Blogs

Book: Information security for journalists - V1.1

With journalist Silkie Carlo I have co-authored a 'handbook' on practical information security for journalists commissioned by the UK Centre for Investigative Journalism. The CIJ handbook 'Information Security for Journalists' was launched at the CIJ Summer School 2014 in London. The book will be forever freely available in a range of electronic formats - see download links below. In the four months after the initial publication in we have rewritten certain parts based on feedback from the initial readers and updated other parts to stay current with the latest software changes. Many thanks to all who gave us valuable feedback.

Altough this book was originally written for investigative journalists most of the described concepts and technical solutions are just as usable by lawyers or advisors protecting communications with their clients, doctors protecting medical privacy and of course politicians, activists or anyone else who engages powerful state and corporate organisations. Really, we're all journalists now. Inside the book is a mailadres for getting in touch, please let us know how your are using it and what we can do better.

If you have reasons to suspect your online movements are already under some form of surveilance you should not download this book using a computer or netwpork associated with your identity (such as your home or work systems).

Several participants of journalist training programs have written articles: Information security for journalists: staying secure online by Alastair Reid (from journalism.co.uk) - A day with the surveillance expert by Jason Murdock, Offtherecord.in - Valentina Novak wrote this interview after a lecture & workshop in Slovenia last November.

On Tuesday July 8th 2014 I was once more a guest on Max Keiser's programme 'The Keiser Report' to discuss the book. Video here on my blog, here on RT site and here on Youtube.

From the 'backflap' of the book:

RT.com interview on 'secure' smartphone apps

On Friday October 17th I was interviewed by Russia Today on the security of 'secure' smartphone apps that turn out to not be so secure. After 18 months of Snowden revelations that should be not news but for the Guardian newspaper it is.

Bankrupting the NSA with Tails & defeating TTIP

On Tuesday July 8th 2014 I was once more a guest on Max Keiser's programme 'The Keiser Report'. Max is a former Wall Street trader who foresaw the current economic crisis a decade ago. On his show he lets rip on the insane financial system and allows his guests to do the same.

Max asked me about the handbook 'Information Security for Journalists' I co-authored with journalist Silkie Carlo. The tools and methods it describes can help is slowing down the NSA by increasing the cost of surveiling individuals by a factor of about 1 million. We also discussed the latest US-inspired attempt-at-corporate-takeover-disquised-as-trade-agreement known as TTIP. I think this wil be defeated in the same way as its smaller precursors ACTA and SOPA before it because it is not in Europe's interest. This will require some serious action on behalf of Europeans since our politicians seem a tad slow in recognising the patterns here.

Full Keiserreport episode here on RT site and here on Youtube.

Book: Information security for journalists

With journalist Silkie Carlo I have co-authored a 'handbook' on practical information security for journalists commissioned by the UK Centre for Investigative Journalism. The CIJ handbook 'Information Security for Journalists' was launched at the CIJ Summer School 2014 last weekend in London. The book will be freely available in electronic format and in print after the summer. Just like last year I gave lectures (slides) and ran a hands-on workshop to get journalists 'tooled-up' so they can better protect their sources, themselves and their stories in a post-Snowden world.

From the 'backflap' of the book:

This handbook is a very important practical tool for journalists. And it is of particular importance to investigative reporters. For the first time journalists are now aware that virtually every electronic communication we make or receive is being recorded, stored and subject to analysis and action. As this surveillance is being conducted in secret, without scrutiny, transparency or any realistic form of accountability, our sources, our stories and our professional work itself is under threat.

After Snowden’s disclosures we know that there are real safeguards and real counter measures available. The CIJ’s latest handbook, Information Security for Journalists, lays out the most effective means of keeping your work private and safe from spying. It explains how to write safely, how to think about security and how to safely receive, store and send information that a government or powerful corporation may be keen for you not to know, to have or to share. To ensure your privacy and the safety of your sources, Information Security for Journalists will help you to make your communications indecipherable, untraceable and anonymous.

Although this handbook is largely about how to use your computer, you don’t need to have a computer science degree to use it. Its authors, and the experts advising the project are ensuring its practical accuracy and usability, and work with the latest technology.

Gavin MacFadyen,
Director of the Centre for Investigative Journalism

This handbook is being translated into Arabic, Chinese, French, German, Portugese, Spanish, and other languages

On Tuesday July 8th 2014 I was once more a guest on Max Keiser's programme 'The Keiser Report' to discuss the book. Video here on my blog, here on RT site and here on Youtube.

