Tag Archives: identiteit

De prijs van vrijheid, vriendschap en eeuwige roem

Posted on by

In de afgelopen 3 artikelen over internet regulering en de WCIT12 conferentie in Dubai ben ik op zoek gegaan naar de voors en tegens van regulering van het internet. Zo op het eerste gezicht lijken er weinig redenen om blij te zijn met internet regulering. Natuurlijk willen wij niet dat landen als Rusland, Iran of China de controle krijgen over het wereld wijde web, of dat wij als aanbieder van content moeten betalen voor een gegarandeerde aflevering van de informatie (de internet tolweg).

Het open web als bron van innovatie

Het internet moet vooral ‘open’ en ongereguleerd blijven. Dat is tenminste het standpunt van vele internet activisten en hacktivisten zoals Bits of Freedom, Anonymous, WikiLeaks, de Piraten Partij enzovoorts, maar er zijn ook voldoende politici die deze mening zijn toegedaan en vooralsnog allerlei regulerende maatregelen tegenhouden. De kern is dat het internet juist groot geworden is door alle vrijheid en een plek biedt om vrij ideeën uit te wisselen en zo tot innovatie te komen.

Terug naar het Feodale regime

Bruce SchneierMaar hoe vrij is eigenlijk vrij? Toevallig verschenen er deze week op Wired en op GigaOm twee artikelen met vrijwel dezelfde insteek. In het artikel op Wired stelt de auteur, Bruce Schneier, dat we terug zijn in de middeleeuwen wat betreft security;

“Some of us have pledged our allegiance to Google: We have Gmail accounts, we use Google Calendar and Google Docs, and we have Android phones. Others have pledged allegiance to Apple: We have Macintosh laptops, iPhones, and iPads; and we let iCloud automatically synchronize and back up everything. Still others of us let Microsoft do it all. Or we buy our music and e-books from Amazon, which keeps records of what we own and allows downloading to a Kindle, computer, or phone. Some of us have pretty much abandoned e-mail altogether … for Facebook.”

GigaOmDoor ons aan een merk te verbinden zitten we vast in een middeleeuws fort met hoge muren er om heen en worden we afhankelijk van onze content leverancier. In het artikel op GigaOm ziet de auteur Mathew Ingram dezelfde muren op het internet;

“Closed and proprietary networks and platforms like Facebook and Apple and Amazon are appealing in many ways because they are so easy to use, but in depending on them for so much of our online lives, we give up many of the benefits of the open web.”

Ingram maakt er een punt van dat we moeten vechten voor het open web en we de controle moeten terugpakken over onze online identity en onze content.

De Digital Natives bestaan niet.

Vorige week was ik op een marketing evenement van het DDMA waar het onderwerp privacy ook op de agenda stond. Daar heerste ook de algemene gedachte dat de gebruiker de controle terug gaat pakken over zijn digitale identiteit. We moeten de controle terug pakken, maar als gebruiker zijn we nog lang niet ‘in control’. We slaan ons vaak op de borst en noemen ons de Digital Natives, de generatie die met het internet op groeit, maar als we kijken naar ons begrip van het net moet ik constateren dat de Digital Natives niet bestaan. We zijn slechts Digital Cavemen, holbewoners die de wereld om zich heen nog niet begrijpen. Jazeker, er zijn mensen die opgroeien met het internet en verder kijken dan hun neus lang is, maar de meeste mensen hebben geen flauw idee wat er met hun gegevens online gebeurd, waar ze hun persoonlijke informatie achterlaten.

Cavemen - Image BBC

De customer is zeker nog niet in control, maar is vaak nog een blinde die de digitale snelweg probeert over te steken. We maken vrienden op Hyves, Facebook, zijn ‘socially active’ in allerlei netwerken en benutten alle mogelijkheden om via het internet de meest voordelige dingen te kopen. We delen ons leven met onze vrienden in deze sociale netwerken en delen onze mening op blogs. We presenteren ons op een internationaal podium als nooit tevoren. We worden bekend. Maar deze bekendheid komt met een prijs…

Digital Profiling en Identiteitsfraude.

