De Europese Unie werkt aan een nieuwe wet om de digitale verspreiding van kinderporno te bestrijden. Dat is lovenswaardig en nodig ook, maar het toelaten van screening van het sociale mediaverkeer is een verkeerde oplossing. De prijs voor chat control is te hoog en de technologische ontwikkeling is nog te beperkt voor een feilloze toepassing.
Deskundigen, politici en zelfs belangenorganisaties vinden het permanent meespieken met communicatiediensten zoals Whatsapp en Tiktok om kinderpornografisch materiaal op te sporen, een paar stappen te ver. Geen bericht ontkomt aan het allesziende oog en de inbreuk op de privacy is kolossaal. Het doel heiligt in dit geval niet het middel.
Kenmerk van het (sociale) berichtenverkeer is juist dat gebruikers vrijelijk met elkaar kunnen communiceren. Elk bericht wordt versleuteld om pottenkijkers buiten te sluiten. Het EU-voorstel maakt toch een spiekmomentje mogelijk voordat deze versleuteling plaatsvindt. Dat momentje is te vergelijken met een postbode die, voordat de brief in de bus glijdt, even snel de envelop opent om de inhoud te lezen. Dat is met de post ondenkbaar, dus in het digitale berichtenverkeer ook.
...De wens is de vader van de gedachte, maar zolang een nieuwe wet niet waterdicht voldoet, mag die niet tot uitvoer worden gebracht. Zelfs niet voor het opsporen van kindermisbruik.
Alles bij de bron; LeidschDagblad
De inzet van de Pegasus-spyware is een heftige inbreuk op de mensenrechten en gaat veel en veel verder dan Watergate en George Orwells 1984, zo stelt Kamerlid Pieter Omtzigt.
Omtzigt deed als rapporteur van de Raad van Europa onderzoek naar het gebruik Pegasus door Europese lidstaten voor het bespioneren van journalisten, politieke tegenstanders, mensenrechtenactivisten en advocaten. Het gaat om Polen, Hongarije, Griekenland en Spanje, zo blijkt uit het rapport van Omtzigt.
In het onderzoeksrapport wordt ook de Nederlandse regering opgeroepen, omdat het erop lijkt dat het Pegasus ook heeft aangeschaft, duidelijk te maken hoe de spyware wordt ingezet en welk toezicht hierop plaatsvindt. Ook is Nederland gevraagd om te laten weten hoe vaak het Pegasus heeft ingezet.
Pegasus is door NSO Group ontwikkelde spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via zeroday-aanvallen verspreid.
Alles bij de bron; Security
Makers en verkopers van spionagesoftware in Europa proberen doorlopend exportbeperkingen te omzeilen, blijkt uit internationaal onderzoek.
Over spionagebusjes, afluisteren met drones en Nederland als schakel. ‘Ik dacht dat overheden het zouden gebruiken bij de jacht op pedofielen’.
...De spionagesoftware ‘Predator’ wordt aan tal van regeringen en opsporingsdiensten verkocht. De ‘spyware’ wordt eveneens nog altijd ingezet tegen dissidenten, journalisten en politici, blijkt onder meer uit een nog vertrouwelijke analyse door het Security Lab van Amnesty International.
Een groot aantal gelekte documenten, met NRC gedeeld door Der Spiegel uit Duitsland en Mediapart uit Frankrijk, toont aan hoe makers en verkopers van spyware in Europa voortdurend proberen exportbeperkingen te omzeilen. Het label ‘gemaakt en gereguleerd in de EU’ wordt daarbij gebruikt als kwaliteitskeurmerk. Met Nederland als schakel.
Alles bij de bron; NRC [Thnx-2-Niek] [lang weekend artikel]
Bits of Freedom maakt zich zorgen over een wetsvoorstel waardoor het voor de AIVD en MIVD tijdelijk mogelijk wordt om van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017) af te wijken. Daarnaast wordt ook het toezicht aangepast.
