News items for tag privacy - Koos van den Hout

2012-01-10 (#) 9 years ago
Op het chaos communications congress is ook de presentatie geweest: Smart Hacking For Privacy - 28C3. Volgens de artikelen Smart meter SSL screw-up exposes punters' TV habits - The Register (engelstalig) en Smart meter hacking can disclose which TV shows and movies you watch - Sophos naked security (engelstalig) zijn er de allang verwachtte privacylekken tot op het niveau waar uit de data bij de meteropnemer te zien is welke film op tv bekeken is. En ik verwachtte in 2008 'alleen maar' teveel inzicht in dagelijkse gewoontes van mensen.

Ondertussen ben ik er ook aan toegekomen om de video van de presentatie te downloaden en bekijken. Jammer dat een van de aanwezigen duidelijk weinig ervaring had met presentaties en meer met techniek.

Tags: , ,
2011-11-25 (#) 9 years ago
Recently when showing some pictures on the pictures site Koos van den Hout I noticed that the browser Safari on the iPad actually uses the exif tag orientation. So pictures I took in rotated mode were rotated again by the browser. And the iPad is a bit too smart in this matter: trying to rotate the iPad 90 degrees makes the orientation sensor 'compensate' for this, so the pictures were still sideways.

Solution: clean out the orientation tags after rotating the pictures. And while looking at the exiftool script to do that, I had a look at the other tags in my pictures and noticed a load of information I'm not really wanting to share, such as the camera serial number. A sample of what I wanted was easily found at Removing "sensitive" meta data using ExifTool - underscan and I adopted this for my own scripts.

At the same time I did some updates to the copyright-statement text part so I can for example add a creative commons license statement or no text at all.

Tags: , ,
2011-11-14 (#) 9 years ago
Strong words from Lauren Weinstein: The Coming Fascist Internet.
But with the fullness of time, the phone companies, cable companies, governments, and politicians galore came to most intensely pay attention to the Internet, as did the entertainment industry behemoths and a broad range of other "intellectual property" interests.

Their individual concerns actually vary widely at the detailed level, but in a broader context their goals are very much singular in focus.

They want to control the Internet. They want to control it utterly, completely, in every technologically possible detail (and it seems in various technically impossible ways as well).
Strong words, and quite USA-centric, but developments to keep an eye on. I don't always agree with his opinions, but this one about commercial and political pressure to restrict the openness of Internet to further those commercial and political goals is something I want to point people at.

Tags: , ,
2011-10-30 (#) 9 years ago
Living one's life as performance art - Chris Jones on Google+.

Website for Hasan M. Elahi which is currently a bit slow, probably due to the New York Times article.

Tags: , ,
2011-10-11 (#) 9 years ago
Politiek witheet door Lektober, wil actie Donner - Webwereld
Het ict-beleid van de overheid moet echt verbeteren
"joh"
Arjan el Fassed (GroenLinks) wil ook een team. Maar dan een audit-team dat jaarlijks de ict-beveiliging van gemeenten test. Volgens El Fassed zijn de slecht beveiligde gemeentesites geen incidenten meer, maar een symptoom van gebrek aan controle op ict-veiligheid en privacy bij de overheid.
Juridisch goed onderbouwd werken bij de overheid is stoer. Met veilige en betrouwbare ICT werken die gegevens van burgers goed beschermd blijkbaar nog niet.

Tags: , ,
2011-07-06 (#) 9 years ago
Vermakelijk nieuws: er was iemand die wel een businesscase zag in grootschalige fraude met ov-chipkaarten. Dat heeft Translink Systems altijd ontkent, het was allemaal theoretisch. Deze keer werd de poging snel ontdekt, maar ik ga er van uit dat binnen de kortste keren iemand dit beter probeert.

Via Gekraakte OV-chipkaarten massaal verhandeld - Webwereld. Voor degenen die probeerden met de kaarten iets te doen minder leuk: Reizigers dupe van vervalste OV-chipkaarten - Webwereld.

Met een mooi advies van TLS
De voorlichter heeft een duidelijk advies aan reizigers: "Advies aan de consument is deze kaart niet aan te schaffen, want ook het reizen met gemanipuleerde kaarten is en blijft strafbaar.