De andere IT van een ander Nederland

Onderstaande column is het vervolg op een artikel dat ik schreef in de eerste week van het Snowden/NSA schandaal in juni 2013. Waar dat artikel de concrete problemen beschreef beschrijf ik hieronder de andere keuzen de gemaakt hadden kunnen worden en nog steeds gemaakt worden en de voordelen voor Nederland en Europa ten opzicht van het huidige 'beleid'.

Ook gepubliceerd in het Engels op Consortium News en de Huffington Post

De afgelopen 10-15 jaar heeft de IT in Nederland zich niet ontwikkeld in lijn met publieke belangen en het garanderen van grondrechten van de burgers van Nederland. Ook zijn er enorme kansen op het gebied van economische ontwikkeling en werkgelegenheid gemist. Nederland besteedt veel IT uit aan buitenlandse partijen wat niet alleen tientallen miljarden Euro's (1-2% BNP) aan lokale economische groei/werkgelegenheid kost maar de samenleving ook de-facto uitlevert aan buitenlandse spionage op bestuurlijke instanties, bedrijfsleven en alle individuele burgers. Hoewel voor deze risico's al ruim 15 jaar werd gewaarschuwd is dit laatste aspect het afgelopen jaar door de onthullingen van Edward Snowden onweerlegbaar en zijn volle omvang aangetoond. 12 maanden later is er in Nederland geen spoor van een reactie op deze problematiek.

Het had ook anders gekund...

In de eerste 21 maanden van de 21ste eeuw barstte de dotcom bubbel en storten er drie wolkenkrabbers in elkaar in New York. Tussen deze twee gebeurtenissen in verscheen in de zomer van 2001 een grotendeels vergeten rapport aan het Europese Parlement dat de schaal en impact van elektronische spionage beschreef op Europa door de VS en haar 'Echelon' partners (Canada, het VK, Australië en Nieuw Zeeland). Naast een gedetailleerde probleem-analyse gaf het rapport ook concrete voorbeelden van beleidsmaatregelen op IT gebied die overheden konden nemen om buitenlandse inlichtingendiensten het bespioneren van Europa een stuk moeilijker te maken.

In dezelfde periode had de Amerikaanse overheid had een van de grootste anti-trust zaken in haar geschiedenis, tegen Microsoft, gewonnen en de EU was naar aanleiding van deze overwinning een vergelijkbare zaak gestart die ook tot een veroordeling en de hoogste boete in de geschiedenis van de EU zou leiden.

Het was tegen deze achtergrond dat het nadenken over de strategische versus operationele aspecten van IT in de publieke sector veranderde. Het rapport over Echelon maakte duidelijk dat het reduceren van IT tot een instrumentele zaak rampzalige consequenties had op de soevereiniteit van Europese staten te opzichte van, met name, de VS (en wellicht in de toekomst China, andere technisch capabele landen of niet-statelijke organisaties). Ook de economische gevolgen van industriële spionage tegen bedrijven werd een punt van zorg voor de overheid.

Sidekick BNR digitaal

Op woensdag 4 juni was ik de sidekick bij BNR digitaal en mocht ik Herbert Blankenstein ondersteunen.

We spraken over HHB-tv, een nieuwe methode van TV-uitzendingen met allerlei additioneel oproepbare informatie/content stromen waar de NOS meer aan het expertimenteren is. Verder over het eenvoudig inbreken en overnemen van de computernetwerken die de meeste moderne auto's besturen met mogelijk specaculaire gevolgen. Als laatste over Nederlands bedrijf Selphee de makers van een nieuwe app die foto's en korter video's tot een enkel media-object maakt dat eenvoudig via social media te delen is. Ben zelf geen smartphone gebruiker maar nieuwe mediavormen leiden altijd tot onverwachte nieuwe toepassinge en kunstvormen. Ben beniewd wat er de komende maanden gemaakt gaar worden.

Luister hier de BNR stream of de MP3.

De volledige video van Motherboard over slecht beveiligde auto's hier:

Kerckhoffs lecture: what Europe needs to do after Snowden

At 12:30 on Friday 13th of June 2014 I will give the Kerckhoff Lecture at the Radboud Universities Kerckhoffs Institute for information security in Nijmegen in room HG00.068. For an audience of students and faculty who probably know more about the maths of cryptography than myself I will talk about the tech-policy implications of the Snowden revelations and why Europe has been doing so very, very little.

Imagine a whistleblower releasing detailed documentary proof of a group of organisations that dump large volumes of toxic mixed chemical waste in European rivers and lakes. The documents describe in detail how often (daily) and how toxic (very). Now imagine journalists, civic organisations and elected representatives all starting furious discussions about how bad this is and what the possible horrible consequences theoretically could be for european citizens.

