Software & Algoritmes

Als een onlinedienst gratis is te gebruiken, blijkt de gebruiker meestal het product. Dat is ook het geval bij Simpler Apps Inc. Dit bedrijf maakt smartphone-apps die bijvoorbeeld back-ups maken van je contactenlijst en namen van onbekende bellers voor je achterhalen. Dat doet Simpler gratis, maar ondertussen wordt de contactinformatie verkocht via de Amerikaans-Israëlische dienst Lusha.

Eerder deze week onthulde deze krant dat Lusha via netwerksite LinkedIn mailadressen en privénummers verkoopt – ook van vele Nederlanders, onder wie politici, influencers en zelfs een directeur van de Nederlandse privacywaakhond.  Dat zorgde voor ophef, omdat die gegevens normaal niet vindbaar zouden moeten zijn. Dus vroegen verschillende Trouw-redacteuren aan Lusha hoe het bedrijf hun data verkreeg. In alle gevallen was het antwoord: Simpler Apps Inc.

De samenwerking met Simpler verklaart mogelijk waarom Lusha privénummers heeft van mensen die ervan overtuigd zijn dat ze hun contactgegevens nooit zomaar ergens delen. In Simplers privacyvoorwaarden staat dat het bedrijf niet alleen de informatie van gebruikers met derden kan delen, maar ook hun contactenlijsten. Zo kunnen data van mensen die nergens mee hebben ingestemd, alsnog in Lusha’s handen terechtkomen.

Of de bedrijven de wet overtreden, zal een toezichthouder moeten bepalen. Mogelijk valt Lusha onder de minder strenge Amerikaanse privacyregels. Simpler lijkt zich bij het verzamelen van data echter expliciet op Europese gebruikers te richten, omdat zijn apps in diverse Europese talen beschikbaar zijn. Hierdoor valt Simpler volgens Terstegge onder de AVG en die staat de verkoop van contactenlijsten waarschijnlijk niet toe. Lusha en Simpler hebben niet gereageerd op vragen voor dit artikel.

Alles bj de bron; Trouw


 

Beveiligingsexpert Mazin Ahmed, die voorheen bij de end-to-end versleutelde maildienst ProtonMail werkte, heeft videovergaderplatform Zoom uitgebreid aan de tand gevoeld. Daarbij heeft hij diverse bugs en kwetsbaarheden gevonden.

Een van de zeker zeven beveiligingsproblemen die Ahmed heeft ontdekt, is dat end-to-end encrypted berichten tussen Zoom-gebruikers op Linux onversleuteld worden opgeslagen door het bedrijf. De chatcommunicatie die volledig versleuteld zou moeten zijn, blijkt in plain-text op disks te staan. Daarnaast heeft hij geheugenlekkage op Zooms productieserver gevonden, blootstelling van de Kerberos-authenticatieserver en meer slordigheden met impact op de security.

Ahmed trekt de kritische conclusie dat schaduw-IT kenmerkend is voor publieke diensten bij Zoom. Sommige instances van servers die de videovergaderfirma gebruikt, krijgen geen regelmatige updates en blijken bovendien publiekelijk toegankelijk te zijn. Zo vond hij een development instance die al minstens 10 maanden geen updates heeft gekregen. Een screenshot dat de security-onderzoeker op 14 juli dit jaar heeft gemaakt, toont een build van 10 september vorig jaar.

Alles bij de bron; AGConnect


 

De technologie die Google, Microsoft en IBM bieden voor gezichtsherkenning hebben grote moeite met mensen die gezichtsmaskers dragen. Bij mannen met een mondkapje geven de algoritmen vaker aan dat de persoon een baard heeft of 'gezichtshaar'. Bij vrouwen krijgt hetzelfde kapje de omschrijving 'duct tape' of mode-accessoire'.

De onderzoekers kwamen de bias bij toeval op het spoor. Ze waren bezig met het ontwerpen en bouwen van een applicatie die duizenden camera's in straatlocaties te koppelen om zo een inschatting te kunnen maken van hoeveel voetgangers op een zeker moment een gezichtsmasker draagt.

