“Ik heb toch niets te verbergen?” is het meest gehoorde argument als je mensen vraagt naar wat zij vinden van de alsmaar toenemende surveillance mogelijkheden die de Nederlandse overheid in probeert te zetten om haar burgers in de gaten te houden. Natuurlijk je hebt ook niets te verbergen… voor de overheid wellicht… maar wat nu als het in handen van derden valt? Dat is het grote probleem: je verwacht dat overheden –maar ook bedrijven– zorgvuldig omgaan met persoonlijke gegevens van burgers. En juist die verwachting blijkt keer op keer niet waargemaakt te worden. Ik schrijf dit naar aanleiding van een groot lek bij NL-energie maar dat is slechts één voorbeeld van de talloze incidenten die er de laatste tijd boven water zijn gekomen… let wel: de incidenten die bekend zijn geworden. Het topje van de ijsberg dus.

Er zijn strenge regels waaraan bedrijven en overheden moeten voldoen met betrekking tot het omgaan van persoonsgegevens. Echter keer op keer komen incidenten boven water waaruit blijkt dat die regels op grote schaal geschonden worden. Dat is de reden dat ik me elke keer weer onveiliger voel op het moment dat administraties gekoppeld worden, databases worden aangelegd, dataverkeer gemonitord gaat worden en ga zo maar door. Heb ik iets te verbergen dan? Nee! Of ja, eigenlijk wel… mijn identiteit. Ik wil graag mijn eigen identiteit behouden en vooral voor mezelf houden. Ik heb er geen behoefte aan dat organisaties mijn privé-gegevens naar Jan en Alleman lekt.

(more…)

Well we’ve all been in a situation where the location you work at allows restricted access to the internet. To an IT-guy restricting access to the internet is like squeezing his throat. We can’t breath without unrestricted access to the internet…

Now I do understand you don’t want to grant any employee unrestricted access to the internet from the corporate network. At least half of them will double-click (execute) files called ‘clickme.exe‘ or ‘funny-picture-of-your-mom.exe‘. So here’s a nice trick to get yourself a little more freedom (and privacy) in the office. I will not explain all details. You already need to understand how to tunnel your SSH through the corporate proxy. If you don’t: you are out of luck… and probably someone who would click on ‘unreleased-justin-bieber-song.bat‘ anyway.

(more…)

This is Google’s motto “Don’t be evil” however more and more it seems to be applicable to you and not to Google. The latest news is that the Street-view vehicles are also registering WLAN’s and MAC addresses while mapping your neighbourhood. Big issue in Germany (here’s a German article from newspaper ‘Der Spiegel’) where this was discovered.

Now the most appalling and worrying is that Google CEO Eric Schmidt recently said internet users shouldn’t worry about privacy unless they have something to hide. Right. “Don’t be evil” also includes to not collect data that could facilitate any evil.

Elvis leeft! Er zijn veel mensen die altijd al dachten dat de dood van Elvis Presley in scene was gezet en dat blijkt nu waar te zijn. Elvis leeft en heeft een Nederlands paspoort. Althans dat heeft de onderzoeker Jeroen van Beek aangetoond. De chip die gebruikt wordt in de Europese paspoorten is gekraakt (zie OV-chipkaart).

Hier het hele verhaal op nu.nl

Wil jij ook iedere dag een paar nieuwe gratis laptops? Dan moet je bij de Amerikaanse douane gaan werken op een vliegveld. Zij mogen namelijk laptops en andere electronische apparatuur confisqueren voor onbepaalde tijd. Dus tegen de tijd dat er een nieuw modelletje voorbij komt kun je ‘m zo aanpakken van de verbijsterde reiziger. Wat zegt u? Ben je mal? Natuurlijk hoeft er niet een concrete verdenking tegen die specifieke reiziger te zijn. Gewoon aanpakken en inpikken.

Wat zou de douane nog meer mogen naast de laptop inspecteren? Mag men software installeren? Keyloggers? Andere spyware? Zijn daar überhaupt regels voor? Het is wel zeker dat er een integrale kopie van uw harde schijf gemaakt mag worden. Volgens interne richtlijnen moeten deze kopieën na bestudering vernietigd worden. Kopieën van aangetroffen identiteitsdocumenten worden wel bewaard. Ongelofelijk in hoeverre je vrijheid beperkt wordt met als doel deze “vrijheid” te beschermen. U kent het wel, het bekende “terrorisme bestrijding fabeltje”. Lees dit artikel in de Washington Post maar eens.

