Wifi tracking Enschede

 

Krantenartikel op tctubantia

Ik heb een interview gegeven aan Tubantia over de Wifi tracking in Enschede.  Voor de mensen die hiermee niet bekend zijn, indien je een met je telefoon of ander wifi apparaat rond loopt zal deze altijd zoeken naar bekende Wifi netwerken. Bij dit zoeken word je MAC adres meegegeven, dit is een wereldwijd uniek hardware adres. Je kunt voorkomen dat je dit uitzend door je wifi uit te zetten, je moet dan iedere keer dat je van huis gaat wifi uit zetten en als je weer thuis komt aanzetten.  Je kunt ook bij tracking bedrijf opt-out hier aangeven.

Het bedrijf dit dit in opdracht van gemeente Enschede uitvoert geeft aan dat ze je MAC adres versleutelen, maar helaas word hier niet aangegeven hoe ze dit doen. Ik heb het vermoeden dat men dit dmv een hash doen, nadeel hiervan is dat dit nog steeds uniek is. Naar gemeente Enschede word alleen totalen gegeven, dus deze krijgt geen inzicht in MAC of andere unieke gegevens.

Vandaag de dag word vrijwel alles wat geregistreerd kan worden zonder dat er een noodzaak voor is. Al onze gegevens worden verkocht voor ‘betere service’ of ‘gerichte reclame’ zonder dat de gebruiker echt een keuze in heeft. Ik zou graag in de toekomst zien dat producten ‘privacy by design’ heeft, ipv alles vastleggen en verkopen. Gelukkig komt dit besef langzamerhand.

Onzin van Sleepnet surveillance

De wet die sleepnet-surveillance mogelijk moet maken (wet inzake wijziging Wet op de inlichtingen- en veiligheidsdiensten) staat op het punt om aangenomen te worden. Deze wet is helaas al door de Tweede kamer en moet nog door de Eerste kamer goedgekeurd worden. Heel kort geeft deze wet AIVD en andere veiligheidsdiensten de mogelijkheid om grote groepen mensen tegelijkertijd af te tappen en deze gegevens voor 3 of 6 jaar op te slaan. Je hoeft dus geen verdachte te zijn of iets strafbaars gedaan hebben om in een dergelijke sleepnet terecht te komen.

Natuurlijk zegt de AIVD dat ze deze verruiming van de wet nodig hebben in verband met ‘terrorisme’ ™. Voorheen was het alleen toegestaan om gegevens uit de ether af te luisteren, maar dat is omdat iedere radioamateur dit kan. Om dit te ‘upgraden’ naar kabel omdat dit ouderwets zou zijn vind ik een hele slechte reden. Indien iemand verdacht is, zijn er genoeg middelen om deze persoon af te tappen of op een andere manier in de gaten te houden, helemaal indien er een verdenking van terrorisme is. Ook is het nog niet aangetoond dat dit daadwerkelijk aanslagen heeft voorkomen. Bij vrijwel alle bekende aanslagen waren de personen op de een of andere manier al bekend bij de politie.

Een Amerikaans onderzoek hiernaar gaf aan dat er in eerste instantie 54 gevallen waren waarbij gegevens uit sleepnet gebruikt werden. Bij nader onderzoek bleef hier 1 twijfelachtige zaak over van een taxichauffeur die geld heeft overgemaakt naar een organisatie. Als dit het resultaat is van een grootschalig sleepnet waarin vele onschuldige burgers hun privacy totaal verliezen dan is dit wel een heel hoge prijs.

De nadelen van een sleepnet konden wel eens groter zijn dan de zogenoemde voordelen. Indien een groot deel van de bevolking onder surveillance ligt, zal men bewust of onbewust niet meer vrijuit spreken. In beroepen waar vertrouwen van een privégesprek essentieel is zoals advocaten, artsen en ook journalisten kan niet meer gegarandeerd worden dat een gesprek ook echt privé is. De AIVD en andere (buitenlandse) diensten kunnen dan tot 3 (!) jaar terug kijken wie met wie gesproken heeft en ook de inhoud van deze gesprekken inzien. Indien een klokkenluider een misverstand in de overheid wil gaan melden moet men uitzonderlijke maatregelen nemen om er zeker van te zijn dat de persoonsgegevens van deze niet bekend word. Een klokkenluider bedenkt zich dan wel twee keer voordat deze daadwerkelijk gaat melden, terwijl deze een essentiële rol speelt in een goedwerkende maatschappij en democratie.

