De OPTA, de Onafhankelijke Post en Telecommunicatie Autoriteit, wil “passende technische en organisatorische maatregelen” invoeren voor internetaanbieders, zo schreef ik vrijdag.

Deze maatregelen gaan bijvoorbeeld over het filteren of blokkeren van netwerkverkeer dat niet hoort voor te komen, of het helpen bij installeren van firewalls of virusscanners.

Simon Hania, technisch directeur van XS4All op het Opinieweblog vindt dit nergens voor nodig.

Ten eerste zitten de meeste problemen niet bij Nederlandse providers, omdat die zich over het algemeen al goed beveiligen. De meeste problemen zitten bij slecht beheerde servers in het buitenland.

Maar de belangrijkste reden:

Maar waarom ik vooral tegen deze regelzucht ben, is omdat de maatregelen zodanig standaard zijn, dat ze allang door elke welopererende ISP in Nederland genomen zijn. En met de huidige consolidatiegolf in de markt zijn er alleen nog maar weloperende ISPs. We gaan dus nu een reguleringcircus optuigen voor iets dat er al is. Da’s nodeloos ambtenaren aan het werk zetten.

Arnoud

Ik zou het zelf niet snel durven, maar advocaten die nieuwsgierig zijn of de rechter hun pleitnota’s lezen kunnen wellicht wat leren van deze truc:

“The last few times that I sued a spammer in Washington Small Claims Court, I filed a “booby-trapped” written legal brief with the judge, about four pages long, with the second and third pages stuck together in the middle. I made these by poking through those two pages with a thumbtack, then running a tiny sliver of paper through the holes and gluing it to either page with white-out. The idea was that after the judge made their decision, I could go to the courthouse and look at the file to see if the judge read the brief or not, since if they turned the pages to read it, the tiny sliver of paper would break. To make a long story short, I tried this with 6 different judges, and in 3 out of 6 cases, the judge rejected the motion without reading it.”

Meer op Slashdot | Anti-Spam Suits and Booby-Trapped Motions.

Arnoud

Vorige week werd bekend dat Google het advertentiebedrijf DoubleClick koopt. Alhoewel Google heeft laten weten dat DoubleClick naar alle waarschijnlijkheid als zelfstandig bedrijf zal blijven opereren onder het nieuwe moederbedrijf, blijven een hoop mensen zich toch zorgen maken over de privacy-aspecten van deze aankoop. Zowel Google als Doubleclick houden gigantische hoeveelheden gegevens bij over de sites die je bezoekt.

Google weet precies wat je zoekt, en Doubleclick weet welke sites je bezoekt. De combinatie van die twee betekent dan dat Google alles weet wat je op het Web uitspookt. In een recente column (gevonden via Tech Law Prof Blog) geeft David Lazarus een paar mooie voorbeelden. In Nederland werd Remy Chavannes er ook al nerveus van. En Google heeft nu zelfs de Web History dienst die je laat zoeken in alles wat je gedaan hebt via Google, zo las ik op Ars Technica.

Maar is dit nu wel zo’n reden tot zorg? Beide bedrijven bestaan al lang, en houden al even lang al zelf genoeg gegevens bij over gebruikers. Daarmee kunnen ze passende advertenties tonen, en kennelijk zitten een hoop mensen daar op te wachten. Google sleepte tenslotte alleen vorig kwartaal al vier miljard dollar aan advertentie-inkomsten binnen.

Tekenend vind ik wel dat de grootste protesten komen van Microsoft en AT&T. Microsoft was immers eerder zelf van plan om Doubleclick te kopen. Als privacy vooral een zuur argument blijkt van de verliezende concurrent, dan zal het wel meevallen met die inbreuken die GoogleClick gaat plegen. Toch?

Arnoud

IPcentral Weblog komt met een top 10 van redenen waarom software-ontwikkelaars moeten uitkijken met GPLv3. Het meeste is redelijk kort door de bocht, maar er zit wel een waar woord in item 1 (”De formuleringen uit GPLv3 zijn lastig te begrijpen”):

A license should clearly inform people what they can and cannot do. GPLv3 does neither. Lawyers assume that they could understand it if only they were software engineers, and engineers assume that the lawyers grasp it. Both are wrong.

