Categorie archieven: Privésfeer

NSA dwingt techbedrijven ‘achterdeurtjes’ te maken

Geplaatst op door
Beantwoorden

NSA-zwakhedenZes jaar geleden vonden twee kryptografische onderzoekers van Microsoft een raar lek in een versleutelingssysteem (een getallengenerator) voor de Amerikaanse overheid. Het tweetal, Dan Shumow en Niels Ferguson, vonden een ‘‘achterdeur’ via welke een derde de code kon breken. Sedert de onthullingen van Edward  is bevestigd wat iedereen al vermoedde: die achterdeur was daar aangebracht door de NSA. Het bleek nog erger te zijn. De NSA dwong (en dwingt?) makers van beveiligingssystemen zwakheden in te bouwen, zodat de veiligheidsdienst er altijd ‘in’ zou kunnen komen.

De documenten laten zien dat de NSA de versleuteling kan kraken van alledaagse beveiligingssystemen zoals SSL (Secure Sockets Layer) en de virtuele private netwerken (VPN), die veel bedrijven gebruiken ter beveiliging van hun vertrouwelijke communicatie. Diensten als de NSA brengen daar tegenin dat terroristen dezelfde diensten gebruiken als Amerikanen en het dus noodzakelijk is die berichtgeving te kunnen ontsleutelen. Bij een toenemende webspionage, ook door China en Rusland, kan de NSA het zich niet veroorloven grote stukken van het web te negeren, is het verweer.
Die nieuw verworven wetenschap knaagt natuurlijk aan het vertrouwen dat mensen en bedrijven in de beveiligingsbranche hebben. De jongste onthullingen rond het NSA-schandaal leren dat de dienst beschikt over een grote databank met gegevens hoe beveiligingsprogrammatuur en -systemen kunnen worden ontsleuteld.
David Dampier, hoofd computerbeveiligingsonderzoek van de staatsuniversiteit van Mississippi vindt dat niet best, maar het verbaast hem niks. “Er is geen versleuteling te bedenken die 100% waterdicht is. Wat een bedrijf je ook verkoopt, de code kan gebroken worden.“ Volgens gelekte gegevens over de begroting van de NSA in de New York Times, zou de dienst met zowel Amerikaanse als buitenlandse it-bedrijven hebben samengewerkt. “De veranderingen in ontwerp hebben de systemen ‘hanteerbaar’ gemaakt.”, staat ergens in die documenten.

“Als dit waar is”, zegt beveiligingsdeskundige Daniel Castro van ITIF, “dan is dat een pervertering van de democratie. Dit is slecht voor de concurrentiepositie van Amerikaanse bedrijven.” Castro schreef vorige maand in een rapport dat het hele NSA-schandaal de Amerikaanse bedrijven die digitale opslagruimte aanbieden (‘wolk’) in drie jaar 35 miljard dollar (zo’n 26 miljard euro) kunnen gaan kosten.

De getallengenerator uit het begin van dit verhaal, de Dual_EC_RNG, was nauwelijks een succes. De versleutelaar was traag, klunzig, maar wordt onderdsteund door het besturingssysteem Windows. Microsoft zei in het verleden de overheid nooit directe, vrije toegang gegeven te hebben tot klantgegevens, zegt dat ook vandaag nog, maar misschien was dat ook helemaal niet nodig.

Inmiddels is volksvertegenwoordiger Rush Holt van plan wetgeving op gang te brengen die de ongebreidelde nieuwsgierigheid van diensten als de NSA aan banden moet leggen. “We betalen ze om te spioneren, maar als dat betekent dat beveiligingsprogrammatuur ingebouwde zwakheden heeft dan is dat een ondienst”, zei hij in de New York Times. Niet opgehelderd is hoe het mogelijk is dat de beveiligingsbedrijven zich hebben laten ringeloren daar de NSA, vooral wat de niet-Amerikaanse bedrijven betreft. Waar zou die dienst mee gedreigd hebben?

