Tungsten Messenger questions and complaints

Recently Tungsten Messenger (www.tungsten-labs.com) started following me on Twitter. They are a new start-up from Berlin (Germany) interested in creating a new Encrypted Messaging platform. As a security and privacy minded person I am always interested in these kind of things, but something strange happened with looking into Tungsten. Instead of useful info their website gives me only more questions which I want answered. Of course, I immediately seeked contact with them about my questions, but it remains awful quiet from their side and I am not the only one who is waiting for answers. Not a good start in my opinion.
UPDATE: they replied after 5 days. I got the following message: 
"Hi Booy,

We're building an FAQ with answers to all of this. Hold on and you'll get all the answers you need!"
All right, still waiting for answers to my questions. A friend got a reply about Android isn't supported from the beginning. Come on, you can't ignore the biggest platform, you should start with that. I also believe that making a FAQ is the first thing you do, serious potential customers care about technical details and a service like this should distinguish themselves to be interesting. 
Of course I also looked also at their website and some things they are claiming seem to be quite interesting, but claiming can be done by anybody. Another thing I noticed was that this website is far from complete: it only has a landing page, a link to their Twitter, a link to register for Alpha testing (which I did) and a link to their Privacy Policy (later more on that). They give some info about their plan but I wasn't able to find more details. I did ask them the following simple questions: will it be Open Source (both server side as application)? Can you provide more info about the encryption method? Will Linux be natively supported (or will it use a web app)? Is there a roadmap available?
It seems to me that these questions can be answered quite easily, but am still waiting after more then 2 days. Especially with a start-up in encrypted messaging you should expect that the first thing they make (even before making the website) is a decent FAQ. Encrypted Messaging is directly related to trustworthiness and many things needs to be verified. With Tungsten, I am not able to verify anything. Serious issues for a start-up in this area in my honest opinion.
Don't get me wrong: I would love to try Tungsten Messenger. But I care about guarantees when it comes to security and privacy, and Tungsten hasn't the ability to impress me yet. Maybe classical faults for a start-up, I don't know. I even have encrypted contact with my non-technical mother via Signal, but if I want to convince anybody to use a service: I need to explain why that person should use that service.
Like I mentioned in the beginning, the Privacy Policy: 
https://tungsten-labs.com/privacy-policy
How can a company which also focusses on privacy be taken serious with this policy?! Everybody who reads it should be able to tell what is wrong with it. I was doubting about a rant but decided it is needed.

"5

NOTIFICATION OF CHANGES

This Privacy Policy may change from time to time. You agree to review this Privacy Policy regularly to be aware of any changes. You also agree that your continued use of our Site after changes become effective constitutes your acceptance of the revised Privacy Policy."

Come on Tungsten, if you want to gain trustworthiness you should be actively informing your customers about policy changes. Focus on privacy by default and design please. This is ridiculous.

"4 DO WE SHARE YOUR PERSONAL INFORMATION?4.1
We may use Tungsten Labs UG’s affiliates and/or third party service providers for analytics, development services and other services. To the extent applicable, we require these entities to comply with this Privacy Policy.
4.2
Third Party Features may collect information about you while using our Website. This Privacy Policy does not cover the information practices of third party websites or applications and we are not responsible for their collection and use of your personal information.
i. Google Analytics is a web analysis service provided by Google. Google utilizes the data collected to track and examine the use of www.tungsten-labs.com, www.gettungsten.com, www.tungstenapp.com, www.tungsten-labs.io, www.tungstenlabs.io to prepare reports on its activities and share them with other Google services.
Google may use the data collected to contextualize and personalize the ads of its own advertising network. Personal data collected Cookie and Usage Data. Place of processing USA. Find Google's privacy policy here.
II. Conversion Tracking Pixel service of Facebook Inc. allows us to follow the actions of users after they are redirected to a provider’s website by clicking on a Facebook advertisement. We are thus able to record the efficacy of Facebook advertisements for statistical and market research purposes. The collected data remain anonymous. This means that we cannot see the personal data of any individual user. However, the collected data are saved and processed by Facebook. Facebook is able to connect the data with your Facebook account and use the data for their own advertising purposes, in accordance with Facebook’s Data Use Policy. Facebook Conversion Tracking also allows Facebook and its partners to show you advertisements on and outside Facebook. In addition, a cookie will be saved onto your computer for these purposes.
III. Conversion Tracking service of Twitter Inc. records if a user of our website clicks on a link posted by Twitter. In this way, both we and Twitter can see if a registration has taken place. The identity of the user remains anonymous. In addition, we use Twitter’s Tailored Audiences service. This enables us to appeal to our website’s users with targeted advertisements. To do this, Twitter uses a code snippet (tag) which we have integrated into our website. No personal data are collected during this process. Tailored Audiences is also used to create lookalike targeting lists.
Find Twitter’s privacy policy here. You can adjust your privacy settings for tailored advertisements here. Twitter also supports “Do Not Track” (DNT). If you have activated this option in your browser, Twitter will not receive any browser-related information from web partners in order to tailor their advertisements to you.
IV. MailChimp, for the purposes of email distribution, gathers statistics around the opening of emails, link clicks etc., to help us monitoring and improving our service. Find Mailchimp’s privacy policy here."