In een eerste test met de Google API kreeg de directeur of data science bij Wunderman Thompson bij foto's van haarzelf met mondkapje consequent 'duct tape' als omschrijving van het mondmasker terug met een zeer hoge accuratesse, welk type masker ze ook opzette.

Daarna is ze tests gaan uitvoeren met vrienden die in verschillende omstandigheden een gezichtsmasker droegen. In totaal heeft ze afbeeldingen van 265 vrouwen en 265 mannen gebruikt. De Cloud Vision API van Google wist in 36 procent van de afbeeldingen met mannen dat het ging om een persoonlijk beschermingshulpmiddel. In 27 procent vond het algoritme dat het ging om een baard en in 15 procent duct tape.

Soortgelijke missers kwamen naar boven bij het gebruik van de API's van IBM en Microsoft. Google reageerde gelijk naar Wunderman op de bevindingen en wil de gebruikte methodiek graag nader analyseren. Het bedrijf zegt altijd te willen leren van missers om het algoritme te verbeteren. IBM gaf ook aan te willen onderzoeken hoe de resultaten tot stand zijn gekomen, maar weet de scores in eerste instantie aan de testopzet.

Alles bij de bron; AGConnect


 

De FBI heeft bedrijven in de Verenigde Staten een waarschuwing gestuurd geen Windows 7 meer te gebruiken. De dienst heeft aanwijzingen dat cybercriminelen extra belangstelling hebben voor computers die nog op het niet meer ondersteunde besturingssysteem draaien.

Microsoft staakte de ondersteuning van Windows 7 in januari dit jaar. Toch is het verouderde besturingssysteem nog volop in gebruik, onder meer bij Nederlandse gemeenten. Erg onverstandig, waarschuwt nu de FBI. Net als bij het einde van de ondersteuning van Windows XP, neemt de belangstelling van criminelen voor systemen met een verouderd besturingssysteem toe.

Volgens de dienst is er nu ook een duidelijk verhoogd aantal pogingen om kwetsbaarheden in het Remote Desktop Protol (RDP) van Windows 7 te misbruiken met commercieel verkrijgbare exploits. De FBI heeft al een marktplaats voor exploits - xDedic Marketplace - onschadelijk gemaakt en raadt organisaties die nog Windows 7 gebruiken aan zo snel mogelijk over te stappen op een moderner besturingssysteem.

Alles bij de bron; AGConnect


 

In verschillende Nederlandse steden worden pilots gehouden met slimme verkeerslichten en apps. Als fietsers een bepaalde app installeren kan het verkeerslicht herkennen dat ze eraan komen, om zo precies op het juiste moment groen te worden.

In het onderzoek konden Wesley Neelen en Rik van Duijn zich voordoen als fietsers en dus van een afstand een verkeerslicht op groen zetten.

Neelen en Van Duijn presenteerden hun onderzoek tijdens de virtuele hackersconferentie DefCon, die nu plaats vindt. De onderzoekers wisten een van de gebruikte apps via reverse engineering te bestuderen. De onderzoekers willen niet zeggen om welke app het gaat omdat de problemen nog niet volledig zijn opgelost. In Nederland wordt onder andere gebruik gemaakt van de apps Schwung en CrossCycle...

...Neelen en Van Duijn wisten de mqtt-verbinding waarover die certificaten werden verzonden te manipuleren met een eigen Python-programma. Zo was het mogelijk gespoofte certificaten naar het verkeerslicht te sturen waarin de onderzoekers zich voordeden als fietsers die in de buurt waren. Daardoor sprong het stoplicht automatisch op groen.

Het is niet duidelijk hoe wijdverspreid de kwetsbaarheid precies is. Slimme verkeerslichten worden gebruikt in tientallen Nederlandse steden en het zou om honderden lichten gaan. Omdat die met verschillende apps werken zijn niet alle verkeerslichten op dezelfde manier te manipuleren. Bovendien levert het uitbuiten vooralsnog geen gevaar op. Als een verkeerslicht op groen springt, gaat een ander automatisch op rood.

