Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Sander van Voorst

Nieuwsredacteur

Datalekken, botnets en encryptie

Oude thema's werpen nieuwe vragen op

Tot slot

Hoewel de drie besproken thema's niet de enige belangrijke gebeurtenissen waren, zo zou je bijvoorbeeld ransomware en uitgelekte NSA-hacktools hieronder kunnen scharen, zijn het onderwerpen die de komende tijd nog aandacht zullen blijven vragen. Alle drie riepen zij soortgelijke reacties op: botnets en datalekken leidden tot oproepen tot regulering omdat bedrijven zelf niet genoeg maatregelen nemen. Maar ook als bedrijven dat juist wel doen en bijvoorbeeld standaard sterke encryptie voor een miljard gebruikers introduceren, leidt dit tot een overeenkomstige reactie. Ook hier zijn er landen die pleiten voor regulering, omdat opsporingsdiensten 'in het duister tasten'.

Het is onduidelijk hoe het verloop van de drie onderwerpen eruit zal zien. Momenteel lijkt er geen wetgeving over encryptie op handen te zijn, maar er kan een hoop veranderen in een jaar tijd. Wellicht komt er wel helemaal geen wetgeving, omdat opsporingsdiensten in Nederland binnenkort apparaten mogen hacken. Maar ook die wetgeving is nog niet gegarandeerd, omdat het er in de Eerste Kamer om zal spannen of het voorstel aangenomen wordt.

Datalekken zullen volgens experts aan de orde van de dag blijven, omdat de waarde van gegevens alleen maar toeneemt. Een meldplicht zorgt ervoor dat er meer bewustzijn ontstaat, maar is nog geen oplossing van het probleem. Wij hebben ook nog niet de laatste ddos-aanvallen door iot-botnets gezien. Op dat gebied is het wachten op een gebeurtenis die genoeg impact heeft om een beweging voor daadwerkelijke verbetering van de beveiliging voort te brengen. Volgens beveiligingsexperts gebeurt dit alleen als consumenten direct de impact voelen, bijvoorbeeld doordat hun iot-apparaten niet meer werken.

Reacties (108)

Wijzig sortering
Ik word er al helemaal naar van als ik eraan moet denken dat ik echt moet gaan letten op wat ik typ, omdat de overheid (en als de overheid gebruik kan maken van een backdoor, dan kunnen kwaadwillende dit ook) mee kan kijken met wat jij typt of ooit hebt getypt. Als het echt daadwerkelijk zo is dat straks Nederland, gevolgd door de EU, geen privacy meer heeft, lijkt het erop dat Nederland + de rest van de EU, langzamerhand een dictatuur gaat worden. Hier in Nederland hebben we gelukkig nog wel een goed zeggenschap wat betreft regels en wetten. Maar als dat betekent dat er zometeen een wet komt die verplicht dat WhatsApp, Signal en Wire een backdoor moeten inbouwen, zodat de overheden lekker kunnen meelezen (en dus ook kwaadwillende), dan is het dag met de privacy en dan wordt het opletten met wat je zegt/schrijft. Dit zien we natuurlijk al lang in Turkije. Als je daar Erdogan beledigt, wordt je meteen op het matje geroepen. Weg vrijheid van meningsuiting. Nu verwacht ik niet dat als je hier wat negatiefs zegt over een minister, of onze minister-president dat je dan meteen wordt aangesproken (gelukkig). En natuurlijk kunnen WhatsApp, Signal en Wire etc er voor kiezen om niet mee te werken aan het inbouwen van een backdoor, maar wat we vergeten is dat Nederland en de EU, ook dan gewoon kunnen zeggen "tsja, dan blokkeren we gewoon WhatsApp als jullie niet mee willen werken" alhoewel me dat wel érg krankzinnig lijkt. Dat blokkeren zal dan ook wel niet lang duren, want het lijkt me stug dat mensen van de overheid (inclusief eerste en tweede kamer) géén WhatsApp gebruiken. WhatsApp is immers de chatdienst met het meest aantal gebruikers.
De politie kan die helft in specifieke gevallen met waarborgen opvragen en de ontbrekende helft vervolgens met brute force achterhalen. Dat kost rekenkracht, waardoor er een barrière zou ontstaan tegen het massaal inzetten van deze mogelijkheid. Jacobs stelt dat er naast deze mogelijkheid nog allerlei andere manieren te bedenken zijn.
Lijkt me onmogelijk. WhatsApp maakt gebruik van veel keypairs, en de encryptie is veels te sterk. Dat kost zodanig veel rekenkracht dat je jaren bezig zal zijn, en dan heb je nog maar 1 bericht van 1 contactpersoon :') (want forward secrecy).
Het blokkeren en inbouwen is zinloos, zoals al in het artikel wordt vermeldt, want terroristen (en anderen die je écht op wilt pakken) gaan toch wel over op alternatieven..

Dit jaar waren er echt absurd en schrikbarend veel datalekken. Vaak word ik door mijn ouders, vrienden en kennissen voor gek verklaard, omdat ik volgens hun een fobie/angst heb ontwikkeld om accounts aan te maken :+. Ik zelf vind dit overdreven, maar vanwege al die grote datalekken, vertik ik het om voor kleine dingetjes een account aan te maken. Je kan natuurlijk fake gegevens invullen, maar het is ook het idee "wéér een account erbij". Daar zit ik niet op te wachten. Bovendien, als er een datalek heeft plaatsgevonden, dan kunnen de hackers alsnog aan jouw metadata komen..
Natuurlijk zijn er ook grote belangrijke dingen om een account voor te hebben. Denk maar aan een DUO account. Het gaat bij mij om vertrouwen. Hoe weet ik zeker dat bedrijven/websites veilig/goed met mijn gegevens omgaan? Toevallig heb ik vorige week een gesprek/chat gehad met OnePlus. Ik heb gevraagd hoe onze gegevens worden opgeslagen. Het antwoord was "encrypted". Ja, allemaal heel leuk en aardig, maar als het met zwakke encryptie wordt beveiligd, heb je er natuurlijk niks aan. De OnePlus medewerker heeft mij belooft dat de systeembeheerder/ontwikkelaar contact met mij opneemt via e-mail. Dan krijg ik dus een antwoord te horen over hoe onze gegevens worden opgeslagen, en met welke encryptie. Ik zal dan, als het zover is, Tweakers hierover informeren.

Wat ik voornamelijk bij kennissen, vrienden en familieleden zie, is dat zij voor veel diensten hetzelfde wachtwoord gebruiken, want tsja, dat is makkelijk om te onthouden. Dat is natuurlijk extreem riskant om dat te doen bij grote diensten, maar als jij hetzelfde wachtwoord gebruikt bij 8 ball pool, als bij een ander internetspelletje, maakt dan natuurlijk niet zo heel veel uit. Het gaat er natuurlijk om dat je bankaccount wachtwoord niet hetzelfde moet/mag zijn als die van een account waar een groot bedrijf boven zit. Natuurlijk hebben we geleerd (hopelijk) dat de grootte van het bedrijf niets zegt over de encryptie/beveiliging daarvan. Kijk maar naar LinkedIn. Groot bedrijf, maar 1 miljard 'klant'gegevens zijn gelekt (dat was het geval bij Yahoo). Ik kan er niet met mijn pet bij dat zulke grote bedrijven, zo slecht met de privacy/beveiliging omgaan. Die gezondheidssector.. je kan geen kant op. Als je zegt "sla het maar op papier op allemaal in plaats van digitaal" kom je daar niet verder mee, want immers kan dat ook uitlekken of gestolen worden of kwijtraken. Ik vraag me echt af waar dat geld heengaat, die geïnvesteerd zou moeten worden in de ICT bij de gezondheidssector. Dit soort dingen vertrouw ik dus gewoon niet. En je verliest als burger zijnde gewoon heel veel vertrouwen als er dit soort dingen gebeuren, en er heel veel datalekken voorkomen in 1 jaar..

De beveiliging van routers is echt om te janken, want elke keer op vakantie, lukt het me weer om in de router én extenders te komen. Ik kan dan van alles aanpassen, en natuurlijk zien wie er aangesloten zitten. Als ik zou willen, zou ik zelfs een eventuele NAS kunnen benaderen. Misschien dat ik hier op Tweakers een blog over ga maken elke keer als een router slecht beveiligd is, en dan de eigenaar van het desbetreffende huis over de router beveiliging informeer. Dat de beveiliging zo slecht is bij routers, komt omdat mensen hun router-firmware niet updaten. Zo had ik een keer bij een vriend een grapje uitgehaald toen hij aan het gamen was. Ik had toen de router opnieuw opgestart, en toen donderstraalde zijn internet eruit. Nadat ik voor hem de firmware had geüpdate, kwam ik er niet meer in, want hij moest verplicht een wachtwoord aanmaken voordat je de router in kon komen. Die firmware-updates zorgen er voor dat het standaardwachtwoord verplicht gewijzigd moet worden. Uiteindelijk komt het er op neer dat je verplicht gewoon de standaardwachtwoorden moet gaan wijzigen, voordat je gebruik kan maken van je router of IoT apparaat. Het lijkt mij namelijk dat dat veel zal helpen.

Zeer interessant en leuk artikel trouwens! :D

[Reactie gewijzigd door AnonymousWP op 30 december 2016 13:34]

Nu verwacht ik niet dat als je hier wat negatiefs zegt over een minister, of onze minister-president dat je dan meteen wordt aangesproken (gelukkig).
Je moet dan ook niet bang zijn voor de huidige regering, maar voor de volgende. Wat als iemand als Wilders in het zadel zit? Zou je dan al 2 keer beginnen nadenken?
Lijkt me onmogelijk. WhatsApp maakt gebruik van veel keypairs, en de encryptie is veels te sterk. Dat kost zodanig veel rekenkracht dat je jaren bezig zal zijn, en dan heb je nog maar 1 bericht van 1 contactpersoon :') (want forward secrecy).
Het lijkt me sterk dat ze per bericht een nieuwe key genereren. Waarschijnlijk is dit per chat-sessie of per tijdsinterval. Dan heb je alsnog meer data te pakken.
Daarenboven: het is wel mogelijk (al was het maar omdat een professor crypto het zegt ;) ). Als je 64bit van je 128bit AES-key beschikbaar maakt moet men nog maar 64bit brute-forcen. Het risico is echter dat door zwakheden in het algoritme er bij gedeeltelijke openbaring van de key effectief nog minder bits moeten gezocht worden (bvb 42bit, ipv 64bit). Dit is dus een risico wat we niet mogen onderschatten!

Een 2de aspect dat we niet uit het oog mogen verliezen is dat elke vorm van encryptie enkel "een uitstel tot decryptie" betekent. Wat vandaag 3jaar kost om te kraken, kost morgen 3uur. De vraag is dus of we:
- Whatsapp kunnen vertrouwen met de keys (veilige opslag tegen hackers, controle op uitlevering keys aan overheden)
- de overheid kunnen vertrouwen: order om alle keys prisma-gewijs door te sturen
- erop kunnen betrouwen dat de encryptiemethode voldoende krachtig is om zelfs bij gebrek aan bovenstaande 2 items dragnet surveillance alsnog voldoende onpraktisch te maken over de tijdspanne die wij willen.
Je moet dan ook niet bang zijn voor de huidige regering, maar voor de volgende. Wat als iemand als Wilders in het zadel zit? Zou je dan al 2 keer beginnen nadenken?
Ik heb over het algemeen een hekel aan de regering, omdat ik het graag anders zie. Wat betreft Wilders: integendeel. Ik stem voor Geert Wilders, en dat mag je best weten :). Dan wordt Nederland hopelijk weer zoals het 'vroeger' was. Nederland is helemaal naar de kl*te en dat moet eindelijk eens opgelost worden. Nederland zit tegenwoordig vol met idioten en criminaliteit. Ik ga hier verder geen discussie over voeren, want dat wordt gezien als discriminatie en racistisch. Dus dat heeft niet zoveel zin. Wat is er dan zo erg aan Wilders?
Het lijkt me sterk dat ze per bericht een nieuwe key genereren. Waarschijnlijk is dit per chat-sessie of per tijdsinterval. Dan heb je alsnog meer data te pakken.
Er wordt wel degelijk voor elk bericht een andere message key gebruikt. Zoals hieronder al wordt gezegd: WhatsApp maakt gebruik van perfect forward secrecy, wat ontwikkeld is door Open Whisper Systems. Hier wat leuk leesvoer: https://www.whatsapp.com/...p-Security-Whitepaper.pdf
https://eprint.iacr.org/2016/1013.pdf

