'Hacken en bedrijfslogs opvragen kan alternatief zijn voor encryptieverzwakking'

Opsporingsdiensten zouden beter gebruik kunnen maken van hackactiviteiten en het verzamelen van logs van bedrijven in plaats van het afzwakken van encryptie. Dat advies geeft de Cyber Security Raad, nu verschillende overheden daartoe oproepen.

De Cyber Security Raad heeft een adviesbrief aan minister van Justitie en Veiligheid Dilan Yeşilgöz gestuurd over de impact van het afzwakken van end-to-endencryptie voor opsporingsdoeleinden. Daarin erkent de Raad dat de opkomst van versleutelde apps als WhatsApp en Signal het werk van opsporingsdiensten bemoeilijkt, maar zegt tegelijk ook dat die encryptie afzwakken niet meteen de beste optie is.

De Raad heeft onderzoek gedaan en zegt dat er twee alternatieven zijn die opsporingsdiensten mogelijk kunnen verbeteren. Een daarvan is de hackbevoegdheid van de politie en inlichtingendiensten. De Raad ziet dat de praktische inzetbaarheid daarvan 'verbeterd zou kunnen worden via beter passende juridische kaders en toezicht, in combinatie met technische optimalisatie'. "Door verankering en stroomlijning van hacken als opsporingsmiddel kan dit middel sneller en efficiënter worden ingezet en daarmee laagdrempeliger in gebruik zijn", schrijft de Raad.

Een andere mogelijkheid is om meer gebruik te maken van informatie van private bedrijven. Bedrijven kunnen 'bedrijfslogs aanleveren in reactie op wettelijke vorderingen'. Dat gebeurt nu nog te weinig. De Cyber Security Raad raadt aan om 'gerichter en voorspelbaarder op te treden' bij het verzamelen van die informatie en om nieuwe wetgeving op te zetten voor meer samenwerkingen.

De Cyber Security Raad zegt dat die twee middelen mogelijk kunnen dienen als alternatieven voor het afzwakken van encryptie. Dat betekent niet dat dat meteen het geval is; de Raad 'ziet er aanknopingspunten in'. Hacken van verdachten kan bijvoorbeeld wel waardevol zijn, maar dat is veel minder schaalbaar dan het aftappen van telefoonnetwerken.

De Raad deed het onderzoek omdat er bij diverse internationale overheden zorgen zijn over de opkomst van versleutelde diensten. Overheden onderzoeken daarom de mogelijkheid om encryptie af te zwakken. Dat gebeurt ook in Nederland al jaren. De voorgaande minister van Justitie, Ferd Grapperhaus, vraagt daar al sinds 2019 om. De Cyber Security Raad zegt dat het goed is dat er onderzoek wordt gedaan naar alternatieven en dat het 'daar vanuit technisch oogpunt naar heeft gekeken'.

De CSR is een onafhankelijk adviesorgaan dat is samengesteld uit hooggeplaatste vertegenwoordigers uit de publieke, private en wetenschappelijke sector. De raad stelt rapporten en adviezen op in opdracht van de Nederlandse overheid.

Reacties (58)

YamatoSan 25 augustus 2022 19:59

Kan iemand mij uitleggen hoe je een encryptie kan verzwakken van een chat app zoals Signal, Session of andere apps die volledig open source zijn? Die apps gaan dus echt geen backdoors installeren voor een overheid zoals die in Nederland en wij als burgers kunnen nog steeds open source apps downloaden ondanks dat de overheid er graag een backdoor in wilt hebben.... Voor whatsapp kan ik het nog wel begrijpen, whatsapp behoort tot big tech en daarmee valt voor een overheid wel mee te praten. En dan spreek ik nog niet eens over andere versleutelde apps die ook nog eens gebruik maken van onion routing zoals Briar. Dus nogmaals, hoe kan een backdoor enigszins realistisch zijn? Als wij morgen weten dat whatsapp of signal een backdoor laten installeren voor Nederlandse gebruikers, dan kunnen we toch gewoon van app veranderen enof een versie downloaden die geen backdoor utiliseert?

Single Core @YamatoSan • 25 augustus 2022 22:38

Een echte backdoor door effectief encryptie zwakker te maken is geen optie, anders kunnen overige partijen ook gaan inbreken. Je zou het kunnen laten werken door alle encryption keys altijd verplicht te moeten laten passeren bij een centrale server en hier gaan loggen. Zo kan alles nog steeds op exact dezelfde manier te laten werken en kan de overheid de juiste toestellen gaan uitlezen.

YamatoSan @Single Core • 25 augustus 2022 22:45

Dit bestaat al, oftewel client to server encryptie waarin de server host ook je sleutels bezit. Hier maakt bijvoorbeeld telegram gebruik van, telegram op default mode is client to server encrypted waardoor telegram de chats kan lezen wanneer nodig is. Maar dit is dan ook bij definitie geen E2EE meer, als je dit soort backdoors implementeert kan je als bedrijf niet meer claimen dat je applicatie beschermt is met E2EE. Stel dat signal dit soort backdoors zou installeren, dan is het gehele verdienmodel van Signal om zeep geholpen omdat Signal voornamelijk bekend is wegens zijn E2EE implementatie. Dus als je een protocool gaat ontwikkelen waarin de private keys ook bij een centrale server liggen (waardoor een overheid toch toegang tot kan krijgen), tja dan verlies je ook je klanten/gebruikers.