De grote sociale netwerken weten meer over jou dan je eigen moeder. Zij kunnen alle gegevens aan elkaar koppelen, en ze onthouden de gegevens. Juist die gegevens bepalen voor een groot deel de waarde van deze bedrijven;

“De sociale netwerksite Facebook trekt deze week naar de beurs en hoopt er miljarden op te halen, al zit de échte waarde van het bedrijf hem natuurlijk in de persoonlijke informatie die het over meer dan 842.000.000 gebruikers wereldwijd bezit. Door deze informatie te verkopen, verdient het Amerikaanse bedrijf immers aardig wat geld.” (Dutch Cowboys, Mei 2012)

Identity-Theft1Deze informatie is niet alleen interessant voor allerlei marketing doeleinden maar ook voor criminele doeleinden. De marketing bedrijven kunnen voldoende gegevens aan elkaar knopen om jou de beste deals voor te schotelen, maar de cybercrimineel kan deze gegevens ook aan elkaar koppelen en een eigen profiel van je maken. Als jij bijvoorbeeld de geboortedatum van je kinderen als wachtwoord gebruikt, of de naam van jullie favoriete vakantieplekje aan de de Middellandse Zee kan de cybercrimineel vaak op basis van deze manier van profiling die wachtwoorden raden.

“With a 13% increase in identity fraud between 2010 and 2011, a study conducted by Javelin Strategy & Research showed that consumers may be putting themselves at a higher risk for identity theft as a result of their increasingly intimate social media behaviors. Sixty-eight percent of people with public social media profiles on platforms such as Facebook or Twitter shared their birthday information with 45% of them getting into specifics about the exact month, day, and year. Sixty-three percent shared where exactly they attended high school. Eighteen percent shared their phone number and 12% shared their pet’s name. Not only are all of these details typically asked when verifying an identity, but people also frequently use them in passwords. The statistics are clear — people are giving away far too much personal information on social networking sites, allowing for fraudsters to easily steal their identities.” (Identity Theft 911 Blog, Mei 2012)

De prijs van vrijheid, vriendschap en eeuwige roem.

Door het delen van onze persoonlijke informatie onderhouden we vriendschappen en bouwen we een online reputatie in netwerken. Die reputatie kan ons helpen om een nieuwe baan te vinden en ons daadwerkelijk iets op leveren. Maar realiseer je dat die impact klein is. Met je blog bereik je misschien 20, 50 of 100 mensen, maar de hele wereld kan je gegevens aan elkaar koppelen.

UPDATE: Net voordat dit blog ter perse gaat komt via CNet het bericht binnen dat de populaire fotosite Instagram besloten heeft dat zij jouw foto’s mogen verkopen;

“In its first big policy shift since Facebook bought the photo-sharing site, Instagram claims the right to sell users’ photos without payment or notification. Oh, and there’s no way to opt out.”

Dat betekent dus ook dat die schattige foto van jouw kinderen zomaar in een reclame aan de andere kant van de wereld gebruikt kan worden, zonder dat jij het weet. Zo zie je maar. Als gebruiker hebben we geen controle over onze eigen content.

Elke politieke partij een CTO

Posted on by

“Het wordt allemaal wel heel complex.” Ik hoor dit steeds vaker om mij heen. Voor veel mensen is de technologische ontwikkeling niet meer bij te houden. Hoe groter het bedrijf, hoe complexer de IT infrastructuur wordt. Er is bijna geen beroep meer te bedenken waar de informatie technologie niet zijn intrede gemaakt heeft. Alles digitaliseert.

En kijk dan eens naar de overheid die in feite honderden producten aan miljoenen klanten verkoopt. Zelfs een lokale overheid als, bijvoorbeeld, de gemeente Ede heeft al bijna 100.000 klanten. Het maakt eigenlijk niet uit of je bij een gemeente digitaal een verhuizing door geeft of bij Bol een boek besteld. Het is een digitale transactie waarbij bijvoorbeeld persoonsgegevens over de lijn gaan. De systemen worden zo complex en we stellen ook nog eens zoveel eisen aan beveiliging en privacy dat de benodigde infrastructuur al snel behoorlijk ingewikkeld wordt. En al helemaal als we complexe nieuwe dingen gaan doen als het EPD of OV Chipkaart en bijvoorbeeld de invoering van de Basisregistraties. We zien zelfs mogelijkheden om nog verder te gaan. Binnen de overheid wordt enthousiast gekeken naar Open Data principes waarin data gedeeld kan worden en door andere (ook commerciële-) partijen gekoppeld en gecombineerd kan worden tot een nieuw product. De vraag is of we met ons allen de impact van Open Data op onze privacy en de ‘beveiligbaarheid’ van onze gegevens kunnen overzien.