Ook jij kunt wat te verbergen hebben. Dit begint al met je identiteit, indien deze voor een crimineel inzichtelijk is kan hij zich als jou voordoen en bijvoorbeeld op jouw naam schulden aangaan of contracten afsluiten. Ook je persoonlijke mening die je aan je vrienden vertelt kan privé zijn, maar indien deze voor iedereen inzichtelijk wordt, kan het in een veranderend politiek klimaat gebeuren dat je ineens achtervolgd wordt door je eigen uitspraken. Voorbeelden hiervan zijn niet alleen in het verleden te vinden maar ook nu zoals wie de tegenstanders zijn van Trump of Erdogan.

Maar ook al heb jij persoonlijk ‘niks te verbergen’ hebt, zijn er genoeg mensen die dit wel hebben. Dit kan heel persoonlijke dingen zijn zoals je seksuele voorkeur of politiek keuze. Niet iedereen zal het prettig vinden dat dit bij de buurman bekend is. Ook hierom moeten we onze privacy beschermen, niet alleen voor jou maar voor de hele maatschappij.

Privacy is een essentieel burgerrecht waarvoor de Piratenpartij als kernpunt zich sterk maakt. Met de ontwikkelingen op digitaal gebied is het steeds belangrijker dat de privacy van de gebruikers gerespecteerd worden en zowel overheden als bedrijven dit inzien.

Informeer jezelf over :

Onderzoek naar effecten sleepnet (NSA) : New Yorker , New America, ACLU Rapport

Dit opiniestuk is ook gepubliceerd op site Piratenpartij.

Privacy lezing Bibliotheek Enschede

4-camera-surveillance-system

Afgelopen Zaterdag 19 November heb ik bij de bibliotheek Enschede gehouden. Het was een interessante interactieve lezing met goede vragen van de aanwezige mensen.

Enkele highlights uit de presentatie :

  • Privacy is een grondrecht, dus je zou niet hoeven te verklaren of verdedigen waarom je privacy nodig hebt.
  • Wat je wel te verbergen hebt.
  • Privacy vs Veiligheid
  • Wat praktische tips hoe je privacy zou beschermen, zie ook https://toolkit.bof.nl 

Volledige presentatie kun je hier vinden.

 

Wiv voorstel : opheffing privacy

internetconsulatie-wiv

De overheid houdt een  internet consulaat over de nieuwe wet Wiv  (Wet op de inlichtingen- en veiligheidsdiensten) met daarin een aantal vergaande voorstellen. Hierop heb ik mijn mening gegeven die je hieronder kunt lezen, reageer voor 1-9-2015 en laat de overheid weten wat je van dit voorstel vind!

Continue reading

Backdoors en ‘Golden key’

usa-china2

Het kan soms raar lopen in de internationale betrekkingen. Amerika eist backdoors in systemen, de Chinese overheid wil wetten gaan aannemen waarin dezelfde backdoors verplicht word gesteld, maar hiervan zegt Amerika dat dit een slecht idee is voor de wereld en china. Het lijkt er op dat USA alleen backdoors wil hebben die ze alleen zelf kunnen gebruiken, het idee dat China soortgelijke mogelijkheden hebben word afgekeurd.

Het is een elke decennia wel een terugkerende discussie of encryptie gewenst is en of er voor de overheid een backdoor in moet zitten. Hier is al in de jaren 90  de conclusie uitgekomen dat een backdoor te veel risico’s geven en de belangen van internationale handel en veiligheid beschadigen.

Tevens hebben bedrijven zoals Apple ontdekt dat de klanten in toenemende mate eisen om privacy waarborgen. Tegenwoordig encryptie Apple je iPhone zodat Apple (of politie en andere overheidsdiensten) deze niet kan lezen. Ook bedrijven zoals Google en Yahoo geven aan dat encryptie noodzakelijk is om de privacy van burgers en bedrijven te waarborgen. Deze bedrijven zijn ook actief bezig om hun diensten verder te beveiligen tegen inkijk van derde partijen.

