Tweaker meets CDA

Door arnoudwokke op woensdag 18 mei 2011 20:48 - Reacties (31)
Categorie: -, Views: 5.660

Vaak hebben schrijfsels gevolgen die je niet kunt voorzien: ik schreef deze week blogpost als reactie op een pleidooi van CDA Tweede Kamerlid Raymond Knops over ict-beveiliging en privacy.

Voor wie het gemist heeft: Knops gaf in zijn opiniestuk geen oplossingen, maar zei wel dat we 'we op korte termijn de discussie van Privacy vs. Veiligheid moeten voeren'.

Ik betoogde dat er helemaal geen tegenstelling 'privacy vs veiligheid' is en dat de politiek er goed aan zou doen naar andere oplossingen te kijken, die de privacy van internetters niet aantasten. Daarbij droeg ik een paar oplossingen aan voor het probleem dat hij zag: ons beveiligen tegen 'cybercriminaliteit', kwaadwillenden die het hebben voorzien op de Nederlandse samenleving of databases met gegevens van Nederlanders.

Kennelijk maakte het stuk indruk, want negen uur na publicatie ontving ik een mailtje met een uitnodiging om te komen praten. Ik gaf akkoord op voorwaarde dat ik mag publiceren wat er gezegd wordt. Inmiddels staat er voor volgende week een afspraak op de agenda om ict-beveiliging en privacy in Nederland te bespreken \0/

Dit waren de oplossingen die ik aandroeg in mijn blogpost.
1. Maak ons minder afhankelijk van systemen die lopen via internet. Als onze mobiele telefoonnetwerken neergaan, kan niemand meer pinnen, staat een deel van het OV stil en zijn er nog veel meer bij-effecten waar niemand bij stil staat. We moeten een backup hebben.
2. Neem hackers in dienst om hackers te bestrijden. Hackers hebben verstand van zaken en hebben in veel gevallen een hoogstaande ethiek. En ze kunnen écht helpen de veiligheid te vergroten.
3. Sla minder op in databases, want dan zijn er ook minder gegevens te stelen. Waarom willen we zoveel opslaan? We maken onszelf des te kwetsbaarder, als de gegevens in verkeerde handen vallen. Veel van de databases - zoals die van vingerafdrukken - zijn bovendien twijfelachtig. Databases zijn interessant voor hackers vanwege de verkoopbaarheid van gegevens (dank BerendBoon voor de suggestie!)
Nu is dit natuurlijk een goed begin, maar eigenlijk zou ik deze lijst willen uitbreiden. En daarvoor zou ik jullie hulp willen inroepen. Want duizenden mensen weten meer dan één.

Ik hoop dat je je suggestie kwijt wilt in de reacties. Mocht je het meer privé willen communiceren, dan kun je mailen naar arnoud et tweakers.net. Alle goed beargumenteerde suggestie zal ik meenemen in het gesprek.

Aarzel niet deze oproep door te sturen naar mensen van wie je vermoedt dat zij goede oplossingen weten om Nederland te beveiligen tegen ict-criminaliteit. Hoe meer input, hoe beter!

Disclaimer: Dit blog is geschreven op persoonlijke titel en zienwijzen die hierin worden uiteengezet hoeven niet overeen te komen met die van de redactie van Tweakers.net.

Volgende: CDA over ict en beveiliging 06-'11 CDA over ict en beveiliging
Volgende: CDA: doei privacy! - Update 2 05-'11 CDA: doei privacy! - Update 2

Reacties


Door Tweakers user sebastius, woensdag 18 mei 2011 21:06

Kijk, dat is een politicus die luistert naar 'het volk'. Leuk dat je hem eens mag bijpraten! Hoewel je je blog postte onder 'persoonlijke' titel, is dit gesprek niet meer iets om echt op de FP te doen?

[Reactie gewijzigd op woensdag 18 mei 2011 21:07]


Door Tweakers user SA007, woensdag 18 mei 2011 21:13

Ik zou als punt aandragen dat bedrijven verplicht (alsin, boete bij aantoonbaar misbruik) gevoelige data versleuteld moeten vervoeren.

Zoals:
- Klantinformatie versleuteld op usb-sticks
- (Offsite) backups in een encrypted formaat
- Webwinkels etc via ssl verbindingen
- E-Mail via ssl layer aanbieden aan klanten
- Dnssec / ipsec / etc implementeren voor providers.

Dit beveiligd wel niet tegen lekken van data door hackpogingen, maar maakt de meeste man-in-the-middle aanvallen of verlies door diefstal of verlies wel stukken moeilijker.

Door Tweakers user arnoudwokke, woensdag 18 mei 2011 21:18

@sebastius: Heb ik over nagedacht. Als hij zaken zegt die echt nieuwswaardig zijn, zal ik niet aarzelen om dat op de fp te posten. Het is natuurlijk geen interview (dat kan niet, want ik heb een duidelijke mening en inbreng in het gesprek die de rol van interviewer niet toelaat), dus ik denk dat mijn bevindingen op dit blog zullen belanden. Ik zal er in elk geval wat over schrijven, daar kun je van op aan :)

Door Tweakers user ac1815, woensdag 18 mei 2011 21:43

Ik denk dat het erg belangrijk is om mensen meer bewust te maken van het feit dat elke webmaster met zijn website flink wat informatie van de bezoekers kan verzamelen. En natuurlijk niet alleen die informatie, maar ook dat richting de mensen meer nadruk gelegd moet worden wat facebook en andere social media van hun gebruikers weten.

Al vraag ik me af of dit door een politieke partij moet gedaan worden? Zou graag willen weten hoe anderen hierover denken?

