Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Backdoors, Good guys, Bad guys & Bitterballen

02-10-2015, 17:40 door Anoniem, 25 reacties
'Vroeger' was aankloppen bij de achterdoor een teken van goede manieren.
"Vollek! .. Jooo, kom binnen!
Leuk dat je er bent, gezellig. .. Koffie?"
Wie niet klopte bij de achterdeur was een insluiper en had kwade bedoelingen.
Helder en duidelijk.

In het kader van de vooruitgang (we moeten deur) proberen we het inmiddels bijna om te draaien : goed volk mag voortaan zonder aankondiging direct via de backdoor naar binnen.
"Ja, de door stond open dus ik dag effe loeren of er iemand is"
Ik had me evengoed wel vermaakt hoor!"


Tenminste, een dergelijk scenario vindt een zeker slag zelfbenoemd good-guy-volk voor zichzelf wel een handige uitkomst.

Waarom begin ik hierover?
De aanleiding van dit stuk ligt in recente uitspraken van Tim Cook (Apple) rondom door overheidsdiensten gewenste opeenstaande-achterdeur-technologie-voor-goed-volk .
He leek me aardig me aardig naar aanleiding daarvan concreet te illustreren dat het beoordelen van goed en kwaad soms nogal lastig, mogelijk nogal verwarrend is.


Cook: backdoor voor overheid maakt iedereen onveilig "
"Maar de realiteit is dat als je een open deur in je software voor de good guys hebt, de bad guys daardoor ook kunnen binnenkomen"


Goed?, slecht? Is het zo eenvoudig als wordt voorgesteld ?

* Wie is er dan de goede en wie is er kwade?

* Van wie gaat de meeste/zwaarste (digitale) dreiging uit?

* Heb ik meer te vrezen van een dief of van een overweldigende macht?
Van die dief die commercieel interessante aandacht, mijn password of mijn centjes wil?
Of van een macht die mijn opvattingen of religie niet dult, danwel vind dat het de vrijheid moet hebben mij in mijn privé-omgeving te moeten kunnen beoordelen op straffe van fysieke represaille bij ... .


* Als we nu officieel-stiekem gaan toestaan wat eerder stiekem-stiekem gebeurde, wat is dan de volgende stap?
Wat is de vraag voor meer bevoegdheid daarna en de stap die daar weer op volgt?
Vaak hoeft dat niet meer te worden gevraagd, dan kan het per ministerieel bevoegde pennenkrul direct wat worden uitgebreid.


Wie (be)dreigt er eigenlijk het hardst en indringendst?

Het antwoord wordt me wel steeds voorgeschoteld maar wellicht kan het geen kwaad de vraag nog eens te stellen uit welke windhoeken de dreiging allemaal komt waaien, en op welke manier en met welke kracht.
Laat ik het daarbij eens naadloos aansluitend illustreren aan de hand van malware-dreigingen voor Mac OS X, omdat die er bijna niet zijn maakt dat de illustratie des te over en inzichtelijker.

Let's do the twist .. (in gepaste mineur) : Ofwel, wie komt er allemaal naar binnen met welk belang en heeft welke impact?

Voor Mac OS X kan je wellicht gerust stellen dat verwarring rondom wie the good guys en wie de bad guys zijn, allang steeds lastiger te beoordelen valt.

Wanneer je kijkt naar de soort malware voor Mac OS X, niet veel en daardoor goed inzichtelijk, valt op dat de meest te vrezen malware de overeenkomst heeft dat het tot de meest geavanceerde malware categorie hoort en/of behoort tot de groep die zich specialiseert in targeted attacks.
Malware die als kenmerk heeft dat zij zeer persoonsgericht wordt ingezet en dat ontwikkeling en beheer een dergelijke kennis van zaken, organisatie en facilitaire capaciteiten vereist dat dit buiten het bereik valt van de gemiddelde boef.

Die gemiddelde bad boef guy richt zich namelijk voornamelijk op adware en af en toe op financiële gegevens of inlog accounts (ook vervelend daar niet van maar er is een verschil).
Zo was er de Flashfake/Flashback malware bijvoorbeeld. Een hoog aantal besmettingen en qua code heel geavanceerd, door een enkel persoon ontwikkeld, maar uiteindelijk ingezet voor eigen gewin; voor relatief onschuldige clickfraude door voorgeschotelde zoekresultaten te manipuleren.
Relatief onschuldig, als je het vergelijkt met de ..

The really bad guys?

De meerderheid van de meest rottige c.q. aanvallende software is/lijkt namelijk met grote waarschijnlijkheid danwel regelrecht aantoonbaar, gemaakt door organisaties van staatsniveau zelf, door bedrijven die voor hen in opdracht handelen danwel hacking-software leveren aan overheden om burgers te besmetten en te hacken.
Een aantal usual suspects weten met een zekere regelmaat het nieuws te halen.

