security

What's it for? The objectives of policies & systems

<Column syndicated on Consortium News>

When trying to understand current events in their context it's often more useful to look at the policies that are influencing these events than individual cases (although the individual cases often make up 'the news'). In many cases there is a gaping chasm between the formally stated goals of a policy and their actual effects ('wars' on various nouns such as 'terror' or 'drugs' come to mind).

Despite this, discussions about and opposition against are often argued from the rather fictional standpoint that the stated goals are the actual goals. Even if it is patently obvious that the policy in question does not further this goal, and that everybody smart enough to have some influence is aware of this. Opposition against misguided or destructive policies thus allows the parameters of the debate to be fenced-in by its proponents. It's pretty hard to win any debate if the other party can define (and re-define) the goal-posts without a need for any evidence that these goal-posts are reasonably placed.

Parlementaire werkgroep ICT-projecten

Op 1 juni 2012 kwam de voorloper van de Tijdelijke Commissie ICT bijeen met een groep experts uit academia en bedrijfsleven. Hieronder mijn geschreven bijdrage. Eerst ruwe Opname van de videostream... Hier de bijdragen van Brenno de Winter, Rene Veldwijk, Pascal Hetzscholdt, Chris Verhoef, Ronald Prins en Walter van Holst. Column achteraf hier.

Inleiding – ICT en de Nederlandse Rijksoverheid
Andromeda M31 Universaliteit is een aanname in de astrofysica die zegt dat fenomenen zich overal zo gedragen zoals we ze vanaf de aarde kunnen waarnemen. Ik ga er van uit dat de fenomenen die ik waarneem bij ICT-projecten ook spelen bij ICT-projecten waar ik minder informatie over heb (dat dit zo is heeft vooral te maken met de gebrekkige uitvoering van de Wet Openbaarheid van Bestuur, zie opmerkingen Dhr. de Winter).

De wijze waarop ICT-projecten worden aangestuurd is gebaseerd op een nogal naïef model van de werkelijkheid “slimme ondernemers strijden op een open veld met elkaar om de gunsten van de overheid die met verstand en visie inkoopt”. Dit model heeft als nadeel dat we er de uitkomsten van projecten niet goed mee kunnen voorspellen. Vandaar ook deze werkgroep.

Het model "corrupt moeras met verkeerde incentives, bevolkt door zakkenvullers en incompetente clowns" voorspelt de gang van zaken rond projecten veel beter en geeft ook prima aan waarom het steeds mis gaat.

[x] ongeschikt

<Webwereld column><Saragasso.nl>

Door alle nieuwe ontdekkingen van Brenno heb ik even overwogen om weer een column te wijden aan de OV-chipkaart. Maar bij nader onderzoek kwam ik er achter dat ik (en Brenno... en vele anderen...) eigenlijk alles erover in 2008 al gezegd hebben. En verder zijn grapje over de Iraakse minister van informatie zoooo 2003. Iets anders dus.

Ruim negen jaar geleden raakte in gesprek met Kees Vendrik over de verziekte Nederlandse software markt. Niet alleen was het onmogelijk een A-merk laptop te kopen zonder Microsoft Windows licentie, het was ook onmogelijk om veel websites (gemeenten, ns.nl en vele anderen) te bezoeken met iets anders dan Internet Explorer. Op dat laatste gebied is er veel verbetering te zien en dus kan ik tegenwoordig met mijn OS en browser naar keuze prima online leven. Alleen moet ik af en toe nog even die Windows licentie slikken bij aanschaf van een nieuwe laptop. Op dat gebied is er helaas nauwelijks verbetering. Ook zaken als de maatschappelijke afhankelijkheid van producten als MS-Office is niet echt minder geworden ondanks alle mooie wensen van ons parlement en plannen die de overheid daarop schreef.

Cybercrime or the end of scarcity? The future of hacking.

On October 14th The Club of Amsterdam is meeting to discuss 'the future of hacking'.

The future of hackingThe term hacking (and hacker) means very different things to different people. Most will associate the term with computer-enabled crime; from Russian mobsters stealing western credit cards to spammers sending billions of unwanted email advertisements for Viagra to Chinese intelligence employees attempting to break into NATO computers. For those calling themselves hacker (or being called hackers by their peers) hacking just refers to the creative use of technology, any technology, to do new and unexpected things.

Artikel Tijdschrift voor Heelkunde

Deze week staat in het Tijdschrift voor Heelkunde, het lijfblad van Nederlandse chirurgen, een artikel dat collega Younass en ik schreven naar aanleiding van onze keynote op de Chirurgendagen vorige maand. Het hele artikel in twee talen hier, de PDF van het tijdschrift hier. Achtergrond links en artikelen hier.