Tags: , ,
2011-06-20 (#) 9 years ago
Journalist Brenno de Winter wordt woensdag 22 juni 2011 verwacht bij de politie voor verhoor over fraude met ov-chipkaarten.

Statement over verhoor TLS - Brenno de Winter

Webwereld-journalist verhoord om OV-chipkraak - Webwereld

Klinkt als een geval 'aantonen dat de kleren van de keizer afwezig zijn is niet de bedoeling', Trans Link Systems wil duidelijk niet dat het zo duidelijk gemaakt wordt dat ze bezig zijn met miljarden uitgeven aan een slecht systeem met waardeloze privacy.

Tags: , ,
2011-06-10 (#) 9 years ago
I like having the 'predictable' IPv6 address for my laptop at home, but at the same time I was pondering the implications of having the same EIU-64 address everywhere. Which can be fixed by enabling the privacy extensions.

As I use wicd for connection management I had a look at Adding pre and post (dis)connection scripts - Wicd Wiki which showed clear options. The easiest way to 'recognize' my home networks is by assigned v6 range. So I created /etc/wicd/scripts/postconnect/ipv6privacychoice with:
#!/bin/bash

connection_type="$1"

if [ "${connection_type}" == "wired" ]; then
        v6prefix=`rdisc6 eth0 -q -1`
        if [ "${v6prefix}" = "2001:980:14ca:1::/64" ]; then
                sysctl net.ipv6.conf.eth0.use_tempaddr=0
        else
                sysctl net.ipv6.conf.eth0.use_tempaddr=2
        fi
elif [ "${connection_type}" == "wireless" ]; then
        v6prefix=`rdisc6 wlan0 -q -1`
        if [ "${v6prefix}" == "2001:980:14ca:2::/64" ]; then
                sysctl net.ipv6.conf.wlan0.use_tempaddr=0
        else
                sysctl net.ipv6.conf.wlan0.use_tempaddr=2
        fi
else
        echo "Unknown connection type: ${connection_type}"
        exit
fi

Tags: , , ,
2011-05-13 (#) 9 years ago
With all the news about Dutch KPN doing DPI (deep packet inspection) on its mobile IP users to find out how many users use WhatsApp instead of overpaying for SMS messages I ran across this declaration by AAISP in the UK:

AAISP: Real internet connection. Very clear on what they do:
We provide a real internet connection with our internet/broadband services. A real internet connection that IP packets from you get to where they should do, and IP packets to you get to you.
Too bad they don't offer broadband in the Netherlands. They would not be able to maintain the paragraph about lawful intercept in this country:
We have no so called black boxes to covertly monitor traffic and/or pass traffic monitoring to the authorities or anyone else. Obviously the law is such that we may have to add such black boxes, but we would resist as far as possible.
But otherwise they would fit nicely with 'real Internet' users in the Netherlands.

Tags: , ,
2011-04-29 (#) 9 years ago
Het College Bescherming Persoonsgegevens heeft onderzoek gedaan naar het opvragen van telecomgegevens door opsporingsdiensten via het CIOT. De conclusie is ingehouden kwa woordkeuze maar erg duidelijk:
De gegevensuitwisseling tussen de opsporingsdiensten en telecommunicatieaanbieders via het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) vindt niet plaats overeenkomstig de toepasselijke wet- en regelgeving met de daarin opgenomen waarborgen tegen misbruik van de bestanden.
Ik vind de reactie van Opstelten erg interresant: die wil politie en opsporingsdiensten die na 1 mei nog de fout in gaan de toegang tot het CIOT ontzeggen.

Ik ben benieuwd wat dit oplevert: als de politie zich aan de wet houdt stort het aantal opvragingen in. Als de politie zich niet aan de wet houdt en Opstelten voert z'n dreigement uit stort het aantal opvragingen in.

Tags: , ,
2011-04-29 (#) 9 years ago
Opmerkelijk: Na alle eerdere berichten dat de tegenstand tegen het opslaan van vingerafdruk (ook) uit de gemeente Utrecht kwam (Volkskrant). Geformaliseerd door een op 10 maart 2011 aangenomen motie door de gemeenteraad Utrecht om de opslag van biometrische gegevens (vingerafdrukken) te stoppen:
Tekst van de motie: Draagt het college op:
- hiertoe een krachtig signaal af te geven aan de Minister van Binnenlandse Zaken en aan de Tweede Kamer;
- waarbij opgeroepn wordt, de wet zodanig aan te passen dat gestopt wordt met de opslag van biometrische gegevens ten behoeve van een residocumentenregistratie in enig digitaal overheidsregister.
Andere ergernis: bovenstaand is niet te vinden met zoeken in de website van de gemeente op 'vingerafdrukken'. Wat kan ik nog meer aan relevante dingen niet terugvinden?