'Gelukkig, het betreft een ander'

De relatieve winst of geruststelling is of kan bij deze geavanceerde malware zijn dat het dan meestal gaat om (high) targeted attacks, een aanval op een relatief kleine groep mensen die dan onderwerp zijn van deze malware-hack-s.
De meerderheid van de gewone gebruikers heeft daar (in letterlijke zin) geen last van.
Lig je digitaal wel onder vuur omdat je bijvoorbeeld een afwijkende mening of geloof hebt, ja dan heb je 'best wel pech'.
Want, verreweg de meeste mensen die op deze wijze onderwerp van aandacht zijn zullen vermoedelijk de publicitaire aandacht en support van Amnesty moeten ontberen.

De praktijk : op digitale visite (c.q. visitatie)

Een dieper 'greepje' uit het kleine OS X malware aanbod genomen.
Kijk er eens naar en oordeel vooral zelf of deze meer geavanceerde malware nou good of bad is en hoe.

bron o.a., Thomas Reed van The Safe Mac blog
http://www.thesafemac.com/mmg-catalog/

In de kop met een poging tot richtinggevende aanwijzing.


1) FinFisher / Gamma International ('?')
November 2011
FinFisher

FinFisher is a surveillance tool designed for law enforcement or government use. ..
https://en.wikipedia.org/wiki/FinFisher

2) Hacking Team ('?')
January 20, 2012
FileSteal, Hackback, KitM

...It finally came out that FileSteal/Hackback was a trojan that would upload files of a particular type to a command and control server. The newer KitM malware, which took screenshots and uploads them to a server, is a variant of this older malware.

This malware appears to be very tightly targeted at specific people, so most will never see it.
Zie ook
https://community.f-secure.com/t5/Home-Security/OSX-KitM-A-virus/td-p/26294
https://en.wikipedia.org/wiki/Hacking_Team

3) 'Staatssoftware' ('?')
March 2012
Tibet, aka MacControl, aka MaControl, aka MacKontrol

Tibet.A installs itself in a very similar manner to recent variants of Flashback, relying on Java vulnerabilities, and at the time of this writing has only been used to target Tibetan activist organizations.

4) 'Staatssoftware' ('?')
April 13, 2012
Sabpab, aka Sabpub, aka Mdropper, aka Lamadai, aka Olyx

Sabpab, like the Flashback and Tibet malware, sneaks in through vulnerabilities in older versions of Java or Microsoft Office, requiring no user interaction.
...
However, it appears to have limited distribution; indications are that it may be used mostly to target Tibetan activists, like the Tibet malware.

5) Hacking Team
July 24, 2012
Crisis, aka Morcut, aka DaVinci

Crisis appears to be a government-sponsored trojan (which government is unknown), installed through Java-based social exploits, that is used to spy on a specific group of Moroccan journalists.
HT wiki
Hacking Team enables clients to perform remote monitoring functions against citizens via their "Remote Control Systems" (RCS), including their "Da Vinci" and "Galileo" platforms

6) 'Staatssoftware' ('?')
November 30, 2012
Dockster

Dockster is a backdoor app that is installed using the same Java vulnerabilities that Flashback used. Those vulnerabilities have been closed for some time now, but not everyone keeps their machines properly updated. It has only been spotted on a web site devoted to the Dalai Lama at this point.

7) 'Staatssoftware' ('?')
February 13, 2013
CallMe

CallMe is a trojan that targets Tibetan activists, and installs a backdoor through a malicious Microsoft Word document.

8) Hacking Team ('?')
May 16, 2013
KitM

The first Mac malware to take advantage of code signing to allow it to get past Gatekeeper in Mountain Lion (Mac OS X 10.8). This malware would take screenshots at a constant rate and upload them to a server. It is no longer a threat, since Apple revoked the certificate used to sign the code, making future infections impossible.

For more information, see New Mac spyware found at freedom conference.

9) Hacking Team ('?')
November 5, 2014
WireLurker, aka Machook

See: http://www.thesafemac.com/new-wirelurker-malware-infects-mac-os-x-and-ios/
Machook definities zijn gevonden bij Hacking Team hack.


De vraag nog een keer : Wie zijn eigenlijk de good en wie de bad guys?

Zijn er eigenlijk nog wel wel Good guys als software wordt ingezet tegen politiek activisten, andersdenkenden, aanhangers van andere religies, ..?

Een selectie van 9 soorten attack malware, 9 geavanceerde'Good-guy'-malware exemplaren op een totaal van 51 malware families voor Mac OS X lijkt misschien weinig.
Ik vind het veel, omdat daarbij nog opgemerkt kan worden dat er onder die 51 soorten weer een lading proof of concepts en niet of allang niet meer werkende malware zit.

