Digitaal Onderzoek Nieuws

Nieuw laboratorium Unit 10 in Hilversum (5 juli 2011)
Permalink

Vanwege aanhoudende vraag naar digitale ondersteuning door de overheid, bedrijfsleven, advocaten en recherchebureaus zal Unit 10 deze zomer een nieuw forensisch laboratorium in gebruik gaan nemen in het hart van het digitale knooppunt in het Gooi. De uitbreiding van de forensische laboratoriumcapaciteit zal binnenkort plaatsvinden op het Mediapark in de torens van de 'Media Gateway' naast het onderkomen van RTL Nederland.

Deze uitbreiding biedt behalve meer ruimte voor onderzoeksmateriaal in de nieuwe 'clean room' ook meer faciliteiten en ondersteuning voor de klanten en relaties van Unit 10. De Gateway staat garant voor een discrete en beveiligde ontvangst en biedt vergaderruimtes in de unieke en dynamische omgeving van de 'nieuwe' media op het Mediapark in Hilversum. Mediageniek dus!

Voor meer informatie over de uitbreiding van Unit 10 en mogelijkheden met betrekking tot uw onderzoeken kunt u contact met ons opnemen op de door u gewenste wijze.

ABN AMRO, Big Brother awards (10 maart 2011)
Permalink

De Nederlandse overheid en hun plannen waren gisteren de grote winnaars tijdens de Big Brother Awards. Dit is een door Bits of Freedom in het leven geroepen awards. Deze awards zetten personen, bedrijven, overheden en voorstellen in het sportlicht die het afgelopen jaar controle op burgers en inbreuken op privacy hebben bevorderd. Genomineerd in de categorie bedrijven was o.a. de ABN AMRO, naar aanleiding van het onderzoek en nieuwsbericht van Unit 10 over de  uitgedeelde rode kaart. De award voor bedrijven werd -uiteraard- gewonnen door Trans Link Systems, omdat ze de oplevering van de OV-Chipkaart doorzetten, 'ondanks de vele constateringen dat de kaart onherstelbaar kapot', aldus Bits of Freedom. ABN AMRO heeft inmiddels gereageerd op de nominatie en de uitslag middels het nieuwsbericht 'Geen Big Brother award'. Het nieuwsbericht van de ABN AMRO is typisch het werk van een onvolledige. door enig kennis gehinderde communicatiemedewerker en zo blijven de onderstaande standpunten overeind:

1. Dé bank stelt bezoekers van de (beveiligde) website niet in de gelegenheid om een keuze te maken of deze wil deelnemen aan het verzamelen van gegevens.

2. De ABN AMRO werkt zelf actief mee aan het verzamelen van gegevens, stuurt deze geautomatiseerd door naar Omniture (derden dus!) en neemt vervolgens afstand van verantwoordelijkheid door derden uit te sluiten in de eigen privacy verklaring

3. ABN AMRO voldoet met het doorsturen vanaf de beveiligde website niet aan de richtlijnen voor het gebruik van veilige EV certificaten

4. Het verzamelproces is niet transparant; wat verzamelt de ABN AMRO, Ilsemedia en Omniture aan gegevens over u?

Klap op de vuurpijl in het nieuwsbericht is de mening van de communicatiemedewerker, deze is van mening dat het heimelijk verzamelen van gegevens van klanten op een beveiligde bancaire website gelijk staat aan het verzamelen van verkeersgegevens van een website als Tros Radar of Unit 10. Dat is waar, Omniture is een gewone en betrouwbare leverancier van webanalytics software, aldus ABN AMRO in het nieuwsbericht. Neem privacy nu graag wél serieus ABN AMRO en verdiep je nog eens in de openstaande punten!

Voor meer informatie: download of lees het uitgebreide Juryrapport 2010 (PDF) van Bits of Freedom.
 

Criminelen kapen Nederlandse bankdomeinen (23 juli 2010)
Permalink

Internetcriminelen gaan steeds effectiever en efficiënter te werk als het gaat om het versturen van valse e-mailberichten die tot doel hebben uw persoonlijke gegevens te onderscheppen. Deze z.g.n. phishing e-mailberichten zijn veelal in het Engels opgesteld, maar de laatste jaren verschijnen er steeds meer phishing berichten die in de Nederlandse taal zijn opgesteld. De phishing e-mailberichten zitten vaak vol taal en grammaticale fouten, maar worden langzaam maar zeker toch steeds beter geformuleerd en geloofwaardiger.

Een van de middelen die de geloofwaardigheid moeten bevorderen is de legitimiteit en herkenbaarheid die de hyperlink met zich mee moet brengen. Daar waar tot voor kort nog in een phishing mail werd verwezen naar een niets zeggende link als http://go.to/banklogin.asp wordt steeds vaker de herkenbaarheid van een werkelijke link gebruikt. Zo werd de afgelopen week in een nepmail die afkomstig leek te zijn van de ING Bank het domein mijningonline.com gebruikt. Dat dit geval niet op zichzelf staat bleek uit een onderzoek dat Unit 10 naar het gebruik van deze domeinen deed.

Opvallen aan bovenstaand lijstje is dat de criminelen blijkbaar nog niet bekend zijn met de naamswijziging van de Postbank en anderzijds de interactieve 'Mijn' omgeving door de criminelen ontdekt is. Overigens hebben de internetcriminelen het niet alleen op bankdomeinen voorzien, zo werd de eind juni ook een domein dat ogenschijnlijk aan de Staatsloterij toebehoorde gekaapt. Het domein mijnstaatsloterij.com werd op 27 juni 2010 via Moniker Online Service Inc. gekaapt en op 1 juli 2010 weer in de 'grace period' van de hand gedaan. De gebruiker van dit domein heeft ongetwijfeld slechte bedoelingen met het domein gehad. Op advies van Unit 10 is het domein mijnstaatsloterij.com en destaatsloterij.com sinds 21 juli 2010 overgedragen aan de rechtmatige eigenaar, de Nederlandse Staatsloterij. Het registreren van domeinen die gerelateerd zijn aan de naam van een Nederlandse bank lijkt een trend aan het worden. Het blijft voor financiële instellingen een uitdaging om de criminelen vóór te blijven en te blijven investeren in goede voorlichting en bescherming voor de klanten.

Phishing: Google Apps Engine actief misbruikt (28 februari 2010)
Permalink

Unit 10 heeft ontdekt dat Internetcriminelen een nieuwe methode gebruiken om uw gebruikersnaam en wachtwoord te stelen. De door Unit 10 ontdekte variant wordt op dit moment vooral gebruikt voor het stelen van login gegevens van Twitter accounts.

Op dinsdag 23 februari 2010 werd onder andere het Twitter account van de in Afghanistan verblijvende NOS-verslaggever Peter Ter Velde gehackt. Via het Twitter account van Peter ter Velde werden vervolgens 'Direct Messages' (DM) verstuurd naar de volgers van zijn account. In het DM bericht was een link geplaatst naar een geprepareerde webpagina. Twitter werd hierbij als springplank gebruikt met als doel zoveel mogelijk internetbezoekers naar een geprepareerde website te leiden die tot doel heeft uw bank- of creditkaartgegevens of andere persoonlijke gegevens te stelen. Unit 10 heeft middels reverse engineering een nieuwe phishing methode weten te herleiden naar de Google Apps Engine, die mogelijk ook voor deze aanval verantwoordelijk is.

De phishing aanval

Als u bijvoorbeeld zoekt met Google op het woord "Googlemaps", ziet tussen de resultaatlijst een link staan naar een Twitter account van Googlemaps. Indien u als bezoeker deze link gebruikt, komt u op een niet van echt te onderscheiden Twitter pagina van Twitteraar 'Googlemaps', sterker nog, dit ís de webpagina van Twitteraar 'Googlemaps', maar dan een exacte 'real-time' kopie in de cloud van Google op het Google domein appspot.com. Wanneer u meer wilt lezen, dan zult u wel nog even rechtsboven moeten inloggen op deze pagina. Het zal u of een willekeurige andere bezoeker niet snel opvallen dat de URL in de adresbalk niet klopt en dat het hier eigenlijk om een phishing pagina gaat, aangezien de pagina een exacte -interactieve- kopie is van de echte pagina van deze twitteraar. Indien u inderdaad kiest voor de 'Login' optie en via de volgende pagina uw gebruikersnaam en wachtwoord invoert en vervolgens op 'submit' klikt worden uw gegevens niet naar Twitter gestuurd, maar worden deze ongewenst naar de criminele organisatie verstuurd middels het "signin_submit" commando. Middels deze diefstal van uw gebruikersnaam en wachtwoord worden vervolgens binnen luttele seconden nieuwe boodschappen verstuurd uit uw naam naar uw twittervrienden. Dit alles dankzij de mogelijkheden die Google Apps Engine te bieden heeft.

De rol van Google

Ontwikkelaars van webapplicaties kunnen zich met een Google Account aanmelden om een Software Develop Kit (SDK) te downloaden en een eigen applicatie te ontwikkelen, ervaringen en problemen delen met andere ontwikkelaars om uiteindelijk met behulp van de Google Apps Engine de eigen applicatie online te brengen op het Internet. Deze webapplicaties kunnen in de Google cloud geplaatst worden en ontsloten worden via het domein appspot.com van Google. Het ongewenste effect van deze methode is echter dat er ook minder frisse ontwikkelaars blijkbaar ongehinderd hun gang kunnen gaan en heeft Unit 10 inmiddels 4 dubieuze applicaties aangetroffen die het allen voorzien hebben op uw Twitter inloggegevens. Het gaat hierbij om de 'webapplicaties' retwite, sterol-guchun, 7920074 en wenbingintwitter, waarbij de homepage identiek is aan die van Twitter, maar met het adres http://retwite.appspot.com.  Deze webapplicaties komen echter niet voor in de officiële Google Apps Engine Gallery met als zoeksleutel de tags 'Twitter' of 'Proxy'. 

