De backdoor die recentelijk werd ontdekt in de Terrestrial Trunked Radio (TETRA) standaard, gebruikt voor het beveiligen van radioverkeer van hulpdiensten, is dertig jaar geleden opgelegd door de Nederlandse overheid. Dat laat Gert Roelofsen, die destijds verantwoordelijk was voor de beveiliging van TETRA aan de Volkskrant weten.
De backdoor in het TEA1-algoritme van de TETRA-standaard zorgt ervoor dat de originele 80-bits key gebruikt voor het versleutelen van het radioverkeer wordt teruggebracht naar een sleutellengte van slechts 32-bits. Daardoor is de sleutel volgens onderzoekers binnen enkele minuten op "consumentenhardware" te kraken. Vervolgens kan het versleutelde verkeer worden afgeluisterd en aangepast...
...Volgens Roelofsen had de beslissing te maken met het Akkoord van Wassenaar, waarin Europese landen afspraken maakten over de export van zogeheten dual-use-technologieën. Technologieën die ook militair te gebruiken zijn. Het sterkere TEA2-algoritme, waar ook het Nederlandse C2000-systeem op is gebaseerd, was voor West-Europese politiediensten. TEA1 wordt echter wel in de Nederlandse vitale infrastructuur gebruikt, zoals de Rotterdamse haven. De AIVD wil geen antwoord geven hoelang het van de backdoor afwist. Roelofsen merkt op dat het voor experts eenvoudig is om de backdoor te ontdekken. "Dat is niet heel moeilijk om te achterhalen."
Alles bij de bron; Security
Het lijkt een even simpele als doeltreffende maatregel om de verspreiding van kinderpornografisch materiaal tegen te gaan: scan iedere afbeelding die met een smartphone wordt verstuurd op mogelijke kinderporno. Het is de kern van een voorstel van de Europese Commissie tegen online kindermisbruik.
Maar de gevolgen zijn zó verstrekkend dat wetenschappers, privacy-activisten en andere critici steeds fermer waarschuwen: begin er niet aan ze waarschuwen voor de verstrekkende gevolgen van deze ‘cliënt scanning’, waarmee er ‘een politieagent in ieders broekzak’ komt.
...De ‘cliënt scanning’, zoals het in jargon heet, moet namelijk gaan plaatsvinden vóórdat een bericht wordt versleuteld. In feite wordt er dus een derde partij toegevoegd aan de communicatie tussen verzender en ontvanger...
...de belangrijkste kritiek op de EU-voorstellen, raakt een fundamenteler punt. Zoals Jaap-Henk Hoepman, universitair hoofddocent privacy en technologie aan de Radboud Universiteit, het verwoordt: ‘Dit voorstel plaatst een koevoet in het privéleven van alle burgers. We slaan hiermee een pad in waar je eigenlijk niet wilt gaan.’
De implicaties zijn volgens hem enorm. ‘Het komt erop neer dat instanties de mogelijkheid krijgen om mee te kijken in ons privéleven, met wat we doen en zeggen op onze telefoon’, zegt hij. Hoepman vergelijkt het met het installeren van een beveiligingscamera in álle huizen in Nederland. ‘Een camera van de overheid die geactiveerd wordt en een livestream opzet als deze een verdacht geluid oppikt.’
Experts vrezen twee scenario’s. Eén: het scannen blijft niet beperkt tot kinderpornografisch materiaal maar wordt sluipenderwijs uitgebreid naar teksten en afbeeldingen die bijvoorbeeld terrorisme, geweld of desinformatie bevatten. Hoepman: ‘Dat is een bekende dynamiek: als de mogelijkheid er eenmaal is, is het verleidelijk om hem breder in te zetten.’
Een andere vrees is dat autoritaire regimes de optie zullen gebruiken voor andere doeleinden, zoals eerder gebeurde met Israëlische spionagesoftware. Die was bedoeld voor het opsporen van terroristen maar werd door landen als Hongarije, Polen en ook Spanje ingezet tegen journalisten, mensenrechtenactivisten en oppositieleden. Hoepman: ‘De drempel om die functionaliteit toe te voegen, gaat omlaag.’
Het voorstel van de Europese Commissie wordt binnenkort besproken in het Europees Parlement en de EU-raad. Voorlopig koesteren de tegenstanders van de plannen weinig hoop. Een eerder Zweeds voorstel om end-to-end-encryptie te beschermen en géén client scanning toe te staan, werd door Spanje verworpen.
Ook het, inmiddels demissionaire, Nederlandse kabinet is voorstander van het scannen. Een door de Tweede Kamer aangenomen motie uit april om niet akkoord te gaan met ‘encryptiebedreigende chatcontrole’, legde het kabinet naast zich neer.
Alles bij de bron; Volkskrant
Frankrijk krijgt een wet om verdachten van ernstige strafbare feiten op afstand te kunnen bespioneren door op de smartphone de microfoon en camera aan te zetten of de locatie uit te lezen. Dat mag tot nu toe nog niet.
De wet kwam er woensdagavond door, schrijft RFI. Een rechter moet vooraf de spionage goedkeuren en de maximale duur is zes maanden, zo blijkt uit de wetstekst. De persoon in kwestie moet verdacht worden van iets dat minimaal een gevangenisstraf van vijf jaar zou opleveren.
Als dat zo is, dan mag de politie na toestemming van de rechter op afstand de locatie van een smartphone uitlezen, de microfoon aanzetten voor opnames en de camera inschakelen voor beelden. Het is onduidelijk hoe de politie dat zou doen, maar vermoedelijk gaat het om het hacken van de telefoon via bijvoorbeeld malware.
De wetstekst beperkt zich niet tot telefoons, de politie zou ook gebruik mogen maken van smart-tv's of babyfoons om dit doel te bereiken. Ook in Nederland mag de politie verdachten hacken.
Alles bij de bron; Tweakers
De gemeenten Zoetermeer, Delft en Gouda wisten dat er geen wettelijke basis voor hun onderzoek naar extremisme was, maar zijn er toch jaren mee doorgegaan. Dat blijkt uit onderzoek van Omroep West. Tussen 2017 en 2021 werd een grote hoeveelheid informatie verzameld over verschillende bewoners, met het risico dat zij onterecht bestempeld konden worden als 'geradicaliseerde burger' of 'terrorist'.
Adviesbureau Considerati concludeerde al in 2019 dat er een risico was dat mensen die niets te maken hebben met radicalisering, toch onterecht dit stempel zouden kunnen krijgen.
Ook zou het onzorgvuldig omgaan met de gevonden informatie kunnen leiden tot discriminatie, blijkt uit de documenten. Als de gemeenten hiermee door wilden, moest de wet worden aangepast of moest de samenwerking tussen de gemeenten en de politie anders worden vormgegeven.
Maar, de gemeente Zoetermeer was onderhand al twee jaar bezig met onderzoek naar radicalisering en extremisme. Delft en Gouda haakten een jaar later - in 2018 - aan bij de samenwerking. De gemeenten gingen, nadat het advies was uitgebracht, vervolgens tot 2021 door met onderzoeken, terwijl zij wisten van de risico's en dus ook wisten dat het niet zomaar mocht.
En dat onderzoek naar extremisme ging best ver, blijkt uit mailcontact binnen de gemeente Zoetermeer. De data die werd opgezocht gaat bijvoorbeeld over informatie als namen van bewoners, met wie zij omgaan, in welke gemeenschap zij zich bevinden, waar zij wonen, de nationaliteit, wie de kinderen zijn en zaken als naar welke gebedshuizen of andere bijeenkomsten zij gaan.
Al die informatie werd bij elkaar gezocht om mogelijk radicaliserende netwerken online in kaart te brengen. Soms werd ook samengewerkt met de politie.
Dat deze informatiewinning voor problemen kan zorgen, blijkt uit voorbeelden dat burgers op reis werden tegengehouden, vastgezet in het buitenland en teruggestuurd omdat ze een gevaar zouden zijn voor de samenleving. Mogelijk was ergens het label 'terrorist' of 'mogelijk geradicaliseerd' op hen geplakt en het was onduidelijk waar ze vervolgens moesten aankloppen om die misvatting recht te zetten.
Alles bij de bron; OmroepWest [Lekker lang lezen artikel Thnx-2-Niek]
De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) doet onderzoek naar de bevoegdheid tot de inzet van virtuele agenten door de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), zo heeft de toezichthouder bekendgemaakt. Virtuele agenten worden ingezet voor het verzamelen van informatie op internet, bijvoorbeeld op discussiefora.
"Een agent, zoals omschreven in artikel 41 van de Wet op de inlichtingen- en veiligheidsdiensten, is meestal een persoon buiten de dienst, maar soms kan het ook een van onze eigen medewerkers zijn. Deze gaat dan undercover aan het werk. Als een agent zich uitsluitend op internet begeeft en daar informatie probeert te vergaren, noemen wij dat een virtueel agent", aldus de AIVD.
Daarnaast doet de CTIVD ook onderzoek naar de inzet van journalisten als agenten. Er wordt dan specifiek gekeken naar de bevoegdheid om agenten in te zetten, zoals in artikel 41 van de Wet op de inlichtingen- en veiligheidsdiensten 2017 is vastgelegd.
Wat de aanleiding voor de onderzoeken is laat de CTIVD niet weten. Zodra de onderzoeken, die bij de AIVD en MIVD plaatsvinden, zijn afgerond zullen de resultaten openbaar worden gemaakt.
Alles bij de bron; Security
Dat burgemeesters het demonstranten graag lastig maken, wist ik al wel. Het is niet dat er géén vrijheid van demonstratie is, maar die vrijheid staat wel onder druk en moet steeds bevochten worden, schreef ik onlangs.
Maar wat ik niet wist is dat er een politie-inlichtingendienst bestaat waar burgemeesters nauwelijks zicht op hebben en die bovendien functioneert zonder wettelijke basis.
Want er is dus binnen het politieapparaat een Team Openbare Orde Inlichtingen (Tooi) dat burgers bespioneert, en dit team opereert min of meer in het luchtledige. Terwijl de methodes toch een lichte Stasi-geur verspreiden: infiltratie, het schaduwen van mensen, online en fysiek, werken met (betaalde) informanten, speciale vermelding van personen in politieregisters met als code CTER (Contra Terrorisme Extremisme Radicalisering), het delen daarvan met binnen- en buitenlandse opsporingsdiensten ...
... Wat is het luchtledige waarin dit gebeurt? Het Team Openbare Orde Inlichtingen valt niet onder de wet op de inlichtingen en veiligheidsdiensten. De verantwoordelijkheid ligt bij de burgemeesters, als hoofd van de politie. Maar die zijn zich daar nauwelijks van bewust, zo blijkt, en kunnen ook nergens aan toetsen.
“Dit zijn de praktijken van een politiestaat”, zegt hoogleraar strafrecht Sven Brinkhoff. Het klinkt nogal ruig. Dat is het ook.
Alles bij de bron; Trouw [thnx-2-Niek]
Het Europees Parlement wil het gebruik van spionagesoftware inperken. Dat is het compromis na ‘het Europese Watergate-schandaal’. Hoe bedreigend de inzet van hacksoftware Pegasus is, weet Poolse aanklager Ewa Wrzosek.
In december 2021 hoorde ze dat haar mobiele telefoon zes keer was gehackt met de Israëlische spionagesoftware Pegasus. De daders hadden toegang tot al haar gegevens; haar privéfoto’s, camera, microfoon, gesprekken en berichten over lopende strafzaken. Meteen was er de paniek: wie deed haar dit aan en met welk doel?
De software, bedoeld als opsporingsmiddel, is een machtig wapen in de handen van autoritaire regimes. Ongezien kunnen veiligheidsdiensten het middel inzetten om tegenstanders te volgen, af te luisteren en te intimideren. Vandaar dat het schandaal het Europese ‘Watergate’ werd genoemd – al vinden sommigen de film Das Leben der Anderen over indringende Stasi-afluisterpraktijken een passender analogie.
Met name in Polen, Hongarije en Griekenland werden critici met de spionagesoftware het zwijgen opgelegd. De Spaanse veiligheidsdienst zette Pegasus in tegen Catalaanse activisten en politici. Andere landen, zoals Nederland, blijken Pegasus ook te bezitten. Onder welke omstandigheden ze de software inzetten, hoe vaak en tegen wie, blijft schimmig. De Nederlandse inlichtingendienst AIVD en de politie beantwoorden geen vragen over het gebruik van commerciële software.
De software van de Israëlische NSO Group is zeer invasief en Wrzosek denkt niet dat zij een legitiem doelwit kan zijn. ‘Er liepen geen onderzoeken naar mij.’ Na technisch onderzoek volgt de bevestiging. Zes keer is Pegasus op haar iPhone gezet. ‘Het moment dat je je realiseert dat je hele leven, al je informatie, foto’s, telefoongesprekken en contacten is ingezien, dat je geen enkele privacy meer hebt, voelt ontzettend naakt en kwetsbaar.’
De uitgesproken Ewa Wrzosek was niet het enige doelwit in Polen. Oppositiepoliticus en senator Krzysztof Brejza werd liefst 33 maal gehackt, op het moment dat hij campagne voerde voor de parlementsverkiezingen in 2019.
Maandagavond schaarde een meerderheid van het Europees Parlement zich achter het voorzichtig aan banden leggen van de spionagesoftware. Er komen nadere vereisten voor het gebruik ervan, zoals deugdelijk toezicht. Een gevoelige stemming waarover maanden is onderhandeld. Want lidstaten zijn liever niet open over het gebruik van de hackwapens.
Alles bij de bron; Volkskrant
Met een nieuw wetsvoorstel wil de overheid eerder gedane beloftes over bescherming van de privacy van burgers gaan verbreken en de jarenlange overschrijding van bevoegdheden door inlichtingendiensten legaliseren.
De AIVD en MIVD maken zich op om de nieuwe glasvezelnetwerken in ons land gaan gebruiken voor grootschalig aftappen van communicatie via internetkabels. Daarbij gaat ook het delen van data met buitenlandse mogendheden en opsporingsdiensten tot de mogelijkheden behoren.
Op de site van de rijksoverheid valt te lezen dat de huidige Wet op de inlichtingen- en veiligheidsdiensten uit 2002 ’te beperkt is in haar mogelijkheden ..." Blijkbaar vindt de Rijksoverheid dat veel meer moet kunnen met als gevolg dat een sleepnet op de gehele kabel tot de mogelijkheden moet gaan behoren. Te lezen valt dat ’terroristen’ (net als iedereen overigens) in de 21e eeuw communiceren met bits en bytes en dat die kanalen bijna allemaal via glasvezelkabels ons land binnen komen. Er moet volgens de overheid dus een wettelijke uitbreiding komen zodat alles op die kabels onderschept en geanalyseerd kan worden.
De Volkskrant kopte dan ook terecht op 16 mei 2022: ‘Nederland stemde tegen de sleepwet en toch staat nu alles klaar voor grootschalig aftappen’.
En zo gaat het in Nederland nu altijd. Eerst mag de burger zich in een referendum (gehouden in 2018) uitspreken om vervolgens enkele jaren later via een aanvullende wet juist dat te gaan doen waartegen de burgers van Nederland in 2018 massaal “nee” tegen hebben gestemd.
Eerdere beloftes van toenmalig minister Ronald Plasterk en met hem diverse hoofden van de uiteenlopende inlichtingendiensten blijken nu weer gewoon los zand te zijn en van nul en generlei waarde.
De niet nagekomen beloftes en de overschrijding van de bevoegdheden wil men nu met een nieuw wetsvoorstel gaan ‘legaliseren’ om zo via een achterdeur en het referendum negerende toch het zo bestreden ‘sleepnet’ te kunnen invoeren. Het heeft er aldus alle schijn van dat Nederland ondanks de duidelijke afwijzing in het referendum van 2018 toch afluisterland wordt.
Alles bij de bron; CrimeSite
De overname van Telenet door Liberty Global kan verregaande gevolgen hebben op vlak van privacy en gegevensbescherming. Amerikaanse speurders zouden gevoelige data kunnen opvragen van Belgische burgers en bedrijven, maar ook van het leger, overheden en gerechtelijke instanties. En dat zonder toestemming van het Belgische gerecht.
Wat als Liberty Global alle aandelen verwerft en Telenet van de beurs haalt? Ten eerste wordt het ooit zo fiere telecombedrijf, dat symbool stond voor de Vlaamse verankering, dan een deel van de Brits-Amerikaanse holding. Ten tweede staan de gegevens van Belgische gebruikers op het spel.
Als de overnameplannen doorgaan, worden namelijk twee omstreden Amerikaanse wetten indirect van toepassing op het Belgische telecombedrijf. Dat bevestigen verschillende bevoegde bronnen aan Apache. Die wetten geven Amerikaanse speurders toegang tot data op servers van Amerikaanse bedrijven, ook als die servers zich buiten de Verenigde Staten bevinden.
Alles bij de bron; Apache [scan]
De aanhouding van een groep activisten van Extinction Rebellion, kort voordat zij eind januari de A12 wilden blokkeren, leidde tot woede en onbegrip. Hun strafdossiers laten zien hoe politie en justitie de beweging in kaart brachten...
... Samen met onderzoeksplatform Investico en De Groene Amsterdammer reconstrueerde Trouw het politieonderzoek naar in totaal acht activisten, aan de hand van de in totaal ruim 600 pagina’s tellende strafdossiers met codenamen Quistinic en Lignol. De dossiers geven een uniek inkijkje in de werkwijze van de politie.
Alles bij de bron; Trouw