Er is niks te doen tegen E2EE, de overheid kan dit nooit tegenhouden. Er zijn zoveel mogelijkheden, om er nog eentje op te noemen: Stel ik ben een crimineel, pedofiel, terrorist of wat dan ook; dan kan ik altijd nog een eigen XMPP server hosten die ik een .onion 'DNS' adres laat gebruiken. Mijn chats zijn E2EE en er is geen enkele overheid die bij mijn server kan komen. De opties zijn eindeloos en de overheid kan er niks tegen doen. Gericht hacken is wat een overheid wel kan doen, maar een beetje ITer kan zichzelf ook daar tegen beschermen behalve als een overheid zichzelf toegang kan geven middels 0days exploits, maar dat vind ik ook zeer onwaarschijnlijk hier in Nederland.

Single Core @YamatoSan • 25 augustus 2022 22:54

Dit is ook hun engie optie. En idd de zaken die je hierboven vermeld zijn onkraakbaar, maar er moet maar 1 iemand opgepakt worden door de politie die in uw vertrouwd netwerk zit. Dan kunnen ze toch gewoon gezellig meelezen vanuit zijn toestel. Ze hangen hem een 20-tal jaar gevangenisstraf boven zijn hoofd, maar als hij plots meehelpt dan is het mogelijk een heel stuk minder etc etc ... Op het einde van de rit gaat het in criminele organisaties ook nog steeds om vertrouwen ongeacht hoe goed de beveiliging is.

kaas-schaaf @Single Core • 25 augustus 2022 23:20

Je zou het kunnen laten werken door alle encryption keys altijd verplicht te moeten laten passeren bij een centrale server en hier gaan loggen.

Op dat moment ga je van een multi-device end-to-end model (ofwel je kan er een kraken maar niet allen tegelijk als de encryptie deugd) naar een centraal database model met enkel versleutelde berichttransmissie (als je centraal binnen bent heb je alles). Dat is niet hetzelfde en significant zwakker. Bovendien lost het niets op aangezien iedereen er om heen kan werken met een nieuwe app. Het kraken van de "pgp phones" heeft al aangetoond dat als je de boel centraal opslaat je bij een enkele hack kansloos bent. Dat geld voor overheden die het kraken doen, en ook voor "derden".

bzzzt @Single Core • 26 augustus 2022 08:24

Je zou het kunnen laten werken door alle encryption keys altijd verplicht te moeten laten passeren bij een centrale server en hier gaan loggen.

Zo'n server is dus een ideaal doelwit voor iedere buitenlandse spionagedienst.
Je zou bijna conclusies gaan trekken over de motieven van de mensen die dit blijven pushen...

BarôZZa @YamatoSan • 26 augustus 2022 09:32

Waar het op neer zou komen is dat de apps niet meer te downloaden zijn in de grote app stores. Net zoals de lootboxes verbod in België ervoor zorgt dat games gewoon niet meer uitkomen.

De ironie is uiteraard dat de piraten en boeven er gewoon gebruik van zullen maken en de brave burger de klos is.

PhilipsFan @YamatoSan • 26 augustus 2022 00:10

Dat kan niet.

Ik begrijp niet zo goed waarom die discussie toch steeds weer terugkomt. Je hebt encryptie of je hebt geen encryptie. De berichten die iemand stuurt, zijn leesbaar of niet (afgezien van dat er soms natuurlijk een fout wordt gevonden in een encryptietechniek waardoor deze ineens makkelijker te kraken is).

Stel, encryptie wordt verboden. Hoe gaan ze dat afdwingen? Zoals je zelf al zegt, mensen die ge-encrypt willen chatten kunnen daarvoor altijd apps gebruiken, desnoods opensource. Dat is niet tegen te houden.

Het is ook niet te detecteren of iemand encryptie gebruikt. Als je een tekst encrypt voodat je 'm verstuurt (bijvoorbeeld via sms), dan ziet dat bericht voor een afluisteraar eruit als jibberish. Het heeft alleen betekenis voor degene die de key heeft, want die kan van de jibberish weer een leesbaar bericht maken. Maar (zolang de encryptie niet gekraakt wordt) kan iemand die de key niet heeft, NOOIT aantonen dat die jibberish een leesbaar bericht voorstelt. Dus niemand zal ooit vervolgd of veroordeeld kunnen worden voor het gebruik van encryptie, zelfs als dat illegaal is. Het is namelijk niet te bewijzen. Wordt het dan straks verboden om jibberish te versturen? Want dat is dan waar een encryptieverbod op neerkomt.

En dan, hoe moet het dan met woorden die nog niet bestaan? Of woorden met een typfout die niet automatisch herkend kunnen worden? Mensen die opzettelijk woorden verkeerd schrijven om de detectie om de tuin te leiden?

Een encryptieverbod is niet realistisch. De mogelijkheid blijft natuurlijk wel dat een bedrijf verplicht wordt om berichten te kunnen ontsleutelen, dan zullen ze zelf de keys moeten bewaren. Maar welke apps moeten daaronder gaan vallen dan? Als ik een spelletje maak waarin gebruikers elkaar een bericht kunnen versturen, moet ik dan ook daaraan meewerken? Als mensen bv een e-mailbox gebruiken en de berichten niet echt versturen, maar onverstuurd in een bepaalde map zetten wat de ontvanger (die ook op die mailbox kan inloggen), moet dat dan ook opvraagbaar zijn? Dat gaat al heel snel richting een wet waarbij de opsporingsdiensten gewoon _alle_ data mogen vorderen bij elk bedrijf, dat gaat toch veel te ver?

Dubbeldrank

25 augustus 2022 15:58

Het hele "het verzamelen van logs van bedrijven" klinkt nogal ruim en vaag. Dat klinkt als een sleepnet, wat ook weer een glijdende schaal is. Waar zien we de resultaten van de datahonger van onze overheid? Ze vergaren VEEL meer data dan nodig is. Begrijp me niet verkeerd, ik ben voorstander van gerichte verzameling tegen criminaliteit.

