jump to navigation

Kooi van Faraday in portefeuille september 20, 2006

Posted by Gertjan in Achtergrond, Technisch.
add a comment

De combinatie van ducttape en aluminiumfolie (kijk ook hier) heeft een producent van portefeuilles geïnspireerd tot het ontwerpen van nette, RFID bestendige, hoesjes.

Groeiende FIS september 18, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
add a comment

Nieuwe ontwikkelingen op het gebied van software en communicatie brengen nieuwe mogelijkheden voor gebruikers om te communiceren met de buitenwereld, zonder dat er invloed of controle kan worden uitgeoefend op de inhoud van de datastromen. Hierbij gaat het bijvoorbeeld om VOIP (Voice over IP, zoals Skype), IM (instant messaging, zoals MSN e.d.) en VPN (Virtual Private Network) technieken, waarbij een tunnel met een server aan de buitenzijde (buiten de corporate firewall) wordt opgebouwd. Daarnaast ontstaat binnen bedrijven de behoefte aan beveiligd intern verkeer, tussen applicaties of tussen servers. Dit wordt mede ingegeven door de toenemende mate van samenwerking met andere organisaties. Een bedrijf heeft dan een sterkere behoefte aan veilige interne communicatie, waar zeker geen derden bij kunnen meekijken.

Een FIS moet in deze veranderende behoeften kunnen voorzien en zonder al te veel moeite hierop kunnen inspelen. Dat wil zeggen dat de FIS applicatie eenvoudig schaalbaar moet zijn en de registratie van nieuwe communicatiestromen snel moet kunnen borgen.

Voor server2server communicatie hoeft dit technisch niet ingewikkeld te zijn: een (software)node op de server voordat de encryptie plaatsvind zou al genoeg zijn. Bij end2end versleutelde verbindingen (zoals VOIP) moeten er structurele veranderingen worden aangebracht. Tot op heden is bij het ontwerp van het FIS uitgegaan van centrale logging op de centrale servers. Dit was ook het geval bij e-mail, hierbij wordt tenslotte gebruik gemaakt van een of meer centrale mailservers.

Bij VOIP betreft het een veel op veel relatie, waarbij iedere interne gebruiker verbinding kan maken met iedere eveneens interne maar ook externe gebruiker. Als hierbij gebruik wordt gemaakt van een centrale (corporate) server (PABX?) is er geen significante wijziging in het FIS nodig. Indien de communicatieserver buiten de eigen omgeving staat, zoals bij Skype het geval is, veranderd het beeld geheel. Eigenlijk heeft een organisatie maar twee mogelijkheden: Skype (en soortgelijke protocollen) verbieden en een controle op naleving van dit verbod uitvoeren, of VOIP inbouwen in het FIS. Omdat een Skype-verbinding (en andere VOIP protocollen) bij de eindgebruiker begint met het opbouwen van een versleutelde tunnel, waarna de communicatie – nogmaals versleuteld – wordt uitgevoerd, is centrale FIS logging niet haalbaar (en in ieder geval niet leesbaar).

Op de werkstations bij de eindgebruiker zal een aansluiting voor het FIS moeten worden aangelegd. Hierdoor wordt het mogelijk vast te leggen welke gebruiker met wie (intern of extern) een communicatieverbinding heeft opgezet, op welk tijdstip en hoe lang deze verbinding bleef bestaan.

Inhoudelijke logging van het verkeer is onderhevig aan de Wbp, hetgeen in eerdere artikelen op dit blog uitgebreid is besproken.

Cybercrime wetgeving in leesbare vorm september 8, 2006

Posted by Gertjan in Juridisch.
add a comment

Per 1 september 2006 is de uit 1993 stammende wetgeving over computercriminaliteit of ook wel cybercrime ingrijpend veranderd. Met name is de definitie van hacken (computervredebreuk) uitgebreid: elk opzettelijk en wederrechtelijk binnendringen in computersystemen strafbaar, ook als daarbij geen beveiliging wordt gekraakt.
De wijzigingen als gevolg van de wet computercriminaliteit II worden op leesbare wijze uitgelegd op deze site.

Er worden trouwens wel meer leuke dingen helder uitgelegd, kijk ook eens op de voorpagina.

Obsolete hardware september 7, 2006

Posted by Gertjan in Achtergrond, Technisch.
add a comment

Austrian Teen’s Captor Used Old Computer
– By WILLIAM J. KOLE, Associated Press Writer
Tuesday, September 5, 2006
(09-05) 12:09 PDT VIENNA, Austria (AP) —

Police combing through the house where Natascha Kampusch was held captive for 8 1/2 years said Tuesday they made an unusual discovery: Her captor, a communications technician, used an obsolete computer — and his odd choice now threatens to complicate their investigation.