Bronnen: Wired, New York Times

China zet digitaal leger op

Geplaatst op door
Beantwoorden
De baas van persbureau Nieuw China met zijn krab

De baas van persbureau  Nieuw China Li Congjun met zijn krab

Het lijkt er op of China de publieke opinie digitale oorlog heeft verklaard. In de Franse krant Le Monde wordt gerefereerd aan een verslag in de South China Morning Post van een vergadering van partijpropagandisten waarin president XI Jinping wordt opgevoerd die pleit voor het vormen van een sterk leger om te strijden aan front van de nieuwe media. Het officiële persbureau Nieuw China komt ook met die berichtgeving zonder de oorlogszuchtige kwalificatie te noemen. Deze ‘oorlogsverklaring’ verklaart volgens de krant de jongste ontwikkelingen op dit terrein, met name de arrestaties van verschillende internetters die geruchten zouden hebben verspreid en in verband met andere ontwikkelingen rond Weibo (het Chinese twitter). Een van de gearresteerden, de Chinese Amerikaan Xue Manzi, is aangehouden vanwege veelvuldige hoerenbezoek, maar het lijkt er op dat dat een voorwendsel is. Afgelopen woensdag stelde de baas van Nieuw China, Li Congjun, dat gepubliceerd werd in het Volksdagblad, het orgaan van de communistische partij, dat “(we) er werk van moeten maken om de controle over de publieke opinie over te nemen.(…) Het met harde hand handhaven van de principes van de partij is een belangrijke voorwaarde.”

Bron: Le Monde

 

Bedrijven werpen dammen op tegen afluisteren NSA

Geplaatst op door
Beantwoorden

NSA
Het lijkt er op alsof het de grote (internet)bedrijven als Apple, Facebook of Google niks kan schelen of de gegevens van hun klanten door de NSA worden onderschept, maar volgens het webblad Wired is dat niet waar. De toegang tot Facebook via apps en webrauzers zou nu gecodeerd zijn (SSL). Het programma dat NSA gebruikte om het web af te struinen, X-Keyscore, is in de eerste plaats bedoeld om ongecodeerde informatie op te pikken. Als de NSA weer met een gerechtelijk bevel langs zou komen, zouden de gebruikers gewaarschuwd worden dat hun berichten mogelijk zouden worden onderschept.
Er zijn veel barrières in te bouwen voor een al te nieuwsgierige veiligheidsdienst. Zelfs met het oude SSL-codering wordt het al lastig voor de NSA. Vroeger kon de overheid zich verlaten op certificaatuitgevers, die de dienst, al of niet gedwongen, de decoderingssleutel zouden verstrekken, maar Google heeft al iets veranderd aan Chrome om dat risico te neutraliseren en ook Microsoft, heeft met zijn webrauzer Internet Explorer  plannen in die richting.
Ook op andere fronten wordt het steeds lastiger voor de arme geheime agenten, stelt Wired. Er zijn bedrijven die zich er op toeleggen de toegang tot informatie uitzonderlijk lastig te maken. De Amerikaanse overheid wil al lang wetten invoeren die bedrijven dwingen hun producten ‘onderschepbaar’ te maken. Dat lijkt me een vreemde wetgeving, die eist dat bedrijven niet hun best mogen doen. Maar ja, we hebben het wel over Amerika. Ook Apple zou in een handomdraai iets in elkaar kunnen zetten om de NSA (e.a.) de voet dwars te zetten door bijvoorbeeld de coderings- en verificatietechniek OTR in te bouwen in hun berichtenprotocol voor mobieltjes als iMessage. Nu is het voor de NSA geen enkel probleem berichten te onderscheppen als ze eenmaal met een gerechtelijk bevel kunnen zwaaien. Een nieuwe aangepaste versie van iOS, het besturingssysteem van de iPhone, en dag NSA. Tot nu toe is er nog geen wet die het Facebook, Apple, Microsoft en Google verbiedt. De wetten zijn wel in de maak om dat ‘ongeluk’ voor de NSA’s te verminderen, maar Obama heeft sedert het begin van het NSA-schandaal heel wat gas moeten terugnemen en het is de vraag of het Congres nog wel aan wil aan (nog) ruimere bevoegdheden voor veiligheidsdiensten.

