News items for tag privacy - Koos van den Hout

2013-05-13 (#) 6 years ago
Interesting article: A Saudi Arabia Telecom's Surveillance Pitch - Moxie Marlinspike. Starting at a simple but chilling request by a big telco providing mobile Internet access in Saudi Arabia looking for lots of interception options it shows how 'security' and 'privacy' are becoming the victims of a trade in security exploits by parties who rather want to have an edge in accessing the private data of others than have security in general improve. The very interesting part is the observation by Moxie Marlinspike how he feels about this development:
If I'm really honest with myself, though, my interest in the preservation of 0day was also because there was something fun about an insecure internet at the time, particularly since that insecurity predominately tended to be leveraged by a class of people that I generally liked against a class of people that I generally disliked.
It's hard to say exactly when it happened, but these days, the insecurity of the internet is now more predominantly leveraged by people that I dislike against people that I like. More often than not, that’s by governments against people.
Please make computer systems more secure for everyone. Yes, that will include evil corporations. But the end users who may be able to communicate securely and in private in the end will thank you.

Tags: , ,
2013-01-18 (#) 6 years ago
Interesting side-effect of continued energy monitoring and on-line access to the results: Busting Teenage Partying with a Fluksometer - Rowetel.

Mentioned in Anti-Drone Camouflage: What to Wear in Total Surveillance -
I recently saw Law & Order LA episode S01E16 "Big Rock Mesa" in which the police as part of investigations accessed data from smart meters without much trouble.

Tags: , ,
2012-11-25 (#) 6 years ago
Interesting article: Facebook and Google know that we value conformity more than our privacy - New Statesman about the new book Cypherpunks by Julian Assange. Some thought-provoking remarks and I enjoyed this one in particular:
At present, the only solution from Assange and his cypherpunks seems to be for everyone to become competent at digital encryption, which is not going to happen any time soon. We know this because, even though there’s free software out there that allows anyone with moderate computer skills to make their data secure, the head of the CIA, for God’s sake, still uses Gmail to drop messages to his mistress.
Learn to use pgp/gpg, all of you!

Tags: ,
2012-11-22 (#) 6 years ago
Interesting article: Privacy: Why Europeans Think You're Inadequate - about the differences in privacy rules in Europe and the US and the backgrounds behind them.

Good explanation:
Privacy in the US focuses from a legislative standpoint on preventing the theft of one’s identity, resulting in a negative financial impact. Privacy in the EU is far broader, not limited to financial concerns, and regulated by data protection authorities at the EU and country level.
And this one struck me:
When discussing the US/EU divide with a colleague from France, he asked me, “How many times has your country been occupied by a foreign power? Have you had your government and its agents spying on your own people and incentives for citizens to incriminate other citizens?” I got the message. The World Wars of the 20th century still echo in the levels of privacy demanded by citizens of the EU following years of having none. US citizens have been more fortunate with a fairly functional and stable democratic government trusted by its citizens.
Which describes exactly the reasons why I think the government should collect the absolute minimum of data about the personal lives of its citizens.

Tags: , ,
2012-11-06 (#) 6 years ago
En sommige 'slimme meters' zenden hun actuele gegevens ook continue via radiosignalen uit: Smart meters not so clever about privacy, researchers find - Networkworld (engelstalig artikel).
Researchers at the University of South Carolina have discovered that some types of electricity meter are broadcasting unencrypted information that, with the right software, would enable eavesdroppers to determine whether you're at home.
Met een SDR (software defined radio) is het dus mogelijk de signalen 'gewoon' te ontvangen en met wat zoeken uit te vinden bij welk huis deze horen.

Het bijbehorende research paper Neighborhood Watch: Security and Privacy Analysis of Automatic Meter Reading Systems (pdf) met veel meer technische details zoals frequentie en protocol.

Via Some Smart Meters Broadcast Readings in the Clear - Slashdot met de observatie (voor de US situatie) : Perhaps more distressing, given trends in 4th amendment interpretation, I bet the transmissions are open game for law enforcement.