Open Data Collage by Reekx

Adjiedj BakasVorige week werd het nieuwste boek van Trendwatcher Adjiedj Bakas over het Einde van de Privacy gepresenteerd. Bij de presentatie stelde de heer Tjin-a-Tsoi, directeur van het NFI dat nu al 50% van alle criminaliteit een Cyber component heeft. In plaats van meer blauw op straat moet er meer blauw op het internet schrijft Bakas in zijn boek. Over de rol van de overheid schrijft Bakas ondermeer;

“Internetveiligheid en privacyschendingen zullen de komende jaren belangrijke kwesties worden voor de overheid. Zij bevindt zich daarbij in een spagaat, want enerzijds verwachten burgers van de overheid dat die hun veiligheid garandeert, ook op het internet, en anderzijds is diezelfde overheid het zwarte schaap wat privacyschendingen betreft. Dat laatste is ook geen wonder, want de overheid beschikt over veel gevoelige informatie van burgers, en de regels omtrent de toegang tot die informatie zullen de komende jaren duidelijk vastgesteld moeten worden.”

De uitspraak in van de Hoge Raad in de Runescape zaak eerder deze week geeft ook te denken. Door gebrekkige wetgeving op het gebied van digitaal eigendom duurt het meer dan 3 jaar voordat er een definitieve uitspraak is in –eigenlijk maar een- klein vergrijp. En dit is maar een eerste voorbeeld van een serie wetten die nog achter lopen op ons digitale tijdperk. Voormalig tweede kamerlid Ed Anker geeft aan dat hij bij de debatten over de beveiligingschips wel eens opgemerkt heeft dat de overheid altijd een paar jaar lijkt achter te lopen. Een rondgang langs verschillende politieke partijen leert dat de meeste partijen echter vinden dat ze er ‘bovenop zitten’ maar dat ze vaak wel twijfels hebben over de deskundigheid op lokaal niveau.

De wet en regelgeving, en zeker het strafrecht is nog niet 2.0 ready. Discussies over de digitale vrijheid als SOPA, PIPA en ACTA (anti piraterij wetgeving) worden nu gekaapt door anarchisten als Anonymous bij gebrek aan visie en kennis in de politiek.

Op allerlei vlak speelt de ICT een grote rol die alleen nog maar groter wordt en in de komende jaren zal ook de politiek belangrijke keuzes moeten maken. En wetten. En het wordt steeds complexer. Mogen wij van de landelijke, provinciale en lokale politici verwachten dat zij de impact van de keuzes kunnen overzien als zelfs de beste IT architecten er al niet uitkomen?

Jawel. Dat mogen wij. In de politiek worden keuzes gemaakt die ons hele leven, onze samenleving beïnvloedden. Juist met het oog op deze aspecten is wordt het steeds belangrijker dat juist de politici de technologie gaan snappen, dat partijen over de IT impact van de voorstellen in hun partijprogramma gaan nadenken. Het is de hoogste tijd dat de politieke partijen een CTO, een Chief Technology Officer gaan aanstellen die dit in het snotje gaat houden.

Uitspraak Hoge Raad in de Runescape zaak

Posted on by

(English Summary Below)

Op dit blog probeer ik zo nu en dan mijn gedachten over privacy, cyber criminaliteit en de toekomst van het internet weer te geven. Dat beperkt zich vaak tot de grote opvallende dingen, maar deze keer wil ik toch een pietepeuterig dingetje er uit lichten, namelijk de uitspraak van de Hoge Raad in de Runescape zaak.