Er wordt dus voor elk bericht een andere message key gebruikt. Je kan dus niet met een oude message key, een ander bericht decrypten. Ook niet voor toekomstige berichten.
Daarenboven: het is wel mogelijk (al was het maar omdat een professor crypto het zegt ;) ). Als je 64bit van je 128bit AES-key beschikbaar maakt moet men nog maar 64bit brute-forcen. Het risico is echter dat door zwakheden in het algoritme er bij gedeeltelijke openbaring van de key effectief nog minder bits moeten gezocht worden (bvb 42bit, ipv 64bit). Dit is dus een risico wat we niet mogen onderschatten!
Dat gaat dus niet werken, wat dus ook in bovenstaande PDF'jes staat. :)
Bovendien is de encryptie ijzersterk en zul je er dus heel lang over doen om 1 bericht te decrypten.
Een 2de aspect dat we niet uit het oog mogen verliezen is dat elke vorm van encryptie enkel "een uitstel tot decryptie" betekent. Wat vandaag 3jaar kost om te kraken, kost morgen 3uur.
Morgen is natuurlijk wat overdreven, en neem ik niet letterlijk, maar daar heb je een punt. Maar vergeet niet dat de beveiligingsonderzoekers en cryptografen ook niet stil zitten.
- Whatsapp kunnen vertrouwen met de keys (veilige opslag tegen hackers, controle op uitlevering keys aan overheden)
WhatsApp slaat alleen maar public keys op. En met public keys alleen kan je geen berichten ontsleutelen. Je hebt fysieke toegang nodig tot het toestel, aangezien daar alle belangrijke key pairs op staan. Hoe weet ik dit? Dat staat in bovenstaande PDF'jes, en het Signal protocol is open source, waardoor er veel audits zijn gedaan. Er is dus meerdere keren bewezen dat WhatsApp super veilig is.
- de overheid kunnen vertrouwen: order om alle keys prisma-gewijs door te sturen
Hoe dan? De overheid heeft immers geen toegang tot alle toestellen, en bovendien (nog) geen rechten om dat te doen.
- erop kunnen betrouwen dat de encryptiemethode voldoende krachtig is om zelfs bij gebrek aan bovenstaande 2 items dragnet surveillance alsnog voldoende onpraktisch te maken over de tijdspanne die wij willen.
En ook dat staat in de PFD'jes hierboven (waarom dat niet kan en waarom het zo veilig is) :).
Ik weet best wat perfect forward secrecy is. Ik vond het alleen eigenaardig dat ze per message een key genereren aangezien de overhead daarvoor significant is. (een round-trip per message + extra rekenkracht voor key generatie = relatief duur). Ik vond niet meteen een beschrijving, maar dat heb je met die PDF duidelijk aangebracht.
Anderzijds kan ik enkel toejuichen dat ze deze kost ervoor over hebben.

Wat is er zo erg aan Wilders? Laat me antwoorden met 2 retorische vragen:
- denk je echt dat Wilders X jaar vooruitgang/achteruitgang/... kan terugdraaien en dat dit zomaar zonder kost zal zijn?
- wat is er zo erg aan extreem links?
Ik hoef hier geen antwoord op, als je maar belooft van hier eens grondig over na te denken ;)
Dat gaat dus niet werken, wat dus ook in bovenstaande PDF'jes staat. :)
Bovendien is de encryptie ijzersterk en zul je er dus heel lang over doen om 1 bericht te decrypten.
Ijzersterke encryptie?
- Curve25519 mag dan wel een de facto standaard zijn, "op dit moment", niets zegt dat het volledig veilig is.
- AES-256 wordt als minder secure aanzien als AES-192.

De PDFjes zeggen trouwens niets over bescherming tegen decryptie als de helft van de message key gekend is. Exact waar ik op reageerde.

De beschreven attack (related key attack) zal best meevallen, zeker door de PFS, maar het "meer bits is beter" argument houdt hier geen steek.
Morgen is natuurlijk wat overdreven, en neem ik niet letterlijk, maar daar heb je een punt. Maar vergeet niet dat de beveiligingsonderzoekers en cryptografen ook niet stil zitten.
Dat kan, maar je berichten worden niet retroactief opnieuw geencrypteerd. Met andere woorden, eender welke encryptie is slechts uitstel van executie. De enige relevante vraag is: hoe lang. En met de massa-opslag van data die nu gebeurt, kan men later mogelijk relatief eenvoudig decrypten.
Whatsapp kunnen vertrouwen met de keys (veilige opslag tegen hackers, controle op uitlevering keys aan overheden)
Hier quote ik even mezelf omdat het blijkbaar niet duidelijk genoeg was. In het voorstel van het artikel wordt voorgesteld om een deel van de AES-key op te slaan bij Whatsapp. Bijvoorbeeld de eerste 128bit. Dan moeten men slechts de andere 128bit zoeken. Bekijk de rest van mijn argumentatie misschien nog even in het licht van deze info.

[Reactie gewijzigd door H!GHGuY op 2 januari 2017 20:30]

Ijzersterke encryptie?
- Curve25519 mag dan wel een de facto standaard zijn, "op dit moment", niets zegt dat het volledig veilig is.
- AES-256 wordt als minder secure aanzien als AES-192.
Misschien heb ik het verkeerd verwoord. De encryptie an sich hoeft niet per se ijzersterk te zijn, maar alles bij elkaar, en hoe het protocol werkt is gewoon veilig. Voor elk bericht een aparte message key, en het opslaan van de private keys op het toestel zelf. De combinaties van alle key(s)(pairs) maakt het zo veilig.
De PDFjes zeggen trouwens niets over bescherming tegen decryptie als de helft van de message key gekend is. Exact waar ik op reageerde.
Misschien niet letterlijk, maar uit dat PDF'je van Signal moet je toch wel kunnen halen/bedenken dat het een hele complexe manier is van encryptie.
Dat kan, maar je berichten worden niet retroactief opnieuw geencrypteerd. Met andere woorden, eender welke encryptie is slechts uitstel van executie. De enige relevante vraag is: hoe lang. En met de massa-opslag van data die nu gebeurt, kan men later mogelijk relatief eenvoudig decrypten.
Daar heb je misschien wel een punt, maar de data opslag waar jij het over hebt, heeft met NAW gegevens te maken, en wachtwoorden. Berichten van WhatsApp worden nergens opgeslagen, dus je argument vervalt. :p. Berichten worden tijdelijk (encrypted) opgeslagen op de WhatsApp servers totdat de ontvanger een (werkende) internetverbinding heeft. Zodra dat het geval is, wordt het bericht meteen verwijderd van de WhatsApp servers. Dit is dus alleen als de ontvanger geen werkende internetverbinding heeft.
Hier quote ik even mezelf omdat het blijkbaar niet duidelijk genoeg was. In het voorstel van het artikel wordt voorgesteld om een deel van de AES-key op te slaan bij Whatsapp. Bijvoorbeeld de eerste 128bit. Dan moeten men slechts de andere 128bit zoeken. Bekijk de rest van mijn argumentatie misschien nog even in het licht van deze info.
Maar je quote klopt helemaal niet, want WhatsApp slaat geen belangrijke key(s)(pairs) op, behalve de public keys, maar die zijn niet zozeer belangrijk voor de decryptie van berichten. Waar staat er dan dat de AES-key wordt opgeslagen bij WhatsApp? Als je de andere 128-bit van zo'n key hebt, betekent het volgens mij niet dat je meteen een bericht kan decrypten (want daar doel je op toch?). Dan komen we namelijk ook weer terug op PFS, wat dus betekent dat je alsnog niets aan die eerste 128-bit hebt :p.
Heb je het artikel dan echt niet gelezen?
Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen, zegt daarover tegen Tweakers: “Er zijn wel degelijk technische manieren om in bepaalde gevallen toegang te verlenen tot de inhoud van berichten, de centrale vraag daarbij is echter of dit dingen gaat oplossen.” Zo noemt hij de theoretische mogelijkheid dat telefoons de helft van de sessiesleutel van een chat met WhatsApp delen. De politie kan die helft in specifieke gevallen met waarborgen opvragen en de ontbrekende helft vervolgens met brute force achterhalen. Dat kost rekenkracht, waardoor er een barrière zou ontstaan tegen het massaal inzetten van deze mogelijkheid. Jacobs stelt dat er naast deze mogelijkheid nog allerlei andere manieren te bedenken zijn.
Daar heb ik het over. Het opslaan van een deel van de key bij whatsapp.
Ik heb het artikel wel gelezen. Maar zoals daar ook al staat is het in theorie mogelijk. Dat wilt niet per direct zeggen dat dat ook in de praktijk zo werkt. Nou, en stel dat het werkt, en je hebt op een gegeven moment de sessiesleutel, dan kan je toch nog steeds niets? Je hebt immers maar 1 keypair. Je kunt dus alsnog niets lezen :p. Sorry voor de late reactie trouwens.
1 van de mooie zaken van de encryptie die was ontwikkeld voor Signal is dat het 'perfect forward secrecy' levert: het breken van een sessie sleutel maakt het niet mogelijk oude berichten te ontsleutelen.

"In cryptography, forward secrecy (FS; also known as perfect forward secrecy) is a property of secure communication protocols in which compromise of long-term keys does not compromise past session keys. Forward secrecy protects past sessions against future compromises of secret keys or passwords."
leuk geschreven, heb alles gelezen wat je schreef.
Maar wat bedoel je met de router in komen? Dat mensen gewoonweg geen WW hebben op hun router? of het standaard WW dat achterop de router staat? Of dat ze wel een eigen WW ingesteld hebben, echter dat je door de niet geactualiseerde firmware toch makkelijk de router kon 'hacken'?
Bedankt :).

Ik bedoel gewoon de default gateway benaderen (vaak de router). Dan voer je je gebruikersnaam en wachtwoord in, en dan kan je de router gewoon configureren. Als je bijvoorbeeld je SSID van je router wilt veranderen.

Default gateways kunnen zijn:
  • 10.0.0.1
  • 172.16.0.1
  • 192.168.0.1
  • 192.168.2.1
  • 192.168.178.1
I roep al jaren dat mensen minder accounts moeten aanmaken. Leuk dat dit navolging vind.
Laten we maar heel erg hard hopen met z'n allen dat er geen anti-encryptie wet komt; of een wet die stelt dat er een backdoor in encryptie moet zitten; of sleutels die bij de provider opgevraagd moeten kunnen worden. Stel je voor dat sterke encryptie zoals in WhatsApp/Signal eigenlijk niet meer werkelijk E2EE kan zijn omdat WhatsApp verplicht wordt om de sleutels op te slaan op hun servers of om een backdoor in te bouwen waardoor alles makkelijk ontsleuteld kan worden.
Los je ook niets mee op overigens, want er zullen altijd encryptie methodes blijven bestaan zonder backdoors - dus als criminelen/terroristen echt willen: dan encrypten ze gewoon, en raak je alleen de normale burger met dit soort wetgevingen. Als je met een AK47 over straat durft te lopen in Amsterdam, dan lijkt een laagje encryptie over iets dat je verstuurd me niet iets waar je bang van wordt omdat je dan een wet overtreedt. :')

Een probleem is daarmee ook dat je dit nog aan allerlei leuke wetten kan binden enzo, maar als iets ons geleerd heeft is het wel dat sommige instanties het daar niet zo nauw mee nemen, geheime uitspraken kunnen laten doen waardoor ze die wetten stilletjes mogen overtreden - en poef: daar ligt je sleepnet.

Ik hoop dan ook dat mensen zich meer bewust worden van deze problematiek, en blijven vechten voor ijzersterke encryptie zonder allerlei zaken om het te proberen af te zwakken of "toegang onder bepaalde omstandigheden mogelijk te maken". Als er eenmaal een backdoor in zit, is het niet meer de vraag of het gekraakt wordt door derde partijen: maar wanneer.

[Reactie gewijzigd door WhatsappHack op 30 december 2016 07:10]

Je hebt meerdere soorten "anti-encyptie" beleid:

1) Verbod op gebruik encryptie (o.a. Frankrijk en Israel)
2) Decrypt verplichting, sleutel niet verstrekken = celstraf (o.a. Engeland)
3) Achterdeur

Ik denk dat achterdeur de minst erge is aangezien jij zelf kunt bepalen welke hardware/software je gebruikt. Opensource (of eisen dat source code krijgt) zal dan een opleving krijgen. O.a. in financiële sector zal men geen hardware/software willen gebruiken waar een achterdeur in zit.

Decrypt verplichting is in strijd met rechten van het mens, immers je kunt niet geacht worden aan je eigen veroordeling mee te werken.

Verbod op encryptie is ook kwalijk, aangezien je naast privacy ook voor integriteit van communicatie encryptie gebruikt.

Bovendien weet men sowieso niet hoever o.a. NSA is met kraken van veel gebruikte encryptie.

