Privacy lezing Bibliotheek Enschede

4-camera-surveillance-system

Afgelopen Zaterdag 19 November heb ik bij de bibliotheek Enschede gehouden. Het was een interessante interactieve lezing met goede vragen van de aanwezige mensen.

Enkele highlights uit de presentatie :

  • Privacy is een grondrecht, dus je zou niet hoeven te verklaren of verdedigen waarom je privacy nodig hebt.
  • Wat je wel te verbergen hebt.
  • Privacy vs Veiligheid
  • Wat praktische tips hoe je privacy zou beschermen, zie ook https://toolkit.bof.nl 

Volledige presentatie kun je hier vinden.

 

Piraten Partij Nederland

Piratenpartij logo

 

Mensen die mij kennen weten dat ik eigenlijk altijd wel bezig ben met digitale rechten zoals privacy, encryptie copyright etc. Zie ook verder op deze blog over door mij georganiseerde Privacy Event en artikelen over backdoors, computer wetgeving, stamgast voor Privacy Café etc.

Sinds 2010 is er ook in Nederland de Piratenpartij actief, waarvoor ik toen een TV leader heb gemaakt. Sinds 2014 ben ik in Enschede actief met Piraten Partij Enschede, eerst met kroegmeetings en later wekelijks bij TkkrLab.

In Maart 2017 zijn er weer Tweede Kamer verkiezingen, hiervoor wil ik met gaan inzetten. Momenteel sta ik de kieslijst van de Piraten Partij om hopelijk mee te doen Tweede Kamer verkiezingen. Op 15 & 16 Oktober is er in Utrecht piratencongres waar gekozen word wie er op de kieslijst komt te staan. Dit congres is voor iedereen open, dus als je interesse hebt om kennis te maken met de Piraten en hun programma kom dan vooral !

Hieronder mijn introductietekst voor PPNL:

Ik ben Dave Borghuis, 47 jaar, softwareontwikkelaar en actief in
diverse vrijwilligersorganisaties. Al als twaalfjarige jongen was ik
bezig met computers en naast mijn werk ook erg geïnteresseerd in alles
wat met (digitale) techniek te maken heeft. In Enschede heb ik in de
loop van de tijd diverse initiatieven opgericht, zoals Privacy
Enschede (2014), hackerspace TkkrLab, Stamgast Privacycafé (BOF),
Coderdojo en (natuurlijk) Piratenpartij Enschede.

Computers en digitale technieken hebben sinds hun ontstaan een steeds
grotere vlucht genomen en worden met de dag belangrijker voor ons
dagelijks leven. Helaas lopen zowel de wetgeving als de sociale normen
en waarden (voor bedrijven en overheden) nog hopeloos achter.

Vandaag de dag wordt elke handeling die je uitvoert gevolgd door één
of meer digitale devices, zoals je eigen mobiel, je eigen TV,
bewakingscamera’s et cetera. Je kunt je hiertegen wel beschermen, maar
hiervoor moet je meestal veel moeite doen of afzien van bepaalde
gemakken. Zonder technische en wettelijke maatregelen zal een ieder
die kans krijgt alles van je registreren.

Het zou een goede zaak zijn dat nieuwe technologische ontwikkelingen
ook rekening houden met morele waarden: wat is wenselijk, en worden
historisch opgebouwde rechten gerespecteerd. Wij zijn in het huidige
digitale tijdperk gegarandeerde rechten zoals briefgeheim, privacy, en
anoniem reizen kwijtgeraakt. Het wordt hoog tijd dat we deze rechten
weer terugkrijgen, door onder andere betere wetgeving op privacy en
moreel besef bij overheden en bedrijven.

De eerste stappen zijn al gezet met meldplicht datalekken en uitspraak
van Tweede Kamer van het belang van encryptie. De PPNL is een van de
weinige politieke partijen die internet en techniek snapt. Ik wil me
voor de PPNL inzetten om deze in de Tweede Kamer te krijgen.

Illegal numbers

Why this list

In mine opinion if you buy something you should own it and be able to do with it whatever you want to do with your own hardware. More and more you see that if you buy something there is some kind of EULA that forbids you to reverse engineer of do things with it that the original producer isn’t happy about.  In my world this should still be legal but more and more there is pressure to ban these keys. As you see below some keys are just a number, so companies want to make some numbers illegal to publish. Here is a handy list for illegal numbers, if you find one missing please let me know and I will add this to this list.

