De Amerikaanse federale recherche FBI blijkt in staat te zijn webstekken die verborgen zijn achter Tor, waar onder veel meer ook de ‘ondergedoken’ Pirate Bay gebruik van maakt, op te sporen en onschadelijk te maken. Het Amerikaanse Silk Road, waar roesmiddelen werden verhandeld , werd uit de lucht gehaald nadat initiatiefnemer Ross Ulbricht, alias Dread Pirate Roberts , was gearresteerd. Lees verder
Als je wilt weten wie of wat jouw gegevens opvraagt en ook nog onder controle wil houden wat iemand of iets van je mag zien, dan kun je een digitale poortwachter op je computer of mobiel installeren. Aan het befaamde MIT in het Amerikaanse Cambridge is een programma ontwikkeld, OpenPDS, dat precies dat doet (of zegt te doen). Het programma verzamelt je gegevens, bijvoorbeeld waar je geweest bent (mobiel) of wanneer je wie een meel hebt gestuurd, maar ook je persoonsgegevens. Als er van buiten een ‘verzoek’ komt om gegevens, komt dat bij OpenPDS terecht. Dat geeft antwoord, maar de inhoud daarvan wordt door jou bepaald. Mensen die met OpenPDS werken weten dus altijd wie of welke organisatie, bijvoorbeeld de NSA, gegevens hebben opgevraagd, vooropgesteld dat ze zich netjes aan de ‘beleefdheidsregels’ houden en zich niet anders voordoen dan wie of wat ze zijn. Lees verder
Rechter Claude Hilton (2004, AP)
Lavabit, het bedrijf waar klokkenluider Edward Snowden, zijn meelverkeer had ondergebracht, heeft in juli j.l. geweigerd de FBI de SSL-sleutels voor zijn gecodeerde meelverkeer te geven. Het bevel kwam nadat het bedrijf geweigerd had de veiligheidsdienst toegang te geven tot de metadata van het gegevensverkeer. Dat bleek uit een document dat openbaar werd gemaakt door een Amerikaans hof van beroep in Alexandria (Virginia). De naam van het doelwit werd niet bekend gemaakt, maar de genoemde beschuldigingen, overtreding van de spionagewet en diefstal van overheidseigendommen, zijn dezelfde als die tegen Snowden zijn ingediend bij het zelfde hof. Lees verder
Hoofdshirt van Simone Niquille.
Ik vind het onbegrijpelijk waarom Facebook zo populair is, maar ik moet me neerleggen bij de harde werkelijkheid. Facebook probeert zo beetje alles van je te pikken wat je zo ruimhartig op het wereldwijde web gooit. En het is natuurlijk zo vreselijk handig dat je foto’s meteen worden benaamd: dat is Joop, dat Ineke en die gast is Kevin… Gezichtsherkenning is normaal (en vindt iedereen kennelijk normaal). Het bedrijf maakte op dit terrein even een pas op de plaats (of trok zich zelfs wat terug), maar er ligt een nieuw gebruikersvoorstel waarin Facebook het recht krijgt je profielfoto te gebruiken voor gezichtsherkenning. Je kunt daar stennis over gaan maken of een plaatje van je hond als profielfoto nemen of je koopt een hoofdshirt van Simone Niquille met bekende koppen om Facebook voor de gek te houden. Lees verder
John McAfee op de C2SV-conferentie
John McAfee, van het gelijknamige virusprogramma, is een rare kwast. Volkomen geschift. Hij is Midden-Amerika uitgevlucht, nadat hij in Belize, zijn toevluchtsoord, was beschuldigd van moord op zijn buurman . Hij zegt de band met zijn oude bedrijf te hebben verbroken, maar helemaal vergeten kan hij zijn oude stiel nog niet. Afgelopen zaterdag ontvouwde hij op de C2SV-conferentie in Californië zijn plannen voor een nieuw bedrijf Future Tense Central dat een product gaat ontwikkelen, D-Central genoemd, waarmee surfers anoniem en on(na)volgbaar op het wereldwijde web te keer kunnen gaan. Dag NSA, denk je dan. Lees verder
