Een achterdeur in Whatsapp

Mensen doen soms een envelop om hun e-mailtje of hun appje, zodat alleen zijzelf en de geadresseerden dat kunnen lezen. Omdat inbraken op andermens’ berichtenverkeer akelige consequenties kunnen hebben en mensen aan hun privacy hechten, bouwen applicatiebouwers zulke versleuteling vaker in. Whatsapp versleutelt automatisch alle berichten, net als Signal en Telegram; ook Facebook Messenger wil versleuteling tot standaard verheffen. Evenredig aan de behoefte van gebruikers aan veiligheid en versleuteling groeit de wens van overheden om achterdeurtjes in te bouwen: wegen om die encryptie te breken. Zonder die achterdeurtjes zou de overheid machteloos staan tegen criminelen, is het verhaal.

Foto: Frédéric Poirot (cc)

Achterdeurtjes

OPINIE - Het is de natte droom van ieder machtspoliticus: mee kunnen kijken in alle (digitale) communicatie. Het stond al op het verlanglijst van Duitsland en het VK. Australië legde het al daadwerkelijk vast in wetgeving. En nu wil minister Ferd Grapperhaus het ook: via de achterdeur toegang tot allerlei communicatiediensten.

Steevast is het argument dat we de slechteriken – terroristen, criminelen en ander gespuis – moeten kunnen vangen. Dat speelt namelijk goed in op het sentiment van veiligheid. Niemand wil worden opgeblazen. Niemand wil worden beroofd. Niemand wil het slachtoffer worden van een verkrachting. Dus een beetje privacy opofferen kan geen kwaad toch? Het is een effectieve redenering waar veel mensen gevoelig voor zijn en dus makkelijk in meegaan. Het is echter ook een te simplistische redenering.

Doel van encryptie

Het fenomeen encryptie bestaat niet voor niets. Encryptie is bedoeld om informatie uit handen van anderen te houden. Of het nu om het beveiligen van communicatie gaat, het beveiligen van banksystemen of het beveiligen van nucleaire installaties, het doel is altijd hetzelfde: ongewenste indringers buiten de deur houden. Niemand wil de veiligheid daarvan op het spel zetten.

Het klopt dat ook de minder frisse figuren in onze samenleving gebruik maken van beveiligde communicatie. Maar dat is geen reden om de beveiliging dan maar wat te verminderen. Criminelen en terroristen maken ook gebruik van geld, wegen, scholen, bibiotheken en supermarkten. Die schaffen we toch ook niet af?

Lezen: Mohammed, door Marcel Hulspas

Wie was Mohammed? Wat dreef hem? In deze vlot geschreven biografie beschrijft Marcel Hulspas de carrière van de de Profeet Mohammed. Hoe hij uitgroeide van een eenvoudige lokale ‘waarschuwer’ die de Mekkanen opriep om terug te keren tot het ware geloof, tot een man die zichzelf beschouwde als de nieuwste door God gezonden profeet, vergelijkbaar met Mozes, Jesaja en Jezus.

Mohammed moest Mekka verlaten maar slaagde erin een machtige stammencoalitie bijeen te brengen die, geïnspireerd door het geloof in de ene God (en zijn Profeet) westelijk Arabië veroverde. En na zijn dood stroomden de Arabische legers oost- en noordwaarts, en schiepen een nieuw wereldrijk.

Amazon Alexa & Google Home worden gebruikt om af te luisteren

Aan het rijtje met zorgen met betrekking tot mogelijke privacy schendingen door stemassistenten als Amazon Alexa en Google Home kan er weer één worden toegevoegd: Duitse veiligheidsonderzoekers zijn erin geslaagd om kwaadwillende apps voor deze apparaten door de veiligheidscheck heen te krijgen.

Now, there’s a new concern: malicious apps developed by third parties and hosted by Amazon or Google. The threat isn’t just theoretical. Whitehat hackers at Germany’s Security Research Labs developed eight apps—four Alexa “skills” and four Google Home “actions”—that all passed Amazon or Google security-vetting processes. The skills or actions posed as simple apps for checking horoscopes, with the exception of one, which masqueraded as a random-number generator. Behind the scenes, these “smart spies,” as the researchers call them, surreptitiously eavesdropped on users and phished for their passwords.

