Ik kap ermee

Ik ben het beu, zat, ik ben leeg, op, uitgewoond. Mijn geduld is verdwenen. Ziek van het feit dat de beveiliging van Nederlandse sites helemaal geen beveiliging is. Ik waarschuwde mijn partner anderhalf jaar geleden al voor de gevaren van DigID. Ik heb er zo’n hekel aan, maar ja: zie je wel! Zaken doen met de Belastingdienst zonder‘ DigID bleek bijna onmogelijk, verzekerde zij mij. Murw gebeukt en uitgeraast zette ik dan toch maar mijn krabbel. Het was mijn laatste fysieke daad. Mijn overheid en ik deden alleen nog maar elektronisch zaken. En nu ligt onder andere mijn bruto salaris op straat. Ergens in Iran. Ze tapten mijn gegevens af en ze mogen er in stikken, wat mij betreft.

‘De’ overheid rommelt zich steeds vaker steeds dieper in steeds serieuzere problemen. Leest u mee? Als we niet opletten, heeft de PVV ons koningshuis afgeschaft, zijn we veroordeeld tot minderheidskabinetten tot in de eeuwigheid en accepteren we een parlement dat zich door Brussel (of Griekenland, al naar gelang u wilt) buiten spel laat zetten en een premier die hetgeen hij met collega-leiders bespreekt niet normaal over het voetlicht krijgt. We sturen politiemensen op een trainingsmissie om militairen op te leiden die, juist, ten oorlog trekken, schaffen hier thuis de Nederlandse defensiemacht af, laten, onbeheerd, helicopters achter op het strand van Libië (er kon een bommetje op) en nu blijkt de overheid onze persoonlijke gegevens niet of nauwelijks te kunnen beschermen.

Dat laatste is trouwens geen nieuws. Het gehate elektronisch patiëntendossier (EPD) is van te voren al afgeschoten (dat dan wel weer door dit kabinet – waarvoor onverhulde hulde), de OV-chipkaart dan weer niet, de Belastingdienst had een tijdje geleden last van hopeloos vastlopende systemen (nooit meer wat van gehoord, maar dit incident maakt mij toch nieuwsgierig hoe het daarmee staat). De Jager haalde het dossier onder zijn bezielende leiding (ICT-achtergrond), maar trok hij het dossier ook vlot? Enfin, nu blijkt mijn DigID niet alleen van mij te zijn en de sites waar ik gegevens met de overheid uitwissel zo lek als een mandje. Het is te makkelijk om, in navolging van Pierre Heijnen (PvdA) Donner persoonlijk te verwijten ICT niet zo serieus te nemen, het probleem ligt namelijk dieper: het is niet alleen Donner, maar ‘de’ overheid die er IC-technisch een puinhoop van maakt. Steeds weer, steeds vaker en steeds dichter op mijn huid.

Ik kap er dus mee.

Ik wil alleen nog maar persoonlijk risico lopen. Ik wil degene zijn die over mijn eigen gegevens gaat. Bij de overheid, bij het bedrijfsleven. Ik ben klaar met die opgedrongen services die gegevensuitwisseling zouden vereenvoudigen. Vereenvoudigen tegen welke prijs? Ik ga alleen nog maar corresponderen met de snail mail. Dan maar een euro besteden aan Post.nl. Ik wil de beheerder van mijn gegevens zijn en sta niet meer toe dat anderen ermee aan de slag gaan. Ik zeg mijn vertrouwen dus op. Waarschijnlijk komt er praktisch niets van mijn voornemen terecht, maar, meneer Donner en ‘de’ overheid, u weet niet hoe genoeg ik er van heb. Als u het niet kan, laat mij het zelf dan maar verkloten. Laat ik, geheel in lijn met dit kabinet, mijn eigen verantwoordelijkheid maar eens nemen. Stuur ze maar op, de dossiers die over mij gaan. U weet mijn adres en anders belt u even met de ambassadeur van Iran. Dit was mijn laatste elektronische bericht aan de overheid. Vanaf nu: handgeschreven brieven.

  1. 1

    Ja, ik zat al te wachten op een stuk over DigiNotar. Maar ik ben teleurgesteld. Het is een persoonlijke rant tegen alles wat digitaal is.

