Onderzoekers hebben tijdens de Black Hat-conferentie in Las Vegas een tool gelanceerd waarmee het mogelijk is om toetsenbordaanslagen tijdens Skype, of andere gesprekken met voip-software, af te luisteren. Aan de hand van de toetsaanslagen kan worden achterhaald wat een gebruiker aan het typen is.
Volgens de onderzoekers blijkt dat veel mensen tijdens voip-gesprekken met andere activiteiten bezig zijn, waaronder typen. Vorig jaar kwamen ze al in het nieuws met hun onderzoek, dat ze Don't Skype & Type! noemen. Uit het onderzoek blijkt dat als er informatie over het typegedrag en het toetsenbord van het slachtoffer is, er met 91,7 procent nauwkeurigheid kan worden achterhaald welke toets het slachtoffer heeft ingedrukt.
Tijdens hun presentatie op Black Hat (pdf) lieten de onderzoekers zien hoe ze via Skype en Google Hangouts, aan de hand van de toetsenbordaanslagen, voldoende audio-informatie konden verzamelen om te reconstrueren wat de gebruiker aan de andere kant van 'de lijn' had getypt. Daarnaast hebben ze op GitHub de tool zelf openbaar gemaakt.
De Duitse overheid heeft vorige maand een wet aangenomen die de politie de bevoegdheden geeft apparaten van verdachten af te kunnen luisteren, maar uit een gelekt intern rapport, dat nieuwssite Netzpolitik in handen kreeg, bleek de politie al maanden te werken aan de software voordat de wet werd aangenomen.
Uit het rapport blijkt verder dat de Duitse veiligheidsdienst de surveillance software Finspyheeft gekocht als een back-up mogelijkheid mocht de zelfgemaakte software, RCIS lekken of zelf gehackt worden. Ondertussen werkt de politie al sinds 2016 aan de opvolger van RCIS. Deze spionagesoftware kan Whatsapp- en Telegram-berichten tappen voordat deze het toestel verlaten, de software omzeilt hierbij de versleutelingscapaciteiten van de berichten-apps en leest de berichten rechtstreeks van het scherm.
Falk Garbsch, woordvoerder van de Chaos Computer Club, is hier niet blij mee en denkt dat de politie flinke druk heeft uitgeoefend om deze software legaal te kunnen gebruiken. "Het verkopen van staatshacktools als andere surveillance-methodes is een schaamteloze verdraaiing van de waarheid. Er wordt een arsenaal aan Trojans gebouwd alsof het al normaalste zaak van de wereld is om burgers te hacken."
‘Daar waar verdenking onmiddellijk overgaat in veroordeling, laat het wezen van terreur zich gelden.’ Misschien is deze aan de filosoof Hegel ontleende frase wel de meest puntige samenvatting van de aftapwet waar de Eerste Kamer op woensdag 11 juli 2017 mee instemde.
Die wet maakt het mogelijk dat geheime diensten je kunnen hacken, aftappen of andere vormen van digitale huisvredebreuk mogen plegen, wanneer er zich onverhoopt een persoon in je netwerk bevindt die als veiligheidsrisico wordt aangemerkt. Wie nietsvermoedend een potentieel gevaar in zijn nabijheid weet, loopt zo het risico als digitale bijvangst in een surveillance-sleepnet terecht te komen. Beland je eenmaal in zo’n digitale fuik, dan zit je daar drie jaar lang vast. Dat je vervolgens als bij-bijvangst door de datahengelaars van de NSA opgevist kunt worden, is een bijkomstigheid die je maar voor lief moet nemen.
Wat hier gebeurt, is dat een van de fundamenten van onze rechtsstaat — je bent onschuldig tot het tegendeel is bewezen — feitelijk wordt omgedraaid. Met het kunststukje uit de hoge hoed van minister Plasterk ben je vanaf het moment dat deze wet in werking treedt schuldig, of op zo’n minst verdacht, tot het tegendeel bewezen wordt. En wie eenmaal als risicoprofiel in een digitaal archief belandt, zal een flinke kluif hebben om daar ooit weer uit te komen.