Dat verklaart waarom juristen zo veel praten over dynamisch en linken (alsof dat de enige manieren zijn om software te combineren) en programmeurs lijken te denken dat het vast wel goed zit omdat er zo veel lange zinnen in staan, en het door een hoogleraar rechten opgesteld is.

Arnoud

De helft van de Nederlanders is niet bekend met de mogelijkheden van computerbeveiliging, zo meldt Nu.nl. Toch vindt 94 procent de beveiliging belangrijk. Dat blijkt uit een onderzoek van TNS NIPO in opdracht van internetprovider Tiscali.

Om de bekendheid van beveiliging te vergroten, heeft Tiscali de site “Veilig internetten doe je zo” opgezet. Het doel:

Iedereen die van internet gebruik maakt loopt bepaalde risico’s. Veel mensen zijn zich hier niet van bewust. Omdat de gevolgen desastreus kunnen zijn, is het belangrijk dat je weet hoe je je er tegen kan beschermen.

Met ‘Veilig internetten doe je zo!’ krijg je in 3 korte stappen een indicatie van hoeveel risico je momenteel loopt. Vervolgens geven we je een persoonlijk advies waarin helder staat weergegeven wat jij, op basis van je persoonlijke situatie, kunt doen om je beter te beschermen.

Gelukkig valt het bij mij wel mee allemaal:

Op basis van jouw antwoorden op de vragen blijkt dat jij 23% kans hebt dat je anderen besmet. Je bent redelijk beveiligd maar niet optimaal.

Op basis van jouw antwoorden op de vragen blijkt dat jij 10% kans hebt op privacy inbreuk. Je bent voldoende beveiligd.

Arnoud

Twee mensen in Groot-Brittannië zijn gearresteerd omdat ze andermans draadloos netwerk gebruikten zonder toestemming, zo las ik op Sync.nl. Iets meer achtergrond bij de BBC: Two cautioned over wi-fi ‘theft’

Zoals ik het begrijp, zijn de twee gearresteerd omdat ze door verontruste buurtbewoners gezien waren terwijl ze in hun auto zaten te typen op hun laptop. Ik ben dan wel benieuwd hoe die buurtbewoners zagen dat her ook ge-internet werd. Overigens hadden de twee niets met elkaar te maken.

Apart vond ik de tenlastelegging, zoals Sync.nl die beschreef:

De man die afgelopen weekend opgepakt is kreeg een verbaal aan zijn broek voor het ‘ongerechtigd toe-eigenen van electronische communicatiediensten met het doel betaling te ontduiken’ [vrij vertaald uit het Engels].

Dat lijkt mij het verkeerde wetsartikel. Of het is een hoogst originele invulling van dat artikel.

Bij ons is meeliften op andermans netwerk strafbaar als computervredebreuk. Sinds september vorig jaar ook als daarbij geen beveiliging wordt doorbroken. En de eerste arrestatie daarvoor was vlak nadat die wetswijziging er doorkwam.

Nu is ook bij ons het afnemen van betaaldiensten zonder te betalen verboden (artikel 326c Wetboek van strafrecht), maar dat artikel wordt hier toch echt alleen gebruikt voor mensen die kabeltelevisie kijken of iets dergelijks.

Meeliften op andermans internetverbinding is natuurlijk wel “gebruik maken van een betaaldienst zonder te betalen”, maar gebeurt dat “door een technische ingreep of met behulp van valse signalen” zoals het wetsartikel eist? Ik zou het niet weten als iemand gewoon zijn draadloze access point slecht beveiligt.

Hoe dan ook, je draadloos netwerk beveiligingen blijft een must.

Arnoud

Vrijheid van meningsuiting is een groot goed, maar niet elke uiting is een meningsuiting zoals deze cartoon van Reid, Geleijnse & Van Tol briljant illustreert:

.

Arnoud

Kamerstukken staan al enige tijd online, maar daarin zoeken is niet altijd even praktisch. Bovendien gebruikt het zoeksessies, waardoor je niet kunt linken naar specifieke kamerstukken. En als er iets is dat programmeurs in beweging krijgt, dan is het wel een nodeloze hindernis.

In dit geval was het GeenCommentaar dat met een verbeterde versie van dit systeem (Parlando) kwam. Eindelijk deeplinks naar kamerstukken mogelijk.

En kijk nou, een stukje jeugdsentiment:

(zie ook Bomboeken op het Internet)

Parlando interface gevonden via Opinieweblog: Kamerstukken ontsloten.

Arnoud

Providers moeten “passende technische en organisatorische maatregelen” treffen voor de bescherming van persoonsgegevens en privacy van gebruikers, en de beveiliging van hun netwerken. De OPTA, de Onafhankelijke Post en Telecommunicatie Autoriteit, ziet toe op naleving van deze zorgplicht.

Wat zijn nu “passende” maatregelen? Dat wilde de OPTA ook graag weten, en ze hebben dan ook een onderzoek laten uitvoeren door het bedrijf Stratix over de bestaande en toekomstige dreigingen voor consumenten op Internet. Meer over het onderzoek bij ISPam.nl.

Op basis van dit onderzoek heeft de OPTA een “voorlopig standpunt” ingenomen. En nu is het de vraag aan iedereen die interesse heeft wat ze hier van vinden.

Uit het onderzoek komen de volgende dreigingen naar voren:

• Dreigingen betreffende ongeautoriseerde toegang:
  • Tot verbindingen
  • Tot gegevens
• Dreigingen betreffende misbruik van:
  • Adressering (DNS)
  • Routering
• Dreigingen betreffende de aard of de status van bepaalde informatie (zoals spam, spyware en phishing).
• Dreigingen die samenhangen met onvoldoende informatie over de risico’s van internetgebruik.

Er werden -gelukkig- ook een hoop oplossingen voorgesteld, die de OPTA indeelt in drie categorieen: basismaatregelen (die zijn duidelijk passend), best practices (daar moet over gepraat worden) en te hoog gegrepen maatregelen (die zijn, ehm, te hoog gegrepen en dus niet passend).

Bij de basismaatregelen moet je denken aan het filteren of blokkeren van netwerkverkeer dat niet hoort voor te komen, zoals data verstuurd vanaf een lokaal netwerk dat afkomstig lijkt te zijn uit een heel ander netwerk. Dat kan normaal niet voorkomen, dus dat moet wel een hackpoging zijn.

Ook het aanbieden van virusscanners en het geven van voorlichting over dreigingen en tegenmaatregelen, zoals hoe je een firewall of virusscanner moet installeren, horen tot de basismaatregelen.

Spam filteren ligt iets lastiger, want niet alle klanten willen dat hun provider dat voor ze doet. Daarom krijgt dit de status van best practice en niet van basismaatregelen. Hetzelfde geldt voor het blokkeren van poorten waarlangs Trojaanse paarden een PC kunnen infecteren. Dat kan immers soms legitiem netwerkgebruik storen.

Maar waarom het benaderen van een klant wiens PC als zombie wordt ingezet geen basismaatregel is, begrijp ik niet.

Er waren nog veel meer suggesties gedaan, bijvoorbeeld ter beveiliging van DNS, maar daar was kennelijk nogal wat onenigheid over, want die worden weggezet onder het kopje “te hoog gegrepen”.

Wie na het lezen van het rapport suggesties heeft, kan ze vóór 16 mei mailen naar de OPTA (e-mail adres in het rapport).

Tip via Planet - Opta wil zorgplicht internetaanbieders aanscherpen.

Arnoud

Vorige week zaterdag schreef Peter Rietveld een column over de ontwikkeling van de IT security architectuur:

Iedere zichzelf respecterende organisatie beschikt er al over of is op zijn minst bezig met het opstellen ervan: een IT-architectuur. Dit begrip, overgewaaid uit de Verenigde Staten, staat voor een set van documenten die de informatievoorzieningen van een grotere club beschrijven. … Er was niets logischer dan dat er ook een beveiligingsarchitectuur zou ontstaan, die beschrijft hoe een set van beveiligingstechnologieën en processen gezamenlijk zorgt voor een veilige werkomgeving.

Maar helaas, zo is het niet gegaan. Architectuur veranderde van beschrijvend in vóórschrijvend.

En kan dat wel werken bij de security architectuur? Niemand had tien jaar geleden verwacht dat virussen en wormen zo’n groot probleem zouden worden. Wat staat ons dan over tien jaar na nu te wachten?

Lees verder in Over Security Architectuur.

Arnoud