Tag Archives: privacy

Exit CA, Welkom Personal Dashboard

Posted on by

Gisteren eindigde ik mijn blogpost met een zo op het oog wat uit de lucht gegrepen zin;

De roep om een persoonlijke CA wordt langzaam groter; een instantie die niet alleen een bedrijf of website kan certificeren maar een autoriteit je digitale identiteit kan bevestigen. Maar met deze informatie in huis is zo’n CA hack target nummer 1.

Toch komt deze niet helemaal uit de lucht vallen. Het nieuws van vandaag over DigiNotar wordt grotendeels bepaald door de vraag of Certification Authorities zowiezo niet op hun retour zijn.

Het huidige certificeringssysteem voor websites heeft zijn beste tijd gehad. ICT-experts wisten dat allang, maar de hack bij het bedrijf Diginotar bevestigt dat nog eens.   Dat vindt Bits of Freedom, de organisatie die opkomt voor privacy op internet. ”Deze hack moet een wake-up call zijn voor overheden in heel de wereld.” Bron: Nu.nl

Die gedachte hadden we inderdaad al een tijdje geleden. Niet dat de tijd van een CA voorbij is, maar vooral dat het anders moet.

Eerder dit jaar was ik op bezoek bij Futurist Marcel Bullinga die net de laatste hand legde aan zijn boek “Welcome to the Future Cloud” en de kern van het gesprek was eigenlijk precies de ham kaas vraag van vandaag: Het persoonlijke dashboard waar jij in control bent en je vrienden, werkgevers en scholen je claims bevestigen en niet een Certification Authority.

Gelukkig had Marcel net vorige week nog even zijn boek opgestuurd en moet ik daar nog eens een review van doen.

Hoewel het Dashboard niet alle problemen met privacy en ‘garantie’ oplost zitten er weldegelijk aanknopingspunten in om over de toekomst van Privacy en Security na te denken.

Dashboard Communication-, privacy & copyright control center. Click & Wrap all your personal belongings.

Today’s internet is a bizarre, unsafe mess. On the internet, nothing is forgotten. Your past haunts you forever. You cannot control anything at all. In the Cloud, you have tools to control your personal belongings, tools to make others forget and tools to keep your secrets. All information will be wrapped with a “Cloud Seal”, a sort of super seal, like the traditional notary’s seal but better, that guarantees trust. With your personal dashboard, a sort of safe deposit for data, you control all of your personal creations and belongings. With your personal mobile, you can check everyone and everything on the spot. That is the real progress we can make in the Cloud. Not some anonymous government institution or the police is in control, as is the case now – no, you are in control.

Bron: Marcel Bullinga “Welcome to the future Cloud” 2011
(ISBN 9789491030024)

Als er iets meer tijd is wil ik hier wel eens dieper op induiken.

Komt een man bij de Notaris…

Posted on by

Door het starten van een blog over Security in deze dagen kan ik natuurlijk niet voorbij gaan aan de meest recente ontwikkelingen die heel Nederland in haar greep houdt: De inbreuk op DigiNotar. Wat is er nu eigenlijk aan de hand?

Komt een man bij de Notaris… En loopt even later weer naar buiten met het briefpapier en het stempel. Met het papier en het stempel kan hij trouwaktes, verkoopaktes enz. opstellen en verkopen.

DigiNotar is de digitale notaris die de echtheid van websites garandeert. Vanaf het begin
van het internet tijdperk is het wereld wijde web een anonieme wereld geweest. Je hebt contact met mensen over de hele wereld, zonder ze te kennen of echt te ontmoeten. In de eerste jaren was het gebruikelijk om op bulletin boards en fora een zogenaamd ‘handle’ te gebruiken, een alias zonder je eigen naam te vermelden. Hoe weet je nu wie wie is?

Op een forum is dat misschien nog niet zo spannend en maakt het je misschien niet uit
met wie je van doen hebt. Het wordt anders als het gaat om een bedrijf waar je iets wilt kopen. Dan wil je wel zeker weten dat je de spullen geleverd krijgt. Hiervoor zijn CA’s opgericht. CA staat voor ‘Certification Authority’, de instantie die websites certificeert op echtheid. Een soort digitale Notaris die het stempel ‘betrouwbaar’ op een website zet.

(Zie o.m. Security.nl voor een wat diepere uitleg van hoe SSL certificaten werken)

Wat is er gebeurd?

Het is al ruim twee jaar geleden dat DigiNotar gehackt is. Hierbij zijn bestanden op de
servers van DigiNotar achter gelaten. Nu twee jaar later komt men daar achter en constateert men dat er ruim 500 Certificaten gekaapt zijn. De vraag is of DigiNotar dit zelf wist en verzwegen heeft, of het gewoon niet opgemerkt heeft. In beide gevallen een kwalijke zaak.

Verschillende hackers hebben de afgelopen jaren meerdere keren de portal van het Nederlandse DigiNotar gehackt, maar of deze aanvallen ook verband houden met de recente SSL-blunder is onbekend. DigiNotar gaf onlangs een SSL-certificaat uit voor alle *.Google.com domeinen. Daarmee werden vervolgens Iraanse Gmail-gebruikers afgeluisterd. Hoe de hackers bij het Nederlandse bedrijf wisten binnen te dringen is onbekend. De aanvallers lieten wel twee meldingen achter, die op het moment van schrijven nog online stonden.