Tags: , , ,
2012-10-19 (#) 6 years ago
De wereld nu helemaal op z'n kop met hele gevaarlijke voorstellen: 'Justitie moet dna ziekenhuis gebruiken'. Behalve het omdraaien van de aanname van onschuld (erg populair in Nederland de laatste jaren) zou justitie hiermee ook medisch onderzoek direct bedreigen. Dit is niet waar mensen toestemming voor gegeven hebben bij medisch onderzoek.

En de 'waarborg' over 'alleen inzetten bij ernstige misdrijven' gaat gegarandeerd ook slijten zodra de gegevens toegankelijk zijn. Mooi voorbeeld van een vergelijkbare 'beveiliging' is bij de bewaarplicht telecommunicatiegegevens. Bits of Freedom heeft de 'veiligheden' hiervan onderzocht en noteert in De bewaarplicht als boegbeeld van onze bevrijding - Bits of Freedom:
De bepalingen in het Wetboek van Strafvordering zijn zo ruim geformuleerd dat in theorie van vrijwel iedereen gegevens kunnen worden opgevraagd. Je hoeft niet ‘verdacht’ te zijn, de aanduiding ‘betrokkenheid’ is al voldoende voor een vordering, die niet getoetst wordt door een rechter-commissaris. Dus als uw collega verdacht wordt van de ‘heling van een goed’ (koopt een fiets op straat, bijvoorbeeld), kan de officier van justitie al uw bel-, sms- en internetverkeer van de afgelopen twaalf maanden inzien. Het wordt zelfs grappig, als we de wet goed bestuderen. Als uw zoon verdacht wordt van het ‘gebruiken van een hond als trekkracht’ kan de politie al uw telecomverkeer opvragen.

Blijkbaar heeft de minister wat teveel CSI gekeken. Vergeet niet dat CSI fictie is, mevrouw Schippers.

Tags: , ,
2012-10-05 (#) 6 years ago
I guess an awful lot of traceroutes will be done today and the results will be analyzed, after reading Suspicion over Dotcom net glitch - National - NZ Herald News:
Information held by the Herald shows Gen-I studied data showing the amount of time it took information on the internet connection to reach the Xbox server. It went from 30 milliseconds to 180 milliseconds - a huge increase for online gamers.

The reason for the extra time emerged in a deeper inquiry, which saw a "Trace Route" search which tracks internet signals from their origin to their destinations. When the results were compared it showed the internet signal was being diverted inside New Zealand.

The data showed the internet signal had previously taken two steps before going offshore - but was now taking five.
Via @csoghoian: If you're a spy agency & are going to illegally intercept a geek's residential internet connection, don't add 3 hops + 150ms to traceroute.

There is a reason the technical rules for "lawful" intercept of Internet traffic in a lot of countries are quite strict that network routes should not change when a subscriber is tapped. But I guess being your own ISP would circumvent that and give the interceptors a problem.

Tags: , ,
2012-09-23 (#) 6 years ago
Meer onveiligheid met 'slimme meters', maar dan echt uit de categorie 'privacy gevoelige data delen met iedereen die ervoor wil betalen': Smart meter data shared far and wide - The Age Australia (engelstalig).
DETAILED information about electricity customers' power usage, which gives insights into when a house is occupied, is being shared with third parties including mail houses, debt collectors, data processing analysts and government agencies.
Ik moest even opzoeken wat de term 'mail house' kan betekenen maar dat is denk ik wat we hier een 'marketing bedrijf' noemen, die dus graag zoveel mogelijk gegevens van mensen verzamelen om ze in passende marketing campagnes lastig te vallen.

Dit is wel heel absurd delen van data. En voorzover ik begrijp is de enige manier om achter je eigen gegevens te komen hiermee instemmen. Want je eigen meetgegevens moeten natuurlijk eerst naar een bedrijf wat ze nog net niet publiek post (maar als iemand daarvoor wil betalen..) voordat je ze zelf weer kan opvragen.

Ik blijf erbij: de uitgang voor meetgegevens van 'slimme meters' zit aan de verkeerde kant. Als ik iets wil met deze gegevens wil ik ze aan de binnenkant zelf uitlezen, verwerken, visualiseren en er conclusies uit trekken. Andere statistieken die ik thuis verzamel waar uit af te leiden valt of er mensen thuis zijn kunnen vanwege mijn keuze voor privacy ook niet door derden opgevraagd worden.

