Privacy
- Wat niemand over je mag weten
WIV in praktijk
30-03-2018, 16:11 door Anoniem, 8 reacties
Los van de hele discussie (wellicht wat geluwd nu het referendum voorbij is), en waar ik me verder ook niet wil mengen. Ben ik met name benieuwd hoe de WIV technisch geïmplementeerd zou worden.
Want stel, je zou een hele wijk aftappen. WAT tap je dan precies af? Bijna alle sites hebben wel een TLS verbinding, wat dus in principe alleen maar metadata op zou leveren (welk IP maakt verbinding met welke site). Maar inhoudelijke berichten zijn versleuteld.
Of zouden alle root providers (Comodo, Symantec, etc) klakkeloos een lijstje met alle private keys aanleveren? Meh... kan ik me niet voorstellen dat dit in de prakijk toegepast wordt, (stel die lijst lekt uit van bijv Comodo dan stort de halve wereld in)
De hele wijk hacken tot op client niveau voorbij de modem/router echt op je eigen toestel is ook ongeloofwaardig. Iedereen heeft wel ander OS, versie, etc. Waardoor dat praktisch onhaalbaar, tijdrovend, zeer kostbaar zou zijn om dat te bewerkstelligen, waarbij je nooit 100% dekking zult verkrijgen.
Een ander duister scenario; men gebruikt iets als SSLstrip icm re-encryption, waarvoor ze dan wel een vals certificaat moeten kunnen aanvragen voor een bepaald domein (zegmaar een soort diginotar maar dan enkel voor de AIVD of terwijl geen domain validation nodig).
En dan tot slot, wat voor zin heeft het om een wijk af te tappen als er eerst nog een VPN verbinding wordt gelegd naar een niets-zeggend land (meta-data is dan foetsie?). Een beetje terrorist moet hier ook over nagedacht hebben en gebruikt dan gewoon een VPN lijkt me.
Anyway; just some thoughts, ben benieuwd naar hoe men hier zelf tegenaan kijkt. Enkel metadata / toch meer?
Want stel, je zou een hele wijk aftappen. WAT tap je dan precies af? Bijna alle sites hebben wel een TLS verbinding, wat dus in principe alleen maar metadata op zou leveren (welk IP maakt verbinding met welke site). Maar inhoudelijke berichten zijn versleuteld.
Of zouden alle root providers (Comodo, Symantec, etc) klakkeloos een lijstje met alle private keys aanleveren? Meh... kan ik me niet voorstellen dat dit in de prakijk toegepast wordt, (stel die lijst lekt uit van bijv Comodo dan stort de halve wereld in)
De hele wijk hacken tot op client niveau voorbij de modem/router echt op je eigen toestel is ook ongeloofwaardig. Iedereen heeft wel ander OS, versie, etc. Waardoor dat praktisch onhaalbaar, tijdrovend, zeer kostbaar zou zijn om dat te bewerkstelligen, waarbij je nooit 100% dekking zult verkrijgen.
Een ander duister scenario; men gebruikt iets als SSLstrip icm re-encryption, waarvoor ze dan wel een vals certificaat moeten kunnen aanvragen voor een bepaald domein (zegmaar een soort diginotar maar dan enkel voor de AIVD of terwijl geen domain validation nodig).
En dan tot slot, wat voor zin heeft het om een wijk af te tappen als er eerst nog een VPN verbinding wordt gelegd naar een niets-zeggend land (meta-data is dan foetsie?). Een beetje terrorist moet hier ook over nagedacht hebben en gebruikt dan gewoon een VPN lijkt me.
Anyway; just some thoughts, ben benieuwd naar hoe men hier zelf tegenaan kijkt. Enkel metadata / toch meer?
Reacties (8)
30-03-2018, 17:48 door
karma4
Je stelt de juiste vragen. Als je niet wie waar zit kun je dat proberen uit te vinden met metadata.
Het social network analysis deel vind massale hoeveelheden data niet leuk. Je zult het eerst flink moeten gaan indikken.
Een vpn is juist heel goed herkenbaar als marker.
Het gaat om niet standaard gedrag te herkennen. Daarbij kan het heel behulpzaam om te weten wat normaal gedrag is.
Pak een flat 2 adressen gaan via vpn en de rest naar nu.nl google Facebook etc.
Het social network analysis deel vind massale hoeveelheden data niet leuk. Je zult het eerst flink moeten gaan indikken.
Een vpn is juist heel goed herkenbaar als marker.
Het gaat om niet standaard gedrag te herkennen. Daarbij kan het heel behulpzaam om te weten wat normaal gedrag is.
