Privacy - Wat niemand over je mag weten

OSINT 2.0

14-05-2022, 14:07 door Anoniem, 9 reacties
OSINT 2.0

Ik heb altijd sympathie gehad voor Open Source, het idee dat kennis vrij moet zijn. Zo ben ik ook voorstander van responsible disclosure: als er een lek zit in de software die we gebruiken dan kan die kennis maar beter openbaar zijn. Dan kan er tenminste gehandeld worden; eventueel door de overheid onder druk van publieke opinie. Ik versta dus iets ander onder responsible disclosure dan de staat de nederlanden.

Open Source
Ook onze AIVD en MIVD maken gebruik van Open Source, dat wil in deze context zeggen "openbaar verkrijgbare informatie". Het zou toch ook wat vreemd zijn als deze diensten hier geen gebruik van zouden mogen maken.

CTIVD
Onze Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten schijft in CTIVD nr. 74:
"Een voorbeeld van commerciële gegevens die via deze tools kunnen worden geraadpleegd, betreffen
locatiegegevens die worden gegenereerd door advertenties die worden getoond aan gebruikers van
applicaties. De aanbieders van commerciële tools voor OSINT kunnen advertentiegegevens afnemen
bij datahandelaren (‘data brokers’) en deze via hun tool beschikbaar stellen aan klanten, waaronder
inlichtingen- en veiligheidsdiensten."

Niets nieuws
Voor menig lezer van security.nl zal het geen verassing dat dit gebeurt. "Survaillance Capatalism" is hier geen onbekende term. De aandeelhouder (jij en ik via ons pensioen) wil goede koersen, data is het nieuwe goud. Het laat zich raden wat er gebeurt. Dat per aangeboden advertentie op het scherm zeer veel gegevens worden gedeeld met meer dan 1000 bedrijven hebben we hier al kunnen lezen in https://www.security.nl/posting/708320/.

Niets te verbergen.
Als via de bewegingssensor de hartslag wordt bijgehouden, dan is het voor bijvoorbeeld een verzekeraar of hypotheekverstrekker toch interessant om een bestand te kopen van alle mensen die het komende jaar een hartinfarct krijgen? Deze informatie is straks (of nu) natuurlijk openbaar te koop. Maar het knaagt dat er geen prikkel/commercieel belang is om de betrokkennen te informeren. https://www.security.nl/posting/729129/Versnellingsmeter+geeft+iPhone-apps+schat+aan+informatie+over+gebruikers.

Overigens is toegang tot de bewegingssensor niet geblokkeerd. Dus dit is ook van toepassing op wat bewustere gebruikers.

De meute
Veel mensen hebben misschien een wat oncomfortabel gevoel als we iets vertellen over privacy en technologie. Maar echt merken wat er gebeurt met de gegevens is wat moeilijker. Dus die kiezen voor de veiligheid van de meute: gewoon doen als ieder ander, dan blijft het leefbaar.
Ik begrijp dat wel.

Moeilijk
Maar wat ik moeilijk vind is dat deze beste mensen wel hun sensoren, gebruikt door duizenden bedrijven, mee willen nemen in mijn huis. Omdat velen het doen als ieder ander en het leefbaar willen houden wordt toch eigenlijk een beetje verwacht dat ik dat ook zo doe. Dus niemand met een mobiel binnenlaten is toch een dingetje.

Onze politici lijken een goede afspiegeling van mijn bezoekers: geen slechte bedoelingen, wel wat gebrekkig inzicht.


OSINT 2.0
Om deze situatie te verbeteren zou ik op willen roepen tot OSINT 2.0:
Een open source platform waar deze openbare gegevens van eenieder raadpleegbaar zijn. Eenieder. Zodat ook degeen die niets te verbergen heeft kan zien dat hij een hartkwaal heeft. Ook onze tweede kamerleden, ook onze minister president, ook Ursula van de Leijden. Want ook zij kunnen maar beter weten dat hun gegevens op straat liggen, dan kan er tenminste worden gehandeld.