Come on Tungsten, are you sure you want to be in this business? Regarding your Privacy Policy I think you need to reconsider things. A company who wants to provide secured and private communication service should have a different policy.

Should I recommend you? Definitely not for now. Am I open to hear your side of the story? I would love that.

Don't see this as an attack, I am just a serious person when it comes to security and privacy. 

Please Tungsten, if you want to be taken serious in encrypted communication business you need to improve things.


Also a good read: http://www.zdnet.com/article/twitter-abandons-do-not-track-privacy-protection/

Ode aan Tijn, tevens opiniestuk

R.I.P Lieve Tijn

Zoals velen van jullie gehoord zullen hebben is Tijn Kolsteren gistermorgen om 7u overleden. Hij mocht slechts 6 jaar worden maar ondanks zijn jonge leeftijd was hij behoorlijk bekend. Tijn leed aan hersenstamkanker en werd bekend toen hij een enorme sponsoring voor het Rode Kruis realiseerde door een actie met nagellak. Inspirerend en mooi natuurlijk, oa hier is er meer over te lezen:https://t.co/nLXR2svTtV

Maar hoe mooi is het dat mensen actief willen bijdragen aan het genezen van ziektes? Dit wens je natuurlijk niemand toe en dit soort overlijdensberichten hebben altijd impact. Zo is er op Facebook schijnbaar een actie om al je contacten ballonnen te sturen via Messenger en er wordt verzocht dit door te sturen. Ik doe echter nooit mee aan doorstuuracties, de situatie maakt hierbij niet uit. Ik sta natuurlijk ook gewoon stil bij de impact en leef mee met de betrokkenen, echter leek het mij beter om gewoon even dit stuk te schrijven in plaats van de Messenger actie.

Want ik denk dat bijna iedereen het eens is met de volgende stelling: als er behandeling van een bepaalde ziekte mogelijk is, de betrokkene kan rationele beslissingen maken en de kwaliteit van leven kan stabiel blijven of verbeterd worden dan dienen kosten eigenlijk geen invloed te hebben. We hebben het natuurlijk over mensenlevens en vooral bij zo’n jong iemand is het triest om te horen dat behandeling mogelijk was maar dit niet gerealiseerd kon worden.

Dit brengt mij dan ook bij het volgende punt: dient de farmaceutische industrie niet minder macht te hebben en is commercie als het gaat om mensenlevens niet een behoorlijk slecht iets? Zie ook dit artikel over de Duitse farmaceut Bayer die een medicijn voor lever en nier kanker heeft maar dit is alleen voor rijke mensen bedoeld:https://t.co/YlOmORqjgt

Er zijn natuurlijk veel meer van dit soort voorbeelden waarvan dit er ook weer eentje is, een medicijn voor HIV en Malaria dat door een student veel goedkoper gemaakt kan worden:
https://www.theguardian.com/science/2016/dec/01/australian-students-recreate-martin-shkreli-price-hike-drug-in-school-lab

Veel medicijnen worden ontwikkeld en gevonden op Universiteiten, helaas financiert overheid steeds minder waardoor sponsoren van dit soort onderzoeken vaak uit de farmaceutische industrie komen. Natuurlijk spelen belangen hierbij een grote rol, patenten op medicijnen leveren natuurlijk veel geld op. Natuurlijk zijn er mensen met idealen die dit anders willen, ik ben er hier 1 van. Wie zich hier ook ontzettend voor heeft ingezet was Aaron Swartz, helaas in 2013 ook te jong(26 jaar) overleden nadat hij allemaal academische documenten had gedownload en hiervoor veroordeeld zou worden. Meer informatie over Aaron Swartz is onder andere hier te vinden:https://t.co/ffbntXyFet

De reportage “the Internet’s own boy” op YouTube is ook zeker een aanrader, net als zijn blog https://t.co/7Q3CkFnkWo.

