45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

Spoof je internetactiviteit, in plaats van het te verbergen

Het verbergen van je persoonlijke informatie helpt niet meer, nu overheden en hackers alles kunnen en willen kraken. Maar er is een andere oplossing: misleiding. 

MIT-genie Steven Smith heeft onlangs tijd vrij gemaakt van zijn werk aan de Lincoln Laboratory van het MIT om de vervuiling van het webverkeer van zijn familie te automatiseren met duizenden discutabele zoekopdrachten en sitebezoek. In essentie liegt zijn code over zijn internetactiviteit tegen een ieder die daarnaar luistert. Volgens een artikel in The Atlantic gebruikt het algoritme van Smith software dat webactiviteit spooft met de naam PhantomJS, dat zoekopdrachten en websitebezoek uitvoert om een manier en in een tijdschema dat gewoon menselijk online gedrag nadoet. Welkom in het tijdperk van desinformatie, de nieuwe manier om je privacy te beschermen.

Zelfs VPN's kunnen je niet altijd beschermen. Sommige VPN's zijn al betrapt op het verkopen van data. Andere VPN's werken niet zo goed. Sommige sleutels van de encryptie die door enkele VPN's worden gebruikt zijn gecompromitteerd. Andere VPN's zijn criminelen die zich voordoen als VPN's...

...Nu onze pogingen om onze privédata te verbergen duidelijk falen, zullen we onvermijdelijk moeten vertrouwen op zulke desinformatie. Ik verwacht dat er een hele industrie op staat die plugins voor je browser aanbiedt waarmee je verkeer kan spoofen, en iets eender voor berichtenapps. Dergelijke producten zijn nu al hier en daar te krijgen. Een browser-plugin met de naam Noiszy beweert websites te bezoeken vanuit je browser, "met achterlating van misleidende footprints op het internet". Het project RuinMyHistory gebruikt een popup om random webactiviteiten te creëren.

Alles bij de bron; CompWorld


 

Online veiligheid van Belgen verbeteren met Cybersimpel.be

De internetgebruiker in België vindt online veiligheid belangrijk: 89% staat er bij stil. 65% beseft dat het steeds moeilijker wordt om zichzelf te beschermen. 37% had een negatieve ervaring, het merendeel door een virus. 

65% zegt weinig of niets af te weten van online veiligheid omdat het complex en te moeilijk te begrijpen is. Het goede nieuws is dat ze wel willen bijleren: 41% denkt meer te kunnen doen aan zijn online veiligheid maar weet niet wat of hoe en 31% heeft geen idee of hij voldoende doet. Ze beseffen dat een goede beveiliging van hun persoonsgegevens, logins en online profielen belangrijk is, maar weten niet hoe ze het moeten aanpakken. De campagne Cybersimpel.be wil daar verandering in brengen door de internetgebruiker tips en advies te geven om zijn online veiligheid te verbeteren.

Op Cybersimpel.be kunnen consumenten aan de hand van een test vaststellen over welke zes domeinen ze onvoldoende geïnformeerd zijn en waar ze dus mogelijk gevaar lopen. Ze krijgen ook meteen tips om hun veiligheid in dat domein te verbeteren:  

  1. Beveiliging van accounts: tips voor het kiezen van een sterk paswoord en 2-staps authenticatie. Hoe vermijd je bijvoorbeeld dat anderen toegang kunnen krijgen tot persoonlijke mails en (sociale media) profielen?
     
  2. Online transacties: tips om na te gaan of websites en webshops betrouwbaar zijn. Hoe koop en betaal je bijvoorbeeld veilig online en voorkom je fraude met betaalgegevens?
     
  3. Beveiliging van apparaten: hoe je telefoon beveiligen of onbruikbaar maken voor dieven? Hoe automatische back-ups instellen en antivirus software installeren?  
     
  4. Kinderen: hoe behoed je kinderen voor ongeschikte inhouden stel je ouderlijk toezicht in op computers, laptops, tablets en smartphones? Hoe bescherm je de online privacy van kinderen? En hoe kan je voorkomen dat kinderen online ongewilde aankopen doen?
     
  5. Surfen op het net: word meester over je social media & privacy instellingen, en leer onveilige websites te vermijden.
     
  6. Internet -en netwerkverbindingen: hoe betrouwbaar zijn gratis wifi-netwerken en hoe je wifi-netwerk thuis beschermen?

Alles bij de bron; DigiMedia


 

Zoekmachine Ask.com lekte een maand lang zoekopdrachten gebruikers

Zoekmachine Ask.com heeft gedurende een maand allerlei zoekopdrachten van gebruikers voor iedereen openbaar gemaakt. De Apache-statuspagina was niet afgeschermd en toonde allerlei zoekresultaten. Deze pagina hoort normaliter niet zomaar toegankelijk te zijn.

De Duitse beveiligingsonderzoeker Hanno Böck ontdekte het probleem en waarschuwde Ask vorige maand al. "Het is onverantwoord van een zoekmachine om op een dergelijke manier de servers te configureren", zo liet hij weten. Inmiddels is de pagina niet meer toegankelijk. De zoekmachine Ask.com zit ook achter de gelijknamige omstreden toolbar, die door sommige experts als adware wordt bestempeld en meerdere keren is gebruikt voor het verspreiden van malware.

Alles bij de bron; Security


 

SP stelt vragen over handhaving meldplicht datalekken

Sinds januari vorig jaar is de meldplicht datalekken in Nederland van kracht, maar de SP wil nu weten hoeveel bedrijven hiermee bekend zijn en hoe er wordt gehandhaafd. Dat blijkt uit Kamervragen van SP-Kamerlid Hijink aan demissionair minister Kamp van Economische Zaken.

Aanleiding van de vragen is het bericht van de Cyber Security Raad dat Nederlandse bedrijven al dan niet bewust te weinig aan cybersecurity doen. "Hoeveel bedrijven negeren bewust hun verantwoordelijkheden voor wat betreft cybersecurity? Hoeveel van deze bedrijven wentelen de aansprakelijkheid via ontsnappingsclausules af? Hoe handhaaft u op dergelijke, volgens de CSR, illegale ontsnappingsclausules?", stelt Hijink de vraag.

... In de praktijk blijkt volgens de Cyber Security Raad dat bedrijven hier onvoldoende van op de hoogte zijn. Dat kan er bijvoorbeeld toe leiden dat bedrijven hun systemen onvoldoende beveiligen en er producten op de markt worden gebracht die onvoldoende tegen aanvallen zijn beveiligd.

Hijink wil dan ook weten welke mogelijkheden consumenten en ondernemers hebben om verwijtbare schade op leveranciers te verhalen en in welke mate hiervan gebruik wordt gemaakt. De minister heeft drie weken de tijd om de vragen te beantwoorden (pdf).

Alles bij de bron; Security


 

Loterijen melden lek in bestand deelnemersgegevens

Drie goede-doelen-loterijen melden in een advertentie in ochtendbladen en op hun websites dat er een lek is gevonden in hun computersysteem. Daardoor konden onbevoegden de gegevens bekijken van 450.000 deelnemers aan de BankGiro Loterij, de Postcode Loterij en de VriendenLoterij. Het gaat om de namen, adressen en mogelijk ook de telefoonnummers en e-mailadressen van de deelnemers. Van 900 deelnemers kon ook het rekeningnummer en de geboortedatum worden ingezien.

De loterijen schrijven dat ze door een computerspecialist waren getipt over het lek in de beveiliging. Dat lek is gevonden bij een extern bedrijf dat de post en de prijzen van de loterijen verzorgt. Ook bleek dat bedrijf niet de gegevens van prijswinnaars te hebben gewist; de afspraak was dat dit acht dagen na toezending van de prijs moest gebeuren. De samenwerking met deze leverancier is opgeschort en het computersysteem is buiten werking gesteld.

De loterijen adviseren hun deelnemers om alert te zijn op mails of brieven die persoonlijke gegevens bevatten. Er is een telefoonnummer en een e-mailadres opgesteld voor vragen over het datalek. De Autoriteit Persoonsgegevens is op de hoogte gesteld.

Alles bij de bron; NOS


 

Privacy op mobiele devices te grabbel

Er is recent veel aandacht voor encryptie en PGP techniek op het mobiele platform. Deze week pleitte de Britse regering dan ook, niet voor het eerst, voor een backdoor op versleutelde berichten-apps. Hierdoor zou de overheid altijd mee kunnen lezen. 

Groot Brittannië staat niet alleen in dit verzoek. Nederland heeft al enige tijd dezelfde ambities. AIVD-directeur Rob Bertholee wil de encryptie van chatdiensten beperken en het OM weet beslag te leggen op servers in het buitenland waar beveiligde communicatie op staat. De AIVD is van mening dat privacy opgeofferd mag worden in het belang van veiligheid. Het Openbaar Ministerie (OM) beredeneert in de recente zaak Ennetcom dat iedereen die gebruik maakt van deze dienst crimineel is en ontziet daarmee beroepsgroepen als advocatuur en journalistiek niet.

Patrick Neeteson, directeur bij CBSEC, is niet blij met deze ontwikkeling: "Deze mensen kunnen niet zonder beveiligde communicatie en in dit soort zaken wordt de veiligheid van hen dan ook in gevaar gebracht. Door de mobiele telefoon in uw zak bent u volledig te volgen door onze inlichtingendiensten en overheid. Dat het beschermen van privacygevoelige gegevens niet altijd goed gaat weten we van lekkende patientendossiers en digids." Niet alleen de lekken zijn problematisch: "Door buitenlandse wetgeving zijn veel van onze privacygevoelige gegevens ook direct beschikbaar voor bijvoorbeeld de NSA, het Amerikaanse Bureau Nationale Veiligheid," vervolgt Neeteson. CBSEC pleit er dan ook voor om gevoelige communicatie altijd te versleutelen met PGP. PGP-toestellen zijn speciaal ontworpen toestellen die als doel het beschermen van de privacy van de gebruiker hebben. PGP is een methode waarmee berichten worden versleuteld...

...Anders dan het OM heeft CBSEC de visie dat een PGP-gebruiker iemand is die zijn of haar privacy en veiligheid serieus neemt, zonder dat deze daarmee onlosmakelijk verbonden is met criminaliteit. Anders dan de AIVD veronderstelt CBSEC dat de nationale veiligheid niet vergroot zal worden door het voeden van de informatiezucht van onze inlichtingendiensten. Neeteson verklaart: "Een terrorist, even buiten beschouwing gelaten dat er aanzienlijk grotere gevaren voor de Nederlandse samenleving zijn, gebruikt geen WhatsApp of Facebook Messenger. Een achterdeur openzetten voor de inlichtingendiensten schaadt dan ook alleen de 67 procent van de mensen die zeggen niets te verbergen te hebben."  

Alles bij de bron; ManagersOnLine


 

Telegram lanceert versleuteld bellen in West-Europa

Telegram heeft een nieuwe feature uitgerold waardoor gebruikers nu ook versleuteld met elkaar kunnen bellen. "Voice Calls", zoals de feature heet, is vooralsnog alleen in West-Europa beschikbaar. Telegram heeft hiervoor aanpassingen doorgevoerd aan het mechanisme dat wordt gebruikt om encryptiesleutels uit te wisselen. Dit moet ervoor zorgen dat het bellen "100 procent veilig is".

De gesprekken maken waar mogelijk gebruik van een peer-to-peer-verbinding. In het geval een dergelijke verbinding niet kan worden opgezet wordt er naar een server uitgeweken. Telegram verwerkt informatie van elk gesprek om naar eigen zeggen de kwaliteit te verbeteren. De chatdienst benadrukt dat het niet om de inhoud van gesprekken gaat, maar technische zaken zoals netwerksnelheid, pingtijden en packetloss. Deze parameters kunnen tijdens een gesprek worden aangepast om de kwaliteit te verbeteren. Wanneer de gespreksfeature wereldwijd wordt uitgerold is nog niet bekend.

Bron; Security


 

EU komt in juni met regels voor versleutelde chat-apps

De Europese Commissie gaat in juni nieuwe regels voor versleutelde chat-apps en het verkrijgen van digitaal bewijs voorstellen. Dat meldt Europees commissaris voor Justitie Jourová op Twitter, alsmede de website Euractiv

"Naar verwachting zal de Europese Commissie tijdens de komende JBZ-raad aangeven of zij voornemens is om met plannen te komen op het gebied van encryptie", zo liet demissionair minister van Veiligheid en Justitie Stef Blok eerder al weten (pdf). Jourová zou in juni drie of vier opties aankondigen, waaronder bindende wetgeving en vrijwillige overeenkomsten met bedrijven om opsporingsdiensten snel informatie te verstrekken.

"Op het moment zijn aanklagers, rechters alsmede politie en opsporingsdiensten afhankelijk of providers vrijwillig toegang tot het bewijs geven. Op deze manier kunnen we niet de veiligheid van Europeanen verzekeren", aldus Jourová. Eerder riepen Duitsland en Frankrijk al op om versleutelde chatdiensten aan banden te leggen. Vorige week liet de Britse minister van Binnenlandse Zaken Amber Rudd nog weten dat de Britse inlichtingendiensten toegang tot versleutelde WhatsApp-berichten moeten krijgen.

Alles bij de bron; Security