Dit blog gaat echt niet over jou

Deze gastbijdrage is geschreven door Christian van 't Hof van het Rathenau Instituut en is ook daar te lezen. Laatst kreeg ik een e-mail van een vriendin van me. Erboven stond: “Help!”.  Ze kwam via Google op een blog met haar naam erboven en een heel persoonlijk verhaal over een abortus. Nu heeft ze een vrij bijzondere naam, dus alle andere resultaten gingen wel over haar. Iedereen die haar zou Googlen, zou dus denken dat het abortusverhaal van haar was. Ze vermoedde dat iemand met haar naam aan de haal was gegaan, want een maand eerder was ook al haar e-mail account gehacked. Om te kijken wie hier achter zat, klikte ze op de site. Al snel gingen er allerlei alarmbellen af dat dit malware was. Ze raakte in paniek en wilde er wat aan doen. “Hoe kan ik ervoor zorgen dat deze site zo snel mogelijk uit de lucht gaat? Ik heb geen idee waar ik moet beginnen…”, schreef ze in haar mail. Ik belde haar op en probeerde haar gerust te stellen. Voor echt kwalijke dingen op het internet is er zoiets is als een “notice and take down” procedure. Echter, toen ik zelf zocht op haar naam, kwam de gewraakte blog niet naar boven….

Door: Foto: Sargasso achtergrond wereldbol
Foto: Sargasso achtergrond wereldbol

Stijlvolle actie of privacycriminaliteit?

GeenCommentaar heeft ruimte voor gastloggers. Dit keer is dat Arnoud Engelfriet, ICT-jurist. Op verzoek van GC schreef hij een analyse van het oordeel van het CBP over onze GS-checker. Dit artikel verscheen eerder vandaag ook op zijn eigen blog.

Weet u nog, GC versus GS? Na publicatie van de ?Geenstijlchecker? door weblog Geencommentaar kwam Geenstijl geheel in eigen stijl met een stukje Javascript-malware om de site van GC plat te leggen. Dat kon bepaald niet door de beugel, maar aan de actie van GC hing ook een luchtje. Een privacyluchtje om precies te zijn. GC vroeg het na bij het College Bescherming Persoonsgegevens, en kreeg te horen dat ze fout bezig waren.

Wat GC namelijk deed, was een zwarte lijst aanleggen van mensen die je maar beter niet op je blog moet laten reageren. En zwarte lijsten aanleggen ligt gevoelig onder de privacywet. Die stelt strenge eisen aan alle lijsten, filters en andere systemen waarmee je mensen kunt weren uit je winkel, site of andere dienst.

De belangrijkste eis die GC schond, was dat je mensen vooraf moet informeren over hoe ze op de zwarte lijst terecht kunnen komen. Ook moet je beleid hebben en toelichten over de criteria. Je kunt met andere woorden niet zomaar iemands IP-adres nemen en dat op een lijst zetten die je dan als grote verrassing publiceert als zijnde ?roze randdebielen?.

Lezen: Bedrieglijk echt, door Jona Lendering

Bedrieglijk echt gaat over papyrologie en dan vooral over de wedloop tussen wetenschappers en vervalsers. De aanleiding tot het schrijven van het boekje is het Evangelie van de Vrouw van Jezus, dat opdook in het najaar van 2012 en waarvan al na drie weken vaststond dat het een vervalsing was. Ik heb toen aangegeven dat het vreemd was dat de onderzoekster, toen eenmaal duidelijk was dat deze tekst met geen mogelijkheid antiek kon zijn, beweerde dat het lab uitsluitsel kon geven.

Foto: Sargasso achtergrond wereldbol

ISP’s verantwoordelijk maken voor ‘malware’

Computer chips (Foto: Flickr/Gaetan Lee)

De Europese denktank ENISA heeft een rapport uitgebracht (.pdf) waarin wordt gepleit om internetproviders aansprakelijk te maken voor de schade die gehackte computers via hun netwerk aanrichten.

Zo hopen de onderzoekers de gigantische netwerken van zombiecomputers en de schade die zij toebrengen beter te kunnen bestrijden. Immers, de gemiddelde computergebruiker is over het algemeen niet kundig genoeg om zijn of haar pc afdoende te beschermen. Als je die verantwoordelijkheid legt bij de providers, vang je dat op. De provider kan relatief eenvoudig bijhouden welke IP-adressen ‘fout’ verkeer genereren, en deze dan automatisch tijdelijk afsluiten. De ISP zou dan bijvoorbeeld een standaard pagina kunnen tonen met de vraag contact op te nemen met de helpdesk.

Klinkt als een redelijk plan. Mocht het doorgevoerd worden in Europa, dan krijgt de SPAM- en virus-industrie waarschijnlijk zware klappen.

Om het verhaal compleet te maken stelt de denktank ook voor om fabrikanten te verplichten beveiligingslekken apart te dichten, en niet via een systeemupdate. Mensen zijn namelijk huiverig om die updates te installeren, en niet onterecht. Veiligheidsupdates zullen de meeste mensen wel willen installeren.

De denktank vindt dat je, als dit laatste is doorgevoerd, gebruikers zelf ook aansprakelijk mag stellen voor de schade die ze veroorzaken. Als ze de auto-updatefunctie voor veiligheidsissues van de software uitschakelen, nemen ze namelijk willens en wetens een risico. De redenatie is dat de fabrikant moet zorgen voor de gordels, maar dat de bestuurder ze ook moet dragen en daar zelf verantwoordelijk voor is.