Alles bij de bron; Tweakers


 

Privacy Company constateerde zes hoge en drie lage privacyrisico's bij een data protection impact assessment voor de mobiele apps voor Office 365 en Office for Web. Het bedrijf voerde die beoordeling uit in opdracht van het Ministerie van Justitie en Veiligheid, dat via zijn Strategisch Leveranciersmanagement Microsoft Rijk afspraken met Microsoft maakt over gebruik van software en diensten voor werkplekken.

Privacy Company bekeek de apps Word, PowerPoint, Outlook, Excel en Teams, in combinatie met online diensten als de spellingchecker, SharePoint Online, OneDrive for Business, Azure Active Directory en Exchange Online. De mobiele Office-apps en Office for Web verzamelen namelijk telemetriegegevens en sturen deze door naar Microsoft-servers. Privacy Company analyseerde de risico’s van de verwerking van deze diagnostische gegevens, niet die van inhoudelijke gegevens.

Daarbij constateerde het bedrijf onder andere dat Microsoft bij Office for the Web persoonsgegevens naar Optimizely en Giphy en bij de mobiele apps verkeer naar zes andere bedrijven stuurt. Geen van deze bedrijven zijn verwerkers en het risico bestaat dat via deze weg gepseudonimiseerde gegevens misbruikt kunnen worden. Sommige telemetriegegevens bleken inhoudelijke gegevens zoals bestands- en gebruikersnamen te bevatten en bij Office for the Web en de mobiele Teams, OneDrive en Office hadden beheerders geen optie om die telemetriedoorgifte te minimaliseren. Privacy Company spreekt onder meer over gebrek aan transparantie over de verzamelde diagnostische gegevens

Microsoft belooft na gesprekken met SLM Microsoft Rijk nog voor het einde van de zomer maatregelen voor drie van de zes hoge risico's door te voeren. De rest volgt later dit jaar. De maatregelen gelden uitsluitend voor Office-diensten en -apps die overheidsorganisaties gebruiken. Privacy Company adviseert bedrijven en organisaties die geen deel uitmaken van de Rijksoverheid via bijvoorbeeld vakorganisaties vergelijkbare privacygaranties te bedingen.

Privacy Company nam ook Microsofts Intune voor beheer van mobiele apparaten onder de loep. Daar kwamen vijf lage privacyrisico's uit. Een van de risico's kwam bijvoorbeeld doordat systeembeheerders de status van een apparaat ongemerkt kunnen wijzigen van ‘persoonlijk’ naar ‘zakelijk’, waarna ze alle geïnstalleerde apps op een apparaat kunnen zien.

Alles bij de bron; Tweakers


 

Afgelopen week presenteerde STT de resultaten van haar laatste studie over artificiële intelligentie. Projectleider Rudy van Belkom verdiepte zich afgelopen anderhalf jaar in wat AI nu werkelijk is en welke toekomstbeelden kunnen worden geschetst.

Van utopie tot dystopie; van ideale wereld tot een afschrikwekkende toekomst. Of vanuit een beginselfilosofie – stelen mag niet – tot een gevolgfilosofie – Robin Hood stal van rijken om armen geld te geven. Hoe moet een systeem reageren op situaties waar wij als mens allerhande ethische overwegingen bij hebben.

De titel ‘AI heeft geen stekker meer’ is een knipoog naar een situatie waar techniek zelfstandig beslissingen gaat nemen en we als mens de stekker van het apparaat niet meer uit het stopcontact kunnen trekken. De techniek neemt het over van de mens....

...Het tweede deel van de toekomstverkenning had de titel ‘De computer zegt nee’. Welk gezag geven we de computer om iets te vinden, te zeggen of om te beslissen? De komst van AI maakt deze ‘nee-zeggende’ computer ernstiger, omdat het dan vaak niet om ‘aantoonbare en bewijsbare’ fouten gaat. Omdat het nu om een veel abstractere opinie, mening, conclusie of gevolgtrekking gaat, die volledig onvolledig, fout of misplaatst kan zijn.