Maar de uitvoering bij de afdeling burgerzaken van de gemeente Utrecht loopt achter: Eis van afgifte vingerafdrukken voor ID-bewijs op woensdag 27 april officieel afgeschaft - Vrijbit.nl
voorlopig is vrijbit nu in de slag met de gemeente Utrecht, waar de hele volgende dag de afname en opslag van vingerafdrukken vrolijk doorging
Toch nog maar even wachten met dat nieuwe paspoort.

Tags: , ,
2011-04-27 (#) 9 years ago
Het lijkt er op dat het (tijdelijk) goed komt: Opslag vingerafdrukken voorlopig van de baan - volkskrant.nl
De opslag van vingerafdrukken uit een biometrisch paspoort wordt voorlopig stilgezet.
Eigenlijk is het stukgelopen op de kwaliteit van de vingerafdrukken en de controleerbaarheid:
De verscheidene deskundigen lieten blijken weinig vertrouwen te hebben in het biometrische paspoort en ze zagen risico's voor de veiligheid en privacy. Ook de effectiviteit zou te wensen overlaten. Max Snijder van European Biometrics Group zei dat er in 21 procent van de gevallen geen herkenning van het paspoort plaatsheeft, terwijl 3 procent acceptabel werd geacht.
Dat probleem is er dus ook als bij een grens de vingerafdruk opgeslagen in het paspoort vergeleken gaat worden met de vinger van de eigenaar. Ik zou zelfs verwachten dat het aantal fouten toeneemt op de lange termijn: die 21% fouten was al tussen aanvragen van het paspoort en ophalen.

De al verzamelde vingerafdrukken moeten vernietigd worden: Afgenomen vingerafdrukken worden vernietigd.

Maar Donner lijkt duidelijk de opties voor de toekomst open te houden. Het zou mooi zijn als deze wetten eens getoetst zouden worden aan de Nederlandse grondwet, en dan vooral op hoofdstuk 1 artikel 10 van de Nederlandse grondwet lid 1:
Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
Mijn mening is dat 'iedereen als potentiële crimineel behandelen' niet meer valt onder 'beperkingen' zoals de wetgever het hier bedoelt moet hebben.

Het blijft altijd opletten of onze rechtsstaat niet bedreigd wordt van binnenuit.

Tags: , ,
2011-04-20 (#) 9 years ago
De cryptowars komen weer terug: Justitie wil encryptie verbieden. Het lijkt er op dat justitie het wel vaker maar erg lastig vindt dat de grondwet een duidelijke mening over privacy heeft. Maar Jet Hoogendijk roept maar wat in een wens om een handvat te hebben om iedereen aan te pakken die niet meewerkt aan zijn of haar veroordeling. Niet gehinderd door enige kennis van zaken. Het nadeel is alleen dat Jet Hoogendijk wel in een positie is om schade aan de samenleving en schade aan personen toe te brengen.

De vorige Nederlandse cryptowars waren in 1994: Woedende reacties op cryptoverbod.
Update 2011-04-22: OM prikt proefballon encryptieverbod door - Webwereld

Tags: , , ,
2011-04-20 (#) 9 years ago
Het komt misschien toch weer een beetje goed met de privacy in Nederland: Steeds meer tegenstand centraal opslaan vingerafdrukken.
Steeds meer gemeenteraden keren zich tegen het opslaan van vingerafdrukken uit het paspoort. Utrecht en Amersfoort willen een einde aan de opslag, zowel centraal (landelijk) als lokaal.
Misschien haal ik het om net niet mijn vingerafdrukken opgeslagen te krijgen buiten mijn paspoort, dat moet in mei van 2011 vervangen worden.

