Voorpagina

Zoekresultaten voor

'privacy'

Foto: Tom Davidson (cc)
Foto: Sargasso achtergrond wereldbol

OV-chip, the nuclear option

, door

Na mijn laatste column over de OV-chipkaart dacht ik dat er niets meer te zeggen zou zijn. Vele experts hadden het ding al naar de prullenbak verwezen en het was dus meer een kwestie van rustig afwachten tot het project zou afsterven (nadat er nog een paar miljoen gemeenschapsgeld over de balk gesmeten zou zijn – maar zo gaan die dingen nu eenmaal).

Zoals bij wel meer beleidsonderwerpen in Nederland hebben feiten en beleid echter steeds minder met elkaar te maken en gaat Staatssecretaris Huizinga voel goede moed verder met het uitrollen van een systeem waarvan iedere onafhankelijke expert al een jaar weet dat het onherstelbaar stuk is.

Als men de berichtgeving over dit dossier terug leest  is het vrij helder dat de technische experts het vanaf dag 1 (of je die dag nu in 2005 of in 2007 legt) correcte voorspellingen deden en dat NXP woordvoerders, Translink en de Staatssecretaris (gesteund door TNO) er keer op keer naast zaten. Keer op keer tonen experts aan hoe erg de problemen zijn en keer op keer doen de Staatssecretaris en Translink dan een klein stapje terug op hun vorige uitspraak door vervolgens meteen te roepen dat het niet echt erg is en het uiteindelijk allemaal goed zal komen. Technische feiten en aantoonbare expertise zijn geen factor van betekenis in de beslissingsprocessen die worden gehanteerd. Bewust de objectieve bevindingen aanpassen aan de gewenste beleidsmatige opinies of het onderdrukken van de vrijheid van wetenschappelijk onderzoek zijn methoden waar men niet voor terugdeinst om de voortdenderende trein op de rails te houden.

Foto: Sargasso achtergrond wereldbol

OV-chipkaart: gekraakt maar niet verloren

, door

De woensdagmiddag is op GeenCommentaar Wondere Woensdagmiddag. Met extra aandacht voor de nieuwste ontwikkelingen in Wetenschap- en Techniekland.

OV-poortjes (Foto: Flickr/P.L. Vaarkamp Photography)

NXP, de fabrikant van de Mifare Classic chip die het kloppende hart vormt van de OV-chipkaart, probeerde het nog via de rechter tegen te houden, maar die gaf het bedrijf ongelijk. Dus mochten de Nijmeegse onderzoekers in detail uit de doeken doen hoe hun kraak van de chip tot stand kwam ? en hoe die allicht te verhelpen is, want zo fideel zijn de academische hackers dan ook wel weer.

Waar twee Duitse hackers eerder dit jaar de hardware van de Mifare-chip ontmantelden om haar werking deels te analyseren, kozen de onderzoekers van de Radboud Universiteit een andere benadering: zij luisterden de communicatie af tussen de chip en een poortje met uitleesapparatuur en probeerden op basis daarvan de werking te achterhalen. Dat bleek verbazingwekkend goed te lukken (.pdf), blijkt uit het artikel (.pdf) dat zij onlangs op een conferentie presenteerden.

Eerst wierpen zij zich op het authenticatieprotocol, waarmee chip en lezer met elkaar kennis maken en besluiten hoe zij verder versleuteld zullen communiceren. Een zwakte in de authenticatie gaf hen een voet tussen de deur van het versleutelingsalgoritme, dat zij vervolgens minutieus uit elkaar peuterden. Met die kennis zijn daarna twee soorten aanvallen op een willekeurige Mifare-chip mogelijk, waarvan de snelste binnen een seconde de geheime sleutel oplevert. Wie die eenmaal in handen heeft, kan de chip uitlezen en manipuleren (.pdf). Daarmee is het mogelijk de chip te klonen of de gebruiksteller van een chip na gebruik weer terug te zetten.