Edit:
@TVJB: Dat denk ik dus ook, alleen zit ik hier met de vraag hoe politieke partijen dit kunnen doen. Je wel kunt zeggen je moet mensen er bewust van maken, maar zonder te vertellen hoe schiet dat natuurlijk ook niet op.
Hoe een partij dit kan doen is het natuurlijk meer naar voren brengen, maar dan nog heb je mensen die er gewoon te weinig waarde aan hechten. Ik denk dat dat de doelgroep is die je echt moet proberen te overtuigen dat privacy belangrijk is, want de kinderen van deze groep zullen waarschijnlijk ook niet meekrijgen hoe belangrijk privacy is.

[Reactie gewijzigd op woensdag 18 mei 2011 22:09]


Door Tweakers user TJVB, woensdag 18 mei 2011 21:48

Even wat punten die me te binnen schieten:
  • Begin meteen met beveiligen, probeer het niet aan het einde als een sausje ergens overheen te gieten. Door het achteraf te willen doen maak je de totale situatie onveiliger dan voor de maatregel. (Duidelijk voorbeeld is het E.P.D. buiten of het wel of niet nuttig is werd het gemaakt om achteraf te beveiligen)
  • Bekijk de maatregelen niet los van elkaar maar een geheel. (Discussie voor filter voor kp, dan weer dezelfde discussie voor auteursrechten. De gedetailleerde doelen zijn anders maar globaal gezien eigenlijk hetzelfde. Het tegenhouden van ongewenste data)
  • Geef een controlerende instantie zoals CBP ook tanden om echt snel in te kunnen grijpen. Een goede afschrikkende werking kan veel voorkomen.
  • Laat politici adviseren door onafhankelijke mensen (zal heel lastig zijn) of door alle "kampen". (Een topman van Alcatel-Lucent heeft er bijvoorbeeld baat bij als er meer controle komt en is daardoor geen onafhankelijke adviseur maar heeft er misschien wel veel verstand van http://www.hansvanbaalen....k-rutte&catid=5&Itemid=23 )
  • Bekijk het daadwerkelijke effect van maatregelen, hoe nuttig is het om geld uit te geven aan een maatregel die al ontweken is voordat die geheel is doorgevoerd?
  • Denk na over het doel: symptoom bestrijden (filteren), gebruikers aanpakken (de downloaders) of de productie (uploaders)
En natuurlijk veel plezier/succes met het gesprek.

@acfikkert Ik denk dat de politiek hier duidelijk invloed op kan uitoefenen. Privacy wordt nu vaak afgedaan als een overgewaardeerd iets. Maar als de politiek (dus niet één maar meerdere partijen) hun houding daarin aanpassen en dat ook ventileren zal het voor de burger duidelijk worden dat privacy wel belangrijk is.

[Reactie gewijzigd op woensdag 18 mei 2011 21:50]


Door Tweakers user abaart, woensdag 18 mei 2011 22:01

Leuk dat ie contact met je opgenomen heeft! Ik hoop dat er ook echt naar je geluisterd gaat worden, en dat hierdoor misschien de anti-privacy houding van het CDA iets gaat veranderen.

Ik denk dat op dit moment enkele van de belangrijkste punten zijn:
-Netneutraliteit
-Beveiliging van overheidsdiensten
-Het opslaan van allerlei gegevens over burgers (kentekenherkenning snelweg,telecomproviders, locatiedata, internetverkeer, camera's, ov-chipkaart etc etc)
-De overheid wordt volgens mij meer geïnformeerd door te weinig en te commerciële bedrijven. Beter onderzoek doen, en laat je informeren door meerdere partijen! (OV-chip drama is een goed voorbeeld denk ik)

En terugkomend op je vorige stuk, voorkomen is beter dan genezen! Het is dus beter om ervoor te zorgen dat 'cyberaanvallen' niet kunnen plaatsvinden, door goede beveiliging, dan om achteraf te proberen de dader te achterhalen (wat dan niet lukt, omdat hackers ook niet gek zijn).
Als je de achterdeur open laat staan, moet je niet gek opkijken als er wat gestolen wordt!

Vanzelfsprekend verwachten we wel een uitgebreid verslag van het gesprek! :)

Edit: informeer hem over de zaak met Piratebay en Brein! Dat ze maar niet naar die lobbygroep luisteren!

[Reactie gewijzigd op woensdag 18 mei 2011 22:03]


Door Tweakers user CodeCaster, woensdag 18 mei 2011 22:39

Ik ben een beetje huiverig voor het inhuren c.q. aannemen van "hackers" om gegevens bij de overheid te bewaken. Security through obscurity ja, maar zie jij maar eens te bewijzen dat een aanval waarbij persoonlijke gegevens zijn verkregen is veroorzaakt door een hacker die een jaar of wat geleden een backdoor heeft ingebouwd of een fout in de software heeft ontdekt maar verzwegen.

Toegegeven, dat risico heb je ook bij het gewone personeel. Maar toch. Onderbuikgevoel en zo. Je laat een inbreker ook niet nieuwe sloten op je voordeur zetten.

[Reactie gewijzigd op woensdag 18 mei 2011 22:40]


Door Tweakers user Little Penguin, woensdag 18 mei 2011 22:58

Redundantie
Als de opmerking in je je vorige blog over het plat liggen van de OV-chpkaart-structuur klopt (als het GSM netwerk niet actief is), ik ben namelijk geen expert op dat gebied, dan zou met dit kunnen ondervangen door gebruik te maken van meerdere aanbieders en natuurlijk altijd offline moeten kunnen werken...

Diversiteit
Verder zou men problemen met het plat leggen van computers (en niet de netwerken...) door virussen gedeeltelijk kunnen ondervangen door diversiteit aan te brengen in de gebruikte computersystemen. De keus voor een (open source) Linux-gebaseerd besturingssysteem of alternatieve Mac OS X wordt dan niet gedaan op kosten e.d., maar op het feit dat diversiteit er voor kan zorgen dat een aanval via virussen minder computers plat kan leggen...

Uitwisselbaarheid (van bestanden) tussen deze computersystemen kan men dan weer afdwingen via open (ISO/EU/NL) standaarden.