Hoe kun je je hier effectief tegen beschermen? Je hele harde schijf encrypten? Ben je verplicht een eventuele passphrase af te staan? En als je de encryptie sleutel nu eens echt niet kent? Ik bedoel stel dat je de (grote) key op een USB stick hebt staan? De USB stick heb je nodig om de laptop te kunnen booten. Je kunt de stick apart naar de VS transporteren (desnoods via post). Of misschien dat je de key ergens kunt downloaden als je eenmaal in de VS bent (met je telefoon ofzo). Goede ideeën zijn welkom in de comments.

Now here’s a nice video in which some German hackers explain how they analyzed and hacked the Mifare chip that is about to be used in the chipcard for Dutch public transportation. Although each chip has a unique ID the Germans show how they can alter the key so it card behaves as another card with another unique ID. So the ID can’t be changed but using the key a card can be cloned. They will publish full details somewhere next year. As they say it: “start migrating now”. Video is about one hour.

Today I came across a small article that mentioned that the Data Loss Database is taken over and will be maintained by the Open Security Foundation. Ignorant as I am I didn’t even knew there was such a database. It holds all known cases of data loss world wide. Take a look at that and see how many cases are reported. Once again the only question that comes to mind is: when will we ever learn?

In de Verenigde Staten is per mei de zogenaamde Real I.D. wet in werking getreden. Dit houdt in dat iedereen die in de USA woont of werkt een federale ID-kaart moet dragen. Deze kaart heb je ook nodig als je een per vliegtuig wilt reizen of als je een bankrekening wilt openen. Het idee is dat het voor illegale immigranten moeilijker wordt om zich vrij te bewegen in the USA. Voor het aanvragen van een Real I.D. moet je een kopie van je geboortecertificaat overleggen, burgerservicenumber (social security number), inschrijving bij het bevolkingsregister en andere identificatie (paspoort, rijbewijs). Uiteraard is het argument voor deze maatregel dat dit zou bijdragen om terroristische aanslagen te voorkomen.

Feit is dat voor de Real I.D. Act een nieuwe centrale database in het leven is geroepen waar informatie over Amerikaanse bugers als naam, geboortedag, adres, geslacht, ID numbers en een digitale foto wordt opgeslagen. Sterker nog: de I.D. card is electronisch uitleesbaar en zou moeten beschikken over faciliteiten die het onmogelijk maken om de kaart te dupliceren, vervalsen of aan te passen. Zucht… wanneer leren we nu eindelijk eens.

Ha ha ha. Prachtig dit. Gisteren werd GeenStijl.nl ontboden op het politiebureau. De redactie werd aangesproken op 15 (vijftien) reacties, waarvan één een citaat van Reve is, die door bezoekers (reaguurders) geplaatst werden en die niet door de beugel kunnen. Deze reacties zijn geplaatst in 2006. Niemand heeft GeenStijl benaderd over deze reacties of verzocht ze te verwijderen. Het verweer van GeenStijl is glashelder: we hebben 24/7 moderatie op reacties, van de miljoenen reacties hebben we er 15 gemist. Overigens is het zo dat je pas een rechtzaak succesvol kunt aanspannen nadat je de beheerders op de hoogte hebt gebracht over de vermeende overtredingen, dat is niet gebeurd.

Deze zaak wordt echter niet alleen besproken op GeenStijl. De oude-media, reguliere klant bij GeenStijl, hebben het bericht opgepikt en het wordt overal breed uitgemeten. Er schijnen zelfs kamervragen gesteld te gaan worden hierover. Dit is namelijk de zoveelste actie van Justitie tegen de vrijheid van meningsuiting. Gregorius Nekschot, HoeiBoei, GeenStijl… een nieuwe trend wordt zichtbaar. Hirsch Ballin ontkent hier ook maar iets mee te maken te hebben maar de plotselinge omslag in prioriteiten is opvallend… Of, zoals een van de politiemensen zich gisteren tijdens het verhoor in een onbewaakt ogenblik liet ontvallen: “Het is inderdaad merkwaardig hoe Justitie zich de laatste tijd roert in dergelijke zaken…”

Ja, brave burgers, de normen en waarden worden streng bewaakt. Het was eerder deze maand dat weblog HoeiBoei ontboden werd aan het politiebureau. Nu is het de beurt aan GeenStijl.nl om ontboden te worden. En dan vragen we ons nu af wat dit nou weer voor actie is? Kennelijk heeft men niets beters te doen bij de politie dan blogjes af te struinen.