Via Australian Smart Meter Data Shared Far and Wide - Slashdot your rights online

Tags: , ,
2012-09-15 (#) 6 years ago
Het landelijke netwerk van slimme meters: veiligheid lijkt vooral gestoeld op onderling vertrouwen - Jaap-Henk Hoepman. Een interresant stuk over de veiligheid van de 'slimme meter'. Waarbij de beveiliging vooral lijkt te zijn om de electriciteitsproducenten en electriciteitstransporteurs tegen mogelijk frauderende klanten te beschermen, maar vooral niet om de klanten te beschermen tegen frauderende bedrijven of ongewenst uitlezen door andere partijen.

Ik ben nogsteeds voor een slimme meter die aan de binnenkant mij alle details geeft die ik wil zodat ik zelf mijn energiegebruik in de gaten kan houden en naar de electriciteitsleverancier net voldoende informatie geeft zodat deze een rekening kan sturen. De electriciteitsleverancier wil natuurlijk graag met de directe meetwaarden capaciteitsplanning doen. En dat laatste is natuurlijk waar de schoen tussen mijn privacy en de gewenste nauwkeurigheid voor capaciteitsplanning gaat wringen. Maar nu ik lees dat de eerste concentratie van gegevens bij de kasten in de straat is zie ik een prima oplossing: meet daar het instantane gebruik van de alle aangesloten huishoudens tezamen en gebruik dat voor het direct meten van het gebruik en plannen van capaciteit. De instantane gegevens per huishouden zijn dan veilig in die huishoudens en kunnen daarbuiten niet misbruikt worden, en precies op het laatste punt in het distributienetwerk kan gemeten worden hoeveel energie er afgenomen wordt. De energieleverancier heeft dan voldoende informatie om nauwkeurig productie capaciteitsplanning te doen en benodigde transportcapaciteit te weten en gegevens wat ik wanneer gebruik kunnen niet misbruikt worden.

Tags: , ,
2012-08-22 (#) 6 years ago
Home automation and monitoring with ideas I like: openHAB 1.0 - Home Automation For Geeks. One thing quite notable to me is the option for privacy in measuring:
Persistence and Charting – Store your values and states anywhere you like: In a local database (classic or round-robin), in dedicated log files or even in an Internet-of-Things cloud service. Use the persisted data for defining complex automation logic or for dynamic chart generation.
So you don't have to export all your data exactly logging your daily life to some external service. Very good! Lots better than all those devices that ship your data out first and give access to you and who else later, like the 'smart meter'.

The current user-interface options are very modern-gadget centric (android mobile browser or apple mobile device browser) but given the fact that it also has a clearly defined REST api, developers can write other user interfaces.

Via openHAB 1.0 - Home Automation For Geeks - Jan-Piet Mens

Tags: , ,
2012-07-15 (#) 6 years ago
This phone is tapped, image of an american pay phone with a large sticker this phone is tapped over the horn, photo licensed under creative commons, original author david drexler
"This phone is tapped"
Image under Creative Commons cc-by-sa license, via File: This phone is tapped.jpg - Wikimedia commons
Strong opinions in That's Not My Phone, It's My Tracker -
THE device in your purse or jeans that you think is a cellphone — guess again. It is a tracking device that happens to make calls. Let’s stop calling them phones. They are trackers.
Maybe the current wave of news about the high numbers of people in the US targeted by data requests to cell phone companies by law enforcement will also get some followup in the Netherlands and get some more numbers out in the open.

See also: Cell Carriers See Rise in Requests to Aid Surveillance -
In the first public accounting of its kind, cellphone carriers reported that they responded to a startling 1.3 million demands for subscriber information last year from law enforcement agencies seeking text messages, caller locations and other information in the course of investigations.

Tags: , , ,
2012-07-03 (#) 6 years ago
Unlicensed mobile radio (walkie-talkie like use) in Europe is possible with PMR446 devices which operate on frequencies between 446.0 MHz and 446.1 MHz. PMR446 was introduced in 1998. The original PMR446 standard gives 8 channels where FM analog audio is used. Using CTCSS or DCS codes extra options to distinguish users of PMR446 are available. But these are more 'calling certain users' options than real privacy, a radio scanner tuned to the PMR446 frequencies can receive all users.