Laten we bouwen aan het openbaar toegankelijk maken van openbare informatie.
Reacties (9)
14-05-2022, 17:58 door Anoniem
Voor bijvoorbeeld het recept om van kunstmest een bom te maken lijkt het mij dan weer minder handig om de kennis openbaar te maken ;-)
14-05-2022, 18:24 door Anoniem
Door Anoniem: Overigens is toegang tot de bewegingssensor niet geblokkeerd. Dus dit is ook van toepassing op wat bewustere gebruikers.

De bewegingssensoren kunnen onder LineageOS worden geblokkeerd, hoewel echte schakelaars beter zou zijn:

https://www.security.nl/posting/702518#posting710561

Maar wat ik moeilijk vind is dat deze beste mensen wel hun sensoren, gebruikt door duizenden bedrijven, mee willen nemen in mijn huis.

De luchtfoto's met vele stippeltjes in dit geruchtmakende NYT artikel geven daarvan een mooie illustratie:

Twelve Million Phones, One Dataset, Zero Privacy
by Stuart A. Thompson & Charlie Warzel
An investigation into the smartphone tracking industry

https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html

Wat veel mensen ook niet beseffen, is dat het door een Fitbit of smartwatch opgenomen hartritmepatroon in rust zodanig wiskundig kan worden getransformeerd dat het leidt tot het verkrijgen van unieke fysiologische parameters, die tot de drager kunnen worden herleid. Geen mensenhart is namelijk hetzelfde. "Zullen we gaan joggen?"

Laten we bouwen aan het openbaar toegankelijk maken van openbare informatie.

Mocht je goed slagen in je opzet, dan sta je op lange tenen.
15-05-2022, 09:51 door Anoniem
Niets te verbergen.
Als via de bewegingssensor de hartslag wordt bijgehouden, dan is het voor bijvoorbeeld een verzekeraar of hypotheekverstrekker toch interessant om een bestand te kopen van alle mensen die het komende jaar een hartinfarct krijgen? Deze informatie is straks (of nu) natuurlijk openbaar te koop. Maar het knaagt dat er geen prikkel/commercieel belang is om de betrokkennen te informeren. https://www.security.nl/posting/729129/Versnellingsmeter+geeft+iPhone-apps+schat+aan+informatie+over+gebruikers.

Je vergeet de werkgever en het uitzendbureau.
16-05-2022, 12:20 door Anoniem
Ik volg even niet wat je precies wil bereiken met OSINT 2.0

Een leek snapt helaas weinig van de processen onder informatie beveiliging en daar in het verlengde al helemaal niks over OSINT. Die gaat niks hebben aan de data in ruw format en weet ook niet welke data voor hem, haar, het echt van belang is. Als ze die data al voorgeschoteld krijgen krijg je eerder paniek situaties omdat ze dus juist niet weten wat ze daarna moeten doen. Pietje zijn telefoonunmmer is gevonden via bron A en bron B wat moet Pietje nu doen.

En dat is maatwerk we kunnen niet een handleiding schrijven hoe om te gaan met elke dataverwijdering. Daarnaast moet je ook vaak deel van de wetgeving ervoor kennen datascraping kan strafbaar zijn ook al staat het publiekelijk open als dat niet de intentie was en je verzameld die data en je hebt geen vrijwaring dan veel succes met je carriere. Niet voor niks dat het hele cursussen behelst zoals COSINT, MOIS, SEC487

Verder zijn er al tig open databases die je kunt benaderen vanuit platforms zoals Maltego voor datamining.
Je kunt binnen paar minuten heel profiel van iemand opgesteld krijgen als die gene niet voorzichtig is geweest in het verleden zolang je maar 1 a 2 traceerbarekenmerken al bezit dus wat veranderd er in OSINT 2.0 precies?

Hier enkele databases die gebruikt worden binnen OSINT dashboards vaak.
https://osintframework.com/
16-05-2022, 19:56 door Anoniem
Maar het knaagt dat er geen prikkel/commercieel belang is om de betrokkennen te informeren. https://www.security.nl/posting/729129/Versnellingsmeter+geeft+iPhone-apps+schat+aan+informatie+over+gebruikers.

