Surveillance: Client Side Scanning
[1] Europees Parlement: client-side scanning van tafel
Vanuit de Europese Unie wordt gewerkt aan wetgeving om de verspreiding van kinderporno tegen te gaan. In het voorstel dat de Europese Commissie hiervoor deed, wordt ook gesproken over een verplichting om berichten te scannen op de aanwezigheid van kinderporno, zelfs als die berichtgeving versleuteld is met end-to-end-encryptie. Dat is bijvoorbeeld het geval bij chatapps WhatsApp en Signal.
Het Europees Parlement – dat samen met de Raad van Ministers de wetten die door de Europese Commissie worden voorgesteld moet goedkeuren – is dus ook niet gecharmeerd van client-side scanning. Dat voorstel leidt “tot heftige, en in mijn ogen ook terechte reacties”, vindt Europarlementariër Paul Tang (PvdA), die als enige Nederlander bij deze onderhandelingen betrokken was.
In een nieuwe tekst, waar het Parlement dinsdag een overeenstemming over heeft bereikt, wordt dan ook benadrukt dat versleutelde berichten niet gescand worden, aldus Europees Parlementariërs tijdens een persconferentie. “Ik heb in al mijn jaren in het Europees Parlement nog nauwelijks meegemaakt dat we zo’n voorstel zo ingrijpend hebben herschreven”, aldus Tang.
Het Europees Parlement stelt voor om wel detectie-orders te behouden, maar dan alleen voor niet-versleutelde content. Inlichtingendiensten kunnen dus alle content op websites als Facebook en Instagram monitoren en scrapen, zolang die niet versleuteld is. Dat mag echter alleen als daar een goede reden voor is en het gericht is op een specifiek persoon of groep personen. “Maar het gaat dan echt niet om versleutelde communicatie. Dus content scannen in WhatsApp of Signal, dat kan niet, dat mag niet en dat gaat ook niet gebeuren”, zegt Tang stellig.
Het Europees Parlement heeft nu wel een akkoord bereikt, maar vooralsnog is ook dit alleen nog een voorstel. Op 13 november moet er nog gestemd worden, waarmee het Parlement definitief akkoord gaat met dit voorstel. Maar wetsvoorstellen in de Europese Unie moeten door zowel het Europees Parlement als de Raad van Ministers goedgekeurd worden. “Daarna is het dus wachten op de Raad”, zegt Tang. Hij hoopt dat de Raad ook heil ziet in dit voorstel. “Maar zij moeten eerst een algemene overeenstemming krijgen over hun inzet bij de onderhandelingen met het Europees Parlement. Zolang dat niet gebeurd is, ligt het stil. Dus dat is eigenlijk nog wel spannend. De Raad en het Parlement hebben vervolgens tot half maart om tot een besluit te komen. Mocht dat lukken, dan kan de wet in theorie in augustus 2024 in werking gaan treden.
https://www.agconnect.nl/maatschappij/europa/europees-parlement-client-side-scanning-van-tafel
[2] Europese privacytoezichthouder houdt seminar over Brussels scanplan
De Europese privacytoezichthouder EDPS heeft op 23 oktober in het Europese Parlement en online een seminar gehouden over de plannen van Brussel om chatberichten van burgers door middel van client-side scanning te controleren met de titel ‘The Point of No Return?’. Volgens de EDPS zijn er brede zorgen over het voorstel met betrekking tot de privacygevolgen en haalbaarheid van de voorgestelde maatregelen. Met het seminar wil de privacytoezichthouder stakeholders verzamelen die de afgelopen jaar hebben gewaarschuwd voor de risico’s van client-side scanning en de misvattingen over de effectiviteit ervan. De EDPS vindt dat deze critici en experts tijdens het wetgevingsproces onvoldoende aandacht en erkenning van de Europese Commissie hebben gekregen.
