privacy

RT.com interview on 'secure' smartphone apps

On Friday October 17th I was interviewed by Russia Today on the security of 'secure' smartphone apps that turn out to not be so secure. After 18 months of Snowden revelations that should be not news but for the Guardian newspaper it is.

De andere IT van een ander Nederland

Onderstaande column is het vervolg op een artikel dat ik schreef in de eerste week van het Snowden/NSA schandaal in juni 2013. Waar dat artikel de concrete problemen beschreef beschrijf ik hieronder de andere keuzen de gemaakt hadden kunnen worden en nog steeds gemaakt worden en de voordelen voor Nederland en Europa ten opzicht van het huidige 'beleid'.

Ook gepubliceerd in het Engels op Consortium News en de Huffington Post

De afgelopen 10-15 jaar heeft de IT in Nederland zich niet ontwikkeld in lijn met publieke belangen en het garanderen van grondrechten van de burgers van Nederland. Ook zijn er enorme kansen op het gebied van economische ontwikkeling en werkgelegenheid gemist. Nederland besteedt veel IT uit aan buitenlandse partijen wat niet alleen tientallen miljarden Euro's (1-2% BNP) aan lokale economische groei/werkgelegenheid kost maar de samenleving ook de-facto uitlevert aan buitenlandse spionage op bestuurlijke instanties, bedrijfsleven en alle individuele burgers. Hoewel voor deze risico's al ruim 15 jaar werd gewaarschuwd is dit laatste aspect het afgelopen jaar door de onthullingen van Edward Snowden onweerlegbaar en zijn volle omvang aangetoond. 12 maanden later is er in Nederland geen spoor van een reactie op deze problematiek.

Het had ook anders gekund...

In de eerste 21 maanden van de 21ste eeuw barstte de dotcom bubbel en storten er drie wolkenkrabbers in elkaar in New York. Tussen deze twee gebeurtenissen in verscheen in de zomer van 2001 een grotendeels vergeten rapport aan het Europese Parlement dat de schaal en impact van elektronische spionage beschreef op Europa door de VS en haar 'Echelon' partners (Canada, het VK, Australië en Nieuw Zeeland). Naast een gedetailleerde probleem-analyse gaf het rapport ook concrete voorbeelden van beleidsmaatregelen op IT gebied die overheden konden nemen om buitenlandse inlichtingendiensten het bespioneren van Europa een stuk moeilijker te maken.

In dezelfde periode had de Amerikaanse overheid had een van de grootste anti-trust zaken in haar geschiedenis, tegen Microsoft, gewonnen en de EU was naar aanleiding van deze overwinning een vergelijkbare zaak gestart die ook tot een veroordeling en de hoogste boete in de geschiedenis van de EU zou leiden.

Het was tegen deze achtergrond dat het nadenken over de strategische versus operationele aspecten van IT in de publieke sector veranderde. Het rapport over Echelon maakte duidelijk dat het reduceren van IT tot een instrumentele zaak rampzalige consequenties had op de soevereiniteit van Europese staten te opzichte van, met name, de VS (en wellicht in de toekomst China, andere technisch capabele landen of niet-statelijke organisaties). Ook de economische gevolgen van industriële spionage tegen bedrijven werd een punt van zorg voor de overheid.

Kerckhoffs lecture: what Europe needs to do after Snowden

At 12:30 on Friday 13th of June 2014 I will give the Kerckhoff Lecture at the Radboud Universities Kerckhoffs Institute for information security in Nijmegen in room HG00.068. For an audience of students and faculty who probably know more about the maths of cryptography than myself I will talk about the tech-policy implications of the Snowden revelations and why Europe has been doing so very, very little.

Imagine a whistleblower releasing detailed documentary proof of a group of organisations that dump large volumes of toxic mixed chemical waste in European rivers and lakes. The documents describe in detail how often (daily) and how toxic (very). Now imagine journalists, civic organisations and elected representatives all starting furious discussions about how bad this is and what the possible horrible consequences theoretically could be for european citizens.

Now imagine that this debate goes on and on for months as slowly more documentation is published showing ever more detailed descriptions of the various compounds in the toxic chemicals and what rivers and lakes precisely they are being dumped into.

Now imagine that no journalist, civic organisation or elected representative comes up with a single concrete and actionable proposal to stop the actual and ongoing toxic dumping or to prevent future organisations getting into the habit of illegal dumping.

Imagine also that both governments and public-sector organisations, including the ones responsable for health- and environmental matters continue not only to procure products and services from above organisations but also continue to give them the licences they need to operate.

Imagine that this goes on for month after month after month for a full year.

Now Imagine it turns out that the Government not only already knew about this 13 years before but also had a detailed report on practical solutions to clean up the mess and prevent future poisoning.

Imagine that.

Sounds incredible does it not?

Except this is precisely how Europe has been not-dealing with the revelations by Edward Snowden on industrialised mass-surveillance of our government & civic institutions, companies and citizens.

The EU has spent most of a year holding meetings and hearings to 'understand' the problem but has not produced a single word on what concrete actions could regain the right to privacy for its citizens now. This while a July 2001 report on Echelon, the NSA/GCHQ precursor program to the current alphabet soup, explained the scope of the problem of electronic dragnet surveillance and made practical and detailed recomendations that would have protected Europeans and their institutions had they been implemented. Currently only Germany has seen the beginnings of policies that will offer some protection for its citizens.

On Friday the 13th of June I will discuss the full scope of the NSA surveillance problem, the available technological and policy solutions and some suggestions about why they have not and are not being implemented (or even discussed).

Slides from lecture are here in ODF and PDF

BNR interview bijdrage aan ICT Commissie

Op woensdag 21mei gaf ik op BNR Radio commentaar op mijn brief aan de Commissie ICT van 5 mei.