Daar heb je inderdaad een overheid voor nodig. Een B.V. Nederland die de verantwoordelijkheid bij de markt legt: een zorgplicht voor de verzekeraar.
17-05-2022, 10:46 door Anoniem
Door Anoniem: Voor bijvoorbeeld het recept om van kunstmest een bom te maken lijkt het mij dan weer minder handig om de kennis openbaar te maken ;-)
Een jaar of 20 geleden was er een enorme ophef over het "Anarchisten kookboek", waar zulke informatie dus ook in staat. Het was 1 van de eerste grote discussies op het internet of we wel of niet bepaalde informatie moesten verbannen of zo ver mogelijk weg moeten stoppen.

De toegang tot informatie is namelijk het probleem niet. Zoekt en gij zult vinden blijft een relevant gezegde, want mensen die daadwerkelijk een bom willen maken van kunstmest, vinden die informatie toch wel.

Door die informatie moeilijker vindbaar te maken, raak je als maatschappij het overzicht kwijt. De mensen die dat opzoeken verdwijnen dan uit het oog en zijn lastiger op te sporen.

Er hangen veel meer nadelen aan het achterhouden van veel informatie, dan dat je die informatie openbaar en makkelijk beschikbaar stelt.

De discussie is dus al ruim 20 jaar oud en wordt nu nog steeds gevoerd....
17-05-2022, 19:34 door Anoniem
Door Anoniem:
Door Anoniem: Voor bijvoorbeeld het recept om van kunstmest een bom te maken lijkt het mij dan weer minder handig om de kennis openbaar te maken ;-)
Een jaar of 20 geleden was er een enorme ophef over het "Anarchisten kookboek", waar zulke informatie dus ook in staat. Het was 1 van de eerste grote discussies op het internet of we wel of niet bepaalde informatie moesten verbannen of zo ver mogelijk weg moeten stoppen.

De toegang tot informatie is namelijk het probleem niet. Zoekt en gij zult vinden blijft een relevant gezegde, want mensen die daadwerkelijk een bom willen maken van kunstmest, vinden die informatie toch wel.

Door die informatie moeilijker vindbaar te maken, raak je als maatschappij het overzicht kwijt. De mensen die dat opzoeken verdwijnen dan uit het oog en zijn lastiger op te sporen.

Er hangen veel meer nadelen aan het achterhouden van veel informatie, dan dat je die informatie openbaar en makkelijk beschikbaar stelt.

De discussie is dus al ruim 20 jaar oud en wordt nu nog steeds gevoerd....
In mijn opleiding tijd kregen we dit soort informatie gewoon tijdens scheikunde op wetenschapelijk onderwijs net als uitleg over waarom er americium-241 in rook melders zat. En zou me niks verbazen als ze dit nog steeds leren want er gebeuren meer ongelukken met dit soort stoffen dan dat er ooit aanslagen mee gepleegd zijn of worden. En hoe voorkom je groot deel van ongelukken? door educatie.

Naast dat we voor ons forensische onderzoek deel paar keer politie in het lab hebben gehad waar onder toezicht met paar mg drugs soorten werdt gewerkt voor analyse training onder elektronen microscoop alsmede gebruik van mobiele drugstest kits. Ook nog een gezellig bezoekje aan de grond vlak naast AMC Amsterdam waar we leerden over de ontbinding fases van kadavers,. En nog wel meer dingen die potentieel door sommige worden beschouwd als gevaarlijk, ongewenst of schokkend.

Als je zulke soort informatie echt compleet afschermd dan zit je binnen 1 a 2 generaties met gigantische problemen in de samenleving. Nee volledig afschermen van dit soort informatie is contraproductief en in sommige vallen ronduit gevaarlijker dan het eindproduct wat met de informatie gemaakt kan worden.

Ontopic
Ik ben nog steeds benieuwd naar wat het verschil volgens de OP, TS is tussen huidige OSINT en zijn, haar, het OSINT 2.0 model.
17-05-2022, 21:03 door Anoniem
Bedankt voor de jullie reacties.