Het percentage van de 'geavanceerde Good Guy' malware is daardoor niet 1/5 deel maar hoger, de impact die de soort malware heeft of kan hebben op mensenlevens is niet in vergelijkende percentages uit te drukken, categorie: fysieke impact / Amnesty international / zeg maar (voorgoed) dag met je handjes.

Wel wat anders dan een gehacked account of saldo probleem (ook vervelend, daar niet van).
Met zeer speciale dank aan de 'Good Guys voor al deze extra digitale 'backdoor' dreigingen'.


Geavanceerde malware voor heel bijzondere mensen...

De vraag is alleen, of zou kunnen zijn, wanneer jij aan de beurt bent en waarom.
Gewoon omdat het digitaal technisch kan en omdat, als het eenmaal geaccepteerd beschikbaar is, het o-zo-nuttige nut van deze digitale door-de-achterdeur-meekijk-tools steeds wat breder worden ingezet.

Te abstract nog?

Om het wat dichter bij huis te halen.
Ooit een cameraatje hier en daar boven de weg om de snelheid een beetje in de gaten te houden, voor het veilige verkeer.
Heel nuttig en gewenst voor het toen beoogde doel.

Per heden, 3 miljard fotoscan's per jaar met realtime controle via vele overheids databases.
https://www.security.nl/posting/445574/Fiscus+en+politie+maken+3+miljard+kentekenfoto%27s+per+jaar
Ook nog heel nuttig, wel buiten het afgesproken doel.
Gewenst ook nog?

Terug naar de computer met het backdoortje voor de 'get' (kuch)
'the good guys': .................................................

Wat voor permanent nuttig nut als reden hadden we hierboven op de stippellijn allemaal kunnen invullen om die toegang tot alle systemen te rechtvaardigen (nadat we encryptie verboden hebben)?
Willen we dat echt?
Wat lever je voorgoed in voor welk beoogd resultaat?
Gaan we terug als de belofte niet kon worden ingelost?
Dat zou wel eerlijk zijn niet?


Backdoors, Good guys & Bad guys : overwegende 'Conclusie'

Uit de malware voorbeelden kan je concluderen dat in ieder geval voor Mac OS X de zwaarste malware dreiging niet van de gewone boef komt, die laten het er een beetje bij zitten, de zwaarste en indringenste impact komt van de meest geavanceerde software die door of in opdracht van the Good Guys wordt gemaakt.

Maar het gaat me eigenlijk niet om OS X, het gaat me om het inzicht dat ik had bij de uitspraken over goed en kwaad van Cook en dat er in de praktijk
weinig goeds met software van de Good guys wordt verricht.

Misschien komt dat wel omdat de definitie van wat goed en wat kwaad is is heel erg afhankelijk vanuit welke hoek, welk belang en vanuit welke maatschappelijke context je dat bekijkt.
De ene moraal is de andere niet, de enen maatschappij visie is de andere niet.

Daarnaast, vanuit een westerse blik, maakt Cook natuurlijk het volkomen terechte schot voor open doel dat het beheer van de backdoor/malware-tools uiteindelijk voor iedereen beschikbaar is.
Een doelpunt dat we niet moeten weghonen maar moeten Toejuichen, waarom laten we die bal liggen het is zelfs al in de praktijk bewezen?
Waarom dat toch nog negeren?
Omdat we de eenvoudige logica ervan kennelijk zelf niet meer willen of kunnen zien? Omdat we degenen die dit nastreven op hun blauwe ogen vertrouwen?

Met het toestaan van backdoors is de digitale-wapenwedloop-voorsprong er slechts tijdelijk voor de kleine groep die dit ambieert.
Uiteindelijk is de digitale ellende die je ervan krijgt niet te overzien. en zal dat een rechtvaardiging zijn voor een nieuwe stap om de voorgaande te kunnen overtreffen.

In die zin is deze van het graven van een digitaal gat voor een ander, het graven van een gat voor iedereen en zou het een No-Go area moeten zijn.
Tenzij we denken dat de wapenwedloop van het grootste gat de juiste weg is.

Daar geloof ik eigenlijk helemaal niets van.
Jij wel?


Dus sta er nog eens bij stil, als je wil
(antwoord hier hoeft dan ook niet, het gevolg dat je eraan geeft bij voorkeur wel):

"Onder de juiste belofte mogen 'the good guys' voortaan altijd zonder kloppen binnenkomen opdat ze niet meer hoeven in te breken met geavanceerde malware zoals hierboven."

[0] Eens
[X] Oneens


T.s '?'


.
.
.


(Oh, ter redelijke geruststelling.