De eerste kamer heeft ook nog wat potentiele schade aan onze privacy voorkomen: AIVD mag toch niet dataminen in alle Nederlandse databases.
Het gaat hier om de aanpassing op de Wet Inlichtingen- en veiligheidsdiensten. Met deze wet zou het mogelijk worden voor de AIVD om alle databases van alle overheidsinstanties en bedrijven op te vragen om te gebruiken voor “analyse”. Deze wet wat door de Tweede Kamer al goedgekeurd. Maar de Eerste Kamer blijkt haar rol als bewaker van de grondwet dit keer zeer serieus genomen te hebben. Daar ontstond zoveel weerstand dat verder afgezien wordt van verdere behandeling van deze wet.

Tags: , ,
2011-02-25 (#) 9 years ago
Mooie visualisatie van zes maanden telecommunicatie gegevens van Malte Spitz, lid van de 'Bundesvorstand' (leiding) van partij BÜNDNIS 90/DIE GRÜNEN. Het heeft hem de nodige moeite gekost om de gegevens te verkrijgen. Een hele goede visualisatie van wat een telecom-bedrijf over je weet. En dus ook politie, veiligheidsdiensten en de boswachter.

Tags: , ,
2011-02-09 (#) 9 years ago
Op zoek naar een optie op de website van de politie zie ik verwijzingen naar het meldpunt cybercrime. Ik dacht even dat er eindelijk interesse voor en kennis van IT gerelateerde criminaliteit bij de politie aan het komen was maar dat valt zwaar tegen. Het 'meldpunt cybercrime' is alleen voor 3 heel specifieke gebieden van opsporing, waarvan volgens mij kinderporno gebruik maakt van IT voorzieningen en Internet, terrorisme soms ook en het verband tussen kindersekstoerisme en cybercrime zie ik helemaal niet. Hooguit dat bij een onderzoek naar kindersekstoerisme vast de computer van de verdachte onderzocht zal worden.

Maar een afdeling die snapt dat een webserver gehackt is via phpmyadmin en dat je een image getrokken hebt voor onderzoek, die is er nogsteeds niet in een voor het publiek aanspreekbare vorm.

Zolang de Nederlandse justitie zo weinig snapt van IT is er volgens mij ook het grote risico dat die onkunde doorzet in het omgaan met gegevens zoals uit het CIOT of uit de bewaarplicht komen. Waarmee niet alleen onze privacy geschonden wordt maar onkunde ook tot onterechte beschuldigingen zal leiden.

Tags: , , ,
2011-01-26 (#) 9 years ago
De ov-chipkaart is nu nog gekraakter, er is een saldo-editor applicatie. Journalisten hebben ook veel langer met een kaart met aangepast saldo kunnen reizen dan origineel door Translink systems aangegeven. Bij controles in de trein wordt een aangepaste kaart niet ontdekt, zelfs niet als de kaart door de kaartautomaat gezien wordt als geblokkeerd.

Ondertussen is er ook de 'uitbreiding', naast het verhogen van het saldo en daarna op de normale manier inchecken wat bij bij de NS incheckpalen dus uiteindelijk gedetecteerd zal worden als fraude is er ook de aanpak om een kaart een fake incheck-record te geven wat bij controle in de trein nog niet gedetecteerd wordt.

Berichtgeving: Info op ov-chipkaart.org: Ik heb het nieuws hierover even neutraal aangekeken, maar dit zijn natuurlijk ook dingen waar ik een Mening™ over heb.

Translink systems blijft op een naïeve manier volhouden dat er niets aan de hand is. Eerst met beweren dat het allemaal heel theoretisch is en dat fraude heel snel gedetecteerd wordt. En nu blijven ze volhouden dat fraude verboden is en dus niet voorkomt. Te hard rijden is ook verboden, toch gebeurt het.

In een ideale wereld vervangt Translink systems de OV-chipkaart nu door iets veiligers wat verbeteringen brengt voor de reiziger, zowel kwa privacy als kwa gebruiksgemak. Een systeem waarbij minimale gegevens opgeslagen worden en zo snel mogelijk aggregatie toegepast word. En tegelijkertijd hoeft de reiziger niet vantevoren te bedenken wat het ideale reisproduct is voor zijn reisbehoefte maar achteraf wordt de beste aanpak berekend. Ja dit zijn tegenstrijdige eisen, maar voor de bedragen die er in Translink systems gestopt zijn kunnen ze ook wat hele knappe koppen inhuren om dat op te lossen. Oh, en met een rfid kaart die wel gewoon leesbaar is zodat de gebruiker z'n eigen kaart kan lezen en het saldo kan zien (en reishistorie) zonder dat daarvoor de kaartautomaat of het loket opgezocht hoeft te worden.