@anoniem 12.20, je bent duidelijk veel beter op de hoogte dan ik. 2.0 Was wat willekeurig, het schijnt ook al gebruikt te worden voor andere (OSINT) marketingconcepten zag ik later.

Wat ik eigenlijk had gewild is dat dit niet (BIG) TECH gedreven ontwikkelingen zouden zijn, maar dat ze de maatschappelijke aandacht zouden krijgen die nodig is.

En ik ben toch ook bang dat met het "openbaar toegankelijk maken van openbare informatie" vooral het tegendeel wordt bereikt. Zoals Anoniem 14-05-2022, 18:24 al aangeeft. En dat het grote publiek, dat dacht beschermd te zijn door de AVG, toch ook liever ziet dat het nieuwe platform bestreden wordt.

De meesten hier bedenken zelf al wel dat de gegevens die gepakt kunnen worden ook echt gepakt worden. Omdat ze geld waard zijn. En zijn ook wel creatief in het bedenken van mogelijke gevolgen, vooral als commercie de belangrijkste motor is.

Het frusteert dat de overheid de burger helpt met digitale vaardigheden in bibliotheken terwijl dit soort dingen gebeuren.
Gisteren, 03:55 door Anoniem
Door Anoniem: Bedankt voor de jullie reacties.

@anoniem 12.20, je bent duidelijk veel beter op de hoogte dan ik. 2.0 Was wat willekeurig, het schijnt ook al gebruikt te worden voor andere (OSINT) marketingconcepten zag ik later.

Wat ik eigenlijk had gewild is dat dit niet (BIG) TECH gedreven ontwikkelingen zouden zijn, maar dat ze de maatschappelijke aandacht zouden krijgen die nodig is.

En ik ben toch ook bang dat met het "openbaar toegankelijk maken van openbare informatie" vooral het tegendeel wordt bereikt. Zoals Anoniem 14-05-2022, 18:24 al aangeeft. En dat het grote publiek, dat dacht beschermd te zijn door de AVG, toch ook liever ziet dat het nieuwe platform bestreden wordt.

De meesten hier bedenken zelf al wel dat de gegevens die gepakt kunnen worden ook echt gepakt worden. Omdat ze geld waard zijn. En zijn ook wel creatief in het bedenken van mogelijke gevolgen, vooral als commercie de belangrijkste motor is.

Het frusteert dat de overheid de burger helpt met digitale vaardigheden in bibliotheken terwijl dit soort dingen gebeuren.

Ja OSINT 2.0 zag ik ook langskomen als marketing concept maar eerlijk te zijn marketing is just that marketing en ik kan niet zeggen dat ik onder de indruk ben van het verhaal wat verkocht door die partij werdt vergeleken bij tussen aanhaling tekens conventionele moderne OSINT.
Ik val ook dan niet over het gebruik van OSINT 2.0 als voorgestelde versie maar puur over wat het verschil is tussen de twee vormen. Deze worden nu toegelicht in zekere mate dus hartelijk dank daarvoor.

Ik zou niet zeggen dat Big tech verantwoordelijk is voor hoe moderne OSINT funtioneert. De meeste bedrijven gebruiken wel resources uitbesteed aan Big tech zoals Amazon, Microsoft etc maar de software voor analyse en scraping ervoor is niet door Big tech geschreven.

De meeste moderne OSINT is gebaseerd op militaire toepassingen de meeste originele OSINT specialiseerde bedrijven die je nu tegenkomt zijn door medewerkers van militaire, inlichting diensten opgezet. Uiteraard zijn er ook selflearned tussen maar meeste van de spelers die ik langs zie komen hebben origine in militaire tak en zijn ook vaak overheid gesponsord geweest of nog steeds. Big tech doet ook sponsoring om dat het in hun self interest is en uiteraard Big tech heeft vaak ook interne teams naast outsourcing ervan maar overhand nee.

Als iemand die kennis heeft in het gebied passie heeft in het gebied en interesse toont snap ik volkomen dat je graag de maatschapij ermeer bij wilt betrekken. Maar ik denk dat je het mogelijk wel met me eens bent dat voor alle exciting en belangrijke dingen binnen OSINT je wel de voorkennis moet bezitten over de onderdelen die OSINT behelst. En dat is vaak hele droge en ingewikkelde stof.

