De overheid houdt een internet consulaat over de nieuwe wet Wiv (Wet op de inlichtingen- en veiligheidsdiensten) met daarin een aantal vergaande voorstellen. Hierop heb ik mijn mening gegeven die je hieronder kunt lezen, reageer voor 1-9-2015 en laat de overheid weten wat je van dit voorstel vind!
Het kan soms raar lopen in de internationale betrekkingen. Amerika eist backdoors in systemen, de Chinese overheid wil wetten gaan aannemen waarin dezelfde backdoors verplicht word gesteld, maar hiervan zegt Amerika dat dit een slecht idee is voor de wereld en china. Het lijkt er op dat USA alleen backdoors wil hebben die ze alleen zelf kunnen gebruiken, het idee dat China soortgelijke mogelijkheden hebben word afgekeurd.
Het is een elke decennia wel een terugkerende discussie of encryptie gewenst is en of er voor de overheid een backdoor in moet zitten. Hier is al in de jaren 90 de conclusie uitgekomen dat een backdoor te veel risico’s geven en de belangen van internationale handel en veiligheid beschadigen.
Tevens hebben bedrijven zoals Apple ontdekt dat de klanten in toenemende mate eisen om privacy waarborgen. Tegenwoordig encryptie Apple je iPhone zodat Apple (of politie en andere overheidsdiensten) deze niet kan lezen. Ook bedrijven zoals Google en Yahoo geven aan dat encryptie noodzakelijk is om de privacy van burgers en bedrijven te waarborgen. Deze bedrijven zijn ook actief bezig om hun diensten verder te beveiligen tegen inkijk van derde partijen.
De Amerikaanse overheidsdiensten zijn niet gelukkig met deze ontwikkelingen en heeft recentelijk bedrijven opgeroepen om in hun producten ‘voor nationale veiligheid’ een backdoor te maken. Ze noemen het wel anders, ze hebben het over de voordeur of het gebruik van een ‘Golden key’, maar hoe je het ook noemt het blijft een backdoor.
Met een backdoor zou je op een alternatieve manier in een systeem komen. Hierbij worden de normale (veiligheids) checks geheel overgeslagen. Het vervelende van een backdoor is dat deze niet kijkt wie gebruik maakt van de backdoor. Iedereen die weet hoe de backdoor werkt, dus ook de criminelen of kwaadwillende overheid, kan op deze manier eenvoudig binnenkomen. Vergelijk het met een achterdeur wat je met een pincode, iedereen die de pincode weet kan zonder problemen binnen zonder onderscheid te maken naar persoon.
Aantal grote bedrijven gaan hier tegen is zoals Google en Yahoo zijn er ook fel op tegen. Het maken van een backdoor, op welke manier ook, maakt het systeem per definitie onveilig.
China heeft aangekondigd om de wetgeving aan te passen waarbij bedrijven verplicht word op key aan de overheid te geven en backdoors in te bouwen in de software. Vreemd genoeg heeft USA aan China een brief geschreven waarin zij dit niet een goed idee vinden. Toch wel vreemd dat een backdoor wel een goed idee is voor Amerika maar een heel slecht idee voor China. Iets met meten met twee maten?
Enige oplossing is om er voor te zorgen dat encrypty gewoon goed werkt. Backdoors is een gapende gat in de beveiliging die je met encryptie wil bereiken, dus het is een heel slecht idee om dit verplicht te stellen.
Als men dan met het argument komt met ja maar ‘terrorisme/kinderporno’, deze kunnen met ouderwets politie werk opgespoord worden. Het opheffen van encryptie of eisen van een backdoor is geen garantie dat deze worden opgelost. Integendeel, veel van de huidige aanslagen waren van te voren al bekend en konden toch nog plaats vinden (mede omdat overheidsdiensten de speld in de hooiberg niet kunnen vinden). Bovendien is de kans dat criminelen de backdoors ook kunnen gebruiken niet denkbeeldig. Voor Griekse telefoonsysteem zat ook een overheids backdoor in waarvan misbruik gemaakt is waardoor ministers zijn afgeluisterd. Indien iemand dan toch in geheim wil communiceren zoeken ze wel een systeem waar geen overheidswege verplichte backdoors in zit, dus dit heeft geen zin tegen de mensen die echt iets geheim wil houden. Uiteindelijk zullen alleen de brave burgers hiervan de dupe zijn, de overheid zou deze berichten ongelimiteerd kunnen lezen.
