Afluisteren / Spionage
- Gegevens
- Hoofdcategorie: Internet en Telecom
Door technische mogelijkheden kunnen en willen de Nederlandse inlichtingendiensten steeds meer data achterhalen. Deze – voornamelijk – hackoperaties staan op gespannen voet met de wet en zijn niet altijd proportioneel. Dat blijkt uit het jaarverslag van toezichtcommissie Toetsing Inzet Bevoegdheden (TIB).
....een groeiend aantal verzoeken van de AIVD (3,3 procent, tegenover 1,9 procent in 2020) werd afgewezen.
Opvallend is dat de toezichtcommissie 54 van de ruim drieduizend verzoeken ‘niet proportioneel’ achtte. TIB-voorzitter Mariëtte Moussault: ‘De diensten willen steeds meer en ze kunnen steeds meer. Verder valt op dat de AIVD en MIVD twee journalisten afluisterden, terwijl ze daarvoor geen toestemming hadden...
...De diensten wilden twee keer kabelinterceptie toepassen. De TIB oordeelde in beide geval dat de inzet ‘niet proportioneel’ was. Het is een van de bevoegdheden waar de diensten graag meer ruimte zouden willen krijgen.
In de aanloop naar een wijziging van de Wet op de inlichtingen- en veiligheidsdiensten zouden die organisaties alvast meer ruimte willen krijgen. Moussault begrijpt die behoefte vanuit het perspectief van de diensten, maar ziet ook ‘flinke hobbels’ in het voorstel. Twee aspecten licht ze uit.
Zo mogen toezichthouders TIB en CTIVD straks geen informatie uitwisselen voordat ze de minister en het diensthoofd op de hoogte hebben gesteld. ‘Dat is van de gekke en maakt effectief toezicht onmogelijk. Dat is een flink punt waarvan ik hoop dat het eruit gaat.’
Het tweede is dat AIVD en MIVD de technische risico’s bij hacken niet meer hoeven te beschrijven. Moussault: ‘Ik begrijp dat je niet altijd weet wat je gaat tegenkomen.Maar in grote lijnen is het wel duidelijk en die informatie willen wij hebben. Waar zeggen wij en een minister anders ja tegen?’
Alles bij de bron; Volkskrant
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Toetsingscommissie Inzet Bevoegdheden (TIB) heeft het allemaal netjes op een rij gezet. Door een nieuwe inlichtingenwet mogen de geheime diensten AIVD en MIVD straks méér en makkelijker hacken en zal het ‘slepen’, het op grote schaal afluisteren van internetverkeer, eindelijk wél mogelijk zijn. Beloftes dat internetverkeer van en naar Nederland en verkeer van streamingsdiensten als YouTube daarbij gespaard worden, zijn expliciet ongedaan gemaakt. Toezeggingen, ook die na het referendum in 2018 toegevoegd zijn aan de huidige inlichtingenwet, sneuvelen op belangrijke punten.
„Dit wordt echt heel groot”, vat TIB-voorzitter Mariëtte Moussault de voorgestelde „forse uitbreiding” van de bevoegdheden van de diensten samen.
Naast dat de diensten straks meer mogen, verandert het toezicht van aard, zegt Moussault. Minder bij de TIB die vooraf toetst, méér bij de CTIVD, die achteraf en tijdens operaties in de gaten houdt of de diensten zich aan de regels houden. De CTIVD krijgt bij overtredingen de mogelijkheid om inlichtingenoperaties stil te leggen...
...Wat de uitbreiding van de bevoegdheden betreft, ben ik benieuwd of daar een debat over komt of dat de samenleving nu zegt: Rusland valt Oekraïne binnen, dus wat zeuren we.”
Alles bij de bron; NRC
- Gegevens
- Hoofdcategorie: Internet en Telecom
In het debat over de sleepwet zijn allerlei beloften en toezeggingen gedaan. Nu blijkt uit een rapport van de toezichthouder dat die beloften in de praktijk niet nagekomen worden. En de diensten niet zorgvuldig genoeg met onze gegevens omgaan. De toezichthouder stelt de geheime diensten dus onder verscherpt toezicht. Dat is nodig, maar niet genoeg...
...Zoals we eerder al schreven komt er alweer een nieuwe wet aan. In dit wetsvoorstel wordt voorgesteld om de bevoegdheden van de geheime diensten, ook deze sleepnetbevoegdheid, nóg verder uit te breiden. Dit rapport is een nieuw teken dat we deze wet uitermate kritisch moeten bekijken.
Geheime diensten willen namelijk steeds ongerichter gegevens verzamelen. Dat betekent dat er steeds meer gegevens worden verzameld van burgers waar de diensten helemaal geen onderzoek naar doen.
Aan de andere kant onderstreept dit 'verscherpte toezicht' ook het belang van goed toezicht. Uit het rapport blijkt dat de diensten hun eigen interne controle onvoldoende naleven en prioriteren. Dit laat zien hoe belangrijk de externe toezichthouders zijn, en hoe belangrijk het is dat zij in staat worden gesteld om hun werk goed te doen. Het feit dat de toezichthouder nu wordt gedwongen haar zwaarste middel in te zetten is naast nodig, ook best wel problematisch. Want ook dit zwaarste middel is te licht en stelt de toezichthouder alsnog niet in staat in te grijpen als dat nodig is.
Je moet een vlieg niet met een kanon bestrijden, en een olifant niet met een proppenschieter.
Alles bij de bron; Bits-of-Freedom
- Gegevens
- Hoofdcategorie: Internet en Telecom
Symantec heeft naar eigen zeggen de meest geavanceerde backdoor ooit van een aan China gelieerde spionagegroep ontdekt die voor een campagne die tegen overheden en vitale infrastructuur is ingezet en aanvallers laat communiceren met systemen die niet direct vanaf het internet toegankelijk zijn. Dat meldt het securitybedrijf in een analyse.
De backdoor wordt Daxin genoemd en komt in de vorm van een Windows-kerneldriver, iets wat tegenwoordig een zeldzaamheid is, aldus de onderzoekers. Daxin zou zijn ontwikkeld voor spionage tegen extra beveiligde doelwitten en beschikt over features die aan de geavanceerde Regin-malware doen denken.
Eenmaal actief op een systeem kunnen aanvallers via de backdoor bestanden lezen en schrijven. Ook is het mogelijk om willekeurige processen te starten. Wat Daxin echter doet opvallen is de manier waarop het communiceert en onopgemerkt blijft. De backdoor kan communiceren door legitieme tcp/ip-verbindingen te kapen.
Daxin is ook in staat om de communicatie over een reeks besmette computers binnen de aangevallen organisatie te laten lopen. De aanvallers kunnen zo communiceren met computers op zeer beveiligde netwerken waar een directe internetverbinding niet beschikbaar is.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Amerikaanse en Britse autoriteiten hebben een waarschuwing gegeven voor een spionagegroep die wereldwijd doelen door middel van zip-bestanden aanvalt. De groep wordt MuddyWater genoemd en is gelieerd aan de Iraanse inlichtingendienst, zo stellen de betrokken instanties.
De groep heeft het voorzien op publieke en private organisaties in verschillende sectoren, waaronder telecom, defensie, olie en gas, in Afrika, Azië, Europa en Noord-Amerika. Voor het aanvallen van deze organisaties maakt de groep onder andere gebruik van bekende kwetsbaarheden in Microsoft Exchange en spearphishing. Bij deze gerichte phishingaanvallen verstuurt de groep zip-bestanden. De zip-bestanden bevatten een Excel-document met een kwaadaardige macro die, wanneer door de gebruiker ingeschakeld, malware installeert, of een pdf-document dat malware probeert te installeren.
Om aanvallen door de groep tegen te gaan adviseren de Amerikaanse en Britse autoriteiten organisaties om hyperlinks in e-mail helemaal uit te schakelen en externe e-mails van een banner te voorzien.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De wet op de inlichtingen en Veiligheidsdiensten, ook wel de sleepwet genoemd, bepaalt op welke manier de inlichtingendiensten kunnen zoeken naar data. Volgens Swillens zijn er drie jaar na de invoering op meerdere punten problemen ontstaan. Als oplossing pleit Swillens voor minder toezicht aan de voorkant en meer realtime toezicht tijdens de uitvoering.
De wet moet er ook voor zorgen dat de privacy van burgers wordt gegarandeerd als de diensten het internet afspeuren. Swillens geeft alleen aan dat op dit moment de MIVD nog geen toegang heeft tot de kabel. 'We zijn er na drie jaar nog niet in geslaagd om de wet zoals die is opgeschreven te vertalen naar de praktijk.' En dat is een probleem omdat 90 procent van al het internetverkeer hier doorheen gaat...
...In het cyberdomein spelen volgens Swillens drie zaken. 'Spionage, sabotage en als derde het ophalen van informatie om die te manipuleren en als desinformatie uit te brengen.'
De MIVD vindt dat veiligheid niet meer uitsluitend het domein is van Defensie of het ministerie van Buitenlandse Zaken. Swillens kijkt bijvoorbeeld ook naar het ministerie van Onderwijs. 'Je praat dan over de wetenschappelijke integriteit en de vrijheid om kennis te delen, ook daar kun je niet naïef in zijn.' Anderhalf jaar geleden bracht de MIVD naar buiten dat 80 Chinese studenten in Nederland promoveren die rechtstreeks te herleiden zijn tot de Chinese defensie-industrie of het Chinese Leger.
Alles bij de bron; BNR
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Europese privacytoezichthouder EDPS vindt dat het gebruik van de omstreden Pegasus-spyware in de Europese Unie verboden zou moeten worden. De spyware vormt een ongekend risico voor fundamentele rechten en vrijheden van individuen, maar kan ook democratie en de rechtsstaat aantasten...
...Gezien het risico dat Pegasus vormt voor fundamentele rechten en vrijheden van personen, maar ook democratie en rechtsorde, is het gebruik niet compatibel met democratische waarden. De EDPS pleit dan ook voor een verbod op het gebruik en de ontwikkeling van spyware die mogelijkheden van Pegasus heeft. Dat is volgens de toezichthouder de meest effectieve manier om fundamentele rechten en vrijheden te beschermen. Mochten er uitzonderlijke situaties zijn dat de spyware wordt ingezet noemt de EDPS een reeks maatregelen om onrechtmatig gebruik tegen te gaan (pdf).
Onlangs verschenen berichten dat de spyware ook in Polen en Hongarije was ingezet. Vorige week kondigde het Europees Parlement een onderzoek naar de Pegasus-spyware aan.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Apples spraakassistent Siri en de dictafoon-app hebben audio-opnames van iOS-gebruikers zonder toestemming opgeslagen en verstuurd naar Apple. Volgens het techbedrijf gaat het om een bug die inmiddels is verholpen. De ontvangen audio-opnames zijn verwijderd.
In 2019 ontstond er ophef omdat techbedrijven de audio die ze via hun spraakassistenten opnemen door mensen laten beluisteren. Ook Apple bleek dit te doen maar besloot deze werkwijze opt-in te maken. Gebruikers moeten zelf toestemming geven voor het laten beluisteren van hun audio.
In het geval gebruikers voor een opt-out kiezen wordt hun steminteractie met Siri en de dictafoon-app niet opgeslagen en gedeeld met Apple. Met de lancering van iOS 15 zorgde een bug ervoor dat de instelling bij een "klein deel" van de gebruikers die voor een opt-out hadden gekozen juist werd ingeschakeld, waardoor hun audio-opnames zonder toestemming naar Apple gingen. Het probleem is met iOS 15.2 verholpen, zo laat Apple weten. Alle audio die op deze manier werd verkregen is volgens Apple verwijderd.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Deskundigen waarschuwen voor de risico's op spionage in het systeem waarmee de Nederlandse politie telefoongesprekken van criminelen en verdachten aftapt. Zowel een oud systeem, dat de politie nog steeds gebruikt, als het nieuw aangekochte systeem komen van Israëlische defensiebedrijven. De controle daarop faalt.
Israëlische en Nederlandse cyber- en veiligheidsspecialisten noemen het beleid in Nieuwsuur "naïef" en "onverantwoord".
"Je maakt je afhankelijk van een ander land en van de technologie en de integriteit van dat andere land. Dat zou je in dit speelveld, waarin zelfs oorlogsvoering digitaal wordt, niet moeten willen", zegt cybersecurity-expert Erik Ploegmakers. Hij bouwde in het verleden zelf mee aan een tapsysteem en snapt niet dat Nederland niet kiest voor een systeem van eigen bodem.
Alles bij de bron; NOS
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Nederlandse toezichthouder voor de inlichtingendiensten waarschuwt dat er betere regels moeten komen voor opsporing via openbare bronnen. Er zijn niet genoeg goede waarborgen waarmee AIVD en MIVD dergelijk 'automated osint-onderzoek' wettelijk goed kunnen uitvoeren.
Dat schrijft de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten of Ctivd in een rapport. Daarin keek de toezichthouder naar het gebruik van geautomatiseerd osint-onderzoek, of open source intelligence. De Ctivd zegt dat de manier waarop de inlichtingendienst AIVD en de militaire tegenhanger MIVD op dit moment aan openbarebronnenonderzoek doen, 'een ernstigere privacy-inbreuk met zich meebrengt dan is voorzien'.
Daarmee doelt de commissie op de juridische afkadering die is vastgelegd in de Wet op de inlichtingen- en veiligheidsdiensten 2017...
...De Ctivd waarschuwt dat osint-onderzoek op steeds meer plekken plaatsvindt, bijvoorbeeld ook bij de politie en de NCTV. Daarover heeft de Ctivd formeel niets te zeggen, maar in het rapport raadt de toezichthouder de ministers aan 'het rapport ook elders binnen de overheid onder de aandacht te brengen'.
Alles bij de bron; Tweakers