De Europese privacytoezichthouder heeft zich eerder al tegen het scanplan uitgesproken. Volgens de EDPS vormt het voorstel van de Europese Commissie in zijn huidige vorm een groter risico voor individuen en de samenleving in zijn geheel dan voor criminelen die voor misbruik worden vervolgd. De toezichthouder maakt zich zeer grote zorgen over de impact die de voorgestelde maatregelen op de privacy en persoonlijke data van personen zullen hebben.
https://www.security.nl/posting/814412
[3] Tweede Kamer maant kabinet: stem tégen EU-regels met client-side-scanning
De Tweede Kamer is nog altijd kritisch op voorgestelde Europese regels om de verspreiding van kinderporno via chatapps tegen te gaan. Client-side scanning wordt daarbij als optie genoemd, maar experts zijn kritisch. Een eerder aangenomen motie om daar niet mee akkoord te gaan, is door demissionair minister Yeşilgöz-Zegerius van Justitie en Veiligheid genegeerd. Een nieuwe motie roept op om tot inkeer te komen. In deze motie die door maar liefst elf Kamerleden van evenzoveel partijen is ingediend, wordt niet alleen de kritiek van wetenschappers, technische deskundigen en juridische experts herhaald, maar ook benoemd dat een ruime meerderheid van de Tweede Kamer zich al eerder tegen het voorstel keerde. Daarnaast wordt benadrukt dat ook het Meldpunt Kinderporno van mening is dat het huidige voorstel “niet in het belang is van de kinderen die het zegt te beschermen”. De motie, die dus is aangenomen, verzoekt de regering daarom om de eerdere motie alsnog uit te voeren “en niet in te stemmen met het voorstel totdat elk vorm van encryptiebedreigende chatcontrol, zoals client-side scanning, uit het voorstel gehaald wordt en anders niet in te stemmen met het voorstel”. Ook wordt de regering verzocht niet akkoord te gaan met “voorwaardelijke clausule(s) die encryptiebedreigende client side scanning later activeert”.
[4] Beveiligingsexperts: client-side scanning leidt tot disproportionele beperking grondrechten
Het plan van de Europese Commissie om alle chatberichten van burgers door middel van client-side scanning te controleren leidt tot een disproportionele beperking van verschillende grondrechten en kan voor false positives zorgen die ingrijpende gevolgen voor burgers kunnen hebben, zo stelt Frederik Zuiderveen Borgesius, hoogleraar ICT en recht aan de Radboud Universiteit.
Volgens Bert Hubert zijn onterechte meldingen niet zonder gevolgen. “Er komen onderzoeken, telefoons worden leeggetrokken, ouders worden verdachten, iedereen wordt met de nek aangekeken. Veilig Thuis komt over de vloer om onderzoek te doen. Dit ontwricht hele gezinnen, mogelijk met thuissituaties die dit er niet bij kunnen hebben. Als we geluk hebben concludeert men al binnen een paar maanden (!) dat de onterechte melding echt onterecht was.” De beveiligingsexpert stelt dat het ook veelvuldig is gebleken dat ook onterechte meldingen kunnen leiden tot veroordelingen, die soms pas na vele jaren hoger beroep teruggedraaid worden. “Betrokken mensen kunnen de schijn tegen zich hebben, of al meer problemen hebben waarbij dit de druppel is.” Daarnaast kunnen ook afgehandelde meldingen leiden tot blijvende sporen in databases. “Een andere vreselijke uitkomst is dat er geen officieel oordeel wordt geveld en iemand eindeloos blijft hangen in een schaduwtoestand ‘niet bewezen/niet weerlegd’. Dit alleen al kan je leven ruïneren.”
“Als het voorstel wordt aangenomen, zou voor het eerst in Europa de communicatie van honderden miljoenen onschuldige mensen worden gemonitord en geanalyseerd voor de overheid”, waarschuwt Borgesius. Hij verwacht ook dat het voorstel voor zo veel ‘false positives’ zal zorgen, dat de autoriteiten overspoeld worden en de meldingen niet kunnen onderzoeken. “De verordening zal daarom waarschijnlijk niet effectief zijn.”
https://www.security.nl/posting/813681
[5] Beveiligingsexpert Hubert: client-side scanning maakt chatapps kwetsbaar voor aanvallen
Het toevoegen van een client-side scanner aan chatapps die allerlei bestandsformaten moet kunnen inspecteren, is een vorm van massasurveillance die kan leiden tot onterechte veroordelingen. Maar beveiligingsexpert Bert Hubert voert nog een ander serieus bezwaar aan tegen CSS: het maakt deze applicaties kwetsbaar voor aanvallen en het is de vraag hoe snel dergelijke kwetsbaarheden worden verholpen. Dat stelde Hubert tijdens een rondetafelgesprek in de Tweede Kamer hierover.
