Tag Archives: anonymous

Internet Regulering Ja of Nee? (Deel 1)

Posted on by

De laatste twee jaar zien we keer op keer de discussie over het wel of niet reguleren van het internet opduiken. In Amerika hebben we de SOPA, PIPA en ACTA voorstellen gehad, maar ook in Nederland keer op keer de discussie over het wel of niet invoeren van een download verbod of andere regulerende maatregelen. Ieder voorstel kan rekenen op felle tegenstand van voorvechters van het ‘vrije’ internet. Niet alleen van Nederlandse kamerleden of Amerikaanse Senatoren, maar vooral van de voorvechters van het vrije net, Anonymous met in hun gevolg miljoenen na-praters.

Access Denied

Een regulerende maatregel die het wel gehaald heeft is de cookie-wet. Ik heb daarover niet zo’n ophef gezien vanuit hacktivistisch oogpunt. Bij de cookie-wet gaat het namelijk om de bescherming van onze privacy tegen data mining door allerlei advertenties. Bij de download wet gaat het bijvoorbeeld om de beperking van ons ‘universele recht’ op gratis films. Laten we eerlijk zijn: Zolang het in Nederland legaal is download ik ook wel eens een filmpje omdat er weer niets op de tv is. Toch krab ik mezelf wel eens achter de oren of het nou wel helemaal kies is wat ik doe. In andere landen is het streng verboden. Daar zou ik een strafbaar feit plegen.

Voor veel mensen zijn de reguleringsvoorstellen zoals die op tafel liggen – het download verbod en het anti piraterij verdrag – niets meer dan het verlengde van de DRM discussie, het zo gehate elektronisch copyright systeem waarmee de entertainment industrie haar miljarden wil veilig stellen. Maar zou er niet iets meer achter zitten?

Achtergrond

De roep om regulering van het internet is niet van de laatste paar jaar. Het is eigenlijk van alle tijden. Het eerste verzet tegen regulering kwam al in 1996 toen John Barlow de Declaration of the Independence of Cyberspace schreef:

“We have no elected government, nor are we likely to have one, so I address you with no greater authority than that with which liberty itself always speaks. I declare the global social space we are building to be naturally independent of the tyrannies you seek to impose on us. You have no moral right to rule us nor do you possess any methods of enforcement we have true reason to fear.”

Uit de tweede helft van de jaren 90 stammen ook de eerste studies naar de noodzaak van regulering, zoals het boek “Law in a Digital World” van Ethan Katsh (1995) en “Code and other Laws of Cyberspace van Lawrence Lessing (1999)

In die periode waren wij nog anonieme cowboys op het web die opereerden onder ‘handles’, schuilnamen. Eind jaren 90 was ik zelf actief binnen een van de grootste online communities uit die tijd met maar liefst 80.000 geregistreerde gebruikers. Het geloof in zelfregulering was groot binnen de communities, maar het opereren onder schuilnamen zonder je ware identiteit te delen bood voor sommigen een ongekende vrijheid om zich anders te gedragen dan in het echte leven, of zoals Ryan Holmes, CEO van HootSuite het eerder deze maand omschreef:

Think about all of those online comment forums, cesspools where the lowest common denominator hide behind handles, thriving on spewing out insults and engaging in meaningless disputes. Anonymity, unfortunately, can often be an excuse to bring out the worst in yourself and others. 

Eind jaren 90 was het eigenlijk wel gedaan met het naïeve principe van zelfregulering. Domweg omdat het web te groot werd. Te veel mensen kwamen online. In een dorp zien wij nog sociale controle, in de grote stad, laat staan op het wereldwijde web, is dat niet meer mogelijk. Zelfregulering is alleen mogelijk binnen een beperkte groep.

De meningen over regulering zijn sterk verdeeld. Het boek “Who Controls the Internet? Illusions of a Borderless World van Jack Goldsmith en Tim Wu (2006) neemt het op voor een territoriaal gebonden regulering. “In Search of Jeffersons Moose van  David G. Post (2009), behandeld het vraagstuk vanuit een bijzonder originele invalshoek en verweeft de actuele vragen rond internet regulering met de vragen waar Thomas Jefferson in zijn tijd mee worstelde bij de vorming van een ‘nieuwe staat’. Tot slot nog het boek “The Future of the Internet – And how to stop it” van  Jonathan Zittrain (2008) waarin hij twee uitersten beschrijft die beiden de toekomst van het internet bedreigen: volledige openheid met spam/spyware e.d. of zogenaamde ‘total lock down’.

Sociale Regulering

Waar de zelfregulering het af liet weten eind jaren 90 kwam het sociale web om de hoek kijken na Y2K waarin we langzaam uit de anonimiteit traden en onze ware ik gingen laten zien op het internet. Ook hier refereer ik naar het eerder genoemde artikel van Ryan Holmes:

Ryan Holmes, HootSuiteThe first place where I freely volunteered personal info to the public was LinkedIn, which launched in 2003. Here was a serious tool to connect you with colleagues and employers. Your name was your business card and nobody was going to call themselves Invoker on LinkedIn and expect to be taken seriously. So, for the first time, Ryan Holmes—the real person—took the plunge on the Internet. Looking back, those early LinkedIn days were a turning point.

The Internet was no longer an anonymous playground without consequences and social rules. This was big. And all of this was helped along, of course, by enormous improvements in security and encryption.

Credit Facebook with taking this concept a huge step farther. A few years back, Facebook boldly pioneered its real name policy and pseudonyms and the like were explicitly barred.

Social media has helped make online transparency mainstream, and all the benefits that go along with it, like increased accountability and civility.

Zou er dan toch iets in regulering zitten?

Virtuele Werelden

In 2007 waren we pioniers in de virtuele werelden. De zogenoemde metarati, de ‘thoughtleaders van de metaverse’ kwamen na de Virtual World Conference in San Jose bij elkaar en discussieerden over interoperabiliteit tussen de virtuele werelden; de uitwisselbaarheid van virtuele identiteiten en goederen.

Many Worlds, Massively

In die discussie werd de overdraagbaarheid van goederen en waarde als zeer belangrijk gezien, maar op de keper beschouwd was het echter niets anders dan een regulering met een DRM oogmerk. En dit terwijl de virtuele werelden bij uitstek een plek waren om in de anonimiteit te duiken, om verscholen achter ‘handles’ een tweede leven te leiden. Zou er dan toch iets meer achter zitten? 

Economische Belangen

Waar het internet in de jaren 90 nog veel leek op het wilde westen veranderde dat met de enorme groei die het doormaakte. Steeds meer bedrijven kwamen online. In eerste instantie ging het alleen nog om een digitaal visitekaartje en kwam e-commerce nog maar moeilijk van de grond.  In 1998 begon ik mijn eerste internetbedrijfje gericht op e-commerce, maar dat mislukte jammerlijk omdat de meeste mensen gewoonweg niet hun gegevens op internet wilden achterlaten. Men verschool zich nog achter de anonimiteit van ‘handles’.

De zakelijke markt groeide echter langzaam door en met die groei nam de vraag naar regulering toe omdat er zakelijke belangen op het spel kwamen te staan. Na de intrede van het sociale web groeide de markt van e-commerce explosief en in 2003 boekte het Amerikaanse Amazon.com voor het eerst winst.

Online Sales - by Forbes

Op de zakelijke markt is e-commerce nu een algemeen geaccepteerd verschijnsel. De meeste klanten denken er niet eens meer over na waar ze welke gegevens achter laten voor het doen van een bestelling. Maar ondertussen is het zakelijke belang steeds verder blijven groeien: Nieuwe technologie maakt het mogelijk om vanaf elke plek bij je gegevens te komen, met elk apparaat (BYOD). Steeds meer zakelijke netwerken zijn online toegankelijk en steeds meer industriële installaties zijn online bereikbaar. De energie netwerken, de waterleidingsnetwerken, de bediening van bruggen en sluizen, de seinpalen van de spoorwegen, alles wordt nu aan het internet gekoppeld waardoor het economische belang het niveau van individuele bedrijven ontstegen is en een veilig internet een nationale aangelegenheid is geworden.

WCIT-12

In dat licht reizen we af naar Dubai waar deze weken de WCIT-12 ontmoeting plaats vindt, maar daarover meer in een volgende artikel.

Anonymous start eerste cyberoorlog

Posted on by

Het is een historische dag vandaag. Er word geschiedenis geschreven. Het bijzondere is dat bijna geen enkele nieuwssite of krant er aandacht aan besteed. In Nederland zijn de ontwikkelingen in de zaak Vaatstra het belangrijkste nieuws. Daarnaast krijgen de beschietingen op de Gaza strook een behoorlijke dosis aandacht, maar verder dan de ouderwetse oorlogsvoering wordt er niet gekeken terwijl er los van de raketaanvallen een andere oorlog is begonnen die mogelijk de wereld gaat veranderen.

Gisteren en vannacht zijn we getuige geweest van het begin van de eerste echte Cyberoorlog waarin honderden hackers uit het Anonymous collectief een gezamenlijke aanval op Israelische doelen zijn gestart onder de campagnenaam #OpIsrael. Volgens ABC News zijn er in de loop van de avond en de nacht meer dan 44 miljoen aanvallen gelanceerd op diverse doelen.

CNN meldt dat de schade in geen verhouding staat tot de schade op de grond. Daar hebben ze nog wel gelijk in, want er staat natuurlijk geen prijskaartje op een mensenleven. Aan de andere kant vind ik het wel een onderschatting van wat er gebeurd. Gezien de 44 miljoen aanvallen valt de uiteindelijke schade mee; Er zijn een aantal databases gehackt en gebruikersnamen en wachtwoorden gelekt. Volgens The Next Web zijn er een kleine 700 websites zijn gedurende een korte periode offline geweest als gevolg van de vele DDoS aanvallen waaronder enkele overheidssites en de Israelische Mastercard website. Zolang het bij websites blijft en niet bijvoorbeeld het betalingsverkeer lamgelegd wordt blijft de economische schade beperkt.

Dat die schade mee valt is voor een deel ook te danken aan de preventieve maatregelen die Israel genomen heeft. De Israëli’s zijn constant beducht voor aanvallen en ook cyberaanvallen horen in dit scenario thuis. Een ander land met minder voorbereiding zou volledig lamgelegd kunnen zijn als de hackers ook in de infrastructurele systemen hadden kunnen inbreken zoals de water en energie voorziening.

Hoewel de daadwerkelijke schade, ook in economische zin, mee valt is het belang van deze cyberaanval niet te onderschatten. Diverse instanties waarschuwen al een tijd dat het niet de vraag is of maar wanneer de eerste cyberoorlog zal uitbreken. Ook op dit blog heb ik dat meerdere keren aangestipt. Nu het dan zover is kunnen we een aantal voorzichtige conclusies trekken.

  1. In de eerste plaats valt de schade mee door de goede voorbereidingen van Israel. Een ander doelwit met minder goede beveiligingsmaatregelen had veel harder getroffen kunnen worden.
  2. In de tweede plaats valt de schade mee doordat ze uitgevoerd zijn door een collectief hacktivisten. Hoewel er veel goede hackers zijn binnen het Anonymous collectief is het een te ongecoördineerde actie geweest om echte infrastructurele schade aan te richten. Een militair geleidde aanval zou andere doelen geselecteerd hebben.
  3. In de derde plaats is de massaliteit van de aanvallen verontrustend. Ook met beperkte middelen en huis tuin en keuken hacktivisten is het mogelijk om miljoenen DDoS aanvallen te initiëren. Dat geeft te denken over de mogelijkheden die een militaire operatie in een aanval van land op land zou hebben.
  4. In de vierde plaats vind ik het ook verontrustend dat Anonymous zich nu met politiek en lokale conflicten inlaten. Bij veel mensen kan Anonymous op sympathie rekenen omdat ze digitale misstanden aan de kaak stellen. De aanvallen van gisteren zijn echter wel te kwalificeren als oorlogshandelingen en daarmee is er een grens overschreden. Zal Anonymous verder radicaliseren en professionaliseren?

Er staan veel vragen open voor de toekomst na deze eerste gerichte cyberaanval op een land. Hoeveel schade zou er daadwerkelijk aangericht kunnen worden als het een militaire operatie zou zijn en de aanval een laag dieper doordringt in de infrastructurele systemen? In dat gevolg zou de mogelijke schade enorm kunnen zijn. Een cyberoorlog is in potentie gevaarlijker voor de economie dan de huidige financiële crisis.

Het gebrek aan aandacht in de media voor deze ontwikkelingen is ook een teken aan de wand: Cyber Security is niet in beeld omdat men geen idee heeft van de mogelijke schade. Totdat het straks te laat is…

Cyberoorlog – Gaaaap!

Posted on by

In mijn vorige artikel over het einde van de email refereerde ik aan het trendrapport van McAfee. Een bepaalde zinsnede uit het rapport viel me op:

Will this be the Year of Cyberwar, or merely a showcase of offensive cyberweapons and their potential? While we certainly hope it’s only the latter, the situation’s growth during recent years makes an eventual cyberwar nearly inevitable

Een snelle tweet leverde wel wat verschillende reacties op, variërend van “Gaaaaaaaaap” tot “Ik hoop dat ze dan genoeg professionals hebben om het op te lossen” Ik schrok zelf nogal van de eerste reactie want de impact kan immens zijn.

De impact van een cyberoorlog
Vooropgesteld dat alles te hacken is de kans groot dat een cyberoorlog verwoestend is. In een samenleving waarin steeds meer systemen aan elkaar gekoppeld worden én aan het internet kan de impact van een georganiseerde cyberaanval catastrofaal zijn, wereldomvattend.

In de afgelopen jaren hebben we genoeg voorbeelden gezien om – als we impact op ons laten inwerken – de dag van de cyberoorlog met vrees en beven tegemoet te zien. In de afgelopen jaren waren het gerichte, individuele aanvallen die aangetoond hebben dat de veiligheid niet alleen bij onwetende particuliere pc eigenaren ligt maar dat inderdaad alles te hacken is. Deze week berichtte NU nog over een nieuwe hack waarmee via printers op netwerken ingebroken kon worden. Maar ook gevangenisdeuren , banken , beurzen , logistieke systemen, waterkrachtcentrales, kerncentrales, wapenfabrikanten , watervoorziening en verwarmingssystemen zijn niet veilig, om maar een paar voorbeelden te noemen.

Bijna alle netwerken zijn op één of andere wijze gekoppeld aan het internet; omdat wij graag online verzekeringen willen afsluiten of onze bankzaken willen regelen, of omdat de werknemers ook graag thuis willen werken. Maar al te vaak zijn de bedrijfswerken nog één grote verzamelbak. Kun je bij één ding, dan kun je vaak bij alles. Netwerkzonering kan een heleboel schade voorkomen, maar zeker niet alles.

De genoemde aanvallen tonen aan dat het kan. Wanneer de aanvallen gecoördineerd worden kan de infrastructuur van een land lamgelegd worden. Een grote gecoördineerde aanval op bedrijven waarbij massaal de bedrijfsgeheimen wordt gelekt kan rampzalige gevolgen hebben voor de economie, want in feite is onze economie op geheimen gebaseerd: Ik kan iets, of ik weet is wat jij niet weet en daarom huur je mij in. Met die kennis maken we de producten die we verkopen.

De kans op een cyberoorlog
Als ik zo het rapport van McAfee lees dan is een cyberoorlog bijna onvermijdelijk. Ik onderschrijf die mening. De vraag is niet meer of, maar wanneer en door wie. In het rapport schrijft MacAfee:

“According to reports, the use of cyberweapons in the revolution in Libya was considered but didn’t happen because no one wanted to be the first to open Pandora’s box”

Als we naar de ‘wie’ kijken dan beseffen landen vaak wel dat de wereld tegenwoordig zo verbonden is met elkaar dat de kans op oorlogen wel afneemt. Kijk maar naar de Eurocrisis: We kunnen een land als Griekenland niet zomaar afschrijven want de gevolgen werken wereldwijd door. De grootste dreiging voor een cyberoorlog komt uit kleinere groeperingen.

We hebben het dan niet over de Nigerianen die met een door ons zelf gesponsorde “Iedereen een (100 dollar) PC” ons oplichten, ons de bankrekening nummers ontfutselen en de rekeningen leeghalen maar gerichte guerrilla aanvallen.

McAfee beschrijft ondermeer een scenario waarin Hacktivism (het hacken door activistische groeperingen als Anonymous) meer georganiseerd wordt. Veel mensen hebben toch wel sympathie voor Wikileaks en voor Anonymous maar hun methoden zijn verwoestend en anarchistisch. Het meest donkere scenario is het einde van het internet en een wereldwijde economische crisis die erger is dan de huidige schuldencrisis.

De oplossing
Op een eerder artikel kwam de reactie dat het makkelijker is om aan te geven wat er mis gaat dan om antwoorden te geven. Als ik de antwoorden al zou hebben, dan zat ik hier niet meer en was ik permanent op vakantie.

De bron van het probleem is de verouderde infrastructuur. In eerdere blogartikelen heb ik al geschreven dat deze in de jaren 80 ontworpen is door en voor academici en niet berekend is op de huidige wereld. Hier ligt dan mijns inziens ook de sleutel voor de oplossing van het probleem: Redesign the web. Maar dat is omvangrijk. Het gaat dan om een end to end oplossing. Niet alleen software, maar ook hardware en communicatieprotocollen moeten meer tracking en tracing opties krijgen.

Wordt er aan gewerkt? Nou nee. Er zijn initiatieven, maar vooralsnog wordt er gewoon grof geld verdiend aan het misbruik van de huidige infrastructuur. Een internet waarin persoonsgegevens veilig zijn is dodelijk voor de beurswaarde van bijvoorbeeld sociale netwerksites als Facebook.