Oplossing

Door het ontbreken van deze applicaties in de officiële lijst van Google Apps is de meest voor de hand liggende waarschijnlijkheid dat het hier gaat om een nieuwe methode van phishing. Theoretisch zou het mogelijk zijn om een dergelijke webapplicatie te bouwen die als proxy fungeert, zoals deze ontwikkelomgeving vermeldt, maar dan nog zou de gekozen methode van exacte kopie een ongewenste zijn, de bezoeker kan immers niet weten dat het hier om een betrouwbare proxy webapplicatie gaat. Voor de Google Apps omgevingen van http://sterol-guchun.appspot.com, http://7920074.appspot.com en http://wenbingintwitter.appspot.com is in ieder geval geen publieke documentatie te vinden en waarschuwt Twitter zelf ook voor phishing sites als deze.

Aktie voor Google! Notice and take down! Tot het moment dat Google aanvullende maatregelen heeft getroffen op de Google Apps Engine adviseert Unit 10 zo spoedig mogelijk op FireFox over te stappen met diverse Add-ons als NoScript, Ghost, Better Privacy en meer om de volgende veilige melding te krijgen bij het per ongeluk bezoeken van een pagina die een cross-site-scripting aanval uitvoert:

NB. Wie behoefte heeft aan materiaal voor onderzoek zoekt verder via een zoekmachine o.a. zoeken op de string -") on twitter" inurl:.appspot.com/-

Internetbankieren: Rode kaart voor dé Bank (24 februari 2010)
Permalink

ABN AMRO wisselt sneller dan Sven Kramer op de Olympische tien kilometer baan en dat betekent wat deze dagen! Na jaren van navelstaren lijkt dé Bank nu sneller als ooit te reageren op wensen en adviezen van klanten,  de adviezen met betrekking tot de ontbrekende veiligheidsaspecten van het Internetbankieren bij dé Bank in het bijzonder. ABN AMRO is duidelijk met een inhaalslag bezig met een team van webanalisten. Afgelopen vrijdag schonk Unit 10 ruimschoots aandacht in dit artikel aan het ontbreken van een groene balk en het gebruik van SSLv3 certificaat met Extended Validation. Nog geen drie dagen later heeft ABN AMRO het certificaat van de plank getrokken en op maandag 22 februari 2010 operationeel gezet! Dat is nog eens een snelle actie van het webteam van ABN AMRO en verdient grote waardering. Dat het plaatsen van het certificaat hard nodig was blijkt wel uit het feit dat het certificaat dateert van 3 augustus 2009 en het dus ruim 7 maanden op de plank heeft gelegen voordat het operationeel gezet is op maandag 22 februari 2010.

Ondanks deze 'quick win' voor ABN AMRO blijft de rode kaart voor privacy nog van kracht. De situatie is in 2010 verder verslechterd dan deze in het verleden is geweest aangezien ABN AMRO door een wijziging in de broncode van de website nog minder transparant is geworden. Vorig jaar meldde Unit 10 dat ABN AMRO tijdens het inlogproces rond internetbankieren op een onveilige manier statistieken verzamelde door deze over een onversleutelde verbinding door te sturen naar derde partij Omniture. Plug-ins als 'No-script' en 'Ghostery' voor de FireFox browser brachten de aanwezigheid van deze heimelijke én onveilige manier van statistiekverzameling aan het licht. Inmiddels heeft ABN AMRO het verzamelen van statistische gegevens verder verstopt in de broncode zodat de plug-ins geen alarm meer slaan op de aanwezigheid van onveilige en ongewenste scripts, maar uw gegevens worden nog steeds illegaal verzameld en aan derden verstrekt! Het gebruik van SiteCatalyst wordt daarnaast ook nog eens verheerlijkt door ABN AMRO middels deze video in het publieke domein.

Bij het bezoeken van de website van ABN AMRO wordt een complete set van scripts op de websitebezoeker afgevuurd, dat er onder andere voor zorgt dat er een tiental cookies wordt geladen. Deze cookies zijn niet alleen van ABN AMRO, maar ook van Ilsemedia en 2o7.net. De eerste cookies, van Ilsemedia met de namen 'wlrcmd' en 'wlid' worden op het publieke gedeelte van de website gebruikt van de ABN AMRO en de tweede cookie, met de naam 's_vi_hkghdx7Bfge' is van 2o7.net (Omniture) en wordt gebruikt door ABN AMRO op de beveiligde pagina's van het internetbankieren. De cookie van 2o7.net zorgt er voor dat uw gegevens worden doorgestuurd middels het ABN AMRO script naar een server van Omniture, een dochterondernemening van Adobe. Uw gegevens worden middels de software SiteCatalyst door ABN AMRO beschikbaar gesteld aan derde partij Omniture terwijl u niets vermoedend en in alle vertrouwen uw financiële transacties verricht. Deze cookie blijft maar liefst 5 jaar actief op uw PC, indien u deze niet regelmatig schoont!

Voor het gebruik van de website heeft ABN AMRO wel een privacyverklaring beschikbaar, maar daarin verklaart de bank "Dit Privacy Statement is niet van toepassing op internetsites van derden die door middel van links met deze internetsite zijn verbonden." ABN AMRO begaat hiermee vier grove fouten die niet bijdragen aan het vertrouwen en de transparantie die een klant van de bank mag verwachten:

1. Dé bank stelt websitebezoekers niet in de gelegenheid om een keuze te maken of deze wil deelnemen aan het verzamelen van gegevens.

2. Dé bank werkt zelf actief mee aan het verzamelen van deze gegevens, stuurt deze geautomatiseerd door naar derden en neemt vervolgens afstand van het doorsturen in de privacy verklaring

3. ABN AMRO voldoet met deze handelswijze niet aan de richtlijnen voor het gebruik van veilige EV certificaten

4. Het verzamelproces is niet transparant; wat verzamelt de ABN AMRO, Ilsemedia en Omniture aan gegevens over u en ons?

Advies aan ABN AMRO

Unit 10 adviseert ABN AMRO dan ook zo spoedig mogelijk maatregelen om bovenstaande misstanden helder te krijgen. Onderdeel van het pakket van maatregelen zou wat Unit 10 betreft moeten zijn: afscheid nemen van Omniture, in ieder geval voor wat betreft het beveiligde deel van de website, het internetbankieren. Het wordt er door diverse adviserende partijen wordt afgeraden om de websites van Omniture (2o7.net) te bezoeken, bijvoorbeeld door Web of Trust. Bovendien kunt u zich afvragen of de door Omniture wel zo veilig opgeslagen worden, zo worden uw gegevens van de ABN AMRO website verstuurd naar een webserver die minimaal 2187 verschillende klanten bedient. Zo staan uw financiële verkeersgegevens in dezelfde omgeving als die van een Russische poker website en andere dubieuze buren op de webserver van Omniture. Naar verwachting zal ABN AMRO geen gehoor geven aan de oproep van Unit 10 om Omniture de rug toe te keren, daarom doet Unit 10 in ieder geval ABN AMRO een dringend advies om minimaal de volgende tekstpassage op te nemen in het privacy statement van de websites en is het lot in handen van de websitebezoekers:

Advies aan ABN AMRO klanten

Aangezien ABN AMRO langer de tijd nodig zal hebben om maatregelen te treffen dan het operationeel zetten van een SSLv3 EV certificaat adviseert Unit 10 bezoekers van de websites van ABN AMRO die gesteld zijn op hun privacy per direct zelf maatregelen te treffen. Bij deze maatregelen zult u een afweging moeten maken tussen gemak en techniek. Unit 10 aanvaardt geen aansprakelijkheid voor foutief uitgevoerde aanpassingen aan uw PC die het gevolg zijn van onderstaand advies, raadpleeg voor het aanpassen van het register en uw PC de websites van Microsoft.

Maatregel 1 - Indien u vertrouwt op de blauwe ogen van Omniture heeft Omniture een mogelijkheid om een cookie te installeren die er voor moet zorgen dat uw gegevens niet verzameld worden. In vaktermen betreft dit een opt-out methode. Voordeel van deze methode is dat u het eenvoudig kan uitvoeren zonder verdere technische kennis. Nadeel is dat uw browser zo ingesteld moet zijn dat cookies bewaard worden anders bent u genoodzaakt periodiek deze opt-out optie uit te voeren. Belangrijkste nadeel van deze maatregel is dat dit proces niet transparant is en dus niet kunt controleren of u daadwerkelijk niets verstuurd naar Omniture.

Maatregel 2 - Deze maatregel vereist enige kennis van het bestand 'hosts' zoals aanwezig op Windows systemen in de map C:\WINDOWS\SYSTEM32\DRIVERS\ETC. Pas dit bestand aan volgens onderstaand model aan en alle verzamelde informatie die naar Omniture gestuurd zou moeten worden verdwijnt nu in het 'zwarte gat' op uw eigen PC. Voordeel is dat u zelf controle heeft over waar uw gegevens naar toegestuurd worden. Nadeel is dat indien ABN AMRO of Omniture de URL wijzigt u alsnog gegevens naar Omniture verstuurd.

