hebben om te stellen dat zo’n achterdeurtje er niet is. Dit is cruciale informatie die de auteur bewust niet vermeldt, want het zou zijn stuk een stuk minden spannend maken.
Let op: niemand, zeker Signal zelf niet, claimt dat Signal onkwetsbaar is, en het zou zeker kunnen dat ooit een bug wordt ontdekt die Signal kwetsbaar maakt. Maar een bewust ingebouwd achterdeurtje (‘backdoor’) is iets anders dan alleen een kwetsbaarheid (‘bug’). De auteur suggereert dat Signal in ruil voor subsidie bewust een backdoor voor de Amerikaanse overheid heeft ingebouwd: “Als de super crypto-technologie van Signal echt een bedreiging zou vormen voor de FBI en voor de macht van onze oligarchen, waarom zou de FBI dan de oprichting ervan financieren? En waarom zouden Facebook en Google zich haasten om de superveilige protocollen over te nemen? Hmmmmm…”. Dat is nogal een suggestie.
Dan de financiering. Is dat irrelevant? Nee, helemaal niet. Het is terecht dat Levine de aandacht vestigt op de financiering van Tor en Signal, en het zou beter zijn als ze niet door de staat gefinancierd zouden zijn. Maar is het persé goed of slecht om financiering van de staat aan de nemen voor een softwareproject? Daar valt een hoop over te zeggen. In ieder geval durf ik de stelling aan dat behalve Signal, talloze organisaties en initiatieven die tegen de belangen van de staat ingaan, kritisch op de staat zijn of radicaal zijn, toch direct of indirect geld van de staat krijgen. Cultuursubsidies, vrijwilligers met bijstandsuitkeringen, noem maar op. De staat is helaas immens en alomtegenwoordig. Ben je dan meteen corrupt? De auteur suggereert van wel. Ik denk dat het complexer ligt. Maar of er een een geheim achterdeurtje in broncode zit is niet complex: het antwoord is Ja of Nee. En dat je subsidie krijgt, is daar absoluut geen bewijs voor.
Wie denkt dat de CIA nooit subsidie zou geven zonder een achterdeurtje te eisen, heeft nog nooit een krant gelezen. De CIA is een enorme organisatie ter grootte van de grootste nederlandse ministeries, met een budget van meer dan $40 miljard. Dat soort organisaties hebben talloze verschillende prioriteiten en afdelingen. Is er een afdeling die een achterdeurtje in Signal wil? Daar kom ik nog op terug. Is er een afdeling die graag wil dat dissidenten in landen die de VS als vijand ziet, veilig kunnen communiceren? Ongetwijfeld: die dissidenten doen waardevol werk voor de CIA door de staat in die landen lastig te vallen, en daarvoor moeten ze eenvoudig en veilig met elkaar kunnen communiceren. Oplossing: Signal.
Valt er dan niets op Signal af te dingen? Natuurlijk wel. Waar vooral kritiek op is, is het feit dat de Signal software afhankelijk is van servers die centraal beheerd worden door de organisatie achter Signal. Wat daar gebeurt weten we niet, net als bij andere gecentraliseerde applicaties. Maar in de broncode kunnen we wel zien dat Signal zo is ontworpen dat de servers maar heel weinig informatie over ons hebben, in tégenstelling tot hoe andere applicaties ontworpen zijn. Ja, het zou beter zijn als je ook je eigen Signal server zou kunnen draaien (‘federatie’). Hoewel het technisch mogelijk is om een chat-dienst zo op te zetten, maakt dat het wel technisch en organisatorisch complexer, en geeft het een grotere kans op storingen. Grote bedrijven hebben helaas een bepaald verwachtingspatroon voor software geschapen bij het grote publiek: het is ‘magisch’ altijd en overal beschikbaar, en werkt altijd. Als je daar niet aan voldoet, haken direct veel ongeinteresseerde of technisch minder geavanceerde gebruikers af. Signal zou dan net als IRC en PGP een applicatie voor nerds zijn. En Signal verdient er enorm veel lof voor, dat zij een applicatie hebben gebouwd die wél veilig en privacyvriendelijk is, maar niet alleen voor nerds, maar voor het grote publiek.
Ook is het goed om in het algemeen kritisch te zijn op technologie. Gaan we dankzij Signal of andere sofware de revolutie winnen? Nee, wie weet leidt het zelfs alleen maar af. Is het slecht om de godganse dag irrelevante berichten te krijgen? Ja. En er is nog veel meer terechte kritiek. Maar dat is niet kritiek die meer op Signal dan op andere chatapps van toepassing is.
Als laatste nog de vraag: wil de CIA wel een achterdeurtje in Signal? Veel radicale activisten denken dat geheime diensten de hele tijd bezig zijn met afluisteren: letterlijk meeluisteren met microfoontjes, of dus met chats meekijken. Ik denk dat het tegenwoordig genuanceerder ligt. Ten eerste is afluisteren behoorlijk arbeidsintensief: al die informatie moet ook nog eens beluisterd en geanalyseerd worden. Dus dat doe je niet zomaar bij iedereen. Ten tweede is er de laatste ~10 jaar een enorm gegroeide bron van informatie. Want veel mensen publiceren bewust en onbewust gigantisch veel informatie over zichzelf en hun vrienden en kennissen op sociale media en op andere manieren. Het bewijs daarvoor is bijvoorbeeld het werk van een collectief als Bellingcat, maar ook Vizier op Links: kijk eens wat zij allemaal boven water krijgen, allemaal op basis van openbare bronnen. Kortom: voor heel veel informatie, heeft de CIA helemaal geen achterdeurtje meer nodig.
Ga je echt spannende dingen doen, en wil de CIA jou wel afluisteren? Dan lijkt mij dat ze niet alleen willen weten wat je op Signal zegt, maar ook op andere plekken. Dat kan, niet door een achterdeur in één app zoals Signal, maar door het besturingssysteem of de hardware van je telefoon of computer te hacken, zodat ze niet alleen met Signal mee kunnen kijken maar ook met andere programma’s. Maar iemand gericht hacken is lastig en arbeidsintensief, kundige hackers zijn schaars, en hacken geeft het risico dat het ontdekt wordt, en wordt naar mijn inschatting dus ook niet ingezet voor elke bannerdrop of posteractie. Wat geen reden is om niet alert te zijn, en je veiligheid op orde te hebben.
Het is voor activisten vele malen belangrijker dat ze zich bewust worden en gaan wapenen tegen digitale en andere kwetsbaarheden die daadwerkelijk worden uitgebuit, dan dat ze zich zorgen gaan maken om onbewezen beschuldigingen. De voorganger van Signal was voor veel activisten onversleutelde e-mail, en Whatsapp dat aan Facebook doorgeeft wie met wie wanneer praat, en waarvan niemand de volledige broncode mag zien, en waar dus veel meer reden is om bang te zijn voor achterdeurtjes. Door op suggestieve wijze ongefundeerde beschuldigingen te doen bereiken auteurs als Yahsa Levine geen enkele verbetering op dit gebied, maar zaaien ze uitsluitend angst met als resultaat dat mensen teruggaan naar deze oude, onveiligere methodes.
Wie daadwerkelijk zichzelf beter wil beveiligen, en bereid is om daar zelfs maar een half uur aan te besteden, kan met eenvoudige stappen veel bereiken. En dat gaat helemaal niet alleen maar over computertechniek. Kijk voor een goede basis bij de bekende radicale e-mailprovider Riseup, die voor velen al jarenlang veilig en stabiel e-mail verzorgt: https://riseup.net/security. Ze geven advies voor mensen in verschillende situaties. Spoiler alert: ook RiseUp raadt Signal aan, niet als oplossing voor alles, maar wel als veilige chatapp.