Van privacyparadijs tot controlestaat – de nieuwste speeltjes van de geheime dienst (via SYNC.nl)

Op SYNC.nl een bespreking van het rapport Van privacyparadijs tot controlestaat? (PDF) over de nieuwe speeltjes van politie en geheime dienst bij misdaad- en terreurbestrijding in Nederland. Het rapport is van Anton Vedder, Leo van der Wees, Bert-Jaap Koops en Paul de Hert, bij TILT. Wat achtergrond in de NRC.

Nieuwe technologie maakt ook nieuwe manieren van opsporing mogelijk. En het is vaak een stuk makkelijker: in plaats van de hele nacht in een koude auto met vieze koffie voor iemands deur wachten, hang je gewoon een sensor op die een piepje geeft als de deur opengaat. En met de GPS-verklikker onder de auto kun je dan op je gemak nagaan waar de verdachte heengaat.

Zoals SYNC schrijft:

Regeringen zijn verslaafd aan gadgets. Van kleine draadloze microfoons en verborgen signaleringschips tot schotelantennes en satellieten, als het maar hightech is, geen methode wordt onbeproefd gelaten in de strijd tegen de illegaal, de crimineel, de terrorist.

Natuurlijk ontkom je er niet aan om inbreuk te maken op privacy van onschuldige mensen bij de opsporing van strafbare feiten of het voorkomen van aanslagen. Maar welke inbreuken ‘kunnen’ nog wel, en welke niet? Het rapport stelt terecht: “De vereiste afweging vraagt echter vóór alles om een open discussie, waarin alle voor- en tegenargumenten aan bod komen. … In het huidige politieke en maatschappelijke debat over de opsporings- en veiligheidsmaatregelen ontbreekt het aan een dergelijke openheid.”

Jacob Kohnstamm, voorzitter van het College Bescherming Persoonsgegevens zei vorig jaar nog vrijwel hetzelfde (op een debat in de Balie):

Een beetje privacy inleveren omwille van grotere veiligheid valt onder omstandigheden zeker te billijken. Maar dan moeten nut en noodzaak van nieuwe bevoegdheden in de strijd tegen terrorisme wel aangetoond worden. Want inadequaat optreden van de daarbij betrokken overheidsorganen mag geen reden zijn om aan grondrechten van burgers te tornen.

Een beetje jammer is wel dat technologie op deze manier alleen wordt gezien als de bedreiging van privacy, en niet als de oplossing. Je kunt wel strengere wetten of hogere straffen invoeren, maar daarmee los je het probleem niet op. Techniek kan wel oplossingen bieden.

Ja, een RFID chip kan op straat worden uitgelezen om stiekem te kijken wat je allemaal gekocht hebt. Dan kun je dat uitlezen wettelijk verbieden, of je eist dat fabrikanten een zelfmoordcommando in de chip stoppen. Dat laatste lijkt me iets effectiever.

Arnoud

Criminele computer tactieken worden geavanceerder(bij CorCom)

Corcom’s artikel Criminele computer tactieken worden geavanceerder biedt een goed overzicht over ontwikkelingen bij cybercrime en computercriminaliteit:

Gebruikers worden zich steeds meer bewust van de gevaren van cybercrime. De software om deze te detecteren is ook steeds geavanceerder. Daarom zoekt het digitale boevengilde naar meer verfijnde methodes om ook de minder argeloze gebruikers in de val te lokken. Botnets zijn nog steeds een groot probleem. We zien dat de manier waarop ze worden ingezet anders is dan een jaar geleden. Destijds werd een geïnfecteerde computer direct volledig ingezet om bijvoorbeeld spam te verzenden. Door het verkeer dat ze genereerden waren ze relatief eenvoudig op te sporen.

Arnoud

Octrooi tegen beveiligingslek

In twee maanden al aardig wat geblogd, maar een post over beveiliging èn octrooien had ik nog niet. Maar dankzij Security.NL nu wel:

Het bedrijf Intellectual Weapons kan voor onderzoekers een patent aanvragen op een mogelijke security fix die ze ontdekken. Voor onderzoekers een waarschijnlijk lucratievere optie dan het verkopen van vulnerabilities aan de hoogst biedende partij, omdat een patent altijd van waarde blijft. IW geeft wel aan dat men zoekt naar fixes die innovatief zijn.

