45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Review - Hollandse 'privacyrouter' laat steekjes vallen

De Keezel is een draagbare, draadloze wpa2-router die OpenWRT draait en van een accu is voorzien. Ondersteuning voor ethernet of 4g kan via een dongle, die aan de aanwezige usb-poort gehangen kan worden, maar het apparaat is voornamelijk bedoeld om verbinding te maken met een bestaand draadloos netwerk. Bijvoorbeeld bij een onbeveiligd netwerk in een hotel of café zou er met een Keezel alsnog een veilige verbinding tot stand gebracht kunnen worden. 

De Keezel is duidelijk bedoeld om te worden meegenomen en als 'veilige' draadloze router dienst te doen. Er zijn echter een paar problemen. Zo wordt als er sprake is van een enkele gebruiker de meerwaarde ten opzichte van een degelijke vpn-applicatie op een smartphone of laptop niet duidelijk genoeg. De toegevoegde veiligheid van een aanvullend draadloos netwerk als tussenstap is aanwezig, maar voor de gemiddelde vpn-gebruiker minimaal. Tijdens de testperiode was het toch vaak eenvoudiger om zelf een vpn aan te zetten dan de Keezel tevoorschijn te halen. Dat neemt niet weg dat de router voor groepen een uitkomst kan zijn.

Daarnaast is het een bruikbaar apparaat voor mensen die privacy willen, maar daar niet veel voor willen doen. Ook dan is de Keezel echter geen uitstekende kandidaat. Dat heeft ermee te maken dat hij nog te vaak problemen vertoont met het verbinden met een netwerk. Een apparaat dat zich op een dergelijke doelgroep richt, moet zo veel mogelijk probleemloos werken. Wellicht dat toekomstige versies van de Keezel of de bijbehorende software daar verandering in kunnen brengen.

Alles bij de bron; Tweakers


 

Google vindt ernstig lek in wachtwoordmanager LastPass

Google-onderzoeker Tavis Ormandy heeft een ernstig beveiligingslek in de wachtwoordmanager LastPass ontdekt waardoor een aanvaller systemen in het ergste geval kan overnemen en anders wachtwoorden kan stelen. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een 'kluis' kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden om de opgeslagen wachtwoorden te gebruiken.

Ormandy ontdekte dat de Chrome- en Firefox-versie van LastPass-extensie een kwetsbaarheid bevat waardoor het mogelijk is om op afstand willekeurige code uit te voeren en wachtwoorden te stelen. Details zal de onderzoeker later bekend maken. LastPass laat weten dat het na te zijn ingelicht een tijdelijke oplossing heeft uitgerold en aan een permanente fix werkt. Vorig jaar ontdekte Ormandy ook al een ernstige kwetsbaarheid in LastPass waardoor het systeem van gebruikers op afstand volledig kon worden overgenomen.

Alles bij de bron; Security


 

D66: DUO schendt privacy van studenten

Normaal gesproken krijgen studenten een aanvullende beurs als hun ouders niet genoeg verdienen om hen te steunen. Maar soms hebben studenten gebroken met hun ouders en ook deze studenten hoeven niet bij hun ouders aan te kloppen.

Maar DUO wil van alles weten voordat de instantie de studenten wil geloven. Ze moeten een verklaring van een deskundige opsturen, maar ook zelf een uitgebreide toelichting geven. Ze moeten onder meer uitleggen waar het conflict met de ouders over gaat en hoe de relatie met hun ouders zich in de loop der jaren heeft ontwikkeld.

D66 stelde hierover vragen aan de minister. Gaat het niet te ver?  ‘Enig vertrouwen mag er ook wel zijn ‘, vindt Kamerlid Paul van Meenen. 

Minister Bussemaker erkent dat de vragen soms confronterend zijn. Maar DUO stelt die vragen om een weloverwogen beslissing te kunnen nemen en dat is in het belang van studenten zelf, meent ze. Van Meenen heeft er minder vertrouwen in. Het is te willekeurig, vindt hij. DUO-medewerkers hebben te veel ruimte om naar eigen goeddunken een aanvullende beurs te weigeren. Bovendien is de privacy van studenten in het geding.

Bussemaker legt niet uit hoe DUO de afweging maakt. Ze verwijst naar ‘interne werkinstructies’ en de wet- en regelgeving waar DUO zich aan moet houden. Van Meenen vindt dat niet genoeg en kondigt aan dat hij erop doorgaat.