Foto: Sargasso achtergrond wereldbol

NOC*NSF bouwt database met ontuchtplegers

, door

Zit je even niet op te letten, maakt iemand weer een nieuwe database met allerlei privacy-gevoelige gegevens. Gelukkig werd ik hierop geattendeerd.
Het betreft hier een database waarin ontuchtplegers (trainers, scheidsrechters, etc…) met een straf- of tuchtrechtelijke veroordeling voor een bepaalde periode komen te staan. Alle aangesloten bonden worden verplicht de meldingen aan te leveren. En ik neem aan dat de bedoeling is dat bonden bij het aanstellen van nieuwe mensen in verenigingen checken of er niet een openstaande veroordeling is.
Nu is het tegengaan van ontucht een nobel streven. En het is ook belangrijk dat bonden en de koepel samen kijken wat er gedaan kan worden om dit zoveel mogelijk te voorkomen. Maar deze database lijkt mij een heel verkeerde keuze.

Een van de redenen om er niet gelukkig mee te zijn is uiteraard de privacy. Zoals de vragen in dit artikel al aangeven, is er nog veel onduidelijk. Toekomstig misbruik of “foutjes” zijn te voorzien.
Maar een heel andere reden is dat het onwaarschijnlijk is dat het gaat werken.

Er wordt gesproken over honderd gevallen per jaar. Van die gevallen zijn er maar een paar die tot een veroordeling leiden. Daarnaast is het aannemelijk dat van de veroordeelden slechts een deel opnieuw in de fout gaat (dat zijn dan wel gelijk de echte probleemgevallen natuurlijk). Laten we gokken op dertig registraties per jaar.
Er zijn ongeveer een miljoen vrijwilligers actief in de sport. Al die vrijwilligers moeten iedere keer als ze ergens aan de slag gaan getoetst worden. Een administratieve rompslomp is het gevolg. Veel verenigingen zullen dit mogelijk niet doen.
Dat wetende is het maar de vraag of er ook maar een heel klein beetje preventieve werking vanuit zal gaan en of het dus langs die weg mogelijk is om nieuwe gevallen te voorkomen. Veel gedoe, weinig lol.

Foto: Sargasso achtergrond wereldbol

OV-chip drama dendert voort

, door

GeenCommentaar heeft ruimte voor gastloggers, ditmaal een stuk ons per mail toegezonden door Erik van Luxzenburg.

De automatische scanners in het OV (Foto: Flickr/Mark Wubben)

Op Emerce staat een artikel over NXP, de nationale chipproducent uit Nijmegen die Nederland in de vaart der volkeren zou stuwen met een state of the art chip voor onze openbaar vervoersbedrijven. De oude strippen- en treinkaartjes zouden verdwijnen en de OV-reiziger zou voorzien worden van een pasje, formaat kredietkaart, waarin de zogenaamde Mifare Classic chip in verwerkt is. Deze chip geeft de mogelijkheid om op afstand langs een tolpoortje te lopen en automatisch af te rekenen voor je reis. Om dit project voortvarend aan te pakken werd er een apart bedrijf opgericht: Trans Link Systems (TLS), waarin de verschillende grote OV aanbieders een aandeel namen. Het hele project werd gesteund door de overheid, maar verder zou de overheid zich er niet mee bemoeien, hooguit de rekening betalen. Hier wil ik niet ingaan op de technische kant van de beveiliginglek, maar op de rare bokkensprongen van de betrokken partijen en de risico’s voor ons gedwongen gebruikers.

Kraak
Alles leek koek en ei met het OV-chip project tot begin dit jaar enkele onderzoekers uit Duitsland aantoonden dat de Mifare chip te kraken was. In april werd deze kraak gevolgd door een studie van de Radboud Universiteit Nijmegen. Deze studie stak een spaak tussen de wielen van het hoge snelheidsproject “OV-chipkaart” genaamd. Er werd ontdekt dat de de chip met huis-tuin-en-keuken middelen te kraken was zonder dat de pas in handen van de kraker hoefde te zijn.

Foto: Sargasso achtergrond wereldbol

OV-chipkaart definitief gebroken

, door

De OV-chipkaart is de beoogde elektronische vervanger van de strippenkaart. Heel het openbaar vervoer in Nederland zou er binnenkort mee moeten gaan werken. Maar of dit nog gaat gebeuren is maar zeer de vraag.
Er was altijd al veel weerstand tegen de OV-chipkaart vanwege het feit dat het reisgedrag van ieder individu zo makkelijk te volgen was. Maar begin dit jaar kwam de OV-chipkaart pas echt in zwaar weer terecht toen bleek dat de beveiliging te breken was.
Dat was echter niet voldoende reden om het hele circus maar af te blazen. Het was immers alleen mogelijk voor echte hackers met de nodige apparatuur om dit voor elkaar te krijgen, en dan alleen nog maar tijdelijk. Hoewel menig expert aangaf dat dit gat in de beveiliging slechts het begin was, vond men het toch een te nemen risico.
En zo konden we vrijdag nog lezen dat de OV-chipkaart nu ook in Amsterdam breed ingevoerd gaat worden.