Ik vind dat het tijd is voor hervormingen zodat meer mensen met bepaalde ziektes beter, sneller en goedkoper genezen kunnen worden. Hier moet serieus over nagedacht worden en belangenverstrengeling in deze sector vind ik een gevaarlijk iets. Laten we het verhaal van Tijn niet vergeten en laten we ervan leren: het leven is hard maar hoe meer mensen zich inzetten voor verbetering, hoe meer er bereikt kan worden.

Ik draag dit stuk dan ook op aan Tijn, rust in vrede lieve jongen.

Ik wens alle betrokkenen veel sterkte toe met dit grote verlies en dit verhaal mag dan ook absoluut niet vergeten worden.

Willen jullie overigens bijdragen en iets opdragen aan Tijn? Denk er dan aan om een donatie te doen:
https://lakdoortijn.nl

Nieuwsupdate betreffende Wet op de inlichtingen- en veiligheidsdiensten! De Wet op de inlichtingen- en veiligheidsdiensten: noodzakelijk in deze vorm, aanpassing nodig of schrappen?

UPDATE: de Tweede Kamer heeft ingestemd! Meer informatie is hier te vinden:

https://tweakers.net/nieuws/121255/tweede-kamer-stemt-voor-wetsvoorstel-nieuwe-aftapwet.html

Gelukkig is er de Eerste Kamer nog maar Privacy First bereid zich tevens al voor op een rechtzaak. Hulde natuurlijk, bedankt voor het proberen te beschermen van burgerrechten:

http://www.netkwesties.nl/971/rechtszaak-dreigt-voor-breed-aangenomen.htm

Zoals de meeste mensen ben ik ook wel voor het nieuws te Paayen. Geintje natuurlijk, ik vind nieuws erg belangrijk en er is mij iets opgevallen. Nieuws over celebrities, daar smullen veel mensen schijnbaar van. Patricia is momenteel erg in opspraak, iedereen natuurlijk zijn eigen mening en interesses. Maar door al deze aandacht lijkt er een heel belangrijk onderwerp onderbelicht te raken: de Wet op de inlichtingen- en veiligheidsdiensten(Wiv), vanaf hier door mij aangeduid als sleepnet of kortweg Wet. Alsjeblieft, lachen is natuurlijk gezond en normaal maar als de nieuwsfocus op mevrouw Paay blijft dan ben ik bang dat we dit een stuk minder doen in de toekomst. Ik ben ook wel van het lachen, maar er staan momenteel dingen te gebeuren die mij zo erg verontrusten dat ik bijna niet in staat ben om te lachen. Gun mevrouw Paay alsjeblieft ook haar rust, dan kunnen wij met zijn allen aandacht hebben voor iets veel belangrijkers. Respecteer haar privéleven en privacy; deze zaken zijn binnenkort misschien bij iedereen in Nederland in het geding.

Bang van/voor/door Trump? De mogelijkheid bestaat dat hij binnenkort toegang heeft tot ontzettend veel gevoelige gegevens van potentieel iedereen in Nederland. Geen fijn idee toch? Daarnaast is vrij onduidelijk wie er toegang gaan krijgen en in welke vorm: er komt een (vorm van) sleepnet en vervolgens wordt bepaald wat er mee gedaan wordt. Aangezien ik niet in de toekomst kan kijken vind ik dit eng. Kritiek op Trump? Kijk eens in eigen land. Het Europees Verdrag voor de Rechten van de Mens(kort: EVRM) wordt binnenkort misschien geschonden. Daarnaast is er geen bewezen effectiviteit maar we maken onszelf wel ontzettend kwetsbaar en interessant; een Wet die ons veiliger moet maken kan vrij makkelijk heel verkeerd uitpakken. Bang voor Trump? Ik ben bang voor de gevolgen van deze Wet.

