Door Anoniem: Tuurlijk.
Erg nadelig voor de burgers, dus dit was van tevoren duidelijk: de EUSSR is voor.
Wanneer stappen we nou eens uit die EU??

Door Anoniem: Tuurlijk.
Erg nadelig voor de burgers, dus dit was van tevoren duidelijk: de EUSSR is voor.
Wanneer stappen we nou eens uit die EU??

While this joint release mainly discusses risks related to biometrics and identity documents, threats on the remote identity proofing service provider's information system (including web and mobile applications used in the identity verification process) remain an important hazard.)

Door Anoniem: In het verleden hadden Russen dikke vingers in de pap van dergelijke politieke ambities en bewegingen. Ik weet niet uit welke hoek er heden ten dage politieke en financiële steun is om dergelijke geluiden te versterken dat het idee 'gaat leven' in brede geledingen van de bevolking als een redelijk en haalbaar alternatief. Het hele punt is natuurlijk het financiële fundament onder de Europese Unie. Maar geloofwaardigheid van de Nederlandse politiek heeft een immense knauw gekregen de afgelopen 15 jaar. En als ik dat klapvee van de PVV daar in de kamer zie zitten, wordt dat de komende jaren echt niet beter, in de wetenschap dat PVV geen democratische politieke vereniging is.

En dan ga ik er vanuit dat als we iets meer dan een kwart weten van wat daar aan de hand was met een aantal lastige dossiers, dat dat al veel is. Wilders kent al die dossiers, en dat maakt hem kwetsbaar als langstzittende kamerlid. Misschien dat er een paar handige AIVD-ers zijn die wat struikeldraden op het parcours leggen. Hebben ze wel vaker gedaan, en dat blijft meestal keurig in de doofpot tot er weer politiek gemotiveerde complottheoretici gaan samenzweren en mainstream worden.

Door Anoniem: DigiD is ook nooit verplicht geworden. Dan zal dat vast hiermee ook niet gebeuren.

Al zullen uiteraard dezelfde "tactieken" gebruikt gaan worden zodat ook jij nu weer overstag gaat. Maar verplicht is het niet hè.
Over mijn lijk, net als met DigiD, dat ik dit ooit ga gebruiken. Heb namelijk wel een hoop te verbergen.

Door Anoniem:
U beweert hier dat de AIVD meer een politiek instrument is om politieke tegenstanders een pootje te haken, dan een daadwerkelijke staatsveiligheid gerichte organisatie, ongeacht politieke inrichting? Of gaat u zelfs zo ver dat een door enkelen ongewenste staats ingerichte, democratisch gekozen, politieke instelling, per definitie een pootje gehaakt dient te worden door onze geheime staatsdiensten?

Door Anoniem: Ik vraag mij af wat er gaat gebeuren als je smartphone wordt gestolen, hoe kun je dan bewijzen wie je bent?
En hoeveel kans heb je dat ze hier misbruik van kunnen maken.

https://www.security.nl/posting/530740/Vorig+jaar+ruim+43_000+smartphones+in+Nederland+gestolen

Door Erik van Straten: Krankzinnig.

Nepwebsites als AitM
Veel mensen zullen door cybercriminelen worden verleid om te authenticeren op nepwebsites (voorbeeld: https://security.nl/posting/834710) waarbij die nepwebsite, mogelijk geheel geautomatiseerd, als een AitM (Attacker in the Middle), als ware zij het slachtoffer, elders authenticeert - bijvoorbeeld om een creditcard aan te vragen. Waarbij relevante informatie, door die AitM, "on the fly" wordt gewijzigd - zoals het postadres waar de creditcard naar toe gestuurd moet worden.

Voorbeeld van nepwebsite - met "swimlane" diagram
Het volgende zou kunnen gebeuren nadat ene Piet een e-mail, SMS of appje kreeg met een "speciaal aanbod": een jaar lang geen kosten voor een nieuwe Bunq creditcard en een beginsaldo van 50 Euro cadeau! Ga daarvoor naar bunq.com (waarbij de feitelijke link daaronder bijvoorbeeld naar get-bunq-cc[.]com verwijst - die [ en ] om de laatste punt horen daar niet, ik heb ze toegevoegd om te voorkómen dat een virusscanner of een "pre-loadende" browser er een echte domeinnaam in zit, en die domeinnaam toevallig bestaat). Nb. hieronder heb ik creditcard afgekort met CC.


Variatie: nepwebsite communiceert met andere site
Ik sluit andere scenarios niet uit, bijvoorbeeld dat Piet zodanig misleid wordt dat hij, op basis van een ontvangen (nep-) bericht, denkt dat Facebook een leeftijdsverificatie wil uitvoeren (de AitM nepsite zou dan bijv. facebook-age-check[.]com kunnen heten) - terwijl de AitM ondertussen met bunq.com communiceert. En dat de info, die naar Piet wordt gestuurd en die zogenaamd afkomstig is van Facebook, bij elkaar verzonnen is.