Je begint toch langzamerhand het gevoel te krijgen dat we in een heel eng gecontroleerde politie-staat leven. Waar is de ambassade van Zimbabwe als je ‘m nodig hebt?

Wie de Verenigde Staten binnen wil loopt het risico dat zijn laptop doorzocht wordt door de douane. Een beetje laptop bevat een enorme hoop aan persoonlijke data. Daaronder vallen wellicht logs van chats en je browser cache. Persoonlijke bestanden, wellicht electronische belastingaangifte, foto’s etc. Voor directieleden van bedrijven geldt waarschijnlijk dat er een boel gevoelige bedrijfsinformatie opstaat die niet voor publieke ogen bedoeld is.

Al met al geen prettig idee dat de douane zonder aanleiding je laptop mag doorsnuffelen. En dat is precies waartegen de EFF (electronic frontier foundation) en de Association of Corporate Travel Executives zich proberen te verzetten. Volgens deze organisaties mag het doorzoeken van een laptop pas bij een concrete verdenking van misdaad.

(more…)

In Germany a survey was held to investigate how the data retention policy on email, phone and mobile communication influences ones behaviour. The survey shows that many Germans don’t use phone and mobile for most confidential contacts anymore. These contacts have nothing to do with crime but with confidential stuff like marriage- or drugs counseling. Here is a clear indication that data-retention changes people. People under surveillance behave differently that people who are free.

Needless to say that people with bad intentions are not using these forms of communication anyway so this doesn’t help in fighting crime. Data-retention is useless.

De actiegroep “Wij vertrouwen stemcomputers niet“, een initiatief van o.a. Rop Gonggrijp, heeft haar doel bereikt. Voorlopig worden in Nederland geen stemcomputers gebruikt. Het stemmen gaat weer ouderwets met pen en papier. Dat maakte het Ministerie van Binnenlandse Zaken vrijdag bekend. De stemmachines van fabrikant Nedap bleken onveilig.

Men heeft succesvol de software reverse engineered en aangepast. Daarnaast zenden de machines signalen uit waarmee afgeluisterd kan worden wat iemand gestemd heeft. Eindelijk eens een goed besluit uit Den Haag.

Now here’s some remarkable news. I mean, you did expect it but you just never heard any evidence on it. But when you read this article on a USB device that Microsoft offers to law-enforcement agencies you might consider changing operating system. The COFEE, which stands for Computer Online Forensic Evidence Extractor has 150 commands that should reduce the time to gather forensic evidence. It can decrypt passwords and analyze a computer’s Internet activity. Brad Smith from Microsoft demonstrated the COFEE to 350 law-enforcement experts last monday.

Now you may feel a little awkward that anyone who ownes a COFEE can extracts forensic data from your (running) windows system but please keep in mind that there is a very legitimate reason for this kind of technology. You see “it’s for the children”. As Brad Smith (Microsoft) puts it: “Criminals seek to win a child’s confidence in cyberspace and meet in real space.” Everytime someone uses the “it’s for the children” argument you better keep an eye on them.

Nieuwe ontwikkelingen aan het front van de OV-chipkaart. Wetenschappers in Nijmegen weten alle sleutels van de kaart nu te kraken na één transactie en dat binnen luttele seconden. Tijdens de demonstratie voor de commissie van de universiteit van Londen, die een contra-expertise van het TNO onderzoek aan het verrichten zijn, duurde het nog een minuut om te sleutels te kraken. Nu het een kwestie van seconden is komt het uitlezen en namaken van kaarten in het bereik van de practische toepassing.

Het zijn natuurlijk niet de vervoersbedrijven noch de overheid die het slachtoffer worden van dergelijk misbruik. Immers het fenomeen ‘zwartrijden’ is verdwenen. Ieder reisje wordt betaald maar mogelijk niet door degene die de reis maakt. De reiziger laadt de kaart van te voeren op met een bepaald tegoed en dat tegoed kan door anderen misbruikt worden om te reizen. Zolang als slechts de reiziger slachtoffer is van dit misbruik en de OV bedrijven er voordeel bij hebben (geen zwartrijden meer) zal de OV-chipkaart gewoon ingevoerd worden.

Update: Groenlinks wil dat Tineke Huizinga de kaart uit roulatie neemt