Analog PMR446 radios are quite cheap nowadays: when I browse conrad I can find a simple set of 2 PMR 446 radios for Eur 19.99 Audioline portofoon PMR-15 (Conrad Electronic).

A begin of privacy comes at a price: the lowest price for a (single) PMR446 radio with 'scrambler' and a description which suggests extra software is needed to program that scrambler is Eur 135 Midland PMR portofoon set G14 (Conrad Electronic) or Stabo PMR portofoon Freetalk com (Conrad Electronic) or Eur 205 for the PMR-zendontvanger Kenwood TK-3301E (Conrad Electronic) which is advertised as 'professional' which is visible in the price. Diving into a manual shows that the scrambler has an 'on' or 'off' setting, which makes the given privacy limited to "can't be heard on a standard scanner" but a determined listener can determine the scrambling system and listen in.

A newer development is Digital private mobile radio 446 (DPMR 446) which uses frequencies between 446.1 MHz and 446.2 MHz, not overlapping with analog PMR446. There are 16 channels with FSK (frequency shift keying) in a 6.25 kHz wide channel (half that of analog PMR).

I can find exactly one device supporting digital PMR446 on sale: the ICOM IC-F4029SDR professional digital license free transciever and the price I see is 180 UK pound which is also a 'professional' price.

The 'digital' part of DPMR could allow for real encryption, but for as far as I can find it is not implemented, and searching for details about this I find: Draft amended PMR446 ERC_DEC(98)25 which states:
a)that it is not recommended that applications requiring encrypted speech should be used with PMR 446 radio equipment;
It would seem (to me) that adding strong encryption on digital PMR446 wouldn't be too hard, but the standard doesn't have space for it (at the moment). There are options for group codes (just like ctcss or dcs codes in analog PMR446) but it is possible for a (specialized) scanner to ignore all those. ETSI TS 102 490 technical specification: Peer-to-Peer Digital Private Mobile Radio using FDMA with a channel spacing of 6,25 kHz with e.r.p. of up to 500 mW.

Tags: , , ,
2012-06-04 (#) 6 years ago
Article FBI: New Internet addresses could hinder police investigations - CNET security & privacy news
Side effects from the transition to Internet Protocol version 6, or IPv6, "could have a profound effect on law enforcement," an FBI spokesman told CNET. "Additional tools" may need to be developed to conduct Internet investigations in the future, the spokesman said.
Any new technology will have an effect on law enforcement. Law enforcement will have to learn about the technology and how it applies, and how to do investigations which involve the technology.

In reading the article completely, the problem isn't IPv6 by itself, which is what the headline suggests. The problem is the transitional period with dual-stack networks and carrier-grade NAT. So after the transition, things may actually be easier, although I expect the IPv6 address privacy extensions to reverse some of that 'easier' bit.

Found via 'Invoering IPv6 kan FBI-onderzoeken belemmeren' - (Dutch)

Tags: , ,
2012-05-29 (#) 6 years ago
It is the old "Echelon word list" all over again: Revealed: Hundreds of words to avoid using online if you don't want the government spying on you (and they include 'pork', 'cloud' and 'Mexico') - Daily mail.

The current word list can be dug up from Analyst Desktop Binder REDACTED but I am sure someone will post the complete list on-line somewhere soon.

Found via Doesn't it make your heart warm to know that your government spies on everything you do online? Lionel Lauer on Google+.

If you want full privacy in your communication over the Internet, use encryption and do not store your data unencrypted or on any system you do not have full control over. Use PGP for e-mail. Yes, sending encrypted e-mail is also a red flag, so encrypt your forwarded cat jokes too.

Update 2012-06-01: Phil Lapsley had a close look at the list and found out some watchwords on it which go back a long way: DHS Social Media Watch List: Phreaking and 2600 - History of Phone Phreaking blog. He writes:
To all the old-school phone phreaks I interviewed for my book who were worried that the government still cares about this stuff and whom I reassured that the government couldn't possiblly still care: ok, ok, you're right and I'm wrong.

