jump to navigation

De stand van zaken – augustus 2006 augustus 27, 2006

Posted by Gertjan in Achtergrond.
add a comment

Inleiding
Bij het bekijken van de ontwikkelingen van de afgelopen weken in combinatie met het onderzoek naar de wenselijkheid van een forensisch informatiesysteem (FIS) is mij het volgende opgevallen. Het ontbreken van een FIS heeft Brein er niet van weerhouden UPC de gegevens van enkele gebruikers te vragen – en te krijgen. De Engelsen zagen de bui al hangen en willen van iedereen die encryptie gebruikt graag een kopie van de sleutel hebben. Van de week verscheen er een interessant artikel op Internet over de vermeende onaantastbaarheid van VOIP (Voice over IP) gebruikers (Skype). Vermeende onaantastbaarheid, want ook Skype en andere VOIP gebruikers zijn uniek te traceren, volgens de auteurs van dit artikel. Het is een behoorlijk technisch verhaal, maar de inleidende paragrafen en de conclusie zijn ook voor de niet-zo wiskundigen goed te volgen.

Tegen
Steeds meer begint bij mij de vraag naar boven te komen of het wel wenselijk is dat alle gegevens opgeslagen en bewaard worden. Het is zo eenvoudig voor een overheid om alles te verzamelen en dan in die grote bittenbak te gaan graaien tot er iets verdachts naar boven komt. Dit hoeft dan niet eens gerelateerd te zijn aan de terroristenbestrijding, de vlag die bij veel van de nieuwe wetgeving als dekkende motivatie wordt gegeven. Het is tenslotte voor een overheid verdraaid handig als alle encryptiesleutels voorhanden zijn, niet alleen voor het oppakken van terroristen.

Brein kon de naw-gegevens opvragen bij UPC omdat die gegevens er gewoon nog waren. De KLM kan de RFID informatie van een koffer koppelen aan een reiziger. En als er iets niet pluis is met die koffer dan is de eigenaar minder moeilijk te traceren. Maar wie controleert nu wanneer iets als “niet pluis” wordt aangemerkt? En wie hebben er allemaal inzage in al die RFID informatie met de relationele database die erachter zit? Hoe lang blijven al die gegevens bewaard?

Voor
Aan de andere kant, als de gegevens in een centraal informatiesysteem (FIS) worden opgeborgen en slechts onder bepaalde en duidelijk afgebakende randvoorwaarden te benaderen zijn, dan heeft het echte voordelen. Zoals niemand tegen het oppakken van terroristen kan zijn vóórdat de bom plofte. En ook niemand tegen het oppakken van eigenaren van drugskoffers kan zijn.

Afweging
Het zijn vooral de randvoorwaarden die mij de kriebels geven. Hoe weet je nu als burger dat “ze” overal aan hebben gedacht? Al die informatie in die grote databases, het is commercieel zeer interessant om daar inzage in te hebben. De overheid kan/mag/zal niets verdienen aan het veilig opbergen van databases, maar het betreft hier vooral het publieke domein. En waarom zal een exploitant niet nog een beetje extra willen verdienen?

Conclusie
Als de verschillende informatiesystemen gekoppeld worden (dan hebben zij de meeste waarde), dan moet ook de beveiliging op alle gebieden goed zijn ingeregeld. Omdat het hier systemen van verschillende eigenaren betreft, met verschillende belangen, ligt hier het grootste risico.

Misschien moet de overheid wel de eigenaar van de informatiesystemen worden, waarin de gegevens worden opgeslagen. En moet een hiertoe in het leven geroepen vertrouwde derde partij (vertrouwd door zowel het bedrijfsleven, de burgers als de overheid) al deze databases beheren.

Wat niet wegneemt dat ik zojuist mijn bij de overheid ingeleverde cryptografische sleutel hoogstwaarschijnlijk definitief kwijt ben geraakt. Of in ieder geval het wachtwoord van de private key niet meer weet ;-(

Advertenties

Brein – UPC: 1-0 augustus 25, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
add a comment

De gevolgen van registratie en het niet opslaan bij een derde partij (TTP) zijn in ieder geval iets meer afgetekend dan voorheen, door de uitspraak van de rechter in de zaak die de stichting Brein aanspande tegen internetprovider UPC. Hierbij ging het om de naw-gegevens van een (zware) uploader, die Brein in handen wilde krijgen om aangifte te gaan doen.

Het is nu kennelijk mogelijk om als derde partij, met zwaarwegende belangen, bij een ISP de naw gegevens op te vragen van gebruikers.

Voor u gelezen augustus 17, 2006

Posted by Gertjan in Achtergrond.
add a comment

Voor u gelezen: een artikel op Internet waarin de Regulation of Investigatory Powers Act (RIPA), in Engeland, de verplichting aan burgers wil opleggen hun encryptiesleutel aan de politie te overhandigen bij onderzoek.

Los van het feit dat hier iets botst met de vrijheid van het hebben van een eigen mening, het schenden van de privacy en het feit dat je (in Nederland) niet hoeft mee te werken aan je eigen veroordeling, kan dit ook voor bedrijven beschadigend werken. Uit het artikel blijkt niet duidelijk of het hier natuurlijke personen of ook rechtspersonen betreft. Een TTP zou bijvoorbeeld geen TTP meer willen/kunnen zijn als hij bij de eerste de beste aanvraag alle in escrow gegeven sleutels moet overhandigen. Dit werkt behoorlijk in het nadeel van de vertrouwenspersonen.

Deze redenatie doortrekkend, kan dit gevolgen hebben voor de invoering van een Distributed FIS (DFIS). Ook ben ik benieuwd naar de potentiële gevolgen die dit heeft voor Nederlandse bedrijven die ook in Engeland werkzaam zijn.

Politieke FIS augustus 15, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
add a comment

Informatiebeveiliging moet op de politieke agenda“, een interessante stelling die in augustus op de website Security.nl verscheen. Ook interessant omdat dit een van de stellingen is waar veel commentaar op werd geleverd – en enkele van de FIS-blogs er in voorkomen.

Ik ben het zeker met de stelling eens, informatiebeveiliging moet op de politieke agenda. Wel moet goed worden bewaakt dat hier niet de zekerheden van de burger beschadigd worden. Informatiebeveiliging moet geen dekmantel worden om rechten in te perken of af te nemen. Hierin kunnen we leren van de situatie zoals die in de Verenigde Staten is ontstaan, waarbij allerlei draconische maatregelen niet hebben geleid tot het oppakken van terroristen, maar wel de bewegingsvrijheid van gewone mensen – die zich aan de wet (willen) houden – drastisch is ingeperkt.

Zo mag het FIS geen controlemiddel worden om de handel en wandel van medewerkers te controleren en desnoods te corrigeren.

RFID paspoortproblemen augustus 3, 2006

Posted by Gertjan in Technisch, Tegen.
add a comment

Een artikel op Webwereld, over de (explosieve) risico’s van het RFID paspoort. Nog even en het gebruik van de “tinfoilhat” zal algemeen geaccepteerd gedrag worden.