# Copyright (c) 1993-1999 Microsoft Corp. # # Dit is een voorbeeld HOSTS-bestand dat wordt gebruikt door Microsoft TCP/IP for Windows. # # Dit bestand bevat de toewijzingen van IP-adressen naar hostnamen. Elke vermelding # moet op een afzonderlijke regel staan. Het IP-adres dient in de eerste kolom te worden # geplaatst, gevolgd door de bijbehorende hostnaam. Het IP-adres en de hostnaam dienen # gescheiden te zijn door ten minste één spatie. # # Daarnaast kunnen opmerkingen (zoals deze) worden toegevoegd op extra # regels of gevolgd door de computernaam, voorafgegaan door een #. # # Bijvoorbeeld: # # 102.54.94.97 rhino.acme.com # bronserver # 38.25.63.10 x.acme.com # x clienthost 127.0.0.1 dc2.122.2o7.net 127.0.0.1 abnamronl.122.2o7.net

NB. Gebruikers van de Firefox browser hebben tevens de mogelijkheid om alleen cookies van de originele website te accepteren, waarmee in algemene zin het plaatsen van drive-by cookies onmogelijk gemaakt wordt. Gebruikers van Internet Explorer hebben deze mogelijkheid ook. Toch geeft Unit 10 de voorkeur aan maatregel 1 of 2 aangezien deze op een hoger niveau de toegang tot 2o7.net blokkeert en eventuele updates van FireFox of Internet Explorer je instellingen ook niet aanpast.

Maatregel 3 - Deze maatregel kunt u doorvoeren indien u beschikt over kennis van het Windows Regiser en maatregel 2 niet uitvoert of als extra maatregel. Hiervoor maakt u met Notepad een nieuw tekstbestand en plaatst daar de onderstaande tekst in. Vervolgens slaat u het bestand op met een *.reg extensie en maakt het actief door er op te klikken en daarmee het bestand in naar het Windows Register te kopiëren. Voordeel is dat u zelf controle heeft over waar uw gegevens naar toegestuurd worden. Nadeel is dat indien ABN AMRO of Omniture de URL wijzigt u alsnog gegevens naar Omniture verstuurd.

Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\2o7.net] @=dword:00000005 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\122.2o7.net] @=dword:00000005 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\dc2.122.2o7.net] @=dword:00000005 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\abnamronl.122.2o7.net] @=dword:00000005 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\66.235.142.2] @=dword:00000005 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\66.235.142.3] @=dword:00000005

Relevante links bij dit artikel:

College Bescherming Persoonsgegevens
Internationaal vastgestelde eisen Extended Validation Certificaten
Web of Trust
FireFox browser add-ons voor Privacy & Beveiliging

Internetbankieren: Gele kaart voor ontbreken groene adresbalk (19 februari 2010)
Permalink

Klanten van Nederlandse banken worden de laatste weken meer dan ooit geteisterd door internetcriminelen middels z.g.n. phishing mailberichten versturen. Dit zijn criminele e-mailberichten die ondanks foutief Nederlands taalgebruik ogenschijnlijk afkomstig lijken te zijn van uw bank of creditcardmaatschappij. Doel van deze mailberichten is u naar een gefingeerde en geprepareerde website te lokken die ook weer ogenschijnlijk van uw bank of creditkaartmaatschappij lijkt te zijn en enkel tot doel heeft uw gegevens te stelen en daarmee uw bankrekening te plunderen.

Terwijl de Nederlandse Vereniging van Banken middels campagnes als '3x kloppen' consumenten dicteert waar wij ons als consumenten aan 3 regels moeten houden bij het internetbankieren, laat de vereniging steken vallen als waar het gaat om de één belangrijke vraag voor de consument: ben ik veilig verbonden met de enige echte website van mijn bank? 

Voor een antwoord op deze vraag is er sinds juni 2007 een specifiek certificaat beschikbaar, het Extended Validation (EV) SSL certificaat. Het SSLv3 EV certificaat is uitgebreid gevalideerd volgends de EV standaard. Dit betekent dat de certificeringinstantie heeft bevestigd dat de website toebehoort aan of wordt beheerd door een onderneming die voldoet aan de wettelijke regelingen in het rechtsgebied (het land waar dit bedrijf gevestigd is) dat in het certificaat en op de adresbalk wordt vermeld. Extended Validation certificaten zijn gebaseerd op een uitgebreide set van organisatie en domein controles. Zo worden voor het Nederlandse rechtgebeid de gegevens van de Kamer van Koophandel, het Nederlandse domeinregister SIDN, de telefoongegevens en de persoonlijke gegevens van de aanvrager geverifieerd en vergeleken. Alleen wanneer een organisatie alle controles heeft doorlopen wordt een Extended Validation SSL certificaat uitgegeven. Extended Validation SSL certificaten kenmerken zich voor een websitebezoeker door de oplichtende groene adresbalk in de webbrowser. Door het afbeelden van de organisatienaam en de uitgevende instantie is een bezoeker in staat om in één oogopslag te zien of de getoonde website inderdaad het origineel is en niet een gekopieerde phishing website. Dit in tegenstelling tot een SSLv2 beveiligde website waar slechts een klein niet geverifieerd slotje zichtbaar is in de browser.

Nevenstaand een voorbeeld hoe een SSLv3 EV zichtbaar is in Internet Explorer - mits SmartScreen filter ingeschakeld - en een Firefox browser, daaronder een voorbeeld hoe het niet wenselijk is bij beveiligde transactionele financiële website, de verouderde SSLv2.

Dat de NVB, de Nederlandse Vereniging van Banken, dit niet communiceert is onbegrijpelijk in een tijd dat phishing naar uw bankgegevens aan de orde van de dag is. Het is echter wel verklaarbaar. Tijdens een rondgang langs de websites van de top 25 van Nederlandse banken door digitaal recherchebureau Unit 10 blijkt er namelijk één bank hardnekkig zijn verantwoordelijkheid in deze niet te nemen. De Nederlandse staatsbank ABN AMRO heeft namelijk nog altijd géén SSL klasse 3 certificaat met Extended Validation. Dit maakt de klanten van ABN AMRO bank die beschikken over internetbankieren extra kwetsbaar, de websitebezoeker heeft immers geen zekerheid dat hij verbonden is met dé bank. De reden waarom de ABN AMRO nog altijd niet is overgeschakeld op SSLv3 EV zit hem waarschijnlijk in het feit dat ABN AMRO voor webanalyse gekozen heeft voor een onveilige kruisverbinding met de niet beveiligde SiteCatalyst website van Omniture, waar Unit 10 in december 2009 melding van maakte.

Opvallend detail in deze is dat ABN AMRO een privacyverklaring beschikbaar heeft, maar daarin verklaart "Dit Privacy Statement is niet van toepassing op internetsites van derden die door middel van links met deze internetsite zijn verbonden." Digitaal Recherchebureau Unit 10 vindt deze manier van handelen misleidend en onrechtmatig. Hoe kan een websitebezoeker vermoeden dat zijn of haar verkeersgegevens worden doorgesluisd naar derden? Het is slecht één op de vijfhonderdduizend bezoekers die wellicht de broncode van een website raadpleegt! Hoog tijd dat dé Bank de beveiliging én privacy van de klant serieus gaat nemen en zich verdiept in de richtlijnen voor het gebruik van veilige EV certificaten en het vertrouwen in de bank belangrijker gaat vinden dan de look en feel van de website en de methodes hoe er meer omzet is te genereren.

Voor ABN AMRO dus een rode kaart voor privacy en een gele kaart voor het niet gebruiken van de groene adresbalk!

Relevante links bij dit artikel:

Informatie van Microsoft of het gebruik van de groene adresbalk
College Bescherming Persoonsgegevens
Internationaal vastgestelde eisen Extended Validation Certificaten
SSL Certificaten informatie

UPDATE maart 2010: ABN AMRO de procedure aangepast! De groene balk en het SSLv3 EV certificaat heeft ook bij ABN AMRO zijn intrede gedaan. Uitstekende reactie ABN AMRO, nu de statistieken nog op orde krijgen.....

 

Oproep aan Microsoft: audit trail in Windows Live! (27 november 2009)
Permalink

Digitaal Recherchebureau Unit 10 krijgt steeds vaker het verzoek om een MSN, Hotmail of Windows Live e-mailaccount te onderzoeken op misbruik door derden. Uiteraard voldoet Unit 10 aan de wens van de klant om ongeautoriseerde mailbox 'hacker' op te sporen en slaagt daar bijna altijd in. Internet server providers (ISP) kunnen echter een belangrijke bijdrage leveren aan een voor de klant transparant proces en handige audit tools toevoegen zodat de mailbox eigenaar zelf kan controleren of zijn of haar mailbox ongewenst bezoek heeft gehad de afgelopen periode.

De minimum variant zou moeten bestaan als een melding van 'last logon' en hierbij een vermelding van datum, tijd en ip-adres. In de uitgebreide variant zou er een historie te zien moeten zijn van logging van de afgelopen maand of week. Behalve de wereldwijd veel gebruikte omgeving van Microsoft MSN, Live en Hotmail omgeving kunnen ook de Nederlandse ISP's een bijdrage leveren aan een meer veilige webomgeving voor hun klanten.

Speciaal een dringende oproep voor de veiligheid van de gebruikers aan het Windows Live Hotmail Product Development Team:

Make the last logon date, time stamp and ip-address visible for your users!

Uiteraard kunnen gedupeerden van een gehackte MSN, Hotmail of Windows Live mailbox contact opnemen met digitaal recherchebureau Unit 10 om de dader te achterhalen of rechtstreeks contact opnemen met Microsoft als er géén interesse is voor de dader(s).