Veiligheidsdiensten hebben op het wereldwijde web en in de telecom een infrastructuur opgebouwd, waarmee ze naar hartelust kunnen inbreken op groot aantal computer- en telecomsystemen. Dan gaat het niet alleen om netwerken, maar ook niet verbonden computers zijn afluisterbaar via gegevensdragers of door het ‘beluisteren’ van toetsklikken. Dat de meldt de Duitse vereniging voor informatica, een organisatie van 20 000 informatici. Volgens de vereniging heeft de roemruchte Amerikaanse veiligheidsdienst NSA ‘achterdeurtjes’ in 80 000 strategische servers, die over de hele wereld verspreid zijn; zo 10 000 servers gemiddeld bij de acht G8-landen. Het zou daarbij gaan om systemen in alle essentiële hoeken van de samenleving: de energiesector, financiële wereld, telecomsector, voedingssector, media, chemische industrie enz. Lees verder
Zes jaar geleden vonden twee kryptografische onderzoekers van Microsoft een raar lek in een versleutelingssysteem (een getallengenerator) voor de Amerikaanse overheid. Het tweetal, Dan Shumow en Niels Ferguson, vonden een ‘‘achterdeur’ via welke een derde de code kon breken. Sedert de onthullingen van Edward is bevestigd wat iedereen al vermoedde: die achterdeur was daar aangebracht door de NSA. Het bleek nog erger te zijn. De NSA dwong (en dwingt?) makers van beveiligingssystemen zwakheden in te bouwen, zodat de veiligheidsdienst er altijd ‘in’ zou kunnen komen.
De documenten laten zien dat de NSA de versleuteling kan kraken van alledaagse beveiligingssystemen zoals SSL (Secure Sockets Layer) en de virtuele private netwerken (VPN), die veel bedrijven gebruiken ter beveiliging van hun vertrouwelijke communicatie. Diensten als de NSA brengen daar tegenin dat terroristen dezelfde diensten gebruiken als Amerikanen en het dus noodzakelijk is die berichtgeving te kunnen ontsleutelen. Bij een toenemende webspionage, ook door China en Rusland, kan de NSA het zich niet veroorloven grote stukken van het web te negeren, is het verweer.
Die nieuw verworven wetenschap knaagt natuurlijk aan het vertrouwen dat mensen en bedrijven in de beveiligingsbranche hebben. De jongste onthullingen rond het NSA-schandaal leren dat de dienst beschikt over een grote databank met gegevens hoe beveiligingsprogrammatuur en -systemen kunnen worden ontsleuteld.
David Dampier, hoofd computerbeveiligingsonderzoek van de staatsuniversiteit van Mississippi vindt dat niet best, maar het verbaast hem niks. “Er is geen versleuteling te bedenken die 100% waterdicht is. Wat een bedrijf je ook verkoopt, de code kan gebroken worden.“ Volgens gelekte gegevens over de begroting van de NSA in de New York Times, zou de dienst met zowel Amerikaanse als buitenlandse it-bedrijven hebben samengewerkt. “De veranderingen in ontwerp hebben de systemen ‘hanteerbaar’ gemaakt.”, staat ergens in die documenten.
“Als dit waar is”, zegt beveiligingsdeskundige Daniel Castro van ITIF, “dan is dat een pervertering van de democratie. Dit is slecht voor de concurrentiepositie van Amerikaanse bedrijven.” Castro schreef vorige maand in een rapport dat het hele NSA-schandaal de Amerikaanse bedrijven die digitale opslagruimte aanbieden (‘wolk’) in drie jaar 35 miljard dollar (zo’n 26 miljard euro) kunnen gaan kosten.