Standaard versleuteling
Gezien het feit dat er zo af en toe USB-sticks verloren worden zou men eens kunnen kijken naar mogelijkheden om deze van versleuteling te voorzien (zodat de inhoud tenminste niet direct uit te lezen is)...

Door Tweakers user i-chat, woensdag 18 mei 2011 22:59

CodeCaster schreef op woensdag 18 mei 2011 @ 22:39:
Ik ben een beetje huiverig voor het inhuren c.q. aannemen van "hackers" om gegevens bij de overheid te bewaken. Security through obscurity ja, maar zie jij maar eens te bewijzen dat een aanval waarbij persoonlijke gegevens zijn verkregen is veroorzaakt door een hacker die een jaar of wat geleden een backdoor heeft ingebouwd of een fout in de software heeft ontdekt maar verzwegen.

Toegegeven, dat risico heb je ook bij het gewone personeel. Maar toch. Onderbuikgevoel en zo. Je laat een inbreker ook niet nieuwe sloten op je voordeur zetten.
maar we vinden het wel normaal als een of ander frans bedrijf - data lekken in google software aan mogelijk illigale overheden verkoopt voor spionage doelen, wie zegt dat ze dat geld niet steken in research - om vervolgens jouw overheidssite te hacken namens iran>..

als je personeel in dienst neemt, die toegang krijgt hoor je daar bepaalde criteria aan te hangen, een daar van is een redelijke garantie dat je die persoon kunt vertrouwen...
en zorg er gewoon voor dat ie genoeg verdiend om niets te hoeven verzwijgen (zo gaat dat in de TOP van het bedrijfsleven ook).

Door Tweakers user Cio, woensdag 18 mei 2011 23:00

Ik denk dat een serieuze discussie over de verantwoording van aanbieders tegenover de verantwoording van gebruikers op z'n plek is. Twee (voor ons) simpele voorbeelden:

Voicemail afluisteren met standaard pincode (zal 'm vast aanspreken) en standaard wachtwoorden voor webmail diensten.

Apparatuur i.c.m. diensten zoals draadloze toegangspunten in modems (of smartphones). Bijna alle leveranciers laten al hun medewerkers (en die van externe partijen zoals callcenters of installateurs) deze apparaten beheren. Wachtwoorden in plain text zichtbaar, root access voor iedereen (zonder logging), remote support sessies die worden opgenomen en bewaard op onbeveiligde servers.

Wellicht nuttig als argumentatie tegen massale digitale archieven als steunpilaar voor de rechtsstaat.

Gebruikers & Operators zijn vaak niet in staat verantwoording te nemen voor de beveiliging van hun gegevens, omdat hen niet duidelijk is hoe systemen werken. Vreemd genoeg kan door de mogelijkheid van ongeziene replicatie (van alle digitale gegevens) simpelweg niet worden aangenomen dat iets bijhouden ENIGE zekerheid bied over de waarde van de opgeslagen gegevens. Juist omdat het digitaal is.

Hoe meer je dus gaat opslaan, hoe minder je erop kan vertrouwen (want hoe kleiner het aandeel wat je kan laten controleren door een mens).

http://ars.userfriendly.org/cartoons/?id=19981111

[Reactie gewijzigd op woensdag 18 mei 2011 23:03]


Door Tweakers user Ahrnuld, woensdag 18 mei 2011 23:01

Goede zaak! Je geeft al mooie algemene richtlijnen, en ook heel scherp dat je hebt gesteld dat je de uitkomsten wilt publiceren, al is dat waarschijnlijk juist zijn opzet (want publiciteit is voor politici altijd goed?)

Wat SA007 stelt vind ik ook wel interessant, daarom wil ik er graag even op reageren. Het ligt voor de hand dat de overheid minimale veiligheidseisen verplicht, echter, hebben bedrijven er natuurlijk zelf ook alle belang bij dat gegevens niet worden gestolen (zie Sony nu).

We willen misschien niet (afhankelijk van je politieke ideologie) dat de zoveelste task-force of ministeriële afdeling wordt opgericht om beveiligingsstandaarden op te leggen.

Dit is misschien voor politici wel interessant (vergroot je macht/status: kijk eens wat ik voor elkaar heb gekregen). Maar zinnig is het niet als bedrijven zelf ook het belang van goede beveiliging (zullen) inzien.

Het is niet onredelijk om te denken dat de bedrijven die zaken niet op orde hadden mbt. hun beveiliging door berichtgeving over de problemen van andere bedrijven (zoals die rond Sony) toch nog even aan de slag gaan.

Wat dat betreft vertrouw ik het de overheid zelfs minder toe om databases bij te houden, simpelweg omdat deze niet 'gestraft' kan worden door consumenten die stemmen met hun voeten. Bestuurders hebben maar een termijn van 4 jaar en zijn daarna niet juridisch aansprakelijk voor hun projectjes. En emigratie vanwege vingerafdrukken is voor de meesten immers wat lastiger dan bij een andere supermarkt je inkopen doen als het bonuskaartsysteem je niet aanstaat.

Dat waren even mijn gedachten over het stukje van SA007 (iets langer geworden dan verwacht). Zoals aangegeven sterk afhankelijk van hoe je over politiek denkt.

Ook nog even een stukje herhaling, al is het overvloedig. De belangrijkste struikelpunten van de afgelopen tijd waarbij je geen (echte) keuze hebt als burger:

EPD (komt nog, zeer discutabel)
OV-chipkaart (wordt vaak als een fiasco gezien)
Kilometerheffing (niet doorgegaan)
Vingerafdrukdatabase (teruggedraaid)

Deze projecten geven op hun eigen manier allemaal aan dat je als overheid heel sterk op moet passen met het volgen van burger en het vastleggen van gegevens.

Door Tweakers user macnerd, woensdag 18 mei 2011 23:52

Laat hem een account aanmaken voor tweakers.net en laat hem een topic openen op GoT voor advies op ICT-gebied... krijgt hij alle voors- en tegens op een presenteerblaadje aangeboden ;)

Door Tweakers user NitroX infinity, donderdag 19 mei 2011 00:22

Alle 'overheids'-netwerken met gevoelige informatie zouden ze naar een fysiek apart netwerk moeten migreren (dus aparte kabels in de grond). Dat netwerk zou protocollen gebruiken die niet compatible zijn met die van 'het internet' en zou ook niet in verbinding staan met de huidige netwerken.

Op deze manier kunnen kwaadwillenden het netwerk niet remote hacken. De enige manier om op dat netwerk te komen is via de computers die er op aangesloten zitten. En omdat er incompatible protocollen worden gebruikt, kun je er geen reguliere computer op aansluiten.

Door Tweakers user Sgreehder, donderdag 19 mei 2011 00:33

Ik zou indien mogelijk nog aandragen dat de term hacker vooralsnog niet in negatieve zin gebruikt zou moeten worden. Zogenoemde white hats dragen zelf de term cracker voor (hackers vs. crackers).

Maar verder, heel goed. Profiteer van het momentum van de afgelopen tijd en draaf niet door met 'klassieke' oplossingen; meer techniek maakt niet beter. Men hoeft niet schreeuwend weg te rennen van ICT, maar wat ethiek en filosofie zou geen kwaad kunnen. Realistische aanname's (geen systeem is 100% veilig, denk aan 0-day exploits) dienen dataset-verzameling en -opslag te dirigeren.

Ik vind het bijvoorbeeld dubieus dat in een land als Nederland je met een preventieve controle tegen bepaalde (mogelijk) erfelijke ziekten de volgende maand een verhoogde premie kunt verwachten (dit is een discussie apart, maar zeker geen sprookje).

Door Tweakers user Mentalist, donderdag 19 mei 2011 00:50

Als de opmerking in je je vorige blog over het plat liggen van de OV-chpkaart-structuur klopt (als het GSM netwerk niet actief is), ik ben namelijk geen expert op dat gebied, dan zou met dit kunnen ondervangen door gebruik te maken van meerdere aanbieders en natuurlijk altijd offline moeten kunnen werken...
Het moet gewoon offline kunnen werken. Meerdere aanbieders heeft denk ik maar beperkt zin, want ik denk niet dat iedere aanbieder zijn eigen masten heeft. Al zou het natuurlijk wel logisch zijn als ze speciale simkaarten gebruiken die gewoon ieder netwerk opmogen, al was het maar omdat niet iedere aanbieder overal dekking heeft.

Daarnaast moet dus een goede fallback zijn: òf een offline modus, òf gratis reizen.

Voor veiligheid kan voorlichting nog iets betekenen. Iets heel simpels: laat mensen weten dat ze altijd zelf het adres van hun bank in moeten typen òf een bookmark aanmaken met hun bank, en nooit via een link naar internetbankieren moeten gaan. Heel erg veel narigheid is daar al mee te voorkomen. Nu geven ze meestal adviezen van "installeer een antivirus" en dergelijke adviezen die eigenlijk alleen voor Windows echt effect sorteren, maar minder effectief zijn dan zelf adressen intypen.

Nog eentje: zorg dat het luchtalarm (als dat al niet zo is) een optie heeft om op een alternatieve toonhoogte te draaien. Nu zijn criminelen vaak genoeg sukkels, maar wat als er nu eens een slimme terrorist op het idee komt om een aanslag te plegen rond het middaguur van de eerste maandag van de maand? Of als je gewoon botte pech hebt en er precies op dat tijdstip een chemiefabriek de lucht ingaat. :P

Heel belangrijk is imho ook dat de overheid goed (beter) gaat kijken naar besluiten voor ze het doorvoeren. Neem de voorbeelden van BerendBoon, hoe is die OV-chipkaart er ooit doorgekomen? Ja, met veel spotjes op TV. Maar waarom? Is dit nou echt zoveel beter dan gewoon (anoniem ;)) een kaartje kopen? Meh. Daarbij, is niet praktisch het hele OV geprivatiseerd? Zou onderdeel daarvan niet moeten zijn dat de OV-bedrijven zèlf, als ze denken daar winst mee te kunnen maken, een OV-kaart hadden kunnen introduceren, zonder belastinggeld? Dit is één van de weinige zaken waarbij de privatisering voordelig had kunnen zijn, maar dan gaat er toch een hoop geld in een (imho) bodemloze put, voor een OV-kaart waarvan van het begin af aan al bekend was dat deze onveilig was.

Ik heb in 2008 in W3ird_N3rd in 'nieuws: Huisartsen waarschuwen patiënt tegen elektronisch dossier' ook al een alternatief beschreven voor het EPD dat waarschijnlijk goedkoper was geweest, de grootste voordelen van het EPD heeft maar geen van de privacynadelen. Bij invoering zou ik dit dan ook opt-in maken, dan kost het nòg minder, maar kan wel zeer nuttig zijn voor mensen met een bijzondere aandoening.

Voor de kilometerheffing heb ik ook eens een alternatief verzonnen zonder GPS-tracker, dat kwam als ik me goed herinner ook neer op een kastje, maar dan een offline kastje. Beetje hetzelfde idee als je oude draaimeter voor de energie, al dan niet met hoog- en laagtarief voor de spitstijden. Maar een nòg beter alternatief is natuurlijk zorgen dat het openbaar vervoer gewoon bruikbaar is. Zat mensen die best met het OV zouden willen, maar als je een flink eind moet reizen ga je vrijwel gegarandeerd een aansluiting missen en kom je aan het einde van de rit minstens een uur te laat aan. Bovendien is brandstof voor een auto met één persoon erin vaak goedkoper dan het OV, laat staan wanneer je met meerdere mensen de auto instapt. Gezien de taks op onze benzine afaik al niet bijzonder laag is kan dat alleen maar betekenen dat ons OV schreeuwend duur is. Dat los je niet op met een kilometerheffing. Je kan gebruik van auto's wel ontmoedigen, maar dan moet je wel een goed alternatief bieden.