Wanneer je je Mac Os X systeem plus overige software, XProtect definities en of av software up to date hebt, zijn genoemde dreigingen in de meeste gevallen ondervangen. Dus maak je om deze malware niet te druk.

In menig HTFin lab zal echter wel weer hard geknutseld worden aan nieuwe malware.
Een weinig geruststellend idee waar je overigens ook weer weinig tegen kan doen, behalve dan op zijn minst zorgen dat je systeem op to date blijft of andere slimme maatregelen neemt...

En de bitterballen?
Vrijdagmiddag, bittereballendag. ;)
Reacties (25)
03-10-2015, 14:36 door Anoniem
Tja, duidelijk.
Schiet me te binnen;
Waarom is er eigenlijk geen opt-in systeem waarmee mensen die niets te verbergen hebben zich kunnen aanmelden bij de overheid voor extra surveillance. Een postbus 51 actie zou wonderen kunnen doen :-)
Uiteraard zijn alle niet aanmelders dan extra verdacht, misschien toch niet zo'n goed idee :-(
03-10-2015, 15:57 door Anoniem
Prachtig stukje om de veranderende mentaliteit mee aan te geven. Bij de achterdeur zeiden we altijd netjes wat we kwamen doen. "Van wie ben jij der een?" - "Oh, van die en die" en dan prevelde je: "Mijn vader of mijn moeder laat weten dat enz. enz.". Nu is alles omgedraaid en durft men keihard te beweren dat alle persoonlijke privacy de veiligheid van het collectief schendt. Dat beweert tenminste Europol in een rapport. Terwijl de privacy nog nooit zo onder druk heeft gestaan door ieder die aan ons wil verdienen via marketing en de overheid die ook alles van de burgers wil weten om op te slaan. Maar...waar zijn de logs met cyber-criminele activiteiten dan? Waarom komt men daarvoor technische IT kennis te kort of is men niet eens goed opgeleid? Een rare wereld waar alles op zijn kop schijnt te zijn gezet en men volledig op zichzelf teruggeworpen lijkt. Goed dat de jeugd langzaam wakker begint te worden en alles gaat doorzien.

groetjes.
03-10-2015, 21:12 door karma4
prima en duidelijk stuk, =eens met de strekking=
03-10-2015, 23:17 door Ron625 - Bijgewerkt: 03-10-2015, 23:18
Leuk nu er op 1 oktober 2015 in Luxemburg een rechtzaak voor het Europese hof is geweest, waarin de uitspraak was, dat het doorgeven van gebruikers data niet mogelijk mag zijn, zonder de gebruiker hierover te informeren, zodat de gebruiker o.a. de mogelijkheid heeft, om eventuele onvolkomenheden te verbeteren.
Zo mag de politie geen opnames van kentekens meer doorgeven aan de belastingdienst!
Het gaat om "Arrest in zaak C-201/14", zie http://curia.europa.eu/jcms/mobile.jsp?lang=nl#c110
04-10-2015, 08:26 door karma4 - Bijgewerkt: 05-10-2015, 22:11
Door Ron625: Het gaat om "Arrest in zaak C-201/14", zie http://curia.europa.eu/jcms/mobile.jsp?lang=nl#c110
Ron, de zaak gaat over inkomensgegevens. Vergelijkbaar is dan het openbaren van inkomensgegevens naar de nu private woningcorpaties. Het is zeer vreemd dat "scheefwonen" met een overheidsbeleid naar private ondernemingen gedaan wordt.
Kentekengegevens zijn voertuiggegevens, dan moet eerst de vraag nog beantwoord worden of het persoonsgegevens zijn.
04-10-2015, 09:00 door Erik van Straten
Door karma4: Kentekengegevens zijn voertuiggegevens,dan moet eerst de vraag nog beantwoord worden of het persoonsgegevens zijn.
Die vraag is al beantwoord, uit
https://cbpweb.nl/nl/over-privacy/persoonsgegevens/wat-zijn-persoonsgegevens: Maar ook telefoonnummers, kentekens en postcodes met huisnummers zijn persoonsgegevens.
04-10-2015, 09:09 door Anoniem
Door Erik van Straten:
Door karma4: Kentekengegevens zijn voertuiggegevens,dan moet eerst de vraag nog beantwoord worden of het persoonsgegevens zijn.
Die vraag is al beantwoord, uit
https://cbpweb.nl/nl/over-privacy/persoonsgegevens/wat-zijn-persoonsgegevens: Maar ook telefoonnummers, kentekens en postcodes met huisnummers zijn persoonsgegevens.
Net als IP adressen overigens. Daar zijn het er velen niet mee eens maar laat maar eens, via jouw IP, een aantal criminele zaken plaats vinden. Als een AT de deur intrapt midden in de nacht dan weet je dat een IP inderdaad een persoonsgegeven is. Of je het zelf geweest bent of niet is niet relevant op dat moment want daar hebben de mannen van het AT geen boodschap aan.
04-10-2015, 09:30 door perplex0
Een belangrijk persoonsgegeven staat daar (https://cbpweb.nl/nl/over-privacy/persoonsgegevens/wat-zijn-persoonsgegevens) gek genoeg niet expliciet genoemd: het sofienummer.
04-10-2015, 15:57 door Anoniem
Door bravenewworld: Een belangrijk persoonsgegeven staat daar (https://cbpweb.nl/nl/over-privacy/persoonsgegevens/wat-zijn-persoonsgegevens) gek genoeg niet expliciet genoemd: het sofienummer.
Inderdaad. Maar hier wel:
https://cbpweb.nl/nl/onderwerpen/identificatie/burgerservicenummer-bsn