Gezien het feit dat ze ERG stil zijn en niet ageren tegen b.v. massaal (gratis) SSL gebruik, geeft al iets aan.
Ik denk dat achterdeur de minst erge is aangezien jij zelf kunt bepalen welke hardware/software je gebruikt.
Ja en nee.
Ja, want dan heb je nog enige controle.
Nee, want dan pak je alsnog de mainstream er hard mee - en wat schiet je daar nou mee op...? Echt helemaal niets. Criminelen en terroristen pakken dan iets dat wél werkt. :X

Daarnaast; de meeste mensen snappen al nauwelijks wat een sterk wachtwoord is en waarvoor dat nodig is, laat staan dat ze enig benul hebben van de waarde van encryptie. Dus die blijven waarschijnlijk vrolijk doorgaan op de backdoored troep. Daarnaast zit je nog met het probleem van apparaten. Mogen die dan nog verkocht worden zonder backdoor als ze encryptie hebben of encryptie kunnen gebruiken voor verbindingen? En kan je apparaten zonder backdoor nog wel importeren...? Ik bedoel, als je als overheid dan backdoors verplicht gaan stellen dan zullen ze wel all-in gaan ook en meerdere backdoors willen... Gatenkaas 2.0, zegmaar.

Voor een Tweaker met erg veel tijd tot z'n beschikking en de technische know-how, en het niet erg vinden sommige leuke speeltjes en handige apps compleet links te laten liggen, is het misschien te doen. (Al blijft er dan denk ik verrekte weinig over dat je kan gebruiken.*)
Maar het wordt toch knap lastig als overal backdoors ingebouwd moeten worden. :X
Ook opensource gaat je daar dan niet altijd redden. Ja, jou misschien - maar het probleem is dat de massa beveiligd moet zijn. Niet enkel jij. En als slechts een marginale hoeveelheid mensen het aannemen ben je eigenlijk geen stap verder.

* = wel interessant trouwens. Ik ben benieuwd of er een punt komt waarop wij techfanaten/security fanaten echt een streep trekken en besluiten maar gewoon weer helemaal van digitale technieken af te stappen en maar aan een traktor gaan sleutelen ofzo. :') Als er werkelijk veel van dat soort wetten komen, dan zal ik niet verbaasd zijn als digitale innovaties sterk afnemen, surveillance juist nog moeilijker wordt en de IT-sector gaat krimpen. Nu die wetten er globaal nog niet heel veel zijn in Westerse landen, zie je al veel alarmsignalen. Dat kan best escaleren. Grappig om over te denken. :)
Decrypt verplichting is in strijd met rechten van het mens, immers je kunt niet geacht worden aan je eigen veroordeling mee te werken.
Ja, dat zou je zeggen. Toch was het hier bijna voor elkaar (briljant ideetje van Ivo Opstelten destijds...), en zoals je zelf ook al aangeeft: er zijn landen waar dat soort vreselijke wetten al van toepassing zijn.
En blijkbaar zijn die juridisch gezien te rijmen met de rechten van de mens. :/
Verbod op encryptie is ook kwalijk, aangezien je naast privacy ook voor integriteit van communicatie encryptie gebruikt.
Ja, en dan nog... Willen ze SSL/TLS en dergelijken dan ook gaan verbieden?
Dat zou echt een stap vooruit zijn in deze wereld waar we eindelijk een beetje aware worden van veiligheid en zaken als SSL. :') Dan komt heel Nederland op de shitlist van Google en Mozilla te staan. :D ... :'(
Bovendien weet men sowieso niet hoever o.a. NSA is met kraken van veel gebruikte encryptie.

Gezien het feit dat ze ERG stil zijn en niet ageren tegen b.v. massaal (gratis) SSL gebruik, geeft al iets aan.
Het geeft aan dat ze geen commentaar leveren. ;)
Dat soort organisaties spreken zelden uit waar ze mee bezig zijn en wat ze zorgen baart, en soms roepen ze enkel dat iets zorgen baart omdat het ze totaal geen zorgen baart - en soms roepen ze dat mensen zich op een bepaalde dienst niet veilig moeten wanen in de hoop dat ze dan overstappen op een andere dienst. (Die onveilig is of waardoor ze opvallen.)

Nee, het zwijgen van de NSA zegt imho helemaal niets. :P Er is geen touw aan vast te knopen aan die gasten, en laat dat nu precies hun werk zijn.

[Reactie gewijzigd door WhatsappHack op 30 december 2016 08:04]

Nee, want dan pak je alsnog de mainstream er hard mee - en wat schiet je daar nou mee op...? Echt helemaal niets. Criminelen en terroristen pakken dan iets dat wél werkt. :X
Stel het zou van Whatsapp bekend worden (en daarmee ook ander IM's die zelfde techniek gebruiken) dat ze backdoor gebruiken, krijg je verzet en mensen die gaan overstappen.

Dus gezien hun businessmodel zouden ze marktaandeel verliezen en daaraan niet mee werken.

Vorige week maakte AIVD bekend (zonder enige aanleiding) dat ze bezig zijn met kraken van whatsapp. De reden daarvoor zou weleens kunnen zijn dat je bepaalde mensen ergens anders heen wilt gaan omdat dat makkelijker te kraken is en bovendien die mensen interessanter zijn om te monitoren.

Maar het idee dat je criminelen en terroristen gaat pakken met decrpyten is onzin.
Je vangt er de kneusjes mee die mogelijk als informant willen werken.
Als er iets te communiceren valt dan ligt het voor de hand om steganography te gebruiken. In een youtube fimpje van piano spelende kat kun je heel veel informatie kwijt en alleen mensen die het weten kunnen erbij.

Netflix aanrader American Odyssey

Qua hardware gebruiken mensen een PC met een backdoor.... UEFI gebruiken inlichtingen diensten en straks ook politie tegen gebruiker.
Stel het zou van Whatsapp bekend worden (en daarmee ook ander IM's die zelfde techniek gebruiken) dat ze backdoor gebruiken, krijg je verzet en mensen die gaan overstappen.

Dus gezien hun businessmodel zouden ze marktaandeel verliezen en daaraan niet mee werken.
Maar we hebben het hier niet over een situatie waarin WhatsApp dat zelf zou hebben gedaan, maar over een situatie waarin ze gedwongen zouden worden door een overheid - zoals die van Nederland. (Al zullen ze daar volkomen maling aan hebben trouwens - maar het is iets anders als de USA backdoors verplicht stelt... Dan moeten ze wel; of ze moeten verhuizen naar een ander land.)

Dus er is dan geen "daaraan niet meewerken" situatie, ze zullen wel moeten.
En dan heb je het niet enkel over WhatsApp, maar over allerlei diensten, producten en apparaten - allemaal moeten ze als zo'n wet erdoor komt backdoors aanbrengen in de encryptie; anders zijn ze illegaal. Dus je iPhone met hele goede filesystem encryptie? Ja jammer, moet een backdoor hebben. Je harde schijf encrypten met software die meegeleverd wordt met het OS? Ja jammer, moet een backdoor hebben.
En geloof mij nou: de meeste mensen gaan echt niet de moeite doen om dan maar de non-backdoored FOSS spullen te pakken. Of het interesseert ze niet, of het is ze teveel moeite, of je krijgt dat eeuwige "Ja maar ik heb toch niets te verbergen!" onzin riedeltje weer te horen.

En zo is het cirkeltje weer rond.
Ergo: gewoon niet doen, zulke wetten. :P
Vorige week maakte AIVD bekend (zonder enige aanleiding) dat ze bezig zijn met kraken van whatsapp. De reden daarvoor zou weleens kunnen zijn dat je bepaalde mensen ergens anders heen wilt gaan omdat dat makkelijker te kraken is en bovendien die mensen interessanter zijn om te monitoren.
Dat is dus precies wat ik bedoelde met die laatste alinea over de NSA. ;)
De AIVD is vast en zeker bezig met het proberen te kraken van Signal Protocol, maar ik wens ze er heel veel succes mee. Het enige nut wat je hebt met het hard roepen ervan op dit moment is idd het overstappen naar andere diensten proberen te bewerkstelligen. Ik denk ook dat ze sneller de devices waar het op draait in kunnen komen, dan in-transit WhatsApp berichten onderscheppen en ontsleutelen...
Maar het idee dat je criminelen en terroristen gaat pakken met decrpyten is onzin.
My point exactly. :)

[Reactie gewijzigd door WhatsappHack op 30 december 2016 08:26]

Wie zegt dat het niet nu al het geval is?

In financiële sector is voor security producten dual vendor policy.

Dus een Checkpoint en daarachter of voor b.v. een Cisco Pix.

Ik grapte altijd "Mossad" en "NSA" inside security solutions. Maar dat snappen mensen niet. Totdat na jaren eens iets uitlekt over backdoors.

Maar los van doorsnee mensen/bedrijven.
Criminelen en terroristen zullen gewoon helemaal geen Internet gebruiken "beroepsmatig".

Een crimineel/terrorist zonder telefoon zonder internet zonder tablet zonder PC..... zonder pen en papier..... die periodiek in een disco met hand voor de mond zijn "vrienden" spreekt kun je straks niet meer recherche omdat men zo gefocust is op (data)communicatie.

Bovendien wat hebben ze te communiceren?
Als Kees in Syrië plan + middelen heeft gekregen om een aanslag te plegen, dan kan hij autonoom aan de gang gaan.

Als Kees in Colombia transport regelt voor wat kilo's coke, dan hoeft daar verder niet over gecommuniceerd te worden..

etc...

Ze kunnen beter de middelen die ze nu gebruiken op inperken van privacy voor iedereen op financieel rechercheren.

Dat is namelijk enige constante in gevallen van criminaliteit en terrorisme.

Een illegaal die in Berlijn een aanslag pleegt, heeft op e.a. manier centen binnen geharkt.

Als je contant geld afschaft maak je alles inzichtelijk (ja is funest voor privacy.)
Wie zegt dat het niet nu al het geval is?
Plausibiliteit.
Maar los van doorsnee mensen/bedrijven.
Criminelen en terroristen zullen gewoon helemaal geen Internet gebruiken "beroepsmatig".
Oh jawel hoor.
Sterker nog: die doen het vaak zonder enige vorm van encryptie.
En dan nog worden ze niet gepakt of tegengehouden. Neem Bataclan. Dat is gewoon in plain-text over SMS gecommuniceerd allemaal. Of bij de Boston Marathon - pas achteraf hebben ze het teruggezocht wat er allemaal op internet gedaan en uitgezocht is; en dat terwijl een van die gasten al onder toezicht lag. Allemaal plain-text, en het heeft niets voorkomen.

Encryptie verbieden/backdooren is niet enkel iets dat averechts zal werken, het heeft ook gewoon geen zin.
Een crimineel/terrorist zonder telefoon zonder internet zonder tablet zonder PC..... zonder pen en papier..... die periodiek in een disco met hand voor de mond zijn "vrienden" spreekt kun je straks niet meer recherche omdat men zo gefocust is op (data)communicatie.
Ik denk dat het grootste deel van de nuttige info op dit moment nog altijd komt van veldmensen en gedegen onderzoek. De grootste hoeveelheid informatie komt van digitale kanalen, maar dat wil nog niet zeggen dat het bruikbaar is of direct te interpreteren valt. Ik denk niet dat de focus daar helemaal op ligt. Die veiligheidsdiensten zijn ook niet achterlijk. :)

[Reactie gewijzigd door WhatsappHack op 30 december 2016 08:42]

Beste voorbeeld is Osama Bin Laden.

Die bijna 10 jaar spoorloos was en achteraf geen gebruik bleek te maken van "ezel post" om te communiceren.

Had hij dat anders of niet gedaan, waren ze nog steeds naar hem opzoek geweest.

Zoals ik aangeef je pakt alleen kneusjes/kleine visjes.

Even los hiervan, de mensen ACHTER de leiders blijven helemaal buiten schot, immers geld komt ERGENS vandaan.

En als je ziet hoe moeilijk de Amerikanen doen over het publiceren van onderzoeksrapport inzake rol van Saudi Arabië in 9/11 zegt dat al genoeg waar de prioriteiten liggen. En dat was al duidelijk vlak na 9/11 toen bleek dat Saudiërs ondanks vliegverbod het land konden verlaten.

http://edition.cnn.com/20...saudi-prince-bandar-9-11/

Verder blijkt uit Cables op Wikileaks dat Amerikaanse inlichtingendienst feitelijk meer bezig zijn met commerciële belangen.
Mensen massaal overstappen? Zelfs de overnamen door Facebook was niet genoeg reden om mensen van WhatsApp af te krijgen. Terwijl het zelfs op de tv is geweest Inc alternatieve. Maar mensen bleven stug bij whatsapp. En 90% van de mensen heeft niets te verbergen zeggen ze. En vrijwel alles wat ik via whatsapp verstuur zou de rest van de wereld mee mogen lezen. Ik zal hooguit iets kritischer zijn met bepaalde dingen die is verstuur. Maar er zal weinig veranderen.
Komt ook door sociale druk, je kunt er niet om heen omdat iedereen waar je mee wilt communiceren het gebruikt.

