Kom op minister, u kunt het!

de Week van Strava heatmaps, een heftig staaltje social engineering en niks over de smart blockchain

De campagne is gestart: stem 21 maart tégen, voor een betere wet!

Een stukje service van ons naar jou toe: mooie, ontroerende, zorgwekkende en/of hilarische linkjes over internetvrijheid die we deze week ontdekten en graag met je delen.

Credits:
Foto: Bob Reid

De gevaren van geanonimiseerde publieke data-sets

Er zit een gat in veel privacywetgeving: zolang je gegevens maar anonimiseert dan mag je er opeens veel meer mee. Helaas blijkt elke keer weer dat het publiceren van geanonimiseerde gegevens onverwachte gevolgen heeft. Zo publiceerde de sport-app Strava een kaart waarop je wereldwijd meer dan een miljard routes van sporters kunt bekijken. De plaatjes die dat oplevert zijn beeldschoon, maar ze blijken ook allerlei onvoorziene informatie weg te geven. Nathan Ruser vond bijvoorbeeld verschillende (eerder onbekende) militaire basissen: ook militairen gebruiken graag sport-apps. Cory Doctorow verwijst op Boing Boing naar wetenschappelijk onderzoek waarin duidelijk wordt dat de kans op de-anonimisering groter wordt naar mate er meer data wordt verzameld. Omdat data die ooit publiek gemaakt is nooit meer teruggenomen kan worden zouden we volgens deze onderzoekers een stuk terughoudender moeten zijn met het publiceren van geanonimiseerde gegevens.

A heatmap of Moscow

De Strava heatmap van Moskou

App gedownload? Opgepakt!

Tussen 2014 en 2016 was in Turkije de Bylock-app beschikbaar. Volgens Turkse beveiligingsonderzoekers was dit een app waarmee Gülen-aanhangers met elkaar konden communiceren. Eind 2016 begon de Turkse overheid gebruikers van de app te arresteren als vermeende aanhangers van terrorisme. Het blijkt nu dat meer dan 10.000 van die gebruikers de app helemaal nooit op hun telefoon hebben gehad en dus zonder enige aanleiding zijn gearresteerd. Hoe kwam dat? Een aantal andere apps (bijvoorbeeld eentje met tijden voor het gebed) openden blijkbaar een venster van 1 pixel hoog en breed waarin de Bylock-pagina werd geladen. Gebruikers van die apps werden daarmee geregistreerd als bezoekers van de site, terwijl ze de site helemaal nooit hebben gezien. Het is onduidelijk waarom die apps die ene pixel toonden. De onderzoekers denken dat het een plan van Gülen aanhangers was om ruis te creëren. Het zou je maar gebeuren: gearresteerd worden omdat je een app met gebedstijden hebt gedownload.

Alleen software die je 100% zelf geschreven hebt kun je vertrouwen

Ken Thompson, één van de ontwikkelaars van UNIX kreeg begin jaren tachtig een prijs voor zijn werk. Hij gaf toen een beroemde speech waarin hij uitlegde hoe je op slinkse wijze en via de compiler een niet te ontdekken achterdeur kon inbouwen in bijvoorbeeld het login commando. Naar aanleiding van het debacle rondom de Spectre en Meltdown problemen heeft het Breakfast Bytes Blog de truc van Thompson nog eens naar boven gehaald. Het laat overtuigend zien dat als je echt zeker wilt zijn van wat je software doet, je deze volledig zelf geschreven moet hebben.

Heftig stukje social engineering van een Britse tiener

Hoe regel je toegang tot de e-mails en iCloud opslag van John Brennan, voormalig directeur van de Amerikaanse geheime dienst? Gewoon even bellen naar zijn internetprovider en doen alsof je van Verizon bent en alsof je John zelf bent.

De smart blockchain

Daar gaan we het niet over hebbenDat laten we graag aan de ex-minister en aan wonder woman.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.