De Amerikaanse overheidsdiensten zijn niet gelukkig met deze ontwikkelingen en heeft recentelijk bedrijven opgeroepen om in hun producten ‘voor nationale veiligheid’ een backdoor te maken. Ze noemen het wel anders, ze hebben het over de voordeur of het gebruik van een ‘Golden key’, maar hoe je het ook noemt het blijft een backdoor.

Met een backdoor zou je op een alternatieve manier in een systeem komen. Hierbij worden de normale (veiligheids) checks geheel overgeslagen. Het vervelende van een backdoor is dat deze niet kijkt wie gebruik maakt van de backdoor. Iedereen die weet hoe de backdoor werkt, dus ook de criminelen of kwaadwillende overheid, kan op deze manier eenvoudig binnenkomen. Vergelijk het met een achterdeur wat je met een pincode, iedereen die de pincode weet kan zonder problemen binnen zonder onderscheid te maken naar persoon.

Aantal grote bedrijven gaan hier tegen is zoals Google en Yahoo zijn er ook fel op tegen. Het maken van een backdoor, op welke manier ook, maakt het systeem per definitie onveilig.

China heeft aangekondigd om de wetgeving aan te passen waarbij bedrijven verplicht word op key aan de overheid te geven en backdoors in te bouwen in de software. Vreemd genoeg heeft USA aan China een brief geschreven waarin zij dit niet een goed idee vinden. Toch wel vreemd dat een backdoor wel een goed idee is voor Amerika maar een heel slecht idee voor China. Iets met meten met twee maten?

Enige oplossing is om er voor te zorgen dat encrypty gewoon goed werkt. Backdoors is een gapende gat in de beveiliging die je met encryptie wil bereiken, dus het is een heel slecht idee om dit verplicht te stellen.

Als men dan met het argument komt met ja maar ‘terrorisme/kinderporno’, deze kunnen met ouderwets politie werk opgespoord worden. Het opheffen van encryptie of eisen van een backdoor is geen garantie dat deze worden opgelost. Integendeel, veel van de huidige aanslagen waren van te voren al bekend en konden toch nog plaats vinden (mede omdat overheidsdiensten de speld in de hooiberg niet kunnen vinden).  Bovendien is de kans dat criminelen de backdoors ook kunnen gebruiken niet denkbeeldig. Voor Griekse telefoonsysteem zat ook een overheids backdoor in waarvan misbruik gemaakt is waardoor ministers zijn afgeluisterd. Indien iemand dan toch in geheim wil communiceren zoeken ze wel een systeem waar geen overheidswege verplichte backdoors in zit, dus dit heeft geen zin tegen de mensen die echt iets geheim wil houden. Uiteindelijk zullen alleen de brave burgers hiervan de dupe zijn, de overheid zou deze berichten ongelimiteerd kunnen lezen.

Links:

  • http://motherboard.vice.com/en_ca/read/the-united-states-is-angry-that-china-wants-crypto-backdoors-too
  • http://www.reuters.com/article/2015/02/27/us-china-security-idUSKBN0LV19020150227

Je suis Charlie: in de naam van persvrijheid meer surveillance

Keep-calm-and-carry-on-scanOp 7 januari is er in Parijs een terroristische aanslag gepleegd op Charlie Hebdo door een twee terroristen. Het is natuurlijk verschrikkelijk wat daar gebeurt is en ik wil natuurlijk mijn medeleven mededelen aan de slachtoffers.

Dat gezegd hebbende wat vind ik van dit hele gebeurtenis?

Om te beginnen zou ik toch (te?) rationeel willen kijken naar deze gebeurtenis. In totaal zijn er 12 slachtoffers. Hoe treurig het ook is dat deze mensen door een gewelddadige wijze het leven hebben moeten laten, het is procentueel gezien nog steeds een zeer kleine kans dat je dit overkomt. De kans dat je door bliksem word getroffen of uitglijd onder de douche is vele malen hoger dan dat je om het leven komt door een aanslag. In USA is het 4x meer waarschijnlijk dat je word neergeschoten door een agent dan dat je slachtoffer word van een terroristische aanval. Een terroristische aanslag is dus gelukkig een zeer zeldzame gebeurtenis .