Alles bij de bron; UTNieuws


 

Privacy kijkers smart-tv fors onder de maat

Producenten van smart-tv's waarschuwen gebruikers nauwelijks dat de privacy van gebruikers wordt geschonden bij normaal kijkgedrag. Die waarschuwing geeft Natali Helberger, hoogleraar Informatierecht van de Universiteit van Amsterdam (UvA).

Wie een slimme tv van bijvoorbeeld Samsung, Philips of LG heeft, moet er rekening mee houden dat informatie over kijkvoorkeuren naar fabrikanten en reclamemakers wordt doorgespeeld. Ook wordt door sommige tv's meegeluisterd met gesprekken in de huiskamer, zo meldt het onderzoek.

Helberger deed het onderzoek samen met privacywetenschapper Kristina Irion van de UvA. Zij pleiten voor wetswijzigingen op Europees niveau waardoor het monitoren van kijkgedrag en het doorgeven daarvan aan derden alleen onder striktere voorwaarden mag.

Alles bij de bron; Telegraaf


 

Privégegevens van wildvreemden bij factuur van apotheek

Door een administratieve fout hebben klanten van de apotheekketen Boots persoonlijke gegevens van vreemden ontvangen. Zo kreeg een klant uit Rijen een factuur toegestuurd met daarbij het medicijnoverzicht en burgerservicenummer van een klant uit Tilburg.

Dit overkwam meerdere mensen. Wilko Thijssen van Boots-apotheken spreekt van 'een menselijke fout'. Een medewerker verwisselde op één dag verschillende facturen. Thijssen: "Alle klanten naar wie die dag een factuur is verzonden, hebben we uit voorzorg op de hoogte gesteld." In de brief staat dat het risico van identiteitsfraude met de gegevens beperkt is. Wel wordt de ontvangers als advies gegeven 'alert te zijn'.

Alles bij de bron; OmroepBrabant


 

Patch blijft uit voor lekken die Nest-camera's kunnen laten crashen

Beveiligingsonderzoeker Jason Doyle heeft een drietal lekken ontdekt, die gebruikt kunnen worden om Nest-camera's van Google te laten crashen en opnieuw te laten opstarten. Hij stelde Google in oktober van de lekken op de hoogte, maar er zou tot nu toe geen patch zijn uitgekomen.

Doyle zet zijn bevindingen uiteen in een GitHub-post. Daarin meldt hij dat het lek bestaat in software met versienummer 5.2.1, die aanwezig is in de Dropcam, Dropcam Pro en de Nest-camera's voor binnen en buiten. Via twee van de drie kwetsbaarheden zijn de camera's binnen een korte afstand opnieuw op te starten. Dit is volgens Doyle problematisch, omdat de camera's gedurende die tijd niet kunnen opnemen. Deze kwetsbaarheden zijn te gebruiken via bluetooth low energy, dat na de installatie van de camera's standaard ingeschakeld is. Door verbinding te maken met de camera, kan een kwaadwillende in het eerste geval een bepaalde ssid instellen waardoor het apparaat via een buffer overflow crasht en opnieuw opstart. In het tweede geval is eveneens een buffer overflow teweeg te brengen door een versleuteld wachtwoord in te stellen.

Het derde lek maakt het mogelijk om de camera met een nieuw wifi-netwerk verbinding te laten maken. Dit proces duurt ongeveer 60 tot 90 seconden, waardoor er tijdelijk geen internetverbinding bestaat. Als de camera uiteindelijk geen verbinding kan maken, keert hij terug naar het oorspronkelijke netwerk. Doyle stelt dat hiermee de opname van de camera tijdelijk onderbroken kan worden, doordat er geen lokale opslag aanwezig is.

De onderzoeker laat aan The Register weten dat er geen workarounds zijn, omdat bluetooth niet uit te schakelen is. 

Alles bij de bron; Tweakers


 

Uitbater luchthaven Parijs-Orly pleit voor camera's met gezichtsherkenning

Aéroports de Paris (ADP), de uitbater van onder meer de luchthaven van Orly, heeft vandaag gepleit voor de invoering "op termijn" van camera's met gezichtsherkenning. Op die manier moeten mensen die als gevaarlijk beschouwd worden, sneller geïdentificeerd kunnen worden. De aanbeveling komt er twee dagen nadat een man op de Parijse luchthaven werd doodgeschoten bij een aanval op een vrouwelijke militair.
Gezichtsherkenning is "op termijn wellicht een piste waarop we ons moeten richten", verklaarde ADP-topman Augustin de Romanet aan de radiozender France Inter.