Encryption Master Keys

ZigBee ZLL Master key

9F 55 95 F1 02 57 C8 A4 69 CB F4 2B C9 3F EE 31

Needed if you want to make something with a Phillips Heu lamps, source

PS3 LV0 key

erk=E5FA44F2B31C1FB553B6021E7360D07D5D91FF5EDD71038F346F511EE7403DB 
riv=63BEA2E3B07CD2D1F98BC5B7A9951EA   
pub=2B85948590BB246968798518964CEB578892DFA065F5F85766824A4290371A2ABFAEB007CD0AF4A 
priv=3EE88A74D3722B336A69C428D26F731435C71BA02

Some people want to run their own software on the PS3, to do this key is needed.

AACS

09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0

Key needed for decrypting or HD DVDs and Blu-ray Discs  so you can see them on all devices of your own choice.

Physical Keys

This is less known, there is one importend thing about physical keys. You should NEVER put an photo online, ever. Once online a locksmith or skilled amateur can create a copy of this key from the photo, no need physical  acces to the key itself.

TSA Master keys

tsa_keys-625x350

Ment for the TSA to open suitcases without breaking the locks.  Github of 3D printed keys can be found here.

NYC master keys

NY, NY. September 27, 2012. For Sunday. EBAY KEYS. (photo by Tamara Beckwith/ NY POST)

Sold online for $150 , this is the set of keys that the  Fire Department New York (FDNY) to gain acces to stairways circuit breakers,  etc. And of course the media put it in the press with a very nice picture.

Maker Onderwijs

P1080538

Maker onderwijs krijgt steeds meer aandacht van overheid en de onderwijs zelf. Op 23 januari is het eindrapport onderwijs2032 gepresenteerd waar belang van Maker onderwijs wordt genoemd en is 11 februari is de site makereducation.nl gelanceerd om het maker onderwijs in Nederland te promoten.

Wat is het maker onderwijs eigenlijk?

Maker Education betekent leren (door te) maken. Het is een creatieve manier om kinderen in staat te stellen uitvinders te worden; en stimuleert hoofd, handen en hart. In de afgelopen jaren zijn allerlei moderne technologieën goedkoop en makkelijker beschikbaar geworden. Denk daarbij aan 3D-printers en elektronica, waarmee kinderen op een laagdrempelige manier kunnen ontwerpen én maken. Leerlingen kunnen deze gereedschappen gebruiken om hun creativiteit te laten ontluiken.

makereducation.nl

Zelf ben ik als maker en geek al lange tijd actief in de ‘Maker wereld’. Ik heb mijn steentje bijgedragen door oprichting van maker/hackerspace TkkrLab (2011), gewerkt bij FabLab Enschede, actief als mede organisator van de Maker Festival Twente en meer recentelijk initiator van Coderdojo Enschede.

Ik vind altijd mooi om te zien hoe je techniek creatief kunt toepassen, ook op manieren waarvoor het oorspronkelijk niet voor was bedoeld. Ik zou graag deze enthousiasme voor techniek willen overbrengen naar jongeren en ze zo voorbereiden op de toekomst.

Hierbij gaat het niet alleen om technische vaardigheden zoals programmeren en kunnen omgaan met een 3D printer maar ook om het kunnen (terug) claimen van nieuwe technologieën. Niet alleen als passieve consument technieken gebruiken maar kritisch zijn en indien mogelijk deze naar eigen hand te kunnen zetten.

Graag zou graag ik in contact willen komen met mensen die dit Maker Onderwijs graag vorm zou willen geven.  Ik kan je uitleggen en laten werken met 3D printer, Laser Cutters, programmeren, Arduino en meer en laten ervaren hoe je een Maker kunt zijn.

Ben je een docent, betrokken ouder of student?  Laat dan van je horen en email me !

Wiv voorstel : opheffing privacy

internetconsulatie-wiv

De overheid houdt een  internet consulaat over de nieuwe wet Wiv  (Wet op de inlichtingen- en veiligheidsdiensten) met daarin een aantal vergaande voorstellen. Hierop heb ik mijn mening gegeven die je hieronder kunt lezen, reageer voor 1-9-2015 en laat de overheid weten wat je van dit voorstel vind!

Continue reading

Backdoors en ‘Golden key’

usa-china2

Het kan soms raar lopen in de internationale betrekkingen. Amerika eist backdoors in systemen, de Chinese overheid wil wetten gaan aannemen waarin dezelfde backdoors verplicht word gesteld, maar hiervan zegt Amerika dat dit een slecht idee is voor de wereld en china. Het lijkt er op dat USA alleen backdoors wil hebben die ze alleen zelf kunnen gebruiken, het idee dat China soortgelijke mogelijkheden hebben word afgekeurd.