Aan de andere kant wat mis je als je het niet gebruikt?
Stel het zou van Whatsapp bekend worden (en daarmee ook ander IM's die zelfde techniek gebruiken) dat ze backdoor gebruiken, krijg je verzet en mensen die gaan overstappen.

Dus gezien hun businessmodel zouden ze marktaandeel verliezen en daaraan niet mee werken.
Ja, net zoals toen iedereen massaal overstapte op andere diensten toen whatsapp data ging delen met facebook.

1) netwerk effect is sterker dan je denkt
2) meeste mensen geven hier geen zak om/snappen er geen zak van
"Stel het zou van Whatsapp bekend worden (en daarmee ook ander IM's die zelfde techniek gebruiken) dat ze backdoor gebruiken, krijg je verzet en mensen die gaan overstappen."

Het zou niet goed voor de PR zijn, maar er zal weinig verzet zijn. Tot een jaar geleden was er geen E2E encryptie en WhatsApp groeide gewoon door in gebruik. Ook alternatieven die toen als uniek voordeel encryptie hadden, zijn niet breed omarmd.

De simpele conclusie is dat de meeste mensen het ofwel niet interesseerd, ofwel men begrijpt uberhaupt niet waar het over gaat.
Decrypt verplichting is in strijd met rechten van het mens, immers je kunt niet geacht worden aan je eigen veroordeling mee te werken.
Nee dus. Zo ver strekt het nemo-tenetur beginsel helemaal niet. Je moet immers bij bedrijfsfraude ook je boekhouding overleggen en bij alcohol achter het stuur ook een blaastest afleggen.

https://nl.m.wikipedia.org/wiki/Nemo-teneturbeginsel
Boekhouding niet overleggen is op een op zichzelf staand strafbaar feit.

En dat geldt ook indien je niet meewerkt aan alcohol controle:
https://www.om.nl/vaste-o...478/verplicht-mee-werken/
Waarmee dus is aangetoond dat wel degelijk meegewerkt kan worden aan de eigen veroordeling.

Overigens heb ik het niet over het Nederlandse recht, want ik reageer op iemand die het koppelt aan 'de rechten van de mens'.

In de Nederlandse wet kan decryptie niet afgedwongen worden, maar het is niet in strijd met de internationale mensenrechten.
Nee dat is anders.

Het is toegestaan om je boekhouding digitaal op te slaan.
Echter de voorwaarden zijn wel het zelfde als met papieren boekhouding.

Stel je zou uit veiligheidsoverweging je boekhouding versleuteld opslaan.

Op het moment dat ze b.v. voor een fiscale audit of in een fraude onderzoek je boeken opvragen, dan dien je ze te verstrekken.

Dat ben je namelijk verplicht, als je verzuimd die te verstrekken (of ze zijn er gewoon weg niet) dan overtreed je al wetgeving.

Het heeft niets met de versleuteling te maken.

Stel zelfde scenario voor maar het gaat om privé boekhouding.
Dan is er sprake van omgekeerde bewijslast. Je krijgt gewoon een aanslag en veroordeling zonder dat ze daar je boeken voor te hebben ingezien en dan ben je er zelf bij gebaat om open kaart te spelen.

De informatie die ze nodig hebben om je te veroordelen hebben ze vaak al.

Om EVRM recht te halen, heb je waarschijnlijk hier al alle gerechtelijke trajecten doorlopen en zit je al vast. Tegen de tijd dat EVRM in je voordeel is uitgesproken ben je jaren verder.

In Nederland kan "nog" niet afgedwongen worden. Echter zijn er wel zaken bekend waarin mensen en data dragers in gijzeling zijn genomen door het OM (en goedkeuring van rechtbank) omdat ze informatie niet wilde verstrekken.

Stel iemand geeft je encyrpted data + private key in beheer, dan kan je gewoon gegijzeld worden.
Dat is toch zijn punt? ;) Die wetten laten dus zien dat er limieten zitten aan wat wel en geen schending van je mensenrechten zijn. Als ik stomdronken in een ademanalyse apparaat blaas werk ik toch mee aan m'n eigen vervolging...? (Al kan je trouwens wel weigeren, maar dan geven ze de maximale straf ipv op basis van hoeveel promille je zou hebben geblazen. Bij 2 biertjes weigeren is dan dus een goed voorbeeld van een erg domme zet en t voor jezelf erger maken.)
Als dat geen schending van de rechten van de mens is en die wet prima toegestaan is, dan is het verplicht ontsleutelen van versleutelde informatie dus ook niet per definitie een schending van dat recht.

[Reactie gewijzigd door WhatsappHack op 30 december 2016 09:22]

Ben ik het niet helemaal mee eens. I denk dat de Decrypt verplichting de beste optie is. In de eerste plaats voorkomt dit massa surveillance. Pas als iemand wordt verdacht van een strafbaar feit en een rechter heeft bepaald dat de bewijzen icm de verdenking zo zwaar is dat hij opdracht geeft aan verdachte tot decryptie hoeft iemand dat te doen. Komt eigenlijk neer op een huiszoekingsbevel. En dat hebben we al lang in Nederland en hoor ik erg weinig mensen over.
Ik geloof dat we in het verleden ook een wet hadden die het verplichte om een kluis te ontsluiten. maar die weet ik niet meer zeker.
Het komt niet neer op huiszoekingsbevel.

In westerse landen hebben ze iets als bescherming van mentale/fysiek integriteit.
Daarom martelen ze hier niet structureel (ja, als je politie man slaat, kan je weleens struikelen op de trappen van politie buro)

Op het moment dat je onderhevig bent aan gijzeling (vasthouden totdat je meewerkt) dan verschuif je die grenzen, omdat je in eerste instantie niet aan je eigen veroordeling hoeft mee te werken, maar bovendien ze iets eisen wat in je hoofd zit.

En dan kom je snel in de situatie of je vrijheid van gedachte hebt.

Als je is SCIFI context denkt..... wil jij een chip in je hoofd die je een schok geeft iemand je iemand iets negatiefs toewenst omdat hij op je tenen stond?

Het is gewoon zo dat je met inperking van rechten je alle mensen verdacht maakt.

En dat is structureel fout.

Bovendien wat lost het op? Als je echt veiligheid van mensen wilt beschermen, waarom doe je dan niet iets aan verkeersveiligheid? In de meeste landen (behalve waar oorlog is) sterven er jaarlijks meer mensen direct/indirect door verkeersongelukken dan door terroristische of criminele oorzaak.

Ik denk dat als dat andersom zou zijn geweest, niemand (inclusief mijzelf) er een probleem mee had gehad.
Je bedoeld het verbieden van end-to-end encryption zeker. Dat gaat nooit werken, omdat iedereen alle software op zijn computer kan installeren die ze zelf willen.

Twee is onethisch omdat het tegen het nemo tenetur principe ingaat. Dat gaat hoe dan ook succesvol aangevochten worden.

Drie zou kunnen, maar kan rampzalig uitpakken als het bekend wordt.
3) Achterdeur
Ik vind dat de ergste. Hij geldt voor iedereen, dus ook kwaadwilligen, voor zover ik de overheid nog niet kwaadwillig mag vinden.
Als een achterdeur verplicht wordt dan maakt het niet uit wat jij of de financiële sector willen. Je hebt dan de keus tussen geen hardware/software gebruiken of de hardware/software gebruiken met de juiste achterdeur of je krijgt een zware straf als je software/hardware gebruikt zonder de juiste achterdeur/

Er van uitgaande dat de wetgeving internationaal breed genoeg van toepassing is zal dit voor OpenSource een enorm probleem worden. De meeste bijdragen komen van bedrijven en traceerbare ontwikkelaars. Deze zullen de keus hebben tussen stoppen of meewerken.

Er zullen een aantal anonieme ontwikkelaars komen/zijn die versies gaan maken zonder achterdeur maar dat zal het juridisch equivalent zijn van mensen die wapens leveren aan criminelen. En vroeger of later krijgen ze die te pakken.
Een probleem is daarmee ook dat je dit nog aan allerlei leuke wetten kan binden enzo, maar als iets ons geleerd heeft is het wel dat sommige instanties het daar niet zo nauw mee nemen, geheime uitspraken kunnen laten doen waardoor ze die wetten stilletjes mogen overtreden - en poef: daar ligt je sleepnet.
Eens met de slag vóór de bescherming van de encryptie !

Het sleepnet wat men nu gebruikt is niet adequaat.
De recente aanslag in Berlijn is een prima voorbeeld, de man was in beeld, had diverse overtredingen en misdragingen gedaan, en bleef verder buiten schot.
Maar wat mij meer zorgen baarde, waren de nieuwsberichten achteraf,
( pas op - paranoïa lijkt op de loer te liggen met de volgende uitspraak ;) )

- de truck had GPS/GSMtracking ( standaard in die wereld, de transporteur wil graag zijn personeel controleren )
Er was al vanaf 16u geen contact meer met de chauffeur, buiten blijven bellen, welke actie nog meer ?
Wat is dan het nut van die track en trace, waar altijd geroepen werd 'Het is OOK voor jouw veiligheid' ?
( trouwens een fout van de ondernemer, niet de overheid )

Daarna volop in het nieuws, de dader was door Nederland gereisd ... verbazing alom ... waarom ?
We hebben toch vrij vervoer van personen en goederen binnen de EU, want 'makkelijker'
Dan gaan dit soort excessen er OOK doorheen.
Maar het meest frappante vindt ik de vermelding "hij had een gratis simkaart gekregen"
Hier komt mijn paranoïa kijken, is dat echt zo'n probleem ?
Of is dat een opzet naar het graag geziene ( overheid ) verbod op niet geregistreerde pre-paid simkaarten, de spreekwoordelijke stok om het EINDELIJK door te zetten.

De overheid ( sommige diensten ) willen zó graag alles zien en weten, maar men vergeet dat het OOK verwerkt moet (kunnen) worden ....
Dat verwerken is dan ook een van de grootste pijnpunten. Ze leggen enorme databases aan van onderschepte info, waar meer volslagen waardeloze info in staat (vaak van onschuldige burgers) dan nuttige informatie. Toch wordt het bewaard. Het uitzoeken is als zoeken naar een naald in de hooiberg en kan door de kwantieit niet adequaat gedaan worden... En toch doen ze het en willen ze het graag doen.
Ik blijf me afvragen waarom en voor welk doel...

[Reactie gewijzigd door WhatsappHack op 30 december 2016 09:18]

Dat verwerken is dan ook een van de grootste pijnpunten. Ze leggen enorme databases aan van onderschepte info, waar meer volslagen waardeloze info in staat (vaak van onschuldige burgers) dan nuttige informatie. Toch wordt het bewaard. Het uitzoeken is als zoeken naar een naald in de hooiberg en kan door de kwantieit niet adequaat gedaan worden... En toch doen ze het en willen ze het graag doen.
Ik blijf me afvragen waarom en voor welk doel...
Elk bericht over een sleepnet, zie ik mijn hobbykamer voor me.
Alles wordt bewaard, misschien nog nodig binnenkort... weggooien is zonde
Alles wordt bewaard, misschien nog nodig binnenkort... weggooien is zonde
Haha :') Met andere woorden: misschien moeten we eens een hoarding-specialist/psycholoog bij de overheid/veiligheidsdiensten langssturen? ;)

Ik zie ze al van dat programma "Hoarders" staan bij de AIVD, cameraploeg en alles... "Meneer Bertholee, mogen we deze array schijven op de "weggooien" stapel leggen? De data is al jaren oud, onbruikbaar en tot zover onschuldig". NEE! Die data is super handig, die wil ik niet wegdoen!! "Ok Rob, okee!! Geen probleem, geen probleem - rustig blijven. Dan bewaren we deze schijven wel... Maar wat dacht je van deze server dan, kan die wel weg?". Et cetera. ;)

... Geweldig idee voor een sketch. :P

[Reactie gewijzigd door WhatsappHack op 30 december 2016 09:39]

Elk bericht over een sleepnet, zie ik mijn hobbykamer voor me.
Alles wordt bewaard, misschien nog nodig binnenkort... weggooien is zonde
Herkenbaar. Zo ben ik (al maaaanden) bezig met het uitzoeken en bewerken van de toen nog niet-verboden muziekdownloads. Ik ben momenteel bij de dl's van 2004.
Het is meer een bezigheid dan een iets dat ooit klaar zal zijn.
Jaargangen ''oud papier'' die nog gelezen moeten worden. Zucht.
Die downloads zijn dan nog te plaatsen op een 15x10x3cm blokje :)
Dat papier wordt al lastiger hé

Vergeet die verdraaid handige curverbakken niet, vol met kabels, plugjes, schroefjes en schakelaartjes ...
Die downloads zijn dan nog te plaatsen op een 15x10x3cm blokje :)
Daar staan ze al. Maar nu nog zien dat je al die twaalf ide-schijven kopiedingest naar een plek waar ze bewerkt kunnen worden.
Dat papier wordt al lastiger hé
Meerdere ''twin-towers'', Ik ben de stapel-gek van de buurt.
Las trouwens pas nog in de krant dat Nederland in 2016 niet meedoet aan voetbalkampioenschappen. Over nepnieuws gesproken.
Krant uit april.
[...]
Krant uit april.
Jij wint, kranten gaan bij mij de grote hoop op.
Wel kan ik ergens het FTDartikel terugvinden ... hoop ik .... ( mijn eega ruimt nl. wél op !

( mijn schoonmoeder kan het trouwens nog beter .... die zette afgelopen voorjaar 30kilo <duur> rookhout bij het oud papier :| )
Er was al vanaf 16u geen contact meer met de chauffeur, buiten blijven bellen, welke actie nog meer ?
Wat is dan het nut van die track en trace, waar altijd geroepen werd 'Het is OOK voor jouw veiligheid' ?
Wellicht is Track-n-Trace handig om een gestolen truck terug te vinden. Zoals mensen ook gps gebruiken en zo om hun tablet, laptop of iphone terug te vinden na diefstal..
Men hoeft natuurlijk niet meteen panisch te reageren als je even niet kunt zien waar je truck is. Het is geen verdwenen peuter.
Jij hebt geen ervaring met truckbedrijven ?

De vrijheid van die chauffeurs is de laatste jaren enorm ingeperkt.
Waar je tot zo'n 10 jaar geleden nog wel ergens wat kon 'rusten' buiten je verplichte half uurtje schaft, krijg je bij ongeplande stilstand direct je planner aan de lijn.

Zoals ik al aangaf, de chauffeurs die met die systemen werken, worden voorgehouden dat het hun veiligheid ten goede zou komen, maar het is gewoon een technologische zweep, een monitoringtool

edit: en niet alleen truckingbedrijven, maar ik zie het ook gebeuren bij de monteurs in ons bedrijf.
Als een servicewagentje te lang bij het verkeerde adres staat ( lees niet in loop afstand ) krijgt de planning een signaal, en moet de monteur dat verantwoorden.
Even afwijken van de route om bij de Mac of een frietje te kopen is er niet bij, past niet in het "reisschema" van de dag.
( en dan al helemaal niet een werkbon afleveren met meer dan 8u die dag, ondanks dat het zo gepland zou zijn )

[Reactie gewijzigd door FreshMaker op 30 december 2016 15:43]

Jij hebt geen ervaring met truckbedrijven ?
....maar het is gewoon een technologische zweep, een monitoringtool
Neen geen ervaring. Als monitoringtool werkte het in ieder geval niet goed.
Krijg je de chauffeur niet aan de lijn, wat dan ?
Duitse politie bellen en hem laten opsporen omdat de chauffeur mogelijk langer schaft dan de bedoeling was.? De politie ziet je aankomen.
[...]

Neen geen ervaring. Als monitoringtool werkte het in ieder geval niet goed.
Krijg je de chauffeur niet aan de lijn, wat dan ?
Duitse politie bellen en hem laten opsporen omdat de chauffeur mogelijk langer schaft dan de bedoeling was.? De politie ziet je aankomen.
en dáár ligt dus het probleem, het wordt "verkocht" ( lees smoes ) aan de chauffeur met de insteek op veiligheid.

'Nee Pjotr ... het is niet om jou te controleren, het is om de truck EN jou veilig te houden.
Als er iets gebeurt, kunnen we dat direct zien, en je te hulp schieten.
We bellen direct de politie'

Ik heb ervaring met die wereld, gelukkig vér voor dit soort grappen, maar mijn surveillancevoertuig kreeg ook steeds meer 'snufjes'
Collega's die er blij mee waren.
+ altijd een navigatie voorhanden
+ direct contact met collega's op de meldkamer
+ geen eigen GSM meer nodig, want de auto had alles aan boord
Daarna kwam de camera onboard, ook veiligheid ...

En op de periodieke bespreking kreeg menigeen 'ineens' een mindere beoordeling, want :
- te snel gereden
- te onzuinige routes
- stilstand niet op peil
- voertuig te lang onbeheerd gelaten ( we moesten een klokpunt scannen als we uitstappen, dan klookpunt object |in| - ronde maken |uit| en voertuig |in|

* FreshMaker was al wantrouwend op extra gadgets "gratis" van de baas, maar na die tijd van misbruik nog meer !
Dat gaat er nooit en te nimmer komen. De backlash van het publiek zou vreselijk zijn.

Ik maak me eerder zorgen dat de Amerikaanse overheid Facebook onder drukt zet om stiekem code in te bouwen om toch de gesprekken te kunnen lezen, zoals bij Skype ook is gebeurd.

Daarom denk ik dat er toch in de toekomst een opening gaat ontstaan voor een open-source WhatsApp clone, die vergelijkbare versleuteling gebruikt.
Ik maak me eerder zorgen dat de Amerikaanse overheid Facebook onder drukt zet om stiekem code in te bouwen om toch de gesprekken te kunnen lezen, zoals bij Skype ook is gebeurd.
Bedoel je voor Facebook Messenger? Dat gaat lastig denk ik. De basis van de encryptie van Messenger, is namelijk het Signal protocol.
De vraag is alleen hoeveel mensen dat gebruiken. De normale gesprekken in FB Messenger zijn natuurlijk totaal niet encrypt. Ik heb het zelf nog nooit meegemaakt dat iemand uit eigen beweging een encrypted gesprek opzette. :')
Wat dat betreft denk ik niet dat de overheid Facebook als prioriteit #1 ziet voor een backdoor in Messenger. (En de data van Facebook zelf is natuurlijk met gerechtelijk bevel op te vragen. Al werkt Facebook die wél actief tegen als ze het niet eens zijn, gelukkig.)
Ik heb het over WhatsApp.
Deels ja, maar dat is het deel wat ik niet heb gequote. Ik reageer op wat ik heb gequote.
Dat gaat er nooit en te nimmer komen. De backlash van het publiek zou vreselijk zijn.
Ik hoop het niet. Maar die backlash weet ik niet hoor...
Je ziet nu al veel mensen die denken dat encryptie betekend dat je een crimineel bent die enge zaakjes te verbergen heeft. En veel mensen hebben het idee "Oh, als het voor terrorismebestrijding is dan mogen ze van mij alles lezen hoor!!!".

Ik weet dus niet of de public outcry nou echt zo massaal zou zijn... En dan nog, al is die wel massaal... Gaan we protesteren? Vast weer niet. Of iedereen zegt te gaan protesteren en vervolgens staan er 20 man op het malieveld weetjewel... Wat dat betreft snap ik wel dat de overheid steeds brutaler en vergaande zieke maatregelen neemt, voor 't volk hoeven ze niet bang te zijn. ;(
Ik maak me eerder zorgen dat de Amerikaanse overheid Facebook onder drukt zet om stiekem code in te bouwen om toch de gesprekken te kunnen lezen, zoals bij Skype ook is gebeurd.
FB Messenger encrypt gesprekken standaard niet, maar ik weet niet hoe ver Facebook gaat onder druk. De laatste tijd vechten ze aardig terug tegen verzoeken van de FBI/NSA en hebben ze zich destijds zelfs, zonder dat ze een partij waren in de zaak, gevoegd bij de rechtszaak met Apple vs FBI.

WhatsApp aan de andere kant heeft volslagen maling aan overheidsdruk. Er waren al klachten toen WhatsApp's E2EE nog maar in de kinderschoenen stond. WhatsApp heeft het gewoon geactiveerd naar 1 Miljard+ gebruikers en zijn nog steeds bezig extra veiligheidsmaatregelen toe te voegen zoals 2FA. Die zijn niet zo onder de indruk van druk.

Maar als het in de wet wordt vastgelegd, zoals sommige republikeinen willen (en dat maakt nu Trump gewonnen heeft opeens eng dichtbij! Dus laten we hopen dat ze slim zijn en er vanaf zien.), dan kan geen enkel bedrijf in de VS eigenlijk nog iets er tegenin brengen.
En als de VS eenmaal zo'n wet heeft, zal de EU binnen 2 jaar volgen. NL misschien zelfs wel nog sneller. Dus laten we heel hard hopen dat de VS het voorbeeld stelt door zo'n wet NIET aan te nemen. :) Dan komt hij hier, hopelijk, ook niet... En ik hoop dat echt.
Maar "nooit en te nimmer" zoals jij stelt is mij te positief... Het zal me niets verbazen als ze het gewoon invoeren. ;(
Daarom denk ik dat er toch in de toekomst een opening gaat ontstaan voor een open-source WhatsApp clone, die vergelijkbare versleuteling gebruikt.
WhatsApp's encryptie is Signal Protocol.
Signal is opensource, en heeft ook een eigen messenger.
Het beste wat je kunt doen is dergelijke diensten niet gebruiken. Helaas hebben sommige mensen zich al zo verslaafd laten maken aan die zooi dat het zal aanvoelen als een amputatie.
De strijd die je wilt is niet de strijd die het probleem oplost. Het probleem ligt dieper. Met name in de reden waarom mensen kritiekloos consumeren. Men moet beginnen te leren wat ICT is, wat informatie is en technorealisme omarmen. Mensen moeten op school al in de kleuterklas leren een sceptische, kritische houding aan te nemen.

Veel mensen denken dat we in een rationele samenleving leven, omdat ze seculier is en we de wetenschap hebben omarmd.

Maar ik zie een chronisch gebrek aan rationaliteit aan de basis van het psychosociale gedrag van mensen. Het lijkt soms dat mensen niet langer nadenken. Je kunt kinderen taal en rekenen leren, maar dat maakt niet dat ze logisch kunnen redeneren.

Hoe kun je mensen bezig laten zijn met encryptie als de fundamentele uitgangspunten van ICT niet begrepen worden?

Encryptie is als een patch op ICT. Laat tweakers niet vallen in deze kuil. Het probleem is dat we te veel ICT op de verkeerde manier toestaan, erger, kritiekloos omarmen.

Dat is de strijd die we moeten voeren. Niet aan de oppervlakte der dingen, maar bij het fundament. Welke maatschappij wil je nu eigenlijk? Wat is er nu echt nodig? En hoe kom je daar.
Het is fout gegaan toen we alles aan t internet gingen hangen. Waarom moet een kerncentrale aan het internet hangen.
Heb je daar een bron voor?

Wat je vaak ziet is dat uit kosten overweging ze inpandig bekabeling voor van alles gebruiken.
En het niet fysiek maar alleen logisch (vlans/vpns) gescheiden is. Wat gewoon net zoveel betekend dat het niet gescheiden is.

Vroeger zag je bij ministeries in Nederland gescheiden infrastructuur. B.v. Tokenring/ethernet netwerk met portsecurity, zodat je er niet zomaar iets aan kon hangen. (ja mac is te spoofen, maar dan moet je al inpandig zijn en dan heb je als organisatie een heel ander probleem).

Maar voor internet hadden ze een inbel verbinding op een separate PC.

Tegenwoordig denken ze "slim" te zijn en kosten te besparen, door allerlei zaken aan te bieden zonder naar functie/rol van personeelslid te kijken.

In de praktijk krijg je dan situaties dat nachtbewaker Internet heeft op een PC die aan lan hangt en porno kijkt (bij een DC weleens gehoord) met alle gevolgen van dien. Voor alle duidelijkheid porno sites zijn beste bron voor infectie aangezien mensen dingen weg klikken en achteraf zich schamen om te zeggen wat ze gedaan/bezocht hebben.
Heb je daar een bron voor?
Lijkt me toch redelijk evident dat dat zo is. Zoals in het artikel ook al genoemd wordt, zaken zoals IoT. Die zijn vaak zo lek als een vaatdoek. Alles moet maar aan het internet hangen, maar aan veiligheid en goede updates wordt maar weinig aandacht gegeven. (Dat en mensen die de handleiding niet lezen, ook een joy.) Dusja, dat we echt alles aan het internet aan het hangen zijn verhoogt wel degelijk het risico op hacks en misbruik van apparaten en beveiliging.