Variatie: nepwebsite communiceert met twee sites
In een variatie daarop zou de AitM zowel met Facebook als met bunq kunnen communiceren (zonder Piet te laten weten dat, in de achtergrond, met Bunq wordt gecommuniceerd. Als er voor een leeftijdscheck onvoldoende eID gegevens worden overgedragen, zou de nepsite kunnen liegen dat er iets misging en dat daarom aanvullende info moet worden aangeleverd (onder dreiging van het afsluiten van het Facebook-account van Piet). Hybride situaties, waarbij een zogenaamde medewerker van Facebook het slachtoffer belt, waarna slachtoffers vaak gewillig doen wat hen gevraagd wordt. Zoals een foute app of Windows software installeren "om de fout te corrigeren" (Nb. apps zoals o.a. Anydesk bestaan ook voor smartphones)

Betere certs met betrouwbare identiteitscheck
Het aantal slachtoffers zou beperkt kunnen worden als de EDIW (European Digital Identity Wallet, ook bekend als eID) app strenge eisen stelt aan op z'n minst de werkelijke identiteit van de verantwoordelijke van de website waarop wordt geauthenticeerd, en dat -via het meer uitgebreide https servercertificaat - er bij de internetter geen twijfel over kan bestaan wie verantwoordelijk is voor een website.

Beter is het natuurlijk als er eisen t.a.v. de betrouwbaarheid van genoemde verantwoordelijke worden gesteld, maar dat is (ook offline) een heel stuk lastiger.

DV is grotendeels zinloos (vooral schijnveiligheid)
Als ik het goed begrepen heb is de EU alsnog akkoord gegaan dat ook DV (Domain Validated) certificaten volstaan, die nul-komma-niets zeggen over de identiteit voor de verantwoordelijke van een website. DV-certificaten zijn de grootste onzin die er bestaat:

• Je hebt ze totaal niet nodig voor de versleuteling van moderne (met forward secrecy) https verbindingen. Let's Encrypt is fundamentele bull shit.

• Tijdens DNS-aanvallen, via gehackte DNS-records, middels BGP-hijacks en door overheidstoegang tot de infrastructuur van hostingproviders kunnen DV-certs kan een andere server -onterecht- een certificaat voor een andere server aanvragen en verkrijgen.

• Het enige dat direct voorafgaand aan de uitgifte van een DV-certificaat wordt vastgesteld, is dat als de certificaatuitgever verbinding maakt met het IP-adres van de kennelijke server, verkregen via DNS op basis van een domeinnaam, de betreffende server daadwerkelijk degene is van waaruit het certificaat werd aangevraagd. Oftewel, als DNS betrouwbaar is, krijgt de aanvragende server het certificaat. Dus, als DNS net zo betrouwbaar is voor de certificaatuitgever als voor jou, heb je zo'n certificaat helemaal niet nodig.

• Het enige identificerende gegeven van een website in een DV-certificaat is de domeinnaam. Als een internetter wil shoppen bij "Bol" en weet dat de domeinnaam bol.com van "Bol" is, dan helpt een DV certificaat een heel klein beetje bevestigen dat je verbinding hebt met een server van "Bol" als je, zonder certificaatmeldingen, https://bol.com/maakt-niet-uit zou zien als je de inhoud van de adresbalk van jouw browser via het klembord naar een teksteditor kopieert.

Probleem: daarmee weet je niet of een URL zoals https://bol-paas-prijspakkers[.]com/ wél of juist niet van "Bol" is - ook niet als die site dezelfde stijl, logo's en lettertypes gebruikt. Een domeinnaam is een uitermate zwak identificerend gegeven omdat elke malloot nagenoeg elke nog niet actief in gebruikzijnde domeinnaam kan "claimen", en zij schier eindeloos veel domeinnamen kunnen bedenken die best "zouden kunnen zijn van".

Het voordeel van domeinnamen boven persoonsnamen is dat ze, als het goed is, wereldwijd uniek zijn (er zijn meerdere mensen die Erik van Straten heten). Maar zelfs áls persoonsnamen wereldwijd uniek zouden zijn, en iemand de spelling van mijn naam niet goed onthouden heeft (ook op security.nl word ik af en toe "aangesproken" met Eric) zou je zo in de val kunnen trappen. Aanvullende identificerende informatie, zoals een bedrijfsnaam, vestigingsadres en KVK-nummer, maakt identificatie simpelweg eenvoudiger. Voorwaarde is wel dat je ervan op aan moet kunnen dat de certificaatuitgever die gegevens grondig heeft gecheckt (wat net zo min veilig kan online) en daarnaast is het essentieel dat elk potentieel slachtoffer uitzoekt of de identificerende informatie daadwerkelijk van de bedoelde organisatie is.

• Veel mensen hebben er geen idee van wat een domeinnaam precies is - laat staan dat zij de risico's van IDN's (International Domain Names, met zichtbaar identieke, of sterk lijkende, doch afwijkende Unicode karakters er in) kennen, waarom je op die domeinnaam zou moeten letten (en niet op logo's en/of typfouten in de pagina), hoe je een domeinnaam uit een URL haalt en wat het verschil is tussen een punt en een minnetje in een domeinnaam.