Opmerking:
Sofienummers bestaan niet. (of misschien om meerdere meiden met de naam Sofie in een klas uit elkaar te houden?) ;-)
SoFi-nummers (=Sociaal-Fiscaal-nummer) bestaan als naam wel.
Maar bestaande SoFi-nummers worden als BurgerServiceNummer(BSN) toegekend, en gelden als BSN.
(bron: punt 2 van
http://wetten.overheid.nl/BWBR0022428/geldigheidsdatum_03-10-2015#Hoofdstuk3_Artikel8)

Daarom dienen nummers die ooit als SoFi -nummer werden uitgegeven als BSN te worden beschouwd,
en praten we niet meer over "SoFi -nummer" maar over "burgerservicenummer" of "BSN".
Dit is uiteraard inclusief privacy-aspecten voor BSN en inclusief dat BSN een persoonsgegeven is
zoals het CBP op de aangegeven webpagina vermeldt.
05-10-2015, 21:40 door dilbert55
In feite heeft Tim Cook groot gelijk, het is net alsof je een huis koopt en men tegen jou zegt dat de overheid altijd bij jou naar binnen kan lopen voor jou veiligheid, daar vraagt niemand om behalve overheidsdiensten!
05-10-2015, 22:49 door karma4 - Bijgewerkt: 05-10-2015, 22:58
Door Erik van Straten:
Die vraag is al beantwoord, uit https://cbpweb.nl/nl/over-privacy/persoonsgegevens/wat-zijn-persoonsgegevens
Maar ook telefoonnummers, kentekens en postcodes met huisnummers zijn persoonsgegevens.

Erik, een voortuigkenteken staat niet in je link genoemd. De omschrijving wat persoonsgegevens is meer globaler neergezet http://wetten.overheid.nl/BWBR0011468/geldigheidsdatum_05-10-2015#Hoofdstuk1
"persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;"

Even wat muggeziften:
- Het BSN nummer indentifceerd iemand het is geen gegeven op zich. Elk ander gegeven met een BSN nummer is meteen een persoonsgegeven.
- Een postcode zonder huisnummer is een groep van zo'n 15 woningen of meer en wordt niet als identificerend gezien. Er is handel in geaggregeerde gegevens per postcodegebied.
- Een telefoonnummer kan een algemeen antwoordnummer of anderzins gedeeld (doorkies) nummer zijn. Dan is het niet identificerend. In het het geval van een vast thuisadres dan wel een persoonlijk nummer is het wel identificerend.
- Een ip-adres als dat gekoppeld is aan je thuisadres is dat ook identificerend. Als het een om algemeen zichtbare router (NAT) van een bedrijf is weer niet. Een tor exit-node gebruikt zoiets om het niet herleidbaar te maken.
- de reisgegevens via de ov-chip zijn denk ik ook vrijwel allemaal herleidbaar tot personen. Dan zijn het persoonsgegevens, al zal dat door het verwerkende bedrijf graag ontkend worden.
- parkeer gegevens en foto's van al die lease-autos (persoonlijk) zijn dan ook persoonsgegevens. Die van bedrijfswagens of andere voertuigen die door meerdere personen gebruikt worden weer niet.
- De DBC-codes voor de zorgvergoeding bij de zorgverzekeraars zijn volgens mij zeker in het geval van zeldzamere ziektes ook identificerend. Zet er een bankrekening nummer bij en dan is zeker herleidbaar en ook zeer gevoelig.