Pak een flat 2 adressen gaan via vpn en de rest naar nu.nl google Facebook etc.
Als jij heel veel aluminium koopt, voor je hoedje of zo, dan val je op. Als jij geen bankrekening hebt, dan val je op. Als je nooit pint in een supermarkt, dan val je op.
SSL is mooi, maar het volstaat om fysiek in te breken, en een extra "comodo" te installeren, waarna men via een DNS reroute alle websites met geldig slotje kan laten zien. Dat zal de aivd wel mogen, en daarmee is het gemakkelijker om boeven te vangen.
De allerslimste vang je niet, en voor de allerdomste heb je dit allemaal niet nodig, maar wel voor de redelijk slimme die af en toe een foutje maken.
Metadata is vaak al goud waard. Als jij ineens begint te bellen of appen met een drugsdealer, en bepaalde nummerborden rijden ineens je wijk in en uit, dan kan dat een reden zijn om je nog wat beter in de gaten te houden.
Gekoppeld met je creditrating, je bestelgedrag bij de appie met je bonuskaart, en vooral het gedrag van je gezin/buren, kan men via een computer een profilering opstellen, waarmee je vanzelf bovendrijft, en een ouderwetsche rechercheur op onderzoek uit kan gaan.
SSL is mooi, maar het volstaat om fysiek in te breken, en een extra "comodo" te installeren, waarna men via een DNS reroute alle websites met geldig slotje kan laten zien. Dat zal de aivd wel mogen, en daarmee is het gemakkelijker om boeven te vangen.
De allerslimste vang je niet, en voor de allerdomste heb je dit allemaal niet nodig, maar wel voor de redelijk slimme die af en toe een foutje maken.
Metadata is vaak al goud waard. Als jij ineens begint te bellen of appen met een drugsdealer, en bepaalde nummerborden rijden ineens je wijk in en uit, dan kan dat een reden zijn om je nog wat beter in de gaten te houden.
Gekoppeld met je creditrating, je bestelgedrag bij de appie met je bonuskaart, en vooral het gedrag van je gezin/buren, kan men via een computer een profilering opstellen, waarmee je vanzelf bovendrijft, en een ouderwetsche rechercheur op onderzoek uit kan gaan.
Door Anoniem: Los van de hele discussie (wellicht wat geluwd nu het referendum voorbij is), en waar ik me verder ook niet wil mengen. Ben ik met name benieuwd hoe de WIV technisch geïmplementeerd zou worden.
Want stel, je zou een hele wijk aftappen. WAT tap je dan precies af? Bijna alle sites hebben wel een TLS verbinding, wat dus in principe alleen maar metadata op zou leveren (welk IP maakt verbinding met welke site). Maar inhoudelijke berichten zijn versleuteld.
Je hebt niet goed opgelet. Ze tappen geen wijk via de WiV, dat is zinloos en enorm veel moeite i.v.m meerdere netwerken.Want stel, je zou een hele wijk aftappen. WAT tap je dan precies af? Bijna alle sites hebben wel een TLS verbinding, wat dus in principe alleen maar metadata op zou leveren (welk IP maakt verbinding met welke site). Maar inhoudelijke berichten zijn versleuteld.
Ze gaan meer op backbone niveau werken: Iedereen in NL die met (b.v.) Syrie communiceerd.
Individuen tappen ze gewoon met een standaard tap. En met standaard taps kan je makkelijk een straat/wijk gericht tappen. Dat kan nu al, zonder de nieuwe WiV. De minister moet dan besluiten dat iedereen in de wijk getapt mag worden. Dat zijn veel handtekeningen (i.p.v. 1 voor kabelgebonden tap). Een wijk kan onmogelijk in 1 kabelgebonden tap.
Het inrichten van een kabelgebonden tap kost veel meer werk (fiberroute vanaf kabelgebonden tap naar AIVD HQ?). Als ze aan hun eigen schattingen voldoen, is dat ongeveer 1 tappunt per jaar.
Of zouden alle root providers (Comodo, Symantec, etc) klakkeloos een lijstje met alle private keys aanleveren? Meh... kan ik me niet voorstellen dat dit in de prakijk toegepast wordt, (stel die lijst lekt uit van bijv Comodo dan stort de halve wereld in)
Als het uitkomt dan is de toko failliet. En technisch is dit te voorkomen (zie verderop in post).Er zitten sowieso enorm veel "vage" Certificate Authorities in je browser. Ik gooi b.v. TurkTrust uit deze lijst. En vele anderen.