In het gesprek gaan we vooral in op de vraag of inzet van opensource software, waarvan de specificaties voor controle openbaar beschikbaar zijn. Dit in tegenstelling tot z.g. proprietary software die als blackbox wordt geleverd en waarbij alleen de leverancier enige idee heeft wat de software echt doet. Dit laatste was altijd al in theorie een vrij serieus bezwaar voor het toepassen van dergelijke ontransparante software in de kritische functies van de overheid. Maar de theoretische bezwaren zijn door de onthullingen van Edward Snowden over het laatste jaar zeer concreet geworden. Amerikaanse inlichtingen diensten maken gebruik van ongedocumenteerde fouten in software of dwingen Amerikaanse bedrijven zelfs actief om geheime achterdeurtjes aan hun producten toe te voegen. Onder de Patriot Act kan een Amerikaans bedrijf medewerking niet weigeren en mag ze er ook geen melding van maken. De klant van zo'n bedrijf heeft dus geen flauw idee dat deze software van haar computer een afluister apparaat maakt. En in Nederland is er geen grotere klant dan onze overheid.

Verder blijft het gewoon jammer dat we inmiddels 12 jaar nadat de Tweedekamer om een koerswijziging vroeg nog steeds jaarlijks voor miljarden aan buitenlandse software blackbox kopen terwijl er gratis en transparante alternatieven bestaan. Een klein deel van die miljarden in Nederland uitgeven om die te verbeteren zo goedkoper zijn en het geld dat we uitgeven veel meer in de lokale economie houden.

Luister hier de BNR stream of de MP3.

'Tinfoil Is The New Black', Keiser Report interview

I was a guest on Max Keiser's programme 'The Keiser Report' last Thursday jan. 16th for the second time. Max is a former Wall Street trader who foresaw the current economic crisis a decade ago.

Full Keiserreport episode here on RT site and here on Youtube.

Max caught me be susprise by asking about the NSA TURMOIL and TURBINE programs. I confused them with other programs (there are many). The TURMOIL and TURBINE programs are part of the 'Targeted Acces Operations' family (see this Spiegel article). These are programs for gaining acces to systems by other means than abusing their built-in weaknesses over internet connections (the NSA's favourite method because it can be automated to spy on everyone at very low cost). Targeted Accces Operations (TAO) deals with everything from intercepting & modifying electronic devices that people order online to the use of microwave beam weapons to identify, hack, break and manipulate computer systems from great distance. The latter method has also been used for targeting drone strikes. The talk by Jacob Appelbaum I mention in the beginning of the interview is here. Many more talks from the 2013 CCC conference in Hamburg can be found here.

The US Declaration Of Independence is one of the greatest political writings in history and can be re-written for more contemporary political problems as I did here. Accoring to US academics the US declaration was inspired by the Dutch declaration that preceded it by almost two centuries.

Blogpost on a previous interview last year.

Interview on London Real

Last year during my December visit on London I gave a 1 hour interview to London Real. This is great new free-form 1+ hr completly unscripted interview program that is available on Youtube and as a podcast. Tired of the superficial 3-minute interviews that stop just when things get interesting? London Real is your channel. If you want to keep up to date on the London startup/tech scene then checkout Silicon Real.

I was honored to be in a lineup that includes several of my current heroes including Max Keiser, Jared Diamond, Annie Machon and Rick Falkvinge.

Brian Rose and me spoke about NSA-spying, the nature of privacy, copyright, bitcoin and much more. The interview begins at 7:48. For more check out the London Real site. Compact mp3 for download here.

Christmas message Edward Snowden

On December 25th 2013 Edward Snowden delivered an alternative Christmas message on the UK's channel 4 TV station. Before the broadcast a short version of the speech was leaked and immediatly uploaded to youtube. That upload was immediatly blocked but many re-uploads made the clip available everywhere. This is one of those places. If you want to thank Edward Snowden for giving up his relationship, familiy, job and any chance of a normal life to inform us all go here and donate. Or spread his message. And do something with it. Because if something is done all of Edward's sacrifices have meaning.

Cryptoparty in de Arnhemse Hackerspace Hack42

Op 20 december gaf ik de inleidende lezing op de Cryptoparty in de Hackerspace in Arnhem Hack42. Cryptoparties zijn informele en openbare bijeenkomsten waar iedereen in een dagdeel kan leren hoe je je data en communicatie kan beschermen tegen spionerende overheden, enge bedrijven of mafiosi. Zie hier voor de eerstvolgende bij jou in de buurt.

Sinds de onthullingen van Edward Snowden over de schaal van wereldwijde spionage door westerse inlichtingen diensten is er steeds meer interesse in het zelf regelen van hun privacy met technische middelen. Zelfs Geenstijl is om en omarmt de hackers.

Privacy 'howto' artikel voor Geenstijl

<geschreven op uitnodiging van Geenstijl.nl en dus in een wat andere stijl dan mijn gebruikelijke. Niet dat Geenstijl dus geen stijl heeft maar wel anders dus. Dat dan weer wel.>

Je kan je boos maken over je overheid die je mail wil lezen, je kan ook wat doen om te zorgen dat dat heel moeilijk wordt. Hieronder een stoomcursus email-beveiliging voor iedereen die niet wil wachten tot BOF en Brenno de glorieuze eindoverwinning behalen. Artikel 12 van de Universele Verklaring voor de Rechten van de Mens is tenslotte er niet alleen om je pr0n-habits te verbergen. Tenzij je blank, man, Europees en nazaat-van-een-adelijke-familie-met-grondbezit bent zijn jou burgerrechten bevochten door mensen die dat konden doen omdat ze niet in een stasi-achtige 'uberwachungs staat' leefden. Zonder privacy geen vrijheid van meningsuiting of zelfs maar meningsvorming en dus geen maatschappelijke verandering (zoals afschaffing van de slavernij, kinderarbeid of invoeren algemeen kiesrecht). Maar geloof mij niet, deze ex CIA/NSA/FBI/DoJ/MI5 medewerkers legden het afgelopen zomer nog even uit.