BKR-toetsing bij sollicitatie: onrechtmatig en oneigenlijk (27 september 2009)
Permalink

Unit 10 raakt in de wereld van het digitale recherche vaak de analoge wereld en stuit dan op merkwaardige situaties in risicobeheersing en het toepassen van maatregelen. Risicomanagement is niet meer weg te denken in de huidige bedrijfsvoering. Dit geldt ook voor het specifieke vakgebied van recruitment, of in normaal Nederlands, de werving en selectie van personeel. Nederlandse werkgevers lijken de uit Verenigde Staten overgewaaide trend van het selecteren van personeel op basis van hun financiële verplichtingen in toenemende mate toe te passen. Unit 10 maakt zich ernstig zorgen over de privacy van betrokken sollicitanten en bestempelt het handelen van deze werkgevers als oneigenlijk en onrechtmatig.

“Een BKR toetsing, waarmee de kandidaat akkoord moet gaan” is één van de selectiecriteria van een bank en van een willekeurige verzekeraar. Deze bedrijven zijn transparant over het selectiebeleid, maar de meeste bedrijven in de financiële- en verzekeringssector vermelden slechts dat Pre Employment Screening (PES) onderdeel uitmaakt van de selectieprocedure en worden sollicitanten pas in het traject geconfronteerd met een BKR-toetsing tijdens een gesprek. De Wet op het financieel toezicht (Wft) voorziet niet in regels m.b.t. een betrouwbaarheidsonderzoek of personele kwalificaties. Blijkbaar zijn banken en verzekeraars, die voor toezicht onder de Autoriteit Financiële Markten (AFM) en De Nederlandse Bank (DNB) vallen, van mening dat die betrouwbaarheid getoetst moet worden middels een BKR-toetsing bij Stichting Bureau Krediet Registratie en schuilen zich daarbij alsof de AFM of DNB het dit verplicht.

Banken voeren, aangezien ze zelf deelnemer zijn van het onafhankelijke BKR, de toetsing vaak zelf uit, maar mogen dit in feite niet, aangezien het register een afwijkende doelstelling heeft. Verzekeraars zijn echter afhankelijk van de sollicitant zelf en zullen deze verzoeken een zelftoetsing aan te vragen bij de BKR. Weigering op dit punt vormt dan een ook reden om betreffende sollicitant niet in dienst te nemen.

De BKR-toetsing wordt hiermee oneigenlijk en onrechtmatig gebruikt. De BKR-toetsing heeft namelijk tot doel het bevorderen van een maatschappelijk verantwoorde dienstverlening op financieel gebied door het leveren van een bijdrage aan het beperken van krediet- en betaalrisico's voor de bij BKR aangesloten deelnemers en door het leveren van een bijdrage aan het voorkomen van overkreditering en andere problematische schuldsituaties bij betrokkenen. De BKR-toetsing is niet proportioneel en subsidiair indien deze wordt ingezet bij het beoordelen van een sollicitant. Sergeant detail is dat de financiële dienstverlener zelf de doelstelling van BKR-toetsing wél zou moeten weten, getuige de toetsterm 3k.2 van module Consumptief Krediet en 6a.1.3 van de Basis module van het Wft examen: " De kandidaat kan de procedure en werkwijze van het Bureau Krediet Registratie (BKR) alsmede van het Verificatie Informatie Systeem (VIS) en de Externe Verwijzing Applicatie ( EVA) uitleggen."

Een aangesloten deelnemer van BKR, bijvoorbeeld een bank of andere kredietverstrekker, zou door deze bevraging voorbij gaan aan het doel waarvoor dit register in feite bedoeld is. De BKR Score heeft tot doel of er een hoog of laag risico wordt verwacht als de deelnemer u een krediet verstrekt. Het is dan ook dubieus te noemen dat deze toetsing bij sollicitaties wordt ingezet. Verzekeraars zijn geen deelnemer van BKR en hebben om die reden een alternatieve route bedacht waarbij de sollicitant zelf zijn of haar gegevens dient op te vragen uit het Centraal Krediet Informatiesysteem (CKI) bij BKR en vervolgens geacht wordt deze BKR Score aan de verzekeraar te overhandigen, mits de sollicitant in aanmerking wil komen voor de vacature.

Bijkomend probleem voor de sollicitant is bovendien het feit dat de deelnemers van BKR niet verplicht zijn elke bijzonderheidcode vermelding in het register met u te communiceren. Dit betekent dat indien u een conflict heeft met uw mobiele telefoon aanbieder en daardoor bijvoorbeeld voorlopig afziet van betaling dit al kan leiden tot registratie van bijzonderheidcode A2 zonder dat u hier kennis van heeft. Indien u bij een bank solliciteert die de BKR-toetsing toepast kunt u dus op basis van deze bijzonderheidcode afgewezen worden zonder dat u hier invloed op heeft. De route bij de verzekeraars maakt dit transparanter doordat u zelf de BKR-toetsing opvraagt, maar bijzonder gênant kan zijn en ook van invloed is op uw carrière. De achterstand (A) en herstelcodes (H) blijven bovendien nog 5 jaar zichtbaar in het register.

Unit 10 pleit dan ook voor het afschaffen van de BKR-toetsing bij sollicitaties door de financiële sector. De Autoriteit Financiële Markten (AFM) zou middels de toepassing van Wet op het financieel toezicht (Wft) en het College Bescherming Persoonsgegevens (CBP) middels de Wet bescherming persoonsgegevens (Wbp) actie kunnen ondernemen, maar primair zouden werkgevers en CAO-partners zelf hun verantwoordelijkheid in deze moeten nemen en de BKR-toetsing per direct uit het pakket van eisen verwijderen. BKR-toetsing zegt weinig over risico’s aangaande de sollicitant, maar des te meer of het ontbreken van goede controlemaatregelen bij de financiële organisaties. Vier ogen principe, General IT en Applicationcontrols zijn effectievere beheersmaatregelen dan jezelf de vraag stellen of elke medewerker wel schuldenvrij is.

Links bij dit artikel:
Autoriteit Financiële Markten
De Nederlandse Bank
College Bescherming Persoonsgegevens
Stichting Bureau Krediet Registratie

Persoonsgegevens ongevraagd op Internet (14 augustus 2009)
Permalink

Terwijl de overheid ons doet geloven dat we veilig internetten zelf in de hand hebben dumpen bedrijven massaal en ongevraagd informatie over ons en onze persoonlijke gegevens op Internet. Als u denkt dat dit u alleen overkomt als u daarvoor zelf actief op Internet moet zijn dan heeft u het mis. De marketing machines draaien op volle toeren en opdrachtgevers en IT-afdelingen hebben geen oog voor de informatiebeveiliging, de beveiliging van uw persoonlijke gegevens, uw privacy, terwijl de Wet Bescherming Persoonsgegevens dit wel van de beheerder van de gegevens vereist. Onderstaand treft u het topje van de ijsberg, 3 voorbeelden die Unit 10 de afgelopen week tegenkwam, de websites van een Frans automerk, een rechtsbijstand verzekeraar en de Stichting Loterijverlies.

De Franse slag in privacy

Wie voor onderhoud of controle van zijn/haar auto naar zijn Franse kwaliteitsdealer gaat wordt deze dagen een 'Privilege Pas' aangeboden voor € 39,95 welke recht geeft op een jaar lang periodieke inspecties, APK, vervangen van defecte verlichting buitenzijde, bijvullen van vloeistoffen, ruitreparatie, bandreparatie, vervangende vervoer en meer. U hoeft alleen maar uw mailadres af te geven, handtekening op een schamel formulier te plaatsen en het bedrag af te rekenen. Voorwaarde voor deelname aan de actie is wel dat u uw mailadres afgeeft. Prima, zo houden ze u op de hoogte van alle bijzonderheden rond het Franse merk. Wat u echter niet weet is dat uw gegevens in een database geplaatst wordt die rechtstreeks in verbinding staat met het Internet. Enkele dagen na uw bezoek aan de garage ontvangt u ongevraagd^* een bericht een e-mail met daarin een gebruikersnaam en wachtwoord . Aan de voorkant van deze database is een onbeveiligde website (http) beschikbaar die u toegang geeft tot die gegevens en dat niet alleen, uw gebruikersnaam én wachtwoord zijn door iedereen die kan typen of klikken zeer eenvoudig te benaderen en als u denkt dat deze informatie tijdelijk is, dan heeft u het weer mis, alle inloggegevens van de deelnemers blijven online staan.

Dat het hier niet alleen om een grove fout gaat van dit Franse automerk blijkt als u creatief gaat zoeken op het Internet, zo staan er talloze persoonlijke digitale welkomstbrieven op het Internet mét uw volledige naam en als u verder zoekt zelfs met inloggegevens. Zo zijn er persoonlijke berichten aan klanten van van Delta Lloyd, Praxis, de Sponsor Bingo Loterij, KPN en Naturisme Totaal (!) terug te vinden.

Contact met medewerkers van het Franse automerk leverde de afgelopen weken geen verbeteringen op in de processen zodat uw gegevens nog steeds onbeveiligd en ongevraagd op Internet terug te vinden zijn. Naam, adres, kenteken van uw auto en de geschiedenis van uw auto staan opgeslagen achter een onbeveiligde website en wie denkt zelf naar de beveiligde omgeving denkt te surfen wordt teleurgesteld vanwege een onbetrouwbaar, ongeldig localhost certificaat en een simpele onafgeschermde mappenstructuur.