Voor je 't weet doet je slimme thermostaat mee aan een DDoS aanval, en staat je koelkast bitcoins te minen. Niets is te gek. :') (En ja, daar zijn zat voorbeelden van.)
En tja, dat dan cruciale infrastructuur ook aan het internet gehangen wordt: dat lijkt me inderdaad ook niet altijd een even goede ontwikkeling, en draagt zeker bij aan mogelijke point of entries: en dus is het potentieel onveilig. Dus "alles aan het internet hangen" is zeker iets waar veel voorzichtiger mee om gegaan moet worden, imho.

Bij de Tweakers Security meeting was daar een mooi voorbeeld van: de SCADA systemen van het stroomnet in Oekraine. Die werden via het internet gehacked (ondanks nog best redelijke beveiliging, kleine foutjes.) waardoor duizenden huishoudens zonder stroom kwamen te zitten.
Verhaal: https://www.wired.com/201...hack-ukraines-power-grid/

Begrijp me niet verkeerd, ik snap best waarom zoveel dingen aan het internet gehangen worden.
Maar we mogen niet ontkennen dat daar een immens risico aanhangt, zeker bij cruciale infrastructuur! Bewijs is er in ieder geval in overvloed dat we hier wat meer over moeten nadenken voordat we 't aan het net hangen op welke wijze dan ook.
Voor alle duidelijkheid porno sites zijn beste bron voor infectie aangezien mensen dingen weg klikken en achteraf zich schamen om te zeggen wat ze gedaan/bezocht hebben.
Het zelf maken van porno schijnt soms ook een beste bron voor infectie te zijn. :Y)
(Sorry, kon het niet laten. :))

[Reactie gewijzigd door WhatsappHack op 30 december 2016 08:15]

Omdat je in films en media hebt gezien/vernomen dat bepaalde processen online hangen wil niet zeggen dat het zo is, of altijd zo is.

In Iran is infectie fysiek verlopen en niet online.

Maar ik deel je mening wel dat gemakzucht en kosten overweging tot bepaalde onwenselijke situaties geeft.

De IT'er die zijn management garanties geeft dat het allemaal goed en veilig kan...

En dat in minder ontwikkelde landen men nog "pragmatischer" is heeft te maken met beperkte budgetten.

Opblazen van een gevel hoeft in sommige landen niet, pin automaat staat op wieltjes en
cisco router ligt erboven op (o.a. in Egypte gezien).

SCADA is nooit bedoeld om direct of indirect aan publieke netwerken te hangen.
Maar ook bij fysiek private netwerken moet men gedegen risico analyse doen.

Vroeger had je GAK (UWV) die een eigen "logische" landelijk netwerk had met PoP in hun eigen kantoren en in andere overheidskantoren waarin fysieke kabels liepen.
Toen ik eens aangaf dat veiligheid van dat netwerk niets meer dan een houten deur was, begrepen ze het niet. En een oude smartphone met eigen linux distro erop micro usb-ethernet-adapter kost hooguit 100 euro. (en zelfs dat begrepen ze niet.)
Opblazen van een gevel hoeft in sommige landen niet, pin automaat staat op wieltjes en
cisco router ligt erboven op (o.a. in Egypte gezien).
Dat is inderdaad wel link, maar ik verwacht niet dat er mensen met hun laptoppie met console kabel aan die router gaan lopen klooien, en wie weet is die router gewoon prima beveiligd. Neemt natuurlijk niet weg dat het raar is om zo je router bovenop een pinautomaat te zetten.
Omdat je in films en media hebt gezien/vernomen dat bepaalde processen online hangen wil niet zeggen dat het zo is, of altijd zo is.
Dat hoor je mij niet suggereren noch zeggen, dus ik snap niet zo goed waar die opmerking vandaan komt. Er hangen nu eenmaal bepaalde processen aan het internet, dat is een feit - geen fictie uit een Hollywood keldertje...

Ken je die grap waar ze in Die Hard het hele stroomnet offline gooien?
Nou, dat deden ze in Oekraïne dus ook. :') ... Maar dat was geen fictie. Gelukkig werden de gascentrales waardoor er een mega-explosie ontstaat (waar Bruce dan toevallig nét op tijd van weet weg te komen) dan weer niet omgeleid - maar wie weet komt dat nog een keer. ;) Dat met het stroomnet in Oekraïne was geen spannende Hollywood film met allerlei bullshit regeltjes code die op het scherm verschijnen, en "hackers" die over 9000 toetsaanslagen per minuut maken waarbij wat ze tikken nooit het gene is dat op hun scherm staat... Nee dat was keiharde werkelijkheid.

Ik vind het eigenlijk een beetje naïef als je denkt dat er maar weinig zaken aan het internet hangen - of beter gezegd: weinig kritieke infrastructuur. :X
Als we zien hoeveel daar aanhangt, is het eigenlijk best bizar dat het al zo lang goed gaat overal. :)

[Reactie gewijzigd door WhatsappHack op 30 december 2016 08:33]

[...]
Ken je die grap waar ze in Die Hard het hele stroomnet offline gooien?
Nou, dat deden ze in Oekraïne dus ook. :') ... Maar dat was geen fictie.
Ik denk dat voor 'jonge' tweakers de film "The Net" een eyeopener kan zijn.
Ja, Hollywood, maar zoveel zaken die gewoon 'kunnen' gebeuren :)
all be it damn near impossible ;)

[Reactie gewijzigd door FreshMaker op 30 december 2016 09:12]

De Russen schijnen in Oekraïne ook meeste artillerie te hebben uitgeschakeld dankzij backdoor android app.

Ik zou het ter kennisgeving aanhoren, maar niet serieus nemen.

Het is een derde wereldland, dus incompetentie en budget zijn beiden nihil.
Dus om die reden zou het weleens waar kunnen zijn.

Maar als jij in een centrale een omgekochte medewerker hebben of door spionnen is geïnfiltreerd, dan zijn er meerdere redenen om naar buiten te brengen dat het een online-remote aanval was. Dat kweekt o.a. sympathie en haalt schijn van incompetentie weg.

Aan de andere kant hebben ze ook eens een kerncentrale laten smelten in Oekraïne. En dat was in een tijd dat Internet nog niet voorhanden was daar.

Ik zal je een voorbeeld geven.

Ik liep eens met iemand over straat en zag dat ze bezig waren me verkeerslichten regel kast, uit pure nieuwsgierigheid geïnformeerd.

Werd naar een specifieke afdeling van gemeente gestuurd voor de antwoorden op de vragen die monteur niet beantwoorden.

We zijn daar heen gegaan.
En voordat we het wisten zaten we in een kamer met een pachkast en een fijne ambtenaar die na ons kwam binnen lopen.

Zonder iets aangeraakt te hebben, hadden we inbelnummer + wachtwoord voor PCanywhere systeem voor verkeerslichten systeem van betreffende stad (was ergens in 1999).

Anno nu zal men dat met RDP/teamviewer e.d. opgelost hebben (zou me niets verbazen).

Het is niet naïef om te denken dat dingen die ECHT belangrijk zijn niet online hangen. Maar vaak heb je met toeleveranciers te maken die beheer doen die wel gaten maken zodat hun personeel remote erbij kunnen en dat is vaak zonder dat betreffende bedrijf het weet of precies hoe het opgezet is.

Veel netwerkbeheerder van een NOC van een datacentrum kunnen op fysieke kabels na alles remote. Dit heeft ook meteen consequenties voor hun klanten. Niemand staat er bij stil dat die mensen gewoon thuis om wat voor reden dan ook gegijzeld kunnen worden om iets remotes te doen.
Het is niet naïef om te denken dat dingen die ECHT belangrijk zijn niet online hangen. Maar vaak heb je met toeleveranciers te maken die beheer doen die wel gaten maken zodat hun personeel remote erbij kunnen en dat is vaak zonder dat betreffende bedrijf het weet of precies hoe het opgezet is.
half jaartje geleden nog hevige discussie gehad met een leverancier.
Er was een in-house administratiesysteem gekomen, welke onder geen beding 'naar buiten' mocht
Geen remote toegang, geen automatische update's geen databasekoppeling.
Backups moeten handmatig ( hdd's ) gewisseld worden elke dag.

Pakket heeft 2 weken gewerkt .... blijkt er een keyserver te zijn, waar dat ding naartoe moet verbinden, minimaal 1 keer per 14 dagen dus.
Een testkopie opgezet, en aan het netwerk gehangen ( achter een sniffer om de betreffende server misschien te kunnen traceren) geeft die doodleuk connects met Facebook, Twitter en Google af.

Dus tegen diverse afspraken in, worden er vrolijk statistieken verzameld en dan nog juist bij partijen waar wij van willen wegblijven ( qua metadata )

Uiteindelijk komt er nu een usb-dongle voor verificatie, al is het (externe) bedrijf het daar niet mee eens ... ( of dat, of geen aankoop :+ )
Eigenlijk is dat zorgwekkend. Als dat vooraf niet was gecommuniceerd door het bedrijf dat de software verkocht lijkt me dat je dan het hele pakket terug kunt geven en de schade kunt claimen
Uit gesprekken bleek ( achteraf ) dat de statistieken niet noodzakelijk waren, maar 'handig' voor problemen en support.
Het zijn natuurlijk aannames en de waarheid moet je dan maar zo geloven, dat het "vergeten uit te zetten was, na oplevering"

Het pakket is nu in gebruik, en omdat het een eigen afgesloten omgeving heeft, kan het 'geen kwaad'
( de analyses komen iig niet meer voor in de sniffer, so far, so good )

Wat mijn punt eigenlijk is, is dat je als 'eindgebruiker' niet zomaar moet uitgaan van de geleverde producten en de data die die uitsturen.
Laat me raden jij bent een Oekraïneer?

Ja het is een derde wereld land. Je weet wat dat betekend?

Overigens de hoog opgeleide mensen verlaten het land zodra ze de kans krijgen.

De minder hoog opgeleide verkopen hun lichaam. Of ze trouwen buiten Oekraïne of mannen verkopen hun kont.

Maar dat wist je al.

Verder vraag ik me af tov wat zijn ze hoger opgeleid?

Verder worden ze in bijvoorbeeld in Duitsland als paria gezien. Ze hekelen daar Oekrainiers meer dan Turken en Russen.

Als ze in Oekrainie wat rationeler en objectiever waren over zichzelf hadden ze het veel verder geschopt.

Ipv hun land aan opkomende landen te hoeven verkopen.

https://www.oneworld.nl/w...t-land-aan-multinationals
Begrijp me niet verkeerd, ik snap best waarom zoveel dingen aan het internet gehangen worden.
Maar we mogen niet ontkennen dat daar een immens risico aanhangt,
Risico's waar de overheid me niet tegen beschermt. Slimme meters bijv. worden gepusht en gepropageerd. En als straks alle apparatuur in huis aan het internet moet hangen om uberhaupt te kunnen werken wordt daar ook niks aan gedaan.

Sleepnetten zullen blijven, je kunt niet meer terug als overheid. Het wordt je kwalijk genomen als er iets doorheen glipt wat je had kunnen vangen met drijfjacht en sleepnet.
Voor alle duidelijkheid porno sites zijn beste bron voor infectie aangezien mensen dingen weg klikken en achteraf zich schamen om te zeggen wat ze gedaan/bezocht hebben.
Fout.
Porno sites zijn juist erg scherp op wat hun sites aan 3rd party zaken doen en zijn totaal niet gebaat bij malware omdat dat hun abonnement verdien model rechtstreeks raakt.
Porno surfen is zelfs veiliger dan het bezoeken van Nu.nl.
Reli-fundi sites zijn de nieuwe malware hosters.

[Reactie gewijzigd door alt-92 op 30 december 2016 09:37]

[...]

Fout.
Porno sites zijn juist erg scherp op wat hun sites aan 3rd party zaken doen en zijn totaal niet gebaat bij malware omdat dat hun abonnement verdien model rechtstreeks raakt.
Porno surfen is zelfs veiliger dan het bezoeken van Nu.nl.
Reli-fundi sites zijn de nieuwe malware hosters.
Het klinkt misschien gek, maar dat is alleen het geval bij de grote 'goede' sites
Er zijn 100'en zo niet meer clickbaitsites dan partijen als pornhub of xhamster ( of tblop )
Click bait sites zijn er van alle categorieën :)
Ook technieuws.
Kerncentrales misschien niet, maar energie centrales zeker wel. Kijk maar in Oekraïne waar de Russen een centrale uitschakelden. Reken maar dat dat hier ook kan. Daarnaast zijn er nog allerlei tussenstations waar je ook het energienet flink door de war kan schoppen. De Amerikanen hebben al eens een test gedaan waar ze een enorme stroomturbine de soep in lieten lopen door de software aan te passen. Zo'n ding kost tientallen miljoenen en kan niet even in een namiddag in elkaar worden gezet.

[Reactie gewijzigd door ArtGod op 30 december 2016 13:08]

Omdat dat zo makkelijk was, en een kostenvoordeel oplevert, waar de bevolking van profiteerde door lagere energieprijzen.

10 energiecentrales = 100 operators verspreid over het land.
Allemaal onafhankelijk van elkaar, elk probleem moet afzonderlijk worden opgelost, want geen ( direct ) overzicht of een storing structureel is, of incidenteel.

Knoop het aan elkaar via een netwerk ( hey, er betaat er één, en dat is <bijna> gratis ) en je hebt een super monitoring.
100 man kan 50 worden, de onderhoudscrew van 90 man kan terug naar 40, en mobiel naar storingen als ze gebeuren.

Scheelt enorm veel op loon en onderhoudskosten ....
Tot er een regering het nodig vond om de boel te laten crashen ...
Het maakt ons enorm kwetsbaar als we het veiligheids-probleem niet kunnen oplossen.

Ik vind hoe sowieso dat dit soort kritieke infrastructuur niet via het internet bereikbaar moet zijn maar via een speciaal netwerk, wat misschien wel met internet protocollen werkt.

[Reactie gewijzigd door ArtGod op 30 december 2016 13:11]

Het is redelijk te ondervangen met een vpn en het eigen netwerk in VLANs in te delen.

Ik kan mijn eigen infra prima benaderen één op één, maar dan wel eerst een connect te maken met mijn VPNserver.

Al moet ik er wel bij vermelden dat ik soms wel voor de makkelijke manier ga, zo is op bijna elke gebruikersPC wel teamviewer geïnstalleerd.
* FreshMaker draait echter geen kerncentrale ;)
Met VPN heb je kans op DDoS wat soms ook ernstig kan zijn. Denk bijvoorbeeld dat een kernreactor oververhit raakt en je deze niet kan uitschakelen omdat iemand jouw DDoS'd op je VPN verbinding.

Daarnaast is er altijd de mogelijkheid dat je besmet raakt via een andere route, zoals email attachments of een gebooby-trapte website.

[Reactie gewijzigd door ArtGod op 30 december 2016 21:29]

Maar wat is eigenlijk een protocol? En zijn protocollen in en vanuit zichzelf in staat tot veilige communicatie?

Een menu kaart in een restaurant beschrijft de gerechten maar je kunt ze niet eten. Een protocol beschrijft, maar in de praktijk moet het nog blijken te werken.

Een protocol is een soort regel. En regels roepen criminaliteit op.

Ik zie niet waarom een kerncentrale verbonden moet zijn, überhaupt. Ik snap dat ze telefonie nodig hebben. Maar netwerken zijn per definitie lekwerken. We moeten meer vuurmuren inbouwen in kritieke structuren. Maar de telefooncentrale moet niet een ICT gedrocht zijn.

Voor de rest is er niets nodig. Het moet verboden zijn om te werken in een kerncentrale en daar in de pauze effe te surfen.

We moeten elkaar aan een hogere norm durven houden. Maar het lijkt soms wel dat we denken in dit baarmoeder-land dat we niemand iets mogen beletten.

Zelfs de politie doet huilie huilie als ze worden bestookt met vuurwerk.

En dit klinkt cru, maar als je agent wordt moet je daar tegen kunnen. Je bent de 'thin blue line' op de lijn van normen. Als mensen vervelend doen en boos worden, beter dat je een agent bekogeld dan je buren. Mensen vallen autoriteit aan, dat is logisch. Wordt geen agent als je denkt dat burgers juist met jou voorzichtiger moeten zijn. Hoe kan dat, als jij als agent degenen bent die uiteindelijk je in een cel gooit?

De samenleving raakt doordrenkt van huili huilie en iedereen wil een speciale behandeling of een uitzonderingspositie of de regels moeten ten behoeve van hen aangescherpt worden.

Het is me voor het eerst opgevallen bij Dutchbat, waar soldaten weigerden van de ene bunker naar de andere te rennen omdat er geschoten werd. Waar ben je dan soldaat voor? Als het lastig wordt doe je niet mee? Ik denk aan de Guust-strip waarin Guust als keeper een bal moet tegenhouden op een modderig nat veld en hem laat gaan omdat ie vind dat ie niet kwam om in plassen te duiken. :(

Protocollen geven een schijn bescherming. En dus moeten we het onszelf minder en soms niet toestaan iets te kunnen, mogen of willen.

Kerncentrales, dijkbewaking, sluizen en dat soort infrastructuur horen niet op internet. De hysterie om overal een netwerk kaart in te proppen moet stoppen. Een kerncentrale is geen IOT geval. Een sluis of gemaal ook niet.

Steden ook niet. Ik ben voor een verbod op 'slimme steden'. Geen camera's om stromen mensen te controleren. Geen microfoons. Geen slimme lantaarnpalen, geen wifi en bluetooth tracking.

Welke onnozele zou van de infrastructuur en stedelijke structuren een IOT val maken waarin wij als muizen allemaal opgesloten worden? Alleen een hersenloze sociopaat met natte dromen van onderdrukking zou als burgermeester zo'n experiment toestaan.
Ik bedoel dat het met TCP / IP en HTTP en dergelijke kan werken maar niet fysiek, direct of indirect op het internet staat aangesloten.
Dan snap ik het niet. Dat zijn internet protocollen. Dan wil je dus een apart netwerk dat wel gebruikt maakt daarvan? En dus gevoelig blijft voor aanvallen via die protocollen?

Je snapt dat veel hacks plaats vinden doordat een medewerker een USB stick ergens in propt?
Internet is niet direct het probleem volgens mij. Het probleem met dingen aan internet hangen is dat het ook interessant is voor kleine clubjes / hobby hackers en je er daardoor eerder last van krijgt. Een voorbeeld hiervan is skimming (pinpas uitlezen) heb je geen internet voor nodig, het was voor mij vroeger niet denkbaar dat je een pinautomaat deels zou namaken om mensen te foppen, toch gebeurd het tegenwoordig.
De kerncentrales die gehackt zijn geworden zijn meestal het slachtoffer van grote overheids betaalde groepen, en deze systemen waren meestal ook nog offline. Als partijen offline hacks kunnen uitvoeren hebben ze blijkbaar geen internet nodig (hoewel dit het natuurlijk makkelijk maakt).
Het probleem is volgens mij dus ontstaan dat het door de jaren heen interessanter en goedkoper is geworden om toegang te krijgen tot IT-systemen en data waardoor hiervoor een grote markt is ontstaan. Daar zal internet en de daarbij behorende online services inderdaad een grote invloed op hebben gehad.
Maar waarom wel het een en niet het ander? Je hebt gelijk dat kleine clubs ook problemen kunnen verorozaken, al was het maar vanwege onnozelheid en gebrek aan kennis.

Maar inlichtingendiensten pakken het groots aan en dat is ook gevaarlijk. Hoe is internet an sich dan niet het probleem?

Als een olifant los breekt en jouw porselein winkel in rent, ga je dan eisen dat zijn lange slagtanden ingekort worden? Of wil je hem zo snel mogelijk de winkel uit hebben...
De conclusie was dat dingen ook gehackt worden zonder internet, dus internet is een dikke vette snelweg leggen naar je infrastructuur waardoor alles makkelijker wordt maar is niet de bepalende factor of je wel of niet gehackt gaat worden. Het enige verschil dat ik opmerkte is dat je naast grote partijen ook nog een grote club kleintjes erbij krijgt waardoor je het jezelf wel erg moeilijk maakt.
Er bestaat geen hacking zonder internet. Tenzij een inbreker die via de snelweg naar je woning kwam ook een hacker is.

Hacking bestaat bij de gratie van internet, anders valt het onder een ander categorie criminaliteit.

Dat is ook mijn punt. Internet is een poort naar de wereld met een gammel slot. Zo is het ding ontworpen. Eerst de poort, toen merkte men dat dit niet slim was. En er moest nog een slot op, zo'n gammel hangslot van de Aldi, zeg maar.

Dat is ongeveer waar we staan. En sukkels zowel als zwaar opgeleide super-ICTérs kunnen aan sleutels komen, anders wel een hamer.

Vandaar mijn olifant. We praten over beveiliging in de zin van dat we praten over het inkorten van de slagtanden, terwijl we de olifant in de porseleinwinkel niet eens erkennen als niet behorende in een porseleinwinkel.

Er is iets fundamenteels mis met netwerken en informatie. Of niet zo zeer iets mis, want dit is wat informatie i.v.m. netwerken doen.

Dit is Taoïsme van ICT. Yeah you heard it here first. Er is een oude term in de oosterse filosofie: [b][Dé/b.] Met of zonder streepje, betekent het in het Engels: 'of itself, so'.

Dus (dat) (wat) van zichzelf, zo (is). Informatie heeft eigenschappen en netwerken ook. Een netwerk is een concept tem behoeve van de verspreiding van informatie. Een netwerk, vanuit zichzelf, deelt informatie, sluist het door, biedt toegang en verspreiding.

Informatie, in en vanuit zichzelf, wil verspreiden. Dat is wat het doet. Daarom hebben we zo'n beveiligingsprobleem. We hebben de verkeerde vóór-onderstellingen over internet.

We willen vuur blussen met benzine. We willen het kasteel beveiligen door er heel veel uitval-poorten in de muren te bouwen. We dempen de slotgracht zodat de boeren sneller de gewassen in de kelders kunnen gooien.

Een netwerk willen we als een open systeem hebben, waar informatie vrijelijk door kan stromen. Zie je? En omdat sommige mensen foute informatie er in proppen, of informatie besmetten, is die open gang van zaken meteen ook haar kwestbaaarheid.

Een netwerk is een inherente kwetsbaarheid als je doel is om informatie te controleren en/of beveiligen.

Een netwerk is aldus een contradictio in terminus als informatie controle je doel is.

Wat maakt de kamer waar jij je nu in bevind zo effectief om te gebruiken? De deur. Het raam. Zonder raam was het te donker en kon je niet genieten van de dag. Zonder deur kom je de kamer niet in, zonder deur is het een soort bunker waarvan de ingang dichtgemetseld werd met jou er in.

Een huis is dus gedefinieerd door de uitspringen in de muren. Zie je? Het is wat er NIET is wat jouw kamer of huis geschikt maakt voor bewoning.

Een netwerk dien je dus te definiëren aan de hand van haar open faciliterende structuur. Een kanaal heeft alleen zin als je er water in of door laat lopen. Een porseleinwinkel heeft alleen zin als j geen olifanten toelaat.

In die zin is de hele discussie over beveiliging een achterhoede gevecht op het verkeerde slagveld. ;)

Als je informatie wilt dan moet een netwerk zo zijn. Dan moet informatie vrij kunnen bewegen, als water. En water laat zich niet tegenhouden, of tijdelijk, totdat een schip een stuw ramt. Of er zo veel regen is, dat het de weilanden overstroomt, zie je?

Informatie is dat omdat het door mensen geweten wil worden. En dus moet het stromen, door een lekwerk.

Praten over encryptie is dus eigenlijk nonsens. En om DIE reden zeg ik dat we ZELF, als bron van iknformatie, dat niet zo veel zouden moeten willen. We moeten minder data genereren. We moeten dus accounts sluiten van sociale media.

We moeten minder accounts aanmaken voor elke gratis dienst waar we denken wat aan te hebben, zoals cloud diensten. Informatie is alleen veilig als je het niet genereert!

En dus moet je zelf minder genereren, en wat je genereert beter controleren. Waarbij je altijd moet beseffen dat je data en informatie niet kunt berijden als een paard nadat je het temt.

Een wijze vrouw in Afrika zei ooit dat 'oorlog een leeuw is op wiens rug je valt, nooit meer in staat zijnd er vanaf te komen'. Informatie laat zich moeilijk tegenhouden.

En zie hoe onze cultuur helemaal op de schop ging en gaat. Nu wil men IOT.

De implicaties worden door weinig mensen begrepen. Ik pas Taoïstische en Boedhistische principes toe op ICT. En wat ik zie is, is dat het past, het is toepasbaar op wat er gaande is.

Ik maak me daarom zorgen over de toekomst, omdat materie en informatie in elkaar gaan overlopen. :X

Artikelen, voorwerpen, materie, krijgt een netwerk kaart. Daarmee is een voorwerp een ding dat zich metafysisch overal waar netwerk opties zijn, zich kan manifesteren. Een ding wordt dan ook informatie.

Dat is de achtergrond van de discussie over auteursrecht. Het e-boek. Een e-boek is een papieren voorwerp dat niet langer het papier nodig heeft om te zijn. Zie je?