Foto: Ian Hughes (cc)

Quantum, qubits en crypto

COLUMN - Afgelopen week maakte Google bekend een werkende quantumcomputer te hebben gebouwd. Anders dan ‘gewone’ computers werken die niet met bits (die alleen ‘uit’ of ‘aan’ kunnen staan, oftewel op 0 of 1), maar met qubits. Dat zijn bits die in een tegelijkertijd 0 én 1 kunnen zijn (‘superpositie’).

Dat verschaft ze vreemde eigenschappen: zo kunnen ze niet worden gekopieerd, en staan ze altijd in een onderlinge relatie. Als de waarde van qubit A bekend wordt (en daarmee zijn superpositie vervalt), heeft dat subiet effect op qubit B, ook als dat zich elders bevindt. Hoogleraar Stephanie Wehner, die in Delft aan de ontwikkeling van een quantum-internet werkt, legt het graag (en altijd geestig) uit.

De strijd wie de eerste serieuze quantumcomputer kon presenteren, is al langer bezig; wie de eerste slag binnenhaalt, krijgt een boel prestige. Het werd dus Google.

Het bedrijf meldde triomfantelijk dat Sycamore, zoals het zijn exemplaar heeft gedoopt, een reeks sommen 1,5 miljard keer sneller oploste dan gewone supercomputers kunnen. Op dat record valt overigens wel iets af te dingen: Google koos uiteraard een opdracht die exact was toegesneden op Sycamores expertise. Voed het ding een ander lastig probleem en hij bakt er waarschijnlijk weinig van: Sycamore is in zekere zin nog een one trick pony.

Foto: Christiaan Colen (cc)

Gijzeling – geen oorlog

COLUMN - Het is oorlog, maar niemand die het ziet, waarin Huib Modderkolk aantoont hoe inlichtingen- en geheime diensten in een digitale strijd zijn verwikkeld en ondertussen zowat alles en iedereen hacken, is een subliem boek. Hij laat gedetailleerd zien hoe spionage en sabotage verweven zijn geraakt. De enige kanttekening die ik heb, is dat hij steevast de oorlogsmetafoor inzet in zijn poging om de hele zwik voor de leek begrijpelijk te maken.

Begrippen als koude oorlog, wapenwedloop, escalatie en afschrikking, aanval en verdediging klinken vertrouwd, en lijken een nuttig kader te bieden. Maar ze ontnemen ons het zicht op wat dit moderne wapengekletter zo radicaal anders maakt, en laat ons de verkeerde ‘oplossingen’ suggereren. Naar aanleiding van de documentaire Zero Days (2016), die liet zien dat geheime diensten vet betalen voor exploits om andermens’ systemen te kunnen binnendringen en manipuleren, werd geopperd dat een non-proliferatieverdrag voor beveiligingslekken een oplossing kon zijn. Heus: wie dat voorstelt, begrijpt niets van het probleem.

Niet alleen overheden of hun steelse subdivisies kunnen essentiële infrastructuur hacken. Ook een vasthoudende puber ergens op een zolderkamertje kan KPN platleggen, zoals Modderkolk aantoont. Non-proliferatie is gebaseerd op bovenstatelijke controles, op internationaal recht en dito verdragen, op sancties, op traceerbare goederen, op voor de buitenwereld zichtbare proeven, op identificeerbare fabrieken en installaties. Dat alles ontbreekt te enen male bij digitale spionage en sabotage.

Doneer!

Sargasso is een laagdrempelig platform waarop mensen kunnen publiceren, reageren en discussiëren, vanuit de overtuiging dat bloggers en lezers elkaar aanvullen en versterken. Sargasso heeft een progressieve signatuur, maar is niet dogmatisch. We zijn onbeschaamd intellectueel en kosmopolitisch, maar tegelijkertijd hopeloos genuanceerd. Dat betekent dat we de wereld vanuit een bepaald perspectief bezien, maar openstaan voor andere zienswijzen.