Tags: , ,
2011-01-17 (#) 10 years ago
Mooie opmerking van Arnoud Engelfriet in de Kroniek van het Internetrecht in 2010 :
Journalistiek verantwoord kraken leidde tot een blafbrief van TLS: wij houden u in de gaten. Maar dat wisten we al: daar is de OV-chipkaart immers voor gemaakt.

Tags: , , ,
2011-01-12 (#) 10 years ago
In between other stuff I also found time to play with the touchatag rfid reader I ordered.

Some of the things which got me interested which I previously did not mention:

After an article in the Dutch magazine PC-active how easy it is to access your data on the ov-chipkaart people (naturally) got interested again. People on the site www.ov-chipkaart.org started decoding the card. Resulting in a wiki with all known data on the ov-chipkaart decoded which got implemented as open-source scripts to decode and view your own ov-chipkaart dump. Including lists of known station numbers.

In true open-source style: a lot of cooperation (browse the comments on the ov-chipkaart.org site to see this happen) and people sharing the tools they wrote so other people can improve them.

The next implementation of the ov-chipkaart with better security, positive effects for the traveller and improved privacy for the traveller can learn from this. Give people access to their own data (and not just through a crappy website) and learn from projects like the one above. Transportation rfid cards from other countries also get decoded, read for example Public transportation passes and their secrets

Tags: , ,
2011-01-05 (#) 10 years ago
Trans Link Systems houdt hardnekkig vol en gaat de OV-chipkaart als betaalpas testen. Vijfhonderd medewerkers mogen in een test de OV-chipkaart gebruiken om te betalen in diverse winkels op station Amersfoort waar het kantoor van TLS staat: OV-chipkaart getest als betaalpas - nu.nl.

Mijn eerste gedachte bij het lezen is 'TLS heeft dus meer dan 500 medewerkers? en levert nog dit resultaat?'. Maar dat terzijde. Het bericht is ook te lezen alsof het om 500 NS medewerkers gaat.

Ondanks de bekende problemen met de veiligheid van de OV-chipkaart gaan ze dus hardnekkig door op deze basis. Grote kans dus dat er een herhaling komt van wat er in Taiwan al voorspeld is en toch ook doorging en nu fraudegevoelig blijkt: Unsmart Investments in Smartcards - Wired Threat Level. Ik voorspel vergelijkbare problemen als de ov-chipkaart als betaalkaart doorzet als niet eerst op iets veiligers dan mifare classic overgegaan wordt. En als je toch iets beters doet, pak dan gelijk de privacy aan.
Update 2011-01-06 : Webwereld meldt het iets leesbaarder: het gaat om 500 medewerkers van de Nederlandse Spoorwegen NS test OV-chipkaart als betaalpas - Webwereld met (natuurlijk ..):
Officieel is het niet bekend waarom DNB alleen een beperkte toestemming aan de OV-chipkaart gaf. Volgens de SP gebeurde dit omdat de OV-chipkaart kampt met een gebrekkige beveiliging. Gebruikers kunnen de gegevens op de kaart namelijk eenvoudig uitlezen of zelfs aanpassen.
Uitlezen zou ik niet als fout willen zien (het zijn gegevens over mij, daar wil ik toegang toe!) maar met aanpassen is fraude mogelijk.

Tags: , ,

IPv6 check

Running test...
, reachable as koos+website@idefix.net. PGP encrypted e-mail preferred. PGP key 5BA9 368B E6F3 34E4 local copy PGP key 5BA9 368B E6F3 34E4 via keyservers

RSS
Meningen zijn die van mezelf, wat ik schrijf is beschermd door auteursrecht. Sommige publicaties bevatten een expliciete vermelding dat ze ongevraagd gedeeld mogen worden.
My opinions are my own, what I write is protected by copyrights. Some publications contain an explicit license statement which allows sharing without asking permission.
Other webprojects: Camp Wireless, wireless Internet access at campsites, The Virtual Bookcase, book reviews
This page generated by $Id: newstag.cgi,v 1.34 2020/12/31 15:36:31 koos Exp $ in 0.037758 seconds.