En wat ik bijna zou vergeten: bij databases moet de overheid er op voorhand al vanuit gaan dat die hele database op straat komt te liggen en men de encryptie weet te kraken. Dat zou als uitgangspunt genomen moeten worden want dit gaat, gegeven voldoende tijd, altijd een keer gebeuren. En dan moet men kijken hoe groot de schade is. Dan ziet men misschien in dat het verstandiger is meerdere kleine databases te hebben, minder op te slaan en b.v. niet alle medische gegevens van iedereen aan elkaar te koppelen en vanaf één punt bereikbaar te maken.

[Reactie gewijzigd op donderdag 19 mei 2011 01:01]


Door Tweakers user omgwtfbbq, donderdag 19 mei 2011 06:57

Is het misschien een idee om een petitie op te starten oid waar jij je punten eens goed op een rij zet en dat wij die dan kunnen ondertekeken/supporten? Dan weet je gesprekspartner dat jij niet zomaar wat ideeën de wereld ingooit maar dat er ook daadwerkelijk mensen achterstaan. :)

Door Tweakers user Edek, donderdag 19 mei 2011 08:11

-Pak kp en downloaden aan bij de bron!
-Geen straf op encryptie! Stel ik encrypt mijn hardeschijf en vergeet het wachtwoord. Vervolgens politie doet een inval. Dan ben ik KEIHARD de pineut!

Door Tweakers user i-chat, donderdag 19 mei 2011 08:27

Edek schreef op donderdag 19 mei 2011 @ 08:11:
-Pak kp en downloaden aan bij de bron!
-Geen straf op encryptie! Stel ik encrypt mijn hardeschijf en vergeet het wachtwoord. Vervolgens politie doet een inval. Dan ben ik KEIHARD de pineut!
draai het dan ook om, als je vergeet dat een moord plegen verboden is, kom je dan ook ongestraft weg? - of als je vergeet dat het 120 limiet ook voor jouw geld op de weg...

had je maar beter op moete letten, je kunt niet van een overheid verwachten om jouw te beschermen als je zelf te dom bent om jezelf te beschermen tegen de overheid...

dat is het zelfde, als weigeren je auto te laten onderzoeken als men redelijke verdenkingen heeft van een doorrijden na een botsing.. ik ben vergeten waar m'n auto staat? - jah right.

Door Tweakers user ajakkes, donderdag 19 mei 2011 08:38

http://www.nu.nl/politiek...oet-strafbaar-worden.html

Nog zo'n belachelijk CDA plan waarbij veiligheid en privacy totaal niet in verhouding staan.

ajakkes in 'nieuws: CDA wil afgifte encryptie-wachtwoord bij kinderporno afdwingen'

Er moet beter gekeken worden en ingeschat worden hoeveel zware criminelen er daadwerkelijk veroordeeld gaan worden door een maatregel die de privacy aantast.

De burger moet ook beter ingelicht gaan worden waarom er in het verleden wel veel waarde gehecht werd aan privacy. Ik heb niks te verbergen, maar volgende week hangt er een camera boven de toiletpot om te kijken of ik wel echt zit te drukken. Wie garandeert mij dat de data die nu over mij wordt opgeslagen niet al jaren op de pc van de nieuwe wereldleider met rare ideeën staat.

Centrale databases zijn leuk maar gevaarlijk. Als de data verdeelt staat over 2 pc's ipv 1 moet de crimineel 2 pc's kraken ipv een. Als mijn medisch dossier wordt beheerd door mijn huisartsenpost zal iemand met interesse elke huisarstenpost opnieuw moeten kraken. Zelfde geld voor andere systemen. We leggen ook niet 1 dijk om Nederland maar verdelen ieder gebied door middel van dijken in kleine stukken.

Ga ervan uit dat elk datasysteem te kraken is. Kijk naar wat de gevolgen van het kraken van dit enkele systeem en denk er dan nog eens over na.

Om terug te komen op de verplichting van het vrijgeven van wachtwoorden bij geëncrypte bestanden. Zorg dat je genoeg bewijs hebt voor een veroordeling en ga na de veroordeling nog eens praten met de dader over het geven van de wachtwoorden. Biedt hem iets voor zijn wachtwoorden als je hiermee denkt meer daders te pakken of meer slachtoffers te helpen. Basisprincipes als "iemand is niet verplicht aan zijn eigen veroordeling mee te werken" en "onschuldig tot het tegendeel bewezen" zijn er niet voor niets. "You have the right to remain silent" is een hele bekende zin.

Door Tweakers user TJVB, donderdag 19 mei 2011 09:19

i-chat schreef op donderdag 19 mei 2011 @ 08:27:
[...]
draai het dan ook om, als je vergeet dat een moord plegen verboden is, kom je dan ook ongestraft weg? - of als je vergeet dat het 120 limiet ook voor jouw geld op de weg...
Bekijk het anders, de geheimcode voor de opdracht tot moord hoef je niet vrij te geven. Je bent namelijk niet verplicht mee te helpen aan je eigen veroordeling. Maar omdat het nu digitaal is willen ze het ineens wel dat je het moet afgeven.

Door Demko, donderdag 19 mei 2011 10:20

Succes Arnoud!

Het lijkt me persoonlijk al moeilijk genoeg om het CDA ervan te overtuigen dat privacy en veiligheid elkaar niet in de weg hoeven te staan. De overheid heeft de laatste jaren legio maatregelen ingevoerd die mijns inziens getuigen van zorgwekkend weinig inzicht op dit gebied.

Zoals anderen ook al suggereren; misschien kun je ook nog even wat tijd besteden aan een van de meest recente voorstellen van CDA-huize: het strafbaar stellen van het niet aan de politie afstaan van wachtwoorden van versleutelde data.

