SwiftOnSecurity on cyber security

Swiftonsecurity is a twitter account with gems about easy to understand for non technical people. One example of such a gem can be found here. This is a transcribe of this tweet .

“Locks only keep an honest person honest”. We all know this is true, but don’t think much more beyond gradeschool wisdom. All our houses are designed with the implicit understanding that they present only a facade of security, a hurdle of trouble, to dissuade all but the most determined, and reckless. But why do cheap wooden doors prevent theft, when billion dollar company networks are ripe for plundering. Because the cheap wooden door requires a personal, physical investment to break down. It is risk.

Same thin with locks. A common side-hobby of computer security professions is lockpicking. Fully embracing the understanding that technical mechanisms can be defeated is a central understanding of the craft. All security can be broken. Every time they open that lock without the key, they hold in their hands to reminder that security is not about locks, it is about the social contract in what they everyone who sees it.

It is the social contract that is core. A door doesn’t stop a good kick. A lock doesn’t stop someone with a minute of time to pick it. What gives us true security is society’s incentive strcture against violating it.

This is all completely broken in cyber security

In cyber security, I can try to kick a door thousands of times, and probably no one will hear it. I can spend months on a lock used by millions of other people, and still no one will probably ever see me. Not only is risk to the attacker taken away, the actions are so abstracted that they get lost in the noise. They become invisible.

Its critical to communicate to the public why they’re vulnerable. Why the old assumptions don’t work. Why a cheap wooden door they never think about with a lock that can be picket with a BIC pen is good enough for their house. But a changing password and all the tech in the world isn’t enough for their online accounts.

That’s part one of the trifecta: Why nothing works like it should anymore.

 

Maker Onderwijs

P1080538

Maker onderwijs krijgt steeds meer aandacht van overheid en de onderwijs zelf. Op 23 januari is het eindrapport onderwijs2032 gepresenteerd waar belang van Maker onderwijs wordt genoemd en is 11 februari is de site makereducation.nl gelanceerd om het maker onderwijs in Nederland te promoten.

Wat is het maker onderwijs eigenlijk?

Maker Education betekent leren (door te) maken. Het is een creatieve manier om kinderen in staat te stellen uitvinders te worden; en stimuleert hoofd, handen en hart. In de afgelopen jaren zijn allerlei moderne technologieën goedkoop en makkelijker beschikbaar geworden. Denk daarbij aan 3D-printers en elektronica, waarmee kinderen op een laagdrempelige manier kunnen ontwerpen én maken. Leerlingen kunnen deze gereedschappen gebruiken om hun creativiteit te laten ontluiken.

makereducation.nl

Zelf ben ik als maker en geek al lange tijd actief in de ‘Maker wereld’. Ik heb mijn steentje bijgedragen door oprichting van maker/hackerspace TkkrLab (2011), gewerkt bij FabLab Enschede, actief als mede organisator van de Maker Festival Twente en meer recentelijk initiator van Coderdojo Enschede.

Ik vind altijd mooi om te zien hoe je techniek creatief kunt toepassen, ook op manieren waarvoor het oorspronkelijk niet voor was bedoeld. Ik zou graag deze enthousiasme voor techniek willen overbrengen naar jongeren en ze zo voorbereiden op de toekomst.

Hierbij gaat het niet alleen om technische vaardigheden zoals programmeren en kunnen omgaan met een 3D printer maar ook om het kunnen (terug) claimen van nieuwe technologieën. Niet alleen als passieve consument technieken gebruiken maar kritisch zijn en indien mogelijk deze naar eigen hand te kunnen zetten.

Graag zou graag ik in contact willen komen met mensen die dit Maker Onderwijs graag vorm zou willen geven.  Ik kan je uitleggen en laten werken met 3D printer, Laser Cutters, programmeren, Arduino en meer en laten ervaren hoe je een Maker kunt zijn.

Ben je een docent, betrokken ouder of student?  Laat dan van je horen en email me !

Backdoors en ‘Golden key’

usa-china2

Het kan soms raar lopen in de internationale betrekkingen. Amerika eist backdoors in systemen, de Chinese overheid wil wetten gaan aannemen waarin dezelfde backdoors verplicht word gesteld, maar hiervan zegt Amerika dat dit een slecht idee is voor de wereld en china. Het lijkt er op dat USA alleen backdoors wil hebben die ze alleen zelf kunnen gebruiken, het idee dat China soortgelijke mogelijkheden hebben word afgekeurd.

