Achtergrond
image

Column: This Is Me

woensdag 28 november 2007, 16:58 door Redactie, 8 reacties

Naymz.com is een 'sociale netwerksite' voor Reputation Management for Professionals. Een soort LinkedIn dus. Maar met een interessant verschil: voor een heleboel mensen is er alvast een profiel aangemaakt. Ben je één van die gelukkigen en tref je je eigen naam aan, dan kun je zeggen "This Is Me". Vervolgens kun je een wachtwoord kiezen en je profiel verder aanvullen en in gebruik nemen. Volgens de Terms of Use mag je je niet voor een ander uitgegeven. De rest van de Terms of Use gaan over vunzige content, de belangen van de aanbieder - kortom het feit dat je volledig aan de wolven bent overgeleverd als er iets misgaat. En als iemand anders je naam en profiel inpikt, ben je gebonden aan Terms of Use die je nooit gezien hebt... Op Naymz.com heb ik lekker zitten rondklikken en nu ben ik een heleboel verschillende mensen.

Nayms.com maakt het wel heel eenvoudig om iemands identiteit te kapen. Hij bestaat immers al. Eén klikje en je bent binnen. Heb ík dan een identiteit gestolen? Of heeft Naymz dat gedaan door alvast een profiel aan te maken en dat vervolgens te grabbel te gooien...?

Dergelijk misbruik kan - hoewel iets minder eenvoudig - op alle sociale netwerksites. De feitelijke identificatie is namelijk meestal het e-mail adres. Ik kan een profiel aanmaken dat verdacht écht overkomt, zeker als ik het échte CV van iemand heb. Een leuke query op google met CV en filetype:doc levert genoeg kandidaten op om vrolijk te gaan klieren.

Soms is het e-mail adres dat de identiteit bepaalt een bedrijfsgebonden adres. Dan is er een redelijke kans dat dat ook het echte adres is. Maar de meeste mensen kiezen een gmail of ander pseudo-anoniem adres, omdat het doel van de site toch zeer sterk richting jobhoppen gaat en je niet wilt omkomen in de spam.

Als je een verzoek ontvangt om te linken, kun je eigenlijk alleen afgaan op het gevoerde mailadres en als je dat kent, kun je het accepteren. En daar speelt natuurlijk een klassiek probleem: een mailadres als (ik noem maar wat) piethein.donner@minswz.nl ziet er geloofwaardig uit. Maar wimdevries@gmail.com? Welke Wim de Vries heb je dan voor je? De keuze voor een mailadres wordt bepaald door de beschikbaarheid van de naam, niet door de representativiteit ervan. Als ik jeroen.pauw@jeroenpauw.tk wil gebruiken, is er niemand die mij daarvan weerhoudt. Misleiden is extreem simpel. Zeker in e-mail, waarin je met outlook een displaynaam in plaats van een SMTP-adres ziet.

De aanbieder van het tk-domein meldt opgewekt dat jeroenpauw.tk mijn 'new web identity' is, onder de briljante leus "Renaming the Internet". En met dit adres kan ik dan netwerken - er zijn vast veel mensen die erin trappen. Wie wil er nu niet op TV?

Het internet is in essentie voor de gebruikers anoniem. Ja maar, roepen de wijsneuzen dan, je kunt het IP-adres opvragen. Ja duh, niet iedereen werkt bij de politie of een ISP. En zeg nu zelf, als je daar wel werkt, verifieer je ieder mailtje of het IP-adres van de afzender geloofwaardig is in relatie tot het mailadres en het tijdstip van verzenden? Het internet zal altijd tot op behoorlijke hoogte anoniem blijven, ongeacht kentekens, PKI-spullenboel en andere warrige ideeën uit overheids- of commerciële kokers. Gegeven dat de gemiddelde westerse opsporingsdienst al heel veel moeite moet doen om handelingen terug te voeren op een natuurlijke persoon, is het onwaarschijnlijk dat het particulieren ooit zal lukken.

Natuurlijk zijn er meer manieren mogelijk om een digitale identiteit te creëren. Ik kan een digitale handtekening aanmaken, al dan niet met PGP, om mij voor mijzelf uit te geven. Dat levert wel een zekere geloofwaardigheid op. Maar in feite geloven de mensen dan niet mij, maar het heilige PGP of het zalige PKI.

Het punt is, dat gebruikers de geloofwaardigheid van een systeem afmeten aan de gangbaarheid daarvan. Er worden aannames gedaan over de echtheid van een gebruiker op basis van het vertrouwen in de aanbieder van het stuk achter het apestaartje of het gele slotje in de statusbalk. Dit is zo'n beetje de essentie van 'Identity 2.0' waarin de 'community rating' van een 'identity provider' de geloofwaardigheid van een digitale identiteit zal garanderen. Dus als het merendeel van de username@provider.id identiteiten in de praktijk klopt, zullen ze allemaal kloppen. Identity 2.0 zal nog wel in Beta zijn. En zoals je ziet, als je zelf geen online identiteit creëert, doet een ánder dat wel voor je. Met de toename van het aantal psuedo-identiteiten, zal het misbruik verder toenemen en kunnen mijn collega’s en ik niet vervroegd met pensioen.