Nieuwsupdate betreffende inlichtingendiensten: de CIA heeft extreem zitten pushen dat Poetin Edward Snowden moest uitleveren als cadeautje voor een goede samenwerking met Trump. Obama was zo'n goede President en had geen schandalen? Vraag dat aan klokkenluiders en mensen die slachtoffer zijn geworden van zijn oorlogsdrift. Gelukkig lijkt Rusland hier niet aan mee te werken.
Nice try: Snowden is a hero, not a traitor

Hier wat schandalen van Obama: http://www.breitbart.com/big-government/2017/01/02/18-major-scandals-obama-presidency/

In Nederland kennen wij natuurlijk ook schandalen, bijvoorbeeld de zogenoemde bonnetjesaffaire. Kom nu in actie voordat Fred Teeven een baan bij de Raad van State krijgt:

https://petities.nl/petitions/fred-teeven-is-ongeschikt-als-lid-van-raad-van-state?locale=nl

Wet op de inlichtingen- en veiligheidsdiensten, kortweg: Wiv of sleepnet?

Hoe was jullie dag afgelopen woensdag? Ik hoop dat jullie een goede dag hadden, ik had dat helaas niet. Woensdag heeft de Tweede Kamer vergaderd over bovengenoemde Wet, aankomende dinsdag wordt er gestemd en daarna moet het nog door de Eerste Kamer. Er zijn dus nog mogelijkheden om het nog tegen te houden en daar wil ik even aandacht voor vragen. Natuurlijk respecteer ik ieders mening maar deze Wet moet meer besproken worden en mag er wat mij betreft niet even voor de verkiezingen worden doorgedrukt. Daar is deze Wet te belangrijk voor, er zijn grond- en burgerrechten in het geding en het volk dient meer inspraak te hebben over deze Wet.

Een senior researcher van Human Rights Watch schreef een ontzettend goed stuk over hoe we surveillance wetten moeten behandelen(Engels):
"Surveillance laws should always be written as if the government we most fear is in power"



Nu zal ik ingaan op de details van deze Wet:

• Het gaat om een wijziging/uitbreiding, de Wiv is in 2002 voor het laatst bijgewerkt.
• Inlichtingendiensten moeten toegang tot de (Internet/Telefoon) kabel krijgen, dit was tot nu toe nog niet(legaal/theoretisch) mogelijk
• Om met terrorisme om te gaan dient de mogelijkheid te bestaan de vergaarde data met partners te delen

Hoofdlijnen, specifiekere details

Omdat terrorisme onze samenlevingen bedreigd dienen de Nederlandse inlichtingendiensten meer bevoegdheden te krijgen. Onze samenleving heeft veel digitalisering meegemaakt en om verdere digitalisering "veilig te houden" dient de Wet hier rekening mee te houden en voorbereid op te zijn.

Het ziet er in grote lijnen zo uit:
We gaan alles dat via de kabel loopt onderscheppen. Een onafhankelijke commissie, Toetsingscommissie Inzet Bevoegdheden(TIB), moet akkoord gaan met elke onderzoeksopdracht. Echter: de TIB heeft geen toegang tot de vergaarde data, dus de noodzaak is gebaseerd op aannames en de commissie kan dus makkelijk misleid worden. Daarnaast is niet overal toestemming voor nodig, geheime agenten(zij hebben een vergunning om strafbare feiten te plegen) mogen ongecontroleerd worden ingezet. Tevens hoeft de TIB geen toestemming te geven voor het delen van (ongecontroleerde) data: Trump heeft binnenkort toegang als dit doorgaat.

Detail: de TIB bestaat slechts uit 3 mensen.

De gegevens(alles wat via de kabel loopt) dienen 3 jaar bewaard te worden, versleutelde gegevens zelfs 6 jaar. Er zijn 3 fases die doorlopen moeten worden en de TIB moet toestemming geven voor elke fase. De eerste fase is het sleepnet, de 2e fase worden bepaalde dingen gefilterd en in de derde fase wordt er inhoudelijk bekeken. De CTIVD mag periodiek controleren of alles volgens de regels is gegaan en is er tevens voor klachtenafhandeling. De adviezen van CTIVD betreffende klachtenafhandeling zijn bindend, de adviezen over de controles zijn dit niet. Verschillende organisaties hebben grote kritiek op de bewaartermijn, mogelijk is dit zelfs in strijd met het EVRM. Voor het afluisteren van advocaten en journalisten moet eerst de rechter toestemming geven.