Bron: Wired

Opstelten grootste schender privacy (vindt ‘publiek’)

Geplaatst op door
Beantwoorden

© anp. Minister van Veiligheid en Justitie Ivo Opstelten.

Minister Ivo Opstelten van Veiligheid en Justitie is volgens het Nederlands publiek de ‘grofste privacyschender’ van het afgelopen jaar. Hij kreeg daarom gister de Publieksprijs bij de Big Brother Awards die de digitale burgerrechtenbeweging Bits of Freedom jaarlijks uitreikt.
Opstelten viel in de prijzen vanwege zijn ‘desinteresse voor privacy”, aldus de organisatie. BoF wijst op Opsteltens omstreden terughackvoorstel, waarbij politie en justitie de mogelijkheid krijgen om in te breken op computers van verdachten. Ook zijn voorstel om kentekengegevens 4 weken op te slaan om zo de pakkans van criminelen te vergroten, vindt geen genade in de ogen van Bits of Freedom.
Naast de minster waren ook de eigen ‘NSA”, de Algemene Inlichtingen- en Veiligheidsdienst (samen met de echte NSA), en de verwerker van betalingsverkeer Equens genomineerd voor de Publieksprijs, maar de minister won ‘met een ruime meerderheid van de stemmen”.
De Belastingdienst kreeg  de Expertprijs. Die wordt toegekend door een groep deskundigen op het gebied van privacy en veiligheid. De Belastingdienst krijg de ‘prijs’ voor het ongeoorloofd gebruiken van kenteken- en parkeergegevens die door andere instanties zijn verzameld en eigenlijk vernietigd hadden moeten worden. Opmerkelijk is dat er op de stek van de prijs en van BoF nu nog niets te vinden is over de toekenning.

Bron: De Volkskrant

NSA werd al eerder door rechter op vingers getikt

Geplaatst op door
Beantwoorden
Voormalig FISC-rechter John Bates

Voormalig FISC-rechter John Bates

De Amerikaanse autoriteiten hebben een uitspraak van de geheime rechtbank (FISC) vrijgegeven, waaruit blijkt dat de Amerikaanse veiligheidsdienst NSA de rechtbank heeft misleid. Ook blijkt uit die uitspraak dat de dienst directe toegang had tot de internetcommunicatie van burgers.
Uit het document (.pdf) wordt duidelijk dat speculaties in, onder meer, de Washington Post, dat de federale veiligheidsdienst direct toegang heeft tot de communicatiekanalen van telecombedrijven en dat die e-berichten onderschept wanneer die verstuurd worden, op waarheid berusten. Het ging (gaat?) om miljoenen berichten per jaar.  Het webblad Wired berichtte al in 2007 over een afluisterprogramma op basis van documenten van een voormalige technicus van telecommaatschappij AT&T. Zowel AT&T als de overheid beweerden dat de documenten vals waren.
De nu vrijgegeven informatie betreft een uitspraak van rechter John Bates, destijds hoofdrechter van de geheime rechtbank die de acties van de veiligheidsdienst gericht op het buitenland moet goedkeuren. Het moet daarbij gaan om activiteiten en communicatie die in het buitenland plaatsvinden. De dienst mag geen communicatieverkeer binnen de VS onderscheppen. Volgens het document verzamelde de NSA jaarlijks tienduizenden binnenlandse berichten en tienduizenden berichten tussen mensen die niets met het doel van het onderzoek te maken hadden.
Volgens de senatoren Ron Wyden en Mark Udall, beiden lid van de Democratische partij die veel kritiek op de afluisterpraktijken van de NSA hebben, is wat nu boven water komt slechts het topje van een grote ijsberg. De NSA beweert zelf elk jaar enkele duizenden binnenlandse berichten te hebben onderschept, als een soort onvermijdelijke ‘bijvangst’. Een woordvoerder van de NSA vertelde de Washington Post dat wat de dienst heeft gedaan geen opzettelijk inbreuk op de privacy van Amerikanen is geweest.

Bron: Wired

NSA kan 75% internetverkeer in VS onderscheppen

Geplaatst op door
Beantwoorden

De Amerikaanse veiligheidsdienst NSA, bekend van het PRISM-schandaal, is in staat om driekwart van het Amerikaanse internetverkeer te onderscheppen. Dat  schrijft  de Wall Street Journal. De Amerikaanse krant baseert  zijn schatting op basis van gesprekken met huidige en voormalige werknemers van de dienst. Dit cijfer is veel hoger dan dat op basis van de onthullingen van klokkenluider Edward Snowden viel te taxeren.
Begin deze maand gaf de dienst aan slechts geïnteresseerd te zijn in 1,6 % van het internetverkeer, waarvan slechts een kwart promille nader zou zijn bekeken. Volgens de Wall Street Journal bewaart de NSA ook de inhoud van bepaalde e-berichten die door Amerikaanse burgers zijn verstuurd. Het lijkt er dus op dat de dienst het mandaat heeft om nagenoeg alle webinformatie en berichtenverkeer te onderscheppen (of althans doet of hij die heeft). De NSA blijft beweren dat ze zich slechts richt op buitenlandse vijanden die de VS op enigerlei wijze schade willen berokkenen. “We verdedigen de VS tegen die dreigingen, terwijl we de rechten van de Amerikanen op hun privésfeer respecteren”, zei de dienst tegen persbureau Reuters. “Het is niet het een of het ander, maar het is allebei.”
De berichtgeving van Wall Street Journal is er een in een lange reeks onthullingen, waarbij ook de veilgheidsdienst GCHC in Groot-Brittannië zich heel actief toont.

Bron: Le Monde

Privacywaakhonden vragen EU PRISM door te lichten

Geplaatst op door
Beantwoorden

De WG29-groep, een bundeling van Europese privacy-organisaties, heeft er bij de vice-voorzitter van de EU, Viviane Reding, op aangedrongen helderheid te verschaffen over de gevolgen van het NSA-afluisterprogramma PRISM voor de Europese burgers. Ook zou de commissie moeten bekijken of de Amerikaanse spionage-activiteiten wel stroken met de wetten in de EU-landen.
Er vindt overleg over dit soort kwesties plaats in een Amerikaans-Europese werkgroep waar ook onafhankelijke deskundigen zitting hebben, maar de gezamenlijke Europese privacy-organisaties vinden dat daarnaast onafhankelijk onderzoek moet uitwijzen of de handelwijze van de NSA door de Europese beugel kan en of de veiligheidsdienst NSA met zijn PRISM-programma niet ernstig over de schreef is gegaan. De organisaties zouden vooral graag duidelijkheid hebben over welke gegevens er verzameld zijn, de voorwaarden waaronder toestemming is verleend voor het afluisteren en welke informatie de burger krijgt. De organisatie vindt ook dat de praktijk in Europa moet worden bekeken in zoverre die raakt aan de bescherming van de privésfeer van de EU-burger.