Tags: , ,
2012-05-23 (#) 6 years ago
Nederland koploper in afluisteren telefoons -
Het Wetenschappelijk Onderzoeks- en Documentatie Centrum (WODC) van het ministerie van Veiligheid en Justitie heeft dat uitgezocht. Dus ik vraag me dan al af of de getallen en conclusies niet al positief worden voorgesteld... ondanks dat ze al schokkend zijn.
In Nederland worden ruim 22 duizend telefoons afgeluisterd. Dat is 1 per 1.000, gemiddeld zo'n 50 per gemeente. Nederlandse opsporingsambtenaren luisteren daarmee veel meer telefoons af dan hun collega's in omringende landen.
Wat mij opvalt is de opmerking over de notificatieplicht:
Mensen die zijn afgeluisterd, moeten hierover worden geïnformeerd, maar dat heeft bij het OM niet altijd prioriteit. Wie hierover wel een brief van het OM ontvangt, kan nergens zijn beklag doen als hij niet begrijpt waarom hij is afgeluisterd. Dat moet beter, stelt Odinot.
Hier ga ik me toch echt afvragen of de gegevens wel kloppen. Dit leest alsof er van die meer dan 22000 telefoontaps toch een serieus deel opgevolgd wordt met een notificatie. Als dat zo zou zijn zou ik verwachten dat je daar toch wel eens dingen over hoort / leest, al is het simpelweg dat er iemand ergens klaagt dat er om onduidelijke reden een tap was en/of dat politie/justitie niet echt wil antwoorden op vragen/klachten erover.

Als ik het originele stuk er bij pak: Justitiële verkenningen: Tappen en infiltreren [PDF] staat er ook iets anders:
Verder is de telefoontap aan een termijn gebonden en is voorzien in een mededelingsplicht (notificatie) achteraf. Notificatie maakt het in beginsel mogelijk voor betrokkenen om zich achteraf over de toepassing van de telefoontap te beklagen. In de praktijk blijkt dit niet of nauwelijks te gebeuren, mogelijk ook omdat voor een klager vaak niet duidelijk is waar hij heen moet met zijn klacht (zie Odinot e.a., 2012).
De hele notificatieplicht wordt dus amper nageleeft, dat is iets anders dan "heeft niet altijd prioriteit". Wanneer gaat justitie zich eens aan de wet houden?

Tags: , ,
2012-05-21 (#) 7 years ago
I applaud the clear twitter privacy policy, especially the part:
Law and Harm: Notwithstanding anything to the contrary in this Policy, we may preserve or disclose your information if we believe that it is reasonably necessary to comply with a law, regulation or legal request; to protect the safety of any person; to address fraud, security or technical issues; or to protect Twitter's rights or property. However, nothing in this Privacy Policy is intended to limit any legal defenses or objections that you may have to a third party's, including a government's, request to disclose your information.
My emphasis. And my applause to twitter for being this clear. They adhere to the law but also make governments adhere to their own laws. I wish more services would do that.

Tags: ,
2012-05-04 (#) 7 years ago
Goed opiniestuk: Profiling het grootste gevaar voor privacy - Webwereld. Een goed overdacht en goed leesbaar stuk.
Van alle mensenrechten staat het recht op privacy in deze tijd het meest onder druk. Het is daarom van groot belang dat de overheid, de grootste privacyschender, strak aangestuurd wordt door middel van goede wetgeving.
Ook een goede opsomming hoe deze ontwikkelingen strijdig zijn met de Nederlandse grondwet.