Uiteraard kun je enkel kijken naar de uitkomsten maar zonder de achterliggende kennis of iemand die dat voor je doet zit er niet veel nut aan en kun je mogelijk verkeerde inschattingen maken over hoe gevaarlijk sommige informate werkelijk is. Naast dat zonder onderbouwing een aanpassing of verwijdering request meestal niet uitgevoerd kan worden.

Voorbeeld ik koop iets bij een winkel met fictieve naam nediamarkt. Ik lees een artikel over datalekken bij andere winkels en bij controle blijkt mijn data gejat te zijn bij een winkel genaamd mehkamp en dat is aangetoont met publiekelijk records bij een service zoals haveIbeenpwnd. Nu wil ik preventief al mijn data bij andere shops weghalen omdat ik niet meer informatie wil laten lekken dus ik eis verwijdering onder gdpr van de data. Want ik heb gehoord dat dat onder GDPR mijn recht is.

Maar ik vraag om *alle* data te verwijderen en de nediamarkt stuurt terecht daarop een afwijzing omdat ze wetgevelijk niet mogen voldoen aan die eis omdat de fiscus wil dat financiele documentatie voor 5 tot 7 jaar bewaard blijft voor geval er boekhouding fraude wordt gepleegd of andere ongein. Ook al zou de nediamarkt het niet erg vinden dat die gegevens verwijderd worden ze mogen het niet.


De meeste mensen die de AVG gebruiken denken dat het doel is de consument, gebruiker te beschermen. Dat is een veel te rooskleurig beeld. Het doel van de AVG, GDPR is het vastleggen van de spelregels tussen consumenten en bedrijven zonder dat dit belemmering veroorzaakt op economisch vlak en concurentie positie binnen de EU maar wel tegelijk de consument zoveel mogelijk beschermd.

Het tweede doel van de GDPR was het minimaliseren van wetgevelijke verschillen binnen de EU zodat in tegenstelling tot het verleden niet eerst experts en consultants geraadpleegd hoefde te worden in andere land hun privacy wetgeving om te oordelen over een verzoek en of dataverwerking uitgevoerd moet, kan, mocht worden.


En tja met jet laatste zin ja het frustreert maar daarin tegen de gemiddelde burger heeft al moeite met phising herkennen wat kunnen we werkelijk van ze verwachten dat ze leren als we nog moeilijke materie op ze dumpen?

Een van mijn familie leden klikt niet op rare mailtjes als hun bank een wachtwoord verzoek stuurt.
Als je gelukt hebt kijken ze zelft nog naar de link die meegestuurd is zonder te klikken.
Dat is ongeveer het niveau dat ik verwacht van een gemiddelde gebruiker en zelden halen ze dat niveau.

Ik daarintegen kijk voor mijn persoonlijk zakelijke mail naar de TLS status van de verzendende partijen inclusief tegestane ciphers. De DNS beveiliging die toegepast is. De domein, IP reputatie. De mailheaders en afwijkingen in routes vergeleken met vorige contact momenten. De layout die gebruikt is. De verbinding pogingen die gestart worden bij het openen van de mail en de exacte bayes score opbouw. En dit alles doe ik vanuit een readonly weergave per bericht voor ik handmatig een bericht vrijgeef vanuit mijn scanner server naar mijn reguliere mailserver.

En als ieder dat deed was het pretty much gedaan met spam als effectieve oplichting techniek maar daarvoor moet iedereen wel IT onderlegd zijn willen investeren in hun infra en dan doel ik niet op de basis IT kennis. En dat is de droom maar dat zal altijd een droom blijven.

Dus tja ik vind absoluut dat de overheid beter sommige dingen kan uitleggen maar wij als IT sector moeten ook realistisch zijn in wat sommige mensen voor kennis niveau aankunnen en willen leren. Ik wordt er voor betaald zoals meeste in de IT maar reguliere gebruikers niet. En tijd is zeer zeer kostbaar zeker als je niet gecompenseerd ervoor wordt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.