Zo zal, in plaats van bindende toetsing vooraf door de Toetsingscommissie Inzet Bevoegdheden (TIB), er tijdens en na de inzet van een bevoegdheid toezicht plaatsvinden door de Commissie van Toezicht op de Inlichtingen- en veiligheidsdiensten (CTIVD).
Verder wordt het mogelijk om tijdens een lopend onderzoek waarbij een aanvaller overstapt naar een nieuwe server of apparaat, deze te blijven volgen zonder dat er eerst toestemmingsaanvraag moet worden ingediend. Normaliter hadden de inlichtingendiensten eerst toestemming moeten vragen aan de minister en moet de TIB deze toestemming toetsen.
Het wetsvoorstel verruimt ook de medewerkingsplicht van derde partijen, zoals telecomproviders en opslagdiensten. De inlichtingendiensten kunnen gegevens opvragen bij aanbieders van telecommunicatie- en opslagdiensten. Het gaat dan meestal om het opvragen van disk-images van servers.
In de Wiv 2017 is geregeld dat wanneer de bronbescherming op het spel staat, voordat het systeem van een journalist mag worden binnengedrongen, de rechtbank eerst toestemming moet geven. Door de nieuwe wet mogen de inlichtingendiensten op het systeem van een journalist inbreken als dat door aanvallers wordt gebruikt. Bits of Freedom maakt zich zorgen dat met de nieuwe regels de bronbescherming, en daarmee het werk van journalisten, op het spel komt te staan, zo liet de burgerrechtenbeweging tegenover het radioprogramma Argos weten.
Ook hekelt Bits of Freedom de genoemde noodzaak van de wet en hoe die behandeld wordt.
"De "spoedwet" die de huidige wet zal wijzigen is inmiddels al 2,5 jaar in de maak. Je zou je kunnen afvragen of hier wel echt sprake is van hoge urgentie. Bovendien is dit de zóveelste (tijdelijke) wijziging van de Wet op de inlichtingen- en veiligheidsdiensten", zegt directeur Evelyn Austin.
Volgens Austin is er inmiddels een complete studie vereist om goed te kunnen begrijpen wat de geheime diensten mogen en wat daarvan de gevolgen zijn. "Het lijkt wel alsof de democratische controle opzettelijk wordt verward en uitgeput. Op maandag 16 oktober wordt de wet in de Tweede Kamer behandeld. Aan Kamerleden de haast onmogelijke taak goed beslagen ten ijs te komen. Wij zijn benieuwd."
Eerder uitte ook voormalig TIB-lid Bert Hubert felle kritiek. "Het voorstel pakt geen cybertuig aan, het voorstel maakt het met name makkelijker onschuldige Nederlanders af te luisteren en te hacken, en de opbrengst te delen met het buitenland. Voor ons ligt een wet waarmee niet alleen hele wijken afgeluisterd kunnen worden, het hele land mag er mee afgeluisterd worden. En de diensten menen dat dat geen afluisteren is, want het is slechts ter verkenning."
Alles bij de bron; Security
Actueel onderzoek door het consumentenprogramma Radar stelt volgens het Algemeen Dagblad vast dat grote bedrijven, waaronder gerenommeerde ‘datagraaiers’, opnamen van klantgesprekken maken. En vaak in het geniep.
Het zijn niet alleen Achmea en Bol.com, maar meer verzekeraars, banken en zelfs de overheid. Als je als klant vervolgens bezwaar maakt krijg je steevast te horen dat het de schuld is van de techniek, wat volstrekt flauwekul is.
En niet alleen de gesprekken zelf worden opgenomen, vaak ook alles gedurende de tijd dat de klant in de wacht staat...
...De privacywetgeving geeft aan hoe organisaties persoonsgegevens mogen verwerken en vooral wanneer dit mag. En dat mag, simpel gezegd, alleen als het noodzakelijk is voor een legitiem doel. Die noodzaak ontbreekt in ieder geval tijdens de wachttijd voorafgaand aan een gesprek. Het geautomatiseerd verzamelen van alle gesprekken zonder een gerechtvaardigd doel is onacceptabel.
Het grootschalig verzamelen van gespreksdata is naar alle maatstaven disproportioneel en ongerechtvaardigd. Indien er beperkt gerichte gesprekken worden opgenomen voor bijvoorbeeld trainingsdoeleinden dan biedt de AVG hiervoor een grondslag. Echter wel met een keuzemogelijkheid voor de klant om hieraan te worden onderworpen. De praktijk is echter dat klanten geen keuze hebben en dat transparantie ontbreekt.
Als Stichting Privacy First vinden wij dat organisaties moeten stoppen met het veelal heimelijk opnemen van gesprekken. Ook de AP moet duidelijk zijn over wat wel en niet geoorloofd is, waarbij zij meer onderzoek zouden moeten doen naar deze grootschalige praktijken.
Alles bij de bron; PrivacyFirst
Het gebruik van client-side scanning, waarbij chatberichten van burgers worden gecontroleerd, is alleen proportioneel als het om afbeeldingen gaat en niet om tekstberichten, zo stelt demissionair minister Yesilgöz van Justitie en Veiligheid.
Ze reageerde op Kamervragen over de plannen van WhatsApp en Signal om het Verenigd Koninkrijk te verlaten als daar wetgeving wordt aangenomen die chatdiensten verplicht om client-side scanning toe te passen. Daarbij word op de telefoon van de gebruiker de inhoud van zijn chatberichten gecontroleerd en kunnen autoriteiten worden gewaarschuwd wanneer verboden content wordt aangetroffen....
...."Nederland steunt geen Europese voorstellen die end-to-end encryptie onmogelijk maken", antwoordt de minister. "De strijd tegen online seksueel kindermisbruik blijft desalniettemin van essentieel belang, zeker gelet op de grote rol van Nederland als het gaat om het hosten van online materiaal van seksueel kindermisbruik. Ik voel daarom een grote verantwoordelijkheid voor het vormgeven van een effectieve bestrijding van seksueel kindermisbruik, waarbij alle grondrechten worden geëerbiedigd."
Yesilgöz voegt toe dat client-side scanning de enige manier is om chatberichten op misbruikmateriaal te controleren zonder end-to-end encryptie onmogelijk te maken. "Het is daarbij belangrijk dat berichtendiensten – zoals Whatsapp of Signal – niet buiten de reikwijdte van de verordening vallen", aldus de bewindsvrouw.
Experts en burgerrechtenbewegingen hebben herhaaldelijk gesteld dat client-side scanning end-to-end encryptie ondermijnt. Vorige maand meldde de Amerikaanse burgerrechtenbeweging EFF dat client-side scanning een bedreiging voor mensenrechten vormt.
Alles bij de bron; Security
De wildgroei aan inlichtingenactiviteiten van de overheid heeft de aandacht getrokken van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten, de CTIVD. Emeritus hoogleraar Intelligence and Security Studies aan de Universiteit Utrecht Bob de Graaff vraagt zich in zijn relaas af ‘wie de bewakers bewaakt’.
Nu bevoegdheden van de AIVD en de MIVD deels aan banden zijn gelegd, is er volgens de Graaff tegelijkertijd een ‘wildgroei’ gaande van ongecontroleerde inlichtingenactiviteiten bij de Nederlandse overheid. “De betrokken instanties hebben verreikende bevoegdheden, en hun verzamel- en analyseactiviteiten kunnen ingrijpende gevolgen hebben voor burgers die zich hier niet of nauwelijks tegen kunnen verweren.”
Het feit dat er voor het eerst een rondetafelbijeenkomst is gehouden met wetenschappers, vertegenwoordigers en adviseurs van gemeenten en de inspectie van Justitie en Veiligheid, ziet De Graaff als het begin van erkenning van het probleem.
Alles bij de bron; AGConnect
Het Nederlands Forensisch Instituut laat maandag weten dat het Openbaar Ministerie toegang heeft gekregen tot honderden telefoons dankzij het Exfiles-project. Dat gebeurde 'veelal' in onderzoeken naar zware georganiseerde misdaad, schrijft het instituut.
Opsporingsdiensten en bedrijven uit verschillende EU-lidstaten werkten tijdens het project samen aan methodes en technieken om toegang te krijgen tot 'de nieuwste modellen cryptotelefoons'. Het NFI noemt geen concrete telefoons. Ontsleutelde berichten uit dergelijke smartphones konden vervolgens als bewijs worden ingezet in strafzaken. Volgens het NFI gaat dat veelal om bewijs dat niet op andere wijzen verkregen kan worden.
De politie heeft de afgelopen jaren meerdere grootschalige, versleutelde communicatiediensten uit de lucht gehaald, zoals EncroChat, Sky ECC en Exclu. Daarbij werden miljoenen berichten in beslag genomen die worden gebruikt in honderden strafzaken. De gekraakte cryptotelefoons die het NFI aanhaalt onder het Exfiles-project, lijken losse telefoons te betreffen.
Exfiles werd in 2020 gestart en werd gefinancierd onder het EU Horizon 2020-programma. Het project had een looptijd van 36 maanden en is nu ten einde. De Europese Commissie evalueert het project in oktober en bepaalt dan of er een vervolg komt.
Alles bij de bron; Tweakers
Politieke partijen die het systeem uitdaagden werden structureel door de Binnenlandse Veiligheidsdienst (BVD), de voorloper van de AIVD, geïnfiltreerd en afgeluisterd, zo meldt NRC op basis van onderzoek. De BVD hield alle partijen in de gaten, maar dossiers van politici van middenpartijen als CDA, PvdA en VVD bleken beperkt te zijn. Wanneer een politicus of iemand uit zijn omgeving iets opvallends deed werd er een aantekening in het persoonsdossier gezet.
Dossiers van politici uit partijen die het systeem uitdagen, zowel links als rechts, zijn veel uitgebreider. "Deze partijen werden structureel geïnfiltreerd en afgeluisterd, waarbij de politieke koers en interne perikelen werden gemonitord", schrijft het NRC. De BVD wist met welke journalisten politici spraken, was bij vergaderingen en beschikte over de volledige financiële en ledenadministraties. Daarbij maakt het niet uit voor de dienst of vergaderingen in een huiskamer plaatsvonden, een zaaltje in de Tweede Kamer of een vergaderzaal in een hotel.
De AIVD wil niet tegenover de krant laten weten of het politieke partijen structureel bespioneert en infiltreert. Wel zegt de dienst dat haar werkwijze niet te vergelijken is met die van de BVD en ze aan strengere regels en controles gebonden is.
Alles bij de bron; Security
De backdoor die recentelijk werd ontdekt in de Terrestrial Trunked Radio (TETRA) standaard, gebruikt voor het beveiligen van radioverkeer van hulpdiensten, is dertig jaar geleden opgelegd door de Nederlandse overheid. Dat laat Gert Roelofsen, die destijds verantwoordelijk was voor de beveiliging van TETRA aan de Volkskrant weten.
De backdoor in het TEA1-algoritme van de TETRA-standaard zorgt ervoor dat de originele 80-bits key gebruikt voor het versleutelen van het radioverkeer wordt teruggebracht naar een sleutellengte van slechts 32-bits. Daardoor is de sleutel volgens onderzoekers binnen enkele minuten op "consumentenhardware" te kraken. Vervolgens kan het versleutelde verkeer worden afgeluisterd en aangepast...
...Volgens Roelofsen had de beslissing te maken met het Akkoord van Wassenaar, waarin Europese landen afspraken maakten over de export van zogeheten dual-use-technologieën. Technologieën die ook militair te gebruiken zijn. Het sterkere TEA2-algoritme, waar ook het Nederlandse C2000-systeem op is gebaseerd, was voor West-Europese politiediensten. TEA1 wordt echter wel in de Nederlandse vitale infrastructuur gebruikt, zoals de Rotterdamse haven. De AIVD wil geen antwoord geven hoelang het van de backdoor afwist. Roelofsen merkt op dat het voor experts eenvoudig is om de backdoor te ontdekken. "Dat is niet heel moeilijk om te achterhalen."
Alles bij de bron; Security