“De EU-scanner die in onze Signal en WhatsApp geïnstalleerd moet worden, moet alle plaatjes kunnen analyseren. Plaatjes bestaan in een hoop verschillende bestandsformaten”, merkte Hubert op, die daarbij wees naar het zerodaylek in WebP, dat gebruikt is om spyware te verspreiden. “Waarom noem ik dit voorbeeld? Deze speciale scanner-app moet alle soorten plaatjes kunnen bekijken.” Een aanvaller zou vervolgens een speciaal geprepareerde afbeelding kunnen maken om zo smartphones via een kwetsbaarheid in de EU-scanner op afstand over te nemen. Een bijkomend probleem is dat chatapps zoals Signal en WhatsApp kwetsbaarheden in hun eigen software snel kunnen verhelpen via updates, maar de EU-scanner wordt ‘waarschijnlijk in een EU-tempo geüpdatet’, aldus Hubert. “Als ik een statelijke actor was, zou ik dit een behoorlijk feestelijk stukje wetgeving vinden.”
Een tweede probleem dat de expert benoemde was afpersing via gecompromitteerde chat-accounts. Criminelen kunnen mensen straks via bijvoorbeeld een gekaapt WhatsApp-account afpersen. Als het slachtoffer niet betaalt wordt er misbruikmateriaal via zijn account verstuurd. Maar ook als het om een false positive gaat kan onterecht gedetecteerd worden grote gevolgen hebben. “Veel mensen denken dat het niet erg is als ze onderzocht worden. ‘Dan ga ik naar het politiebureau en dan leg ik dat gewoon uit, dat het mijn kind in bad was’, die illusie kun je gewoon helemaal vergeten”, merkte Hubert op. “Op het moment dat die molen met het onderzoek begint heb je niets meer uit te leggen, maar sta je in allerlei databases.”
https://www.security.nl/posting/814112
Surveillance: allerlei
[1] BAD NEWS ALERT: Geheime diensten krijgen felbegeerde wet: AIVD gaat vaker onze internetkabels verkennen
Geheime diensten AIVD en MIVD krijgen meer bevoegdheden in de cyberstrijd tegen hackers uit bijvoorbeeld China en Rusland. Ondanks bezwaren van experts dat de privacy van Nederlanders geschaad gaat worden, is de Tweede Kamer akkoord gegaan met een wet die dit regelt. In de Eerste Kamer lijkt eveneens een ruime meerderheid voor de extra bevoegdheden van de diensten te zijn.
[2] Spionagesoftware ‘Predator’: gevreesd wereldwijd en ‘made in the EU’
Makers en verkopers van spionagesoftware in Europa proberen doorlopend exportbeperkingen te omzeilen, blijkt uit internationaal onderzoek. De spionagesoftware ‘Predator’ wordt aan tal van regeringen en opsporingsdiensten verkocht. De ‘spyware’ wordt eveneens nog altijd ingezet tegen dissidenten, journalisten en politici, blijkt onder meer uit een nog vertrouwelijke analyse door het Security Lab van Amnesty International. Een groot aantal gelekte documenten, met NRC gedeeld door Der Spiegel uit Duitsland en Mediapart uit Frankrijk, toont aan hoe makers en verkopers van spyware in Europa voortdurend proberen exportbeperkingen te omzeilen. Het label ‘gemaakt en gereguleerd in de EU’ wordt daarbij gebruikt als kwaliteitskeurmerk. Met Nederland als schakel…
https://privacynieuws.nl/internet-en-telecom/afluisteren/spionagesoftware-%E2%80%98predator%E2%80%99-gevreesd-wereldwijd-en-%E2%80%98made-in-the-eu%E2%80%99.html of Spionagesoftware ‘Predator’: gevreesd door activisten wereldwijd en ‘made in the EU’ – NRC (achter paywall)
[3] Omtzigt: inzet Pegasus-spyware gaat veel verder dan George Orwells 1984
De inzet van de Pegasus-spyware is een heftige inbreuk op de mensenrechten en gaat veel en veel verder dan Watergate en George Orwells 1984, zo stelt Kamerlid Pieter Omtzigt. Omtzigt deed als rapporteur van de Raad van Europa onderzoek naar het gebruik Pegasus door Europese lidstaten voor het bespioneren van journalisten, politieke tegenstanders, mensenrechtenactivisten en advocaten. Het gaat om Polen, Hongarije, Griekenland en Spanje, zo blijkt uit het rapport van Omtzigt.