De getallengenerator uit het begin van dit verhaal, de Dual_EC_RNG, was nauwelijks een succes. De versleutelaar was traag, klunzig, maar wordt onderdsteund door het besturingssysteem Windows. Microsoft zei in het verleden de overheid nooit directe, vrije toegang gegeven te hebben tot klantgegevens, zegt dat ook vandaag nog, maar misschien was dat ook helemaal niet nodig.
Inmiddels is volksvertegenwoordiger Rush Holt van plan wetgeving op gang te brengen die de ongebreidelde nieuwsgierigheid van diensten als de NSA aan banden moet leggen. “We betalen ze om te spioneren, maar als dat betekent dat beveiligingsprogrammatuur ingebouwde zwakheden heeft dan is dat een ondienst”, zei hij in de New York Times. Niet opgehelderd is hoe het mogelijk is dat de beveiligingsbedrijven zich hebben laten ringeloren daar de NSA, vooral wat de niet-Amerikaanse bedrijven betreft. Waar zou die dienst mee gedreigd hebben?
Bronnen: Wired, New York Times
Het boek van Thomas Rid
De Britse onderzoeker Thomas Rid stelt in een commentaar in het Britse populair wetenschappelijke blad New Scientist dat het zeer onwaarschijnlijk is dat er oorlog op het web komt. Hij schreef dat commentaar naar aanleiding van het uitkomen van zijn boek Cyber war wil not take place. Zo’n 20 jaar geleden verklaarde de Amerikaanse denktank Rand Corporation dat de weboorlog er aan zou komen. In 2005 verklaarde de Amerikaanse luchtmacht klaar voor de strijd te zijn die zij zeker zou winnen, een oorlog in het vijfde domein (na land, zee, lucht en ruimte). De Amerikanen steken er geld in: zo’n 4,3 miljard dollar per jaar voor 231 aanvalsoperaties (2011).
Hoe zou zo’n weboorlog er uit zien? Historisch gezien moet een oorlog gewelddadig (je dient de vijand uit te schakelen), instrumenteel en politiek zijn. Geen enkele webaanval voldoet aan deze drie criteria, stelt Rid, werkzaam bij de afdeling oorlogsstudies van het King College in Londen. Heel weinige voldoen met moeite aan een van de drie criteria. Er is nooit iemand gewond geraakt bij zo’n aanval, nooit viel een staat een andere staat aan. Heel zelden werden de aanvallen uitgevoerd door mensen in staatsdienst, zodat een echte oorlog, niet de metafoor, er nooit is geweest en er zeer waarschijnlijk ook nooit zal komen.
Dat wil niet zeggen dat er geen webaanvallen plaatsvinden. We kennen het verhaal van de aanval die de VS en Israël uitvoerden met de computerworm Stuxnet om het atoomverrijkingsprogramma van Iran te dwarsbomen. Je kunt de levering van elektra of van water verstoren via computer, maar dat zou volgens Rid nog nooit zijn gebeurd. Is dat oorlog, vraag hij zich dan af of eerder sabotage of spionage? Dat lijkt dan meer een woordenspel. Als je er door een inbraak op een computersysteem van een energieleverancier de energielevering in een land kan stilleggen, dan zou je dat toch als een uiterst effectieve manier van oorlogvoeren kunnen zien. Daar heb je geen soldaten met geweren voor nodig, die ook nog eens het risico lopen gedood te worden.
Webaanvallen zijn, geeft hij toe, niet ongevaarlijk. Computersystemen sturen van alles en nog wat dat in onze hedendaagse maatschappij als onmisbaar wordt beschouwd zoals gasleidingen, trein- en vliegverkeer, chemische installaties, liften en medische apparaten. Onze maatschappij is daar in toenemende mate van afhankelijk en dus steeds kwetsbaarder. Toch, zegt Rid, is het aantal ‘gewelddadige’ computeraanvallen tegen westerse doelen nul. Waarom? Omdat zo’n aanval lastiger is dan ie er uit ziet, zegt hij. Regelsystemen voeren vaak zeer specifieke taken uit. Dat beperkt de mogelijkheden van de aanvaller en zelfs al slaagt de aanvaller er in een specifiek systeem aan te vallen, dan zullen die geen groot effect hebben, is zijn redenering.