Als je privacy minder belangrijk vindt dat de hoeveelheid tijd die je per weekend TV reclames kijkt dan is dit stuk niet voor jou. Want het kost een beetje moeite, intelligentie en een aandachtsspanne groter dan die van een Gordonoudvis. OK, inmiddels zijn we 60% van de lezers kwijt. Da's jammer maar niet iedereen is te helpen. En als je echt niks te verbergen hebt laat je dan eens 15 min door Hans Teeuwen op live TV interviewen over je seksleven. Afschrikwekkende voorbeelden hebben tenslotte ook nut en het houdt de dumpert vol.

Tips hoe je Big Brother kunt omzeilen

<ook op Sargasso.nl>

Op 6 juli 2013 publiceerde de Britse krant The Guardian het eerste interview met Edward Snowden, tot dat moment systeembeheerder voor het Amerikaanse National Security Agency. Snowden kreeg door zijn werkzaamheden een gedetailleerd beeld van de mate waarin de NSA een wereldwijde Big Brother-staat in het inrichten was. Vrijwel alle elektronische communicatie wereldwijd werd realtime getapt, telefoons, laptops en servers werden gekraakt en softwarebedrijven werden gedwongen hun systemen met lekken op te leveren om dit mogelijk te maken.

Vermoedens van dergelijke activiteiten door onder meer Amerikaanse veiligheidsdiensten bestonden al decennia (zie dit artikel uit 1999) maar de schaal van de onthullingen die Snowden naar buiten brengt doet zelfs de meest paranoia-experts de rillingen over de rug lopen. Een korte opsomming en wat je er als burger aan kan doen.

Eben Moglen talks on Snowden & the future of Freedom

Update May 28th 2014: The Guardian just published a written summary of the talks below. For those with less time or a preference for text as opposed to video.

Over the last month Prof. Eben Moglen held a series of lectures on the implications of the documents released by whistleblower Edward Snowden. More than any other article or interview these talks give a clear analysis of the meaning of this information and what it is we all need to do as citizens if we want a future where freedom and civil liberties still has some meaning. Original video's, audio recordings and transcriptions of the talks can be found at http://snowdenandthefuture.info/.

Keynote & interview Eurapco Insurance

<op 26-09-2013 gaf ik keynote op het Eurapco congres waar top EU verzekeraars expertise delen.>

We live in a world of rapid technological change. Keynote speaker and IT expert Arjen Kamphuis discusses the implications for the insurance industry and its customers, and what measures can be taken to ensure the best possible customer experience. The objective was to raise awareness of the rapid pace of socio-technical development today and what fundamental effects this will have on the insurance industry. Changes in customer behaviour and expectations will have an impact on customer satisfaction with our companies’ claims handling.

Future shock – are we prepared for change? Some of the topics discussed in the keynote

  • What if tomorrow’s world looks really different? The basic rules of our business can change at incredible speed because of changes in technology, national/EU/ international policies, environmental threats and other external factors. New technology can overtake existing business models, and even make them irrelevant. The insurance industry faces the challenge of combining the need to be stable, secure and reliable with being dynamic, fast and responsive.
  • Cyber security needs to be taken care of, both within companies and between companies and their customers. Privacy issues are of great importance for insurance companies. For instance, it would be damaging for the image of a stable, secure and reliable insurance company if it were to be revealed that all customer data had been fully exposed by hackers or the NSA.
  • Today, all large service companies need to balance industrialised processes with the human touch. As a customer, you do not want to be exposed to the internal processes of your service provider. The customer just wants to receive service in an uncomplicated way. Changes in customer behaviour and expectations will have an impact on customer satisfaction with our companies’ claims handling.
  • Our companies’ brands face increasing danger in a fast-paced world of social media. Our customers rely more on the experience of others than on the promises of the companies. Through social media, good and especially bad experiences can be shared easily and quickly. We can join the conversation about our brand, but not control it.
  • A fast-changing world offers opportunities and threats for your business and your position in the market. Are you ready to adapt to changes in customer expectations? Is your organisation positioned to deal proactively with change, or could you be caught off guard? Do you have a plan for what to do if an improbable case scenario does occur? By carrying out regular scenario planning, you can at least have contingency plans for different case scenarios.
In your keynote speech, you mentioned that it’s very hard for anyone inside the insurance industry to see the world the way a customer, or other outsider, sees it. Can you, as an outsider, give us some tips about what is needed to achieve excellence from a customer’s perspective?

NSA intell goldmine, who else has access?

<ook op Sargasso.nl en HuffPo UK>

The War Room, Dr. Strangelove - 1965 Shortly after the initial release of some documents from whistleblower Edward Snowden I wrote a little summary about the IT-policy implications for Europe based on earlier columns. A lot of additional documents have come out since then and we can basically conclude that almost every computer system on the planet is fully broken or at least very vulnerable to NSA interference or manipulation.

Nobody, including the NSA, Edward Snowden, Glenn Greenwald has a total oversight of all the in the tens of thousands of documents let alone the political or strategic implications of the info contained in them. Most of the news keeps focusing on the 'scandal' aspect and/or the person of Snowden. Being angry at the US government (practised by most opponents) and attacking the person of Snowden (a favorite of apologists of the US regime) distracts from defining adequate policy responses and so far there have been precisely none in Europe. This constitutes a massive failure of the various EU governments to protect their citizens' rights and the economic sovereignty of their nations. It is also strange in light of the fact that an adequate policy response had already been formulated in July 2001 and really just needs to be implemented.