Ik word er eerlijk gezegd een beetje moe van dat alles (inclusief de grondwet) maar moet wijken onder het mom van bestrijding van terrorisme of KP. Justitie moet dergelijke misdaden gewoon bij de wortel aanpakken.

Door Tweakers user Kenhas, donderdag 19 mei 2011 12:00

Vind dit zo'n enorm moeilijk op te lossen probleem.

Beveiliging van technologie gaat zo ver dat er geen "juiste" oplossing is, in mijn ogen. Daardoor ben ik dan geneigd om te volgen in het punt "zorg dat er minder te stelen is". Maar in mijn huidige job ben ik constant bezig met verschillende databanken met persoonsgegevens te koppelen zodat andere overheidsdiensten hun werk zouden kunnen doen. In die optiek zou ik tot voor kort zeggen, er kunnen geen databanken genoeg zijn. Een overheid gaat meer en meer richting "werken als bedrijf" en de tijd dat iemand een ganse dag in een fichebak aan het zoeken was naar gegevens is toch wel definitief voorbij.

Maar de laatste tijd moet ik mening over "alles in database" serieus bijstellen. Heb in de vorige blogpost al voorbeeld gegeven maar zo zijn er nog. De politie wil nu een aparte databank met alle personen die de laatste tien jaar betrapt zijn op "rijden onder invloed". Gekoppeld aan de databank met nummerplaten kan er dan tijdens alcoholcontroles gerichter gewerkt worden richting mensen die al eens betrapt geweest zijn. En dat gaat me eerlijk gezegd iets te ver. Dat is viseren van bepaalde personen en beantwoordt niet meer aan "iedereen gelijk".

Demko hierboven zegt dat privacy en veiligheid elkaar niet in de weg hoeven te staan. Ik ben daar niet mee akkoord. Hoe meer "veiligheid" je wil, hoe meer er moet ingeboet worden aan privacy. De vraag is enkel hoe ver je er wil in gaan. Streven naar absolute veiligheid is nutteloos. Dat bestaat niet. Maar er moet een compromis gevonden worden. Een camera gericht op privé terrein, voor het geval er een inbraak zou zijn, gaat te ver.

Qua beveiliging ben ik ergens wel te vinden voor aparte netwerken. Het zal het in ieder geval een stuk moeilijker maken. Bij de overheid waar ik werk, verloopt alles nu via een dubbel lus glasvezel met diverse encryptie zaken en zo. Ben er van overtuigd dat het goed in mekaar zit. Er werd trouwens advies gegeven door een "hacker".
Maar zoiets is natuurlijk geen oplossing voor mobiele telefoonnetwerken, het Sony netwerk, ...

100% veiligheid bestaat niet en het streven naar zo veel mogelijk veiligheid is iets waar er al velen hun hoofd over hebben gebroken.
De burger moet ook beter ingelicht gaan worden waarom er in het verleden wel veel waarde gehecht werd aan privacy
Volgens mij werd er vroeger niet meer belang gehecht aan privacy maar stond de technologie nog niet zover om alles te koppelen aan elkaar.
Centrale databases zijn leuk maar gevaarlijk. Als de data verdeelt staat over 2 pc's ipv 1 moet de crimineel 2 pc's kraken ipv een
Grote kans dat de pc's op dezelfde manier te kraken zijn dus een echte oplossing vind ik dat niet. Het kan de inbreker vertragen maar niet stoppen (denk ik)
Als je alles concentreert op één plaats, moet je ook maar één plaats beveiligen. En kan er beter in de gaten worden gehouden waarvoor de data gebruikt wordt
Moet wel zeggen dat deze laatste uitspraak iets is dat nu in mij opkomt. Kan goed zijn dat ik er binnen tien minuten iets anders over zal denken (hoewel het waarschijnlijk in grote lijnen wel hetzelfde zal blijven)

Door Tweakers user Powermage, donderdag 19 mei 2011 12:37

"Maak ons minder afhankelijk van systemen die lopen via internet. Als onze mobiele telefoonnetwerken neergaan, kan niemand meer pinnen"

Als het mobiele telefoon netwerk plat gaat kan je nog steeds pinnen, de meeste pin automaten lopen over (gecertificeerde) lijnen, als je internet plat gaat heb je wel een probleem dus, maar je zin is niet correct.

Door Tweakers user H!GHGuY, donderdag 19 mei 2011 13:05

Mooie actie. Voeg dit er maar bij toe:

decentraal opslaan van gegevens
Laat de gegevens van persoon X op de PC van X staan. Gebruik daarbij de public key van de instantie waarmee gecommuniceerd wordt om de data geencrypteerd op te slaan. Wanneer de gebruiker aan de slag wil, dan wordt deze encrypted data opgestuurd voor decryptie+verwerking. Gegevens worden hierbij slechts centraal bijgehouden zolang nodig voor de verwerking ervan. Bovendien moet er ook een policy zijn waarmee de keys tijdig een refresh krijgen of waarbij er meerdere keys zijn om het risico verder te beperken
Voordelen:
- data is geencrypteerd opgeslaan en enkel de gerechtigde instantie met private key kan de gegevens uitlezen
- de user kiest expliciet voor het doorsturen van zijn data voor een beperkt tijdstip. Hij heeft dus controle over het gebruik van zijn data: geen externe instantie die de databank gebruikt/misbruikt en dit zowel kwaad- of goedaardig (bvb reclame)
- zelfs met de private key alleen is een kwaadwillige hacker niets, hij moet nog steeds de gegevens van vele individuele gebruikers hebben. Als de key gerevoked wordt kan bovendien gepaste actie ondernomen worden.
nadelen:
- niet bruikbaar voor doorzoekbare databases (bvb nummerplaten)

ontkoppelen van geanonimiseerde en NAW data
Ontkoppel data op het niveau waarbij je eender welk record onmogelijk aan een persoon kan toekennen. Hou dus een toegankelijke database bij met de echte data en hou een aparte database met NAW gegevens of andere identificeerbare gegevens.
Wanneer mogelijk mag deze laatste zelfs niet fysisch toegankelijk zijn via het internet (dus ook geen interface die altijd down is of met een firewall ertussen). Gebruik dan ook strikte authorisatie om toegang te regelen tot de (uiteraard) geencrypteerde gegevens.