Op de luchthaven van Orly zijn vandaag al tweeduizend camera's geïnstalleerd. Ook het systeem van gezichtsherkenning wordt al toegepast, zo benadrukt Romanet. "Maar dat gebeurt om de passage aan de douane te versnellen, niet om gevaarlijke mensen te detecteren."

Romaner was in oktober nog naar Israël gegaan om de veiligheidsmaatregelen op de luchthaven Ben-Goerion in Tel Aviv te bestuderen. Daar worden wagens al gecontroleerd nog voor ze de luchthaven bereiken. Romaner benadrukt dat hij dat systeem "in de huidige omstandigheden niet realiseerbaar" acht voor de luchthavens in Parijs. Hij waarschuwt dat dergelijke controles files zullen veroorzaken, waardoor er "doelwitten buiten de luchthaven" ontstaan.

Bron; HLN [Thnx-2-Luc]


 

Dit is de duivelse realiteit van gezichtsherkenning

Deze week was er nepnieuws over een verzonnen app met de naam Facezam, waarbij gezegd werd dat de app iedereen kon opsporen aan de hand van een scan van hun Facebook-foto's. Duizenden, wellicht miljoenen Facebookgebruikers trapten erin en raakten buiten zinnen van deze publiciteitsstunt van een Brits marketingbureau.

De risico's van biometrie op het gebied van privacy en beveiliging is niet altijd even duidelijk voor het grote publiek en dat is begrijpelijk. Iedereen weet dat biologische kenmerken kunnen worden gebruikt om mensen te identificeren. Technologie heeft een groot aantal nieuwe biometrische identificatiesystemen mogelijk gemaakt die vingerafdrukken, irisscans, stemherkenning en gezichtsherkenning gebruiken. 

Als je bezorgd bent over privacyschending door middel van biometrie, zouden je zorgen zeer sterk gericht moeten zijn op gezichtsherkenning. De meeste vormen van biometrische data zijn moeilijk te vangen. Zo is bijvoorbeeld expliciete toestemming nodig om vingerafdrukken af te nemen, een iris te scannen en andere biometrische data te lezen. Het is bijvoorbeeld zelfs mogelijk dat je iris nog nooit is gescand.

Gezichtsherkenning heeft die toestemming niet nodig en gaat zelfs ongemerkt. Een foto is genoeg. Je bent honderden zo niet duizenden malen gefotografeerd. En met al die beveiligingscamera's wordt je zelfs regelmatig op de foto gezet. Elk keer als je een pinautomaat gebruikt bijvoorbeeld, wordt je foto genomen en die foto wordt gecombineerd in de database van de bank met je naam en bankrekening. Foto's kunnen van afstand worden genomen zonder dat je er toestemming voor geeft of zelfs maar vanaf weet.

Maar beelden zijn publiekelijk beschikbaar voor iedereen. Sociale netwerken, openbare fotosites en andere diensten verdienen miljoenen aan de biometrische data van mensen (hun foto's) die toegankelijk zijn voor iedereen in de wereld met een internetverbinding. Foto's van gezichten zijn makkelijk te verbinden met namen. Als je iemands naam hebt, kan je vrij makkelijk hun thuisadres vinden, een lijst van familieleden, hun telefoonnummers en andere informatie.

Zo werkt het:

  1. Upload een foto van iemands gezicht op FindFace.
  2. FindFace geeft je het zoekresultaat van meerdere Twitter-accounts. Zoek het correcte account en het vertelt je de naam van die persoon.
  3. Copy en paste de naam in de site Familiy Tree Now. Dat geeft je waarschijnlijk het huisadres, familieleden, leeftijd en andere data.

Je kan nu een 100 procent positieve identificatie op iemand hebben, wat weer kan worden gebruikt om van alles over die persoon te weten te komen via het doorzoeken van overheidsbestanden, justitiebestanden en meer van dat. Natuurlijk is dit systeem niet perfect. De truc zal om diverse redenen minder dan de helft van de tijd werken. 

Een ander makkelijk voorbeeld is Google Photos. Klik maar hierop; dit is de "people view" van Google Photos. Het laat zien hoe Google automatisch gezichtsherkenning gebruikt op al je foto's, en groepsfoto's van mensen samen. Door op een gezicht te klikken kan je alle foto's zien van die persoon. Het meest verbazende aan Google Photos is dat iedereen een naam kan toevoegen aan elke fotocollectie.

Dat betekent dat iedereen die je kent die een foto van je heeft genomen en die Google Photos gebruikt die fotogalerij kan labelen met jouw naam en zo aan Googles enorme gezichtsherkenningsdatabase vertelt wie jij bent. 

Alles bij de bron; CompWorld