    Ja, ik voel mee.
    Ja, ik voel me ook belazerd.
    en Ja, het is ernstig.

    Maar ik verwacht een analyse. Want wat hier gebeurt is eigenlijk te zot voor woorden. Met name het doofpot gebeuren er om heen. En nee, ik ga geen samenzweringstheorie roepen maar lees u dit even? Er is meer aan de hand dan alleen foutje, bedankt.

  2. 3

    precies. het stukje is oudemannengemopper. alles waar ik ooit tegen was is fout. end e samenhang is dat ik tegen was.

    afijn: wtf is er gebeurd met diginotar? zaterdagavond om 23:45 stond op teletekst dat Donner om 0:01 een persco zou geven. om 0:00 was dat bericht verdwenen.

    Verder: het verhaal stond ongeveer een week geleden op retecool.

    tenslotte: wie is verantwoordelijk voor deze zooi? Donner, toch?

    -Of hij (minister/ministerie) wist ervan en deed niets. Slecht, om niet te zeggen kwaadaardig.

    -Of hij (weer niet als persoon, maar als rol, dus inclusief zijn team) wisten er niet van. Dat roept dan vragen op over de kwaliteitscontrole, over de mate waarin men de omgang met persoonlijke gegevens van burgers serieus neemt.

    Wat zijn de andere opties? Ik zie ze even niet.

    Overigens, dat ben ik dan weer met OP eens, past dit best in een rijtje met andere incidenten over enerzijds privacybescherming (denk aan bewaarplicht, OVchipkaart, EPD) en anderzijds het volstrekte onvermogen om een beetje fatsoenlijk opdrachtgeverschap te tonen als het gaat om ICT.

  3. 4

    …past dit best in een rijtje met andere incidenten …

    Het is een globaal probleem en heeft niets met de Nederlandse truttigheid cq hufterigheid cq te goed van vertrouwen als opdrachtgever en uitvoerder te maken. Iedereen loopt gewoon met open ogen in de val en als je er iets van zegt voordat er iets gebeurt ben je een zeurkous, een negatieveling. Dan kun je oprotten en ben je niet geschikt voor het systeem.

    Jaja: been there, done that.

  4. 5

    inderdaad oudemannengemopper op de overheid zonder ook maar enige analyse. Het is overigens een bedrijf wat zijn beveiliging niet op orde had. De overheid heeft daar wel erg laat op gereageerd en ik kan me niet aan de indruk onttrekken dat b.v. Donner nauwelijks door heeft hoe fundamenteel belangrijk die certificates zijn als vrijwel alle communicatie met belastingdienst, banken en overheid via het internet verloopt.

  5. 7

    De inhoud van sargasso sluit steeds beter aan op de nieuwe layout! …

    Maar dat gezeur over diginotar klopt niet helemaal. De diginotar-hack raakt afnemers van diginotar-certificaten niet meer of minder dan afnemers van andere CA’s. De diginotar-hacker (die de controle heeft over nog 2 CAs! U bent dus daadwerkelijk niet gegarandeerd veilig) kon certificaten namaken van klanten van ANDERE CAs. Dat de Nederlandse overheid nu van CA swapt is dus niet meer dan symboolpolitiek; van een diginotarhack hebben we nog steeds last. Met certificaten van CAs die met uw browser worden meegeleverd is het in feite zo dat zo ofwel allemaal veilig zijn ofwel allemaal volstrekt niet. De praktijk is nu dat ze niet gegarandeerd veilig zijn.

    Wijzen naar Donner heeft dus niet veel nut. Wilt u niet voor ieder wissewasje naar het gemeentehuis hoeven of een brief hoeven posten, dan is er momenteel maar 1 mechanisme. En dat mechanisme kunt u sinds maart (Comodo hack) niet meer helemaal vertrouwen en sinds juli/augustus (Diginotar hack) nog minder. Ondertussen zijn er naar verluid nog 2 andere CAs gehackt. En daar kan onze overheid op korte termijn bar weinig aan doen.