Minister Hirsch Ballin heeft wel een oplossing. Het moet gewoon verboden worden je voor een ander uit te geven op het internet. Nou, ik daag je uit je eens voor jezélf uit te geven. Dat gaat mij alvast niet lukken; de naam Peter komt in mijn nogal groot uitgevallen familie heel wat keren voor. Toen ik mij bij mijn ISP aanmeldde, bleek ik nummer 446. Ha! Al die 445 anderen geven zich voor mij uit! Het moet verboden worden! Nee, dan mijn Mijn Oom Wim, die écht de Vries heet. Hij heeft een nog veel groter probleem....

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

  • Wat niet meet, wat niet deert
  • De Chinezen komen, of niet natuurlijk (deel 2)
  • Afscheid van het netwerk
  • De Chinezen komen! Of niet, natuurlijk.
  • Een kwakkelend dossier
  • "Nederland is goed voorbereid"
  • Headhunter incident
  • Ethiek en Security
  • De kleren van de keizer zijn dood, leve de nieuwe kleren van de keizer
  • Over Security Architectuur
  • Best Practices bestaan niet
  • Unified Threat Management: dure mensen, goeie spullen?
  • Security maturity
  • Komt het nog wel goed
  • Geen nieuws is goed nieuws
  • Awareness best belangrijk
  • Een papieren tijger in een zilveren lijstje
  • Een goed idee is niet goed genoeg
  • Uit de loopgraven
  • Waarom beveiligingsbeleid faalt
  • Groot slaat dood
    • Reacties (8)
    28-11-2007, 17:17 door spatieman
    strak verhaal !! :)
    28-11-2007, 17:54 door Anoniem
    Van Hirch Ballin is er maar 1, maar dat is zijn probleem.
    28-11-2007, 18:01 door Anoniem
    naymz.com of nayms.com LOL?
    28-11-2007, 18:50 door Anoniem
    Maar met een interessant verschil: voor een heleboel
    mensen is er alvast een profiel aangemaakt. Ben je één van
    die gelukkigen en tref je je eigen naam aan, dan kun je
    zeggen "This Is Me".
    Heeft Nayms daadwerkelijk de beschikking over profielen
    welke al met betreffende persoons gegevens, als gevolg
    waarvan men nog slechts een wacht woord dient in te voeren?
    Neeemzzz, put your good name to grebble!

    Heeft Nayms al vast het halve burgerbestand ingevoerd zodat
    je jezelf makkelijk terug kunt vinden?
    Of zijn er
    29-11-2007, 12:02 door Anoniem
    Heerlijk, die 'bestuurders' die niet gehinderd door enige
    kennis, zich laten leiden door hun eigen egotrip..... zo
    langzamerhand krijg ik er revolutionaire ideeën van....
    zou Willem Alexander mee willen doen? ;)
    29-11-2007, 13:46 door Nomen Nescio
    Gelukkig! De oplossing is er! Gewoon verbieden, dat helpt. Meneer Hirsch
    Ballin, mijn naam is Sinterklaas en ik zal mij niet meer voor de Kerstman
    uitgeven. Zo in orde?

    Wat een ongelooflijk naïeve zemel is die vent toch!
    29-11-2007, 17:40 door Anoniem
    Hier in de politiek denkt men dat nederland het enige land
    ter wereld is....Of men gaat straks met dictatoriale landen
    nog overeenkomsten maken over identiteiten...Er is
    ondertussen het nieuwe fiscale nummer ingevoerd dat globaal
    bruikbaar is zo groot is het. En ja...hoor het nw sofi
    nummer stond al op mijn ID/Passpoort..... (lekker
    ondergeschoven en bruikbaar over de gehele wereld ook voor
    identity theft) In Great Britain liggen ze al op
    straat.Stond nog net geen ipv6 nummer op . Ze waren te vroeg
    met het uitbrengen van dat nummer:) Zou dat bijbel verhaal
    van die nummering van personen kloppen....maar dat was toch
    de duivel?En de christen partijen waarvan hb lid is heeft
    dat niet door voor wie hij werkt? of ?
    05-12-2007, 14:38 door Anoniem
    Onzin, het is juist prettig om anoniem rond te kijken en te
    mailen. Kat uit de boom kijken en als je na zekere tijd
    iemand vertrouwd (net als in het echte leven) mail je anders
    of ontmoet je iemand in een veilige omgeving met anderen die
    je kent er bij. Als men zich op een feestje is geeft men
    toch ook wel eens een andere naam of helemaal niet? Verder
    is het zo als er sprake is van crimineel gedrag / fraude
    enz., dan hebben de bevoegde instanties al meer dan
    voldoende middelen om iemand op te sporen en te vervolgen
    als men zich uitgeeft voor een ander. Men laat meer digitale
    sporen achter dan men denkt ...
    Verbieden om je als een ander uit te geven is weer zo'n
    typische kort-door-de-bocht reactie uit de politiek van
    vandaag de dag: conservatief en onnadenkend. Waarom meteen
    weer wetten instellen? Verder vind ik het persoonlijk niet
    prettig dat een organisatie als Nayimz van te voren
    profielen aanmaakt van mensen: niemand heeft daar om
    gevraagd en die kunnen ook tot miscommunicatie leiden als
    men niet oplet?
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.

    Zoeken
    search
    Certified Secure