Bron: Le Monde

Hoe we een huis of auto e-kraken

Geplaatst op door
Beantwoorden

12disrupt-span-tmagArticleHet inbreken in je privésfeer kan betrekking hebben op je e-correspondentie of op je bankrekening. Dat laatste kost je zeer waarschijnlijk geld. Er zijn echter veel profijtelijker zaken die je kunt e-kraken: een huis of een auto, bijvoorbeeld. Hoe zou het voelen als je met een gangetje van 100 km/u opeens de macht over je stuur kwijtraakt? Niet doordat je in een onbeheersbare slip terechtkomt, maar doordat iemand je auto elektronisch overneemt. De Amerikaanse krant de New York Times voert twee mannen op, die op een Blackhat-congres over computerbeveiliging in Las Vegas uit de doeken deden hoe je elektronisch het ‘stuur’ van een auto kunt overnemen. Charlie Miller, beveiligingsonderzoeker bij Twitter, en Chris Valasek, hoofd beveiligingsintelligentie bij beveiligingsbedrijf IOActive, lieten de congresgangers zien hoe ze de bestuurder het stuur ‘uit handen’ sloegen: de auto remde niet meer en reageerde vreemd op het stuur. Dat alles met een druk op de knop. Ze deden dat bij hybride auto (verbrandingsmotor/elektrisch), maar ze vertelden hun gehoor dat tientallen modellen dat ook had kunnen overkomen. Inbreken in je in-vak is leuk, maar leuker en (mogelijk) lucratiever is het elektronisch inbreken in auto of huis. “Als je een enkele computer in een auto hebt overgenomen, dan verdwijnt veiligheid door het raam”, zegt Miller. Moderne auto’s hebben zo’n 10 tot 40 computersystemen. Tot voor kort waren er mogelijkheden om in die systemen in te breken beperkt, maar doordat steeds meer auto’s met het wereldwijde web worden verbonden, wordt het allemaal een stuk makkelijker, aldus Miller. Het wordt natuurlijk helemaal link als de zelfbesturende auto’s hun entree maken, maar Miller en Valasek deden hun kunstjes met een Toyota Prius een een Ford Escape. We hoeven niet op die zelfstuurders te wachten (grappig is dat automobiel zelfbewegend betekent).
De auto is niet het kwetsbaarst volgens veiligheidsdeskundigen, maar het eigen huis, dat is voorzien van een elektronisch slot . Neem de Lockitron, een slot dat je kunt openen met je slimtel. Dat is een leuke klus voor handige inbrekers. Het bedrijf moet erkennen dat geen e-slot onfeilbaar is, ook al heeft het er alles aan gedaan, ook volgens onafhankelijke veiligheidskundigen, om maximale veiligheid te verwezenlijken.
De e-krakers kunnen ook tv’s en webcamera’s gebruiken om de bewoners van een huis af te luisteren en te zien wat ze aan het doen zijn. Belichting, ijskasten, wc-potten, niets is veilig voor e-krakers als die eenmaal in huis in hun ‘slimme’ uitvoering zijn geïntroduceerd. Bij de ‘slimme’ wc-pot  INAX Satis kunnen e-krakers het spoelwater omhoog laten spuiten in plaats van omlaag. Grappig, maar dat lijkt alleen op het treiteren van de bewoners. Het bedrijf heeft al een ‘pleister’ voor dat beveiligingslek gemaakt.
Ja en dan zijn er natuurlijk de inmiddels gebruikelijke gaten in de ‘defensie’ van de slimtels. Op het Blackhat-congres liet Kevin McNamee, directeur van beveiligingsbedrijfKindsight Security Labs, zien hoe je via het spel Angry Birds een Android (de slimtel van Google) kan overnemen. Op die manier kon hij foto’s wissen of contactgegevens veranderen, zonder dat de eigenaar begreep wat er gebeurde. Je kunt wachtwoorden en e-berichten stelen van de Apple-simtel iPhone met de besturingsversie iOS7 via de voedingsadapter (het witte stroomdraadje). Je kunt rustig verder fantaseren: alle elektronische systemen die op de een of andere manier communiceren met de buitenwereld (en meestal doen ze dat, zeker de ‘slimme’) zijn kraakbaar. Hartgangmakers, vaak pacemakers genoemd, zijn dat, bijvoorbeeld ook. Barnaby Jack, die in de VS bekendheid kreeg doordat hij een geldautomaat zijn kostbare inhoud ontfutselde zonder daarbij het saldo van zijn bankrekening te verminderen, zou de congresgangers laten zien hoe je met een e-kraak van een hartgangmaker of een ander implantaat met communicatiemogelijkheden, iemand zou kunnen vermoorden. Jack, een dertiger, stierf voor hij zijn verhaal kon houden. Hoe is niet duidelijk. Het lijkt op het begin van een spannende thriller.
Is het dan allemaal zo link? De soep wordt meestal niet zo heet gegeten als ie wordt opgediend, maar onvermijdelijk lokken de ‘slimme’ systemen e-krakers met aanzienlijk mindere edele motieven dan die van Barnaby Jack (hij werd voor ethische kraker versleten). Volgens Miller hebben we de aanvallen tegen webrauzers nog steeds niet kunnen voorkomen, ondanks dat al vele jaren vele bedrijven bezig zijn een manier te vinden dat euvel met wortel en tak uit te roeien.”We zouden iets moeten doen voordat het echt fout gaat en ondertussen gebruik ik wel mijn auto en mijn koelkast.” Ik heb geen auto en mijn koelkast is, gelukkig, niet ‘slim’: hij koelt, heeft een thermostaat en voert het dooiwater af. Niks slims aan.

Bron: New York Times (foto NYT)

Verweer Yahoo in PRISM-zaak openbaar

Geplaatst op door
Beantwoorden

Toch nog enige Amerikaanse gerechtigdheid. Volgens een speciale rechtbank ( het Foreign Intelligence Surveillance Court) mag zoekmachine Yahoo de rechtbankdocumenten openbaren over de dwang van de Amerikaanse overheid gegevens beschikbaar te stellen. De gelegaliseerde gegevensdiefstal speelde in 2008. Uit deze rechtbankdocumenten zou zijn gebleken dat Yahoo zich krachtig heeft verweerd tegen het gerechtelijke bevel gegevens te leveren, zo meldt Webwereld. In 2008 spande Yahoo de zaak aan tegen het afluisterprogramma van de NSA, maar omdat alles rond PRISM in het diepste geheim gebeurt, kwam daar niets van naar buiten.
Yahoo kreeg destijds geen gehoor voor zijn protest, omdat de geheime rechtbank besloot dat het bedrijf overtrokken reageerde onder de bezwering dat een en ander niet in strijd was met het vierde amendement van de Amerikaanse grondwet, dat de Amerikaan bescherming biedt tegen al te lichtvaardig overheidsoptreden bij de uitoefening van haar handhavende taak. Het kan overigens nog maanden duren alvorens de bewuste rechtbankdocumenten daadwerkelijk worden vrijgegeven.

Bron: Webwereld

Googles Bril ideaal spiongereedschap

Geplaatst op door
Beantwoorden

Het is al vaker opgemerkt. Leuk hoor die Bril van Google, maar je kunt je privacy nu dan toch wel definitief op je buik schrijven. ABC-News heeft het relaas van ene Chris Barrett, tevens documentairemaker die met de Bril, ongemerkt, een arrestatie filmde. Niemand had het in de gaten terwijl de situatie heel gespannen was, vertelde hij trots aan ABC. Alleen twee jongetjes vroegen of het de Bril was. Er zal, denkt hij, een nieuw soort burgerjournalisme ontstaan.
Er zijn nogal wat mensen die zich zorgen maken over de spiebril van Google. Barrett, tevens oprichter van PRServe.com zit er niet mee. “Voor sommigen is zo’n Bril beangstigend, maar mensen worden van elke nieuwe technologie zenuwachtig.” Google wilde niets zeggen. Zou Barrett zelf naar ABC zijn gegaan?

Bron: ABC News