Wat hier gebeurt, is dat een mede-wetgevend orgaan dat de deugdelijkheid van wetten moet garanderen, de voorwaarden voor onze privacy van binnenuit ontmantelt. Privacy betekent namelijk dat je recht hebt op je eigen gedachten of gevoelens en dat je zelf bepaalt welke je daarvan wel of niet prijsgeeft. In een door algoritmen aangestuurde surveillancestaat komt aan die menselijke, al te menselijke conditie op den duur een eind. Wie wil weten hoe zoiets eruitziet, kan het werk van George Orwell, Aldous Huxley of Dave Eggers erop naslaan.
Wat hier gebeurt, is dat de Chambre de reflexion, zoals de Senaat ook wel wordt genoemd, precies het tegenoverstelde doet van hetgeen waarvoor ze in het leven is geroepen. Bevangen door een gepolitiseerd veiligheidsfetisj en behekst door een datadelirium, staat de Eerste Kamer het optuigen van een digitaal panopticum toe. De tirannieke datawaan van de dag luidt immers dat de gemiddelde brave burger toch niets te verbergen heeft en dat onze persoonlijke gegevens bij Vadertje Staat in veilige handen zijn. Dat deze opvatting op een misvatting berust, is genoeglijk aangetoond door de tech-jounalisten Dimitri Tokmetzis en Maurits Martijn in hun boek Je hebt wél iets te verbergen.
Wat hier gebeurt, is dat de vrijheid van meningsuiting in het gedrang komt. Wanneer iedere klik of swipe-beweging door veiligheidsdiensten gemonitord kan worden, treedt het zogeheten chilling-effect in werking: een verschijnsel waarbij mensen online bepaalde links niet meer durven aan te klikken, bevreesd als zij zijn voor de offline consequenties. Deze digitale druk leidt tot vormen van zelfcensuur, sociale rigiditeit en conformisme.
Wat hier gebeurt, is iets waar de gemiddelde despoot zijn tirannieke vingers bij zou aflikken.
Alles bij de bron; FollowTheMoney [registratie (kosteloos) noodzakelijk]
Het was een rustige nieuwsweek, komkommertijd zullen we maar zorgen. Hoewel? Redelijk onder de radar en met weinig tegenwerking kreeg de AIVD opeens heel wat meer bevoegdheden. Met hun digitale ‘sleepnet’, mogen alle internetgegevens worden verzameld. Met verassend weinig ophef — buiten de privacywaakhonden en techjournalisten — tot gevolg.
De geheime diensten mogen voortaan het internet op grote schaal aftappen, in plaats van alleen individuele internetverbindingen. Het argument van demissionair minister van Binnenlandse Zaken Ronald Plasterk, die het wetsvoorstel verdedigde, is dat de huidige wetten die de inlichtingendienst aan banden leggen niet meer voldoen in onze digitale tijd. Tijd voor een nieuwe wet dus, en die is er nu. Met de nieuwe wet mag de AIVD en haar militaire broertje, de MIVD, zo’n beetje onbeperkt internetgegevens inzien van personen, bedrijven en instanties.
Dat is zorgelijk, vindt Amnesty International, want de wet geeft de Nederlandse staat in feite toestemming tot massa-surveillance. Volgens de organisatie luidt geeft het wetsvoorstel de Nederlandse geheime diensten ‘de mogelijkheid om toegang te vragen tot gegevens van alle mogelijke instanties, bedrijven of personen, of om zelf op ongekende schaal communicatiegegevens te onderscheppen van niet-gespecificeerde personen of organisaties, zonder dat er een vermoeden bestaat dat zij een gevaar voor de samenleving zijn.’ Ook de internetwaakhonden van Bits Of Freedom vinden het een heel slecht idee, en gaan zelfs kijken of het mogelijk is om een rechtszaak aan te spannen.