...Hoe gaan we onze onwetende computers normen, waarden en moraal leren en meegeven? Dat is de focus van het laatste deel van deze studie “AI heeft geen stekker meer’, over de ethiek in het ontwerpproces. In een eerdere blog beschreef ik dat het Engelse ‘intelligence’ naast intelligentie ook inlichtingen betekent. Een intelligence agency is een inlichtingendienst en dus is artificial intelligence ook het automatisch verzamelen van inlichtingen. En dat heeft (nog) weinig met menselijke intelligentie te maken. We spreken ook vaak over ‘machine intelligence of learning’, slimme machines die zelfstandig besluiten kunnen (en mogen) nemen. Ik heb dat ook in een blog weleens ‘toegevoegde intelligentie’ genoemd.

Een belangrijk deel van het afsluitende deel van deze studie was de ethiek in het ontwerpen van AI-systemen. Over uitlegbare richtlijnen, over privacy-beperkingen, over open en eerlijke algoritmes, over complexe, ondoorgrondelijke wiskundige modellen, over de uitlegbaarheid en accuraatheid. Een uitspraak in de studie is dat niet ethici maar ingenieurs aan de frontlinie van de ethiek staan. Zij bepalen wat een systeem wel of niet kan, wat de software wel of niet overweegt, wat het systeem wel of niet kan doen, wat een machine in een noodsituatie zal doen en hoe de techniek uiteindelijk kan worden gebruikt. De techniek is uiteindelijk ‘slechts’ een gereedschap voor mensen die besluiten nemen, die techniek wel of niet inzetten en daarmee de besluiten wel of niet aan die machines overlaten.

De conclusie van de studie stelt dat AI verder gaat dan technologie en filosofie. Ontwikkeling van AI heeft impact op de hele samenleving. De manier hoe we samenleven en samenwerken, onderlinge communicatie en besluitvorming, onze keurmerken en certificaties en breed gedragen standaarden en governance. Wellicht zoals de Echternach-processie met drie stappen vooruit en twee stappen achteruit; accepteren dat als iets niet goed uitpakt, je stappen terug moet durven doen.

Daarnaast dienen er betrokken stakeholders te zijn die in staat zijn die waarden en belangen in hun context te beoordelen. Een hele opgave, omdat we hier aan de wortels van onze maatschappij en samenleving staan en ‘fairness’ moeten beoordelen van gemaakte techniek. Eigenlijk de uitvoering van de motie die de Eerste Kamer in 2014 daarover al aannam onder de werktitel: ethische digitalisering.

Alles bij de bron; DutchIT [long-read]


 

Big data en artificial intelligence (AI): volgens verzekeraars en hun adviseurs kunnen deze technologieën de redding worden voor de niet al te goed renderende sector.

Verzekeraars houden zich al sinds hun ontstaan bezig met risicostatistieken. De verwachting is echter dat zelflerende computers de steeds grotere hoeveelheden schade- en klantendata beter kunnen analyseren. Verzekeraars kunnen dankzij de nieuwe technieken efficiënter schades vergoeden en beter fraude opsporen.

Maar er kleven ook vertrouwensrisico’s aan de inzet van big data en kunstmatige intelligentie. 

Kloppen de gegevens die in de systemen worden gezet wel? Blijft iedereen wel verzekerbaar als verzekeraars alles weten? Sluipen er geen ongewenste vooroordelen in de technologie, omdat de ontwerpers zich niet bewust zijn van hun eigen vooroordelen? Als verzekeraars de technieken verkeerd inzetten, kan dat discriminatie en onverzekerbaarheid in de hand werken, waarschuwden toezichthouders De Nederlandsche Bank en de Autoriteit Financiële Markten (AFM) een jaar geleden: „Het is van belang dat AI wordt ingezet op een manier die verantwoord en in lijn is met de eisen rondom integere en beheerste bedrijfsvoering, productontwikkeling en zorgplicht.”

Beleidsadviseur van het Verbond van Verzekeraars Jos Schaffers: „Er is echt vrees voor het gebruik van data. Klanten zijn bang dat ze aanlopen tegen ‘computer says no’. Dat is wat we ultiem willen bestrijden.”

Alles bij de bron; NRC


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha