Surveillance: Client Side Scanning
[1] Europees Parlement: client-side scanning van tafel
Vanuit de Europese Unie wordt gewerkt aan wetgeving om de verspreiding van kinderporno tegen te gaan. In het voorstel dat de Europese Commissie hiervoor deed, wordt ook gesproken over een verplichting om berichten te scannen op de aanwezigheid van kinderporno, zelfs als die berichtgeving versleuteld is met end-to-end-encryptie. Dat is bijvoorbeeld het geval bij chatapps WhatsApp en Signal.
Lees verder op: https://www.agconnect.nl/maatschappij/europa/europees-parlement-client-side-scanning-van-tafel
[2] Europese privacytoezichthouder houdt seminar over Brussels scanplan
De Europese privacytoezichthouder EDPS heeft op 23 oktober in het Europese Parlement en online een seminar gehouden over de plannen van Brussel om chatberichten van burgers door middel van client-side scanning te controleren met de titel ‘The Point of No Return?’. Volgens de EDPS zijn er brede zorgen over het voorstel met betrekking tot de privacygevolgen en haalbaarheid van de voorgestelde maatregelen. Met het seminar wil de privacytoezichthouder stakeholders verzamelen die de afgelopen jaar hebben gewaarschuwd voor de risico’s van client-side scanning en de misvattingen over de effectiviteit ervan. De EDPS vindt dat deze critici en experts tijdens het wetgevingsproces onvoldoende aandacht en erkenning van de Europese Commissie hebben gekregen.
De Europese privacytoezichthouder heeft zich eerder al tegen het scanplan uitgesproken. Volgens de EDPS vormt het voorstel van de Europese Commissie in zijn huidige vorm een groter risico voor individuen en de samenleving in zijn geheel dan voor criminelen die voor misbruik worden vervolgd. De toezichthouder maakt zich zeer grote zorgen over de impact die de voorgestelde maatregelen op de privacy en persoonlijke data van personen zullen hebben.
https://www.security.nl/posting/814412
[3] Tweede Kamer maant kabinet: stem tégen EU-regels met client-side-scanning
De Tweede Kamer is nog altijd kritisch op voorgestelde Europese regels om de verspreiding van kinderporno via chatapps tegen te gaan. Client-side scanning wordt daarbij als optie genoemd, maar experts zijn kritisch. Een eerder aangenomen motie om daar niet mee akkoord te gaan, is door demissionair minister Yeşilgöz-Zegerius van Justitie en Veiligheid genegeerd. Een nieuwe motie roept op om tot inkeer te komen.
Lees verder op: https://www.agconnect.nl/maatschappij/privacy/tweede-kamer-blijft-tegen-eu-plan-voor-client-side-scanning
[4] Beveiligingsexperts: client-side scanning leidt tot disproportionele beperking grondrechten
Het plan van de Europese Commissie om alle chatberichten van burgers door middel van client-side scanning te controleren leidt tot een disproportionele beperking van verschillende grondrechten en kan voor false positives zorgen die ingrijpende gevolgen voor burgers kunnen hebben, zo stelt Frederik Zuiderveen Borgesius, hoogleraar ICT en recht aan de Radboud Universiteit.
Volgens Bert Hubert zijn onterechte meldingen niet zonder gevolgen. “Er komen onderzoeken, telefoons worden leeggetrokken, ouders worden verdachten, iedereen wordt met de nek aangekeken. Veilig Thuis komt over de vloer om onderzoek te doen. Dit ontwricht hele gezinnen, mogelijk met thuissituaties die dit er niet bij kunnen hebben. Als we geluk hebben concludeert men al binnen een paar maanden (!) dat de onterechte melding echt onterecht was.” De beveiligingsexpert stelt dat het ook veelvuldig is gebleken dat ook onterechte meldingen kunnen leiden tot veroordelingen, die soms pas na vele jaren hoger beroep teruggedraaid worden. “Betrokken mensen kunnen de schijn tegen zich hebben, of al meer problemen hebben waarbij dit de druppel is.” Daarnaast kunnen ook afgehandelde meldingen leiden tot blijvende sporen in databases. “Een andere vreselijke uitkomst is dat er geen officieel oordeel wordt geveld en iemand eindeloos blijft hangen in een schaduwtoestand ‘niet bewezen/niet weerlegd’. Dit alleen al kan je leven ruïneren.”
“Als het voorstel wordt aangenomen, zou voor het eerst in Europa de communicatie van honderden miljoenen onschuldige mensen worden gemonitord en geanalyseerd voor de overheid”, waarschuwt Borgesius. Hij verwacht ook dat het voorstel voor zo veel ‘false positives’ zal zorgen, dat de autoriteiten overspoeld worden en de meldingen niet kunnen onderzoeken. “De verordening zal daarom waarschijnlijk niet effectief zijn.”
https://www.security.nl/posting/813681
[5] Beveiligingsexpert Hubert: client-side scanning maakt chatapps kwetsbaar voor aanvallen
Het toevoegen van een client-side scanner aan chatapps die allerlei bestandsformaten moet kunnen inspecteren, is een vorm van massasurveillance die kan leiden tot onterechte veroordelingen. Maar beveiligingsexpert Bert Hubert voert nog een ander serieus bezwaar aan tegen CSS: het maakt deze applicaties kwetsbaar voor aanvallen en het is de vraag hoe snel dergelijke kwetsbaarheden worden verholpen. Dat stelde Hubert tijdens een rondetafelgesprek in de Tweede Kamer hierover.
“De EU-scanner die in onze Signal en WhatsApp geïnstalleerd moet worden, moet alle plaatjes kunnen analyseren. Plaatjes bestaan in een hoop verschillende bestandsformaten”, merkte Hubert op, die daarbij wees naar het zerodaylek in WebP, dat gebruikt is om spyware te verspreiden. “Waarom noem ik dit voorbeeld? Deze speciale scanner-app moet alle soorten plaatjes kunnen bekijken.” Een aanvaller zou vervolgens een speciaal geprepareerde afbeelding kunnen maken om zo smartphones via een kwetsbaarheid in de EU-scanner op afstand over te nemen. Een bijkomend probleem is dat chatapps zoals Signal en WhatsApp kwetsbaarheden in hun eigen software snel kunnen verhelpen via updates, maar de EU-scanner wordt ‘waarschijnlijk in een EU-tempo geüpdatet’, aldus Hubert. “Als ik een statelijke actor was, zou ik dit een behoorlijk feestelijk stukje wetgeving vinden.”
Een tweede probleem dat de expert benoemde was afpersing via gecompromitteerde chat-accounts. Criminelen kunnen mensen straks via bijvoorbeeld een gekaapt WhatsApp-account afpersen. Als het slachtoffer niet betaalt wordt er misbruikmateriaal via zijn account verstuurd. Maar ook als het om een false positive gaat kan onterecht gedetecteerd worden grote gevolgen hebben. “Veel mensen denken dat het niet erg is als ze onderzocht worden. ‘Dan ga ik naar het politiebureau en dan leg ik dat gewoon uit, dat het mijn kind in bad was’, die illusie kun je gewoon helemaal vergeten”, merkte Hubert op. “Op het moment dat die molen met het onderzoek begint heb je niets meer uit te leggen, maar sta je in allerlei databases.”
https://www.security.nl/posting/814112
Omtzigt: inzet Pegasus-spyware gaat veel verder dan George Orwells 1984
De inzet van de Pegasus-spyware is een heftige inbreuk op de mensenrechten en gaat veel en veel verder dan Watergate en George Orwells 1984, zo stelt Kamerlid Pieter Omtzigt. Omtzigt deed als rapporteur van de Raad van Europa onderzoek naar het gebruik Pegasus door Europese lidstaten voor het bespioneren van journalisten, politieke tegenstanders, mensenrechtenactivisten en advocaten. Het gaat om Polen, Hongarije, Griekenland en Spanje, zo blijkt uit het rapport van Omtzigt.
Pegasus is door NSO Group ontwikkelde spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via zeroday-aanvallen verspreid.
In het onderzoeksrapport wordt ook de Nederlandse regering opgeroepen, omdat het erop lijkt dat het Pegasus ook heeft aangeschaft, duidelijk te maken hoe de spyware wordt ingezet en welk toezicht hierop plaatsvindt. Ook is Nederland gevraagd om te laten weten hoe vaak het Pegasus heeft ingezet. Eerder meldde de Volkskrant dat de AIVD de Pegasus-spyware gebruikte bij het onderzoek naar Ridouan T. Het verzoek is ook aan andere landen gedaan waarvan wordt aangenomen dat ze de spyware aankochten.
https://www.security.nl/posting/814099
Nieuwe wet voor eenvoudig en snel gegevens delen binnen EU
Nieuwe regels die het makkelijker maken om digitale gegevens te gebruiken bij het onderzoek naar en de vervolging van strafbare feiten, ongeacht waar die gegevens zich bevinden. Dat is – kort gezegd – de kern van de Europese verordening en de richtlijn die in 2026 een wettelijke status krijgen. Abonnementgegevens, IP-adressen en inlogtijden, maar ook e-mails, tekstberichten, documenten, video’s en afbeeldingen. Het zijn voorbeelden van elektronisch bewijsmateriaal dat in meer dan de helft van de strafrechtelijke onderzoeken wordt gebruikt.
Lees verder op: Nieuwe wet voor eenvoudig en snel gegevens delen binnen EU – BeveiligingNieuws
Ongehoord Nederland over de sleepwet, client-side scanning Snowden en Assange
Onze digitale vrijheden staan onder hoge druk. De recente ontwikkelingen met betrekking tot wet- en regelgeving (waar we in deze blog eerder over geschreven hebben) zorgen er voor dat veel mensen zich zorgen maken. Ik was afgelopen week te gast bij zowel Ongehoord Nederland als blckbx om te praten over deze ontwikkelingen. Je kunt de uitzendingen hieronder bekijken! https://proprivacy.io/nl/te-gast-bij-on-en-blckbx/
Digitale patiëntendossiers
Minister Kuipers: centrale dataopslag onmisbaar in moderne huisartspraktijk
De centrale opslag van data is onmisbaar in de moderne en ‘digitale’ huisartspraktijk van nu, zo laat demissionair minister Kuipers van Volksgezondheid aan de Tweede Kamer weten. De bewindsman reageerde op berichtgeving van NRC dat de meeste huisartsenpraktijken de medische dossiers van alle patiënten met een commercieel softwarebedrijf delen, zonder dat patiënten hier weet van hebben.
“Het NRC-artikel laat zien dat het delen van medische gegevens en toestemming daarvoor een gevoelig onderwerp is en dat dit zo blijft, vooral als commerciële softwarebedrijven erbij betrokken zijn”, merkt Kuipers verder op. Het is nu aan de Autoriteit Persoonsgegevens om te bepalen of er een vervolgonderzoek nodig is. Afsluitend laat de minister weten dat huisartsen een grote eigen verantwoordelijkheid hebben als het gaat om het delen van medische gegevens en het informeren van patiënten.
https://www.security.nl/posting/815069
Digitaal geld
Europese privacytoezichthouders willen meer waarborgen bij digitale euro
De Europese privacytoezichthouders willen dat er meer waarborgen komen om de privacy bij het gebruik van de digitale euro te beschermen, waaronder het niet monitoren van transacties onder een bepaald bedrag. Dat laten de Europese privacytoezichthouder EDPS en de Europese privacytoezichthouders verenigd in de EDPB in een gezamenlijke opinie weten.