Een oplossing voor een beveiligingsprobleem kan inderdaad best geoctrooieerd worden. Een uitvinding is immers een verbetering, een oplossing in de techniek. En er zijn beveiligingslekken te over – bijna 140.000 stuks, zo meldt o.a. de Automatisering Gids.

Of dat echt geld oplevert, waag ik te betwijfelen. Ten eerste omdat het jaren duurt voor je het octrooi verleend krijgt. Tegen die tijd is het beveiligingsprobleem (hopelijk) allang achterhaald. Ten tweede: hoe veel mensen zullen geld betalen voor een reparatie aan Microsoft Outlook? Hooguit eentje, lijkt mij. De rest kan de reparatie toch niet uitvoeren zonder Microsoft’s hulp.

De Register heeft meer over hoe IW verwacht winst te maken:

Intellectual Weapons said it fully expects “major battles” in enforcing its IP, which is just as well since the firm’s business plan puts it toe to toe with Microsoft’s formidable team of lawyers. Security researchers need perseverance in order to stand a chance of scoring half the revenues from licensing offered by the firm.

Security researchers approaching Intellectual Weapons need to have big cajones, the firm advises. Intellectual Weapons said it developed an approach to streamlining the patent application and licensing process, but admits it is still far from straightforward.

Octrooien zijn nuttig voor innovatie, maar je moet wel een lange-termijn visie hebben. En dat mis ik hier.

Arnoud

Live computervredebreuk tijdens rechtszaak

Arnout Veenman schrijft op ISPam.nl over een Verslag kort geding van Impressed tegen Aleto Internet. Aleto had een klant overgenomen van Impressed. Omdat de site van de klant -de Gay Krant- een complex content management systeem (CMS) gebruikte, was de verhuizing niet eenvoudig. Inzet van de zaak was dat Aleto Internet op de server van Impressed zou hebben ingebroken om zo de hele site over te hevelen naar hun eigen server.

Opvallend was de manier waarop de eiser bewijs leverde:

Het hoogte punt van het relaas van de eiser was echter de LIVE demonstratie van het feit dat er met logingegevens die bekend waren bij de eiser kon worden ingelogd op het CMS achter de website van de Gay Krant, die nu bij Aleto op een eigen webserver draait. Daarmee wilde de eiser dus aantonen dat er in zou zijn gebroken op de webserver van Impressed, wat neer komt op inbreuk op artikel 138a Sr. Alleen wat de eiser met het inloggen met de “valse sleutel” in een “valse hoedanigheid” deed valt nou juist ook onder dat artikel. Of te wel onder het toeziend oog van de rechter werd er gewoon even doodleuk een misdrijf in de rechtszaal gepleegd, waar alle aanwezigen van de kant van gedaagde vol verbazing naar keken. Echter gedurende het verhaal van de eiser behoor je niet te interrumperen.

Arnoud

Webwinkelen onder pseudoniem, met creditcard

Security.NL bericht over een nieuwe dienst voor onder pseudoniem winkelen op Internet waarbij toch met een creditcard kan worden betaald. Het idee is dat je je creditcard en andere gegevens aan “a.K.a Card” geeft, waarna zij je een alternatieve naam en nummer geven waarmee je verder kunt winkelen. De winkelier komt via die alternatieve naam bij aKa Card uit, en die keuren de transactie goed nadat de echte creditcard maatschappij heeft gezegd dat het goed is.

Voordeel is dus dat een webwinkel geen idee meer heeft wie wat bij hem koopt. Nadeel is dat aKa Card nu precies weet wie waar koopt. Amazon weet alleen dat je boeken bij hen koopt, maar komt nooit te weten dat je ook een CD bij Bol (of een pornofilm bij XXXfilms) koopt. AKA Card wel. Dus je moet dit bedrijf net zo hard vertrouwen als je eigen creditcard maatchappij.