Pegasus is door NSO Group ontwikkelde spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via zeroday-aanvallen verspreid.
In het onderzoeksrapport wordt ook de Nederlandse regering opgeroepen, omdat het erop lijkt dat het Pegasus ook heeft aangeschaft, duidelijk te maken hoe de spyware wordt ingezet en welk toezicht hierop plaatsvindt. Ook is Nederland gevraagd om te laten weten hoe vaak het Pegasus heeft ingezet. Eerder meldde de Volkskrant dat de AIVD de Pegasus-spyware gebruikte bij het onderzoek naar Ridouan T. Het verzoek is ook aan andere landen gedaan waarvan wordt aangenomen dat ze de spyware aankochten.
https://www.security.nl/posting/814099
[4] Nieuwe wet voor eenvoudig en snel gegevens delen binnen EU
Nieuwe regels die het makkelijker maken om digitale gegevens te gebruiken bij het onderzoek naar en de vervolging van strafbare feiten, ongeacht waar die gegevens zich bevinden. Dat is – kort gezegd – de kern van de Europese verordening en de richtlijn die in 2026 een wettelijke status krijgen. Abonnementgegevens, IP-adressen en inlogtijden, maar ook e-mails, tekstberichten, documenten, video’s en afbeeldingen. Het zijn voorbeelden van elektronisch bewijsmateriaal dat in meer dan de helft van de strafrechtelijke onderzoeken wordt gebruikt. Dat elektronisch bewijsmateriaal is vaak op een server in een ander (EU-)land – of meerdere landen – opgeslagen. Dit maakt dat de toegang tot het bewijsmateriaal een ingewikkeld proces is: rechterlijke instanties in meerdere landen moeten tijdrovende en omslachtige procedures doorlopen om het materiaal te verkrijgen.
Met de nieuwe wet kunnen rechterlijke instanties met de nieuwe verordening het bewijsmateriaal rechtstreeks opvragen bij dienstverleners die in een andere lidstaat zijn gevestigd. Dat gebeurt met een zogenoemd verstrekkingsbevel. Zij moeten binnen 10 dagen, en in dringende gevallen zelfs binnen 8 uur, digitale gegevens beschikbaar stellen. Verder kunnen rechterlijke instanties met een Europees bewaringsbevel voorkomen dat buitenlandse dienstverleners gegevens verwijderen. Dit maakt het mogelijk dat zij deze informatie ook in een later stadium kunnen opvragen.”