De inlichtingendiensten hebben nog een extra bevoegdheid gekregen, hiervoor is ook eerst toestemming van de rechter nodig: ze mogen brieven gaan openmaken.

Aangezien ze veel data gaan uitwisselen met andere diensten is ook in de Wet opgenomen dat onze inlichtingendiensten toegang krijgen tot de data die andere diensten hebben. Vraag mij af hoe dit in de praktijk gaat lopen.

Ook krijgen de diensten toegang tot ons DNA: ze mogen een geheime DNA databank gaan aanleggen. Het ruwe DNA materiaal mag 3 maanden worden bewaard, maar de gemaakte DNA profielen mogen 30 jaar bewaard worden. Onze DNA profielen mogen ook worden gedeeld.

Deze Wet heeft invloed op alle geautomatiseerde apparaten en is techniekneutraal: Trump kan binnenkort misschien uw pacemaker hacken. Alle manieren van dataverzameling zijn toegestaan. Bij het gebruik van versleuteling is een persoon indien mogelijk verplicht mee te werken met ontsleuteling, anders staat er 2 jaar gevangenisstraf tegenover. Mensen: een vingerafdrukscanner is geen goede beveiliging!

Tevens mag de AIVD gevonden gegevens over strafbare feiten doorgeven aan het Openbaar Ministerie. Dit is in het verleden gebruikt(in Engeland) om downloaders aan te pakken.

Om dit alles mogelijk te maken zijn instanties verplicht om mee te werken.

Zoals het er nu naar uit ziet zullen de volgende partijen aankomende dinsdag instemmen met het ongewijzigd invoeren van deze Wet: VVD, PvdA, CDA, SGP en PVV. Helaas zijn zij ook goed vertegenwoordigd in de Eerste Kamer.

D66, Groenlinks, Denk, SP en ChristenUnie zijn kritisch en hadden verschillende ammendementen ingediend, hier was geen aandacht voor. De Wet moet zo snel mogelijk komen, we hebben er al ruim 2 jaar aan gewerkt is de visie van Plasterk. Waarom de urgentie? Mocht er worden ingestemd dan zijn de technieken voor de verzameling naar mijn idee niet klaar voor de verkiezingen, of de benodigde apparatuur moet al geplaatst zijn.

Niet alleen Politieke Partijen hadden kritiek; de Raad van State, de Raad van de Rechtspraak, de CTIVD, Amnesty en College Bescherming Persoonsgegevens zijn kritisch.

Alle experts zeggen dat deze vorm onwenselijk is, maar Plasterk lijkt niet te willen wijken.

Deze Wet is zo ingrijpend, dit mag er niet voor de verkiezingen worden doorgedrukt.

Nu ik het toch over verkiezingen heb: #doeffPiratenpartijstemmen! Geintje natuurlijk, ieder zijn eigen keuze. Maar lees het programma en overweeg het. Hier is documentatie van de Piratenpartij te vinden: 

https://piratenpartij.nl/standpunten/partijprogramma/

Wilt u meer aan uw eigen privacy en beveiliging doen? Overweeg dan om mijn handleiding betreffende browserbeveiliging te lezen:

http://securityandprivacy2016.blogspot.nl/2016/11/browser-beveiliging-en-privacy.html?m=1

Wilt u meer weten of in contact komen met een organisatie die zich inzet voor digitale burgerrechten? Bezoek dan de website van Bits of Freedom:

www.bof.nl

Heeft u de commotie rond de stemwijzer meegekregen? GDI Foundation is een organisatie die zich inzet voor ethisch hacken en het beter beveiligen van gevonden zwakheden, zij schreven een speciale stemwijzer handleiding:

http://www.gdi.foundation/single-post/2017/02/07/Zo-bescherm-je-je-privacy-bij-het-invullen-van-de-Stemwijzer

Dit artikel draag ik op aan Aaron Swartz, een Internet pionier die totaal verkeerd behandeld is waardoor de Wereld een wereldverbeteraar armer is geworden.
Aaron Swartz documentary
Aaron Swartz memorial

Om even verschillende quotes te combineren: Wordt wakker, trap er niet in.

Met vriendelijke groet,
een bezorgde burger

Bronnen:
NRC
Privacybarometer
Tweede Kamer
Bits of Freedom
Numrush
NU.NL