[Reactie gewijzigd door Dubbeldrank op 22 juli 2024 18:23]

WoutervOorschot

@Dubbeldrank • 25 augustus 2022 21:18

Nee dat is gewoon dat je als politie zoiets kan opvragen via een rechter zoals ze ook brieven/huizen mogen openen via een rechter.

Mooi rapport verder, klinkt als een goede middenweg.

bzzzt @WoutervOorschot • 26 augustus 2022 08:27

Het grote verschil is dat hier eigenlijk vooraf bij iedereen ingebroken wordt om naderhand aan te kunnen tonen wat er in een huis aanwezig was. En als we die data toch al hebben is het ook een kwestie van tijd dat er gepushed gaat worden die 'lastige' tussenstap via de rechter vanwege gebrek aan capaciteit/efficientie redenen te laten vervallen...

i-chat @Dubbeldrank • 25 augustus 2022 16:16

"het verzamelen van logs van bedrijven"

hoe is dit anders dan wat KPN, Vodafone en Tmobile nu al doen,
gewoon loggen wie, hoe laat, hoe lang met wie aan de telefoon zit, of hoeveel smsjes hij/zij verstuurt naar x en y personen.

Op het moment dat je iemand in beeld hebt, kun je dan gewoon zien met wie hij/zij contact heeft. als persoon x dan contact heeft met bekende crimineel A en Pedofiel B dan kun je daar enige 'voorlopige' conclusies uit trekken en een onderzoek naar die persoon starten om later 'mogelijk' toestemming te krijgen tot het doorzoeken van een woning of bedrijfspand. Zo werkt dat nu al al prima. Het is alleen een hoop werk en daar wil men vanaf. Soms lijkt het wel, 'ten koste van alles'.

Zelf ben ik geen tegenstander van het verzamelen ven meta-data door telecom (en soortgelijke) bedrijven. Wel zou ik graag (bijvoorbeeld op europees nivo), een goed gestroomlijnde richtlijn willen waarbij overheden via een standaard proces dergelijke data kunnen opvragen over personen / accounts. Waarbij mijn voorkeur zou uitgang dat de CTIVD hier de rol van rechter-commissaris op zich zou nemen. uiteraard wel in de persoon van gekwalificeerde en opgeleide rechters. In die zaken waarbij het OM (en dus de reguliere RC) buiten schot blijven.

[Reactie gewijzigd door i-chat op 22 juli 2024 18:23]

perpetualrabbit @i-chat • 25 augustus 2022 19:36

Aan de ene kant is er een hele (internationale!) software industrie die communicatie software maakt zoals Signal zodat mensen ongevolgd kunnen communiceren.
Als je dan wetgeving wilt zodat een nationale inlichtingendienst er tussen kan zitten, dan moet die wet:
- afdwingen dat de encryptie decrypted kan worden
en/of
- afdwingen dat op één van de endpoints afgesluisterd kan worden. Dus bij end-to-end op een telefoon kunnen inbreken.
Hier zijn veel problemen mee:
1) Geen andere natie-staat pikt dit. We willen niet dat de Russen of de Turken (of zelfs de Amerikanen) dat kunnen bij telefoons van Nederlanders, dus hoe denkt de Nederlandse staat dat ooit af te kunnen dwingen bij internationale software aanbieders zoals Apple, Android(Google) of Signal? Alle landen willen dat wel. Daarom hebben we deze vormen van encryptie juist. Apple en Android moeten dan dus gedwongen worden aangepaste versies van Signal in de store te zetten. Dat gaan ze niet doen en Signal ook niet. Maar stel van wel, dan:
2) Zelfs als die wet er komt, dan moet de overheid voorkomen dat mensen dan maar buiten de officiele appstores een geforkte versie van Signal kunnen installeren. Dat betekent dus geen apps buiten de officiele appstores meer, en geen eigen versies van Android.
Als je dit naar het extreem doortrekt betekent dit eigenlijk een vergaande restrictie op open source software, en aangezien die beweging internationaal is, verregaande restricties op het Internet om te voorkomen dat mensen bij die software kunnen komen. Zelfs als de overheid dát voor elkaar krijgt:
3) Nu zijn de meeste mensen niet meer in staat of bereid om een (voor de overheid) onkraakbare versie van Signal met end-to-end encryptie te installeren. Echter, een geforkte versie zal nog steeds op wat voor manier dan ook verkrijgbaar zijn op het Internet, of des noods op het "Dark Web". En zodoende kunnen gewiekste criminelen daar nog steeds over beschikken, en hopelijk kunnen ook mensenrechtenactivisten en bijvoorbeeld NGO's die in oorlogsgebied opereren het nog gebruiken.

De Nederlandse staat heeft dan dus nog steeds niet het beoogde doel bereikt. Tenzij zoals sommige mensen denken dat doel heimelijk anders is, namelijk het beperken van de vrijheid van mensen op software gebied.
In beide gevallen (openlijk of heimelijk doel) lijkt me dit iets dat je als vrijheid-lievende Internet gebruiker zou moeten willen tegenhouden.
Ik denk niet dat de staat deze dingen (onder 1, 2 en 3) daadwerkelijk zal kunnen doen. Ten eerste laat de overheid nog steeds zien weinig van Internet en technologie te begrijpen, en lijkt niet te luisteren naar experts die het wel begrijpen. Ten tweede probeert de staat een internationale situatie (praktisch onkraakbare encryptie) aan te pakken op nationaal niveau. Ik zeg situatie, want ik vind het niet eens het woord "probleem" waard. Ja, je kunt sommige verbindingen niet meer afluisteren. Echter er staan zoveel andere middelen en technologiën tegenover, dat het meer dan ooit mogelijk is om criminelen aan te pakken.