Daar hebben ze alleszins gelijk in. In de strijd tegen lieden die onze vrijheid bedreigen leveren we zelf steeds meer vrijheden in. Verworvenheden van een democratische samenleving die we niet zonder slag of stoot verworven hebben. Waar de internetgegevens van iedereen afgeluisterd kunnen worden, dreigt censuur. Totalitarisme ligt altijd op de loer, ook in een vrij land als Nederland. Iedere inlevering van vrije burgerrechten dient dan ook met uiterste argwaan behandeld te worden. Das leben der Anderen in de polder, laten we maar zeggen.
Waar blijft de ophef van het gewone volk op deze Orwelleske wet? Buiten een trendje op Twitter onder de hashtag #sleepnet bleef het stil, maar het gaat ons toch écht allemaal aan. En ook degenen die bij hoog en laag claimen dat ze op het internet ‘niets te verbergen hebben’. Een dergelijke drogreden is hetzelfde als zeggen dat je tegen vrijheid van meningsuiting bent, omdat je zelf toch niets te melden hebt.
De wet zal er — naast de bovengenoemde zeer gegronde privacyzorgen — ook voor zorgen dat we een vals gevoel van veiligheid krijgen. Geen zorgen: de terroristen worden goed in de gaten gehouden en maken geen schijn van kans. Maar dat is schone schijn. Want met een sleepnet vang je geen grote vissen. De grote joekels weten heel goed hoe ze buiten bereik van het net moeten blijven.
Twaalf organisaties willen naar de rechter stappen om de zogenaamde aftapwet tegen te houden. Onder meer Privacy First, de Nederlandse Vereniging van Journalisten en de Nederlandse Vereniging van Strafrechtadvocaten vinden de wet veel te ver gaan.
De Eerste Kamer stemde gisteren in met de omstreden nieuwe wet op de inlichtingen- en veiligheidsdiensten, beter bekend als de aftapwet. Dankzij die wet kunnen inlichtingendiensten zoals de AIVD en de MIVD op grote schaal internetverkeer aftappen. En juist dat 'sleepnet' is voor mensenrechtenadvocaat Jelle Klaas reden om juridische stappen ten ondernemen. 'De veiligheidsdiensten kunnen hele grote stukken data van onschuldige burgers verzamelen en dat gaat ons veel te ver.'
De komst van de rechtszaak is nog niet zeker, maar de kans hierop is volgens Klaas groot. "De dagvaarding moet bij een aantal organisaties nog langs de besturen en iedereen moet akkoord zijn met de tekst. Daarnaast is er nog discussie over de vraag wanneer we naar de rechter stappen”, aldus de mensenrechtenadvocaat. Voorzitter van de Nederlandse Vereniging van Strafrechtadvocaten (NVSA) Jeroen Soeteman noemt het voorstel zorgwekkend. "De nieuwe wet is in strijd met het Europees recht, de rechten van burgers worden hierdoor geschonden”, aldus Soeteman. “Wij mengen onszelf niet zo snel in dit soort zaken."
Klaas houdt er rekening mee tot aan het Europees Hof van Justitie of het Europees Hof voor de Rechten van de Mens te moeten procederen om de Wiv te kunnen blokkeren. Het proces zal hierdoor naar verwachting veel tijd in beslag nemen. Naar verwachting kan de dagvaarding voor de rechtszaak na de zomer worden verstuurd, of zodra de wet op 1 januari 2018 van kracht wordt.
Het zat er wel aan te komen, zegt Nico van Eijk, hoogleraar informatierecht aan de Universiteit van Amsterdam. Dat de Eerste Kamer de laatste dag voor het zomerreces zou aangrijpen om deze wet erdoorheen te krijgen, was volgens hem dan ook al volkomen duidelijk. Nu moet de wet alleen nog even geïmplementeerd moeten worden, maar dat zal waarschijnlijk voor 1 januari volgend jaar het geval zijn.
Niet dat de wet zonder slag of stoot door de senaat is geloodst. 'Het debat ging erg over de vraag of er genoeg waarborgen zijn, de toezichthouders goed zijn uitgerust en of ze tijdig worden geïnformeerd. De minister heeft toegezegd dat hij de evaluatie van de wet niet over vijf jaar, maar over twee jaar doet. En er komt extra geld voor toezicht.'
De wet bevat niettemin nog altijd twee zorgpunten, zegt Van Eijk. Ten eerste is daar de technologie-neutraliteit van de wet; er komen allemaal nieuwe technologieën aan en veiligheidsdiensten moeten daar gebruik van kunnen maken. 'Tegelijkertijd kunnen we niet overzien wat de nadelige kanten van die technologie zien. Dat betekent dat elke keer de vraag aan de orde moet zijn of je een technologie wilt inzetten of niet.' In het debat werd gisteren bijvoorbeeld de vraag opgeworpen of je een pacemaker mag hacken en of je die qua besturing zelfs zou mogen wijzigen. 'Dat is de volgende stap: als je de hack hebt, dan wil je hem ergens voor gebruiken. In eerste instantie om gegevens te verzamelen, in tweede instantie om te manipuleren.' En dan is nog onvoldoende duidelijk over het toezicht en de bevoegdheden. Daar is zelfs een speciale commissie voor opgetuigd. 'We weten nog niet of het allemaal zo uitwerkt als we denken, ook omdat het allemaal nieuw is.'
De Eerste Kamer heeft dinsdagnacht ingestemd met de omstreden aftapwet, die inlichtingendiensten toestaat om meer soorten gegevens grootschalig te onderscheppen. De wet gaat per 1 januari 2018 in werking...
....Volgens critici zijn de ingebouwde waarborgen onvoldoende. Zij vrezen dat internetverkeer van veel onschuldige burgers zal worden opgevangen en ingezien door de inlichtingendiensten. Behalve privacy-organisaties hadden ook de Raad van State en de Raad voor de Rechtspraak felle kritiek op het voorstel. Zij vinden de bewaartermijn van drie jaar te lang en de invulling van de toetsingscommissie onvoldoende...
...De in bulk verzamelde data kan volgens de nieuwe wet ook met bondgenoten worden gedeeld, zelfs wanneer die nog niet door de AIVD is ingezien. Minister Plasterk bevestigde ook dat de nieuwe wet het toestaat om anonieme bronnen van journalisten te achterhalen.
Netgear heeft een firmware-update voor de R7000-router uitgebracht die het mogelijk maakt om "analytics data" te verzamelen, zoals het gebruik van de router, ip-adressen en andere gegevens. Op de supportpagina laat Netgear weten dat technische data over het functioneren en gebruik van de routers en hun wifi-netwerk kan helpen bij het sneller vinden en oplossen van technische problemen, alsmede het verbeteren van features, functionaliteit, prestaties en gebruiksvriendelijkheid. Het gaat dan om informatie over de "running status", het aantal verbonden apparaten, soorten verbindingen, lan- en wan-status, wifi-kanalen, ip-adressen, mac-adressen, serienummer en "soortgelijke technische data" over het het gebruik en functioneren van de routers, alsmede het wifi-netwerk.
De verzamelfunctie wordt door firmware-update versie 1.0.7.12 op de R7000-router ingeschakeld. Gebruikers zouden de optie wel weer kunnen uitschakelen, aldus een andere supportpagina. Of de functie ook aan andere modellen wordt toegevoegd is onduidelijk. Op de supportpagina spreekt Netgear wel over "onze routers".
Na de vele kritische vragen van de Eerste Kamer over het sleepnet, is het demissionair kabinet nu met antwoorden gekomen. De antwoorden zijn vooral een herhaling van zetten van de behandeling in de Tweede Kamer. Maar de senatoren laten het kabinet er niet mee wegkomen.
Bij verschillende Eerste Kamerfracties heerst de zorg dat de diensten met het sleepnet straks veel te veel data over onschuldige personen kunnen onderscheppen. Deze zorg wordt ook gedeeld door de toezichthouder op de geheime diensten, de CTIVD, die al geruime tijd pleit voor expliciete wettelijke waarborgen om de verzamelde data zo snel mogelijk te beperken tot wat daadwerkelijk relevant is. De CTIVD noemt dat een verantwoorde databeperking, maar die ontbreekt dus.
Die zorg van de senatoren komt niet uit de lucht vallen. Niet alleen wordt met het sleepnet de bevoegdheid tot interceptie enorm uitgebreid waardoor grote hoeveelheden data onderschept kunnen worden, ook het risico op onrechtmatig handelen neemt toe. Onlangs werd nog eens pijnlijk duidelijk dat de geheime diensten structureel nalaten om onterecht verzamelde data te vernietigen.
Op de vraag hoe dit soort onregelmatigheden door de nieuwe wet voorkomen gaat worden, blijft het kabinet een helder antwoord schuldig. Uit de antwoorden van het kabinet blijkt bovendien dat er hoofdzakelijk een technische beoordeling (met negatieve filters, positieve filters en selectie) van de verzamelde data plaatsvindt waarvan de overgebleven data “in beginsel” relevant wordt geacht. Alleen als de verzamelde data “evident niet relevant” is zou deze moeten worden vernietigd.
Een harde plicht om de vergaarde data zo snel mogelijk op daadwerkelijke relevantie te toetsen, ontbreekt vooralsnog. Met de recente bevindingen van de CTIVD over hoe de diensten ten onrechte data niet vernietigen, voorspelt dit weinig goeds. Dat betekent dat er waarschijnlijk heel erg veel data die eigenlijk niet relevant is, alsnog bewaard zal worden.
Wat ook opvalt is dat er veel vragen zijn gesteld over de mogelijkheid van de diensten om realtime en volledig geautomatiseerd toegang te krijgen tot databases van meewerkende bedrijven en overheidsinstanties. Ook wij maken ons hier zorgen over. Waarborgen, zoals een voorafgaande onafhankelijke toets, ontbreken en er worden geen duidelijke grenzen aan de reikwijdte van deze bevoegdheid gesteld. Juist doordat er zo weinig waarborgen voor deze bevoegdheid gelden, bestaat er een reëel risico op misbruik.
Toch wuift het kabinet de zorgen die hierover bestaan weg, door te hameren op het vrijwillige karakter van de medewerking door bedrijven en overheidsinstanties. Het klopt dat realtime toegang tot databases niet kan worden afgedwongen. Maar het feit dat partijen vrijwillig de geheime diensten toegang tot jouw data kunnen geven, maakt de inbreuk op jouw rechten niet kleiner. In tegenstelling tot wat het kabinet suggereert, vindt deze samenwerking in het geheim plaats. Meewerkende partijen mogen niets over hun samenwerking met de diensten zeggen. Kortom, je hebt geen flauw idee of de overheidsinstantie of het bedrijf waaraan je je data toevertrouwd de achterdeur vrijwillig heeft opengezet voor de geheime diensten. Er is dus geen enkele reden om aan te nemen dat het dataverzamelen via realtime toegang tot databases minder ingrijpend zou zijn dan bijvoorbeeld het zetten van een tap.
De zorgen van de Eerste Kamer zijn duidelijk niet weggenomen. Naar aanleiding van de antwoorden van het kabinet besloot de Eerste Kamer afgelopen dinsdag daarom dat er nog een tweede schriftelijke vragenronde komt. Eerste Kamerleden kunnen nu tot uiterlijk 30 mei nieuwe schriftelijke vragen indienen. Het kabinet moet hierop vervolgens weer reageren.