Now imagine that this debate goes on and on for months as slowly more documentation is published showing ever more detailed descriptions of the various compounds in the toxic chemicals and what rivers and lakes precisely they are being dumped into.

Now imagine that no journalist, civic organisation or elected representative comes up with a single concrete and actionable proposal to stop the actual and ongoing toxic dumping or to prevent future organisations getting into the habit of illegal dumping.

Imagine also that both governments and public-sector organisations, including the ones responsable for health- and environmental matters continue not only to procure products and services from above organisations but also continue to give them the licences they need to operate.

Imagine that this goes on for month after month after month for a full year.

Now Imagine it turns out that the Government not only already knew about this 13 years before but also had a detailed report on practical solutions to clean up the mess and prevent future poisoning.

Imagine that.

Sounds incredible does it not?

Except this is precisely how Europe has been not-dealing with the revelations by Edward Snowden on industrialised mass-surveillance of our government & civic institutions, companies and citizens.

The EU has spent most of a year holding meetings and hearings to 'understand' the problem but has not produced a single word on what concrete actions could regain the right to privacy for its citizens now. This while a July 2001 report on Echelon, the NSA/GCHQ precursor program to the current alphabet soup, explained the scope of the problem of electronic dragnet surveillance and made practical and detailed recomendations that would have protected Europeans and their institutions had they been implemented. Currently only Germany has seen the beginnings of policies that will offer some protection for its citizens.

On Friday the 13th of June I will discuss the full scope of the NSA surveillance problem, the available technological and policy solutions and some suggestions about why they have not and are not being implemented (or even discussed).

Slides from lecture are here in ODF and PDF

Mailwisseling Centric over Commissie ICT deel-II

Onderstaande mail is de tweede reactie in een mailwisseling met Centric die die begon naar aanleiding van mijn bijdrage aan de Tijdelijke commissie ICT. De oorspronkelijke bijdrage van 5 mei 2014 staat hier, een Engelse vertaling hier. De volledige mail van Centric zoals door ontvangen staat onder mijn reactie op deze pagina.

Geachte mevrouw Ferket, beste Noor,

Hartelijk dank voor uw uitgebreide reactie op mijn mail. Ik ben blij dat u op uw eigen wijze de belangrijkste punten uit mijn eerdere schrijven daarin bevestigd:

  • Centric maakt proprietary software applicaties, bij voorkeur gebaseerd op proprietary platformen en middleware;
  • Klanten van Centric die deze applicaties gebruiken worden hierdoor (vandaag gelukkig minder dan 5 jaar geleden) in hun keuzevrijheid voor platformen en middleware beperkt;
  • Centric onderhoudt commerciële relaties met de leveranciers van proprietary software;
  • Als onderdeel van deze relaties is Centric ook wederverkoper van de licenties van deze software met marge;
  • Centric heeft dus een zakelijk belang bij de echte (of beleefde) afhankelijkheid van haar klanten ten opzichte van deze leveranciers (een fenomeen dat ook wel bekend staat als 'vendor-lock');
  • Toen in 2007 Staatssecretaris Heemskerk een eerste stap probeerde te zetten om specifiek dergelijke vormen van afhankelijkheid in de publieke sector te doorbreken reageerde uw voorganger daar vooral defensief op wat leidde tot een serie aanvaringen tussen Centric en de opensource community (inclusief overheidsklanten van Centric);
  • Inmiddels levert Centric op een aantal punten het soort keuzevrijheden waar klanten, Rijksoverheid en Parlement al sinds 2002-2004 om vroegen;

Ik snap dat u bovenstaande punten liever invult als 'feature' waar ik het toch eerder als 'bug' zie. Perspectieven kunnen nu eenmaal verschillen en zolang we daar duidelijk over zijn naar alle andere betrokkenen is dat geen probleem.

BNR interview bijdrage aan ICT Commissie

Op woensdag 21mei gaf ik op BNR Radio commentaar op mijn brief aan de Commissie ICT van 5 mei.

In het gesprek gaan we vooral in op de vraag of inzet van opensource software, waarvan de specificaties voor controle openbaar beschikbaar zijn. Dit in tegenstelling tot z.g. proprietary software die als blackbox wordt geleverd en waarbij alleen de leverancier enige idee heeft wat de software echt doet. Dit laatste was altijd al in theorie een vrij serieus bezwaar voor het toepassen van dergelijke ontransparante software in de kritische functies van de overheid. Maar de theoretische bezwaren zijn door de onthullingen van Edward Snowden over het laatste jaar zeer concreet geworden. Amerikaanse inlichtingen diensten maken gebruik van ongedocumenteerde fouten in software of dwingen Amerikaanse bedrijven zelfs actief om geheime achterdeurtjes aan hun producten toe te voegen. Onder de Patriot Act kan een Amerikaans bedrijf medewerking niet weigeren en mag ze er ook geen melding van maken. De klant van zo'n bedrijf heeft dus geen flauw idee dat deze software van haar computer een afluister apparaat maakt. En in Nederland is er geen grotere klant dan onze overheid.

Verder blijft het gewoon jammer dat we inmiddels 12 jaar nadat de Tweedekamer om een koerswijziging vroeg nog steeds jaarlijks voor miljarden aan buitenlandse software blackbox kopen terwijl er gratis en transparante alternatieven bestaan. Een klein deel van die miljarden in Nederland uitgeven om die te verbeteren zo goedkoper zijn en het geld dat we uitgeven veel meer in de lokale economie houden.

Luister hier de BNR stream of de MP3.

Mailwisseling Centric over Commissie ICT bijdrage

Onderstaande mail is een rectie op de email die ik ontving van Centric naar aanleiding van mijn bijdrage aan de Tijdelijke commissie ICT. De oorspronkelijke bijdrage van 5 mei 2014 staat hier, een Engelse vertaling hier. De volledige door ons ontvangen mail staat onder mijn reactie op deze pagina.

Geachte mevrouw Ferket, beste Noor,

Dank voor uw mail. Wij laten geen “reaguurders” toe op onze site want dan zijn we de hele dag bezig met monitoring van- en reageren op aperte onzin en beledigingen. Uw mail is zeker niet beledigend naar mij maar bevat wel een zeer specifiek perspectief waar ik hieronder graag nader op in ga.

Ik publiceer uw mail (in zijn geheel- geen edits) en mijn reactie op mijn blog. Graag zou ik zien dat u in wederkerigheid hetzelfde doet op uw site zodat er voor alle betrokkenen (met name uw klanten) openheid is over onze uitwisseling van inzichten.

In mijn optiek is het doel van de Commissie ICT veel breder dan het bekijken van een aantal projecten en zijn deze slechts voorbeelden van een structureler probleem waar men inzicht in poogt te krijgen. Er zijn redenen om aan te nemen dat Centric op punten onderdeel van dit probleem is (zeker niet de belangrijkste veroorzaker - meer een symptoom).

Publicatie van de mijn brief is overigens gedaan in overleg met- en op verzoek van de Commissie.

Uw openingszin 'wij herkennen dat beeld niet' gaat heel subtiel volstrekt niet in op de vraag of er wellicht toch een feitelijke basis is voor mijn uitspraken. Het is mogelijk dat u oprecht niet weet wat de percepties zijn van veel van uw klanten en eindgebruikers. Maar een beetje moeite heb ik hier wel mee. Niet in de laatste plaats omdat uw voorganger Ben van Lier op een bijeenkomst in 2007 van NOiV in aanwezigheid van een flink aantal klanten verbaal nogal wild om zich heen sloeg toen deze hem kritische vragen stelden. Een aantal bezoekers was oprecht bezorgd om hem en vroeg of het verstandig was een ambulance te bellen. True story.

In de rest van deze reactie zal ik pogen hier wat duidelijkheid te scheppen, overigens vrijwel geheel op basis van publieke informatie of zaken die mij persoonlijk verteld zijn door (ex)medewerkers van Centric. Geen informatie die u dus niet al zou kunnen hebben.

Ondanks uw stellingname dat Centric in harmonie met haar tevreden klanten mooie dingen doet kom ik vaak 'klanten' tegen, meestal IT-ers werkzaam in organisaties die uw producten hebben, die helemaal niet blij zijn met Centric. Dit heeft trouwens zelden te maken met productfunctionaliteit of de implementatie van werkprocessen. Veel vaker met de technische keuzes die Centric maakt en waartoe zij haar klanten dwingt.

Een recent voorbeeld is de 'strijd' (ik citeer) met Centric die gemeenteambtenaren in Ede in eerste instantie zeggen 'verloren' te hebben over de vraag welk databaseplatform ingezet moest worden ter ondersteuning van een Centric-applicatie (link in brief). De gemeente wilde graag een ander platform gebruiken in plaats van de Oracle oplossing die 80.000 Euro per jaar kost (plus 20% 'onderhoudskosten'). Later gaf Centric toe dat dit wel kon wat dan de vraag oproept waarom dit niet al veel langer en veel actiever werd aangeboden aan lokale overheden.