Tags: , ,
2012-02-27 (#) 7 years ago
Het is niet eens meer echt verbazend: "Politie schendt wet met bevragingen CIOT-database" - Het blijkt nogsteeds de gewoonte om alle informatie die misschien bruikbaar is in een onderzoek op te vragen in plaats van alleen informatie over concrete verdenkingen:
Woordvoerder Florian Vingerhoeds [ van het regiokorps Gelderland-Zuid ] verklaart het hoge aantal antwoorden door het bevragen van meerdere personen in één enkele bevraging. "Wanneer iemand vaak belt met bepaalde telefoonnummers, kunnen we van die personen ook gelijk de naw-gegevens opvragen". Datzelfde geldt volgens hem voor de ip-adressen waarmee iemand vaak communiceert.
Het beste commentaar van Commentaar op "Politie schendt wet met bevragingen CIOT-database" -
Al die data opslaan gaat niet aan. We verzinnen een manier waarop de politiediensten die data uniform kunnen opvragen via aanvragen die centraal worden bijgehouden maar waarvoor de antwoorden direct van de aanbieders komen. Die aanvragen moeten digitaal ondertekend worden door een rechter en de telecomaanbieder mag er niet aan voldoen als het signatuur niet klopt. En iedereen mag opvragen of zijn telefoonnummer danwel ip adres in een aanvraag danwel antwoord opgedoken is.

Tags: , ,
2012-01-16 (#) 7 years ago
Een kritisch stuk over de hulp aan de ene kant van westerse landen voor het omzeilen van overheidscensuur in landen die de vrijheid van meningsuiting onderdrukken na het leveren van afluistertechniek aan dezelfde landen (engelstalig): Speak softly and carry a USB stick - Radio Netherlands Worldwide met een duidelijke uitspraak van Rop Gonggrijp:
"Western governments that paid for the development of repressive technology are now complaining that dictators are using it. Western countries love it when censorship is subverted in states run by adversaries, but they're far less concerned with freedom of expression in their own societies."
Via: Speak softly and carry a USB stick - Media network RNW

Tegelijkertijd politieke actie: GroenLinks wil vergunning voor export tapcentrales -
GroenLinks wil de wet aanpassen om te voorkomen dat technologie om communicatie te tappen en te blokkeren naar landen gaat die met de technologie de mensenrechten schenden
In dat artikel komt nog voorbij uit het antwoord op eerdere kamervragen over Vragen van het lid El Fassed (GroenLinks) aan de minister van Economische Zaken, Landbouw en Innovatie over de export van internetfilters en aftaptechnologie (ingezonden 17 oktober 2011). op hoe "professioneel" Digivox omgaat met de levering van systemen die misbruikt kunnen worden voor onderdrukking:
"Voordat DigiVox overgaat tot levering van een LI systeem, raadplegen we verschillende bronnen op het internet over de mensenrechtensituatie in het betreffende land en dan in het bijzonder of er sprake is van politieke gevangenen. Ook wordt in twijfel gevallen contact gezocht met het Ministerie van Economische Zaken, Landbouw en Innovatie", schrijft staatssecretaris Bleker.
Ze zoeken even op google? Er komt nu vast een hele nieuwe industrie in SEO (search engine optimization) voor het vriendelijker in beeld brengen van overheidsbeleid. Syrië zal daar momenteel wel geld in willen steken bijvoorbeeld.

Via: Twitter / @brenno: GroenLinks wil vergunningen voor taptechnologie

Tags: , ,
2012-01-10 (#) 7 years ago
Op het chaos communications congress is ook de presentatie geweest: Smart Hacking For Privacy - 28C3. Volgens de artikelen Smart meter SSL screw-up exposes punters' TV habits - The Register (engelstalig) en Smart meter hacking can disclose which TV shows and movies you watch - Sophos naked security (engelstalig) zijn er de allang verwachtte privacylekken tot op het niveau waar uit de data bij de meteropnemer te zien is welke film op tv bekeken is. En ik verwachtte in 2008 'alleen maar' teveel inzicht in dagelijkse gewoontes van mensen.

Ondertussen ben ik er ook aan toegekomen om de video van de presentatie te downloaden en bekijken. Jammer dat een van de aanwezigen duidelijk weinig ervaring had met presentaties en meer met techniek.

Tags: , ,
⇐ Newer news items for tag privacy  Older news items for tag privacy ⇒
, reachable as PGP encrypted e-mail preferred.

PGP key 5BA9 368B E6F3 34E4 local copy PGP key 5BA9 368B E6F3 34E4 via keyservers pgp key statistics for 0x5BA9368BE6F334E4 Koos van den Hout
Other webprojects: Camp Wireless, wireless Internet access at campsites, The Virtual Bookcase, book reviews