“Iedereen is van minuut tot minuut te volgen”. De risico’s voor de privacy in het hackers-tijd

11 mei 2005

Veel van de huidige digitale discussie staat in het teken van privacy, auteursrechten en kopieerbeveiliging van cd’s en software. In onze netwerkmaatschappij is bijna iedereen van minuut tot minuut te volgen. Wat internetgebruikers en mobiele bellers doen is voor het bedrijfsleven al sinds jaren geen geheim. Politie en geheime diensten krijgen steeds meer greep op deze persoonsgegevens. In verschillende landen, waaronder Nederland en Groot-Brittannië, zijn internetaanbieders en telecommaatschappijen verplicht om gegevens van klanten op te slaan en de overheid toegang daartoe te geven. Als het aan de Europese Commissie ligt wordt de bwaarplicht van dit soort gegevens nog zwaarder. Deze inbreuk op de privacy baart zorgen.

Geert-Jan van Bussel

Geen wettelijke bescherming.
In Nederland heeft de politie nog een rechterlijk bevel nodig om verdachten via internet of de telefoon af te tappen. In Engeland is dat al niet meer het geval sinds de omstreden wet Regulation of Investigatory Powers (RIP) in werking trad. Iedereen die wordt verdacht kan zonder meer worden afgetapt. De politie heeft het recht databanken met profielen van verdachten aan te leggen en te bewaren zonder toetsing vooraf. De techniek vormt in toenemende mate een bedreiging voor de privacy van de gebruikers.

De verkeersgegevens (wie belt met wie, waar, wanneer en hoelang) kennen geen wettelijke bescherming. Telecommaatschappijen bieden steeds meer diensten aan die zijn gebaseerd op deze gegevens. In Finland en Japan bijvoorbeeld kunnen mobiele bellers vrienden lokaliseren die zich binnen een straal van een paar honderd meter bevinden. Als het mobiele telefoonnetwerk een vriend signaleert, krijgt de klant een seintje en kan hij zijn vriend bellen om een afspraak te maken. Dat de verkeersgegevens (die ook zijn gekoppeld aan de identiteit van de persoon) ook verkeerd kunnen worden gebruikt, realiseren zich nog steeds veel mensen niet.

Op zich is er een simpele oplossing.

Computers en mobiele telefoons kunnen zodanig worden ontworpen dat de gegevens die de lokatie van de gebruiker verraden losgekoppeld zijn van de identiteit van de gebruiker. Helaas lijkt deze simpele oplossing in strijd te zijn met het commercialiteitsstreven van het bedrijfsleven.

Spelen met techniek is niet zonder risico.
Programmeurs die willen weten hoe beveiligingsmethoden in elkaar zitten of die een dvd-speler voor het alternatieve besturingssysteem Linux schrijven lopen in de Verenigde Staten de kans gearresteerd te worden. De Digital Millennium Copyright Act (DMCA) verbiedt het maken en verspreiden van software die de beveiliging van bijvoorbeeld cd’s, dvd’s en elektronische boeken omzeilt. De Russische computerdeskundige Dmitry Sklyarov werd in 2001 op grond van de DMCA gearresteerd nadat hij op de hackersconferentie DefCon had gedemonstreerd hoe de beveiliging van de elektronische boeken van softwarebedrijf Adobe is te kraken. Hoofdredacteur Emmanuel Goldstein van het hackersmagazine 2600, is vervolgd omdat hij een hyperlink heeft gepubliceerd naar een website met het programma DeCSS. DeCSS, gemaakt door een Noorse tiener, is bedoeld om dvd’s af te spelen op Linux-computers. De Amerikaanse filmindustrie, die de licenties voor het produceren van films op dvd en de bijbehorende software en hardware beheert, ondersteunt alleen Windows en Macintosh. Wie een programma schrijft om een legaal gekochte film op dvd op een Linux-computer af te spelen pleegt volgens de DMCA een strafbaar feit. Ook linken naar dergelijke programma’s mag niet, heeft de Amerikaanse rechter bepaald.