In de rijke historie van Sargasso – een van de oudste blogs van Nederland – vind je onder meer de introductie van het liveblog in Nederland, het munten van de term reaguurder, het op de kaart zetten van datajournalistiek, de strijd voor meer transparantie in het openbaar bestuur (getuige de vele Wob-procedures die Sargasso gevoerd heeft) en de jaarlijkse uitreiking van de Gouden Hockeystick voor de klimaatontkenner van het jaar.

Quote du Jour | Baas over eigen vinger

Die toestemming mag niet bestaan uit vier pagina’s juridisch Engels, het moet in duidelijke taal. Als mensen alsnog ja zeggen, is dat hun eigen keuze. Je bent de baas over je eigen vinger. Je hoeft niet te klikken.

Deze uitspraak deed europarlementarier Sophie in ’t Veld (D66) naar aanleiding van een onderzoek van Investico, De Groene Amsterdammer en Follow The Money van vorig jaar december. De teneur van het artikel: Je kunt banken verbieden om jouw financiële transacties te delen met hippe fintech cowboys. Anderen waaraan je hebt betaald of die jou hebben betaald kunnen wel toestemming geven. Het logische gevolg is dat jouw financiële data alsnog bij die hippe fintech cowboys belanden zodat zij alsnog een aardig profiel van u kunnen schetsen.

Ik ben er niet gerust op – #niksteverbergen

COLUMN, OPINIE - In de Volkskrant stond een artikel over de uitzending van DWDD waarin De Verleiders hun nieuwe stuk #Niksteverbergen – over privacy – promoten. De krant bespreekt het fragment en voert zeven punten aan die ze tegenspreken. Voordat ik het stuk ging lezen, heb ik eerst het fragment zelf bekeken om te weten waar het precies over gaat. Gezien de kop van het artikel dacht ik; nou komt me toch een hoop onzin (indachtig ook de complottheorieën van George van Hout rond 9/11). Maar ik hoorde eigenlijk geen hele gekke dingen. Natuurlijk, het wordt allemaal erg gechargeerd, maar het is theater en daarbij gaat het om bewustwording van een potentieel groot probleem.

Ik ben er niet gerust op

De zeven punten die de Volkskrant “onderuit haalt” kloppen op zich wel, tenminste op dit moment en voor zover we weten. Maar ik heb niet voor niets tegen de sleepnetwet gestemd. Je wordt inderdaad niet continue in de gaten gehouden en de AIVD wordt gecontroleerd…hopen we. Ik ben er niet gerust op.

De overheid is in het verleden niet heel erg betrouwbaar gebleken op dit vlak. Zoals de Belastingdienst opeens tóch gebruik ging maken van beelden van politiecamera’s op de weg. Mocht niet, deden ze wel. Nu kun je aanvoeren dat het hier om fraudeopsporing gaat, maar dat is het punt niet. Het punt is dat de overheid zich niet aan haar eigen regels en afspraken houdt. Hier nog een paar fraaie staaltjes privacyschendingen. Behalve Facebook en bedrijf Teleperformance gaat dit allemaal om (semi-) overheidsinstellingen.

Onderzoekers vinden openbare database met miljoenen vingerafdrukken op internet

“Goed idee man om vingerafdrukken te gebruiken als authenticatiemechanisme. Vingerafdrukken zijn immers uniek voor ieder persoon.”

Een database met biometrische gegevens als vingerafdrukken en gezichtsscans van ruim een miljoen mensen was openbaar via internet te benaderen. De gegevens werden verzameld als authenticatiemethode voor bedrijfspanden.

Misschien toch niet zo’n goed idee?

Spionnen op de weg

NIEUWS - Als u met uw smartphone de ravage en slachtoffers van een verkeersongeluk rijdt te filmen, kunt u altijd nog zelf door de dashcam van een medeweggebruiker worden gefilmd en aangegeven worden bij de politie.

Volgens het AD is de politie blij met ingeleverde dashcambeelden van incidenten, maar zijn die alleen bruikbaar als de aangever ook een getuigenverklaring wil geven. Spioneren is één ding, verklikken is misschien een stapje te ver voor sommigen.

Vorige Volgende