Maj. Gen. Gerhard Lang of the Federal Criminal Investigations Bureau said kidnapper Wolfgang Priklopil, who killed himself by jumping in front of a train within hours of Kampusch’s escape on Aug. 23, relied exclusively on a Commodore 64 computer — a model popular in the 1980s but now considered an antique.

Lang told reporters the outmoded computer would complicate investigators’ efforts to transfer files for closer examination later, saying it would be difficult “to transmit the data to a modern computer without loss.”

In een bedrijfsomgeving is dit natuurlijk ook een issue: backups van oude hardware moeten ook kunnen worden uitgelezen. Voor een FIS geldt dat nog veel sterker – wat heb je aan een backup als je de informatie niet meer kunt benaderen. Het geschetste voorbeeld is wel extreem, maar bij een systeem migratie van bijvoorbeeld VMS naar Oracle, of zelfs tussen opvolgende versies van Oracle, kunnen deze problemen al de kop opsteken.

Een FIS is pas een FIS als informatie ook langere tijd beschikbaar is. Bij het ontwerp moet er al rekening mee gehouden worden dat apparatuur langer beschikbaar dient te  zijn dan voor de productie noodzakelijk is.

RFID en Privacy Management september 1, 2006

Posted by Gertjan in Achtergrond, Technisch, Tegen.
add a comment

Hier staan een paar interessante verwijzingen naar een apparaat (de RFID Guardian) dat het mogelijk maakt de informatie van RFID tags te manipuleren. Zoals het aangeven aan een RFID lezer dat er géén tags zijn, het emuleren van tags (spooktags?) of het dupliceren van tag-informatie.

Zoals ook al wordt aangegeven kan dit natuurlijk gevolgen hebben voor overheden die RFID in willen zetten voor welke doeleinden dan ook.

De stand van zaken – augustus 2006 augustus 27, 2006

Posted by Gertjan in Achtergrond.
add a comment

Inleiding
Bij het bekijken van de ontwikkelingen van de afgelopen weken in combinatie met het onderzoek naar de wenselijkheid van een forensisch informatiesysteem (FIS) is mij het volgende opgevallen. Het ontbreken van een FIS heeft Brein er niet van weerhouden UPC de gegevens van enkele gebruikers te vragen – en te krijgen. De Engelsen zagen de bui al hangen en willen van iedereen die encryptie gebruikt graag een kopie van de sleutel hebben. Van de week verscheen er een interessant artikel op Internet over de vermeende onaantastbaarheid van VOIP (Voice over IP) gebruikers (Skype). Vermeende onaantastbaarheid, want ook Skype en andere VOIP gebruikers zijn uniek te traceren, volgens de auteurs van dit artikel. Het is een behoorlijk technisch verhaal, maar de inleidende paragrafen en de conclusie zijn ook voor de niet-zo wiskundigen goed te volgen.

Tegen
Steeds meer begint bij mij de vraag naar boven te komen of het wel wenselijk is dat alle gegevens opgeslagen en bewaard worden. Het is zo eenvoudig voor een overheid om alles te verzamelen en dan in die grote bittenbak te gaan graaien tot er iets verdachts naar boven komt. Dit hoeft dan niet eens gerelateerd te zijn aan de terroristenbestrijding, de vlag die bij veel van de nieuwe wetgeving als dekkende motivatie wordt gegeven. Het is tenslotte voor een overheid verdraaid handig als alle encryptiesleutels voorhanden zijn, niet alleen voor het oppakken van terroristen.

Brein kon de naw-gegevens opvragen bij UPC omdat die gegevens er gewoon nog waren. De KLM kan de RFID informatie van een koffer koppelen aan een reiziger. En als er iets niet pluis is met die koffer dan is de eigenaar minder moeilijk te traceren. Maar wie controleert nu wanneer iets als “niet pluis” wordt aangemerkt? En wie hebben er allemaal inzage in al die RFID informatie met de relationele database die erachter zit? Hoe lang blijven al die gegevens bewaard?

Voor
Aan de andere kant, als de gegevens in een centraal informatiesysteem (FIS) worden opgeborgen en slechts onder bepaalde en duidelijk afgebakende randvoorwaarden te benaderen zijn, dan heeft het echte voordelen. Zoals niemand tegen het oppakken van terroristen kan zijn vóórdat de bom plofte. En ook niemand tegen het oppakken van eigenaren van drugskoffers kan zijn.

Afweging
Het zijn vooral de randvoorwaarden die mij de kriebels geven. Hoe weet je nu als burger dat “ze” overal aan hebben gedacht? Al die informatie in die grote databases, het is commercieel zeer interessant om daar inzage in te hebben. De overheid kan/mag/zal niets verdienen aan het veilig opbergen van databases, maar het betreft hier vooral het publieke domein. En waarom zal een exploitant niet nog een beetje extra willen verdienen?

Conclusie
Als de verschillende informatiesystemen gekoppeld worden (dan hebben zij de meeste waarde), dan moet ook de beveiliging op alle gebieden goed zijn ingeregeld. Omdat het hier systemen van verschillende eigenaren betreft, met verschillende belangen, ligt hier het grootste risico.

Misschien moet de overheid wel de eigenaar van de informatiesystemen worden, waarin de gegevens worden opgeslagen. En moet een hiertoe in het leven geroepen vertrouwde derde partij (vertrouwd door zowel het bedrijfsleven, de burgers als de overheid) al deze databases beheren.

Wat niet wegneemt dat ik zojuist mijn bij de overheid ingeleverde cryptografische sleutel hoogstwaarschijnlijk definitief kwijt ben geraakt. Of in ieder geval het wachtwoord van de private key niet meer weet ;-(

Brein – UPC: 1-0 augustus 25, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
add a comment

De gevolgen van registratie en het niet opslaan bij een derde partij (TTP) zijn in ieder geval iets meer afgetekend dan voorheen, door de uitspraak van de rechter in de zaak die de stichting Brein aanspande tegen internetprovider UPC. Hierbij ging het om de naw-gegevens van een (zware) uploader, die Brein in handen wilde krijgen om aangifte te gaan doen.

Het is nu kennelijk mogelijk om als derde partij, met zwaarwegende belangen, bij een ISP de naw gegevens op te vragen van gebruikers.

Voor u gelezen augustus 17, 2006

Posted by Gertjan in Achtergrond.
add a comment

Voor u gelezen: een artikel op Internet waarin de Regulation of Investigatory Powers Act (RIPA), in Engeland, de verplichting aan burgers wil opleggen hun encryptiesleutel aan de politie te overhandigen bij onderzoek.

Los van het feit dat hier iets botst met de vrijheid van het hebben van een eigen mening, het schenden van de privacy en het feit dat je (in Nederland) niet hoeft mee te werken aan je eigen veroordeling, kan dit ook voor bedrijven beschadigend werken. Uit het artikel blijkt niet duidelijk of het hier natuurlijke personen of ook rechtspersonen betreft. Een TTP zou bijvoorbeeld geen TTP meer willen/kunnen zijn als hij bij de eerste de beste aanvraag alle in escrow gegeven sleutels moet overhandigen. Dit werkt behoorlijk in het nadeel van de vertrouwenspersonen.

Deze redenatie doortrekkend, kan dit gevolgen hebben voor de invoering van een Distributed FIS (DFIS). Ook ben ik benieuwd naar de potentiële gevolgen die dit heeft voor Nederlandse bedrijven die ook in Engeland werkzaam zijn.

Politieke FIS augustus 15, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
add a comment

Informatiebeveiliging moet op de politieke agenda“, een interessante stelling die in augustus op de website Security.nl verscheen. Ook interessant omdat dit een van de stellingen is waar veel commentaar op werd geleverd – en enkele van de FIS-blogs er in voorkomen.

Ik ben het zeker met de stelling eens, informatiebeveiliging moet op de politieke agenda. Wel moet goed worden bewaakt dat hier niet de zekerheden van de burger beschadigd worden. Informatiebeveiliging moet geen dekmantel worden om rechten in te perken of af te nemen. Hierin kunnen we leren van de situatie zoals die in de Verenigde Staten is ontstaan, waarbij allerlei draconische maatregelen niet hebben geleid tot het oppakken van terroristen, maar wel de bewegingsvrijheid van gewone mensen – die zich aan de wet (willen) houden – drastisch is ingeperkt.

Zo mag het FIS geen controlemiddel worden om de handel en wandel van medewerkers te controleren en desnoods te corrigeren.

RFID paspoortproblemen augustus 3, 2006

Posted by Gertjan in Technisch, Tegen.
add a comment

Een artikel op Webwereld, over de (explosieve) risico’s van het RFID paspoort. Nog even en het gebruik van de “tinfoilhat” zal algemeen geaccepteerd gedrag worden.