De hele wijk hacken tot op client niveau voorbij de modem/router echt op je eigen toestel is ook ongeloofwaardig. Iedereen heeft wel ander OS, versie, etc. Waardoor dat praktisch onhaalbaar, tijdrovend, zeer kostbaar zou zijn om dat te bewerkstelligen, waarbij je nooit 100% dekking zult verkrijgen.
Paar "modules" als LEGO. Een hele wijk hacken zou kunnen. Maar lijkt me nogal absurd.Een ander duister scenario; men gebruikt iets als SSLstrip icm re-encryption, waarvoor ze dan wel een vals certificaat moeten kunnen aanvragen voor een bepaald domein (zegmaar een soort diginotar maar dan enkel voor de AIVD of terwijl geen domain validation nodig).
Certificates zijn en blijven secure op HTTPS. Zie:
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
Ik maak me meer zorgen om andere clients (non HTTP), zit daar PKP in? Zelden....
De aanvalsvector is afwezig als een website de juiste maatregelen neemt.
En dan tot slot, wat voor zin heeft het om een wijk af te tappen als er eerst nog een VPN verbinding wordt gelegd naar een niets-zeggend land (meta-data is dan foetsie?). Een beetje terrorist moet hier ook over nagedacht hebben en gebruikt dan gewoon een VPN lijkt me.
Een kabelgebonden tap is nogal onhandig om een wijk te tappen. Een wijk kan je beter via standaard taps laten lopen (de diensten weten toch wie waar woont).Met een kabelgebonden tap kunnen ze zien wie nogmeer van die VPN-dienst gebruikt maakt. Niet op wijkniveau, maar landsniveau. Als je een VPN hebt richting een vreemd land (zoals je zelf suggereert), zetten ze sneller vraagtekens bij jou als persoon.
Het is zeer inefficiënt om een "kabelgebonden tap" te zetten op een wijk, dat zou namelijk een "kabelgebonden tap" per ISP zijn (en met 50+ ISP's wordt het lastig). Ik denk dat het vooral gebruikt gaat worden "voor de andere kant van de verbinding" (i.p.v. wijk niveau).
30-03-2018, 19:49 door
karma4
Hiernaast een advertentie met: "AIVD: Werk je graag met state-of-the-arttechnologieën als Hadoop, Spark en Kafka?"
Het zijn de bekende open source toepassingen hiervoor, iets wat er mee kan kun je uitvogelen.
https://www.tutorialspoint.com/hadoop/index.htm distributed systems , https://spark.apache.org/ let op het in memory deel en https://kafka.apache.org/ message broker ooit bedoeld om pageviews van webservers te volgen. Je kan op zoek gaan naar de beperkingen.
De cpu en io zijn gangbare beperkingen vandaar de spreiding over vele systemen. Het nadeel met elk systeem wat werk geven is dat zoiets universeel herhaalbaar moet zijn (map/reduce). Spark zit met het intern memory als afweging tegen de io en kafka is de data aanlevering Als je iets doet moeten het voor elk onderdeel hapklare brokjes zijn.
Denk nu niet dat je er in welke weg wat in kunt gooien dat er zo wat zinnigs uitrolt. R met phyton er omheen om iets op wat lijkt op coderen en programmeren voor de logica. Probleem is je weet niet van te voren niet welke logica.
Het zijn de bekende open source toepassingen hiervoor, iets wat er mee kan kun je uitvogelen.
https://www.tutorialspoint.com/hadoop/index.htm distributed systems , https://spark.apache.org/ let op het in memory deel en https://kafka.apache.org/ message broker ooit bedoeld om pageviews van webservers te volgen. Je kan op zoek gaan naar de beperkingen.
De cpu en io zijn gangbare beperkingen vandaar de spreiding over vele systemen. Het nadeel met elk systeem wat werk geven is dat zoiets universeel herhaalbaar moet zijn (map/reduce). Spark zit met het intern memory als afweging tegen de io en kafka is de data aanlevering Als je iets doet moeten het voor elk onderdeel hapklare brokjes zijn.
Denk nu niet dat je er in welke weg wat in kunt gooien dat er zo wat zinnigs uitrolt. R met phyton er omheen om iets op wat lijkt op coderen en programmeren voor de logica. Probleem is je weet niet van te voren niet welke logica.
Door Anoniem: Los van de hele discussie (wellicht wat geluwd nu het referendum voorbij is), en waar ik me verder ook niet wil mengen. Ben ik met name benieuwd hoe de WIV technisch geïmplementeerd zou worden.