Best lastig om identificerend en gegeven netjes in te delen. Waar we het over eens kunnen zijn is dat er nu veel te veel verzameld en bewaard wordt waarbij er niet behoorlijk over gevoeligheid en bescherming persoonsgegeven nagedacht wordt. https://cbpweb.nl/nl/over-privacy/wetten/wbp-naslag/hoofdstuk-1-algemene-bepalingen-art-1-tm-5/artikel-1-sub-wbp
06-10-2015, 01:37 door Anoniem
Goed dit zoeken de juristen dus uit. Mij interesseert vooral wat er online gebeurd gezien vanuit de hoek van het veiligstellen van het allerlaatste restje privacy, mocht dat er nog zijn. Elders zoals in de Verenigde Staten durft men al te beweren dat privacy niet meer bestaat en als er een onderwerp langskomt als dit, stuit men in het algemeen op desinteresse en een lege en glazige blik als reactie.
Dat is dan ook te merken. Zonder speciale extensies of het goed weten te hanteren van script- en request-blocking in een browser kan men geen canvas fingerprint blokkeren of de AddThis, Google+ en Facebook-like buttons herschrijven. Worden er sensitieve categorieën aangeroerd, dan worden er "remarketing tags" ingezet, die ontdaan zijn van persoonlijk identificeerbare informatie dat wel, maar wel geclassificeerd kunnen worden met een categorie als bijv. GlobalW, Zo weten we dat het over "global warming" gaat en zulke gegevens zijn weer interessant voor de NDDDA of PANDA daar nu tegen ageert of niet. Men ziet het gestart als een eenvoudig "draadje" over - aan de achterdeur - "goed volluk", zijn we Brave New World hier al mijlenver gepasseerd.
Ik denk dat de strijd al verloren is - "profiling marketing rules!".
11-10-2015, 16:35 door Anoniem
Info-edit: T.a.v. punt 9, de gemaakte koppeling met Hacking team en verondersteld gevonden definities betreft een vergissing. Of deze malware dan wel of niet op de (algemene Staatsoftware) lijst kan? De attack methode doet alsnog sterk denken aan de attack methoden als gebruikt in andere malware.
12-10-2015, 19:53 door Anoniem
http://arstechnica.com/tech-policy/2015/10/obama-administration-wont-seek-encryption-backdoor-legislation/

FBI Director James Comey
"The administration has decided not to seek a legislative remedy now, but it makes sense to continue the conversations with industry," Comey told a Senate panel of the Homeland Security and Governmental Affairs Committee on Thursday."
13-10-2015, 00:46 door Anoniem
Ja en uit die conversaties met de industrie, zoals Google komt dan het volgende uit de bus rollen:
Even een rapportje van een Google Chrome extensie genaamd Tracker SSL voor de verduidelijking van e.e.a:

57% of the trackers on this site could be protecting you from NSA snooping. Tell webdeveloper dot com to fix it.

Identifiers | All Trackers
Insecure Identifiers
Unique IDs about your web browsing habits have been insecurely sent to third parties.

71=kdgkpqhXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXe0j-bydahgnXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXcgragxoxu0n4v6wsw *
www.google.com nid
Twitter guest_id
wXw.webdeveloper.com wmuuid
local.adguard.com __cfduid
Legend
Tracking IDs could be sent safely if this site was secure.
Tracking IDs do not support secure transmission.
* even toch maar geobfusceerd.

Waarom zou je een "legislative remedy" zoeken voor iets dat zo gebruiksklaar in de Google code zit ingebakken volkomen legaal nog wel want we hebben er zelf al toestemming voor gegeven, (niet gelezen?,de Google Privacy Verklaring, dit moet u vandaag nog doen), toestemming geven aan de geanonimiseerde onveilig verzonden tracking ID en deze hoeft alleen nog even aan persoonlijk identificeerbare info te worden gekoppeld en klaar is Kees. Lees voor identificeerbare info even exacte geo-locatie en de tracking machine loopt ongehinderd en onbeperkt. Klikken maar!. Daarom snap ik niet dat men het overal direct traceerbare apparaat bij uitsek, de smartphone niet gewoon gratis uitdeelt aan de burger, totale transparantie gegarandeerd.
13-10-2015, 12:36 door Rstandard
Good- of badguy hangt denk ik af van de persoon die je het vraagt.
De ene zal zeggen dat de overheid de goodguys zijn en hackers/crackers de badguys
Anderen zullen zeggen dat zo'n beetje iedereen een badguy is

Verder kan software/backdoor zelf geen (of niet goed genoeg) onderscheid maken tussen good en badguys.
Wat je dan krijgt is dat een backdoor in je software maken niks anders is dan je software gewoon express lek maken. Niet een leuke uitzicht, al zeker niet als het security related is, zoals firewall etc. En op gebied van Public Relations een nachtmerrie als het publiekelijk wordt (geen backdoor ansich, maar nog steeds een goed voorbeeld: Lenovo/Superfish)

Goed geschreven stuk, inclusief voorbeelden en bronnen.
13-10-2015, 13:25 door Anoniem
Door Anoniem: Ja en uit die conversaties met de industrie, zoals Google komt dan het volgende uit de bus rollen:
Even een rapportje van een Google Chrome extensie genaamd Tracker SSL voor de verduidelijking van e.e.a:

57% of the trackers on this site could be protecting you from NSA snooping. Tell webdeveloper dot com to fix it.