Het is een elke decennia wel een terugkerende discussie of encryptie gewenst is en of er voor de overheid een backdoor in moet zitten. Hier is al in de jaren 90  de conclusie uitgekomen dat een backdoor te veel risico’s geven en de belangen van internationale handel en veiligheid beschadigen.

Tevens hebben bedrijven zoals Apple ontdekt dat de klanten in toenemende mate eisen om privacy waarborgen. Tegenwoordig encryptie Apple je iPhone zodat Apple (of politie en andere overheidsdiensten) deze niet kan lezen. Ook bedrijven zoals Google en Yahoo geven aan dat encryptie noodzakelijk is om de privacy van burgers en bedrijven te waarborgen. Deze bedrijven zijn ook actief bezig om hun diensten verder te beveiligen tegen inkijk van derde partijen.

De Amerikaanse overheidsdiensten zijn niet gelukkig met deze ontwikkelingen en heeft recentelijk bedrijven opgeroepen om in hun producten ‘voor nationale veiligheid’ een backdoor te maken. Ze noemen het wel anders, ze hebben het over de voordeur of het gebruik van een ‘Golden key’, maar hoe je het ook noemt het blijft een backdoor.

Met een backdoor zou je op een alternatieve manier in een systeem komen. Hierbij worden de normale (veiligheids) checks geheel overgeslagen. Het vervelende van een backdoor is dat deze niet kijkt wie gebruik maakt van de backdoor. Iedereen die weet hoe de backdoor werkt, dus ook de criminelen of kwaadwillende overheid, kan op deze manier eenvoudig binnenkomen. Vergelijk het met een achterdeur wat je met een pincode, iedereen die de pincode weet kan zonder problemen binnen zonder onderscheid te maken naar persoon.

Aantal grote bedrijven gaan hier tegen is zoals Google en Yahoo zijn er ook fel op tegen. Het maken van een backdoor, op welke manier ook, maakt het systeem per definitie onveilig.

China heeft aangekondigd om de wetgeving aan te passen waarbij bedrijven verplicht word op key aan de overheid te geven en backdoors in te bouwen in de software. Vreemd genoeg heeft USA aan China een brief geschreven waarin zij dit niet een goed idee vinden. Toch wel vreemd dat een backdoor wel een goed idee is voor Amerika maar een heel slecht idee voor China. Iets met meten met twee maten?

Enige oplossing is om er voor te zorgen dat encrypty gewoon goed werkt. Backdoors is een gapende gat in de beveiliging die je met encryptie wil bereiken, dus het is een heel slecht idee om dit verplicht te stellen.

Als men dan met het argument komt met ja maar ‘terrorisme/kinderporno’, deze kunnen met ouderwets politie werk opgespoord worden. Het opheffen van encryptie of eisen van een backdoor is geen garantie dat deze worden opgelost. Integendeel, veel van de huidige aanslagen waren van te voren al bekend en konden toch nog plaats vinden (mede omdat overheidsdiensten de speld in de hooiberg niet kunnen vinden).  Bovendien is de kans dat criminelen de backdoors ook kunnen gebruiken niet denkbeeldig. Voor Griekse telefoonsysteem zat ook een overheids backdoor in waarvan misbruik gemaakt is waardoor ministers zijn afgeluisterd. Indien iemand dan toch in geheim wil communiceren zoeken ze wel een systeem waar geen overheidswege verplichte backdoors in zit, dus dit heeft geen zin tegen de mensen die echt iets geheim wil houden. Uiteindelijk zullen alleen de brave burgers hiervan de dupe zijn, de overheid zou deze berichten ongelimiteerd kunnen lezen.

Links:

  • http://motherboard.vice.com/en_ca/read/the-united-states-is-angry-that-china-wants-crypto-backdoors-too
  • http://www.reuters.com/article/2015/02/27/us-china-security-idUSKBN0LV19020150227

Maker Festival Twente : Call for Makers

h630 & 31 Mei is er deze keer in de Performance Factory in Enschede weer een Maker Festival.

We hebben de naam gewijzigd maar de inhoud is gelijk gebleven. Net als vorige keer zal het weer een geordende chaos zijn met mensen die hun eigen creatieve projecten of producten laten zien. Wat deze allemaal gemeen hebben is het hoge DIY (of eigenlijk Do It Together gehalte) waarbij gebruik word gemaakt van nieuwe mogelijkheden zoals 3D printen, Arduino etc.

Heb je zelf iets mooi wat je wil delen met anderen? Schrijf je dan ook in voor de Maker Festival Twente. Dit kan op hun site op http://makerfestivaltwente.nl/aanmelden/ 

Je suis Charlie: in de naam van persvrijheid meer surveillance

Keep-calm-and-carry-on-scanOp 7 januari is er in Parijs een terroristische aanslag gepleegd op Charlie Hebdo door een twee terroristen. Het is natuurlijk verschrikkelijk wat daar gebeurt is en ik wil natuurlijk mijn medeleven mededelen aan de slachtoffers.