Links:
Op 7 januari is er in Parijs een terroristische aanslag gepleegd op Charlie Hebdo door een twee terroristen. Het is natuurlijk verschrikkelijk wat daar gebeurt is en ik wil natuurlijk mijn medeleven mededelen aan de slachtoffers.
Dat gezegd hebbende wat vind ik van dit hele gebeurtenis?
Om te beginnen zou ik toch (te?) rationeel willen kijken naar deze gebeurtenis. In totaal zijn er 12 slachtoffers. Hoe treurig het ook is dat deze mensen door een gewelddadige wijze het leven hebben moeten laten, het is procentueel gezien nog steeds een zeer kleine kans dat je dit overkomt. De kans dat je door bliksem word getroffen of uitglijd onder de douche is vele malen hoger dan dat je om het leven komt door een aanslag. In USA is het 4x meer waarschijnlijk dat je word neergeschoten door een agent dan dat je slachtoffer word van een terroristische aanval. Een terroristische aanslag is dus gelukkig een zeer zeldzame gebeurtenis .
Wat me ook opvalt is dat de daders bekenden waren (net zoals o.a. bij de aanslag in Boston) bij overheden. Hoe kan het dan dat dergelijke personen dan toch nog de gelegenheid hebben om een aanslag voor te bereiden en uit te voeren? Ondanks alle middelen die de geheime diensten tot hun beschikking hebben lukt het hun niet om na initiële signalering ze te blijven volgen. Ondertussen word alle gegevens van onschuldige burgers gelogd. Ergens gaat bij de veiligheidsdiensten iets goed fout, ze volgen niet de mensen die ze zouden moeten volgen, maar bespioneren wel de burgers die onschuldig zijn.
Des te vreemder vind ik dat bv MIVD de dag na de aanval meteen om nog meer bevoegdheden vragen. Als dit soort situaties iets aangeeft is dat men nu genoeg informatie heeft maar deze niet of verkeerd gebruikt. Het zou kunnen zijn dat ze moeite hebben om de juiste informatie te halen uit de stroom die ze nu krijgen, wat zou pleiten dat ze MINDER privacygevoelige gegevens zouden moeten krijgen.
Helaas is dit een herkenbaar patroon aan het worden. Er word ergens een terroristische aanslag gepleegd en door de overheidsdiensten zoals MIVD/CIA/FBI word er meteen gevraagd om meer bevoegheden want ‘terrorisme’ (of ‘kinderporno’).
Het inleveren van je privacy betekend niet meer veiligheid !!
Van 27-30 december was het jaarlijkse 31c3 congres in Hamburg. Dit is een jaarlijks congres georganiseerd door CCC. Dit jaar waren er 13000 hackers bijeen die lezingen & workshops geven en gezellig met elkaar rondhangen. Ook waren we met TkkrLab als assembly hackerspaces.nl aanwezig. Erg leuk om hier bij te zijn, zeker voor herhaling vatbaar.
Een van de lezingen die ik later heb gezien was ‘Tor: Hidden Services and Deanonymisation’. Met TOR kun je een ‘hidden service’ opzetten, dus een geheime webserver zeg maar.
Van al het Tor verkeer gaat 1,5% naar deze hidden Tor services. Onderzoekers hebben deze op inhoud onderzocht en geconcludeerd dat ongeveer 2% van deze servers ‘abuse’ (dus waarschijnlijk kinderporno) sites zijn. Dit is dus een heel klein percentage van het totaal verkeer van Tor.
Wat maakt de media van deze gegevens?
Beide titels kloppen domweg niet, beste media kunnen jullie echt niet rekenen? Van alle TOR verkeer is 1,5% interne services en hiervan weer 2% is kinderporno. Dus 0,03% van het totale TOR verkeer is niet wenselijk. Enige wat de onderzoeker aangeeft is dat er in verhouding veel ‘directory acces’ aanvragen zijn (in verhouding 80% van alle aanvragen). De onderzoeker geeft hierbij aan dat dit niet noodzakelijk mensen hoeven te zijn. In de Q&A na de lezing word wel aangegeven dat dit zou kunnen komen door het actief zoeken van de politie en andere diensten naar dit soort websites. Ik keur dit soort websites zeker niet goed, maar het is een heel klein gedeelte van het TOR verkeer, zeker niet een reden om het hele TOR netwerk op te veroordelen of af te schetsen als netwerk voor pedo’s.
Als je dan een mooie headline wil maken publiceer dan over veiligheidslekken in telefoonnetwerk of dat de NSA bijvoorbeeld ook grotendeels de VPN verkeer kan afluisteren (maar niet OTR, TOR en PGP !!)