Deze meldingen zijn echter al jaren oud, aldus het Finse F-Secure. Een andere melding van Turkse hackers zou al uit 2009 stammen. “Deze hacks zijn zo oud, dat het waarschijnlijk niets met het huidige probleem te maken heeft, althans, dat hopen we”, zegt Mikko Hypponen. Eerder liet hij nog weten: “Deze kleine Nederlandse SSL-winkel moet waarschijnlijk zo trots zijn geweest toen Google besloot hun SSL-certificaat bij hen te vernieuwen.”

Bron: Security.nl

Wat is het gevolg?

Uit het bovenvermelde citaat blijkt al dat er Gmail gebruikers zijn afgeluisterd, maar
daarnaast heeft de hack verstrekkende gevolgen voor de Nederlandse overheid. Na
eerdere berichten over de betrouwbaarheid van DigID lijkt dit een zware slag
voor de e-overheid.

Alle efforts richten zich nu op het geruststellen van de burger, getuige bijvoorbeeld de verklaring op de website van de Belastingdienst.

De communicatie is gericht op het geruststellen van de ondernemer. Het regeltje
over de particulier is echter veelzeggend: Nu Even Niet!

Betrouwbaarheid

Betrouwbaarheid is het sleutelwoord voor een CA. Als het vertrouwen weg is, is het einde
oefening. Dat zie je nu ook gebeuren bij de klanten van DigiNotar, en dan met name de Nederlandse Overheid. Ook Roel Schouwenaar van antivirusbedrijf Kaperski ziet dit als het einde van DigiNotar;

The main reason why Diginotar has been excommunicated is the fact they didn’t disclose the breach. With some 500 authorities out there globally it’s hard to believe Diginotar is the only compromised CA out there. Diginotar will quite likely go out of business. This should serve as a very strong message for CAs to go public with any breach.

Maar ook als een zeer sterke motivator om nu eindelijk security eens hoog op de agenda
te zetten;

The attack on Diginotar doesn’t rival Stuxnet in terms of sophistication or coordination. However, the consequences of the attack on Diginotar will far outweigh those of Stuxnet. The attack on Diginotar will put cyberwar on or near the top of the political agenda of Western governments.

Bron: Securelist

Van Bulletin Board naar Facebook

Waar we vroeger via Bulletin Boards met elkaar communiceerden en ondertekenden met een anonieme handle zijn we na 9/11 een stuk persoonlijker geworden op het internet. 9/11 stimuleerde de drang om met elkaar te delen en kreeg het sociale internet momentum. We delen nu steeds meer van onze eigen identiteit, geven steeds meer prijs.

Met alles wat we van onszelf weggeven is het voor de geoefende – en kwaadwillende
– hacker geen probleem om een identiteit te stelen. De roep om een persoonlijke CA wordt langzaam groter; een instantie die niet alleen een bedrijf of website kan certificeren maar een autoriteit je digitale identiteit kan bevestigen. Maar met deze informatie in huis is zo’n CA hack target nummer 1.

Een nieuwe start

Posted on by

Welkom bij Auruncus. Een nieuwe start, in een nieuwe taal en met een nieuw onderwerp!

Ergens in 2006 ben ik mijn eerste blog gestart; het Engelstalige Mindblizzard blog. In korte tijd is dit een redelijk succesvol blog geworden over nieuwe technologie, met name Virtuele Werelden en Augmented Reality. Naast deze onderwerpen maakte ik af en toe uitstapjes naar de wereld van Cloudcomputing, Smartphones en Security.

Met name vanwege familieomstandigheden is het blog eind 2009 redelijk in verval geraakt, maar de onderwerpen hebben mij nooit losgelaten. Nu ruim 5 jaar na de start van Mindblizzard hikt de wereld nog steeds aan tegen de concepten van Virtuele Werelden en Augmented Reality. Een aantal andere onderwerpen die ik aangesneden heb nemen op dit moment een steeds prominentere plaats in. Het onderwerp dat er de laatste tijd steeds uitspringt is Security.

Hoogste tijd dus om de draad weer eens op te pakken en dit onderwerp uit te diepen. En zie hier de geboorte van Auruncus.

Romulus en Remus
Romulus en Remus

In het Nederlandse beveiligingswereldje is Securitas een begrip. Deze Romeinse godin was de personificatie van de veiligheid en rust in het leven van de bijzondere personen. Haar taak was primair de persoonsbeveiliging. In de Romeinse mythologie is er echter nog een godin die gespecialiseerd is in beveiliging, nl Auruncus (ook wel Averruncus genoemd). Het was haar taak om het kwade af te weren, en met name de persoonlijke bezittingen te beschermen. Als we het hebben over online beveiliging, Security en Privacy vraagstukken, dan hebben we veelal te maken met de bescherming van het intellectueel eigendom en het digitale bezit van personen, bedrijven en instellingen.

Ik hoop jullie als lezers in de komende periode veel leesplezier en stof tot nadenken te geven.

Met vriendelijke groet,

Johan Vermij