Dat gezegd hebbende wat vind ik van dit hele gebeurtenis?

Om te beginnen zou ik toch (te?) rationeel willen kijken naar deze gebeurtenis. In totaal zijn er 12 slachtoffers. Hoe treurig het ook is dat deze mensen door een gewelddadige wijze het leven hebben moeten laten, het is procentueel gezien nog steeds een zeer kleine kans dat je dit overkomt. De kans dat je door bliksem word getroffen of uitglijd onder de douche is vele malen hoger dan dat je om het leven komt door een aanslag. In USA is het 4x meer waarschijnlijk dat je word neergeschoten door een agent dan dat je slachtoffer word van een terroristische aanval. Een terroristische aanslag is dus gelukkig een zeer zeldzame gebeurtenis .

Wat me ook opvalt is dat de daders bekenden waren (net zoals o.a. bij de aanslag in Boston) bij overheden. Hoe kan het dan dat dergelijke personen dan toch nog de gelegenheid hebben om een aanslag voor te bereiden en uit te voeren? Ondanks alle middelen die de geheime diensten tot hun beschikking hebben lukt het hun niet om na initiële signalering ze te blijven volgen. Ondertussen word alle gegevens van onschuldige burgers gelogd. Ergens gaat bij de veiligheidsdiensten iets goed fout, ze volgen niet de mensen die ze zouden moeten volgen, maar bespioneren wel de burgers die onschuldig zijn.

Des te vreemder vind ik dat bv MIVD de dag na de aanval meteen om nog meer bevoegdheden vragen. Als dit soort situaties iets aangeeft is dat men nu genoeg informatie heeft maar deze niet of verkeerd gebruikt. Het zou kunnen zijn dat ze moeite hebben om de juiste informatie te halen uit de stroom die ze nu krijgen, wat zou pleiten dat ze MINDER privacygevoelige gegevens zouden moeten krijgen.

Helaas is dit een herkenbaar patroon aan het worden. Er word ergens een terroristische aanslag gepleegd en door de overheidsdiensten zoals MIVD/CIA/FBI word er meteen gevraagd om meer bevoegheden want ‘terrorisme’ (of ‘kinderporno’).

Het inleveren van je privacy betekend niet meer veiligheid !!

 

TOR (tijdens de 31c3)

Van 27-30 december was het jaarlijkse 31c3 congres in Hamburg. Dit is een jaarlijks congres georganiseerd door CCC. Dit jaar waren er 13000 hackers bijeen die lezingen & workshops geven en gezellig met elkaar rondhangen. Ook waren we met TkkrLab als assembly hackerspaces.nl aanwezig. Erg leuk om hier bij te zijn, zeker voor herhaling vatbaar.

Een van de lezingen die ik later heb gezien was ‘Tor: Hidden Services and Deanonymisation’. Met TOR kun je een ‘hidden service’ opzetten, dus een geheime webserver zeg maar.

2000571656Van al het Tor verkeer gaat 1,5% naar deze hidden Tor services. Onderzoekers hebben deze op inhoud onderzocht en geconcludeerd dat ongeveer 2% van deze servers ‘abuse’ (dus waarschijnlijk kinderporno) sites zijn. Dit is dus een heel klein percentage van het totaal verkeer van Tor.

Wat maakt de media van deze gegevens?

Beide titels kloppen domweg niet, beste media kunnen jullie echt niet rekenen? Van alle TOR verkeer is 1,5% interne services en hiervan weer 2% is kinderporno. Dus 0,03% van het totale TOR verkeer is niet wenselijk. Enige wat de onderzoeker aangeeft is dat er in verhouding veel ‘directory acces’ aanvragen zijn (in verhouding 80% van alle aanvragen). De onderzoeker geeft hierbij aan dat dit niet noodzakelijk mensen hoeven te zijn. In de Q&A na de lezing word wel aangegeven dat dit zou kunnen komen door het actief zoeken van de politie en andere diensten naar dit soort websites. Ik keur dit soort websites zeker niet goed, maar het is een heel klein gedeelte van het TOR verkeer, zeker niet een reden om het hele TOR netwerk op te veroordelen of af te schetsen als netwerk voor pedo’s.

Als je dan een mooie headline wil maken publiceer dan over veiligheidslekken in telefoonnetwerk of dat de NSA bijvoorbeeld ook grotendeels de VPN verkeer kan afluisteren (maar niet OTR, TOR en PGP !!)

Meer informatie :