Onwenselijke ontwikkelingen.
De strenge licentievoorwaarden ondersteunen de macht van het bedrijfsleven. Bedrijven bepalen nu hoe en waar je films mag bekijken en muziek mag beluisteren. Dat is een volstrekt onwenselijke ontwikkeling. Er ligt nu in de Verenigde Staten een wetsvoorstel op tafel om hackers-praktijken te gebruiken om peer-to-peer-netwerken zoals KaZaa te bestrijden. Door Denial-of-Service-aanvallen kunnen dergelijke netwerken volledig worden platgelegd. Ook het verspreiden van virussen wordt door dat wetsvoorstel in de strijd tegen de verspreiding van ongeoorloofde MP3-s goedgekeurd.

Uiteraard is de mediaindustrie groot voorstander van een dergelijke aanpak. Desalniettemin zal ook zo’n wetsvoorstel de praktijk niet veranderen. De te gebruiken hackers-praktijken kunnen uiteraard ook tegen de genoemde mediaconcerns zelf gebruikt worden, met eventueel catastrofale commerciële gevolgen. En ook kan de verspreiding van muziek en films via Freenet plaats gaan vinden. Deze verdere, anarchistische ontwikkeling van peer-to-peer-netwerken is door geen enkele huidige techniek dusdanig te beïnvloeden dat de werking ervan wordt geschaad.

Serieuze zaak.
Privacybescherming is een hele serieuze zaak. De DMCA en de wellicht daarvan afgeleide Europese regelgeving hebben de neging te leiden tot aantasting van de privacy. Gekoppeld aan het feit dat die privacy overal al zwaar onder druk staat is dit een ontwikkeling die tot zorgen aanleiding geeft. De meeste computersystemen zijn dermate ‘lek’ en dermate slecht beveiligd dat zelfs zeer simpele technieken er toegang toe geven. Slechte software, slordige gebruikers en stuntelige systeembeheerders zijn vaak de oorzaak van een lek. De gevolgen kunnen variëren van datadiefstal, creditcard-fraude, misbruik van persoonsgegevens tot het lamleggen van vitale delen van de infrastructuur van een land, zoals beurzen, vliegvelden en ziekenhuizen.

Het Internet is het medium bij uitstek om deze problemen uit te buiten. Nu steeds meer bedrijven hun computers op het Internet aansluiten, lopen zij ook steeds meer gevaar dat die verbindingen misbruikt worden. Vele bedrijven huren IT veiligheidsexperten in om de veiligheid van hun netwerk te garanderen. Maar die garantie bestaat niet: er zijn minder tools voorhanden om te beschermen tegen kwaadaardige hacks en industriële spionage, dan tegen de dreiging van virussen. Opmerkelijk is ook dat het Amerikaanse ministerie van Defensie reeds van oudsher één van de meest geliefde doelwitten voor hackers is. Volgens het Pentagon vinden er per jaar zo’n 250.000 digitale inbraakpogingen plaats. Daarvan slagen er 160.000, een ongelooflijk aantal. Om vervolgens het ‘succes’ van de bestrijding aan te geven: minder dan 1 % van deze gevallen wordt ook opgelost.

Veiligheidsrisico’s.
Hacken is niet echt moeilijk, al vereist het binnendringen in de computersystemen van het Pentagon grote deskundigheid. De meeste technieken zijn echter openbaar beschreven en de meeste programmatuur is gewoon te koop of zelfs vrij verkrijgbaar op het Internet. In 60 % van alle gevallen van ongeoorloofde toegang tot computersystemen is de indringer een eigen medewerker van het bedrijf. Werknemers dringen onbevoegd in het systeem binnen meestal om data te veranderen zonder toestemming of frauduleuze bestellingen voor goederen te plaatsen. Het kan ook zijn dat de werknemer tracht om informatie op te zoeken of databestanden probeert te kopiëren.

Ex-werknemers zijn veiligheidsrisico’s. Er zijn gevallen bekend waar de wachtwoorden onveranderd bleven tot drie jaar nadat de persoon die ze oorspronkelijk had opgesteld het bedrijf verlaten had. Veel van deze pogingen kunnen met een stringente veiligheidsorganisatie in het bedrijf zelf worden bestreden. De echte deskundigen zijn evenwel niet of nauwelijks te traceren. Een aanpak zoals de media-industrie voorstelt met betrekking tot de bestaande peer-to-peer netwerken zal gegarandeerd tot de reacties van dat soort hackers leiden. Ik vraag me af hoe de computersystemen van de media-industrie zijn beveiligd…..

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *