Column: This Is Me
Naymz.com is een 'sociale netwerksite' voor Reputation Management for Professionals. Een soort LinkedIn dus. Maar met een interessant verschil: voor een heleboel mensen is er alvast een profiel aangemaakt. Ben je één van die gelukkigen en tref je je eigen naam aan, dan kun je zeggen "This Is Me". Vervolgens kun je een wachtwoord kiezen en je profiel verder aanvullen en in gebruik nemen. Volgens de Terms of Use mag je je niet voor een ander uitgegeven. De rest van de Terms of Use gaan over vunzige content, de belangen van de aanbieder - kortom het feit dat je volledig aan de wolven bent overgeleverd als er iets misgaat. En als iemand anders je naam en profiel inpikt, ben je gebonden aan Terms of Use die je nooit gezien hebt... Op Naymz.com heb ik lekker zitten rondklikken en nu ben ik een heleboel verschillende mensen.
Nayms.com maakt het wel heel eenvoudig om iemands identiteit te kapen. Hij bestaat immers al. Eén klikje en je bent binnen. Heb ík dan een identiteit gestolen? Of heeft Naymz dat gedaan door alvast een profiel aan te maken en dat vervolgens te grabbel te gooien...?
Dergelijk misbruik kan - hoewel iets minder eenvoudig - op alle sociale netwerksites. De feitelijke identificatie is namelijk meestal het e-mail adres. Ik kan een profiel aanmaken dat verdacht écht overkomt, zeker als ik het échte CV van iemand heb. Een leuke query op google met CV en filetype:doc levert genoeg kandidaten op om vrolijk te gaan klieren.
Soms is het e-mail adres dat de identiteit bepaalt een bedrijfsgebonden adres. Dan is er een redelijke kans dat dat ook het echte adres is. Maar de meeste mensen kiezen een gmail of ander pseudo-anoniem adres, omdat het doel van de site toch zeer sterk richting jobhoppen gaat en je niet wilt omkomen in de spam.
Als je een verzoek ontvangt om te linken, kun je eigenlijk alleen afgaan op het gevoerde mailadres en als je dat kent, kun je het accepteren. En daar speelt natuurlijk een klassiek probleem: een mailadres als (ik noem maar wat) piethein.donner@minswz.nl ziet er geloofwaardig uit. Maar wimdevries@gmail.com? Welke Wim de Vries heb je dan voor je? De keuze voor een mailadres wordt bepaald door de beschikbaarheid van de naam, niet door de representativiteit ervan. Als ik jeroen.pauw@jeroenpauw.tk wil gebruiken, is er niemand die mij daarvan weerhoudt. Misleiden is extreem simpel. Zeker in e-mail, waarin je met outlook een displaynaam in plaats van een SMTP-adres ziet.
De aanbieder van het tk-domein meldt opgewekt dat jeroenpauw.tk mijn 'new web identity' is, onder de briljante leus "Renaming the Internet". En met dit adres kan ik dan netwerken - er zijn vast veel mensen die erin trappen. Wie wil er nu niet op TV?
Het internet is in essentie voor de gebruikers anoniem. Ja maar, roepen de wijsneuzen dan, je kunt het IP-adres opvragen. Ja duh, niet iedereen werkt bij de politie of een ISP. En zeg nu zelf, als je daar wel werkt, verifieer je ieder mailtje of het IP-adres van de afzender geloofwaardig is in relatie tot het mailadres en het tijdstip van verzenden? Het internet zal altijd tot op behoorlijke hoogte anoniem blijven, ongeacht kentekens, PKI-spullenboel en andere warrige ideeën uit overheids- of commerciële kokers. Gegeven dat de gemiddelde westerse opsporingsdienst al heel veel moeite moet doen om handelingen terug te voeren op een natuurlijke persoon, is het onwaarschijnlijk dat het particulieren ooit zal lukken.
Natuurlijk zijn er meer manieren mogelijk om een digitale identiteit te creëren. Ik kan een digitale handtekening aanmaken, al dan niet met PGP, om mij voor mijzelf uit te geven. Dat levert wel een zekere geloofwaardigheid op. Maar in feite geloven de mensen dan niet mij, maar het heilige PGP of het zalige PKI.
Het punt is, dat gebruikers de geloofwaardigheid van een systeem afmeten aan de gangbaarheid daarvan. Er worden aannames gedaan over de echtheid van een gebruiker op basis van het vertrouwen in de aanbieder van het stuk achter het apestaartje of het gele slotje in de statusbalk. Dit is zo'n beetje de essentie van 'Identity 2.0' waarin de 'community rating' van een 'identity provider' de geloofwaardigheid van een digitale identiteit zal garanderen. Dus als het merendeel van de username@provider.id identiteiten in de praktijk klopt, zullen ze allemaal kloppen. Identity 2.0 zal nog wel in Beta zijn. En zoals je ziet, als je zelf geen online identiteit creëert, doet een ánder dat wel voor je. Met de toename van het aantal psuedo-identiteiten, zal het misbruik verder toenemen en kunnen mijn collega’s en ik niet vervroegd met pensioen.
Minister Hirsch Ballin heeft wel een oplossing. Het moet gewoon verboden worden je voor een ander uit te geven op het internet. Nou, ik daag je uit je eens voor jezélf uit te geven. Dat gaat mij alvast niet lukken; de naam Peter komt in mijn nogal groot uitgevallen familie heel wat keren voor. Toen ik mij bij mijn ISP aanmeldde, bleek ik nummer 446. Ha! Al die 445 anderen geven zich voor mij uit! Het moet verboden worden! Nee, dan mijn Mijn Oom Wim, die écht de Vries heet. Hij heeft een nog veel groter probleem....
Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
mensen is er alvast een profiel aangemaakt. Ben je één van
die gelukkigen en tref je je eigen naam aan, dan kun je
zeggen "This Is Me".
welke al met betreffende persoons gegevens, als gevolg
waarvan men nog slechts een wacht woord dient in te voeren?
Neeemzzz, put your good name to grebble!
Heeft Nayms al vast het halve burgerbestand ingevoerd zodat
je jezelf makkelijk terug kunt vinden?
Of zijn er
kennis, zich laten leiden door hun eigen egotrip..... zo
langzamerhand krijg ik er revolutionaire ideeën van....
zou Willem Alexander mee willen doen? ;)
Ballin, mijn naam is Sinterklaas en ik zal mij niet meer voor de Kerstman
uitgeven. Zo in orde?
Wat een ongelooflijk naïeve zemel is die vent toch!
ter wereld is....Of men gaat straks met dictatoriale landen
nog overeenkomsten maken over identiteiten...Er is
ondertussen het nieuwe fiscale nummer ingevoerd dat globaal
bruikbaar is zo groot is het. En ja...hoor het nw sofi
nummer stond al op mijn ID/Passpoort..... (lekker
ondergeschoven en bruikbaar over de gehele wereld ook voor
identity theft) In Great Britain liggen ze al op
straat.Stond nog net geen ipv6 nummer op . Ze waren te vroeg
met het uitbrengen van dat nummer:) Zou dat bijbel verhaal
van die nummering van personen kloppen....maar dat was toch
de duivel?En de christen partijen waarvan hb lid is heeft
dat niet door voor wie hij werkt? of ?
mailen. Kat uit de boom kijken en als je na zekere tijd
iemand vertrouwd (net als in het echte leven) mail je anders
of ontmoet je iemand in een veilige omgeving met anderen die
je kent er bij. Als men zich op een feestje is geeft men
toch ook wel eens een andere naam of helemaal niet? Verder
is het zo als er sprake is van crimineel gedrag / fraude
enz., dan hebben de bevoegde instanties al meer dan
voldoende middelen om iemand op te sporen en te vervolgen
als men zich uitgeeft voor een ander. Men laat meer digitale
sporen achter dan men denkt ...
Verbieden om je als een ander uit te geven is weer zo'n
typische kort-door-de-bocht reactie uit de politiek van
vandaag de dag: conservatief en onnadenkend. Waarom meteen
weer wetten instellen? Verder vind ik het persoonlijk niet
prettig dat een organisatie als Nayimz van te voren
profielen aanmaakt van mensen: niemand heeft daar om
gevraagd en die kunnen ook tot miscommunicatie leiden als
men niet oplet?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.