But every now and them the disinfo spread by some apologists for the behaviors of the NSA is useful for understanding how much worse the situation may just turn out to be. This article by a former NSA employee is a nice example of an attempt at smearing the whistleblower while actually digging the hole the NSA (and the US regime) is in much, much deeper. The piece claims Snowden secretly worked for Russian intelligence all along. While I do not share the authors views on Snowden's motivations or allegiances the suggestion that outside organisations could have agents inside the NSA has some interesting implications.

The missed opportunity of avoiding PRISM

<originally a column for Consortium News>

On July 11th 2001 the European Parliament published a report on the Echelon spy network and the implications for European citizens and businesses. Speculations about the existence of this network of Great Britain-and-her-former-colonies had been going on for years but it took until 1999 for a journalist to publish a report that moved the subject out of the tinfoil-hat- zone. The report of the EU Parliament contains very practical and sensible proposals, but because of events two months later across the Atlantic, they have never been implemented. Or even discussed further.

Under the heading "Measures to encourage self-protection by citizens and enterprises" lists several concrete proposals for improving data security and confidentiality of communications for EU citizens. The document calls on Parliament to inform citizens about the existence of Echelon and the implications for their privacy. This information must be "accompanied by practical assistance in designing and implementing comprehensive protection measures, including the security of information technology".

Other gems are the requests to "take appropriate measures to promote, develop and manufacture European encryption technology and software and, above all, to support projects aimed at developing user encryption technology, which are open-source" and "promote software projects whose source text is published, thereby guaranteeing that the software has no "back doors" built in (the so-called "open source software")”. The document also mentions explicitly the unreliability of security and encryption technologies whose source code is not published. This is an issue that is a strict taboo in Dutch and UK discussions on IT strategy for governments (probably because certain major NATO partners might be offended).

Also, governments must set a good example to each other and their citizens by "systematic use of encryption of e-mails, so that in the longer term this will be normal practice." This should in practice be realised by "ensuring the training and publication of their staff with new encryption technologies and techniques by means of the necessary practical training and courses." Even candidate countries of the EU should be helped "if they cannot provide the necessary protection by a lack of technological independence".

That one paragraph from the summer of 2001, when rational security policies had not yet been completely destroyed by 9/11, describes the basis for a solid IT policy that ensures security and privacy of citizens against threats from both foreign actors and the government itself (historically always the greatest threat to its citizens and the reason why we have constitutions).

Had these policies been implemented over the last decade then the PRISM revelations of the last week would have been met mostly with indifference. European citizens, governments and companies would be performing most of their computing and communications on systems controlled by European organisations, running software co-developed in Europe and physically located on European soil. An American problem with an overreaching spy apparatus would have been just that, an American problem - like teenagers with machine guns or lack of universal healthcare, just one more of those crazy things they do in the colonies to have 'freedom'.

OHM and other Three-Letter-Agencies

<originally a column for OHM2013.org - also on HuffPo UK> - video of The Great Spook Panel below this post

“Whatever you do will be insignificant, but it is very important that you do it.” - Mahatma Gandhi

This summer the Dutch hacker community, with help from friends all over the world, will organise the seventh hacker festival in a series that started in 1989 with the Galactic Hacker Party. The world has changed massively since then (we'll get to that) but the goal of these gatherings remains the same: to share knowledge and ideas about technology and its implications for our world, have heated discussions on what we should do about the problems we see (sometimes well before many others see them), generally have fun in communicating without keyboards, and being excellent to each other.

Four years ago a somewhat unknown Australian hacker with some new ideas about the future of journalism gave the opening keynote at HAR2009. His site was called Wikileaks and some of us had a hunch that this concept might be going places. We had no idea just how far that would be...

Not long after the first gathering in the Netherlands in 1989, the Berlin Wall came down. While we can claim no connection, the interminable Cold War had finally ended and many of us felt, with the optimism so typical of youth, that world peace might just be possible in our lifetimes. We would go back to making rockets that went up instead of straight-and-level and other great things would follow.

Installatie Commissie onderzoek elektronisch stemmen

Op 26 april 2013 is Arjen Kamphuis is samen met andere experts door Minister Plasterk (BzK) geïnstalleerd als lid van de Commissie onderzoek elektronisch stemmen (persbericht BzK). Deze commissie gaat onderzoeken of het mogelijk is het stemmen op papier te vervangen door een electronisch proces zonder dat daarbij de essentie van de democratie en de kieswet in gevaar komt. Zowel lokale bestuurders als belangenorganisaties van mensen met lichamelijke beperkingen dringen er op aan een alternatief te ontwikkelen voor het huidige papieren proces dat bij elke verkiezing in hun ogen voor veel problemen zorgt.

Tussen 1997 en 2007 was electronisch stemmen toegestaan maar deze toestemming werk teruggetrokken nadat uit onderzoek bleek dat de gebruikte systemen niet voldeden aan de essentie van de kieswet (stemgeheim en transparantie van het kiesproces).

Op Tweakers.nl en Webwereld.nl is de discussie over het onderwerp meteen losgebastern na publicatie van het bovenstaande persbericht. In de meer dan 175 reacties komen veel van de gebruikelijke misverstanden over de fundamentele problemen met electronisch stemmen weer langs. Ook naar IT-ers en computersliefhebbers is meer voorlichting over de complexiteit van het onderwerp nog noodzakelijk.

Interview op BNR radio op 1 mei 2013. Link naar mp3.

Eerdere publicaties over dit thema:
2008: publicatie in Digitaal Bestuur
2012: publicatie op Webwereld

Met spionnen en Assange aan tafel

<Webwereld column>

Foto van Israelische plutonium core, gemaakt door klokkenluider

Het Nationaal Cyber Security Centrum gaf deze week op haar conferentie aan dat het meer naar hackers wil gaan luisteren. Het is natuurlijk mooi dat de overheid gaat luisteren naar de mensen die er het meest vanaf weten hoewel de vraag blijft waarom men daar tot 2013 mee heeft gewacht. Als ze daar 5 of 10 jaar eerder mee waren begonnen had het een ongelofelijke hoop ellende en geld bespaard. Ik hoop van harte dat het overleg met de hack(tivist) community over meer gaat dan alleen technische trucs, want er zou juist op beleidsniveau moeten worden gepraat. Voor technische zaken kan men ook gewoon de gebruikelijke bureaus inhuren en hackers gewoon betalen voor hun kennis en advies.

Ondertussen vond een flinke groep hackers het jammer dat zij niet welkom waren en organiseerden een alternatieve bijeenkomst. Als de intenties van het NSCS komend jaar goed worden uitgewerkt is deze de volgende keer wellicht niet nodig. Aan de community-kant moeten deze gesprekken ook goed geregeld worden (wie zit aan tafel en vooral met welke pet op) want als community-bijdragen en commerciële belangen door elkaar gaan lopen ontaarden zaken snel in gekissebis en ruzie. Ik spreek uit ervaring ;-). Niemand is 'vertegenwoordiger' van 'de hacker community'. Het NSCS zal er aan moeten wennen dat wij geen gecentraliseerde organisatie zijn met een hoofdkantoor waar je kunt afspreken met de top-functionaris.

EPD, korte geschiedenis van een nationale ramp

<Webwereld column>

Heeft u wel eens 'De grote beurt' gezien? Dit is een auto-programma kloon van MTV's 'pimp my ride' waar oude auto's een makeover krijgen om ze weer hip&cool te maken. Probleem bij al het opleuken dat in deze programma's wordt gedaan is dat onder de nieuwe lak en glimmende velgen het een oude auto blijft die z'n beste tijd gehad heeft. Zo is het ook met het EPD.

Ruim 12 jaar geleden werd onder leiding van Minister Els Borst het plan opgevat een nationaal elektronisch patiënten dossier te realiseren. Een dergelijk dossier zou medicatie- en andere fouten door informatieachterstand bij zorgverleners voorkomen en zo vele mensenlevens redden. Het waren tenslotte de jaren '90 en er was niets dat IT niet leek te kunnen oplossen.

In 2002 werd stichting Nictiz opgericht. Deze, door het ministerie van VWS gefinancierde non-profit-zonder-formele-macht, zou het nationaal EPD gaan realiseren. Al vrij snel werd besloten dat er geen echt nationaal EPD zou komen maar een soort zoekmachine die data uit alle systemen brokjes data over een specifieke patiënt trekt. Zo'n zoekmachine-oplossing is veel complexer dan een centraal systeem.

Privacy, 10 jaar later

<Webwereld column>

Op 11 juli 2001 publiceerde het Europees Parlement een rapport over het spionagenetwerk Echelon en de implicaties voor Europese burgers en bedrijven. Er werd al jarenlang gespeculeerd over het bestaan van dit netwerk van Groot Brittannië-en-haar-voormalig-koloniën maar pas in 1999 kwam er een rapport uit dat het onderwerp voorgoed uit de alu-hoedjessfeer trok. Het rapport van het EU Parlement bevat zeer concrete en zinnige voorstellen die, door gebeurtenissen 2 maanden later na publicatie, nimmer zijn uitgevoerd. Of zelfs maar verder besproken.

Onder het kopje "maatregelen tot bevordering van de zelfbescherming van burgers en ondernemingen" staat een lijst met concrete voorstellen die beveiliging van gegevens en vertrouwelijkheid van communicatie in handen geeft van burgers. Allereerst verzoekt het Parlement burgers te informeren over het bestaan van Echelon en de gevolgen voor hun privacy. Deze voorlichting moet "vergezeld gaan van praktische bijstand bij het ontwerp en de installering van algemene beschermingsvoorzieningen, die ook de veiligheid van informatietechnologie omvatten". Dus niet alleen postbus 51 spotjes maar hands-on aan de slag graag!

Grondwet buiten spel?

<Webwereld column>

Nederlandse GrondwetEr komt een nieuw grondwettelijk artikel over het briefgeheim (artikel 13) om dit artikel klaar te maken voor de 21ste eeuw en de komende maanden mogen burgers hun visie op deze zaak geven. Het briefgeheim moet garanderen dat burgers erop kunnen rekenen dat de inhoud van brieven-in-enveloppe (geldt niet voor ansichtkaarten) altijd vertrouwelijk blijft en niet zo maar wordt ingezien door de overheid voor bijvoorbeeld opsporingsdoeleinden.

Veel van de juridische discussies over deze voorgestelde grondwetswijziging zullen de komende maanden gebaseerd zijn op een aantal veronderstellingen;
1. Er een relatie is tussen wet en grondwet in Nederland
2. De Staat der Nederlanden houdt zich aan aan haar eigen wetten
3. De Nederlandse wet nog steeds relevant is voor dit vraagstuk

Al deze veronderstellingen zijn op z´n minst twijfelachtig.

Wetten worden in Nederland niet structureel aan de grondwet getoetst zoals dat bijvoorbeeld in Duitsland wel gebeurt. Daarnaast heeft relevante artikel 13 allerlei uitzonderingen ingebouwd: de overheid mag het briefgeheim niet schenden tenzij er een wettelijke uitzondering is die zegt dat dat wel mag, een rechter er toestemming voor geeft of iemand van een veiligheidsdienst besluit dat het nodig is voor het garanderen van de nationale veiligheid. Spannende vraag is dus hoe de nieuwe versie van deze uitzonderingen er uit ziet. Want in de huidige vorm werkt de grondwet dus alleen in het geval van een overheid die oprecht werkt aan het behartigen van de belangen van haar burgers. En in dat geval hebben we de grondwet niet zo hard nodig. Een beetje zoals een regenjas van vloeipapier zeg maar. Of de website crisis.nl.