Ambtenaar 2.0 van de week

Ambtenaar 2.0 logoNaar aanleiding van mijn blogpost over de meest recente ontwikkeling rond Goud en de Rijkswerkplek ben ik een discussie begonnen op de community site van Ambtenaar 2.0. Dit werd een gedetailleerde uitwisseling waar ik zelf ook weer van leerde. De redactie van A2.0 heeft mij nu tot Lid van de week gemaakt en dus mag ik nog eens uitleggen wat Gendo is en waarom we doen wat we doen.

Soms wordt er wat verbaasd gereageerd op onze betrokkenheid bij maatschappelijke zaken waar we niet direct zakelijke iets mee te maken hebben. Naast ondernemers zijn wij echter ook burgers en mensen en iedereen binnen Gendo krijgt tijd en middelen om die rol in te vullen met de kennis en kundes die we hebben.

Security workshop Cascadis Webmasterclass

Op donderdag 17 september heeft Gendo een workshop verzorgt voor de Cascadis Webmasterclass bijeenkomst. Arjen Kamphuis en Menso Heus gaven de aanwezigen een breed overzicht van hoe het security landschap er uit ziet, wat een aantal veel voorkomende bedreigingen zijn en wat de deelnemers daar aan konden doen.

De workshop deelnemers werkten voor gemeenten, waterschappen, de politie en andere overheidsinstellingen en gebruikten een grote diversiteit aan systemen. Door een meer theoretische uitleg over security principes te geven in plaats van zeer systeemgerichte informatie slaagde Gendo er in de workshop voor iedereen interessant te houden.

Interview Madison Gurkha

In de aanloop naar Hacking at Random 2009 werd ik geinterviewd door security bedrijf Madison Gurkha. Klik op de afbeelding of hier voor een PDF op hogere resolutie.

What have the hackers ever done for us?

HAR2009.orgGisteren schreef Steeph een stuk over Hacking At Random en tot onze schaamte moeten we bekennen dat hij gelijk heeft. Wij zijn voornamelijk nutteloze nerds die inderdaad niks voor elkaar krijgen. Ik bedoel, zeg nou zelf. Dat stelt toch allemaal geen ruk voor... Beetje een World Wide Web gaan zitten uitvinden terwijl je bezig moet zijn met kernfysica. Computers grafische interfaces geven zodat iedereen ze kan gebruiken. Nederlanders toegang geven tot Internet, het legaal exporteren van vrijwel onkraakbare cryptografie, en het bevechten van Scientology om vrijheid van meningsuiting op het Internet te garanderen voor iedereen.

Het is toch allemaal geneuzel. Who cares?

Get a famous fingerprint

Schaeubleattrappe_250The German Chaos Computer Club, the oldest and largest hacker group of Europe, made available to the public the fingerprint of the German Minister Schäuble for the Interior. They wanted to show how easy it is to obtain someone's identity when identity is based on fingerprints.

The German government is preparing to build a national database containing the fingerprints of all its citizens for the purposes of fraud-prevention and national security. Minister Schäuble is very angry about the release of his fingerprints and has stated he will take legal measures against the CCC. Dutch hacker Rop Gongrijp pointed out that the Minister's anger was curious since it was the minister after all who wanted to collect the fingerprints of over 82 million Germans and the CCC only collected one.

Public Transport card fully hacked

What experts foresaw last December and the Dutch research institute TNO denies was possible in their recent report has been done. The deepest level of data-encryption on the NXP Mifare RFID chip has been hacked. Cash from cards can now be copied to other cards through cloning and that makes this system utterly unsuitable for serious applications involving real people and real money.

Bruce Schneier on security trade-offs

Beyond_fear Bruce Schneier just posted a really good explanation about "the difference between feeling and reality in security". It is one of those articles I wish I'd written. Not because there is a great new nugget of insight in it but because it explains some very basic problems in thinking about security so very well.

The gist of the article is that as people living in modern environments we can have a hard time accurately estimating realistic trade offs between risks and reward. When the world was closely resembling the world we had developed in as a species we were better at it. Our brains were supported by millions of years of evolution in correctly estimating the risk versus rewards of certain actions. There's food here and a lion, should I stay or run? The specimens who made bad trade-off calls died of hunger or lions. The ones making good calls had many babies.

Bruce Schneier on security trade-offs

Beyond_fear Bruce Schneier just posted a really good explanation about "the difference between feeling and reality in security". It is one of those articles I wish I'd written. Not because there is a great new nugget of insight in it but because it explains some very basic problems in thinking about security so very well.

The gist of the article is that as people living in modern environments we can have a hard time accurately estimating realistic trade offs between risks and reward. When the world was closely resembling the world we had developed in as a species we were better at it. Our brains were supported by millions of years of evolution in correctly estimating the risk versus rewards of certain actions. There's food here and a lion, should I stay or run? The specimens who made bad trade-off calls died of hunger or lions. The ones making good calls had many babies.