Rechtsbijstand verzekeraar

Een van 's lands grootste verzekeraars op het gebied van rechtsbijstand, zo niet dé grootste, heeft een geavanceerd webportal. Geavanceerd aangezien er vele processen voorafgaan aan de mogelijkheid voor een klant om een verzoek tot bijstand in te dienen en een dossier aan te maken om effectief en efficiënt met een jurist te communiceren. Via een beveiligde website (https) met een Class 3 certificaat krijgt de potentiële rechtsbijstand klant de indruk te maken te hebben met een beveiligde omgeving en doet hier zijn verzoek om een account aan te maken. Als alle gegevens zijn ingevuld ontvangt u een tijdelijk account om een zaak aan te melden, is de zaak middels dit account aangemeld dan kan je een eigen dossier aanmaken, waarvoor een nieuw account gecreëerd wordt dat je toegang geeft tot "Mijn Dossier". Alle communicatie loopt dus over een beveiligde SSL verbinding. Niets aan de hand verwacht je als klant want al je juridische, en dus privé zeer gevoelige informatie, wordt versleuteld uitgewisseld met de rechtsbijstandverzekeraar.

Wat u niet weet is dat deze rechtsbijstand verzekeraar echter voor hun processen gebruik maakt van de derde partij die uw gegevens, die u beschikbaar hebt gesteld aan de rechtsbijstandverzekeraar, op een onveilige weblocatie op het Internet heeft geplaatst, die dus voor de hele wereld benaderbaar is via de publieke http poort 80. De enige vorm van beveiliging is een simpele hashwaarde die wordt toegevoegd aan het bestand en zo zijn juridische gegevens van een heel Nederland die een verzoek tot rechtsbijstand hebben ingediend inzichtelijk op de locatie http://[naamverzekeraar].poort80.net/admin/file_index.asp?action=download?file=[hashwaarde_uwbestandnaam]. Na een contact met deze verzekeraar zijn beperkte maatregelen getroffen, of deze maatregelen ook daadwerkelijk betekent dat alle dossiers aan het publieke domein zijn onttrokken is onbekend. Feit is wel dat deze situatie minimaal enkele maanden heeft voortbestaan gezien de cache van zoekmachines. De betrokken derde partij die de data voor deze verzekeraar host bedient meerdere grote klantnamen die zich eveneens zorgen zouden moeten maken.

Loterijverlies wordt megastrop

Actueel is op dit moment de strijd die ontstaan is i.v.m. met uitkering van de Jackpot van de Staatloterij. Zo voert website Loterijverlies.nl een juridische strijd tegen de Staatsloterij. Medestanders van de visie van Loterijverlies kunnen zich aansluiten bij de club in een poging de Staatsloterij te dwingen tot eerlijke communicatie en uitvoering van de Wet op de Kansspelen. Medestanders kunnen zich inschrijven op de website met het achterlaten van tal van persoonlijke gegevens waaronder gebruikersnaam, wachtwoord, adresgegevens én bankrekeningnummer. Dit alles kunt u kwijt op de onbeveiligde website van Loterijverlies en als u meer schade wil lijden dan waarde van een heel Staatslot dan moet u dit zeker doen. Met het invullen van allerlei formulieren met uw persoonlijke gegevens op een onbeveiligde website loopt u een groot risico op identiteitsdiefstal met alle gevolgen van dien. Dat de overheid hiervoor waarschuwt is een zeer goede zaak, maar dat er nog altijd zeer veel bedrijven zijn die het belang van informatiebeveiliging niet inzien is niet te begrijpen en bovendien ook laakbaar. Het zijn immers úw gegevens en elk bedrijf of instelling hoort volgens de Wet Bescherming Persoonsgegevens maatregelen te treffen om uw persoonlijke gegevens te beschermen. Bovendien dient nagenoeg elk bedrijf of instelling dat persoonsgegevens verwerkt een melding te doen aan het register van het CBP. De stichting Loterijverlies heeft het CBP nog geen melding van verwerking van persoonsgegevens doen toekomen en is dat wel verplicht conform de WBP.

In het geval van Loterijverlies lopen de inmiddels 22.000 webaanmelders niet alleen een groot risico dat hun gegevens onderschept zijn geweest of worden, de website is ook nog eens opgebouwd met een kwetsbaar Content Management Systeem (CMS). De beheerders hebben dikwijls geen idee van de broncode van deze software en daarmee vormt het een blackbox, een zwarte doos waarvan alleen beveiligingsbewuste programmeurs en beveiligingsspecialisten de broncode weten te analyseren. In het geval van Loterijverlies.nl is het in ieder geval duidelijk dat niet de laatste security patches zijn toegepast en dat maakt de website kwetsbaar voor aanvallen van internetcriminelen die het op uw privé en bankgegevens voorzien hebben. NIST heeft onlangs nog een waarschuwing doen uitgaan aangaande het e107 CMS-systeem dat bij de Stichting Loterijverlies in gebruik is en het CVE waarschuwt regelmatig voor lekken in de software. Loterijverlies en vele andere Nederlandse bedrijven moeten direct actie ondernemen en alle webformulieren beter te beveiligen door deze achter een met EV certificaat beveiligde website te plaatsen, dit moet de eindgebruikers meer vertrouwen geven. Ondertussen zullen de eindgebruikers zich verdiepen in Veilig Internetten.

Samenvatting

Gebruikers: vul alleen een formulier in als u weet waarvoor de informatie gebruikt wordt en vul alleen een webformulier in als u zich op een beveiligde website bevindt en u zeker bent dat u met het juiste bedrijf of instelling contact heeft (slotje en groene balk).

Website eigenaren: bied formulieren uitsluitend aan achter een EV-certificaat beveiligde website, laat u website door deskundigen bouwen en laat minimaal één keer per jaar een audit op uw website uitvoeren door security experts! 

* Het deelnameformulier van het Franse automerk bij de dealer verwijst niet naar enige voorwaarden voor afgifte van uw gegevens en bevat geen disclaimer. Bovendien verstuurd het Franse automerk in één mailbericht zowel gebruikersnaam als wachtwoord, wat zeer ongewenst en ongebruikelijk is in veilige informatie uitwisseling.

Links bij dit artikel:
Handleiding Bescherming Persoonsgegevens (PDF)
SSL Certificaten informatie
Mijn Digitale Wereld

Gouden bergen in crisistijd (30 januari 2009)
Permalink

Per jaar worden er wereldwijd duizenden mensen voor honderden miljoenen euro’s gedupeerd door West-Afrikaanse fraudebendes. In de loop der jaren hebben de daders zich ogenschijnlijk onbeperkt in Nederland kunnen vestigen en momenteel blijkt Nederland een van de belangrijkste landen van waaruit zij hun fraudepraktijken, beter bekend als Nigeriaanse 419-fraude, naar het betreffende artikel in het Nigeriaanse wetboek van strafrecht, uitvoeren. Ook niet-Nigerianen nemen deel aan dit soort fraude, zoals Russische en Oekraïense bendes. De kern van deze fraude ligt in het feit dat het slachtoffer gouden bergen worden beloofd als hij eerst (relatief) kleine onkosten wil voorschieten.

MessageLabs (Symantec) verwacht dat het aantal pogingen tot oplichting via internet de komende tijd zal stijgen. Volgens het bedrijf zullen oplichters gebruik proberen te maken van de huidige financiële en economische crisis door potentiële slachtoffers te verleiden met 'onweerstaanbare aanbiedingen'. MessageLabs verwachten dat mensen hier vanwege de crisis eerder op in zullen gaan. Het aantal zogenaamde 419-scams, die voornamelijk vanuit Nigeria worden verstuurd, is de laatste tijd explosief gestegen. Eind 2008 bleek dat ook het aantal financiële oplichtingspogingen online verdubbeld was in vergelijking met dezelfde periode vorig jaar (+4,2 procent), terwijl de groei in vergelijking met 9 januari 2008 zelfs 10,2 procent bedroeg.

In oktober 2006 is een opsporingsoffensief gestart tegen dergelijke West-Afrikaanse oplichtersnetwerken. Doel was ‘Nederland onaantrekkelijk maken’ voor de daders, met de nadruk op voorkomen, verstoren en tegenhouden. Met het opsporingsoffensief zijn successen geboekt, echter, kennis en ervaring is momenteel versnipperd in Nederland aanwezig en niet wetenschappelijk verankerd. Daarbij is onduidelijk of de problematiek met het aflopen van het projectmatige offensief nu daadwerkelijk onder controle is.

Bureau Beke, een bureau voor advisering en onderzoek op het gebied van veiligheidsvraagstukken en criminaliteit, voert in samenwerking met de Politieacademie een verkennend onderzoek uit naar West-Afrikaanse fraudedelicten. Het onderzoek speelt in op de aanhoudende vraag vanuit de opsporing naar meer structurele kennis over de achtergronden van de West-Afrikaanse criminele groeperingen. Doel van het onderzoek is dan ook om kennis te genereren over de daders uit de West-Afrikaanse criminele dadergroepen en hun delictpatronen, om hiermee de opsporingspraktijk te ondersteunen bij een meer structurele aanpak van het probleem. Door middel van een literatuuronderzoek en interviews met diverse Nederlandse en internationale deskundigen wordt hiertoe in deze verkenning de basis gelegd.

In het voorjaar van 2009 zal uit dit onderzoek het boek 'Mountains of gold, an exploratory research on Nigerian 419-fraud' verschijnen van Uitgeverij SWP, maar is nu al rechtstreeks bij SWP te bestellen.