Maar misschien dat na vandaag de farce eindelijk stopt.
Brenno de Winter, de journalist die al heel lang op deze zaak zit, meldt vandaag op Webwereld dat de broncode voor het klonen van de chip op straat ligt.
En met die broncode (Crapto1), een bepaald type Nokia mobiele telefoon en wat goede wil, heb je zo een “scanner” om andere chips uit te lezen en de gegevens te gebruiken. Het is alleen nog wachten op iemand die een “hack de OV-chipkaart voor dummies” programma maakt en verspreidt en iedereen kan aan de slag. Als dit niet voldoende reden is om de OV-chipkaart zoals die nu is te stoppen, dan vermoed ik een complot van de autolobby.
Beter ten halve gekeerd dan ten hele verdwaald gaat het gezegde. Nu stoppen, uithuilen en goed nadenken over een oplossing die de privacy niet aantast en wel echt veilig is.

Foto: Sargasso achtergrond wereldbol

KSTn | WBP aangepast door passagiersgegevens voor VS

, door

Logo kamerstukken van de dagBest wel wrang dat nog geen dag na mijn pleidooi voor meer aandacht voor de steeds verder gaande inbreuken op de privacy er een wet in de stroom kamerstukken zit die de volgende inbreuk met zich mee brengt.

Eerst even terug in de tijd. In de zomer van 2007 werd bekend dat de VS hebben afgedwongen dat van alle passagiers die naar de VS vliegen eerst de nodige gegevens moeten worden verzonden. Na wat gesteggel gingen de Europese landen overstag en kwam er de zogeheten PNR overeenkomst.
Maar die overeenkomst is in strijd met onze Wet Bescherming Persoonsgegevens (WBP). De voor de hand liggende conclusie is dan…… afwijzen?
Nee dus, je past de wet aan.

En zo ligt er het wetsvoorstel om dit te bewerkstelligen. Dit is het artikel dat toegevoegd wordt:
Artikel 23a Onverminderd de artikelen 17 tot en met 23 en 76 tot en met 78 is het verbod om persoonsgegevens als bedoeld in artikel 16 te verwerken niet van toepassing voor zover deze verwerking: a. uitsluitend de doorgifte van deze gegevens naar de autoriteiten van een land buiten de Europese Unie betreft ten behoeve van een zwaarwegend algemeen belang;

Goed lezen. In plaats van alleen een uitzondering toe te voegen voor alleen de PNR overeenkomst, wordt er een algemene bepaling toegevoegd. En die geeft toestemming in gevallen van “zwaarwegend algemeen belang”. Dit is niet nader gespecificeerd, wat op zich al gevaarlijk is. Het zet namelijk de deur wagenwijd open voor nog veel meer van dit soort overeenkomsten.
Maar je zou nog kunnen redeneren dat iets als “veiligheid” een zwaarwegend algemeen belang is. Tot je de Memorie van Toelichting leest:

Foto: Sargasso achtergrond wereldbol

Volksopstand 2008

, door

GeenCommentaar heeft ruimte voor gastloggers. Dit kunnen stukjes zijn die we – uiteraard met toestemming – overnemen van andere weblogs, of via onze mail binnenkomen. Hieronder een stuk van Koen Martens, dat eerder op zijn weblog verscheen.

Echt waar! (Foto: Flickr/alternativemeans)

Afgelopen zaterdag stond ik samen met wat GroenLinks-collega’s een kraam te bemensen op ’t Plein, alwaar de volksopstand 2008 was georganiseerd. Een demonstratie, dachten wij, tegen de inperking van de privacy en het afbreken van de burgerrechten. Een korte opsomming: wet bewaring verkeersgegevens telefonie en internet, ongebreideld afluisteren van telefoongesprekken door de amerikaanse overheid, ov-chipkaart, identificatieplicht, nationale vingerafdrukken en dna database en ga zo maar door.

