Misdadige nalatigheid

Karin Spaink maakt zich boos over het nalatige gedrag van DigiNotar. Voor de Nederlander is het vervelend, maar voor Iraniërs ronduit gevaarlijk. Deze column verscheen ook in Het Parool. Door toedoen van een Nederlands bedrijf lopen 300.000 Iraniërs nu gevaar: hun e-mails, hun surfgedrag, hun skypegesprekken, hun contacten zijn een maandlang afgeluisterd, waarschijnlijk door Iran zelf. Deze mensen dachten versleuteld met Skype, Google, Twitter of andere websites te communiceren, maar gaven ongemerkt al hun informatie door aan valse sites die zich tussen hen en hun werkelijke bestemming hadden gemanoeuvreerd. Een klassieke man-in-the-middleaanval. De afluisteraars vermomden zich via certificaten als the real thing. Zulke certificaten worden door erkende autoriteiten opgesteld en dienen als bewijs van echtheid. Maar het Nederlandse DigiNotar deelde sinds begin juli honderden valse certificaten uit, aangemaakt door –vermoedelijk Iraanse – hackers. DigiNotar bemerkte de hack pas weken later, trok een serie valse certificaten in, maar waarschuwde niemand. Meer valse certificaten werden gevonden en weer ingetrokken. Terwijl DigiNotar de zaak stilhield, gingen de hacks gewoon door. Op 4 augustus lukte het om een vals certificaat op grote schaal in Iran te verspreiden. In de weken erna vroegen 300.000 Iraanse computers bij DigiNotar na of dat wel een écht Google-certificaat was. ‘Ja hoor,’ antwoorden de computers van DigiNotar 300.000 keer. Waardoor die computers stuk voor stuk werden gecompromitteerd en wekenlang konden worden afgeluisterd. DigiNotar viel door de mand, is nu extern doorgelicht en blijkt een onthutsende klungelaar. Simpele wachtwoorden, geen virusscanner, geen goede logs, geen updates, amper controles: een grabbelton van beginnersfouten. Meest pijnlijk is dat DigiNotar niemand op de hoogte stelde van de hack en zelf bleef doorklungelen, met mogelijk zeer ernstige gevolgen voor de mensen achter die 300.000 Iraanse computers. Mensen die juist extra hun best deden om zichzelf te beschermen, door alleen versleutelde sites te gebruiken. Het is misdadige nalatigheid. Ook Nederland is beschadigd. DigiNotar verzorgde veel certificaten voor de overheid: websites van ministeries, de Belastingdienst, 3500 gemeentelokketten. Duizenden certificaten moeten worden vervangen, wat vooral bij de gemeentes veel gedoe oplevert. En computers met oude certificaten zijn niet meer te vertrouwen. De Belastingdienst trok gisteren de enige logische conclusie: we kunnen nu ook het DigiD – de elektronische identificatie van burgers – ‘even niet meer vertrouwen’. De gegevens van burgers die de afgelopen weken hun DigiD-hebben gebruikt, zijn mogelijk afgetapt; een vrijbrief voor identiteitsfraude. (Tip: verander over een paar dagen allemaal het wachtwoord voor je DigiD!) Laten ons hier alsjeblieft van leren. Het is hoog tijd om serieus na te denken over databeveiliging, over verplichte melding van hacks en van datalekken; over veilige en beschermde communicatie.

Door: Foto: Sargasso achtergrond wereldbol
Foto: copyright ok. Gecheckt 01-03-2022

Ik kap ermee

, door

Ik ben het beu, zat, ik ben leeg, op, uitgewoond. Mijn geduld is verdwenen. Ziek van het feit dat de beveiliging van Nederlandse sites helemaal geen beveiliging is. Ik waarschuwde mijn partner anderhalf jaar geleden al voor de gevaren van DigID. Ik heb er zo’n hekel aan, maar ja: zie je wel! Zaken doen met de Belastingdienst zonder‘ DigID bleek bijna onmogelijk, verzekerde zij mij. Murw gebeukt en uitgeraast zette ik dan toch maar mijn krabbel. Het was mijn laatste fysieke daad. Mijn overheid en ik deden alleen nog maar elektronisch zaken. En nu ligt onder andere mijn bruto salaris op straat. Ergens in Iran. Ze tapten mijn gegevens af en ze mogen er in stikken, wat mij betreft.

‘De’ overheid rommelt zich steeds vaker steeds dieper in steeds serieuzere problemen. Leest u mee? Als we niet opletten, heeft de PVV ons koningshuis afgeschaft, zijn we veroordeeld tot minderheidskabinetten tot in de eeuwigheid en accepteren we een parlement dat zich door Brussel (of Griekenland, al naar gelang u wilt) buiten spel laat zetten en een premier die hetgeen hij met collega-leiders bespreekt niet normaal over het voetlicht krijgt. We sturen politiemensen op een trainingsmissie om militairen op te leiden die, juist, ten oorlog trekken, schaffen hier thuis de Nederlandse defensiemacht af, laten, onbeheerd, helicopters achter op het strand van Libië (er kon een bommetje op) en nu blijkt de overheid onze persoonlijke gegevens niet of nauwelijks te kunnen beschermen.

Foto: Sargasso achtergrond wereldbol

Nederlandse cybersecurity strategie: 4 duivels in de details

, door

Gegeven de mogelijk impact van de ontwikkeling van de cybersecurity strategie, nemen we hier graag de analyse van Bits of Freedom over.

Voor het eerst heeft de Nederlandse overheid een strategie ontwikkeld op het complexe onderwerp ict-beveiliging. De Nederlandse Cyber Security Strategie (NCSS) bevat een aantal goede uitgangspunten, maar is vooral te weinig precies. Bits of Freedom somt vier ‘duivels in de details’ voor je op.

Steeds meer mensen hebben het over ‘cybersecurity’, nog steeds weet niemand wat het probleem is. Natuurlijk willen allemaal dat onze communicatienetwerken stabiel zijn en dat ons elektronisch patiëntendossier niet op straat komt te liggen. Maar waar gaat cybersecurity precies over? Beperkt het zich tot het beveiligen van onze ict-infrastructuur of gaat cybersecurity ook over opsporing van strafbare feiten op internet? En hoe kwetsbaar zijn we, hoe vaak worden onze gegevens gestolen of voeren landen een cyber-war met elkaar? Ongenuanceerde en apocalyptische scenario’s lijken hoogtij te voeren, in ieder geval in het maatschappelijke debat. Security expert Bruce Schneier spreekt van een ‘hype‘.

Tegen deze ingewikkelde achtergrond heeft de overheid haar Nederlandse Cyber Security Strategie ontwikkeld. Na eerste lezing stellen we vast dat er een algemene en te weinig concrete strategie is geformuleerd. Want zoals dezelfde Bruce Schneier steevast benadrukt: ‘much depends on the details’. Weliswaar bevat de strategie een aantal goede hoofdlijnen, maar haar gebrek aan detail biedt openingen voor te verregaande controle van het internet.

Doneer!

Mededeling

Sargasso is een laagdrempelig platform waarop mensen kunnen publiceren, reageren en discussiëren, vanuit de overtuiging dat bloggers en lezers elkaar aanvullen en versterken. Sargasso heeft een progressieve signatuur, maar is niet dogmatisch. We zijn onbeschaamd intellectueel en kosmopolitisch, maar tegelijkertijd hopeloos genuanceerd. Dat betekent dat we de wereld vanuit een bepaald perspectief bezien, maar openstaan voor andere zienswijzen.

In de rijke historie van Sargasso – een van de oudste blogs van Nederland – vind je onder meer de introductie van het liveblog in Nederland, het munten van de term reaguurder, het op de kaart zetten van datajournalistiek, de strijd voor meer transparantie in het openbaar bestuur (getuige de vele Wob-procedures die Sargasso gevoerd heeft) en de jaarlijkse uitreiking van de Gouden Hockeystick voor de klimaatontkenner van het jaar.

Lezen: De BVD in de politiek, door Jos van Dijk

Mededeling

Tot het eind van de Koude Oorlog heeft de BVD de CPN in de gaten gehouden. Maar de dienst deed veel meer dan spioneren. Op basis van nieuw archiefmateriaal van de AIVD laat dit boek zien hoe de geheime dienst in de jaren vijftig en zestig het communisme in Nederland probeerde te ondermijnen. De BVD zette tot tweemaal toe personeel en financiële middelen in voor een concurrerende communistische partij. BVD-agenten hielpen actief mee met geld inzamelen voor de verkiezingscampagne. De regering liet deze operaties oogluikend toe. Het parlement wist van niets.

Vorige