Door Tweakers user damnyankee, donderdag 19 mei 2011 13:34

i-chat schreef op donderdag 19 mei 2011 @ 08:27:
[...]
draai het dan ook om, als je vergeet dat een moord plegen verboden is, kom je dan ook ongestraft weg? - of als je vergeet dat het 120 limiet ook voor jouw geld op de weg...

had je maar beter op moete letten, je kunt niet van een overheid verwachten om jouw te beschermen als je zelf te dom bent om jezelf te beschermen tegen de overheid...

dat is het zelfde, als weigeren je auto te laten onderzoeken als men redelijke verdenkingen heeft van een doorrijden na een botsing.. ik ben vergeten waar m'n auto staat? - jah right.
Dit vind ik ronduit belachelijk. Een wachtwoord vergeten is iets heeeeel anders dan een wet vergeten. Jouw vergelijking met de moord zou eerder moeten zijn; "ik weet niet wat ik vorig jaar deed, dus ik kan niet bewijzen dat ik niet bij de moord aanwezig was."

Overigens zijn wetten die je niet had kunnen kennen soms niet van toepassing op jouw. Zo waren er stammen in Brazilië die een lading touristen hebben vermoord (7 geloof ik) omdat die over "hun" grondgebied liepen. Het bewijs was helemaal rond, maar omdat ze de wet niet kenden zijn ze allemaal weer vrijgesproken.


OT; mijn suggesties zijn;
- alles is kraakbaar, hou hier rekening mee

- overleg met vakkunde informatica-specialisten (desnoods gewoon een groep studenten die een mening mogen geven) voordat je een wetsvoorstel doet.
(dit zie ik met dit voorstel overigens al een beetje terug; top!)

- niet uitlaten over dingen die je niet weet. Niet iedere cracker is een deel van Anonymous, niet alle crackers hebben hetzelfde doel.

- de bad-guys op internet lopen voor op de wet. Maak geen wetten die achterlopen, dat is alleen uitnodigen tot een "wapenwedloop"; VB; verbied downloaden en zij encrypten het, verbied encryptie, en zij vermommen het.
Dit soort "gevechten" win je niet zomaar, slappe pogingen ertoe halen al helemaal niets uit.

- versleutelen, versleutelen, versleutelen! Het verbod komt d'r toch niet, dus maak er gebruik van!

- openheid. Het is een gigantische cliché, maar het gedoe rond de ACTA (bijvoorbeeld) zal ik ze niet snel vergeven, en nooit vergeten. Dit soort dingen bezorgen je een slechte naam, en alles komt uiteindelijk uit.

- informatica is geen magie. Het lijkt misschien zo als iemand allemaal leuke dingen tevoorschijn kan toveren, maar het is het niet. Probeer niet alles in een computer te proppen, dat werkt lang niet altijd.

Vertrouw vooral niet teveel op je eigen weten.

Veel succes (beiden, mocht mr. CDA meelezen ;) ), en laat ons weten wat eruit is gekomen!


ps; Powermage heeft gelijk; je kan gewoon pinnen als internet d'ruit ligt. ING heeft niet een standaart ADSL abonnementje bij de KPN hoor!


pps; en don't fuck with Anonymous, geeft alleen maar gedoe ;)

[Reactie gewijzigd op donderdag 19 mei 2011 13:36]


Door Tweakers user damnyankee, donderdag 19 mei 2011 13:35

... ah, dat is dus de quote knop... niet de edit :s ...

[Reactie gewijzigd op donderdag 19 mei 2011 13:35]


Door Tweakers user Sgreehder, donderdag 19 mei 2011 13:54

damnyankee schreef op donderdag 19 mei 2011 @ 13:34:
[...]
- overleg met vakkunde informatica-specialisten of informatiekundigen (desnoods gewoon een groep studenten die een mening mogen geven) voordat je een wetsvoorstel doet.
(dit zie ik met dit voorstel overigens al een beetje terug; top!)
Even gecorrigeerd ;-)

Door Tweakers user Sissors, donderdag 19 mei 2011 16:05

1. Maak ons minder afhankelijk van systemen die lopen via internet. Als onze mobiele telefoonnetwerken neergaan, kan niemand meer pinnen, staat een deel van het OV stil en zijn er nog veel meer bij-effecten waar niemand bij stil staat. We moeten een backup hebben.
Makkelijk gezegd, niet altijd even makkelijk in de praktijk. (Lees: duur)
2. Neem hackers in dienst om hackers te bestrijden. Hackers hebben verstand van zaken en hebben in veel gevallen een hoogstaande ethiek. En ze kunnen écht helpen de veiligheid te vergroten.
80% van de 'hackers' zijn scriptkiddies die wel een standaard tooltje kunnen gebruiken maar echt niet bij beveiliging kunnen helpen.
Van de overige 20% is 19% uit op je CC gegevens.
Wat overblijft is 1% waar je wat aan zou hebben.

Hackers hebben geen hoogstaande ethiek, ze jatten creditcard gegevens (En nee ik heb geen behoefte om die doelloze discussie tussen hackers en crackers, hacker = iemand die op computer systemen inbreekt, dus horen crackers ook bij).

En dus tussen de 99% slechte hackers en/of scriptkiddies, hoe moet de overheid dan de 1% die wel te vertrouwen is eruit vinden en ook nog eens daadwerkelijk verstand van beveiliging heeft?
Met een vacature in de krant krijg je die niet hoor, en als je degene in dienst neemt die je database op straat heeft gegooid heb je zeer waarschijnlijk iemand van de 99% die je niet wilt hebben.
3. Sla minder op in databases, want dan zijn er ook minder gegevens te stelen. Waarom willen we zoveel opslaan? We maken onszelf des te kwetsbaarder, als de gegevens in verkeerde handen vallen. Veel van de databases - zoals die van vingerafdrukken - zijn bovendien twijfelachtig. Databases zijn interessant voor hackers vanwege de verkoopbaarheid van gegevens (dank BerendBoon voor de suggestie!)
Maar ik dacht dat hackers zon hoogstaande ethiek hadden en dat nooit zouden doen.