Identifiers | All Trackers
Insecure Identifiers
Unique IDs about your web browsing habits have been insecurely sent to third parties.

71=kdgkpqhXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXe0j-bydahgnXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXcgragxoxu0n4v6wsw *
www.google.com nid
Twitter guest_id
wXw.webdeveloper.com wmuuid
local.adguard.com __cfduid
Legend
Tracking IDs could be sent safely if this site was secure.
Tracking IDs do not support secure transmission.
* even toch maar geobfusceerd.

Waarom zou je een "legislative remedy" zoeken voor iets dat zo gebruiksklaar in de Google code zit ingebakken volkomen legaal nog wel want we hebben er zelf al toestemming voor gegeven, (niet gelezen?,de Google Privacy Verklaring, dit moet u vandaag nog doen), toestemming geven aan de geanonimiseerde onveilig verzonden tracking ID en deze hoeft alleen nog even aan persoonlijk identificeerbare info te worden gekoppeld en klaar is Kees. Lees voor identificeerbare info even exacte geo-locatie en de tracking machine loopt ongehinderd en onbeperkt. Klikken maar!. Daarom snap ik niet dat men het overal direct traceerbare apparaat bij uitsek, de smartphone niet gewoon gratis uitdeelt aan de burger, totale transparantie gegarandeerd.
Houd op met "toestemming voor gegeven". Als iets onwettig is, zijn wij ook als burger PER DEFINITIE niet bij machte om er alsnog toestemming noch vrijwaring voor te geven. Dat is al járenlang het gezeik met EULA's... en terecht ook!
18-10-2015, 00:05 door Anoniem
Door Anoniem: Prachtig stukje om de veranderende mentaliteit mee aan te geven. Bij de achterdeur zeiden we altijd netjes wat we kwamen doen. "Van wie ben jij der een?" - "Oh, van die en die" en dan prevelde je: "Mijn vader of mijn moeder laat weten dat enz. enz.". Nu is alles omgedraaid en durft men keihard te beweren dat alle persoonlijke privacy de veiligheid van het collectief schendt. Dat beweert tenminste Europol in een rapport. Terwijl de privacy nog nooit zo onder druk heeft gestaan door ieder die aan ons wil verdienen via marketing en de overheid die ook alles van de burgers wil weten om op te slaan. Maar...waar zijn de logs met cyber-criminele activiteiten dan? Waarom komt men daarvoor technische IT kennis te kort of is men niet eens goed opgeleid? Een rare wereld waar alles op zijn kop schijnt te zijn gezet en men volledig op zichzelf teruggeworpen lijkt. Goed dat de jeugd langzaam wakker begint te worden en alles gaat doorzien.

groetjes.
Van wie bin jie dr 1. Zo gaat dat op Schouwen Duiveland. Noe mok op merote. Vertaald: Ik ga weer verder. Lama kettalanka. Vertaald: Ik heb het al. Ik heb het dus niet over een Indiase filosoof.
18-10-2015, 18:25 door Anoniem
Klinkt naar "Bru", waar zelfs de pepernoten anders gekleurd zijn, maar wel lekker, net als "kandeel"! Mooi Ingweoons dialect met hele oude kustwoorden als "rik" en "strang" en zo. Misschien wordt dat dan de goedwerkende "regio-beveiliging" van de toekomst, regionale dialect-code, breekt geen kwaaien hond doorheen vooral als ze het niet verstaan. Wachtwoord: "Kacheltie op den diek".
18-10-2015, 21:09 door Anoniem
Even een opmerking over de voordeur achterdeur: veel systemen geven voor of na het inloggen generieke welkom meldingen. Met andere woorden, iedereen die door de deur komt is welkom. Juridisch ga je het natuurlijk afleggen als je inbrekers op een dergelijke manier uitnodigd in je huis of informatiesysteem.

In plaats daarvan kun je ook een groot en angstaanjagend waarschuwingsbord ophangen waarop je uitlegd dat ongeoorloofde toegang maximaal bestraft kan worden en de dader zelf aansprakelijk is voor alle gevolgen.