  6. 9

    Ik heb me altijd al ongerust af lopen vragen: als je een verbinding af kunt luisteren, dan kun je toch ook een SSL verbinding wel afluisteren? De (ont-)sleutel voor de SSL data wordt immers over dezelfde verbinding uitgewisseld en kan dus net zo goed worden afgeluisterd. Net zoals je een brief in een envelop ook altijd nog open kan stomen, trouwens.

  7. 10

    Ach, Van der lubbe wil een virtuele Rijksbrand. Kijk, qwerty…zomaar een bedrijfje ergens op een industrieterrein he dat Diginotar met w.s. slechts 1 grote klant (oké, Tennet) onder een raamcontract. Ik zeg nu maar wat: heeft slechts 1 keer flink de best moeten doen om de order binnen te slepen, heeft dan vervolgens voor xx jaren een gegarandeerde omzet. Daar heb je meteen je probleem bij/ na aanbestedingen bij de (Nederlandse) overheid. Sluipt geleidelijk gemakzucht in: medewerkers Diginotar gebruiken geen sterke wachtwoorden, software wordt niet geupdated, geen virusscanners op kritieke servers. Je struikelde er op vrijdagmiddag vast over de lege whiskyflessen en ex modelletjes. Gecombineerd met slechte/ geen controle/ toezicht omdat ambtenaartjes op uitvoerend niveau letterlijk geen strobreed afwijken van het raamcontract. Inkoop = bestellen: klaar. a- flexibele dodo’s…zélf die beveiligingscertifaten beheren moet je ook niet aan denken

    En wij ondertussen als circusapen maar door de brandende hoepels springen

  8. 11

    @06: de sleutel om te decrypten wordt niet verstuurd over de lijn, alleen de sleutel om te encrypten. De andere partij maakt dus gebruik van de sleutel die jij hem aanreikt; de bijbehorende sleutel om te decrypten bewaar je zelf.

  9. 12

    Als je een verbinding af kunt luisteren en je kunt er tussen in gaan zitten als man in the middle en je hebt een vals certificaat dan is ook SSL niet meer veilig. “Man in the middle attacks allow the traffic through to the real host by proxying the ssl negotiation in the middle. The bad guys have the phoney cert, someone builds an SSL connection to you that is false. The bad guy then build a real connection (using the real cert) to google.com. In the middle, the traffic is now not encrypted and you can eavesdrop on the persons communications without them knowing that it is occuring because, your computer ‘trusts’ the phony certificate.” Dus – vergeet het maar. Ook SSL kan makkelijk gekraakt worden. Op https://blog.torproject.org/blog/diginotar-damage-disclosure meer.

  10. 13

    Als ik me niet vergis heeft Iran helemaal niet de gegevens van Nederlandse DigiD gebruikers afgetapt, tenzij die Nederlanders zich op het moment van inloggen in Iran bevonden. Men moet namelijk of via een malafide provider gebruik hebben gemaakt van de legitieme DigiD website (provider stript SSL uit verbinding met sslstrip bijv.), of met een malafide kopie van de DigiD website verbonden zijn geweest. In beide gevallen krijgt de onwetende gebruiker een vals gevoel van veiligheid door de legitiem ogende beveiligde verbinding. Maar beide gevallen lijken me in Nederland niet aan de orde, mits je je DNS-server niet ingesteld hebt op een Iraanse.

    Mocht er iemand zijn die wel weet hoe de Iraanse overheid bij Nederlandse gebruikers gegevens kan aftappen, zonder malafide provider of server en zonder dat het verkeer door Iran wordt gestuurd), dan hoor ik het graag. BitsofFreedom en ioerror op Twitter zijn erg informatief over deze zaak. Bekijk ook zeker de alternatieve, decentrale beveiligingsoplossingen, bijv. Perspectives.

  11. 14

    De zaak is ernstig genoeg, dus ik begrijp de verontwaardiging van de schrijver. Alleen voldoet zijn stukje op geen enkele manier aan het motto van Sargasso: het verlegt wel, maar het verlegt de aandacht naar allerlei zaken die er niets mee te maken hebben. En verlichten doet het -mede daarom- allerminst.

    Gemiste kans, doe het nog maar eens over.