Nieuwe wet voor eenvoudig en snel gegevens delen binnen EU – BeveiligingNieuws
[5] Ongehoord Nederland over de sleepwet, client-side scanning Snowden en Assange
Onze digitale vrijheden staan onder hoge druk. De recente ontwikkelingen met betrekking tot wet- en regelgeving (waar we in deze blog eerder over geschreven hebben) zorgen er voor dat veel mensen zich zorgen maken. Ik was afgelopen week te gast bij zowel Ongehoord Nederland als blckbx om te praten over deze ontwikkelingen. Je kunt de uitzendingen hieronder bekijken! https://proprivacy.io/nl/te-gast-bij-on-en-blckbx/
[6] Berichtendienst Sky was voor de politie de kraak van de eeuw, maar de methoden blijken schimmig
De hack van berichtendienst Sky ECC bleek een goudmijn voor justitie, maar rond de opsporingsmethoden hing een rookgordijn. Nu blijkt uit Belgische, Franse en Nederlandse strafdossiers waar de Volkskrant inzage in kreeg, dat België en Nederland de grenzen van de wet opzochten. Hoe de politie toegang kreeg tot de honderden miljoenen berichten mag niet bekend worden, terwijl het de kern van de rechtsstaat raakt: als rechters de opsporingsmethode niet kunnen toetsen, krijgen verdachten geen eerlijk proces.
https://www.volkskrant.nl/nieuws-achtergrond/berichtendienst-sky-was-voor-de-politie-de-kraak-van-de-eeuw-maar-de-methoden-blijken-schimmig~b5865214/ (LONG READ ALERT!)
Digitale patiëntendossiers
Minister Kuipers: centrale dataopslag onmisbaar in moderne huisartspraktijk
De centrale opslag van data is onmisbaar in de moderne en ‘digitale’ huisartspraktijk van nu, zo laat demissionair minister Kuipers van Volksgezondheid aan de Tweede Kamer weten. De bewindsman reageerde op berichtgeving van NRC dat de meeste huisartsenpraktijken de medische dossiers van alle patiënten met een commercieel softwarebedrijf delen, zonder dat patiënten hier weet van hebben.
“Het NRC-artikel laat zien dat het delen van medische gegevens en toestemming daarvoor een gevoelig onderwerp is en dat dit zo blijft, vooral als commerciële softwarebedrijven erbij betrokken zijn”, merkt Kuipers verder op. Het is nu aan de Autoriteit Persoonsgegevens om te bepalen of er een vervolgonderzoek nodig is. Afsluitend laat de minister weten dat huisartsen een grote eigen verantwoordelijkheid hebben als het gaat om het delen van medische gegevens en het informeren van patiënten.
https://www.security.nl/posting/815069
Digitaal geld
[1] Europese privacytoezichthouders willen meer waarborgen bij digitale euro
De Europese privacytoezichthouders willen dat er meer waarborgen komen om de privacy bij het gebruik van de digitale euro te beschermen, waaronder het niet monitoren van transacties onder een bepaald bedrag. Dat laten de Europese privacytoezichthouder EDPS en de Europese privacytoezichthouders verenigd in de EDPB in een gezamenlijke opinie weten.
Zo moet er een drempelwaarde voor online transacties komen, waaronder zowel offline als online transacties niet worden gemonitord voor de aanpak van witwassen en financiering van terrorisme. Een ander punt is dat de Europese Centrale Bank en nationale centrale banken door middel van een ‘single access point’ kunnen gaan controleren of gebruikers niet het maximale aantal digitale euro’s dat ze mogen bezitten overschrijden. De toezichthouders willen meer duidelijkheid over deze verwerking en of het single access point we noodzakelijk en proportioneel is.
https://www.security.nl/posting/814744
[2] BBB wil opheldering over gebruik metadata bij offline toepassing digitale euro
De BBB heeft demissionair minister Kaag van Financien om opheldering gevraagd of het klopt dat voor de offline mogelijkheden van de digitale euro alsnog gebruik wordt gemaakt van anonieme metadata. Daarnaast vindt de partij dat de overheid in het kader van transparantie ook de nadelen van de digitale euro naar burgers toe moet communiceren. “Klopt het dat er voor de offline mogelijkheden van de digitale euro alsnog gebruikt wordt gemaakt van anonieme metadata? Is het kabinet van mening dat metadata daadwerkelijk anoniem zijn en nooit getraceerd kunnen worden naar een individu?”, zo wil de BBB weten.
Daarnaast werd eerder al bekend dat de overheid in de communicatie over de digitale euro vooral de voordelen wil gaan benoemen. De BBB vindt dat in het kader van transparantie van de overheid het ook belangrijk is om de nadelen van de digitale euro ten opzichte van huidige betalingsmogelijkheden te belichten. “Waarom wordt het proces zelf voortgezet en hier geld in geïnvesteerd als er nog niet bepaald is of er politieke draagkracht is voor zo’n plan? Gaat het kabinet de Commissie erop wijzen dat het raar is dat het proces verder wordt uitgewerkt voordat er duidelijk is of er politieke draagkracht is, en kan er niet eerder in het proces gekeken worden naar het politieke draagvlak voordat er verder gegaan wordt met het ontwerpen van een digitale euro?”, zo wil de BBB verder weten.
Ook de PVV heeft hier vragen over. “Wanneer wordt het bekend of de Europese Centrale Bank daadwerkelijk over zal gaan tot uitgifte van een digitale euro en wanneer wordt naar verwachting een politiek akkoord bereikt tussen de lidstaten en het Europees Parlement over de voorstellen en de verordeningen? ” Minister Kaag moet nog antwoord op de vragen geven.
[3] Crypto Privacy Presentatie over Bitcoin en Monero nu voor iedereen gratis te zien!
Een aantal maanden geleden presenteerde een crypto-expert in het auditorium van Café Weltschmerz de Crypto Privacy Presentatie. Deze presentatie is een volledig overzicht van de huidige privacy problematiek die zich voordoet op transparante blockchains zoals die van Bitcoin. In deze presentatie wordt uitgelegd waarom privacy van levensbelang is als het gaat om financiële transacties. Je kunt de presentatie gratis bekijken! Hier leren we je alvast hoe je Monero zo privacy-vriendelijk mogelijk kunt kopen.
Het positieve cybernieuws!
[1] The Techno-Optimist Manifesto
Ben je libertariër en vind je het moeilijk om door bovenstaand nieuws nog positief tegen informatietechnologie aan te kijken? Lees dan The Techno-Optimist Manifesto!
The Techno-Optimist Manifesto | Andreessen Horowitz (a16z.com)
[2] Tails: Overal volledig anoniem online
Een besturingssysteem waarmee je volledig anoniem kunt werken, zowel online als offline. Een systeem, bovendien, dat je altijd en overal bij je draagt. Het is zo groot als je duimnagel, en je hangt het bijvoorbeeld aan je sleutelbos. Hoe gaaf klinkt dat?
Tails is een draagbaar besturingssysteem dat beschermt tegen ongewenste online surveillance en censuur. Om Tails te gebruiken start je de computer op vanaf de Tails-USB-stick in plaats van vanaf de harddisk. Je kunt zo je eigen computer tijdelijk veranderen in een ultra beveiligde machine, maar je kunt ook prima de computer van iemand anders gebruiken.
https://goodbyebigtech.nl/blogs/blog/overal-volledig-anoniem-online
[3] Mullvad VPN: Bevrijd het internet van grootschalige bewaking
Mullvad gelooft in een vrij internet. Vrij van grootschalige bewaking en censuur. Vrij van big data en autoriteiten die elke stap in de gaten houden. Hun VPN-dienst en op privacy gerichte browser helpen om het internet te bevrijden van grootschalige bewaking!
[4] Tor Project vraagt om donaties: ongekende uitdagingen dit jaar
Het Tor Project vraagt om donaties. Vorig jaar zag de organisatie de donaties van Amerikaanse burgers met meer dan tien procent afnemen en deze trend heeft zich inmiddels wereldwijd doorgezet. Dagelijks maken zo’n vier miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Vorig jaar kwam er in totaal 367.000 dollar binnen, afkomstig van 1790 personen. In 2021 bedroeg het donatiebedrag nog 940.000 dollar. Het Tor Project is een non-profitorganisatie die volledig dankzij giften bestaat. De organisatie wil minder afhankelijk worden van de donaties van de Amerikaanse overheid (?!). Volgens het Tor Project hebben de grootschalige ontslagen in de Amerikaanse techsector de gemeenschap van Tor-gebruikers buitensporig geraakt.