Wat me ook opvalt is dat de daders bekenden waren (net zoals o.a. bij de aanslag in Boston) bij overheden. Hoe kan het dan dat dergelijke personen dan toch nog de gelegenheid hebben om een aanslag voor te bereiden en uit te voeren? Ondanks alle middelen die de geheime diensten tot hun beschikking hebben lukt het hun niet om na initiële signalering ze te blijven volgen. Ondertussen word alle gegevens van onschuldige burgers gelogd. Ergens gaat bij de veiligheidsdiensten iets goed fout, ze volgen niet de mensen die ze zouden moeten volgen, maar bespioneren wel de burgers die onschuldig zijn.

Des te vreemder vind ik dat bv MIVD de dag na de aanval meteen om nog meer bevoegdheden vragen. Als dit soort situaties iets aangeeft is dat men nu genoeg informatie heeft maar deze niet of verkeerd gebruikt. Het zou kunnen zijn dat ze moeite hebben om de juiste informatie te halen uit de stroom die ze nu krijgen, wat zou pleiten dat ze MINDER privacygevoelige gegevens zouden moeten krijgen.

Helaas is dit een herkenbaar patroon aan het worden. Er word ergens een terroristische aanslag gepleegd en door de overheidsdiensten zoals MIVD/CIA/FBI word er meteen gevraagd om meer bevoegheden want ‘terrorisme’ (of ‘kinderporno’).

Het inleveren van je privacy betekend niet meer veiligheid !!

 

TOR (tijdens de 31c3)

Van 27-30 december was het jaarlijkse 31c3 congres in Hamburg. Dit is een jaarlijks congres georganiseerd door CCC. Dit jaar waren er 13000 hackers bijeen die lezingen & workshops geven en gezellig met elkaar rondhangen. Ook waren we met TkkrLab als assembly hackerspaces.nl aanwezig. Erg leuk om hier bij te zijn, zeker voor herhaling vatbaar.

Een van de lezingen die ik later heb gezien was ‘Tor: Hidden Services and Deanonymisation’. Met TOR kun je een ‘hidden service’ opzetten, dus een geheime webserver zeg maar.

2000571656Van al het Tor verkeer gaat 1,5% naar deze hidden Tor services. Onderzoekers hebben deze op inhoud onderzocht en geconcludeerd dat ongeveer 2% van deze servers ‘abuse’ (dus waarschijnlijk kinderporno) sites zijn. Dit is dus een heel klein percentage van het totaal verkeer van Tor.

Wat maakt de media van deze gegevens?

Beide titels kloppen domweg niet, beste media kunnen jullie echt niet rekenen? Van alle TOR verkeer is 1,5% interne services en hiervan weer 2% is kinderporno. Dus 0,03% van het totale TOR verkeer is niet wenselijk. Enige wat de onderzoeker aangeeft is dat er in verhouding veel ‘directory acces’ aanvragen zijn (in verhouding 80% van alle aanvragen). De onderzoeker geeft hierbij aan dat dit niet noodzakelijk mensen hoeven te zijn. In de Q&A na de lezing word wel aangegeven dat dit zou kunnen komen door het actief zoeken van de politie en andere diensten naar dit soort websites. Ik keur dit soort websites zeker niet goed, maar het is een heel klein gedeelte van het TOR verkeer, zeker niet een reden om het hele TOR netwerk op te veroordelen of af te schetsen als netwerk voor pedo’s.

Als je dan een mooie headline wil maken publiceer dan over veiligheidslekken in telefoonnetwerk of dat de NSA bijvoorbeeld ook grotendeels de VPN verkeer kan afluisteren (maar niet OTR, TOR en PGP !!)

Meer informatie :

Privacy Cafe Enschede en Hengelo

privacycafe

Er zijn een aantal privacy cafe’s gepland in Twente die ik help te organiseren. Schrijf je in voor :

Voor wie het niet kent, bij het Privacy Café leer je je persoonlijke gegevens te beveiligen. Zie het als digitale zelfverdediging. Dit kan op diverse niveau, voor de beginners (hoe bedenk je een veilig wachtwoord) tot geavanceerd (encryptie van je email en systeem) . Voor meer informatie kun je vinden op de site van Privacy Cafe.

Persoonlijk vind ik dat iedereen dit een keer bezocht moet hebben, aangezien je hier de basis kunt leren hoe je privacy online behoud. Als Snowden ons een ding heeft geleerd is dat dit soort tools (zoals encryptie) gewoon werkt voor het behouden van je privacy.