Zo moet er een drempelwaarde voor online transacties komen, waaronder zowel offline als online transacties niet worden gemonitord voor de aanpak van witwassen en financiering van terrorisme. Een ander punt is dat de Europese Centrale Bank en nationale centrale banken door middel van een ‘single access point’ kunnen gaan controleren of gebruikers niet het maximale aantal digitale euro’s dat ze mogen bezitten overschrijden. De toezichthouders willen meer duidelijkheid over deze verwerking en of het single access point we noodzakelijk en proportioneel is.
https://www.security.nl/posting/814744
BBB wil opheldering over gebruik metadata bij offline toepassing digitale euro
De BBB heeft demissionair minister Kaag van Financien om opheldering gevraagd of het klopt dat voor de offline mogelijkheden van de digitale euro alsnog gebruik wordt gemaakt van anonieme metadata. Daarnaast vindt de partij dat de overheid in het kader van transparantie ook de nadelen van de digitale euro naar burgers toe moet communiceren. “Klopt het dat er voor de offline mogelijkheden van de digitale euro alsnog gebruikt wordt gemaakt van anonieme metadata? Is het kabinet van mening dat metadata daadwerkelijk anoniem zijn en nooit getraceerd kunnen worden naar een individu?”, zo wil de BBB weten.
Daarnaast werd eerder al bekend dat de overheid in de communicatie over de digitale euro vooral de voordelen wil gaan benoemen. De BBB vindt dat in het kader van transparantie van de overheid het ook belangrijk is om de nadelen van de digitale euro ten opzichte van huidige betalingsmogelijkheden te belichten. “Waarom wordt het proces zelf voortgezet en hier geld in geïnvesteerd als er nog niet bepaald is of er politieke draagkracht is voor zo’n plan? Gaat het kabinet de Commissie erop wijzen dat het raar is dat het proces verder wordt uitgewerkt voordat er duidelijk is of er politieke draagkracht is, en kan er niet eerder in het proces gekeken worden naar het politieke draagvlak voordat er verder gegaan wordt met het ontwerpen van een digitale euro?”, zo wil de BBB verder weten.
Ook de PVV heeft hier vragen over. “Wanneer wordt het bekend of de Europese Centrale Bank daadwerkelijk over zal gaan tot uitgifte van een digitale euro en wanneer wordt naar verwachting een politiek akkoord bereikt tussen de lidstaten en het Europees Parlement over de voorstellen en de verordeningen? ” Minister Kaag moet nog antwoord op de vragen geven.
The Techno-Optimist Manifesto
Ben je libertariër en vind je het moeilijk om door bovenstaand nieuws nog positief tegen informatietechnologie aan te kijken? Lees dan The Techno-Optimist Manifesto!
The Techno-Optimist Manifesto | Andreessen Horowitz (a16z.com)
Tails: Overal volledig anoniem online
Een besturingssysteem waarmee je volledig anoniem kunt werken, zowel online als offline. Een systeem, bovendien, dat je altijd en overal bij je draagt. Het is zo groot als je duimnagel, en je hangt het bijvoorbeeld aan je sleutelbos. Hoe gaaf klinkt dat?
Tails is een draagbaar besturingssysteem dat beschermt tegen ongewenste online surveillance en censuur.
Lees hierover verder bij: https://goodbyebigtech.nl/blogs/blog/overal-volledig-anoniem-online
Mullvad VPN: Bevrijd het internet van grootschalige bewaking
Mullvad gelooft in een vrij internet. Vrij van grootschalige bewaking en censuur. Vrij van big data en autoriteiten die elke stap in de gaten houden. Hun VPN-dienst en op privacy gerichte browser helpen om het internet te bevrijden van grootschalige bewaking!
Tor Project vraagt om donaties: ongekende uitdagingen dit jaar
Het Tor Project vraagt om donaties. Vorig jaar zag de organisatie de donaties van Amerikaanse burgers met meer dan tien procent afnemen en deze trend heeft zich inmiddels wereldwijd doorgezet. Dagelijks maken zo’n vier miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Vorig jaar kwam er in totaal 367.000 dollar binnen, afkomstig van 1790 personen. In 2021 bedroeg het donatiebedrag nog 940.000 dollar. Het Tor Project is een non-profitorganisatie die volledig dankzij giften bestaat. De organisatie wil minder afhankelijk worden van de donaties van de Amerikaanse overheid (?!). Volgens het Tor Project hebben de grootschalige ontslagen in de Amerikaanse techsector de gemeenschap van Tor-gebruikers buitensporig geraakt.