In de periode 2006-2009 heb ik veel geblogd over virtuele werelden en in 2008 speelde deze zaak, die in de blogosphere nogal wat aandacht trok, waarbij een stel pubers een 13 jarige jongen bedreigden en een aantal virtuele items uit het spel Runescape buitmaakten. Op 21 oktober 2008 deed het gerechtshof in Leeuwarden een uitspraak waar ik op mijn oude blog een artikeltje aan wijdde. Vandaag heeft de Hoge Raad een uitspraak in deze zaak gedaan. De uitspraak is geen verassing, maar een bekrachtiging van de uitspraak in 2008;

“Virtueel amulet en masker in het online spel Runescape kunnen worden aangemerkt als ‘goed’ in de zin van art. 310 Sr en zijn vatbaar voor diefstal. “

De Hoge Raad heeft nu dus bevestigd dat virtuele goederen, zoals die in computerspellen en virtuele werelden hetzelfde bejegend dienen te worden als materiële bezittingen. De uitspraak is nu definitief, maar de interessante discussie begint nu pas. Hieruit volgt dat je dus met een virtuele, digitale identiteit bezit kunt opbouwen en wordt de vraag actueel wat er met deze bezittingen gebeurd na je dood. Kunnen ze onderdeel uitmaken van een erfenis? Aan wie vervalt het eigendom? Gaat de waarde van het virtuele bezit meetellen voor de bepaling van de hoogte van alimentatie? Dezelfde vragen gelden in min of meerdere mate voor blogs, voor Facebook profielen.

Wat zou moeten volgen uit deze uitspraak is dat veel wetgeving herzien moet worden, gemoderniseerd moet worden om bezit en intellectueel eigendom en de bescherming van digitale identiteit. Deze vragen speelden 4 jaar geleden ook al, maar helaas is de wetgeving nog steeds niet klaar voor in toenemende mate digitaal geëngageerde wereld.

English:

Today the Dutch Supreme Court confirmed a 2008 ruling of a lower court in the Runescape Case. Back in 2008 this was quite a controversial trial as it was the first ruling which declared virtual goods as on the same level as material goods. On my old Mindblizzard blog I discussed the 2008 ruling (in English). The case was about two teenagers who coerced a13 year old in order to gain an amulet and talisman in the Runescape game. Now, 3.5 years later the Supreme Court has confirmed this is actual theft.

Almost 4 years ago I was blogging virtual worlds on the MindBlizzard, and now, on this blog it’s about privacy and security. To me, this case has a little bit of both. With this ruling virtual goods will be protected under law, but it raises a whole new discussion. Apparently one can create a virtual identity and acquire posessions with this identity. But what happens after you die? Can someone inherit the goods, or the represented value? Will the value be taken into account for instance in determining the height of alimony? The same counts more or less for blogs and Facebook accounts. 

Today’s ruling is almost 4 years after the original verdict, yet the laws haven’t changed yet and the discussion needs to continue as it asks for a revision of many laws on intellectual  property and the protection of the digital identity. The law still is not ready for today’s world of growing digital engagement.

Komt een man bij de Notaris…

Posted on by

Door het starten van een blog over Security in deze dagen kan ik natuurlijk niet voorbij gaan aan de meest recente ontwikkelingen die heel Nederland in haar greep houdt: De inbreuk op DigiNotar. Wat is er nu eigenlijk aan de hand?

Komt een man bij de Notaris… En loopt even later weer naar buiten met het briefpapier en het stempel. Met het papier en het stempel kan hij trouwaktes, verkoopaktes enz. opstellen en verkopen.

DigiNotar is de digitale notaris die de echtheid van websites garandeert. Vanaf het begin
van het internet tijdperk is het wereld wijde web een anonieme wereld geweest. Je hebt contact met mensen over de hele wereld, zonder ze te kennen of echt te ontmoeten. In de eerste jaren was het gebruikelijk om op bulletin boards en fora een zogenaamd ‘handle’ te gebruiken, een alias zonder je eigen naam te vermelden. Hoe weet je nu wie wie is?

Op een forum is dat misschien nog niet zo spannend en maakt het je misschien niet uit
met wie je van doen hebt. Het wordt anders als het gaat om een bedrijf waar je iets wilt kopen. Dan wil je wel zeker weten dat je de spullen geleverd krijgt. Hiervoor zijn CA’s opgericht. CA staat voor ‘Certification Authority’, de instantie die websites certificeert op echtheid. Een soort digitale Notaris die het stempel ‘betrouwbaar’ op een website zet.