Unit 10 adviseert alvast de Nederlandse opsporingsdiensten een 419 categorie toe te voegen aan Meldpunt Cybercrime, zoals de politie van Queensland in Australië reeds heeft gedaan met deze website. Het is uiteraard wel wenselijk dat bezoekers van de Nederlandse variant de authenticiteit kunnen controleren en bovendien moet de website minimaal beveiligde zijn met HTTPS-protocol, voorzien van SSL en certificaten.

Voor specifieke informatie, aangifte verwijzing en opsturen van e-mail (header en body) kunt u terecht bij het 'Casus Apollo' van de Financial Intelligence Unit/Dienst IPOL van het KLPD via de e-mail WACN@klpd.politie.nl en plaats in het onderwerp van de e-mail 'APOLLO - NO LOSS' en sluit eventueel een 'header en body' in van een 419 scam e-mail. Bel of stuur een brief:

Korps Landelijke Politiediensten
Postbus 3016
2700 KX Zoetermeer

Telefoon: 079-3458900
Fax:        079-3459100

Links bij dit artikel:
Nigeriaans wetboek van strafrecht
EFCC Nigeria
US certs, herkennen en voorkomen van e-mail scams
Meldpunt Cybercrime
Bureau Beke
Uitgeverij SWP

Video
Uitzending Bureau van den Heuvel van 23 januari 2007 over 419 fraude (kopie en plak de link in Windows Media Player)

 

Draadloze DECT telefoons onveilig! (27 januari 2009)
Permalink

Bijna iedereen in Nederland heeft een draadloze digitale DECT telefoon. Verkopers en fabrikanten doen ons geloven dat het radiosignaal versluierd is en dus niet mee te luisteren is voor bijvoorbeeld scannerluisteraars. Heel Duitsland staat al op zijn kop, nu Nederland nog. Nederland, wordt wakker!
 
Het nieuws lijkt hier in Nederland nog niet echt doorgedrongen. Tijdens de jaarlijkse Chaos Communication Congress 25C3 op 30 december 2008 in Berlijn hebben onderzoekers aangetoond dat het triest gesteld is de beveiliging van digitale draadloze telefoons, met name de toepassing van versleuteling van het radioverkeer van deze digitale draadloze telefoons laat te wensen over. Afgezien van de fouten in het DECT-protocol maken fabrikanten het feit nog erger door de draadloze telefoons standaard niet van encryptie te voorzien.

De twee meest opmerkelijke bevindingen; onderzoekers van Dedected.org gaven in hun presentatie aan dat diverse DECT toestellen standaard géén encryptie gebruiken om een gesprek tussen de handheld en het basisstation te versleutelen, terwijl dit type toestel door elke verkoper en fabrikant juist wordt aangeprezen vanwege het niet afluisterbaar zijn. Met een eenvoudig PCMCIA kaartje COM-ON-AIR type III van amper € 25,= en aangepaste drivers kan je het digitale signaal ontvangen op een Linux-laptop en vervolgens alle gesprekken in een straal van enkele honderden meters meeluisteren!

De onderzoekers hebben tevens een variant bedacht op de IMSI-catcher, een apparaat dat in zeer uitzonderlijke gevallen als gijzelingen, kapingen en uitzonderlijke overvallen door opsporingsinstanties van de overheid wordt ingezet^* om een GSM-mast te simuleren en hiermee criminelen te lokaliseren en af te luisteren. In het geval van een DECT telefoon is het de onderzoekers gelukt om met behulp van een Fritzbox of de eerder genoemde PCMCIA kaart, waarvan het zendvermogen is opgewaardeerd, een basisstation te simuleren en het radiosignaal tussen het oorspronkelijke basisstation en de handheld via dit nep-basisstation te routeren. De handheld checkt namelijk niet de authenticiteit van het basisstation waar hij verbinding mee heeft, mits het RFPI (de naam van het basisstation) maar overeenkomt. Als je bovendien met dit nep-basisstation vervolgens het commando "no encryption" meestuurt schakelt het handtoestel automatisch over op geen encryptie en kan je het gesprek opnemen in PCAP formaat en later afspelen. DECT is hiermee dus als het ware een "connection less" protocol en controleert niet of de identiteit van het basisstation overeenkomt met hetgeen de handtoestel verwacht.

Sinds deze bevindingen publiekelijk bekend zijn is er een run ontstaan op de COM-ON-AIR kaarten in Duitsland en zijn de PC-kaarten volgens deze berichten uitverkocht. Dit geeft onmiddellijk het risico aan, de investering is laag en de inspanning minimaal. Ondanks dat het in Nederland verboden is om inspanningen te verrichten om versleuteld radioverkeer meeluisterbaar te krijgen, zoals omschreven in artikel 139c Wetboek van Strafrecht zullen velen niet schromen deze wet te negeren. Loop geen risico! Vermijd per direct uw DECT telefoon en gebruik alleen een telefoon die met een kabel naar uw aansluiting van het openbaar telefoonnet loopt. Denk hierbij aan uw vertrouwelijke gesprekken of gevoelige informatie die u intoets via uw telefoon, zoals pincode en alarmcode. 

Voor meer specifieke informatie over het onderzoek naar de zwakheden van DECT is de presentatie te bekijken en het PDF-rapport downloaden. Het Duitse ZDF heeft inmiddels uitgebreide aandacht besteed aan dit onderwerp, nu Nederland nog!

Links bij dit artikel:
Dedected.org, website van de onderzoekers
DECT een ETSI standaard
TV uitzending ZDF 'Frontal 21' van 20 januari 2009
Meer voorbeelden van meeluisteren

^*) Alleen toegestaan na toepassing artikel 3.10 Telecommunicatiewet  

Internetbankieren: de ketting is zo sterk als de zwakste schakel (15 januari 2009)
Permalink

Terwijl het GOVCERT afgelopen woensdag, 14 januari 2008, een rapport uitbracht over de zwakheden van MD5 hash in X.509 PKI certificaten en aangeeft dat is  Microsoft is van mening dat het SSL-lek geen groot gevaar vormt. De softwaregigant schrijft op zijn website: “The MD5 algorithm had previously shown a vulnerability, but a practical attack had not yet been demonstrated.” vraagt Unit 10 zich af hoelang het zal duren totdat het Nederlandse, en dus het wereldwijde, internetbankieren echt in de problemen raakt.

De factsheet van GOVCERT volgt op een presentatie van een groep onderzoekers op de jaarlijkse terugkerende beveiligingsconferentie 'Chaos Communication Congress' op 30 december 2008 in Berlijn. Tijdens de presentatie werd in de praktijk aangetoond dat de 'Public Key Infrastructure' (PKI) van het internet enkele zeer zwakke plekken heeft. Zij hebben aangetoond dat ze erin geslaagd zijn om een frauduleus certificaat te creëren dat door alle gangbare webbrowsers wordt vertrouwd. De Nederlanders Marc Stevens, verbonden aan het Centrum Wiskunde & Informatica in Amsterdam, en Benne de Weger van de Technische Universiteit Eindhoven, maakten deel uit van het onderzoeksteam.

De meeste beveiligde websites die u gebruikt voor het internetbankieren maken gebruik van een hash mechanisme de uit dezelfde familie van 'PKCS #1 Version 1.5 signature algorithmes'. In de chain van deze bankcertificaten wordt in het in het het root certificaat, de Public Primary Certification Authority, de MD2 hash functie gebruikt. Het gaat hier om grote bankennamen als ING Bank, Rabobank en ABN-AMRO 

MD2 is in 1989 ontwikkeld door Ron Rivest voor RSA (RFC3279). Deze hashfunctie was in eerste instantie bedoeld voor 8 bits IBM systemen. N. Rogier and Pascal Chauvaud hebben tijdens 'Selected Areas in Cryptography' in 1995 in Ottawa (SAC'95 Canada) aangetoond dat het compressie mechanisme van MD2 'not collision free' is en publiceerde 1997 hierover een rapport. Alhoewel het hen niet gelukt was het Frederic Muller in 2004 dietijdens het congres AsianCrypt 2004 demonstreerde hoe MD2 kwestbaar is voor een 'preimage attack'. Deze onderzoeken leidden destijds to de conclusie dat MD2 niet langer gebruikt kan worden als een veilige enkelvoudige hashfunctie. De zwakheden in het MD2 ontwerp leidden uiteindelijk tot de ontwikkeling van MD5 en dat geeft het onprettige gevoel dat MD2 dus de zwakste schakel is in de beveiliging van de internetbank webapplicaties.

Banken dienen dus in de ogen van Unit 10 haast te maken met het uitfaseren van certificaten die middels PKCS #1 MD2 met RSA-versleuteling gebruiken in hun 'Public Primary Certification Authority'.

Voor u als gebruiker van een beveiligde website (https) dient u er verstandig aan door gebruik te maken van FireFox met als extra opties de add-ons SSL Blacklist (voor MD5 identificatie) en Perspectives (DNS checking en MD2 gerelateerd).

Links bij dit artikel:
25C3 documentatie over Roque CA creatie en aanval MD5 certificaat
US Cert waarschuwing
Perspectives add-on voor Firefox

Waarschuwing: Fraude met NL domeinnamen! (23 december 2008)
Permalink  

SIDN, de officiële beheerder van het .NL domeinregister, heeft klachten ontvangen over www.coweto.nl. Op deze website wordt houders van een .nl-domeinnaam gevraagd een 'webtoeslag' te betalen. SIDN en Stichting Acquisitiefraude (SAF) waarschuwen alle .NL-domeinnaamhouders niet op berichten van www.coweto.nl in te gaan.