Spionage is een andere kwestie. Dat gevaar is reëel. Er wordt ingebroken om niet-openbare informatie te achterhalen, maar dat is volgens Rid geen oorlog.
Dan is er nog de mogelijkheid de ‘vijand’ geestelijk te ondermijnen via de sociale media en andere webdiensten. Twitter en Facebook hebben het organiseren van protest makkelijker gemaakt dan ooit, maar ook dat vindt hij geen oorlog.
Computeraanvallen zijn heel wat minder gewelddadig dan het ouderwetse oorlogshandwerk. Natuurlijk, een beetje handige webber kan een webstek platleggen, bestanden wissen en al dat soort ongein. Hij/zij kan ‘achterdeurtjes’ van computers openen, programma’s aanpassen en dergelijke, maar het is allemaal een stuk minder spannend en riskant dan er geheime agenten op uit te sturen om in andere landen clandestiene dingen te doen. Het vorig jaar wilde het Amerikaanse ministerie van defensie een onderscheiding instellen voor droonbedieners en uitvoerders van webaanvallen. De echte soldaten protesteerden heftig toen bleek dat de nieuwe onderscheiding meer waard zou worden dan het bekende Purple Heart. Het plan is geschrapt.
Eigenlijk vindt Rid dat we dat het voorvoegsel cyber of web moet laten vallen. Spionage is spionage. Er zijn mensen die baat, denken te, hebben bij het begrip weboorlog. Een oorlog vereist voorzorgsmaatregelen, geeft het recht acties uit te voeren die in vredestijd niet geaccepteerd zouden worden, onder het mom dat dat goed is voor onze veiligheid. We hoeven hierbij maar aan het afluisterschandaal van de NSA te denken, maar de NSA is zeker niet de enige veiligheidsdienst die zich zoveel brutaliteit meent te kunnen permitteren. De oorlog wordt niet op het web gestreden, is de overtuiging van de oorlogsonderzoeker. Defensie zou zich op de ‘echte’ oorlog moeten concentreren, aldus Thomas Rid. Dat is al moeilijk genoeg, getuige het gehannes van Obama rond de gifaanval in Syrië.
Bron: New Scientist
De baas van persbureau Nieuw China Li Congjun met zijn krab
Het lijkt er op of China de publieke opinie digitale oorlog heeft verklaard. In de Franse krant Le Monde wordt gerefereerd aan een verslag in de South China Morning Post van een vergadering van partijpropagandisten waarin president XI Jinping wordt opgevoerd die pleit voor het vormen van een sterk leger om te strijden aan front van de nieuwe media. Het officiële persbureau Nieuw China komt ook met die berichtgeving zonder de oorlogszuchtige kwalificatie te noemen. Deze ‘oorlogsverklaring’ verklaart volgens de krant de jongste ontwikkelingen op dit terrein, met name de arrestaties van verschillende internetters die geruchten zouden hebben verspreid en in verband met andere ontwikkelingen rond Weibo (het Chinese twitter). Een van de gearresteerden, de Chinese Amerikaan Xue Manzi, is aangehouden vanwege veelvuldige hoerenbezoek, maar het lijkt er op dat dat een voorwendsel is. Afgelopen woensdag stelde de baas van Nieuw China, Li Congjun, dat gepubliceerd werd in het Volksdagblad, het orgaan van de communistische partij, dat “(we) er werk van moeten maken om de controle over de publieke opinie over te nemen.(…) Het met harde hand handhaven van de principes van de partij is een belangrijke voorwaarde.”
Bron: Le Monde