i-chat @perpetualrabbit • 25 augustus 2022 20:02

Ik heb het over meta-data niet over de inhoud van de berichten die hoort gewoon netjes achter encryptie blijven

Meta-data zoals kpn etc nu al verwerken helpt heel erg om te bepalen wie met wie praat omdat je in feite nét als bij telefoon kunt bijhouden welke toestellen contact hebben

Zodra je dan een telefoon of laptop in beslag neemt kun je mogelijk ook berichten gaan ontcijferen en lezen wat er is gezegd

Maar nogmaals meta data laat zien dat ik vandaag ongeveer 40 whatsapp berichten heb gestuurd naar x en 80 naar persoon y en 3 naar z

Daat staat niet: hé schatje moet ik vast beginnen met koken

Kortom ik weet niet waarop je precies reageert maar niet echt op mijn bericht.

[Reactie gewijzigd door i-chat op 22 juli 2024 18:23]

perpetualrabbit @i-chat • 30 augustus 2022 18:41

Je maakt een steriel onderscheid tussen data en meta-data. Beide wil je niet openbaar hebben als je privé wilt kunnen communiceren. Sterker nog, je wilt niet dat iemand kan zien dát je überhaubt communiceert. Met andere woorden, traffic analysis ook onmogelijk maken.

Stel dat er een app bestond, genaamd X, die:
- data en meta-data verbergt
- ingekapseld is in een stroom data die daardoor niet van karakter verandert
- een stroom data die zo algemeen gebruikt wordt, dat de anonymity set daardoor bijna de alle internet gebruikers omvat
- je dus niet kunt zien of, en wie, en wat, en hoe er gecommuniceerd wordt

Dan kan een "fout" regime (Rusland, China, Iran, de lijst is lang) kiezen zich van Internet te isoleren en bijvoorbeeld alleen een intranet aan te bieden, of moet accepteren dat informatie die ze niet willen dat hun burgers hebben, nu algemeen beschikbaar komt. Niet alleen voor technische mensen dus.

Allerlei groepen die ethisch verdedigbaar handelen kunnen X gebruiken, zoals mensenrechten- en milieuactivisten, artsen, advocaten, journalisten. Noem deze groep G, voor "goed".
Maar ook allerlei criminelen hebben X, die handelen in drugs, wapens, of erger: slavernij, orgaanhandel.
Noem deze S, voor "slecht".
En tussen deze uitersten, het leeuwendeel dagelijkse communicatie zoals jouw "moet ik vast beginnen met koken". Dit is groep O, voor "onschuldig", of "onbenullig".

De Nederlandse politiek zou vast een mening over hebben over X. Ik begrijp dat de overheid niet één mening of belang vertegenwoordigt, en misschien de materie niet eens goed begrijpt.
Duidelijk is dat "de overheid" niet wil dat S beschikt over X, maar dat kan S sowieso als de te behalen winst groot genoeg is. S kan dit zelf bouwen.
Misschien begrijpt de overheid dat G over X zou moeten kunnen beschikken, omdat de meeste doelen van G stroken met die van de buitenlandse politiek van Nederland.
Ook G kan X bouwen, en genoeg open source developers en acadici werken aan onvolkomen versies, zeg X'. Die benaderen stap voor stap X, totdat de overheid X niet meer met kan kraken/onderscheppen/analyseren met de middelen die ze heeft.
Ze wil waarschijnlijk niet dat O over X beschikt, omdat het vinden van S tussen G+S+O dan moeilijker wordt.

Sefa @Dubbeldrank • 25 augustus 2022 16:58

Verzamelen lijkt wat ongelukkig geformuleerd, er wordt ook gesproken over "bedrijfslogs aanleveren in reactie op wettelijke vorderingen". Dat lijkt mij inderdaad vergelijkbaar met de huidige situatie bij telefoonproviders. Niet de overheid verzamelt, maar vordert met tussenkomst van de rechter-commissaris.

The_Woesh 25 augustus 2022 15:57

Volledig met eens. Met Hacken is het constante race naar de beste methodes en exploits. Je krijgd wel een soort wapenwedloop maar met de middelen die een overheid heeft, zullen ze toch altijd beter bewapend zijn dan de gemiddelde terrorist.

Verzwakte encryptie daarentegen is gewoon een tikkende bom. Zolang alleen de overheid erbij kan gaat het goed. (althans, als je de overheid vertrouwd) maar vroeg of laat staat alles open en kan iedereen erbij.

nullbyte @The_Woesh • 25 augustus 2022 18:00

althans, als je de overheid vertrouwd.

Je kan de overheid van vandaag wellicht persoonlijk vertrouwen, maar kan je de overheid van de toekomst vertrouwen?

NuEffeNiet @nullbyte • 25 augustus 2022 20:46

Dus omdat mogelijk de overheid in de toekomst niet te vertrouwen is (welke signalen heb je daarvoor?) moeten we nu criminelen en terroristen hun gang laten gaan?

Ik vind juist de voorstellen die hier gedaan worden uitstekend. Dat het niet massaal ingezet kan worden zoals telefoontaps vind ik alleen maar goed!

orvintax @The_Woesh • 25 augustus 2022 22:12

Het grootste probleem met het afzwakken van encryptie is dat je hem afzwakt voor iedereen. Je kunt niet alleen een backdoor maken alleem voor de overheid.

Vergelijk het met een muur. Ja je kunt een geheime deur maken in die muur en die alleen delen met de overheid. Maar het feit blijft wel dat er nu ergens een deur zit in de muur die er eerst niet zat. Je beveiligings is nu dus fundamenteel zwakker.

comecme @orvintax • 26 augustus 2022 10:27

Je gebruikt nu een geheime deur in je voorbeeld. Maar je kunt het ook vergelijken met een kluisdeur. Helemaal niet geheim, maar wel goed beveiligd zodat alleen de juiste mensen die deur open kunnen maken.

Zeg je dat je een kluisdeur niet vertrouwd?

orvintax @comecme • 26 augustus 2022 13:07

Ik zeg dat geen deur altijd veiliger is dan er wel een te hebben.

blorf @The_Woesh • 25 augustus 2022 17:10

Volgens mij moeten we dit gewoon interpreteren als "f privacy, we willen meer kunnen zien van providers"

Aetje @The_Woesh • 25 augustus 2022 17:42

Je krijgdt wel een soort wapenwedloop maar met de middelen die een overheid heeft, zullen ze toch altijd beter bewapend zijn dan de gemiddelde terrorist.

Valt best tegen. Cybercriminaliteit loont meer dan ethisch hacken in overheidsdienst. Het beste talent gaat naar waar hun diensten het meest beloond worden.
En bedrijfslogs opvragen, tja, zolang de bedrijven in kwestie in Nederland gevestigd zijn, maar hoeveel zijn dat er? En als de bedrijven geheel geen logs bijhouden?

nullbyte @Aetje • 26 augustus 2022 17:31

Het beste talent gaat naar waar hun diensten het meest beloond worden.

Alsof iedereen met talent simpelweg voor het meeste geld kiest en alle ethiek laat gaan voor een baan als crimineel.

Power2All 25 augustus 2022 16:53

maar zegt tegelijk ook dat die encryptie afzwakken niet meteen de beste optie is.

Goh. Echt waar joh ?!
Lijkt wel alsof die mensen onder een steen leven...
Afzwakken van encryptie is NOOIT goed, en wordt al vlug misbruikt als hackers en malware makers dit ontdekken, dan is het hek van de dam.

Accretion @Power2All • 25 augustus 2022 17:34

Het wordt hier gebruikt om hacken door overheid goed te keuren.

Als een zwart/wit scenario waarin je moet kiezen tussen fout en heel fout.

Wat mij betreft beide niet.

ShadLink @Accretion • 25 augustus 2022 18:07

Om heel eerlijk te zijn, de politie moet criminelen kunnen opsporen. Dus bv toegang krijgen tot gevoelige informatie. Of binnendringen met een huiszoekingsbevel.

Maar het is niet oké om de politie direct gewoon een kopie van elke huissleutel te geven. Het afzwakken van de encryptie zou daarmee vergelijkbaar zijn.

W1LL3M @ShadLink • 25 augustus 2022 22:15

Het afzwakken van encryptie is eerder vergelijkbaar met de koffersloten die in de luchtvaart gangbaar zijn, sloten waar een standaard loper op past, bedoeld voor gebruik door alleen de luchthavenbeveiliging. Maar criminelen hebben helemaal geen moeite om aan die lopers te komen...

ShadLink @W1LL3M • 26 augustus 2022 03:05

TSA sloten zijn vreselijk makkelijk, zelfs zonder de officiële lopers, open te maken. Zulke sloten moet je absoluut niet als een beveiliging zien, en meer als een vergendeling van de rits waar ze aan zitten.

ejabberd @ShadLink • 26 augustus 2022 07:00

Eigenlijk onvoorstelbaar hoe incompetent overheden en politici zijn.

Eerst maken sommige landen zich veel te afhankelijk van één gasleverancier. Ok, dit kun je nog zien als een pijnlijke inschattingsfout.

Vervolgens verkwisten ze en masse overheidsgeld door met allerhande subsidies en premies de consumptie van olie en gas aan te zwengelen zodat Putin nog meer kan verdienen.

En nu zouden we Putin en consoorten het ook nog makkelijker willen maken om onze bedrijven, ziekenhuizen en havens lam te leggen door brakke encryptie te verplichten?

estej 25 augustus 2022 16:23

"Hacken van verdachten kan bijvoorbeeld wel waardevol zijn, maar dat is veel minder schaalbaar dan het aftappen van telefoonnetwerken."
Persoonlijk zie ik dit als een voordeel. Hierdoor zal het moeilijker worden om op grote schaal mensen te surveilleren.
Als de het meer tijd, moeite, en geld kost zal een overheid minder snel 'per ongeluk' even die paar extra mensen monitoren

Alxndr

25 augustus 2022 16:35

Ik dacht nu krijgen we eindelijk eens wat positieve reacties, maar nee, alle trollen verzamelen!

Gericht afluisteren/hacken is natuurlijk gewoon veel beter dan een sleepnet, niet alleen voor privacy van de bevolking, maar ook qua efficiëntie. T

Accretion @Alxndr • 25 augustus 2022 17:30

Gericht afluisteren/hacken is natuurlijk gewoon veel beter dan een sleepnet, niet alleen voor privacy van de bevolking, maar ook qua efficiëntie. T

Hoe het nu gaat is het prima, de overheid mag niet zonder rechtelijke goedkeuring de burger hacken/afluisteren.

Als je de overheid bij voorbaat toegang geeft om te hacken/afluisteren heb je simpelweg een sleepnet.

Het feit dat het verkocht wordt als alternatief op encryptieverzwakking is olie op het vuur.

Alsof je zegt: "Politie mag ongewapende mensen in de rug schieten als alternatief op het gebruik van hitte zoekende raketten."

De hele stelling op zich is een drogreden.

comecme @Accretion • 26 augustus 2022 10:33

Als je de overheid bij voorbaat toegang geeft om te hacken/afluisteren heb je simpelweg een sleepnet.

Hacken kost tijd en moeite. Bij een sleepnet is alle data gewoon voorhanden en hoeven ze alleen maar te grasduinen op zoek naar info.
Maar bij hacken moet er een hoop moeite gedaan worden om iemands telefoon te hacken.

Daarnaast.... wie zegt dat ze dit zomaar mogen doen zonder toestemming van een rechter o.i.d.?

Accretion @comecme • 26 augustus 2022 12:22

Ligt er aan.

Je hebt genoeg programmas die scannen naar vulnerabilities op het internet.

Een 'worm' verspreid zich ook automatisch en een botnet kan zich soms zo ook uitbreiden.

i-chat @Alxndr • 26 augustus 2022 07:59

Ik dacht nu krijgen we eindelijk eens wat positieve reacties, maar nee, alle trollen verzamelen!

Niet alleen dat maar begrijpend lezen is er ook niet bij en iedereen die allang blij is dat er een alternatief wordt neergezet voor grove beveiligingsfouten (zo kun je afzwakken van encryptie wel noemen) krijgen standaard en 0 omdat de overheid vast wel op andere wijze probeert te sodemieteren

Maar ja klagen over de modjes heeft geen zin omdat de fp-crew ook wel weet dat een negatieve tendens meer views opleveren.
Het begint oprecht vormen aan te nemen.
Beginnend al met die zogenaamde expertlabels die je niet krijgt door kundigheid of opleidingsniveau of je huidige baan (zoals op nu.nl) maar door se meeste populaire mening in zo mooi mogelijke woorden te ventileren om aldoende karmaountjes te sprokkelen.

[Reactie gewijzigd door i-chat op 22 juli 2024 18:23]

wernert 25 augustus 2022 15:54

Tuurlijk. Eerst deze mogelijkheden erbij krijgen, en over een tijdje een "het is toch niet voldoende' klaagzang. Well played!

bassekeNL @wernert • 25 augustus 2022 16:38

Wat wil jij dan? Niks doen?

Gelukkig kijkt men eerst naar minder verregaande maatregelen.

Accretion @bassekeNL • 25 augustus 2022 17:19

Niks veranderen is op zich niet zo'n slechte optie toch?

Het is best krom om te redeneren "hacken als alternatief voor encryptieverzwakking".

Zelfde als: "iemand in elkaar slaan als alternatief voor doodsteken."

Ja, het een is potentieel minder erg dan het ander; maar beide is niet leuk.

Ik ga geen encryptie verzwakken noch instemmen om de overheid mij te laten hacken.

Laat ze maar de rust bewaren met de middelen die ze hebben, lukt tot op heden gewoon prima.

WhatsappHack

Encryptie
Privacy
Beveiliging en antivirus

25 augustus 2022 15:57

Het afzwakken/backdooren van encryptie (linksom of rechtsom) blijft in alle opzichten een heel erg slecht idee waar je vrijwel uitsluitend onschuldige burgers mee raakt. Moeten we gewoon niet aan beginnen.

CAPSLOCK2000

Privacy
Beveiliging en antivirus
Overheid
Encryptie

@batjes • 25 augustus 2022 16:39

Don't attribute to malice what can be explained by incomptence.

Ik geloof niet dat het de bedoeling is om een "enge" samenleving te maken. Volgens mij is het een combinatie van onkunde en het ontwijken van verantwoordelijkheid tbv van de eigen carriere.

Bestuurders zijn niet geinteresseerd in problemen, die willen alleen oplossingen.
Ze snappen het probleem niet echt en de oplossing niet echt, maar wel dat ze er voor verantwoordelijk. Op zich hoeft dat geen probleem te zijn. Een slimme bestuurder snapt dat de inhoud ergens anders vandaan moet komen en vertrouwt dus op experts voor goed advies.

De bestuurder moet wel kunnen beslissen welke experts te vertrouwen zijn en daar heb je toch eigenlijk wel wat eigen kennis en inzicht nodig. Als iemand zegt "kan niet" en iemand anders zegt "kan wel" dan krijgt die ander de opdracht. Begrijpelijk natuurlijk. Maar als iemand zegt wel even naar de maan toe te zwemmen dan zou je moeten snappen dat het niet realistisch is. Een echte expert zal zo'n advies ook niet geven, maar er zijn ook een hoop profiteures en charlatans die graag een graantje meepikken. Die geven ook adviezen waarvan ze zelf niet eens beseffen dat he slecht advies is. Niet hun probleem, iemand anders moet het uitvoeren.

De slimme bestuurder snapt dat het zo werkt. Die zal dus nooit zelf een opdracht geven of iets kiezen maar altijd het advies van een expert volgen. Die kan achteraf zeggen "ik het advies van de experts gevolgd, mij kun je niks verwijten".

In het bedrijfsleven gaat dat vroeg of laat fout en dan wordt die bestuurder er hopelijk op afgerekend dat de winst is gedaald. Minder geld is een signaal dat aandeelhouders vrij goed begrijpen.
In de politiek werkt het anders. Daar worden mensen niet echt afgerekend op over de lange termijn maar meer op korte termijn. Meer dan 4 jaar (1 verkiezingscyclus) kijken mensen niet terug. Mooie beloftes over de toekomst tellen veel zwaarder.

Dan krijg je de situatie dat politici gouden bergen beloven die ze niet waar kunnen maken maar na vier jaar maken ze zich toch een beetje zorgen over hoe weinig ze gedaan hebben gekregen (of dat nu hun eigen schuld is of een kwestie van politieke tegenwerken). Dan gaan ze proberen er een mooie draai aan te geven om toch wat successen te claimen. Dat alles samen maakt dat we een situatie hebben waarin politici onuitvoerbare opdrachten toekennen alleen maar zodat ze kunnen zeggen dat ze al het mogelijk hebben gedaan en dat hun ondergeschikten gefaald hebben bij de uitvoering.

"Ik wil dat jij vliegt door met je armen te klapperen. Zorg jij daar even voor?"
*splet*
"Weer zo'n luie en onwillige ambtenaar die een simpele opdracht weigert uit te voeren..... Next!"

Het vervelende is dat we het zelf in stand houden met ons stemgedrag. Het is helaas heel menselijk om in mooie verhalen te geloven en te stemmen op degene die het hardste schreeuwt en de hoogste bergen belooft. Een slimme boekhouder met perfect realistisch plan wordt niet gekozen.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 18:23]

R4gnax

Privacy

@CAPSLOCK2000 • 26 augustus 2022 11:06

Het vervelende is dat we het zelf in stand houden met ons stemgedrag.

Niet alleen ons stemgedrag. We moeten ook pertinent af van die draak in de wetgeving die stelt dat de huidige minister verantwoordelijk is voor de schandalen van de voorganger(s).

Dat nodigt gewoon uit tot situaties waar je gaat denken in termen van eigen behoud en met halfbakken pappen-en-nathouden oplossingen gaat komen, die het niet langer hoeven te houden dan je eigen ambtstermijn - want a/h eind ben je toch niet meer verantwoordelijk. Of dat je gevallen krijgt die puur gaan werken vanuit eigen gewin en de gevolgen alleen maar lang genoeg in de doofpot hoeven houden totdat ze zelf het veld geruimd hebben en gevlucht zijn richting de private sector.

Een echte expert zal zo'n advies ook niet geven, maar er zijn ook een hoop profiteures en charlatans die graag een graantje meepikken.

Iets over Iraanse codes en blockchain technologie, toch?

CAPSLOCK2000

Privacy
Beveiliging en antivirus
Overheid
Encryptie

@R4gnax • 26 augustus 2022 11:43

Iets over Iraanse codes en blockchain technologie, toch?

Ik denk daar toch een beetje anders over. In het land der blinden is één-oog koning. Veel Tweakers hebben meer kennis maar kunnen het niet uitleggen op directieniveau. In zo'n context is het belangrijker om de boodschap op gevoelsniveau over te brengen dan de technische nuances goed te hebben. Als ik met die mensen praat is het ook één grote analogie. Dan gaat het over "internetpijpen", "sluizen", "kluizen", "muren", "handtekeningen", "struikrovers", "grote vrachtwagens", "racefietsen", etc.. etc.. De gemiddelde Tweaker zou het hele gesprek een dubbele facepalm zitten.

Zoals wel vaker gaat alle aandacht naar de adviseur die niet goed genoeg is, ik krijg er "don't shoot the messenger" gevoelens van.
Ik zou het liever even hebben over de directie die er blijkbaar zo weinig van snapt dat ze dit nodig hebben. We hebben het hier over een groot softwarebedrijf dat blijkbaar wordt aangestuurd door mensen die van toeten nog blazen weten. Nu kun je zeggen dat de directie geen inhoudelijke kennis nodig heeft maar dan hoeft zo'n expert ook geen uitleg te gaan geven in de directiekamer. Blijkbaar vinden ze het zelf dus wel belangrijk om hier naar te luisteren (en in principe sta ik er achter dat de directie zichzelf goed informeert), maar ze gaan echt niet luisteren naar een verhaal dat ze niet snappen of dat juist onder niveau is. Als het werk van de directie is om naar experts te luisteren dan is het ook hun werk om de juiste experts te kiezen.
Achteraf zijn er wel wat stoere verhalen te horen maar dat is allemaal van na die uitzending. Ik ben dus niet overtuigd dat ze het echt snappen en niet domweg de ophef op TV napraten.

Dit was misschien een beetje een lange zijstraat maar uiteindelijk komen we terug bij het onderwerp. Bestuurders die zelf geen inhoudelijke kennis hebben en daarom denken in abstracte en nauwe doelen waarvan ze de consequenties niet overzien. Hierdoor ontstaat de neiging om te luisteren naar de adviseur die "fijn" of "makkelijke" advies geeft, los van de vraag of dat ook goed advies is.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 18:23]

R4gnax

Privacy

@CAPSLOCK2000 • 26 augustus 2022 23:17

Dit was misschien een beetje een lange zijstraat maar uiteindelijk komen we terug bij het onderwerp. Bestuurders die zelf geen inhoudelijke kennis hebben en daarom denken in abstracte en nauwe doelen waarvan ze de consequenties niet overzien. Hierdoor ontstaat de neiging om te luisteren naar de adviseur die "fijn" of "makkelijke" advies geeft, los van de vraag of dat ook goed advies is.

Dat was ook waar ik op doelde. Hoe minder kennis de top zelf van een onderwerp heeft; hoe makkelijker het wordt voor iemand die niet ter goeder trouw handelt om met wat fast-talking een overtuigend verhaal neer te zetten en zichzelf binnen te krijgen.

questo @batjes • 25 augustus 2022 16:36

Stenografie is inderdaad een ding. Het was vroeger de standaard voor alle secretaresses. Ik weet niet of het nu door spraakherkenning in onbruik is geraakt... Ik vermoed dat je steganografie bedoelt.

Los van de steganografie zijn encryptie algoritmen uitgebreid gedocumenteerd en zijn er verschillende (open source) implementaties beschikbaar. Dus... leuk verzonnen om een backdoor in Whatsapp en andere big tech applicaties te willen hebben maar als de crimineel zijn berichten eerst door zijn eigen encryptiesysteem gooit en de andere kant ze vervolgens weer ontcijfert wat heb je dan als overheid gewonnen? Niets, je hebt alleen de privacy van de rest te grabbel gegooid omdat je zo nodig wilde laten zien dat je daadkrachtig tegen criminaliteit kon optreden...

Alxndr

@batjes • 25 augustus 2022 16:31

Weer eens lekker aan het trollen?

Jij hebt ongetwijfeld veel meer en relevantere kennis van zaken dan mensen zoals de voorzitter van ondernemersorganisatie voor de technologische industrie, de hoge bazen van KPN en IBM, hoogleraren Cybersecurity van de TU Delft en Computerbeveiliging van de Radboud Universiteit, de Directeur-Generaal van de AIVD, de NCTV, de plaatsvervangend commandant der Strijdkrachten, Korpschef politie en nog wat anderen.

$_/-\o_$ $_/-\o_$

koelpasta @Alxndr • 25 augustus 2022 16:57

Tja, ik zeg dit niet om te chargeren maar bij het totstandkomen van het derde rijk waren ook gewoon officiele instanties betrokken.
Om een voorbeeld dichter bij huis te geven, onze overheid, inclusief een hele zwik instanties, hebben duizenden burgers het leven verpest in wat de toeslagenaffaire is gaan heten. Die zaak is nog niet rond. Dat is dus wat de overheid en instanties ook kan zijn. Een monster.
Je maakt nu de logische fout van het blind aannemen van authoriteit. Authoriteiten kunnen slechte beslissingen nemen of zelfs bewust ondermijnend handelen. Ze kunnen in hun eigen fabels gaan geloven en ze kunnen incompetent zijn.
Blind vertrouwen op de hoge pieten bij de instanties die je noemt is hoogst naief. Lees bijvoorbeeld over de interne problemen bij de politie (meerdere zelfdodingen, chaos bij nationale politie, etc, etc,) of hoe de NCTV en AIVD buiten hun boekje opereren en gerechtelijke uitspraken negeren.

Alxndr

@koelpasta • 25 augustus 2022 17:18

Wie zegt dat ik blind vertrouw op de overheid of 'hoge pieten'? En waarom zou je denken dat ik niet(s) weet van de toeslagen- en alle andere affaires/schandalen waar de overheid/instanties/bedrijven (bijna) crimineel gehandeld hebben of nalatig zijn geweest?

Je haalt er vanalles bij en probeert me in het naïeve hokje te drukken, terwijl ik het enkel over deze uitspraak van batjes heb:

"De mensen die zich bezig houden met dit besluit, hebben absoluut geen enkel idee waar ze mee bezig zijn"

Dit is gewoon klinklare onzin, dat snap je hopelijk ook wel. Het is hier niet de Amerikaanse senaat.

Ik probeer alleen aan te geven dat de mensen die er mee bezig zijn (in ieder geval op papier) goede kwalificaties en veel ervaring hebben - zeker getuige het advies waar dit artikel over gaat?!

Bovendien laten we wel wezen, ondanks alles wat er wel (heel erg) mis gaat, is NL nog steeds een van de meest ontwikkelde landen met een van de hoogste levensstandaarden. Voor minimaal 95% van de mensen gaan zaken 95% van de tijd wel gewoon goed.

Ja 5% van bijna 17 miljoen Nederlanders zijn er bijna 1 miljoen, en dat zijn er heel veel, maar de overige 16 miljoen kun je niet voor het gemak maar aan de kant schuiven.

Volv 25 augustus 2022 15:58

De reden dat het overheden zorgen baart dat er steeds sterkere encryptie gebruikt wordt is enkel en alleen omdat dit hun macht over het volk ondermijnt. Dat de maatschappij er als geheel beter van wordt dat er overal zo sterk mogelijke encryptie wordt toegepast is niet relevant voor ze. Is een overheid er om zichzelf als controlesysteem zo machtig mogelijk te maken of is een overheid er om een maatschappij te dienen?

Verwijderd @Volv • 25 augustus 2022 16:11

Nu maar hopen dat onze minister dat ook zo begrijpt. Ze hoeft enkel naar haar eigen geschiedenis te kijken:

In 1984 kwam ze met haar moeder en zusje naar Nederland, nadat haar vader, de Turks-Koerdische mensenrechtenactivist Yücel Yeşilgöz[1], drie jaar eerder Turkije als politiek vluchteling had verlaten vanwege zijn vakbonds- en andere politiek getinte activiteiten.

deMercer

@Verwijderd • 25 augustus 2022 19:49

In 1984 …

Dat jaartal moet iets betekenen …

Verwijderd @deMercer • 26 augustus 2022 10:32

Dat was mij nog niet eens opgevallen. Toevallig, inderdaad.

Jimbolino 25 augustus 2022 18:12

Grappig dat de overheden dit zelf veroorzaakt hebben.
De reden dat e2e encryptie steeds populairder wordt, komt natuurlijk doordat er zo massaal afgeluisterd wordt door overheden.

Als in de toekomst massaal gebruik wordt gemaakt van "bedrijfslogs", dan worden de diensten zonder logging vanzelf populairder.
En dan moet er weer een nieuwe manier verzonnen worden om burgers af te luisteren.

Ik zie 2 mogelijke uitkomsten:
- burgers accepteren dat ze geen privacy hebben
- overheden beperken het aantal afluisteracties

De cynicus in mij zegt dat we al bij scenario 1 zijn aanbeland

Op dit item kan niet meer gereageerd worden.

'Hacken en bedrijfslogs opvragen kan alternatief zijn voor encryptieverzwakking'

Lees meer

Reacties (58)

Sorteer op:

Weergave: