Een omstreden Brits wetsvoorstel bedreigt privacy en de vrijheid van meningsuiting, zo stellen Meredith Whittaker, 'president' van chatapp Signalen en het hoofd van WhatsApp-berichtendienst Will Cathcart.
Het gaat om de Online Safety Bill. Het wetsvoorstel kwam eerder door experts en burgerrechtenbewegingen onder vuur te liggen omdat die encryptie zou ondermijnen en een bedreiging voor de vrijheid van meningsuiting zou vormen.
Vervolgens kwam de Britse regering met een aangepast wetsvoorstel. Dat zou volgens de beleidsmakers end-to-end encryptie niet verbieden. Critici stellen dat de wetgeving platforms en diensten kan verplichten om de content van hun gebruikers te controleren. Onlangs liet Whittaker al weten dat Signal het Verenigd Koninkrijk verlaat als de wet wordt aangenomen.
"In zijn totaliteit is de Online Safety Bill een verzameling van zinnige voorstellen die naast gevaarlijke "spionageclausules" worden geplaatst, en vage "zorgplicht" bepalingen die providers verantwoordelijk maken voor het controleren van de content van elk bericht dat door gebruikers wordt verstuurd", aldus Whittaker. Op de vraag hoe een dergelijk wetsvoorstel zo ver kan komen wijst de Signal-president naar de emotie van het probleem, kindermisbruik, dat het voorstel claimt te verhelpen.
"Net als in Iran zullen we er alles aan doen om ervoor te zorgen dat de mensen in het VK toegang tot Signal en privécommunicatie hebben. Maar we zullen niet de privacy- en veiligheidsbeloftes ondermijnen of compromitteren die we aan mensen in het VK en iedereen over de hele wereld geven", besluit de Signal-president haar pleidooi.
De zorgen van Cathcart zijn dat het wetsvoorstel vereist dat bedrijven "geaccrediteerde technologie" gebruiken om inhoud over kindermisbruik te identificeren die openbaar en privé op hun platforms wordt verzonden. Cathcart beweert dat deze technologie gewoon niet bestaat, wat betekent dat de enige manier om aan de wet te voldoen, zou zijn om end-to-end encryptie te breken.
Alles bij de bronnen; Security & Gamereactor
In een democratische rechtsstaat mag een krijgsmacht nooit op eigen initiatief tot actie overgaan. Toch is dat precies wat er is gebeurd bij de Nederlandse landmacht, waar een eenheid in 2020 maandenlang informatie verzamelde over de Nederlandse samenleving – zonder enige juridische basis.
Dit is de belangrijkste conclusie in het rapport van de commissie-Brouwer over het Land Information Manoeuvre Centre (LIMC), „Voor de activiteiten van het LIMC was geen grondslag en dat is voor de krijgsmacht ontoelaatbaar.”
Het LIMC (spreek uit: Limsie) werd in maart 2020 opgericht om zicht te krijgen op de net uitgebroken coronacrisis en de verspreiding van desinformatie. De landmacht wilde al langer experimenteren met informatie als wapen en greep de pandemie daarvoor aan.
Waarschuwingen van juristen dat dit niet mocht zonder een grondslag werden genegeerd. Nadat een ambtenaar in Den Haag toevallig een LIMC-rapport onder ogen had gekregen, werd in augustus besloten de rapporten alleen nog intern te verspreiden. Defensie legde de eenheid pas eind november stil, na onthullingen in NRC.
Alles bij de bron; NRC
Het kabinet wil dat inlichtingendiensten AIVD en MIVD de bulkdatasets die ze verzamelen langer kunnen bewaren dan nu het geval is. Een "nota van wijziging" die dit mogelijk moet maken is gisteren gepresenteerd.
Eerder deze maand werd een wetsvoorstel dat de AIVD en MIVD meer bevoegdheden geeft voor onderzoek naar landen met een offensief cyberprogramma naar de Tweede Kamer gestuurd. Het kabinet wil nu door middel van een nota van wijziging het wetsvoorstel op twee punten wijzigen. Zo komt er een voorafgaande bindende toets op een toestemming voor de real-time verzameling van verkeers- en locatiegegevens.
Daarnaast mogen de inlichtingendiensten, na toestemming van de CTIVD, bulkdatasets langer bewaren. In de toestemmingsaanvraag om een bulkdataset langer te bewaren moet onderbouwd worden waarom de bulkdataset nog steeds van belang is voor de onderzoeken van de diensten. Daarbij moet de opbrengst van de afgelopen periode gemeld worden en moet er vooruit gekeken worden naar wat deze bulkdataset nog kan opleveren in het komende jaar.
De ministers van Binnenlandse Zaken en Defensie kunnen bij de Raad van State in beroep gaan tegen de beslissing van de CTIVD. Via Internetconsultatie.nl kan er tot 16 januari op de nota worden gereageerd. Daarna worden de reacties verwerkt en de nota van wijziging voor advies aan de Raad van State aangeboden.
Alles bij de bron; Security
De Chinese eigenaar van TikTok, heeft toegegeven dat het op ongepaste wijze de gegevens van gebruikers heeft verkregen. Het gaat onder meer om gegevens van een journalist van Financial Times. Dat gebeurde om hun locatie te onderzoeken als onderdeel van een intern onderzoek naar het lekken van data, schrijft de zakenkrant.
Financial Times baseert zich onder meer op een e-mail van de topman van ByteDance. De krant meldt het "volstrekt onaanvaardbaar" te vinden wanneer verslaggevers worden bespioneerd, hun werk wordt verstoord of hun bronnen geïntimideerd.
"We zullen dit verhaal grondiger onderzoeken voordat we een besluit nemen over onze formele reactie", schrijft de krant. TikTok weigerde commentaar te geven op het bericht.
Alles bij de bron; NU
Google geeft Gmail voor scholen en het duurdere abonnement voor bedrijven de optie om aan de kant van de client mails te versleutelen. Daardoor kunnen de servers van Google niet langer zien wat er in de mails staat.
Gebruikers kunnen zich in de komende maand opgeven voor de bèta, zegt Google. De functie heet CSE, Client Side Encryption. Het is voor het eerst dat er een optie komt om mails te versleutelen in Gmail.
De bèta gaat functioneren op Workspace Enterprise Plus, Education Plus en Education Standard. Voor Enterprise-gebruikers komt de functie er voorlopig dus niet, evenmin als voor particuliere gebruikers van Workspace. Ook reguliere gebruikers van de gratis maildienst krijgen de optie voorlopig niet.
Het valt te bezien of die ooit zal komen, want relevante advertenties tonen op basis van de inhoud van mails is een verdienmodel van Google voor Gmail. Bij abonnementen komt het geld binnen via de abonnees en in die versie van de dienst zitten geen advertenties.
Alles bij de bron; Tweakers
Waarom hebben we eigenlijk überhaupt nog adviesorganen, als daar toch niet naar wordt geluisterd? Deze vraag komt bij ons op bij het lezen van de nieuwe versie van de Cyberwet die na het advies van de Raad van State naar de Tweede Kamer is gestuurd. Met dat advies is opvallend weinig gedaan. Sterker nog, het voorstel gaat er op meerdere punten lijnrecht tegen in.
1. Uitwisseling met buitenlandse diensten: 'Waarborgen dat het niet gebeurt' werd 'het gewoon doen'
2. Ongericht om gerichter te gaan klinkt niet alleen als een slecht excuus, maar is dat ook
3. De verplichting technische risico's en het gebruik van onbekende kwetsbaarheden te gebruiken: die moest terug, maar bleef weg
4. Een ontoereikende regeling, die nog breder wordt toegepast
De drang naar meer bevoegdheden en minder toezicht bij de geheime diensten reikt op deze punten verder dan de Raad van State verstandig acht. En dat baart zorgen. Adviesorganen als de Raad van State hebben we natuurlijk niet voor de lol. Het is de taak van de Tweede Kamer als controleorgaan om extra kritisch te zijn op een voorstel van de minister dat dergelijke adviezen aan haar laars lapt. Kamerleden, het is nu aan jullie.
Alles bij de bron; Bits-of-Freedom
Weet u nog? Die wet die wordt voorbereid om AIVD en MIVD veel meer bevoegdheden te geven om zonder controle te neuzen in gegevens van burgers, die niets te verbergen hebben?
Die wet, die volgens toezichthouder Bert Hubert zo ver ging, dat Bert Hubert inmiddels ex-toezichthouder is? En wat denkt u? Is die wet in de prullenbak beland? Nee hoor, natuurlijk niet! Die wet is vorige week aan de Tweede Kamer gestuurd, inclusief advies van de Raad van State.
De Raad (bekend van internet) adviseert dat de diensten iedere keer dat ze een sleepnet uitgooien de technische risico's omschrijven, en dat data die via dat sleepnet zijn verkregen niet gedeeld mogen worden met buitenlandse diensten.
En wat denkt u? Is de wet nu aangepast? Nee hoor, natuurlijk niet! Diensten hoeven de risico's alleen "op een hoger abstractieniveau" te omschrijven en mogen de data delen met buitenlandse diensten, als die beloven dat ze daar geen stoute dingen doen. En zo hebben we straks met zijn allen weer een stukje minder te verbergen. Twitter draadje Huib Modderkolk.
Alles bij de bron; GeenStijl
De AIVD mag in de toekomst mogelijk op grote schaal het internetverkeer van Nederlanders aftappen, op zoek naar Chinese of Russische hackers. Een wet die dat regelt is vandaag naar de Tweede Kamer gestuurd. Die moet er nu over oordelen.
Daarbuiten klinkt kritiek. Zoals van een oud-toezichthouder: "Is het gevaar zo groot dat de diensten ook jouw internetverkeer een half jaar lang mogen bewaren om te zien of er iets interessants tussen zit?"
Het middel was vanaf het begin omstreden: tegenstanders spraken van het uitgooien van een 'sleepnet', waarbij internetverkeer van miljoenen onschuldige Nederlanders in handen van de geheime diensten zouden komen. De wet die dat regelde werd door activisten daarom de 'sleepwet' genoemd.
"Het is mij een mysterie waarom deze wet nodig is", zegt TIB oud-toezichthouder Hubert, die de aftap- en hackverzoeken van de AIVD en MIVD ruim anderhalf jaar van dichtbij heeft gezien. "Je kan zeggen dat je niets te verbergen hebt, maar als de AIVD in alle cafés een microfoon plaatst of meeschrijft op jouw huisfeestje, ga je toch een ander gesprek voeren."
Het wetsvoorstel moet nu voor akkoord langs de Tweede en Eerste Kamer. Daarin kunnen delen van de wet nog wijzigen. Als beide Kamers akkoord gaan, kan de wet in werking treden. Dat gebeurt op zijn vroegst in 2023.
Alles bij de bron; RTL
De Autoriteit Persoonsgegevens waarschuwt iedereen die vanuit Nederland naar het WK in Qatar gaat voor de verplichte apps die zij moeten downloaden. Volgens de privacywaakhond verzamelen de apps persoonsgegevens. Zo kan er onder meer worden gekeken naar welke apps er nog meer op het toestel staan en met wie je hebt gebeld.
De Autoriteit Persoonsgegevens raadt mensen aan om de apps alleen te installeren op een telefoon die ze nergens anders voor gebruiken.
Eerder meldde de Noorse omroep NRK al dat de apps serieuze privacy gevaren met zich mee brengen.
Alles bij de bron; RTL
Beveiligingsexperts zijn van mening dat de vereiste mobiele app's van Qatar vergelijkbaar zijn als de autoriteiten van het WK-land de sleutel tot je huis geven. Persoonlijk zou ik mijn mobiele telefoon nooit meenemen op bezoek in Qatar zegt het hoofd van de beveiliging van NRK Vasaasen na een grondige beoordeling van de apps.
Iedereen die tijdens het wereldkampioenschap voetbal naar Qatar reist, wordt gevraagd twee apps te downloaden: Ehteraz en Hayya.
Ehteraz is een covid-19 tracking-app die iedereen boven de 18 die naar Qatar komt moet downloaden, terwijl Hayya een officiële WK-app is die wordt gebruikt om wedstrijdtickets bij te houden en toegang te krijgen tot de gratis metro in Qatar.
In het bijzonder vraagt de covid-19 app Ehteraz toegang tot verschillende rechten op je mobiel. Zoals toegang om alle inhoud op de telefoon te lezen, te verwijderen of te wijzigen, maar ook om verbinding te maken met WiFi en Bluetooth, andere apps te overrulen en te voorkomen dat de telefoon in slaapstand gaat. De app krijgt ook nog een aantal andere toegangen zoals een overzicht van je exacte locatie, de mogelijkheid om rechtstreeks te bellen via je telefoon en de mogelijkheid om je schermvergrendeling uit te schakelen.
Ze kunnen gewoon de inhoud van je hele telefoon veranderen en hebben volledige controle over de informatie die er staat, is de conclusie van de beveiligingsmanager van NRK.
NRK heeft de bevindingen over de beveiligingslekken van de apps bij FIFA ingediend die daar geen commentaar op wil geven.
Alles bij de bron; NRK [engelstalig] via Security