Dan heb je in de rechtszaal een stevige stok om mee te slaan. Als een poetsbedrijf bordjes plaatst dat de vloer nat is en mensen lopen er toch overeen en breken vervolgens hun nek, dan kunnen ze niet meer het poetsbedrijf aanklagen. Ze negeren een duidelijke waarschuwing. Omgekeerd hetzelfde: als op een piste bordjes staan die skiërs naar een afgrond loodsen kun je als piste uitbater je niet beroepen op het eigen risico van de skiërs, de kosten voor het redden en de schadevergoedingen zijn dan voor jouw rekening. De skiërs volgden gewoonweg jouw verkeerde aanwijzing.
19-10-2015, 14:17 door Anoniem
Ja, er is nog heel wat mis als je het een en ander op het interweb eens rustig analyseert. Alleen technische IT is goed op de hoogte wat er aan de veiligheid schort, de rest is niet goed genoeg opgeleid of goedwillend doch zwaar onderbetaald onbenul dat rondloopt en natuurlijk weten de meesten, die de besluiten nemen hogerop er ook weinig van te bakken.

Wat kom je dan steeds vaker tegen? Bordjes aan de voordeur, in jargon "excessieve header info proliferatie" geheten. Het aanvalskookboek is zo opgeslagen en de exploit tegen server versie of PHP configuratie staat al voorgekookt klaar, "even in de automatische injectie code-tool" en de hack is gezet en de cybercrimineel kan bediend worden. WordPress websites ook al vaak ene sliert van ellende met verouderde gratis plug-ins en kwetsbare thema's, vaak directory indexing & user enumeration aangezet, jQuery code die meer kwetsbare en onkwetsbare varianten kent als Engelse drop en vaak nog nooit is opgewaardeerd of van pleisters werd voorzien. Alle soorten en versies code waaraan vaak na de datum van installatie niets is gedaan en soms niet eens meer door de ontwerpers ervan worden bijgehouden, zogeheten verlaten code. Security-headers, nooit van gehoord om die goed in te stellen. Grote bulk hosters die niets doen, het volle pond rekenen en dan geen pro-actieve beveiliging leveren, we kennen ze allemaal Akamai, GoDaddy en consorten. Niet te duur maar je hebt dan ook wat (ironische mode aangezet!).

Het geparkeerde webdomeintje moet nog geld voor ze verdienen vanuit het graf en dat mag dan ook nog niet te veel kosten, dus laten sponsoren door moniker dot com die boel.

En nu vragen we ons af, hoe hebben we het allemaal zo ver laten komen? De bezem zal er goed doorheen moeten.

Wie vroeger de voordeur en achterdeur tegelijk liet openstaan kon volgens het bijgeloof om middernacht een nachtmerrie op bezoek krijgen, Nu is dat al bijna dagelijkse realiteit! Anonieme Zeeuwse Bolus, Kettalanka, je kan aan de bak man!
21-10-2015, 14:55 door Anoniem
Waarom is er eigenlijk geen opt-in systeem waarmee mensen die niets te verbergen hebben zich kunnen aanmelden bij de overheid voor extra surveillance

Lol, omdat de overheid meer geinteresseerd is in de mensen die wel wat te verbergen hebben ? En omdat mensen niet noodzakelijkerwijze naar waarheid de vraag zullen beantwoorden of ze al dan niet wat te verbergen hebben ?
21-10-2015, 16:52 door Anoniem
Dit alles nog los van feit dat zgn. 'good guys' het systeem kunnen misbruiken voor persoonlijke zaken om bv exen in de gaten te houden of stalken oid.
22-10-2015, 08:20 door Anoniem
Persoonsgegevens zijn ook al die gegevens die met een geringe extra inspanning (alsnog) te herleiden zijn op een persoon.

Ik heb even geen link paraat en nu geen tijd om het op te zoeken, maar jurisprudentie zat + memorie van toelichting WBP en WPG en de ontwerpen voor een nieuwe data privacy verordening en richtlijn op europees niveau.

Daarom is een kenteken een persoonsgegeven. Het kenteken identificeert een auto, geen persoon. 1 bevraging bij het RDW en je hebt er een persoon bij. Idem voor een ip-adres, een sofinummer, de meeste mailadressen etc.

Met deze toevoeging blijven er relatief weinig gegevens over die geen persoonsgegevens zijn.

Het is juridisch eigenlijk relatief helder, maar niet iedereen heeft zin of geduld om naar de juristen te luisteren.
23-10-2015, 11:07 door Rstandard
Door Anoniem:
Waarom is er eigenlijk geen opt-in systeem waarmee mensen die niets te verbergen hebben zich kunnen aanmelden bij de overheid voor extra surveillance

Lol, omdat de overheid meer geinteresseerd is in de mensen die wel wat te verbergen hebben ? En omdat mensen niet noodzakelijkerwijze naar waarheid de vraag zullen beantwoorden of ze al dan niet wat te verbergen hebben ?
De mensen die denken dat ze niets te verbergen hebben, hebben evenveel te verbergen als de mensen die dat wel doen.
Ze weten het zelf alleen niet.

Een simpele voorbeeld: als iemand tegen mij zegt dat hij/zij niks te verbegen heeft, dan vraag ik om hun pincode. Iedereen houd er gelijk mee op
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.