Negen tips om als correspondent veiliger te zijn online
Een overzichtelijke how-to gids digitale veiligheid voor correspondenten
Uit een kleine steekproef onder correspondenten blijkt dat digitale veiligheid nog altijd een ondergeschoven kindje is. Voor collega’s die in moeilijke landen als Egypte of China werken, is het hebben van een VPN en versleuteld communiceren gesneden koek. Maar elders op de wereld vergeten we kennelijk snel dat journalisten ook daar het doelwit kunnen zijn van criminele en staatshackers.
Daarom een handige eenvoudige how-to van De Buitenlandredactie om die eerste stappen richting een veiliger leven online te nemen.
1. Plak je camera af
Het is de simpelste truc om jezelf te beveiligen als journalist. Zorg ervoor dat je camera op je laptop afgeplakt is. Die handige schuifjes kosten maar een paar euro en zorgen ervoor dat niemand je kan bespieden. Het kostte een ethische hacker maar vijftien minute om toegang te krijgen tot de webcam van deze Wall Street Journal-columnist.
Het bespieden via je camera gebeurt volgens techjournalist Daniel Verlaan in Nederland vooral om mannen die pornosites bezoeken af te persen, maar als je werkt in moeilijke landen als Egypte, Rusland en China is een schuifje misschien toch wel handig. Want je hoeft geen pornosites te bezoeken om voor beelden te zorgen waarmee je in verlegenheid gebracht kan worden. Of bedreigd.
2. Denk na over je wachtwoorden
Als je voor al je online accounts hetzelfde wachtwoord gebruikt, stop dan met lezen en verander ze meteen. Er hoeft maar 1 datalek te zijn geweest waarin jouw persoonlijke gegevens gelekt zijn, en iemand kan zo in al je accounts. Check op ‘have i been pwnd’ of jij deel uitmaakt van oude of recente datalekken.
Zorg ervoor dat je wachtwoorden lang zijn, meer dan 14 karakters lang. Gebruik een passwordmanager als Lastpass of 1Password om veilig lange wachtwoorden te genereren en op te slaan.
3. Stel tweestapsverificatie in
Als je tweestapsverificatie instelt, kunnen hackers zelfs met jouw inloggegevens niet in je Gmail of Twitter-account. Doorgaans wordt voorgesteld om die tweede verificatie na het invoeren van je wachtwoord per telefoon te doen.
Doe dat niet, als het mogelijk is probeer dan een authenticator app in te stellen als tweede stap verificatie. Hackers kunnen namelijk door middel van zogeheten sim swapping jouw telefoonnummer overnemen. Er bestaan zelfs bedrijven die tegen betaling van iets meer dan een tientje, smsjes omleiden naar andermans apparaten.
4. Pas op met wat je downloadt
In 2012 werd Britse journalist en mensenrechtenactivist Rori Donaghy het doelwit van een grootschalige surveillance-operatie van de Verenigde Arabische Emiraten: Project Raven. Het land zat namelijk niet te wachten op kritische blikken op de mensenrechtensituatie daar, en wilde deze lastpak in de gaten houden.
Een medewerker van Project Raven, dat ook bestond uit voormalige Amerikaanse medewerkers van de NSA, deed zich voor als activist en overtuigde Donaghy om software te downloaden om hem ‘tegen spionage te beschermen’. In plaats daarvan installeerde de Brit hiermee spyware op zijn apparaten waarmee zijn emails en internetbezoek werd vastgelegd.
Podcast Darknet Diaries vertelt het beklemmende verhaal van Project Raven:
De moraal van dit verhaal: sta stil bij welke bestanden je downloadt op je apparaten. Of op welke link je klikt in email of WhatsApp. Zeker als je opeens gekke links toegestuurd krijgt van vrienden, familie of de Saoedische kroonprins.
5. Update je software
Stel het updaten van je telefoon, besturingssysteem, antivirusprogramma etc. niet uit. Want deze aanpassingen dichten gaten in de beveiliging van software. Gaten waar hackers dankbaar gebruik van maken om in je apparaten te komen. Veel malware richt schade aan omdat computers niet up-to-date zijn. Dan hebben ontwikkelaars allang het lek gedicht, maar is de patch nog niet gedownload.
6. Bescherm je computer
Niet alle bedreigingen komen uit cyberspace. Als je jouw computer onbeheerd achterlaat kan iemand zo bij je gevoelige documenten, emails en bronnen. Zorg er dus ook voor dat je computer beveiligd is met een pincode of wachtwoord. En zorg ervoor dat je back-ups bijhoudt. Niet alleen in de cloud (daar kunnen hackers ook bij), maar ook fysiek op een harde schijf. Steelt iemand je computer, zorg er dan voor dat je een functie als ‘remote wipe’ hebt ingesteld (iCloud, Microsoft, iPhone, Android). Zo kan jij op afstand je bestanden wissen en bronnen beschermen.
7. Wees zuinig wat je op sociale media deelt
Alles wat je online deelt, kan tegen je gebruikt worden. En het zijn niet alleen de trollen op Twitter die dat doen. Het kan ook letterlijk tegen je gebruikt worden. In moeilijke landen is het niet aan te raden om publiekelijk te maken waar je verblijft, met wie je afspreekt en waar je heen gaat. Dat is niet handig voor jou of je bronnen. Als je op TikTok wilt laten zien dat je in een conflictgebied zit, plaats dat filmpje dan achteraf.
Deel ook vooral niet teveel persoonlijke details. Wie de inloggegevens van email-accounts (etc) wel eens is vergeten, weet dat je soms veiligheidsvragen kunt beantwoorden om alsnog bij je account te komen. In je LinkedIn-profiel kunnen kwaadwillenden de naam van je middelbare school achterhalen. Op Facebook de meisjesnaam van je moeder. En alle schattige foto’s, inclusief naam, van je allereerste huisdier op Instagram. Don’t overshare.
8. Gebruik encryptie voor je communicatie
Wil je de kans zo klein mogelijk maken dat overheden of criminelen meeluisteren bij je interviews met dissidenten, oppositieleden en kritische bannelingen? Zorg er dan voor dat je communicatie versleuteld is. Het liefst van alle kanten, en op de server van de dienst die je gebruikt, want anders kan een overheid alsnog meeluisteren.
Signal, Wire en Matrix zijn populaire versleutelde berichtendiensten. Voor encryptie in je mailverkeer kan je terecht bij diensten als Protonmail, Private-Mail, Thunderbird en GPG4win. Versleuteld communiceren kost wat tijd en inspanning om onder de knie te krijgen (zo wil je ook dat de bron waarmee je berichten uitwisselt ook veilig communiceert), maar het kan mensenlevens redden in moeilijke landen.
9. Herken digitale dreigingen
Is je computer opeens super traag? Doet je telefoon niet meer wat ie hoort te doen? Dan kan het best zijn dat je te maken hebt met malware op je apparaten. Onderzoeksjournalist Huib Modderkolk beschrijft in zijn boek ‘'Het is oorlog maar niemand die het ziet’ dat zijn router opeens dienst weigert. Iets of iemand probeert hem te hacken.
Het herkennen van digitale dreigingen begint bij de al eerder beschreven tips: denk altijd na over de links waarop je klikt of de bijlages die je opent in emails. Het hoeft maar 1 keer mis te gaan en al je bronnen liggen op straat, net als je persoonsgegevens en meest intieme geheimen.
Maar hopelijk biedt deze how-to-gids jou de eerste handvaten om veiliger te werken. Of in ieder geval bewuster te zijn van de digitale gevaren die je online en offline loopt.