"Aan referenda heb je helemaal niks in de discussie over privacy en veiligheid" door Ko Colijn, in Vrij Nederland, vrijdag 30 maart https://www.vn.nl/niks-aan-referenda/
Dit is volgens Ko "Instituut Clingendael" Colijn de uitvoering van de Wiv in de praktijk:
"Het Verenigd Koninkrijk (GCHQ) en de VS (NSA) mogen hun eigen burgers niet bespioneren, maar elkaars burgers wel, dus ruilen ze die gegevens.
"De premier [Rutte] naderde de waarheid toen hij in het slotdebat [...] terloops bekende dat de nieuwe WIV vooral nodig is om iets te ruilen te hebben: als andere landen die bevoegdheid wel hebben en wij niet, is Nederland zo open als een mandje voor would be terroristen, vragende partij én de zwakste schakel in de mondiale logistiek van de terreurbestrijding. Dat is de logica achter de WIV."
"De premier [Rutte] naderde de waarheid toen hij in het slotdebat [...] terloops bekende dat de nieuwe WIV vooral nodig is om iets te ruilen te hebben: als andere landen die bevoegdheid wel hebben en wij niet, is Nederland zo open als een mandje voor would be terroristen, vragende partij én de zwakste schakel in de mondiale logistiek van de terreurbestrijding. Dat is de logica achter de WIV."
Een parel van inzicht. Die wet komt er uiteindelijk wel.
Door Anoniem: Los van de hele discussie (wellicht wat geluwd nu het referendum voorbij is), en waar ik me verder ook niet wil mengen. Ben ik met name benieuwd hoe de WIV technisch geïmplementeerd zou worden.
Want stel, je zou een hele wijk aftappen. WAT tap je dan precies af? Bijna alle sites hebben wel een TLS verbinding, wat dus in principe alleen maar metadata op zou leveren (welk IP maakt verbinding met welke site). Maar inhoudelijke berichten zijn versleuteld.
Want stel, je zou een hele wijk aftappen. WAT tap je dan precies af? Bijna alle sites hebben wel een TLS verbinding, wat dus in principe alleen maar metadata op zou leveren (welk IP maakt verbinding met welke site). Maar inhoudelijke berichten zijn versleuteld.
Dat voorbeeld van de wijk hebben de diensten ooit de wereld in geholpen, maar later teruggetrokken. Inderdaad verwarrend maar men zegt dat dit geen realistisch scenario is. Je hebt gelijk dat er veel via TLS gaat, dus veel van het verkeer (Gmail, je bank, whatsapp) kunnen ze waarschijnlijk niet lezen, tenzij ze de sleutels hebben.
Of zouden alle root providers (Comodo, Symantec, etc) klakkeloos een lijstje met alle private keys aanleveren? Meh... kan ik me niet voorstellen dat dit in de prakijk toegepast wordt, (stel die lijst lekt uit van bijv Comodo dan stort de halve wereld in)
Een partij als Comodo heeft de private key van de SSL certificaten van hun klanten niet. Ze kunnen wel nieuwe certificaten aanmaken maar dan moet je verkeer gaan manipuleren ipv aftappen. Dat mogen de diensten alleen gericht.
De hele wijk hacken tot op client niveau voorbij de modem/router echt op je eigen toestel is ook ongeloofwaardig. Iedereen heeft wel ander OS, versie, etc. Waardoor dat praktisch onhaalbaar, tijdrovend, zeer kostbaar zou zijn om dat te bewerkstelligen, waarbij je nooit 100% dekking zult verkrijgen.
Dat mag ook niet. Het hacken door de diensten mag alleen gericht ingezet worden.
Een ander duister scenario; men gebruikt iets als SSLstrip icm re-encryption, waarvoor ze dan wel een vals certificaat moeten kunnen aanvragen voor een bepaald domein (zegmaar een soort diginotar maar dan enkel voor de AIVD of terwijl geen domain validation nodig).
Kan, maar wederom alleen gericht
En dan tot slot, wat voor zin heeft het om een wijk af te tappen als er eerst nog een VPN verbinding wordt gelegd naar een niets-zeggend land (meta-data is dan foetsie?). Een beetje terrorist moet hier ook over nagedacht hebben en gebruikt dan gewoon een VPN lijkt me.
Als je weet dat een terrorist een bepaalde VPN gebruikt zou je zo misschien kunnen identificeren waar hij is. Je kan inderdaad alleen niet zijn verkeer zijn.
Anyway; just some thoughts, ben benieuwd naar hoe men hier zelf tegenaan kijkt. Enkel metadata / toch meer?
Nee wel meer, ze kunnen ook inhoud van onversleuteld verkeer zien. Maar ze moeten weggooien wat niet relevant voor hun onderzoeksopdracht is.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.