jump to navigation

Tegenbewegingen december 17, 2006

Posted by Gertjan in Forensisch Informatie Systeem, Tegen.
add a comment

De afgelopen weken hebben zich diverse uitingen in de media voorgedaan, die de tegengestelde stromingen rond de privacy en de bescherming ervan als hun kern hebben. Hieronder een (onvolledige) samenvatting.

Na de uiting van protest tegen de oprukkende ID-plicht (Tony Blair afgebeeld met een barcodesnor) nu een praktische oplossing om meekijkers te frustreren. Psiphon is een methode om het meekijken door overheden bij internetgebruik te beperken. Het is een sociaal virtual private netwerk, dat alleen versleuteld dataverkeer verstuurd. Door een Psiphon node te gebruiken kun je anoniem (jouw IP-adres wordt afgeschermd) gebruik maken van Internet.

Aan de andere kant maken de technologische ontwikkelingen en gadgets het ook wel heel erg aantrekkelijk om jezelf volgbaar te maken. Nike heeft een mooie toepassing door met behulp van RFID technologie en een koppeling met de Apple iPod je gelopen route op te slaan. Deze route is ook zichtbaar te maken op googlemaps/googleearth. Ook al ontdekt door Bruce Schneier (cryptogram 15 december 2006).

De Vrije Universiteit heeft een prijs gewonnen met de persoonlijke antiRFID-wolk, de RFID Guardian.
Dit is een handzaam batterij gevoed apparaat dat het gebruik van RFID monitort en reguleert, waarbij de gebruiker zelf kan bepalen welke en of zijn RFID tags mogen worden uitgelezen. Meer informatie hier.

Aan de ene kant is de gemeenschap druk bezig zijn privacy (welke privacy?) te verkwanselen via de politiek die het tij mee heeft en schermt met terroristische dreigingen (Britten geloofden niet in de WoMD van Irak). Aan de andere kant zijn het de ontwikkelaars en fabrikanten die de mooiste producten ontwikkelen zonder ook maar een stap verder te kijken dan hun neus lang is (schoenen en MP3 spelers).

Auto FIS november 10, 2006

Posted by Gertjan in Forensisch Informatie Systeem, Tegen.
add a comment

Een artikel op nu.nl over automatische kentekencontroles die steeds uitgebreider worden.  Niet alleen de politieregisters maar ook andere databanken worden geraadpleegd.
Dit gaat nog een stap verder dan waar het FIS voor is beschreven – dat beperkt zich tot registratie en opslag, met mogelijk achteraf een gerichte informatievraag.

Bij de beschreven controle is iedereen verdacht – totdat hij niet in de databases voorkomt. Dit vraagt veel van de kwaliteit van de in de database opgeslagen gegevens, vooral false positives zullen veel problemen voor de vermeende verdachte genereren.

Een argument om de verzamelde gegevens op deze wijze in te zetten is dat het altijd al zo werd gedaan, maar dat het meer inzet van de opsporingsdiensten vergde. Als tegenargument kun je dan stellen dat er ook meer ogen keken naar de verzamelde informatie, waardoor iedere “hit” meerdere malen getoetst werd. Dit verhoogt de kwaliteit van het onderzoek, omdat er niet slechts op basis van geautomatiseerde gegevensverzamelingen een beslissing wordt genomen. De factor mens had in de oude situatie op voorhand nog een belangrijke functie – beoordelen van het aangeboden resultaat.

RFID en Privacy Management september 1, 2006

Posted by Gertjan in Achtergrond, Technisch, Tegen.
add a comment

Hier staan een paar interessante verwijzingen naar een apparaat (de RFID Guardian) dat het mogelijk maakt de informatie van RFID tags te manipuleren. Zoals het aangeven aan een RFID lezer dat er géén tags zijn, het emuleren van tags (spooktags?) of het dupliceren van tag-informatie.

Zoals ook al wordt aangegeven kan dit natuurlijk gevolgen hebben voor overheden die RFID in willen zetten voor welke doeleinden dan ook.

