jump to navigation

Kooi van Faraday in portefeuille september 20, 2006

Posted by Gertjan in Achtergrond, Technisch.
add a comment

De combinatie van ducttape en aluminiumfolie (kijk ook hier) heeft een producent van portefeuilles geïnspireerd tot het ontwerpen van nette, RFID bestendige, hoesjes.

Obsolete hardware september 7, 2006

Posted by Gertjan in Achtergrond, Technisch.
add a comment

Austrian Teen’s Captor Used Old Computer
– By WILLIAM J. KOLE, Associated Press Writer
Tuesday, September 5, 2006
(09-05) 12:09 PDT VIENNA, Austria (AP) —

Police combing through the house where Natascha Kampusch was held captive for 8 1/2 years said Tuesday they made an unusual discovery: Her captor, a communications technician, used an obsolete computer — and his odd choice now threatens to complicate their investigation.

Maj. Gen. Gerhard Lang of the Federal Criminal Investigations Bureau said kidnapper Wolfgang Priklopil, who killed himself by jumping in front of a train within hours of Kampusch’s escape on Aug. 23, relied exclusively on a Commodore 64 computer — a model popular in the 1980s but now considered an antique.

Lang told reporters the outmoded computer would complicate investigators’ efforts to transfer files for closer examination later, saying it would be difficult “to transmit the data to a modern computer without loss.”

In een bedrijfsomgeving is dit natuurlijk ook een issue: backups van oude hardware moeten ook kunnen worden uitgelezen. Voor een FIS geldt dat nog veel sterker – wat heb je aan een backup als je de informatie niet meer kunt benaderen. Het geschetste voorbeeld is wel extreem, maar bij een systeem migratie van bijvoorbeeld VMS naar Oracle, of zelfs tussen opvolgende versies van Oracle, kunnen deze problemen al de kop opsteken.

Een FIS is pas een FIS als informatie ook langere tijd beschikbaar is. Bij het ontwerp moet er al rekening mee gehouden worden dat apparatuur langer beschikbaar dient te  zijn dan voor de productie noodzakelijk is.

RFID en Privacy Management september 1, 2006

Posted by Gertjan in Achtergrond, Technisch, Tegen.
add a comment

Hier staan een paar interessante verwijzingen naar een apparaat (de RFID Guardian) dat het mogelijk maakt de informatie van RFID tags te manipuleren. Zoals het aangeven aan een RFID lezer dat er géén tags zijn, het emuleren van tags (spooktags?) of het dupliceren van tag-informatie.

Zoals ook al wordt aangegeven kan dit natuurlijk gevolgen hebben voor overheden die RFID in willen zetten voor welke doeleinden dan ook.

De stand van zaken – augustus 2006 augustus 27, 2006

Posted by Gertjan in Achtergrond.
add a comment

Inleiding
Bij het bekijken van de ontwikkelingen van de afgelopen weken in combinatie met het onderzoek naar de wenselijkheid van een forensisch informatiesysteem (FIS) is mij het volgende opgevallen. Het ontbreken van een FIS heeft Brein er niet van weerhouden UPC de gegevens van enkele gebruikers te vragen – en te krijgen. De Engelsen zagen de bui al hangen en willen van iedereen die encryptie gebruikt graag een kopie van de sleutel hebben. Van de week verscheen er een interessant artikel op Internet over de vermeende onaantastbaarheid van VOIP (Voice over IP) gebruikers (Skype). Vermeende onaantastbaarheid, want ook Skype en andere VOIP gebruikers zijn uniek te traceren, volgens de auteurs van dit artikel. Het is een behoorlijk technisch verhaal, maar de inleidende paragrafen en de conclusie zijn ook voor de niet-zo wiskundigen goed te volgen.

Tegen
Steeds meer begint bij mij de vraag naar boven te komen of het wel wenselijk is dat alle gegevens opgeslagen en bewaard worden. Het is zo eenvoudig voor een overheid om alles te verzamelen en dan in die grote bittenbak te gaan graaien tot er iets verdachts naar boven komt. Dit hoeft dan niet eens gerelateerd te zijn aan de terroristenbestrijding, de vlag die bij veel van de nieuwe wetgeving als dekkende motivatie wordt gegeven. Het is tenslotte voor een overheid verdraaid handig als alle encryptiesleutels voorhanden zijn, niet alleen voor het oppakken van terroristen.

Brein kon de naw-gegevens opvragen bij UPC omdat die gegevens er gewoon nog waren. De KLM kan de RFID informatie van een koffer koppelen aan een reiziger. En als er iets niet pluis is met die koffer dan is de eigenaar minder moeilijk te traceren. Maar wie controleert nu wanneer iets als “niet pluis” wordt aangemerkt? En wie hebben er allemaal inzage in al die RFID informatie met de relationele database die erachter zit? Hoe lang blijven al die gegevens bewaard?

Voor
Aan de andere kant, als de gegevens in een centraal informatiesysteem (FIS) worden opgeborgen en slechts onder bepaalde en duidelijk afgebakende randvoorwaarden te benaderen zijn, dan heeft het echte voordelen. Zoals niemand tegen het oppakken van terroristen kan zijn vóórdat de bom plofte. En ook niemand tegen het oppakken van eigenaren van drugskoffers kan zijn.

Afweging
Het zijn vooral de randvoorwaarden die mij de kriebels geven. Hoe weet je nu als burger dat “ze” overal aan hebben gedacht? Al die informatie in die grote databases, het is commercieel zeer interessant om daar inzage in te hebben. De overheid kan/mag/zal niets verdienen aan het veilig opbergen van databases, maar het betreft hier vooral het publieke domein. En waarom zal een exploitant niet nog een beetje extra willen verdienen?