Allemaal onderwerpen waarvan te weinig mensen doorhebben dat ze een serieuze bedreiging vormen voor onze democratische rechtsstaat: de drie-eenheid van wetgevende, uitvoerende en rechterlijke macht (trias politica) wordt kortgesloten doordat opsporing en vervolgen volledig voorbij gaan aan rechterlijke toetsing.

Daar kun je allemaal erg rationeel over nadenken, en D66 europarlementarier Sophie in ’t Veld doet dat ook. Haar toespraak was dan ook prima te verteren. Ook de opsomming van problematische wetgeving door Stephan Ockhuizen was prima in orde, en de toespraak tegen de identificatieplicht goed te volgen.

Zweven
Dat we intussen in onze stand werden aangesproken door mensen die zich ernstige zorgen maken over ‘chemtrails‘ en nulpuntsenergie, verbaasde ons nog niet eens. Je hebt dat wel vaker bij het actievoeren.

Foto: Sargasso achtergrond wereldbol

Tweespalt – Waardevrije digitalisering

, door
NRC, 29-9-2008 ICT Zorg, 29-9-2008 Waarom willen de GGD’s zo veel gegevens over kinderen opslaan?
 
Kavelaars: „We slaan alle gegevens over de ontwikkeling van kinderen al jaren op, maar dan in papieren dossiers. Dit is alleen een digitaliseringsslag. Als een kind verhuist, houden we dat kind in beeld in plaats van dat het papieren dossier zoekraakt of niet wordt opgestuurd. Monasso heeft onderzoek gedaan naar de beleidsoverwegingen rondom informatiesystemen die het herkennen van jongeren met psychosociale problemen ondersteunen.

In zijn rapport wijst Monasso erop dat technologie niet waardeneutraal is maar kan leiden tot positieve of negatieve discriminatie van groepen mensen.

 
Een van de grote problemen in het privacy-debat is dat veel instanties niet begrijpen dat er een wezenlijk verschil zit tussen gegevens in papieren dossiers, vaak ook nog eens decentraal, en gegevens in digitale opslag. Papieren dossiers ontmoedigen bepaald gebruik. Digitale dossiers nodigen juist uit tot nieuwe analyses en koppelingen. En mede daarin schuilt het gevaar, zeker als het gaat over zeer persoonlijke gegevens zoals die behoren tot de 1200 gegevens in het EKD.

Foto: Sargasso achtergrond wereldbol

Brief GeenCommentaar aan het CBP

, door

Aan: College Bescherming Persoonsgegevens
Betreft: openbare ip-banlijsten

Amsterdam, 25 september 2008

Geachte heer/mevrouw,

Websites slaan routinematig ip-adressen op van hun bezoekers, niet zelden in combinatie met hun bezoekgedrag. Het voornaamste doel daarvan is vaak het op maat toedienen van advertenties. Slechts in uitzonderlijke gevallen wordt hiervoor expliciet om toestemming gevraagd, in weerwil van het bepaalde in artikel 8 sub b van de Wet Bescherming Persoonsgegevens. Reden hiervoor is dat een ip-adres, zoals ook door uw college vastgesteld niet automatisch geldt als een persoonsgegeven. Door het tekort aan ip-adressen maken in de praktijk meerdere individuen gebruik van hetzelfde adres, zodat doorgaans additionele informatie, zoals het exacte tijdstip van een website-bezoek, nodig is om het adres tot een individu herleidbaar te maken.

Weblogs en andere sites die aan bezoekers de mogelijkheid bieden een reactie achter te laten, leggen vaak een zogeheten banlijst aan. Dit is een lijst van ip-adressen die gebruikt zijn om een reactie achter te laten die door het betreffende weblog als onwelvoeglijk is aangemerkt. Gebruikers met deze ip-adressen kunnen de site dan nog wel bezoeken, maar geen reactie achterlaten. Bezoekers zullen vaak tegen hun zin met hun ip-adres in dit specifieke bestand belanden (en andere gebruikers van hetzelfde ip-adres met hen).
Een vriendelijk verzoek volstaat doorgaans om van de banlijst afgevoerd te worden. Overigens hebben weblogs geen belang bij het aanleggen van zo groot mogelijke banlijsten, want iedere actieve bezoeker minder scheelt advertentie-inkomsten. De banlijst is een noodmaatregel om verpesting van het door de beheerder gewenste discussieklimaat te borgen. Het bijhouden van een ip-banlijst wordt gezien als een gerechtvaardigd belang, zoals bepaald in de WBP artikel 8 sub f.
Het betreffende artikel spreekt niet alleen over het belang van de verantwoordelijke, maar ook van een derde aan wie de gegevens worden verstrekt. Het verstrekken van ip-adressen aan derden gebeurt bijvoorbeeld op grote schaal ter bestrijding van spam: het belang van een ‘schone’ mailbox weegt zwaarder dan de privacy van spammers. Sommige spammers doen een beroep op de vrijheid van meningsuiting om hun activiteiten te rechtvaardigen. Deze redenering wordt juridisch niet houdbaar geacht.

Foto: Sargasso achtergrond wereldbol

Stijlloze tegenactie of computercriminaliteit?

, door

GeenCommentaar heeft ruimte voor gastloggers. Dit keer is dat Arnoud Engelfriet, ICT-jurist. Op verzoek van GC schreef hij deze juridische analyse, die eerder vandaag ook op zijn eigen blog verscheen.

GSLogo, iets aangepast door GC

De ludiek bedoelde actie van Geencommentaar kon Geenstijl toch iets meer boeien dan het shockblog in eerste instantie deed voorkomen. GC had een petitie online gezet, waar GS een bindend stemadvies voor had uitgebracht. GC kreeg zoveel onzininschrijvingen dat zij besloot een database te bouwen met meer dan 2000 IP-adressen van stijlloze reaguurders die de petitie hadden vervuild. Vervolgens publiceerde GC een tooltje waar je op basis van IP-adres kon controleren of je met een ?roze randdebiel? cq. ?huftert? te maken had.

GS kwam daarop met een ?oldskool weblog incrowdcookie van eigen deeg?. Een slim stukje Javascript in de pagina?s van GS zocht automatisch het IP-adres op van elke bezoeker van GS in die database. Nu krijgt GS iets meer bezoekers dan GC, zodat de database dit niet aankon en volledig plat ging.

Is deze stijlloze actie nu computercriminaliteit? Het lijkt sterk op een distributed denial of service-aanval, of voor de juristen onder ons een gedistribueerde verstikkingsaanval. Bij zo?n aanval worden honderden of duizenden computers tegelijk ingezet om gezamenlijk het slachtoffer te overbelasten. Meestal doordat al die computers elk zo veel mogelijk onzingegevens opsturen, maar een groot aantal op zich legitieme verzoeken kan ook tot zo?n overbelasting leiden.

Foto: Sargasso achtergrond wereldbol

Inleveren dat DNA!

, door

DNAGisteren ontsnapte een zeer cynisch lachje aan mijn mond. Een mond die binnenkort stevig misbruikt wordt zonder dat ik daar iets aan mag doen, maar daarover later meer.
Het cynische lachje kwam op na het lezen van deze zin in een stukje over privacy in het NRC Handelsblad: “Politici blijven hun aandacht richten op privacyschendingen door de overheid.
Kennelijk leef ik in een ander universum dan de schrijvers van het stuk. De laatste jaren heb ik niets anders kunnen constateren dan dat het juist de politici zijn die zorgen voor steeds verder gaande privacyschendingen door de overheid.
En dat werd deze week maar weer eens bevestigd. In een commissievergadering van de Tweede Kamer afgelopen dinsdag riepen het CDA en de VVD op om toch vooral van alle buurtbewoners het DNA af te nemen als er in de buurt een ernstig misdrijf heeft plaatsgevonden. Met de voorspelbare steun van de kleine christelijke partijen, PVV en groep Verdonk, heb je zo een nieuwe wet.

Na reeds veroordeelde criminelen, inclusief de jongeren, moeten dus nu ook gewone burgers DNA afstaan. Definieer het begrip buurt een beetje ruim en je hebt binnen tien jaar van alle Nederlanders het DNA in een databank. En waarom? Omdat de politici denken dat het zou kunnen helpen bij het oplossen van misdrijven. Nee, geen harde feiten hierover, dat is een flauwe vraag. Gewoon starten en dan zien we later wel wat we er nog meer mee kunnen doen.

Vorige Volgende