I am Borg(huis), resistance is futile.

photo 1

 

Zoals je ziet heb ik een paar dagen mogen spelen met een Google Glass (met dank aan TwentseWelle).

Wat is een Google Glass

Het is in feite een klein android device die je op je hoofd zet. Je hebt een kleine display voor je oog en een soort touchpad aan de zijkant van de bril. Je kunt ook voice commando’s geven (zonder dat je google glass hiervoor getraind heb).

Omdat die zo klein is heeft Google erg moeten optimaliseren. Dit merk je in de power die de bril heeft (soms erg traag) en als je het intensief gebruikt in batterij leven.

Een Google Glass heeft ingebouwde Wifi en blue tooth. Vrijwel alle applicaties hebben internet toegang nodig, dit zit niet in de Goolge Glass. Dit kun je oplossen door op een locale Wifi in te loggen of je mobile telefoon als acces point / hotspot in te stellen.

Hoe gebruik je een Google Glass?

Omdat je toch in een andere form factor zit dan een mobile telefoon heeft Google een eigen besturing bedacht. Je moet de Google Glass eerst uit de standbij halen, dit kan door even omhoog te kijken of de touchpad aantikken. Hierna kun je diverse commando’s geven.

Bijvoorbeeld om een foto te maken zijn er verschillende opties :

  • Camera knop (zit boven op de bril)
  • Knipoog (moet je wel de optie aanzetten, hiermee heb ik ook een aantal onbedoelde foto’s mee gemaakt)
  • Zeg “OK Glass, take picture”

Vooral in het beging is de bediening even wennen, je kunt dus voice commando’s geven of via de touchpad met verschillende swipes bewegingen door de menu’s gaan. Als je hier eenmaal gewend aan bent is de telefoon goed te bedienen.

Op dit moment valt me de aanbod van applicaties wat tegen. Ik heb ‘World Lens’ gebruikt (realtime woorden vertalen) en Layar (deze kunt je vrij eenvoudig buiten de appstore om op je Google Glass installeren). Voor de rest zitten er natuurlijk standaard applicaties bij, maar de wow factor ontbreekt er nog.

Conclusie

Persoonlijk viel me de Google Glass wat tegen, wellicht kwam dit ook door de hoge verwachtingen. Als je dingen moet doen waar je beide handen bij nodig hebt zie ik nog wel toepassingen.

Ik heb de bril niet echt veel in het openbaar gedragen, ik was nog wel benieuwd of ik reacties zou krijgen ivm privacy. Dit het ik welgeteld van 1 persoon gekregen, de anderen waren vooral nieuwsgierig naar de Google Glass.

De Google Glass is de eerste generatie van dit product, op dit moment denk ik dat het nog alleen interessant is voor een kleine groep gadget liefhebbers. Wellicht dat 1 a 2 generaties battery duur veel beter is en power beter is.

In ieder geval hou ik het bij mijn mobieltje.

Privacy Event

 

privacy_logo2

Persoonlijk ben ik een voorstander van privacy rechten. Ik erger me er dan ook wel eens aan dat mensen uitspraken doen zoals “ik heb niks te verbergen”. Met de Snowden onthullingen  blijkt dat privacy het vandaag de dag niet meer vanzelfsprekend is. Zo werd in 1971 nog gedemonstreerd tegen de volkstelling, vandaag deelt iedereen vrijwillig zijn diepste geheimen met Facebook.  Ik vraag me af hoe het komt dat we nu massaal onze privacy zo roekeloos ter grabbel gooien.

Om mensen bewust te maken ben ik bezig met het organiseren van een privacy event “Privacy is dood, lang leve privacy” in Enschede. We willen openen met de documentaire ‘Panopticon’ en daarna een maand lang iedere week een lezing te houden over privacy. Tevens wil ik mensen laten zien wat men kan doen om de privacy terug te krijgen door gebruik te maken van tools zoals PGP, TOR etc.

Om dit event een succes te maken ben ik op dit moment ben ik op zoek naar :

  • Diverse Vrijwilligers, vooral mensen die goed zijn met teksten
  • Kleine en grote Donateurs en sponsors (voor huur filmzaal en drukwerk voor promotie)

Denk je dat je bij een van de bovenstaande punten kunt helpen neem dan contact met me op. Iedere hulp kunnen we gebruiken!

Lees meer op de site Privacy Enschede.