Privacy debating voor kleuters

Afgelopen maandag werd er in Amsterdam een privacy debat georganiseerd door het Europees Parlement Informatiebureau in Nederland. Ik was die avond in Amsterdam en ben dus gaan luisteren om te zien welke vragen men elkaar dan stelt (en vooral ook welke niet).

Het format van de avond was opgezet als een lagerhuis debat met twee groepen stoelen tegenover elkaar en in het midden een ruimte voor debaters en de showmaster/aan-elkaar-prater. Showmaster is eigenlijk de beste term want het geheel had de diepgang van een Lingo aflevering (sorry Lingo!).

Elk onderdeel werd geïntroduceerd door 2 archetypes van ´bad guys´. Het eerste duo betrof een geheim agent die alles van ons wil weten ´voor uw veiligheid´ en een terrorist die, om niet verder besproken redenen, ons wilde opblazen met zijn handgranaat. De terrorist gebruikte daarvoor hypeprmoderne middelen als ´skype´ en ´watsapp´ (mogelijk wel bekend bij lezers alhier). Daarom had die geheim agent dus ook toegang nodig tot al ons internet verkeer. Om die terrorist tegen te houden.

Daarna mocht de zaal debatteren over de stelling:´de overheid moet meer bevoegdheden krijgen online om Nederland te beschermen´

De aanwezige vertegenvoordiger van de KLPD (in blauw-met-goud-glimmend uniform) legde uit dat zij veel beter misdaden konden oplossen met bepaalde online bevoegdheden. En zo was binnen 30 seconden een ruimte in de discussie die gecreëerd was met ¨!!!TERRORISME!!! dreiging¨ operationeel ingevuld met veel meer reguliere opsporing van bijvoorbeeld economische delicten. Alsof je vanwege het gevaar van neerstortende Boeing 747's driewielers in een vinexwijk gaat verbieden op grond van het feit dat ze beiden wielen hebben. Niemand in het publiek leek dit op te vallen. Het verdere debat ging er van uit dat de overheid altijd het beste met de burger voor heeft en dat het met een beetje toezicht dus best kan. Voor onze veiligheid.

Parlementaire werkgroep ICT-projecten

Op 1 juni 2012 kwam de voorloper van de Tijdelijke Commissie ICT bijeen met een groep experts uit academia en bedrijfsleven. Hieronder mijn geschreven bijdrage. Eerst ruwe Opname van de videostream... Hier de bijdragen van Brenno de Winter, Rene Veldwijk, Pascal Hetzscholdt, Chris Verhoef, Ronald Prins en Walter van Holst. Column achteraf hier.

Inleiding – ICT en de Nederlandse Rijksoverheid
Andromeda M31 Universaliteit is een aanname in de astrofysica die zegt dat fenomenen zich overal zo gedragen zoals we ze vanaf de aarde kunnen waarnemen. Ik ga er van uit dat de fenomenen die ik waarneem bij ICT-projecten ook spelen bij ICT-projecten waar ik minder informatie over heb (dat dit zo is heeft vooral te maken met de gebrekkige uitvoering van de Wet Openbaarheid van Bestuur, zie opmerkingen Dhr. de Winter).

De wijze waarop ICT-projecten worden aangestuurd is gebaseerd op een nogal naïef model van de werkelijkheid “slimme ondernemers strijden op een open veld met elkaar om de gunsten van de overheid die met verstand en visie inkoopt”. Dit model heeft als nadeel dat we er de uitkomsten van projecten niet goed mee kunnen voorspellen. Vandaar ook deze werkgroep.

Het model "corrupt moeras met verkeerde incentives, bevolkt door zakkenvullers en incompetente clowns" voorspelt de gang van zaken rond projecten veel beter en geeft ook prima aan waarom het steeds mis gaat.

Tech-politics and the importance of outreach

Cory Doctorow's column in the Guardian about tech-politics and the importance of outreach by the tech community can be found here. Cory makes the point that ensuring your rights through technical skills is great, but not much help to society if the tech is too difficult for most people to use. Outreach activities and the hard work of polishing technical tools for non-techie use are of vital importance.

However, I do think that one important aspect was missing from Cory's argument, so my additional comment on another vital aspect of current tech/internet politics is below:

As nerd-politics is a subset of 'normal' politics, it's not just the nerd-part we need to worry about. The political system itself needs to function - at least some of the time - to get anywhere. If a country has a political system that retains the rituals of a democracy but no longer actually functions as such, then no amount of good nerd-politics (or politics of any other kind) will fix anything. Especially if such a fix threatens established and well-funded business interests.

It is perhaps no coincidence that all the bad tech-policy examples that Cory cites (SOPA, ACTA, TTP, DMCA, attacks on the Piratebay, mass reading of email, etc) orginate in the US and are foisted on other countries from there. While those countries deserve their fair share of blame for allowing a foreign power to bully them into this stuff, it is pretty clear where the problem lies. With or without nerds involved.

Either we fix the completely broken US political system (and good luck with that!) or the rest of the world needs to get better at ignoring absurd US laws and treaties cobbled together by lobbyists of private for-profit organisations. Neither those corporations nor general US politics concern themselves with the interests of the inhabitants of the rest of the planet. And the rest of the planet should respond accordingly.

Nerds (aka the tech community) can provide some tools to help out with that, as the Free Software movement and Wikileaks have shown.

ACTA en SOPA zijn geweldig!

<Webwereld column>

Maatschappelijke betrokken mensen zijn erg goed in morele verontwaardiging, vaak terecht, maar even zo vaak van een aandoenlijke naïviteit. Zo kijk ik al weken met enige verbazing naar Amerikaanse occupy-activisten die geschokt (geschokt zeg ik u!) zijn als een politieagent (of de rent-a-cop van een universiteit) ze zonder aanleiding slaat met wapenstok of met pepperspray bespuit.

Dat deze ambtenaren zo veel geweld gebruiken is op zich inderdaad niet netjes. Maar wie daar anno 2011 nog van schrikt roept toch de vraag op of men de afgelopen 10 jaar een beetje het nieuws heeft gevolgd. Je dacht toch niet dat je gestolen verkiezingen, illegale aanvalsoorlogen, kleuters beschieten met anti-tank wapens en het martelen van onschuldige burgers jarenlang kon laten gebeuren, zonder dat uiteindelijk de consequenties van zo'n overheid bij jezelf in de straat zouden belanden?

Net zoals de naïve verontwaardiging van sommige occupy-activisten over hun regering en haar gewapende arm heeft de boze verbazing waarmee in de IT-pers over ACTA en SOPA wordt geschreven iets kinderlijks. De copyrightindustrie is al decennia bezig om de lengte van het auteursrecht op te rekken tot het-eind-der-tijden-plus-een-dag-extra.

Privacy rechten niet meer via het het recht.

<oorspronkelijk een Webwereld column> - <ook op Sargasso.nl>

Het lijkt de laatste jaren wel alsof alles wat gecentraliseerd is faalt. Overheden die problemen moeten oplossen (of gewoon een IT-projectje goed afronden), centrale banken die moeten toezien op het gedrag van gewone banken, IT bedrijven die ons oplossingen moeten bieden die veilig zijn en onze privacy enigszins respecteren...

Decentrale dingen doen het wel goed: bittorrent, niet-westerse volksopstanden, opensource software, hacktivisme en wellicht wordt het zelf nog wat met Occupy. Ik ben blij dat Bits of Freedom en internationale tegenhangers als de EFF bestaan want zij zetten onderwerpen op de kaart bij bestuurders en andere 50-plussers die daar anders nooit over zouden nadenken. In Berlijn is de Piratenpartij zelfs met ruim 9% van de zetels het lokale bestuur binnengevlogen en staat in Duitsland landelijk ook op mooie winsten.

Maar helpt dat hameren op 'rechten' ook echt? Want ondanks alle petities, moties, acties en andere ties-en bewegen onze (digitale-)burgerrechten nog steeds de verkeerde kant uit. In Nederland is het nauwelijks nog mogelijk de middelbare school af te maken zonder Microsoft of Apple producten aan te schaffen. Ondanks een lange serie beloften en afspraken op dit gebied van onze overheid. Er zijn zoveel Pc's die door online criminelen worden bestuurd dat Microsoft speciaal voor Nederland een 'grote schoonmaak' op touw zet. Wordt het ook meteen weet eens duidelijk wie er ultimo de controle heeft over al die systemen. Ondertussen grijpt de overheid haar eigen Diginotar falen aan om de online wereld die ze niet begrijpt nog sterker te reguleren.

Wachten op de grote klap

<Webwereld column>

Het stof van Diginotar is netjes opgeveegd bij de bonte verzameling van ICT-fails in de publieke sector, de glazen zijn leeg en de plassen gedaan. Tot nu toe wijst niets erop dat er echt iets gaat veranderen aan de wijze waarop de Nederlandse overheid ICT projecten laat uitvoeren. Tijdens het overleg (mp3) in de Tweede Kamer was het duidelijk dat zowel de OPTA als PwC vinden dat hen niets te verwijten valt, ondanks het feit dat ze als toezichthouders jarenlang het stempel “OK” hebben gezet op Diginotar. De uitspraak van PwC dat de audits uiteraard goed zijn gedaan omdat “deze worden uitgevoerd door professionals met een eigen verantwoordelijkheid” zal hartverwarmend zijn voor Iraanse burgers die hiervan nu de consequenties ondervinden (denk aan iets met knieschijven en elektrisch gereedschap).

Door de chaos bij Diginotar kan nooit meer met zekerheid worden vastgesteld op welke momenten er bij het bedrijf is ingebroken en wat de gevolgen daarvan waren. Iemand die een compleet netwerk overneemt kan namelijk kinderlijk eenvoudig alle logs manipuleren. Het enige wat we dus echt met zekerheid kunnen zeggen is dat er tot nu toe geen reden is om aan te nemen dat de IT-security in het verleden veel beter was dan de recentelijk door FoxIT aangetroffen puinhoop.  Want de audits van PwC zijn overduidelijk niet in staat een dergelijke puinhoop te detecteren en de OPTA kijkt er kennelijk niet eens naar. Mogelijk was Diginotar dus al jaren van onder tot boven gehackt en is dat gewoon nooit iemand opgevallen. Een echte slimme cybercrimineel of spion doet zijn werk zo dat niemand ooit iets door heeft. In allerlei detaildiscussies over de exacte tijdslijn en omvang wordt volledig voorbij gegaan aan dit feit. Socrates glimlacht vanuit zijn graf bij de vaststelling dat we alleen zeker weten dat we niets zeker weten.

[x] ongeschikt

<Webwereld column><Saragasso.nl>

Door alle nieuwe ontdekkingen van Brenno heb ik even overwogen om weer een column te wijden aan de OV-chipkaart. Maar bij nader onderzoek kwam ik er achter dat ik (en Brenno... en vele anderen...) eigenlijk alles erover in 2008 al gezegd hebben. En verder zijn grapje over de Iraakse minister van informatie zoooo 2003. Iets anders dus.

Ruim negen jaar geleden raakte in gesprek met Kees Vendrik over de verziekte Nederlandse software markt. Niet alleen was het onmogelijk een A-merk laptop te kopen zonder Microsoft Windows licentie, het was ook onmogelijk om veel websites (gemeenten, ns.nl en vele anderen) te bezoeken met iets anders dan Internet Explorer. Op dat laatste gebied is er veel verbetering te zien en dus kan ik tegenwoordig met mijn OS en browser naar keuze prima online leven. Alleen moet ik af en toe nog even die Windows licentie slikken bij aanschaf van een nieuwe laptop. Op dat gebied is er helaas nauwelijks verbetering. Ook zaken als de maatschappelijke afhankelijkheid van producten als MS-Office is niet echt minder geworden ondanks alle mooie wensen van ons parlement en plannen die de overheid daarop schreef.

Internet, Privacy, Copyright; Choose Two

<webwereld column> <op Sargasso.nl discussie met Bart Schremer van Considerati>
<overgenomen door de Piratenpartij>

klik hier om film te piraten!

Onderzoeksbureau Considerati meldde eerder deze week dat er nog steeds flink gedownload wordt in Nederland. Voor een 'breed' onderzoek ontbraken er wel wat cruciale partijen, Bits of Freedom bijvoorbeeld. In het onderzoek geen ruimte voor fundamentele vragen over de maatschappelijke of economische waarde van auteursrecht dat inmiddels meer dan een eeuw kan duren (was ooit 15 jaar). Dat wilde de opdrachtgever waarschijnlijk niet. Ook geen woord over de lobby van de copyright industrie waarbij achter gesloten deuren wetten in elkaar worden getimmerd die zelfs onze volksvertegenwoordigers in Europa niet mogen zien laat staan beïnvloeden. De hele discussie wordt gereduceerd tot een winst/verliesrekening van een bepaalde bedrijfstak. Prima natuurlijk maar dan heeft het met mij in ieder geval niets te maken. Want ik werk niet in die bedrijfstak. Net als de meeste mensen trouwens. Ook in de comments op webwereld werd snel duidelijk dat vrijwel niemand veel waarde meer hecht aan dergelijk onderzoek. Wij van Wc-eend...

Sitting duck

mijn nieuwe column voor NOiV.

het slot is goedDe AIVD waarschuwde voor Chinese spionnen en cybercriminelen, Wikileaks cables ook. Nederland is kwetsbaar maar lijkt liever niets te willen weten van enge dingen uit de boze buitenwereld. Dat het de grote landen in de wereld ernst is blijkt wel uit de aanval op Iraanse nucleaire installaties en Amerikaanse vliegtuigbouwers. Maar met telecom partners als het Israëlische Verint heb je kennelijk helemaal geen vijanden nodig om afgeluisterd te worden.

De Tweede Kamer, horend de beraadslaging, constateerde in 2002 al dat software een cruciale rol speelde in de kennissamenleving en dat de aanbodzijde van de softwaremarkt op dat moment sterk geconcentreerd was. De kamer verzocht de regering dan ook zich maximaal in te zetten om hier verbetering in aan te brengen.

Het zijn de eerste zinnen van de motie Vendrik over de niet functionerende markt voor desktop software die al vrij snel buiten beeld zijn geraakt in alle discussies over PDF/a en welk opensource CMS nou het beste is. Maar het ging dus in eerste instantie om een verstoring van de softwaremarkt, niet de interne bedrijfsvoering van middelbare scholen, gemeentes en agentschappen. Die verstoring oplossen is een veel taaiere klus dan 'iets met open standaarden doen' dus het logisch dat een programma dat resultaten wil laten zien zich met haar beperkte middelen op haalbare projecten richt.

Komt een kamerlid bij de dokter...

<webwereld column>

Actieplan Heemskerk

Een kamerlid strompelt hoestend binnen bij de dokter. Er loopt bloed uit oren en neus en het linkeroog. “Dokter, ik ben daarnet lelijk gevallen en ik geloof dat ik mijn pols gebroken heb” rochelt het kamerlid. De dokter kijkt naar de pols en voelt er even aan. “Doet dit pijn?”. “Gaat wel” steunt het kamerlid. “Ik geloof dat het wel meevalt” zegt de dokter, “Ik kan vandaag helaas geen röntgenfoto maken want het digitale röntgenapparaat doet het vandaag niet.” Het kamerlid zwaait een en weer. “Het is waarschijnlijk een kneuzing, de verpleegkundige zal u een verband geven. Doet u het een paar dagen rustig aan en mocht de pols dan nog steeds pijnlijk zijn kom dan even terug”. Het kamerlid wankelt de spreekkamer uit, nog steeds bloedend uit oren, neus en oog. De dokter is al weer bezig met het dossier van de volgende patiënt, want doktoren hebben het nu eenmaal druk.

Het hierboven beschreven proces lijkt wel een beetje op de werkwijze van de Algemene Rekenkamer in de beantwoording van vragen gesteld door Kamerleden. De Kamerleden als non-experts een vraag en de Rekenkamer beantwoordt deze zonder de context van de vraag te analyseren of zich af te vragen of de genoemde symptomen wellicht onderdeel zijn van een breder probleem. In het net verschenen rapport worden de vragen netjes beantwoordt, overigens op basis van de meest minimale data. En dat is jammer want het is juist de Rekenkamer die de mogelijkheid heeft zelf vast te stellen dat er wellicht een vraag achter de vraag zit. In plaats van een discussie te houden over 88 miljoen euro aan licentiegelden (minder dan 1% van de totale jaarlijkse licentiebestedingen) had de Rekenkamer ook de vraag kunnen stellen waarom dingen die in omringende landen wel kunnen niet in Nederland lukken. Is Nederland echt zo anders dan Finland, Duitsland, Frankrijk of Spanje?