Conclusie
Als de verschillende informatiesystemen gekoppeld worden (dan hebben zij de meeste waarde), dan moet ook de beveiliging op alle gebieden goed zijn ingeregeld. Omdat het hier systemen van verschillende eigenaren betreft, met verschillende belangen, ligt hier het grootste risico.

Misschien moet de overheid wel de eigenaar van de informatiesystemen worden, waarin de gegevens worden opgeslagen. En moet een hiertoe in het leven geroepen vertrouwde derde partij (vertrouwd door zowel het bedrijfsleven, de burgers als de overheid) al deze databases beheren.

Wat niet wegneemt dat ik zojuist mijn bij de overheid ingeleverde cryptografische sleutel hoogstwaarschijnlijk definitief kwijt ben geraakt. Of in ieder geval het wachtwoord van de private key niet meer weet ;-(

Voor u gelezen augustus 17, 2006

Posted by Gertjan in Achtergrond.
add a comment

Voor u gelezen: een artikel op Internet waarin de Regulation of Investigatory Powers Act (RIPA), in Engeland, de verplichting aan burgers wil opleggen hun encryptiesleutel aan de politie te overhandigen bij onderzoek.

Los van het feit dat hier iets botst met de vrijheid van het hebben van een eigen mening, het schenden van de privacy en het feit dat je (in Nederland) niet hoeft mee te werken aan je eigen veroordeling, kan dit ook voor bedrijven beschadigend werken. Uit het artikel blijkt niet duidelijk of het hier natuurlijke personen of ook rechtspersonen betreft. Een TTP zou bijvoorbeeld geen TTP meer willen/kunnen zijn als hij bij de eerste de beste aanvraag alle in escrow gegeven sleutels moet overhandigen. Dit werkt behoorlijk in het nadeel van de vertrouwenspersonen.

Deze redenatie doortrekkend, kan dit gevolgen hebben voor de invoering van een Distributed FIS (DFIS). Ook ben ik benieuwd naar de potentiële gevolgen die dit heeft voor Nederlandse bedrijven die ook in Engeland werkzaam zijn.

Goud-FIS juli 11, 2006

Posted by Gertjan in Achtergrond, Forensisch Informatie Systeem.
add a comment

Er is een interessante discussie gaande op Internetfora met betrekking tot het openbaar worden dat de Amerikaanse overheid toegang heeft tot geldtransporten (money transfers). Ook in Nederland heeft de CIA inzage (gehad?) in deze transacties.

Bonuskaart met RFID juli 5, 2006

Posted by Gertjan in Achtergrond.
add a comment

Albert Heijn gaat de nieuwe versie van de bonuskaart uitrusten met RFID chips.

Bron: Security.nl

[edit] 6 juli 2006
AH stelt dat dit niet het geval is

Criminele computers razendsnel door politie onderzocht juli 5, 2006

Posted by Coen in Achtergrond.
1 comment so far

Een in Nederland ontworpen ‘digitale wasstraat’ kan in een razendsnel tempo computers van criminelen en verdachten onderzoeken op verbanden tussen personen, plaatsen en misdrijven. Had men vroeger voor het recherchewerk nog drie maanden nodig, dankzij de tool bedraagt dit nu slechts 5 minuten. De Nationale Recherche heeft de vinding tijdens een congres in Barcelona gepresenteerd.

Computers worden na inbeslagname “leeggezogen”. Alle niet nuttige bestanden worden verwijderd, waarbij de rest wordt ‘platgeslagen’ tot er tekst overblijft. Die wordt vervolgens doorzocht op bewijzen, plaatsen, personen, organisaties en tijdstippen. De open source tool, die binnenkort voor andere politiediensten beschikbaar komt, is al succevol in de praktijk toepast, zo schrijft De Telegraaf.

Bron: Security.nl

KLM rust bagage uit met RFID juli 4, 2006

Posted by Gertjan in Achtergrond.
10 comments

SCHIPHOL – KLM gaat in samenwerking met Schiphol alle bagage uitrusten met radiografische chips. Op die manier kan de luchtvaartmaatschappij de koffers onderweg beter volgen en worden er minder kwijtgeraakt, zei een woordvoerder maandag. Een proef met de techniek is succesvol verlopen.

KLM heeft inmiddels twee afgiftepunten op Schiphol voor bagage uitgerust met de nieuwe techniek, het zogenoemde RFID. Passagiers die daar hun bagage achterlaten, kunnen er zeker van zijn dat vanaf 10 juli hun koffers de chips krijgen. Het maakt niet uit op welke bestemming ze vliegen. Later dit jaar gaan alle afgiftepunten van KLM op Schiphol de RFID-chips gebruiken. Ook wil KLM in het buitenland de techniek gaan toepassen.

bron: Nu.nl

Zoals ik in de categorie “Tegen” en in het artikel “Het FIS, een slecht idee” al heb aangegeven worden er steeds meer gegevens aan elkaar gekoppeld. Dit hoeft niet noodzakelijk met slechte bedoelingen te gebeuren, maar de informatie die uit deze verbanden beschikbaar komt kan eenvoudig voor andere doeleinden worden toegepast.

“Onderzoek naar ongewenst ICT-gedrag” juli 3, 2006

Posted by Gertjan in Achtergrond.
add a comment

Door een collega werd ik geattendeerd op het bestaan van dit artikel uit december 2005. Het beschrijft de verschillende stappen in het forensisch onderzoek, met juridische verwijzingen naar zowel het strafrecht als het civielrecht.