  12. 15

    Diginotar,was/is ook betrokken,bij het EPD;wat nu als “private” onderneming, tussen zorgverzekeraars,apothekers,en artsen gewoon doorgaat.Niet dat het wat uitmaakt;toetsing door overheden over ruggen van patienten heen,of zonder.

    Het doordrukken van zaken door ministeries,en politici totaal gespeend van enige kennis op ICT gebied. Als je Donner vanmorgen hoorde stuntellen,alsof, je een vis hoort praten, die vanuit zijn ronde kom,uitlegt,Hoe de beren op het land in hen levensonderhoud voorzien.

    Hetzelfde zagen we, bij Justitie; en hoe twitter zieke .OM officier van justitie,in Jip en janneke taal;-ons achterlijk volk- uitlegt ,wat volgens haar, een PDF file format is.
    Welke net als voorheen filmrolletjes; zomaar in het niets zouden kunnen verdwijnen/niet geopend zouden kunnen worden.
    hetzelfde zien we non stop op allen ict gebieden.(OV, EPD,etc)

    En met name , de VERANTWOORDELIJKEN,die namens de overheden, handellen,en ict zaken uitbesteden aan bedrijven,zouden beter moeten weten.Juist omdat ,je niet van huisartsen ,agenten rechters,conducteuren etc kan verwachten zij zich ,specialiseren op ict gebied.Ze moeten daar wel mee kunnen werkemn op hen vakgebied.

    Toezicht ontbreekt wel vaker op elk vlak;en geen mens weet nog waar men mee bezig is; plus wie verantwoordelijk is.
    Het SUMUM is dat, justitie nu onderzoek laat doen door FOX,welke bewezen; internationaal, handelt,met onze ict gegevens.
    het is werkelijk een puinzooi!

    Waarschuwingen GENOEG gehad; en diezelfde mensen; en ministers; zonder enig know how; Ons volk blijven toespreken van de noodzaak en veiligheid; in al dat soort bagger systemen; zoals EPD OV,etc..Ons opgedrongen wordt,zonder enig alternatief.
    En zonder zelfs de minimale veiligheid, is gegarandeerd of maar enige toetsing en toezicht van mensen die daar verstand van hebben.

    Overheden nu ook,massaal, allen gegevens extern willen opslaan in I- clouds…en cetera.
    Als we dan toch onze kennis economie willen opkrikken; Begin dan eens op ICT gebied; voor kinderporno producenten netwerken,efficiente ontmanteling; onze uiterst vertrouwelijke gegevens wij gedwongen worden; tot enig mogelijke communicatie met overheden,instellingen,en bedrijven. En cetera.

    We sjokken achter de feiten aan en de gevolgen zijn gigantisch; kop in het zand stoppen,en praten als kip zonder kop, lost niets op in deze.
    Gelijkertijd; al onze mail en teleccom verkeer zinloos eindeloos opgeslagen.
    En maar net wat de ” gek” in binnen en buitenland er mee wil doen.

    Vroeger, gaf Verdonk de assiel procedure dossiers, tenminste nog op papier aan de geheime diensten en folteraars, van hen naar Nederland gevluchte slachtoffers.
    En waren die rampzalige gevolgen duidelijk.

    Meen dat dit ” accafietje” nu voldoende is; GEEN 1 asielzoeker, meer naar iran terug te sturen!
    We maken ons weer eens volkomen belachelijk. Niet om wat er is gebeurt;maar om hoe onze ministeriele, podium clowns,daar weer eens (niet) mee om gaan.

    Tijd voor ONAFHANKELIJK deskundig(!!) zuiver toezicht. Mogelijk een eerzame taak hier voor Gongrijpen?

  13. 18

    Ik vraag me echt af waarom het vermeende afschaffen van defensie (Dat volgens SIPRI in 2010 nog een budget had dat groter was dan dat van de Arabische lente landen Syrië, Egypte, Libië en Tunesië bij elkaar) nou zo nodig genoemd moet worden in de woordenbrij. Dat nog even los van het feit dat de Sargasso-redactie ideologisch uiteraard een fles champagne in de kelder zou moet hebben liggen om te openen voor het geval Nederland daadwerkelijk defensie ooit afschaft.

  14. 19

    @11, ja hoorde ik net ook; en guess what?
    geloof er geen zak van!

    Al is sebrenicia; het zoveelste Hollandse (doodgezwegen onverantwoorde)taboe.
    Niet wat betreft; ” the missie impossibell” Onze 18 jarige pubers, mee van huis gestuurd werden. Noch het uitblijven van beloofde luchtsteun, en vooringenomenheid t.o.v de moslims, ” onze” bescherming genoten; En welke ” achterlijke moslim leer”
    onze soldaten;tesamen met een saldo van 100 gulden per dag,mee op missie werden gestuurd.

    ( heb ze jaren opgevangen de veteranen;vanaf libanon, sebrenicia, tot en met afghanistan)

    Maar puur de omgang met hen eigen 3 medewerkers van Dutchbath; die letterlijk en onverantwoord de marteldood ingestuurd zijn. Waar een simpel risicoloos,VERANTWOORDT vn/dutchbad, pasje had volstaan!( vast vonden betrokkenen dat niet de moeite waard; voor andermans familie?)
    12 jaar procederen… gaat geen mens in zijn koude kleren zitten; en de uitspraak gelijk viel met het eindelijk vinden van hen lijken (de dutbath werknemer electricien)

    Wat hier geen zak mee van doen heeft; GEHEEL los van staat.
    Al vanaf 2009 zijn internationaal;met name onze gesettelde ,top icters; expats in india. gericht bezig, een veilige communicatie infrastructuur voor het volk in Iran te realiseren.net als eerder noodzaak was; in,b.v, egypte.

    Dat dit de iranese , geheime diensten niet welgevallig is; en ze al langer VOL inzetten;Op dat gebied achterlijk Holland geen kaas van gegeten heeft; ons wel met allerhande ict toepassingen; en koppelingen opzadelt.

    Maakt ook de JSF inkopen verspilling van geld; WE, en OOK Iran weet allang; de oorlogen , in het primitiefste geval; Middels stuurknuppeltjes, achter computers, en drones; ict etc;uitgevoert worden.
    En helaas iran; daarin niet achter loopt;maar ver voor; zelfs,VOOR, de; off the road hackers…A heel of a job; hen mensenrechten activisten,bloggers en communicatie; veilig te maken,en holland maakt dat niet bepaald beter.

    Maar ach ja; OOk Al Qaida;heeft er een handje van, opportunistisch gericht, bepaalde misdaden op te eisen; Het politieke monopolieriskstratego spel.
    net als , b.v anyonymus veelvuldig misbruikt wordt…zowel door, randfiguren,met eigen agenda, als politici,en overheden.
    Zelf onderzoek doen ,en zaken,feiten uitzoeken; is het enige nog;wij mensheid;
    Tot ontwikkeling kunnen komen; i.p.v vicieus, te blijven hangen, in een groef, van black vinyl langspeelplaat.

    En, deze, verantwoording opeising; zoals @11 hier noemt.
    `We niet eens weten;wie dat met welk doel, dusdanig poneert….
    ZOU ZELFS (!!!!!) nze eigen overheid kunnen zijn; gezien welke belangen dat dient????
    Mag joost weten!

    En ik zie gaarne, een uitleg; hoe deze Infiltratie- actie, maar iets zou bijdragen/van doen,zou hebben;met sebrenicia kwestie….
    Kan een idioot zijn;die dit claimt; als ook een gerichte,strategie..
    Deze, volstrekte misplaatste onzin.

    Al zullen vast tal van mensen en bewegingen, zo hen eigen belangen hebben; te CLAIMEN;wat er te claimen valt; pik in; het is…een hete herfst.
    Momenteel ,registreren we het heden; wat, over decennia geschiedenis is;
    OFwel die maken /schrijven we nu zelf.

    En als ik ergens een bloedhekel aan heb; is het wel geschiedvervalsing…
    Micro en macro.