Maar genoeg voor nu. :O
Bijna helemaal mee eens. Naast het aankomende data vergrijzing tijdperk is het snappen wat je doet als je iets op een netwerk aansluit ook nog niet door gedrongen. Apparatuur is te makkelijk op internet aan te sluiten zonder te weten wat het doet, daar moet een grote partij (leverancier of overheid) kunnen ingrijpen. Nu merken we dat de overheid op IT gebied nog geen echte koploper is en het eerst flink de soep in moet lopen voordat er überhaupt iets over geroepen wordt.
Mijn punt is dat in een wereld waarin er geen internet zou bestaan er nog legio mogelijkheden zijn om binnen te dringen op iemand zijn IT infrastructuur. Er zijn genoeg creatieve voorbeelden: usb-sticks met virussen er op bij de parkeerplaats leggen, telefoon opladers met malware erin, servers die bij de douane uitgebreid worden met een rf-interface op het moederbord, backdoors verwerken in compilers, afluisteren via geluid of via het stroomnetwerk en ga zo maar door.
Hacken is voor mij dan ook iets dat altijd al bestond, internet heeft het in een stroomversnelling geplaatst door de fysieke barrière naar het slachtoffers weg te halen.
Cruciale infrastructuur (zoals in het voorbeeld van de kerncentrale) aan internet hangen is dan ook vragen om problemen. Dat sluit niet uit dat ze anders niet gehackt zouden kunnen zijn worden: zie stuxnet.
Maar een wereld zonder internet, wat bedoel je dan? ICT = internet. Bedoel je een wereld wel met computers maar zonder verbindingen?

In dat geval kan een USB stick ook risiscodrager zijn. Maar de snelheid van de USB stick kun je vergelijken met wat men ooit zij over de pest, die zich zo snel verspreide als een paard kon rennen.

Ik denk niet dat het punt zou moeten zijn dat elke gegevensdrager een risico in zich draagt. In principe zou je een virus op een LP kunnen zetten...

Dat je je bewust bent van die risico's is goed. En ik denk dat computers nuttige dingen zijn, net als USB's. Maar een USB is tenminste nog een ding, dat zich niet vanzelf verspreid, tenzij meegenomen door een mens. Je zou kunnen zeggen dat de mens een gegevensdrager is. :)

En die kan dom doen en in een auto stappen en zijn USB stick in een kerncentrale steken. Maar hoe komt de malware op zijn PC als die geen netwerkkaart had?

Dus het punt is dat informatie wordt afgeremd in snelheid van verspreiding en in haar mogelijkheden tot vermenigvuldiging als het opgenomen is in een materieel medium.

Vliegtuigen en de infrastructuur die we vliegvelden noemen maken dat ziektes als vogelgriep en SARS en HIV makkelijker wereldwijd verspreid raken.

En het nut van het vliegtuig is dat het makkelijk barrières over vliegt, zoals bergen en andere obstakels die informatie verspreiding tegen gaan.

De samenleving kent met ICT te weinig maatschappelijke vuurmuren, of als je wilt, onze beschaving zoals dire is is te mobiel en open, waardoor het hele concept van democratie en een hele string (no pun intended) aan waarden en normen op de schop gaan.

Het is vreemd te constateren dat de meeste mensen van dag tot dag doorgaan met leven maar eigenlijk niet of nauwelijks beseffen hoe zeer de samenleving veranderd, hoe snel dat gaat en hoe veel ze er zelf aan bijdragen. :z

En zo struikelen we voorwaarts de toekomst in. ICT raakt aan het hart van wat een menselijk wezen is. Communicatie is een kern aspect van ons zijn. En dat raakt aan zelfreflectie, zelf-bewustzijn. Informatie is zo wezenlijk aan ons dat van zodra je ICT uitvind, letterlijk alles op losse schroeven komt te staan.
Ik denk dat ik val over het stukje I(C)T. De term IT is al veel ouder dan internet, dus voor mij valt internet onder IT maar IT is voor mij dus niet gelijk aan internet.
Okay dat snap ik, maar informatie en communicatie zijn sterk verbonden.

Is er het geluid van een vallende boom in het bos als er niemand is om het te horen?

Informatie is geen data omdat het nuttig is voor iemand om het te weten.
. Zo is het bijvoorbeeld de vraag of botnets die bestaan uit internet-of-things-apparaten de dienst gaan uitmaken of dat wetgevers voldoende wakker zijn geschud om actie te ondernemen en fabrikanten regels op te leggen.
In Nederland? Die zijn druk bezig met reces en verkiezingen.

In Amerika zijn er hoorzittingen geweest over DynDNS aanval.

En regulering van hardware?

Software/product aansprakelijkheid is altijd een ondergeschoven kindje geweest en men wil daar niet aan.

Maar indien grote OS leveranciers zich al ergens aan zouden houden, dan volgen die kleine ontwikkelaars vanzelf.

iot staat op dit moment in de hoek, maar men vergeet dat we al decennia lang problemen hebben met voornamelijk Windows computers (en gebruikers). En het is makkelijker om een worm/trojan te verspreiden voor een paar verschillende Windows versies, dan de ontelbare verschillen tussen iot.

Sterker nog b.v. IP camera's van zelfde type/fabrikant hebben over een jaar gezien soms verschillende firmware versies.

Verder zou men beter mensen kunnen informeren over call back functies van iot die zodra ze internet verbinding hebben met naar fabrikant (of software maker) connecten, al dan niet om je functionaliteit te bieden.

Het gevaar dat Windows/Android/IOS als massale platform "gebruikt" zal worden is vele malen groter dan iot tov dat een gevaar is.

Het is dan ook lachwekkend om te zien dat ze het hebben over honderdduizenden tot miljoen iot devices hebben die misbruikt kunnen worden, terwijl er miljarden Windows/Android/IOS devices aan het internet hangen, waarvan op elk willekeurig moment de gebruiker/eigenaar iets per ongeluk kan aanklikken en zijn device onderdeel zal worden van een botnet.


ps: platform als XMEYE / Eye4 e.d. vormen wel een groot risico. Als die gehacked zouden worden heeft men meteen toegang tot miljoenen IPcam/DVR recorders en kan men de beelden realtime bekijken en afhankelijk van infrastructuur dat o.a. die partijen gebruiken die streams bij een slachtoffer laten uitkomen.

[Reactie gewijzigd door totaalgeenhard op 30 december 2016 06:58]

Maar Windows en iOS wordt wél gepatcht. Althans enigszins recente versies waar het overgrote deel nu wel op zit. De meeste iot devices zullen weinig tot geen updates zien. Daar zie ik wel degelijk een groter gevaar in. Bovendien kun je je normale pc (welk os dan ook) voorzien van antivirus- of beveiligingssoftware. Dat gaat je op je thermostaat niet lukken.

Overigens stel je hier dat het gevaar van reguliere os'en groter is, maar er is een groot verschil tussen een feit en een mening.

[Reactie gewijzigd door Rataplan_ op 30 december 2016 08:29]

Alleen wat bij ze bekend is zal uiteindelijk gepatched worden.
Oude versies niet, terwijl daar ook nog een significant aandeel zit.

Als je ziet hoe tot nu toe altijd e.a. is verlopen.

Incident --> Onderzoek --> Conclusies

Terwijl ik zelden heb gezien dat een incident niet heeft plaatsgevonden omdat iets al preventief en structureel was opgelost door grote partijen.

Ze lopen telkens achter de feiten aan.

Het feit dat meeste mensen een anti-virusscanner hebben (per definitie iets wat achter de feiten aan loopt) en een anti-malware scanner (idem dito) zegt al genoeg.

Terwijl een OS maken waar anti-virus en anti-malware scanner overbodig is, niet zo heel ingewikkeld is.
Hoezo is het niet ingewikkeld zo'n OS te maken? Dan zou het toch al lang bestaan?
Linux, *BSD ......

Het is gebruikersvriendelijkheid die oorzaak is van onveiligheid.
Tuurlijk maar dat neemt mijn voorbeeld niet weg; bekende patches op iot devices zullen vaak überhaupt niet gepatcht worden. Het zal qua exploits ook altijd achter de feiten aanlopen zijn, je kunt een lek niet dichten als je er geen weet van hebt.
Naar mijn idee wordt er in de normale media ook te weinig aandacht aan besteed waardoor mensen denken, ach het valt allemaal wel mee.

Als mensen ipv bij elke buitenlander die ze op straat zien denken dat het een terrorist is eens bij elk apparaat dat ze gebruiken zich zouden afvragen of het wel veilig is (omdat er anders ongewenste activiteiten mee uitgevoerd kunnen worden die op hun beurt weer geld opleveren voor criminelen en zelfs terroristische organisaties) zou dit al een hele verbetering zijn van de veiligheid en de gezelligheid binnen onze samenleving.
Dat er weinig aandacht aan besteed wordt is logisch als vrijwel iedereen naar de winkel rent om IOT junk aan te schaffen omdat ze al vanaf de kleuterklas geleerd hebben technologie kritiekloos te omarmen.

Wat wil je dan? Dat mensen 'wakker worden'? Degenen die op dat punt staan krijgen wel weer een tweaker over zich heen met de vinger op de downmod knop.

Als we dit als probleem wensen te zien, dan moeten tweakers ophouden hypocriet en inconsistent te zijn. Je kunt niet zowel ICT de hemel in prijzen terwijl aan de andere kant het de samenleving om zeep helpt.
Ik toets nog even op mijn 'domme' klokthermostaat om een vrije dag in te programmeren.
Heerlijk dom houden als je het allemaal leest ;)
Daarentegen zijn er genoeg devices gekoppeld aan internet waar niemand naar om kijkt.
Updates welke niet uitgevoerd worden (don't fix what's not broken).
Hoeveel mensen benaderen hun router nadat hij de eerste keer is aangesloten?
Hoeveel mensen benaderen hun router nadat hij de eerste keer is aangesloten?
Iedereen, want anders geen verbinding naar buiten ...
Het artikel suggereert dat Apple express geen rechtszaak heeft gestart om er achter te komen welke methode de FBI gebruikt om oude iPhones te kraken. Apple hoeft via een rechtszaak niet te achterhalen wat de methode is, omdat ze het zelf al weten. Ze hebben een enorm team van beveiliging experts in huis. De methode die momenteel gebruikt wordt werkt alleen maar in hun oude modellen en is inmiddels al gefixeerd door Apple. De fix is wel een hardware fix en vereist wat aanpassingen in secure chip. Apple ziet ieder geval niet stil en ik verwacht dat vroeg of laat de FBI weer aanklopt bij Apple, omdat ze hun nieuwste telefoons niet kunnen kraken.
Zo is het bijvoorbeeld de vraag of botnets die bestaan uit internet-of-things-apparaten de dienst gaan uitmaken of dat wetgevers voldoende wakker zijn geschud om actie te ondernemen en fabrikanten regels op te leggen. Of is het helemaal niet de verantwoordelijkheid van de markt om te zorgen dat apparaten veilig zijn?

De laatste zin begint niet terecht met het voegwoord 'of' want er wordt geen alternatief op het voorgaande ingeluid. Dat even terzijde.

De gemiddelde Vinex-horloge-oplader staat op z'n achterste benen als het om zijn Laatste Goed gaat, de privacy. Dat is een liberale gedachte. Maar nu dient de overheid in te grijpen? Te laat. De macht is aan de bedrijven verkwanseld, geheel naar het liberale motto 'gewoon omdat het kan.'

Dus: nu niet zeuren en bidden dat de overheid moet ingrijpen. Dat is niet zindelijk in de context van het denken dat onder horloge-opladers heerst. Dus.
Leuk artikel, complementen daarvoor!

Eigenlijk zouden we naar intrinsiek safe moeten gaan met encryptie. Dat is natuurlijk niet eenvoudig (of misschien zelfs onmogelijk om het compleet te doen) maar wat ik als normale wet respecterende burger doe op mijn eigen apparaten gaat niemand iets aan.

Als je al mijn gebruikte woorden hebt en je pakt er een paar uit en hangt die in een verkeerde context krijg je vanzelf een heel verkeerd beeld

Criminelen pak je er toch niet mee, die vinden altijd wel een manier om buiten schot te blijven. Zelfs als ze niet encrypten kunnen ze onder de radar blijven door gebruik van bepaalde woorden die alleen iets betekenen in hun context.
Het lijkt mij dat the privacy invasion, waar al die instanties voor pleiten, meer gericht is op de gewone burger dan op de echte criminelen. Volgens mij is het een verloren strijd. Als voorbeeld gebruik ik het scenario van The Wire (season 5), waar de 'criminelen' communiceren met foto's van een klok, om op die manier afspraken te maken. Het duurt een eeuwigheid (einde season) voor ze toevallig de code breken.
Ik vermoed dat ook criminelen The Wire bekijken, en hierdoor gelijkaardige methodes 'ontwikkelen'

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True