Hoe goed je privacy beschermd is bij dit systeem, is nog maar de vraag. Als je tenslotte dingen moet laten bezorgen, dan weet de webwinkel nog steeds je echte adres. En een krantenartikel over deze dienst meldt dat het helpt tegen identiteitsdiefstal, wat ik niet snap. Als iemand deze valse identiteit steelt, kan hij net zo goed dingen kopen waar jouw eigen creditcard voor opdraait.

Het is wel makkelijker zo om te switchen van identiteit.

Arnoud

Burger kan politie helpen met ‘Mms-witness’-programma (via Tweakers)

Het Nederlandse bedrijf Waleli heeft een programma ontwikkeld waarmee burgers filmpjes en foto’s van misdaden naar de politie kunnen sturen, zo meldt Tweakers:

Als het aan Waleli ligt, gaat de burger middels het programma ‘Mms-witness’ gebruikmaken van de foto- en video-opties op zijn mobiele telefoon om zo misdaden bij de politie te melden. Zodra een mms-bericht bij de politie binnenkomt, wordt het doorgestuurd naar de agenten die het dichtst bij de misdaadlocatie aanwezig zijn. Het mms-bericht wordt dan gebruikt om de dader te identificeren en dient tevens als bewijs van de misdaad.

Natuurlijk kan een kwaadwillend iemand zo de politie overspoelen met onzinfoto’s of valse meldingen, maar dat kan nu in principe ook al. Bovendien kan de politie altijd achterhalen van welke telefoon (en, bij een abonnement, welke eigenaar) die berichten afkomstig zijn en ze blokkeren of andere maatregelen nemen. Net als bij 112.

Bovendien is het aan de rechter om te beoordelen welke waarde hij hecht aan de foto als bewijs. Een onduidelijke foto van 320×240 pixels waar alleen een vaag gezicht op te zien is van iemand die wegrent, zal niet zo overtuigend zijn als een scherpe actiefoto van 2048×1024 van het moment van de overval.

Oh ja, en het portretrecht speelt niet echt mee: de foto wordt niet gepubliceerd maar alleen opgestuurd naar de overheid. Artikel 22 lid 1 staat toe dat de politie die foto’s vervolgens publiceert “ter opsporing van strafbare feiten”.

Arnoud

Flinke toename cybercrime in Nederland (via Emerce)

De online criminaliteit neemt flink toe in Nederland, meldt o.a. Emerce. Dit blijkt uit het Trendrapport Cybercrime 2007, uitgegeven door ICT-beveiligingsinstantie Govcert.NL (van o.a. de Waarschuwingsdienst.nl)

Het grootste probleem is de toename van botnets. Botnets vormen de infrastructuur voor cybercrime, zo meldt het rapport. Daarmee kunnen ongestraft virussen, spam mail en dergelijke worden verzonden. Ook worden ze gebruikt als springplank om in andere systemen in te breken. Nieuwsgierig hoe dat werkt? Neem een kijkje in de cockpit.

Malware, kwaadaardige software en phishing, het vissen naar persoonlijke informatie, worden ook een steeds groter probleem.

De makers van dergelijke software en botnets worden ook steeds slimmer. De vraag is dus hoe cybercrime aan te pakken.

Arnoud

Kort geding over publicatie verkiezingssoftware (3)

NU.nl meldt dat de stichting Wij Vertrouwen Stemcomputers Niet de verkiezingssoftware van Groenendaal van zijn website moet verwijderen, op straffe van een dwangsom van 5000 euro per dag. Het kort geding (dat 22 mei diende) ging over de vraag of je auteursrechten mag schenden in het belang van de informatievrijheid, en dan met name om te kunnen nagaan of verkiezingen eerlijk verlopen.

In het vonnis maakte de rechter korte metten met de verweren dat er geen auteursrecht op de software zou zitten of dat deze -net als wetten en vonnissen- publiek domein zou zijn omdat deze bij verkiezingen wordt gebruikt.

Interessant wordt het bij de belangenafweging tussen vrije meningsuiting en auteursrecht. Zoals ik al eerder schreef, als er een zwaarwegend belang is dat voor publicatie van een werk pleit, dan kan de rechter het auteursrecht daarvoor laten wijken. De vraag is of de beperking, het verbod op publicatie op grond van het auteursrecht dus, “noodzakelijk is in een democratische samenleving”.

De rechter oordeelt echter dat het niet proportioneel is om de gehele software te publiceren. Groenendaal verkoopt de software, en is bang voor concurrenten die nu ook stemmachines kunnen maken met zijn software. Bovendien, blijkens een uitvoerige serie geciteerde rapporten heeft de stichting ook zonder dit zware middel al genoeg aandacht voor de problemen met stemcomputers weten te vragen. Gezien deze aandacht behoort nu de overheid de volgende stap te nemen en de software te (laten) controleren. Het is niet meer nodig om die software nog wereldwijd aan te bieden zodat “de eerste de beste hacker” er in kan kijken.

En die laatste opmerking (uit het pleidooi van Groenendaal) vond ik nogal een -waarschijnlijk onbedoelde- schop richting stichtingsoprichter Rop Gonggrijp, bepaald niet “de eerste de beste” hacker van Nederland. Of nou ja, heel letterlijk gelezen misschien wel. In ieder geval één van de.

De software moet binnen 24 uur worden verwijderd.

UPDATE: (15 juni) via de comments bij Tweakers over dit vonnis vond ik nog een link naar een Youtube-filmpje waarin te zien is hoe je binnen 60 seconden een stemmachine hackt. Vereisten: schroevendraaier (kruiskop), nieuw chipje en 60 seconden in een afgesloten ruimte.

Arnoud

ICTRecht Weblog » OpenID een elektronische handtekening?

Eén van de eisen voor een rechtsgeldige digitale handtekening is dat er een betrouwbaar middel voor identificatie van de plaatser gebruikt wordt. Een OpenID identiteit is een webadres of URL, met een mogelijkheid om te bewijzen dat jij eigenaar bent van die URL. Is deze nu geschikt voor een digitale handtekening? Steven Ras van ICTRecht vraagt het zich af:

Het is nog maar de vraag of OpenID kan worden gezien als betrouwbaar middel voor authentificatie. Een OpenID-account maak jezelf aan en is daarom niet direct betrouwbaar. Kort gezegd: een elektronische handtekening die je aan jezelf geeft is onbetrouwbaar.

Arnoud

Tot 324 Mbps ‘gratis’ internet met The Slurpr

Merien ten Houten schrijft in SYNC.nl over een nieuw apparaatje, de Slurpr, dat tot 324 Mbps ‘gratis’ internet mogelijk maakt:

De Nederlandse übergeek Mark Hoekstra lanceert op 1 juni The Slurpr. De Slurpr is een WiFi breedband router die tot zes beschikbare WiFi kanalen gebruikt en deze combineert tot één supersnelle breedband toegangspunt. De Slurpr kiest zelf de zes sterkste open netwerken die beschikbaar zijn. De Slurpr werkt alleen met netwerken die niet beveiligd zijn. Er is dus geen sprake van het kraken van de netwerken (in de strikte zin van het woord).

Echter, het gebruik maken van andermans draadloos netwerk is strafbaar wanneer het opzettelijk en wederrechtelijk gebeurt. Ook als daarbij geen beveiliging wordt omzeild of misleid. Wel moet het voor de ‘meesurfer’ kenbaar zijn dat hij op verboden terrein zit, bijvoorbeeld doordat een netwerknaam met daarin ‘verboden toegang’ wordt gebruikt.

Tweakers meldt nog dat de gebruikte soft- en hardware door Hoekstra zijn vrijgegeven onder een Creative Commons-licensie, waardoor iedereen zijn eigen Slurpr in elkaar kan knutselen.

UPDATE: het ding blijkt duizend euro te kosten en gezien de toon van de homepage ligt de maker niet echt wakker van de juridische aspecten.

Arnoud