Uiteraard is teveel opslaan slecht, maar teweinig opslaan is ook slecht.

[Reactie gewijzigd op donderdag 19 mei 2011 16:11]


Door Tweakers user pythagorasABC, donderdag 19 mei 2011 18:01

CodeCaster schreef op woensdag 18 mei 2011 @ 22:39:
Ik ben een beetje huiverig voor het inhuren c.q. aannemen van "hackers" om gegevens bij de overheid te bewaken. Security through obscurity ja, maar zie jij maar eens te bewijzen dat een aanval waarbij persoonlijke gegevens zijn verkregen is veroorzaakt door een hacker die een jaar of wat geleden een backdoor heeft ingebouwd of een fout in de software heeft ontdekt maar verzwegen.

Toegegeven, dat risico heb je ook bij het gewone personeel. Maar toch. Onderbuikgevoel en zo. Je laat een inbreker ook niet nieuwe sloten op je voordeur zetten.
Ten eerste:
Hackers zijn niet altijd slecht!

Ten tweede:
Je geeft hackers natuurlijk geen toegang om code te wijzigen. Als het systeem klaar is laat je het testen door hackers, deze kun je dan een geldsom geven per gevonden lek.
furby-killer schreef op donderdag 19 mei 2011 @ 16:05:
[...]

80% van de 'hackers' zijn scriptkiddies die wel een standaard tooltje kunnen gebruiken maar echt niet bij beveiliging kunnen helpen.
Van de overige 20% is 19% uit op je CC gegevens.
Wat overblijft is 1% waar je wat aan zou hebben.

Hackers hebben geen hoogstaande ethiek, ze jatten creditcard gegevens (En nee ik heb geen behoefte om die doelloze discussie tussen hackers en crackers, hacker = iemand die op computer systemen inbreekt, dus horen crackers ook bij).

En dus tussen de 99% slechte hackers en/of scriptkiddies, hoe moet de overheid dan de 1% die wel te vertrouwen is eruit vinden en ook nog eens daadwerkelijk verstand van beveiliging heeft?
Met een vacature in de krant krijg je die niet hoor, en als je degene in dienst neemt die je database op straat heeft gegooid heb je zeer waarschijnlijk iemand van de 99% die je niet wilt hebben.
Ik geloof dat er erg veel scriptkiddies zijn met een paar standaard tooltjes, maar dat maakt in principe niet uit. Als ze met een van deze tooltjes een lek vinden, kun je dit alsnog fixen.

Dat er 19% op je CC gegevens uit is, en 1% "goed" is, geloof ik eigenlijk niet echt, heb je hier ook een onderzoek van?
furby-killer schreef op donderdag 19 mei 2011 @ 16:05:
[...]

Maar ik dacht dat hackers zon hoogstaande ethiek hadden en dat nooit zouden doen.

Uiteraard is teveel opslaan slecht, maar teweinig opslaan is ook slecht.
Dat over de ethiek is nooit gezegd, of je "slechte" hackers laat testen vlak voordat je het uitbrengt, en de beveiliging op orde moet zijn, of dat ze het mogen proberen als de server live is maakt niet uit.

Door Tweakers user Roytoch, donderdag 19 mei 2011 23:00

Powermage schreef op donderdag 19 mei 2011 @ 12:37:
"Maak ons minder afhankelijk van systemen die lopen via internet. Als onze mobiele telefoonnetwerken neergaan, kan niemand meer pinnen"

Als het mobiele telefoon netwerk plat gaat kan je nog steeds pinnen, de meeste pin automaten lopen over (gecertificeerde) lijnen, als je internet plat gaat heb je wel een probleem dus, maar je zin is niet correct.
Die gecertificeerde lijnen gaan nog vaak genoeg plat, heb meerdere keren meegemaakt dat je een paar uur lang niet kunt pinnen op een compleet bedrijventerrein. Maar dat komt een beetje met het product, en hier is nou net een uitstekende en nog altijd geaccepteerde backup voor: contant betalen.

Door Aj, vrijdag 20 mei 2011 13:14

i-chat schreef op donderdag 19 mei 2011 @ 08:27:
[...]
draai het dan ook om, als je vergeet dat een moord plegen verboden is, kom je dan ook ongestraft weg? - of als je vergeet dat het 120 limiet ook voor jouw geld op de weg...

had je maar beter op moete letten, je kunt niet van een overheid verwachten om jouw te beschermen als je zelf te dom bent om jezelf te beschermen tegen de overheid...

dat is het zelfde, als weigeren je auto te laten onderzoeken als men redelijke verdenkingen heeft van een doorrijden na een botsing.. ik ben vergeten waar m'n auto staat? - jah right.
Ja, zo werkt de wet. Je bent strafbaar als justitie kan bewijzen dat je iets gedaan hebt. Of je weet dat je iets gedaan hebt of niet maakt niet uit. Het is niet strafbaar een bestand te encrypten. Het is niet strafbaar een ge-encrypt bestand in je bezit te hebben. Waarom zou het dan wel strafbaar moeten zijn als je het wachtwoord van je encryptie kwijt bent. Ik zou je pc nog maar eens heel goed nakijken of er geen beveiligde bestanden op staan.

Misschien heb ik wel besloten mijn geheime bestanden te verspreiden via een allerdaags programma en heeft half nederland mijn bestanden op zijn pc staan. Alleen degenen met wie ik het wil delen vertel ik hoe ze erbij kunnen.

Reageren is niet meer mogelijk