(Zie o.m. Security.nl voor een wat diepere uitleg van hoe SSL certificaten werken)

Wat is er gebeurd?

Het is al ruim twee jaar geleden dat DigiNotar gehackt is. Hierbij zijn bestanden op de
servers van DigiNotar achter gelaten. Nu twee jaar later komt men daar achter en constateert men dat er ruim 500 Certificaten gekaapt zijn. De vraag is of DigiNotar dit zelf wist en verzwegen heeft, of het gewoon niet opgemerkt heeft. In beide gevallen een kwalijke zaak.

Verschillende hackers hebben de afgelopen jaren meerdere keren de portal van het Nederlandse DigiNotar gehackt, maar of deze aanvallen ook verband houden met de recente SSL-blunder is onbekend. DigiNotar gaf onlangs een SSL-certificaat uit voor alle *.Google.com domeinen. Daarmee werden vervolgens Iraanse Gmail-gebruikers afgeluisterd. Hoe de hackers bij het Nederlandse bedrijf wisten binnen te dringen is onbekend. De aanvallers lieten wel twee meldingen achter, die op het moment van schrijven nog online stonden.

Deze meldingen zijn echter al jaren oud, aldus het Finse F-Secure. Een andere melding van Turkse hackers zou al uit 2009 stammen. “Deze hacks zijn zo oud, dat het waarschijnlijk niets met het huidige probleem te maken heeft, althans, dat hopen we”, zegt Mikko Hypponen. Eerder liet hij nog weten: “Deze kleine Nederlandse SSL-winkel moet waarschijnlijk zo trots zijn geweest toen Google besloot hun SSL-certificaat bij hen te vernieuwen.”

Bron: Security.nl

Wat is het gevolg?

Uit het bovenvermelde citaat blijkt al dat er Gmail gebruikers zijn afgeluisterd, maar
daarnaast heeft de hack verstrekkende gevolgen voor de Nederlandse overheid. Na
eerdere berichten over de betrouwbaarheid van DigID lijkt dit een zware slag
voor de e-overheid.

Alle efforts richten zich nu op het geruststellen van de burger, getuige bijvoorbeeld de verklaring op de website van de Belastingdienst.

De communicatie is gericht op het geruststellen van de ondernemer. Het regeltje
over de particulier is echter veelzeggend: Nu Even Niet!

Betrouwbaarheid

Betrouwbaarheid is het sleutelwoord voor een CA. Als het vertrouwen weg is, is het einde
oefening. Dat zie je nu ook gebeuren bij de klanten van DigiNotar, en dan met name de Nederlandse Overheid. Ook Roel Schouwenaar van antivirusbedrijf Kaperski ziet dit als het einde van DigiNotar;

The main reason why Diginotar has been excommunicated is the fact they didn’t disclose the breach. With some 500 authorities out there globally it’s hard to believe Diginotar is the only compromised CA out there. Diginotar will quite likely go out of business. This should serve as a very strong message for CAs to go public with any breach.

Maar ook als een zeer sterke motivator om nu eindelijk security eens hoog op de agenda
te zetten;

The attack on Diginotar doesn’t rival Stuxnet in terms of sophistication or coordination. However, the consequences of the attack on Diginotar will far outweigh those of Stuxnet. The attack on Diginotar will put cyberwar on or near the top of the political agenda of Western governments.

Bron: Securelist

Van Bulletin Board naar Facebook

Waar we vroeger via Bulletin Boards met elkaar communiceerden en ondertekenden met een anonieme handle zijn we na 9/11 een stuk persoonlijker geworden op het internet. 9/11 stimuleerde de drang om met elkaar te delen en kreeg het sociale internet momentum. We delen nu steeds meer van onze eigen identiteit, geven steeds meer prijs.

Met alles wat we van onszelf weggeven is het voor de geoefende – en kwaadwillende
– hacker geen probleem om een identiteit te stelen. De roep om een persoonlijke CA wordt langzaam groter; een instantie die niet alleen een bedrijf of website kan certificeren maar een autoriteit je digitale identiteit kan bevestigen. Maar met deze informatie in huis is zo’n CA hack target nummer 1.