• Veel CDN-providers zetten soms duizenden websites achter één IP-adres, en zijn het hun servers (van de CDN-providers dus) die het eindpunt vormen voor https-connecties vanaf browsers (een "legitieme" AitM dus). In veel gevallen heeft jouw browser, zonder dat iemand jou dat vertelt, helemaal geen End-to-End-Encrypted verbinding meer met de server, maar met een AitM - die je blind zult moeten vertrouwen (dit is precies de reden waarom big tech geen betere certificaten wil: die kunnen AitM's, als het goed is, namelijk helemaal niet aanvragen).

Nb. het argument dat met QWAC's (Qualified Website Authentication Certificates) overheden zouden kunnen gaan spioneren klopt in theorie, maar dat gebeurt nu ook al met DV-certs (https://notes.valdikss.org.ru/jabber.ru-mitm/ en nogelijk op een enorme schaal als de overheid van de U.S.A., op basis van de FISA Section 702 wetgeving, AitM-servers bij CDN-providers laat nonitoren.

AitM malware op smartphones
Echter, zelfs mét fatsoenlijke certificaten ben je er nog niet; er verschijnt steeds meer malware voor smartphones. En daartegen helpt niets, ook al zitten alle gevoelige gegevens veilig in een, zelfs voor de gebruiker, ontoegankelijke "elektronische portemonnee" ("wallet"). Als Europeanen straks ook iPhone apps van buiten de Apple App Store kunnen downloaden, nemen de risico's voor gebruikers alleen maar toe (die waren al niet nul, want ook in de App Store zijn regelmatig kwaadaardige apps te vinden).

Als een kwaadaardige app informatie van andere apps, bestemd voor het scherm, kan wijzigen voordat die info op het scherm verschijnt, is er al sprake van een AitM. Als een kwaadaardige Android app de user heeft kunnen overhalen om die app "accessibility permissions" te geven, kan die app niet alleen het scherm overnemen, maar ook alle invoer van de gebruiker (wijzigen, blokkeren, of, zonder dat de user iets doet, namens die user genereren).

Daarmee kan de app zich grotendeels voordoen als de user, zonder dat de user daar iets van hoeft te merken. Indien de app een pincode, vingerafdruk of gezichtsscan nodig heeft voor een kwaadaardige transactie, is het niet heel moeilijk om de user met geloofwaardige leugens over te halen om die af te geven (desnoods door te wachten totdat de gebruiker zelf zo'n actie initieert).

Online auth (op afstand) krijg je nooit betrouwbaar
Je kunt met bits, pixels en zelfs asymmetrische cryptografie, knutselen tot je een ons weegt, maar uiteindelijk wil je weten wie of de authenticerende persoon geen impersonator is. En dat krijg je, online, nooit betrouwbaar; hier zullen cybercriminelen steeds meer misbruik van gaan maken. Waarbij slachtoffers grote sommen geld kunnen kwijtraken, vaak erg in de put komen te zitten en diep ongelukkig worden doordat zij het vertrouwen in hun medemens zijn kwijtgeraakt.

En vanzelfsprekend heeft nog bijna niemand nagedacht over vangnetten. Dat wil zeggen, behalve banken en het Kifid: "daar doen wij niet aan mee". Als u zo graag een EDIW wilt, zijn de risico's daarvan voor u.

En als u zélf geen EDIW heeft en wilt, maar een ander een EDIW met uw gegevens kon verkrijgen en daarmee een lening op uw naam kon afsluiten, dan vinden wij dat heel vervelend voor u, maar niet wij hebben deze digitale identiteit bedacht - daar moet u voor in Brussel zijn.

VideoIdent
Mogelijk groter dan bij EDIW, zijn de risico's van VideoIdent - waarmee getracht wordt om online (op afstand dus) de identiteit van een persoon vast te stellen - door het maken van video's en/of foto's van het gezicht en van een identiteitsbewijs. De reden daarvoor is dat het vaak om het begin van een keten gaat, zonder dat er voorkennis bij de verifieerder hoeft te zijn.

Uit de PDF die je vanuit deze pagina (https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/ANSSI-BSI-joint-releases/ANSSI-BSI_joint-release_2023.html) kunt downloaden:
Deze "risico-analyse" (van de Duitse en Franse overheids-security-organisaties) benoemt niet eens het risico van AitM aanvallen - die kunnen plaatsvinden zoals aangegeven in het diagram hierboven - waarbij je, in de plaats van de eID authenticatie, je jezelf de ideniteitsverificatie middels VideoIdent moet voorstellen.

Conclusie
Hoe eenvoudiger impersonatie, hoe minder betrouwbaar authenticatie is. Het is krankzinnig om transacties ter waarde van duizenden Euro's (of méér) te accorderen middels veel te onbetrouwbare authenticatie (omdat impersonatie te eenvoudig is). Dit gaat slecht aflopen voor veel mensen - ook die zélf géén EDIW nemen. Met steeds beter wordende AI, zowel een filmpje en een foto of scan van een identiteitsbewijs van een ander, zal het steeds eenvoudiger worden om -onterecht- een EDIW op naam van een ander te verkrijgen,

Door Anoniem: Leuk stuk, maar heb je weleens nagedacht over PassKeys?