Meer informatie :
Er zijn een aantal privacy cafe’s gepland in Twente die ik help te organiseren. Schrijf je in voor :
Voor wie het niet kent, bij het Privacy Café leer je je persoonlijke gegevens te beveiligen. Zie het als digitale zelfverdediging. Dit kan op diverse niveau, voor de beginners (hoe bedenk je een veilig wachtwoord) tot geavanceerd (encryptie van je email en systeem) . Voor meer informatie kun je vinden op de site van Privacy Cafe.
Persoonlijk vind ik dat iedereen dit een keer bezocht moet hebben, aangezien je hier de basis kunt leren hoe je privacy online behoud. Als Snowden ons een ding heeft geleerd is dat dit soort tools (zoals encryptie) gewoon werkt voor het behouden van je privacy.
Zoals je ziet heb ik een paar dagen mogen spelen met een Google Glass (met dank aan TwentseWelle).
Wat is een Google Glass
Het is in feite een klein android device die je op je hoofd zet. Je hebt een kleine display voor je oog en een soort touchpad aan de zijkant van de bril. Je kunt ook voice commando’s geven (zonder dat je google glass hiervoor getraind heb).
Omdat die zo klein is heeft Google erg moeten optimaliseren. Dit merk je in de power die de bril heeft (soms erg traag) en als je het intensief gebruikt in batterij leven.
Een Google Glass heeft ingebouwde Wifi en blue tooth. Vrijwel alle applicaties hebben internet toegang nodig, dit zit niet in de Goolge Glass. Dit kun je oplossen door op een locale Wifi in te loggen of je mobile telefoon als acces point / hotspot in te stellen.
Hoe gebruik je een Google Glass?
Omdat je toch in een andere form factor zit dan een mobile telefoon heeft Google een eigen besturing bedacht. Je moet de Google Glass eerst uit de standbij halen, dit kan door even omhoog te kijken of de touchpad aantikken. Hierna kun je diverse commando’s geven.
Bijvoorbeeld om een foto te maken zijn er verschillende opties :
Vooral in het beging is de bediening even wennen, je kunt dus voice commando’s geven of via de touchpad met verschillende swipes bewegingen door de menu’s gaan. Als je hier eenmaal gewend aan bent is de telefoon goed te bedienen.
Op dit moment valt me de aanbod van applicaties wat tegen. Ik heb ‘World Lens’ gebruikt (realtime woorden vertalen) en Layar (deze kunt je vrij eenvoudig buiten de appstore om op je Google Glass installeren). Voor de rest zitten er natuurlijk standaard applicaties bij, maar de wow factor ontbreekt er nog.
Conclusie
Persoonlijk viel me de Google Glass wat tegen, wellicht kwam dit ook door de hoge verwachtingen. Als je dingen moet doen waar je beide handen bij nodig hebt zie ik nog wel toepassingen.
Ik heb de bril niet echt veel in het openbaar gedragen, ik was nog wel benieuwd of ik reacties zou krijgen ivm privacy. Dit het ik welgeteld van 1 persoon gekregen, de anderen waren vooral nieuwsgierig naar de Google Glass.
De Google Glass is de eerste generatie van dit product, op dit moment denk ik dat het nog alleen interessant is voor een kleine groep gadget liefhebbers. Wellicht dat 1 a 2 generaties battery duur veel beter is en power beter is.
In ieder geval hou ik het bij mijn mobieltje.
Persoonlijk ben ik een voorstander van privacy rechten. Ik erger me er dan ook wel eens aan dat mensen uitspraken doen zoals “ik heb niks te verbergen”. Met de Snowden onthullingen blijkt dat privacy het vandaag de dag niet meer vanzelfsprekend is. Zo werd in 1971 nog gedemonstreerd tegen de volkstelling, vandaag deelt iedereen vrijwillig zijn diepste geheimen met Facebook. Ik vraag me af hoe het komt dat we nu massaal onze privacy zo roekeloos ter grabbel gooien.
Om mensen bewust te maken ben ik bezig met het organiseren van een privacy event “Privacy is dood, lang leve privacy” in Enschede. We willen openen met de documentaire ‘Panopticon’ en daarna een maand lang iedere week een lezing te houden over privacy. Tevens wil ik mensen laten zien wat men kan doen om de privacy terug te krijgen door gebruik te maken van tools zoals PGP, TOR etc.
Om dit event een succes te maken ben ik op dit moment ben ik op zoek naar :
Denk je dat je bij een van de bovenstaande punten kunt helpen neem dan contact met me op. Iedere hulp kunnen we gebruiken!
Lees meer op de site Privacy Enschede.