RFID paspoortproblemen augustus 3, 2006

Posted by Gertjan in Technisch, Tegen.
add a comment

Een artikel op Webwereld, over de (explosieve) risico’s van het RFID paspoort. Nog even en het gebruik van de “tinfoilhat” zal algemeen geaccepteerd gedrag worden.

Het FIS, een slecht idee! juni 28, 2006

Posted by Gertjan in Tegen.
3 comments

There was ofcourse no way of knowing whether you were being watched at any given moment. How often, or on what system, the Thought Police plugged in on any individual wire was guesswork. It was even conceivable that they watched everybody all the time. But at any rate they could plug in your wire whenever they wanted to.

George Orwell, 1984

Na alle onderzoeken, discussies en overpeinzingen ben ik tot de conclusie gekomen dat de ontwikkeling van een FIS een slecht idee is. Het is mij niet gelukt enig begrip op te brengen voor een alomvattend informatiesysteem dat alle handelingen van gebruikers en bezoekers vastlegt, slechts beschermd door de gezamenlijke overeenstemming van een stel managers dat andere belangen te behartigen heeft dan die van de gebruikers.

Zoals ik in een van de artikelen heb aangegeven volgt Europa en de Europese wetgeving Amerika op de voet. Daar heeft het Department of Homeland Security1 al de wens geuit dat het behoefte heeft aan een systeem, soortgelijk aan het FIS, maar dan met meer mogelijkheden. De geschiedenis van de evolutie van misdaden en de bestrijding ervan in de VS en Europa in beschouwing nemend, is het in redelijkheid aannemelijk dat binnen enkele jaren een soortgelijk systeem in ook Europa ontwikkeld zal worden.

Iedereen is een misdadiger
Zowel op macro- als op microniveau staat het mij tegen dat met de introductie van een FIS alle mensen of alle gebruikers op voorhand als misdadigers worden gezien. Alleen al op dit punt, dat volledig tegen het Europese uitgangspunt2 indruist, heeft een FIS in mijn ogen geen enkel bestaansrecht. Volgens dat verdrag is iemand onschuldig, tot het tegendeel bewezen is en kunnen verdachten niet gedwongen worden mee te werken aan de eigen veroordeling. Het is dan ook van de zotte om te lezen dat op diverse weblogs voorstellen worden gedaan het strafrecht en de privacy wetgeving zodanig aan te passen dat een FIS eenvoudiger is in te voeren.

Door zo te redeneren maken wij met zijn allen de wereld klaar voor “1984”. De uitspraak van Larry Ellison3, “You have no privacy – get over it”, verbleekt hierbij volledig. Deze quote stamt trouwens uit het pre-FIS tijdperk!

Geheimhouders
Ook de ingewikkelde constructie die op dit weblog in het heetst van de strijd, werd bedacht, om een vertrouwde derde partij vragen van de politie te laten beantwoorden, wringt van alle kanten. Hiermee worden de grenzen van de wetgeving behoorlijk genaderd, en bij toepassing zou zelfs de geest van de wet hiermee worden overschreden. Los daarvan brengt het ook geheel nieuwe risico’s met zich mee, die met aanvullende maatregelen moeten worden opgevangen. Zoals het op verschillende plaatsen onderbrengen van de deelsleutels, om geforceerde medewerking van de TTP4 bij het ontsluiten van een database door de politie of andere opsporingsdiensten te voorkomen. Sleutels onderbrengen bij een commerciële partij is sowieso geen optie, maar ook van de klassieke geheimhouders, waarvan de notaris de meest voor de hand liggende is, wordt de status steeds verder uitgehold. Diginotar, een op de lijn der verwachting voorkomende vertrouwde derde partij houdt ook een risico in, omdat met commerciële bedrijven wordt samengewerkt op het IT-vlak.

Politieke omgeving
Tenslotte brengt de introductie van het FIS op vrijwillige basis al onvermoede en onbekende risico’s met zich mee door de actualiteit rond de Wet Computer Criminaliteit II. Er is nog nauwelijks of geen relevante jurisprudentie op de wijzigingen die de wet met zich meebrengt, maar het FIS heeft veel raakvlakken met de wetgeving op dat gebied.