Het is een elke decennia wel een terugkerende discussie of encryptie gewenst is en of er voor de overheid een backdoor in moet zitten. Hier is al in de jaren 90  de conclusie uitgekomen dat een backdoor te veel risico’s geven en de belangen van internationale handel en veiligheid beschadigen.

Tevens hebben bedrijven zoals Apple ontdekt dat de klanten in toenemende mate eisen om privacy waarborgen. Tegenwoordig encryptie Apple je iPhone zodat Apple (of politie en andere overheidsdiensten) deze niet kan lezen. Ook bedrijven zoals Google en Yahoo geven aan dat encryptie noodzakelijk is om de privacy van burgers en bedrijven te waarborgen. Deze bedrijven zijn ook actief bezig om hun diensten verder te beveiligen tegen inkijk van derde partijen.

De Amerikaanse overheidsdiensten zijn niet gelukkig met deze ontwikkelingen en heeft recentelijk bedrijven opgeroepen om in hun producten ‘voor nationale veiligheid’ een backdoor te maken. Ze noemen het wel anders, ze hebben het over de voordeur of het gebruik van een ‘Golden key’, maar hoe je het ook noemt het blijft een backdoor.

Met een backdoor zou je op een alternatieve manier in een systeem komen. Hierbij worden de normale (veiligheids) checks geheel overgeslagen. Het vervelende van een backdoor is dat deze niet kijkt wie gebruik maakt van de backdoor. Iedereen die weet hoe de backdoor werkt, dus ook de criminelen of kwaadwillende overheid, kan op deze manier eenvoudig binnenkomen. Vergelijk het met een achterdeur wat je met een pincode, iedereen die de pincode weet kan zonder problemen binnen zonder onderscheid te maken naar persoon.

Aantal grote bedrijven gaan hier tegen is zoals Google en Yahoo zijn er ook fel op tegen. Het maken van een backdoor, op welke manier ook, maakt het systeem per definitie onveilig.

China heeft aangekondigd om de wetgeving aan te passen waarbij bedrijven verplicht word op key aan de overheid te geven en backdoors in te bouwen in de software. Vreemd genoeg heeft USA aan China een brief geschreven waarin zij dit niet een goed idee vinden. Toch wel vreemd dat een backdoor wel een goed idee is voor Amerika maar een heel slecht idee voor China. Iets met meten met twee maten?

Enige oplossing is om er voor te zorgen dat encrypty gewoon goed werkt. Backdoors is een gapende gat in de beveiliging die je met encryptie wil bereiken, dus het is een heel slecht idee om dit verplicht te stellen.

Als men dan met het argument komt met ja maar ‘terrorisme/kinderporno’, deze kunnen met ouderwets politie werk opgespoord worden. Het opheffen van encryptie of eisen van een backdoor is geen garantie dat deze worden opgelost. Integendeel, veel van de huidige aanslagen waren van te voren al bekend en konden toch nog plaats vinden (mede omdat overheidsdiensten de speld in de hooiberg niet kunnen vinden).  Bovendien is de kans dat criminelen de backdoors ook kunnen gebruiken niet denkbeeldig. Voor Griekse telefoonsysteem zat ook een overheids backdoor in waarvan misbruik gemaakt is waardoor ministers zijn afgeluisterd. Indien iemand dan toch in geheim wil communiceren zoeken ze wel een systeem waar geen overheidswege verplichte backdoors in zit, dus dit heeft geen zin tegen de mensen die echt iets geheim wil houden. Uiteindelijk zullen alleen de brave burgers hiervan de dupe zijn, de overheid zou deze berichten ongelimiteerd kunnen lezen.

Links:

  • http://motherboard.vice.com/en_ca/read/the-united-states-is-angry-that-china-wants-crypto-backdoors-too
  • http://www.reuters.com/article/2015/02/27/us-china-security-idUSKBN0LV19020150227

Maker Festival Twente : Call for Makers

h630 & 31 Mei is er deze keer in de Performance Factory in Enschede weer een Maker Festival.

We hebben de naam gewijzigd maar de inhoud is gelijk gebleven. Net als vorige keer zal het weer een geordende chaos zijn met mensen die hun eigen creatieve projecten of producten laten zien. Wat deze allemaal gemeen hebben is het hoge DIY (of eigenlijk Do It Together gehalte) waarbij gebruik word gemaakt van nieuwe mogelijkheden zoals 3D printen, Arduino etc.

Heb je zelf iets mooi wat je wil delen met anderen? Schrijf je dan ook in voor de Maker Festival Twente. Dit kan op hun site op http://makerfestivaltwente.nl/aanmelden/ 

TOR (tijdens de 31c3)

Van 27-30 december was het jaarlijkse 31c3 congres in Hamburg. Dit is een jaarlijks congres georganiseerd door CCC. Dit jaar waren er 13000 hackers bijeen die lezingen & workshops geven en gezellig met elkaar rondhangen. Ook waren we met TkkrLab als assembly hackerspaces.nl aanwezig. Erg leuk om hier bij te zijn, zeker voor herhaling vatbaar.

Een van de lezingen die ik later heb gezien was ‘Tor: Hidden Services and Deanonymisation’. Met TOR kun je een ‘hidden service’ opzetten, dus een geheime webserver zeg maar.

2000571656Van al het Tor verkeer gaat 1,5% naar deze hidden Tor services. Onderzoekers hebben deze op inhoud onderzocht en geconcludeerd dat ongeveer 2% van deze servers ‘abuse’ (dus waarschijnlijk kinderporno) sites zijn. Dit is dus een heel klein percentage van het totaal verkeer van Tor.

Wat maakt de media van deze gegevens?

Beide titels kloppen domweg niet, beste media kunnen jullie echt niet rekenen? Van alle TOR verkeer is 1,5% interne services en hiervan weer 2% is kinderporno. Dus 0,03% van het totale TOR verkeer is niet wenselijk. Enige wat de onderzoeker aangeeft is dat er in verhouding veel ‘directory acces’ aanvragen zijn (in verhouding 80% van alle aanvragen). De onderzoeker geeft hierbij aan dat dit niet noodzakelijk mensen hoeven te zijn. In de Q&A na de lezing word wel aangegeven dat dit zou kunnen komen door het actief zoeken van de politie en andere diensten naar dit soort websites. Ik keur dit soort websites zeker niet goed, maar het is een heel klein gedeelte van het TOR verkeer, zeker niet een reden om het hele TOR netwerk op te veroordelen of af te schetsen als netwerk voor pedo’s.

Als je dan een mooie headline wil maken publiceer dan over veiligheidslekken in telefoonnetwerk of dat de NSA bijvoorbeeld ook grotendeels de VPN verkeer kan afluisteren (maar niet OTR, TOR en PGP !!)

Meer informatie :

Openbaar Ministerie en hackers

OM

Het OM heeft de enquete “Uw mening over straffen voor hacken” gemaakt waarin het publiek gevraag word om mee te helpen wat volgens hun een goede strafmaat zou zijn.  Op zicht is het een goede zaak dat OM mensen betrekt in dit soort dingen.

Waar ik echter grote problemen mee heb is dat hier het woord “hacken” totaal verkeerd gebruikt wordt. In de 3 casus die hier als voorbeeld worden gebruikt is er slechts 1 een echte hack. Echter hacken kun je ook op een goede manier doen (white hat / ethical hacken) waarbij je een gevonden lek meldt aan de eigenaar. Deze optie wordt in de casus in zijn geheel niet genoemd. Maw ook als hacker bent met goede intenties ben je in deze enquete per definitie schuldig aan een criminele activiteiten.

Inmiddels zou het OM toch beter moeten weten, er is een ‘Responsible Disclosure beleid‘ waar casus 3 onder zou kunnen vallen, hiermee zou de hacker geen criminele activiteit hebben uitgevoerd.  Echter in de case ontbreekt deze optie volledig. Hierdoor krijgen de mensen op de straat weer de indruk dat ALLE  hackers per definitie crimineel zijn. De hacker community heeft hierover een brief geschreven (ook ondertekend door TkkrLab) naar OM om dit onder de aandacht te brengen.

Dit is weer het zoveelste geval waaruit blijkt dat de overheid totaal geen benul heeft van ICT en aanverwante zaken. Hoog tijd dat er wat mensen in de politiek komen die wel wat bit & bytes in hun bloed hebben.

Wat vind jij, zou iemand zwaarder moeten worden bestraft omdat er een computer gebruikt is? Laat me weten in het commentaar!

Voor de liefhebbers hieronder de volledige enquete en mijn opmerkingen per case. Het antwoord dat ik zou kiezen, bv geen straf, stond in de meeste gevallen niet bij de opties (deze waren : geldboete of gevangenisstraf of taakstraf, zwaarder of lichter straffen)

Casus 1 internetbankieren
Mevrouw De Boer (35 jaar) gaat achter haar computer zitten om te internetbankieren. Ze opent haar persoonlijke pagina van de bank en ziet dat er 500 euro is overgeschreven naar een rekeningnummer wat ze niet kent. Mevrouw De Boer heeft geen toestemming gegeven voor deze overboeking. Mevrouw De Boer herinnert zich een telefoontje van een week geleden. Haar bank belde om de persoonlijke gegevens van haar te controleren. Ze heeft haar inloggegevens gegeven, omdat ze er vanuit ging dat dit nodig was. Echter, bleek het telefoontje van een crimineel te zijn, die zich voor heeft gedaan als de bank van mevrouw De Boer. De crimineel heeft op deze manier de privégegevens van deze mevrouw bemachtigd en daarmee geld (500 euro) over weten te maken vanaf de rekening van mevrouw De Boer naar een andere rekening.

We hebben het hier dus over een phishing geval waarbij de slachtoffer via social enginering haar eigen gegevens aan de crimineel heeft gegeven. Een vorm van oplichting dus waarbij ‘toevallig’ een computer gebruikt is. Dit is niet iets wat ik hacken zou noemen .Voor de straffen zou ik kijken naar wat gangbaar is indien er geen computer gebruikt zou zijn.

3. Dit maal is er geen sprake geweest van een neptelefoontje. De bank geeft mevrouw De Boer aan dat een crimineel kwaadaardige software heeft gebruikt om de gegevens van mevrouw De Boer te achterhalen. Mevrouw De Boer herinnert zich dan dat ze op een link heeft geklikt in een e-mail, waarin stond dat daarmee een beveiligingsupdate van de bank zou worden geïnstalleerd. De e-mail is echter verstuurd door de crimineel en deze heeft zo de inloggegevens van mevrouw De Boer bemachtigd. Met deze gegevens heeft de crimineel geld overgemaakt vanaf de rekening van mevrouw De Boer naar een andere rekening.

Ook hier is geval van oplichting, waarbij virus / spyware is gebruikt om de gegevens te achterhalen. Een ‘normale’ criminele activiteit waarbij toevallig een computer gebruikt word.

Casus 2 Sociale media

De 18-jarige Laura bekijkt haar persoonlijke pagina op Facebook. Op deze pagina ziet Laura dat er allerlei beledigende teksten zijn geplaatst. Het lijkt net alsof Laura deze teksten zelf op haar persoonlijke pagina heeft geplaatst. In werkelijkheid heeft zij deze teksten helemaal niet geplaatst. Laura heeft haar inloggegevens voor haar persoonlijke pagina op Facebook gedeeld met haar beste vriendin Jolien (ook 18 jaar). Ze hebben echter gisteren ruzie gehad. Jolien blijkt de teksten uit boosheid op de persoonlijke pagina van Laura gezet te hebben. Het lijkt hierdoor net alsof Laura deze teksten heeft geschreven.

 

Als je als persoon je wachtwoord deelt met derden ben je daar zelf verantwoordelijk voor. Indien je achteraf denkt dat het niet slim was kun je wachtwoord natuurlijk wijzigen. Dit is dan ook een persoonlijk conflict waarbij een computer gebruikt word. Mijn inziens is dit nog het verst van hacken verwijderd en vraag me dan ook af wat deze casus in de enquete doet.

Casus 3 Hack op telecomprovider

Een grote aanbieder van telefoondiensten beheert een miljoen mobiele en vaste telefoonnummers in Nederland. De provider komt erachter dat klantgegevens (namen, adresgegevens, telefoonnummers en bankgegevens) zonder toestemming zijn bekeken door iemand. Deze persoon heeft digitaal ingebroken in het computersysteem van de aanbieder. De meerderjarige dader is nu in het bezit van de gegevens van ongeveer duizend klanten.

Dit is de enige case waarbij hacken nog enigszins terecht gebruikt is. Echter een belangrijk stukje informatie ontbreekt om een goede beoordeling te maken, namelijk of de hacker inbreekt om een lek aan te tonen of dat hij dit voor (persoonlijke) geldelijk gewin doet. Mijns inziens is dit een essentieel verschil om te bepalen of de hacker überhaupt straf zou moeten krijgen.

14. De dader plaatst de duizend klantgegevens op het internet. Deze gegevens zijn daardoor voor iedereen toegankelijk.

In een enkele geval is dit de enige manier om een lek aan te tonen en
de eigenaar in beweging te krijgen. Ook hier is weer essentieel met welk doel is dit gedaan. Dus het plaatsen op zicht zou ik niet meteen als strafbaar willen zien, hoe vervelend het ook voor het bedrijf en personen is.

15. De dader heeft toegang tot het computersysteem van de aanbieder van telefoondiensten en zorgt ervoor dat de website van de aanbieder onbereikbaar is voor alle personen (waaronder klanten).

De meeste hacks hebben niet een dergelijke invloed. Je ziet wel vaak dat de bedrijf dat gehackt is de systemen tijdelijk offline halen om te onderzoeken wat er precies is gebeurt, maar dat is dan keuze van het bedrijf zelf.

16.De dader is een oud-werknemer van de aanbieder van telefoondiensten en is recent ontslagen door dat bedrijf.

In dit geval is het een arbeids conflict, niet een activiteit van een hacker.

17. De dader is een 17-jarige jongen die wilde opscheppen tegenover zijn vrienden over zijn computerkennis.

Veel jongere van die leeftijd kunnen de consequenties van hun acties nog niet altijd overzien. In dit soort gevallen zou een goed gesprek en een fikse waarschuwing meer op zijn plek zijn dan gevangenis straf en geldboetes.

18. De aanbieder van telefoondiensten is vorig jaar door de overheid al gewezen op bepaalde fouten in het computersysteem. Deze fouten heeft de aanbieder nooit gerepareerd. De aanbieder heeft geen maatregelen getroffen.

In dit geval zou ik de hacker geen straf opleggen en de verantwoording in zijn geheel bij de telecom provider leggen. Hij is immers gewaarschuwd en heeft er voor gekozen om hier niks aan te doen.

Voor meer informatie:

 

Makerspace vs Hackerspace vs FabLab

ArTechLab tijdens de Moba Arnhem

Je hebt tegenwoordig veel verschillende plekken waar je zelf met digitale fabricage technieken kunt gebruiken. Alhoewel deze vrijwel allemaal dezelfde tools gebruiken  zoals een 3D printer, laser cutter, vinyl cutter etc. zitten er toch verschillen tussen deze plekken.

Hieronder een korte uitleg wat de verschillen zijn en overeenkomsten.

Hackerspace

De hacker in dit is niet de door de media misbruikt woord voor een computer crimineel (cracker). De originele betekenis van hacker is ‘iemand die creatief is met techniek’. Merk hierbij op det het niet perse computer gerelateerd hoeft te zijn, ook als je een ikea meubel ‘hackt’ voor een ander doel dan waarvoor het bedoeld is valt dat ook onder hacken. 

In Nederland zijn er 12 hackerspaces die gemeenschappelijke interesses hebben zoals open source, internet privacy, python, arduino en meer. Er word door de leden zelf of gezamenlijk projecten uitgevoerd om dingen te maken en om dit te faciliteren gebruikt men bij voorkeur tools die digitaal aangestuurd kan worden. Maar het hebben van deze tools is niet het doel van een hackerspace.

Behalve de projecten is een hackerspace ook een sociale ontmoetingsplek waar je met gelijkgestemden kunt hebben over relevante onderwerpen en gemeenschappelijk naar interessante evenement gaat (binnekort is er bv OHM2013 ) of een BBQ houdt.

FabLab

FabLab is een concept van MIT hoogleraar Neil Gershenfeld en bedoeld als een laboratorium waar je met behulp van digitale productie tools een prototype kunt bouwen of onderzoek kunt verrichten. Om de titel FabLab te mogen dragen word ook eisen gesteld aan de beschikbare tools gesteld. De meeste FabLab zijn geallieerd aan een hoge school, universiteit of andere op innovatie gerichte instelling die (deel van) financiering voor zijn rekening neemt. Om de kosten te kunnen dekken moet een FabLab ook wat commerciëler zijn en word er meestal ook een (kleine) vergoeding gevraagd voor het gebruik van materiaal en apparatuur.

Makerspace

Heel kort gezegd een makerspace is een plek waar je voor een vergoeding de beschikbare apparatuur kunt gebruiken. Op dit moment is Nederland zover ik weet een echte makerspace rijk namelijk zb45 in Amsterdam. Bij een maker space gaat het dus echt om de tools.

In Amerika is de naam Makerspace verbonden aan MAKE magazine, die onder deze vlag in scholen een lokaal inrichten met de rijtje tools. Helaas word dit ook door DARPA (Usa defensie programma) gesponsert waardoor het voor aantal mensen een beetje negatieve  beeld heeft gekregen. Een makerspace moet dienen om creativiteit te bevorderen en niet voor recruiten van toekomstige soldaten.

Conclusie

Hoewel er veel overeenkomsten zijn in de gebruikte middelen in een hackerspace, fablab en makerspace heeft ieder toch zijn eigen insteek met welk doel deze gebruikt word. Soms is de hier gemaakte scheiding wat kunstmatig en zal er in de praktijk vaker overlappingen zijn of samenwerkingen tussen deze instellingen.

Wat vind jij, is dit onderscheid terecht en duidelijk? 

TkkrLab hackerspace

Het is een poosje stil geweest op mij blog geweest, de reden is dat ik een nieuwe hobby heb gevonden namelijk TkkrLab.

Afgelopen zomer ben op de eth0 zomer kamp geweest en heb voor het eerst kennis gemaakt met FablabTruck en hackerspace Revspace.

Eerst voor de mensen die het niet weten wat een hackerspace is, hier een definitie: “een fysieke ruimte om gezamenlijk creatieve kunst- hardware- en software projecten te doen”. Dus geen crackers die gaan inbreken op computers. Alles wat normaal verboden is, is ook in een hackerspace verboden. Een voorbeeld van wat we wel doen is bv met open source hardware zoals de Arduino bezig zijn of wat dingen uitzoeken met Unbuntu.

Ik vond de Fabtruck en Revspace zo leuk dat ik het heel jammer vond dat er een dergelijke ruimte er nog niet in Twente was.

Op dat moment kun je twee dingen doen: wachten tot iemand ander het opricht of zelf aan de slag gaan.

Voor de laatste optie heb ik gekozen, op 28 dec heb ik in Mac Berlijn in Enschede een eerste meeting gehouden van Tkkrlab waar ongeveer 15 mensen waren. Daarna hebben we twee wekelijks een meetup gehouden eerst bij mensen prive thuis en daarna tijdelijk bij de Tetem / Fabrieksschool.

Via project “Tussentijd” van Tetem hebben we sinds 18 februari een tijdelijke anti-leegstand ruimte tot onze beschikking gekregen aan de Molenstraat 74 in Enschede. De afgelopen weken zijn we druk bezig geweest met de inrichting van deze ruimte. We hebben nu een electronica hoek en een tool hoek waar men aan de slag kan gaan om creatief bezig te zijn. Als je lid bent kun je er altijd in wanneer je ook maar wilt, dus mocht je midden in de nacht ineens inspiratie hebt kan dat. In de praktijk wil het wel eens laat worden voordat de ruimte sluit, tijden na middernacht zijn geen uitzondering.

We zijn iedere dinsdag avond open vanaf 19:00 kom gerust langs als je kennis wilt maken met Tkkrlab. Mocht je op een ander moment willen langs komen kijk dan hier of we open zijn en kom dan kijken in onze space.