Op de site staan logo’s van de Kamer van Koophandel en de Belastingdienst. Navraag bij de Kamer van Koophandel en de Belastingdienst leert dat zij niets van doen te hebben met een 'webtoeslag' op .nl domeinen hebben nadrukkelijk laten weten niet bij coweto.nl betrokken zijn, ondanks het feit dat dit op de website wel wordt gesuggereerd. De Kamer van Koophandel zal coweto.nl dan ook sommeren het KvK-logo van de website te verwijderen. De teksten op de website komen voor een argeloze bezoeker behoorlijk betrouwbaar over, zoals een tekst over de te betalen toeslag en de verwijzing naar een wetsartikel. De betalingen, waar het allemaal om te doen is kunnen via iDeal verricht worden. Ook het inloggen op de met SSL-certificaat (actief sinds 22-11-2008) beveiligde website van Coweto moet blijkbaar vertrouwen uitstralen. Uit nevenstaand screenhot van een betaalopdracht valt op te maken dat er nog niet veel slachtoffers te betreuren zijn op moment van deze nieuwspublicatie. De website is vroegtijdig ontdekt en er lijken nog geen e-mailberichten te zijn verstuurd die naar de website verwijzen!

Het probleem rond de eigenaar is waarschijnlijk veel groter, aangezien er minimaal 30 andere domeinen door betrokken persoon in gebruik zijn, zo is coweto.com en coweto.net ook eind dit jaar geregistreerd, maar nog niet in gebruik genomen. De registers staan vol met verwijzingen naar dubieuze adressen voornamelijk in Rotterdam, de vermeldde telefoonnummers zijn ook niet bestaande nummers of er wordt gebruik gemaakt van adressen die bij andere bedrijven in gebruik zijn zoals naaiateliers en sportzaken voor vechtsportartikelen.

Het is een nieuw fenomeen in Nederland dat op deze wijze getracht wordt onschuldige domeinnaamhouders geld afhandig te maken. De methode lijkt op de bekende spookfacturen die per fax verstuurd werden in de jaren negentig en meer recent op de KvK nepfacturen. Coweto zou volgens de registers gevestigd zijn te midden van autosloperijen en schimmige pandjes aan de Rotterdamse Titaniumstraat, niet echt een locatie voor een bedrijf dat op bonafide toeslagen op uw domeinregistratie zou innen, u bent hierbij dus gewaarschuwd!

Dubieuze rol van de hostingprovider

Op de betrokken webserver van coweto.nl draaien nog 30 andere websites, zoals een bekend Hilversums veilighuis en een reisburo van een gerenommeerde Nederlandse luchtvaartmaatschappij. Het lijkt er dus op dat het domein coweto.nl de enige is met met kwade opzet.

Dat dit zo lijkt blijkt als Unit 10 iets verder zoekt en deze betrokken hostingprovider er meerdere dubieuze klanten er op na te houden, zoals bedrijven die nepfacturen sturen met dure 0900-nummers (Scrappy Electronics) en bedrijven die alleen geld incasseren en geen producten opsturen (DefTech Benelux/ Gearshop.nl).

Bovendien heeft deze hostingprovider naast zijn hostingbedrijf ook nog activiteiten met hypotheken en beweert de goedkoopste hypotheek verstrekker van het land te zijn, dus óók werk aan de winkel voor de AFM (Autoriteit Financiële Markten). Deze geldvriend B.V. staat namelijk NIET geregistreerd bij de AFM en het ontbreekt dan ook aan een waarschuwing van de AFM. Ook op deze website prijken logo's die vertrouwen zouden moeten uitstralen, zo is er het (oude) logo zichtbaar van het 'Klachteninstituut Verzekeringen', maar dit bedrijf staat helemaal niet geregistreerd bij het Klachteninstituut Financiële Dienstverlening (Kifid). Tevens is op betreffende website een logo van de SER aanwezig, waarbij de doelstelling voor het plaatsen van dit logo volstrekt onduidelijk is. De werkzaamheden van de Sociaal-Economische Raad hebben geen betrekking op het publieke domein van financiële dienstverleners. Wat is er toch misgegaan met deze 27-jarige ondernemer die zijn jeugd doorbracht in Eibergen en Hengelo?

Het is dan ook sterk de vraag of deze hostingprovider zich aan de gedragscode 'Notice-and-take-down' zal houden. De code beschrijft een procedure voor het omgaan met meldingen van onrechtmatige sites op Internet. Internetbedrijven die constateren dat de melding inderdaad duidelijk op illegale content betrekking heeft, moeten de betreffende site 'onverwijld' offline halen. Dubbel slecht voor de hostingbranche, zo blijkt deze hostingprovider aangesloten bij het kwaliteitsmerk NIC1 en ook vanuit deze organisatie de gedragsregels aan zijn laars te lappen. Tijd voor een integrale aanpak!

Deelnemers en domeinnaamhouders die benaderd worden door coweto.nl, wordt aangeraden dit te melden bij het landelijk meldpunt voor advertentie- en acquisitiefraude, fraudemeldpunt.nl of contact te zoeken met Unit 10. Bellen kan tussen 13.00-16.00 uur via 055-5059780, het SAF is tussen kerst en oudjaar beperkt telefonisch bereikbaar.

Update 25 december 2008: de betrokken website coweto.nl is inmiddels offline gehaald.

Links:
NICC, Samen tegen cybercrime
AFM, Autoriteit Financiële Markten
SAF, Steunpunt Acquisitiefraude
SIDN, Stichting Internet Domeinregistratie Nederland
 

P2P Marshal verzamelt efficiënt digitaal bewijs (1 mei 2008)

Het gebruik van peer-to-peer (P2P) netwerken is populair bij jong en oud om MP3 bestanden uit te wisselen. Niet alleen bij onschuldige gebruikers is deze software populair, criminelen die zich bezig houden met kinderporno, identiteit diefstal en financiële fraude maken er gretig gebruik van. Met het gebruik van P2P-netwerken als Bit-torrent, Utorrent, LimeWire, Ares en Azureus in combinatie met open proxy-servers en het gebruik van stenografie waant de cybercrimineel zich in anonimiteit. Als een verdachte eenmaal in beeld is en zijn of haar computer onderwerp van onderzoek is, vormt het handmatig verzamelen en onderzoeken van gedownloade P2P-bestanden, op een harde schijf van de verdachte, een erg intensieve en tijdrovende bezigheid.

Het ontwikkelteam ATC-NY van Architecture Technology Corporation heeft onlangs een nieuwe tool geïntroduceerd die digitale onderzoekers in staat stelt het aantal en soort bestanden die middels peer-to-peer netwerken zijn gedownload of gedeeld op media van een verdachte op een snelle en gestructureerde wijze in kaart te brengen. ATC-NY levert met P2P Marshal een krachtige tool die in grote complexe onderzoeken een aanzienlijke tijdbesparing oplevert. Met P2P Marshal worden verdachte bestanden automatisch verzameld en de door de verdachte gebruikte P2P-servers in kaart gebracht en relaties met andere P2P gebruikers worden in één oogopslag zichtbaar. Zoekwoorden die een verdachte in de P2P software heeft gebruikt worden inzichtelijk in kaart gebracht en details als het tijdstip van download van een bestand vormt de sleutel voor de waarheidsvinding.

P2P Marshal is met steun van van het Amerikaanse 'National Institute of Justice' ontwikkeld en is inmiddels ingezet bij lopende onderzoeken van diverse Amerikaanse opsporingsdiensten. Behalve voor waarheidsvinding in digitale onderzoeken kan P2P Marshal ook uitstekend ingezet worden om een compliance regeling van een onderneming te toetsen. Een bedrijf waar het gebruik van peer-to-peer software verboden is kan met P2P Marshal op naleving hiervan controleren. P2P Marshal is eenvoudig te downloaden en bovendien voor overheidsdiensten gratis. Een uitgebreide analyse van deze nieuwe tool is terug te vinden op de website van Digital Forensic Research Workshop (DFRWS).     

Update 23 april 2007: de door Unit 10 gesignaleerde e-mail is doorgestuurd naar virusanalist Roel Schouwenberg van Kasperky Lab voor nader onderzoek, Kaspersky heeft de bijlage van de mail toegevoegd in de virusencyclopedie als 'not-a-virus:AdWare.Win32.Casino.ai.' (klik voor afbeelding) en wordt met de meest recente update van de virusscanner van Kaspersky gedetecteerd.

Het advies: installeer uiteraard een virusscanner, anti-spamfilter, een firewall die óók het verkeer van binnen naar buiten filtert, laat uw mailprogramma automatisch meegestuurde programma's in een mailbericht blokkeren en tel tot 5 voordat u kiest om op iets onbekends te klikken of beter gezegd klik beslist niet op iets waarvan u de herkomst of afzender niet kent!

Details van bovenstaande website waar de mail naar verwijst

Er wordt een banner opgehaald op de locatie: "scasino.com/cgi-bin/SwissInstaller.sit" en standaard scripting van de hosts op:

• jsev.com

• cssxx.com

• html.com

• js.com

• css2js.com

Via scasino.com valt een heel netwerk van domeinen en soortgelijke casino websites bloot te leggen, zoals:

• magicboxcasino.com

• casinolasvegas.com

• casinoking.com

• royaldice.com

• intercasino.com

• goldenpalace.com

• dicekingcasino.com

• commencercasino.com

• casinobleublancrouge.com

• casino-partouche.com

Een aangetroffen bestand 'SetupCasinoRoyal.exe' op royalseurocasino.org heeft de volgende hashes:

MD5 waarde: 89C10738FB44F9A529092BFA3C15DCF9
SHA1 waarde: 24D2E0CD8D93D4C92CC97C0C205B5B4B329CDBB0
 

Een aangetroffen bestand 'SetupCasino.exe' op scasino.com heeft de volgende hashes:

MD5 waarde: C1A3738853B9F452AE4D8CC240B4231F
SHA1 waarde: 3AEFB256C1CE448A339D51B8718594B41268BFAC

Het gaat te ver om alle details hier verder te publiceren, maar neem gerust contact op indien uw interesse gewekt is.
 

Details van het spam e-mailbericht

Onderstaande afzender, is een z.g.n. lekke doos, ofwel een (mail)server die niet voorzien is van de laatste updates en/of een server waarop het herversturen van mail mogelijk is. De relayfunctie staat open voor iedereen die er maar gebruik van wil maken. De eigenaar is zich hiervan of niet bewust of maakt zich er niet druk om.

Details van de nepmail voor ABN-AMRO klanten (22 maart 2007)

Nederland is afgelopen nacht geconfronteerd met een 2^de golf van phishingmail/nepmail die bedoeld zal zijn voor klanten van ABN Amro. Deze nepmail is voorzien van logo's en banners zoals ABN Amro die gebruikt. De woordkeuze en grammatica in de nepmail is echter van het niveau van een slecht vertaalprogramma. De nepmail zou volgens de tekst een bijlage moeten bevatten met de naam "ms_ssl3_upd.exe", dit programma zou volgens de cybercriminelen een opwaardering moeten bevatten dat je browser migreert naar de nieuwe beveiligde SSL 3.0 standaard; de cybercriminelen hebben niet meer dan een slimme naam gekozen. De werkelijke bijlage, "351.exe" of een 3 cijferige variant, is echter het gevaar en moet dan ook niet worden geopend, het bevat Tojan.Spy W32/Agent.QY, een variant van de Banker familie, Trojan-Spy.Win32.Banker.cmb. Voor onderzoekers naar de Trojan zijn wellicht de door Unit 10 gevonden hashwaardes behulpzaam voor het onderzoek. Een aangetroffen bestand "928.exe" heeft de volgende hashes:

MD5 waarde: CCDA832DAAF720B8B9F40C787DB5B6E9
SHA1 waarde: 3A2709A07907DC75086A013DEB77E8DC0FB590DA.

Het is Unit 10 nog niet bekend wat het verband is tussen de nepmail van woensdag 21 maart en die van donderdag 22 maart. Het lijkt er in ieder geval sterk op dat de criminelen hetzelfde vertaalprogramma hebben gebruikt. De schade lijkt op dit moment beperkt. ABN AMRO-klanten die op de link in de nepmail van 21 maart hebben geklikt hebben en hun rekeningnummer en pasnummer hebben ingevuld, kunnen dit via telefoonnummer 0900-0024 aan de bank melden. Vanuit het buitenland is het telefoonnummer +31 10 241 17 20. Beide nummers zijn 24 uur per dag bereikbaar.

Het advies mag duidelijk zijn: update uw virusscanner, blokkeer in uw mailprogramma de mogelijkheid om *.exe programma's te openen en zorg voor de laatste updates van uw besturingssysteem en onthoud dat uw bank u nooit per mail zal benaderen over uw rekeningnummer, wachtwoorden of beveiliging!

Secure Socket Layer 3.0, SSL3, waaraan gerefereerd wordt in de phishing mail is een nieuwe standaard die moet leiden tot veiligere verbindingen o.a. met uw bank. Voor dat het echter zover is zullen technologische bedrijven en de media u uitgebreid informeren, mocht u niet willen wachten, dan is er meer informatie te vinden op www.evsslcertificate.com of www.cabforum.org.

Update 29 maart 2007:

Naar aanleiding van de frauduleuze ABN-AMRO e-mails die vorige week zijn uitgestuurd door internetcriminelen heeft Kaspersky een oplossing ter beschikking gesteld voor geïnfecteerde gebruikers. Kaspersky Lab is producent van beveiligingssoftware. 

Detail van een e-mail header:

Nederlandse spammer aangepakt, maar betaald boete van rente...  (2 februari 2007)

Het college van OPTA, de Onafhankelijke Post en Telecommunicatie Autoriteit, heeft een boete van 75.000 euro opgelegd aan een Nederlandse spammer uit Noord-Holland. Deze privépersoon verstuurde ongevraagde elektronische berichten aan consumenten.

OPTA heeft bij de vaststelling van de hoogte van de boete een aantal factoren meegewogen. Ten eerste het aantal spamberichten: deze persoon heeft minimaal 9 miljard spammails verstuurd. Daarnaast is met deze spam minimaal 52.000 dollar (ruim 40.000 euro) verdiend. Een andere verzwarende factor is het feit dat deze persoon gebruik heeft gemaakt van honderden zogeheten ‘proxies’: dit zijn computers van argeloze eindgebruikers, die als tussenstation worden gebruikt bij spamverzendingen. Hiermee wist de spammer zijn werkelijke identiteit te verhullen.

Het verzenden van ongevraagde (reclame)e-mail aan privépersonen is sinds 19 mei 2004 verboden. De spammer maakte gebruik van lijsten met e-mailadressen van onbekende herkomst, deze lijsten bevatte ook e-mailadressen van privépersonen. Ook zijn zogeheten ‘dictionary attacks’ ingezet: e-mailadressen die gegenereerd zijn op basis van willekeurige letter- en cijfercombinaties. Artikel 11.7 van de Telecommunicatiewet (het “spamverbod”) schrijft voor dat een verzender toestemming moet hebben van de ontvanger, voordat zij reclame per e-mail verstuurt. Ook moet uit de e-mail duidelijk blijken wat de identiteit van de verzender is en waar de ontvanger zich kan afmelden voor toekomstige e-mails.

Opta heeft onder meer hulp gehad van softwarefabrikant Microsoft. Volgens Opta-voorzitter Chris Fonteijn is het voor een 'effectieve bestrijding van spam belangrijk dat overheid en bedrijfsleven de handen ineenslaan'.

De opgelegde boete van 75.000 euro lijkt aan de lage kant; bij het versturen van 9 miljard ongevraagde commerciële advertenties waarop 0,001% respondeert met een gemiddelde verkoopwaarde van 15 euro levert al snel een omzet van 1.350.000 euro! De beboete spammer uit Noord-Holland heeft bij deze uitspraak waarschijnlijk slechts licht de wenkbrauwen gefronst. De Opta heeft op dit moment nog vier spammers op de korrel, hopelijk berekent de OPTA in de toekomst de boetes iets reëler.

Aanvullende Tip van Unit 10: bescherm uzelf tegen SPAM, download het door Unit 10 aanbevolen gratis antispam programma van SpamExperts. Blijft u last hebben van Nederlandse SPAM, meldt dit dan in ieder geval z.s.m. op Spamklacht.nl of neem contact op met Unit 10.

Lees hier de uitspraak van de OPTA

Rathenau Instituut: Sneller verdacht in digitale opsporing (1 februari 2007)

Dankzij deze studie is er in Nederland voor het eerst aandacht voor het totaalbeeld van de afzonderlijke veiligheidsmaatregelen. Hoe grijpen ze op elkaar in? Welke prijs betalen we ervoor als maatschappij en is het die prijs waard? Want hoewel burgers bereid lijken om hun privacy op te geven voor meer veiligheid, hebben de meeste mensen geen notie welke maatregelen de overheid neemt uit naam van hun veiligheid, laat staan dat ze het effect daarvan op hun privacy kunnen overzien.

Steeds vaker raken onschuldige burgers betrokken bij opsporingsonderzoeken zonder dat er een concrete verdenking bestaat. Dit komt door de toenemende digitalisering van databestanden, die steeds makkelijker ontsloten, gekoppeld en geanalyseerd kunnen worden, zo blijkt uit een onderzoek naar de afweging tussen privacy en veiligheid.

Burgers worden soms op louter statistische verbanden uit een bestand gefilterd en aan nader onderzoek onderworpen. Daarmee wordt in principe iedere burger een potentiële verdachte. Zo werd een voormalig scheikundeleraar die examenvraagstukken maakte voor CITO verdacht van betrokkenheid bij de verspreiding van massavernietigingswapens. De leraar werd een verdacht sujet voor de AIVD omdat hij op internet naar informatie zocht over 'zwaar water' en hij ooit in dezelfde straat woonde als de Pakistaanse atoomspion Khan.

De overheid dient over de veiligheid van burgers te waken. Tegelijkertijd vormt diezelfde overheid een bedreiging voor de privacy van burgers. Dat leidt tot een spagaat. De overheid gaat er te gemakkelijk vanuit dat veiligheid boven alles gaat en dat burgers bereid zijn hun privacy in te leveren. Mensen blijken vaak geschokt als ze ontdekken hoeveel politie en justitie - achter hun rug om- over hen te weten kunnen komen. Zorgvuldig handelen is ook een belangrijk punt.

Zo is er de notificatieplicht die justitie verplicht om mensen te informeren over onderzoek dat naar hen is verricht. De overheid blijkt echter onder het mom van opsporingsbelang nauwelijks aan deze plicht te voldoen. Daarmee loopt zij het risico het vertrouwen van burgers te verspelen, aldus het Rathenau Instituut.

Het Rathenau Instituut stimuleert publiek debat en politieke oordeelsvorming over maatschappelijke,ethische en politieke effecten van moderne wetenschap en technologie.

(bron: rathenau.nl)

Lees hier het boek "Van privacyparadijs tot controlestaat? Misdaad- en terreurbestrijding in Nederland aan het begin van de 21e eeuw"

Copyright © 2006-2012. Unit 10, Digitaal Recherchebureau.