Als het FIS verplicht wordt gesteld op basis van nieuwe wetgeving, stelt dat nieuwe eisen aan geheimhouders of commerciële vertrouwde derde partijen. Binnen het huidige politieke klimaat is de kans al aanwezig dat de privacy van de burgers en werknemers in de verdrukking komt. Bij een doorzetting van de trend met nadruk op wetgeving voor de bestrijding van het terrorisme (zoals in de VS op dit ogenblik veel wetten worden aangenomen, en Europa volgt Amerika op de voet) is er geen garantie meer dat de overheid onder het mom van terrorisme bestrijding op voorhand inzage wil hebben in de databases van de FIS’en – de informatie is tenslotte als voorhanden.

Big brother
Voor dit doemscenario is niet veel nodig, slechts de verkiezing van een nieuwe regering kan de balans al naar de verkeerde kant (geredeneerd vanaf de privacy zijde) doen doorslaan. Als dit gebeurt is de visie van George Orwell een grote stap dichter bij de werkelijkheid, Big brother is watching you!

1http://www.fcw.com/article94741-06-02-06-Web&newsletter%3Dyes

2 Europees Verdrag voor de bescherming van Mensenrechten en de Fundamentele Vrijheden (EVRM)

3Larry Alisson, CEO van Oracle in september 2001

4TTP: Trusted Third Party, vertrouwde derde partij

RFID toegepast in gevangenis juni 7, 2006

Posted by Gertjan in Achtergrond, Tegen.
4 comments

Een artikel uit de FOX-IT nieuwsbrief van mei 2006 sterkt mij in mijn opvatting dat je RFID niet moet willen gebruiken om gegevens rond de bewegingen van je personeel en informatiestromen vast te leggen.

RFID - polsbandjes voor gevangenen

RFID – tracking en tracing voor particulieren mei 28, 2006

Posted by Gertjan in Tegen.
3 comments

Naast het maken van een recherche onderzoek systeem, ga je ook nadenken over de potentiële gevolgen die de beschikbaarheid van een dergelijk systeem voor de burger kan hebben. “You have no privacy – get over it”, zoals Larry Alisson, CEO van Oracle in september 2001 zei. Elektronische systemen kunnen veel informatie opslaan over burgers – en doen dat ook. De veiligheid ligt in de scheiding van deze systemen, hoewel er een tendens is naar het dunner maken van deze scheiding, en er hier en daar al gaten in geprikt worden. De activiteiten van het Amerikaanse Department of Homeland Security en de Europese neiging de Amerikanen te volgen voorspellen niet veel goeds op dit gebied.

Daarnaast wordt elektronica steeds meer onzichtbaar een gemeengoed in het dagelijks leven. Zoals de koelkast Albert belt dat de melk op is en het bier bijna over de datum (of komt andersom vaker voor?) dragen wij straks allemaal een paspoort met een RFID chip op ons lichaam. Onze kleding heeft van de winkel uit een RFID chip meegekregen (http://www.security.nl/article/5839/1/Marks_%26_Spencer_voorziet_kleren_van_RFID_tags.html) en zelfs alle bankbiljetten vanaf € 5,00 zijn al van een dergelijke chip voorzien (http://www.prisonplanet.com/022904rfidtagsexplode.html).

Natuurlijk doen banken helemaal niets met die informatie, ze willen gewoon weten hoe lang een bankbiljet in het verkeer blijft, hoeveel er verdwijnen en wat de omloopsnelheid is. Maar het is natuurlijk maar een kleine stap naar het verbinden aan het bij de PIN-automaat getrokken bankbiljet aan de identiteit van de PIN-pas. Als ook de lokale super die op de kleintjes let zijn informatie beschikbaar stelt aan het opsporingsapparaat is een spoor eenvoudig(er) op te bouwen: http://www-128.ibm.com/developerworks/library/wi-rfidtrack/index.html?ca=drs-tp1806. Ik ben niet de enige die dit bedacht heeft, en anderen hebben er zelfs tegenmaatregelen voor genomen:

Andere interessante RFID links:

http://rfid.emerce.nl/

http://www.security.nl/archive/1/0