  15. 22

    @about:

    om veilig en anoniem met iemand (laten we hem jantje noemen) te praten via bv internet zijn er minstens 2 dingen nodig:
    1) je weet zeker dat je echt met Jantje praat
    2) zowel jouw, en zijn berichten zijn op dusdanige manier versleutelt dat alleen de bedoelde ontvanger het bericht kan ontcijferen
    3) niemand kan zich uitgeven voor Jantje behalve Jantje himself.
    4) Jantje kan achteraf niet ontkennen dat hij het bewuste bericht gestuurd heeft.

    3 en 4 hebben te maken met de verdediging ‘it wasn’t me’.

    Het ondergraven van Diginotar zet premisse 1) onder druk, en daardoor is opeens een een man-in-the-middle attack mogelijk (daarvoor kan die MITM niet).

    Het hele SSL protocol heeft juist als doel dat het afluisteren van de communicatie door de ‘bad guy’ niet helpt. Om veilig via SSL te communiceren (stel: ik koop een waardeloos shit-iets via internet) dan moet er aan 3 dingen voldaan worden (en het zijn niet de ‘drie dingen die moeten kloppen’ volgens de volkomen foute reclame van de banken):
    1) mijn computer moet volledig veilig zijn (dus geen virussen, keyloggers, etc en moet dus zeker geen vaag internet cafe aan de andere kant van de wereld zijn waar ik toevallig naar binnen loop).
    2) de server waarmee je praat moet ook niet gehacked zijn. Duh.
    3) het moet 100% zeker zijn dat je echt met de juiste server praat (stel: http://www.ing.nl)

    Zo’n certificaat van diginotar zou nummero 3 moeten garanderen, in theorie. Bovendien moet jij weten dat bijvoorbeeld http://www.ing.nl z’n certifikaat van (ik noem weer maar wat) verisign heeft, en niet van diginotar. Dus eigenlijk moet je 100% zeker weten dat jouw eigen computer niet gehacked is (in any way), de server waarmee je praat niet gehacked is (in any way), het certifikaat waarmee de server zich identificeert is uitgegeven door de uitgever waarmee de de uitgever normaal gesproken zaken doet, en (het probleem in dit geval) dat die uitgever zelf niet is gehacked.

    Kortom: met SSL is 100% veilige communicatie mogelijk, maar niet door de onkundige burger die alleen kijkt naar een slotje.

  16. 24

    Maar hoe weet ik nu zeker dat bij mijn ISP of bij de bank, het torrentprogramma of de VPN in Costa Rica waar ik mee communiceer alles kits is? Het personeel daar, dat zijn toch ook maar mensen? Als een bedrijf als DigiNotar zijn interne processen niet op orde heeft, dan heeft waarschijnlijk ook Wanadoo of Orange of KPN of Vodafone niet alles wel op orde. Dus zelfs als SSL zogenaamd veilig is, dan zijn er toch nog steeds teveel “men in the middle” en mensen in het eindserverbedrijf die kwaadwillig zouden kunnen zijn of fouten zouden kunnen maken. Ik ben hier niet zo optistisch over als jij, Key. Ken je dat Venn-diagram, waarin van “internet” en “privacy” de doorsnede leeg is?

  17. 26

    In het artikel over afluisteren van GSMs gaat het wel over gammele encryptie, maar niet over SSL.

    Die router hack werkt alleen in specifieke situaties, die helaas wel veel voorkomen. Volgens het artikel moet je echter eerst verbinding hebben met de router, om vervolgens in de configuratie van het apparaat te kunnen komen.

    Als jouw router WPA2 beveiligd is met een sterk wachtwoord dan hoef je je dus nog niet direct druk te maken dat de buurman er zomaar op kan inbreken. Dat was bijv. met WEP wel het geval.

  18. 28

    Daar kan ik geen antwoord op geven, ik weet niet wat je zoal op je geweten hebt ;-P

    Het lijkt me dat we dat gedoe met die GSM-kraak wel goed in de gaten moeten houden. Dus het nieuws daarover blijven volgen. Zodra die meneer Nohl zijn methode vrijgeeft zullen de telco’s die het betreft wel maatregelen moeten nemen.

    Wat je router betreft: als je wildvreemden internettoegang geeft via je eigen router dan heb je misschien een probleem. Anders vooralsnog niet.