"Microsoft offert privacy gebruikers voor overheid"
Microsoft maakt zich sinds kort sterk voor de privacy van IE-gebruikers, omdat het hiermee Google kan verslaan, maar als het erop aankomt krijgt de overheid altijd voorrang. Zo kondigde de softwaregigant een AdBlocker voor IE9 aan, terwijl het in IE8 nog een anti-tracking feature onder druk van topbestuurders schrapte. Volgens privacyexpert Christopher Soghoian kiest Microsoft voor privacy, omdat Google op dit gebied vrij zwak is. Tijdens een recent interview haalde IE-topman Dean Hachamovitch verschillende keren uit naar Google Chrome, dat door advertenties zou worden betaald. "Ik geloof dat Microsoft's nieuw gevonden privacyreligie gemotiveerd wordt door een verlangen om met Google te concurreren."
Soghoian denkt dat de privacyplannen van Microsoft echt goedbedoeld zijn, maar het probleem ligt in de Microsofts omschrijving van privacy. Als het over privacy spreekt, gaat het over de bescherming tegen online trackers en niet tegen overheidsdiensten die gebruikersgegevens opvragen. "De dreiging van de overheid voor de privacy van gebruikers is echt." Iets wat Twitter laatste aantoonde met de verzoeken om bepaalde Twitter-accounts. "Bedrijven kunnen een belangrijke rol spelen in het beschermen van gebruikers, als ze hiervoor kiezen."
IP-adres
Microsoft hanteert een zeer beperkte definitie van wat privacy is. "Als dit soort bedrijven het over het beschermen van de privacy van hun klanten hebben, bedoelen ze dat ze klantgegevens tegen onjuiste toegang door commerciële entiteiten beschermen." Deze beperkte definitie wordt echter niet duidelijk aan klanten en gebruikers gecommuniceerd. Niet alleen negeert Microsoft volgens Soghoian de privacydreigingen van de overheid, maar heeft het ook meerdere keren opsporings- en inlichtingendiensten geholpen bij het onderzoek naar gebruikers. "Het heeft de belangen van de overheid boven de privacy van de normale klanten geplaatst."
Encryptie
Zo wordt het IP-adres van Hotmail-gebruikers aan elke uitgaande e-mail toegevoegd, zodat opsporingsdiensten direct naar de betreffende provider kunnen stappen voor klantgegevens. Microsoft en Yahoo zijn de enige grote mailproviders die dit doen. Ook ontwikkelde Microsoft een forensische tool voor overheidsdiensten en heeft het schijfversleuteling in Windows 7 alleen in de duurste versie gestopt.
Het Google Chrome OS versleutelt standaard het systeem, en ook Apple en Ubuntu bevatten encryptie-oplossingen. De extra inkomsten zijn hiervoor niet de reden, zegt Soghoian. Hij vermoedt en zou ook geruchten hebben gehoord dat Microsoft bewust het gebruik van encryptie bij doorsnee gebruikers wil beperken. Scott Charney, Microsofts Corporate Vice President en hoofd Trustworthy Computing, was eerder openbaar aanklager bij het ministerie van Justitie. Het gebruik van encryptie is een groot obstakel voor opsporingsdiensten.
Overheidscontracten
"Het is duidelijk dat Microsoft niet geïnteresseerd is in het beschermen van gebruikers tegen schendingen van hun privacy door de overheid." De onderzoeker merkt op dat de softwaregigant in een ideale positie is om de privacy van gebruikers wel te beschermen. "Het probleem voor Microsoft, en zoveel andere grote bedrijven, is dat het boos maken van de overheid niet goed voor de zaken is, met name als die één van je grootste klanten is."
Soghoian denkt dan ook dat Microsoft privacy niet volledig zal omarmen en geen technologie zal uitrollen die opsporingsdiensten zal hinderen. "De beweringen van het bedrijf zijn simpelweg vals en misleidend. Op z'n minst zou het bedrijf de definitie van privacy moeten ophelderen en erkennen dat het ervoor kiest om gebruikers niet tegen het gevaar van de overheid te beschermen."
Mattheüs 7 versie 3
En wat ziet gij den splinter, die in het oog uws broeders is, maar den balk, die in uw oog is, merkt gij niet?
Dat originating IP-adres is het enige kenmerk in een e-mail dat nauwelijks te spoofen is en op basis waarvan ik als ontvanger van mails een goede inschatting kan maken of de betreffende mail daadwerkelijk door de verzender in het "From:" veld is verzonden.
Eergisteren nog kreeg ik spam van iemand wiens gmail account gecompromitteerd bleek, stompzinnig is dat ik dan het originator IP niet kan zien (van de echte eigenaar van het account vernam ik dat dit 123.161.74.138 was; als je ziet hoeveel spam er het afgelopen jaar via gekraakte accounts vanaf 123.161.7*.* is verzonden vind ik het onbegrijpelijk dat gmail daar niet op filtert, google maar eens naar: gmail spam 123.161).
Zie ook bijv. http://www.security.nl/artikel/34366/Mugged_in_London_%28419_scam%29.html waarom ik het originating IP-adres wil weten. Net zomin als ik door "onbekend" gebeld wil worden, wil ik ook geen e-mail ontvangen van mensen die totaal anoniem willen blijven.
Hij wordt klaar wakker als de overheid aan de deur klopt en valt in slaap als criminelen aan de deur kloppen.
Hij kan liever in de politieke arena zijn gevecht aangaan in plaats van over de ruggen van internetgebruikers
de overheid bestrijden.
Soghoian vindt dus dat bedrijven moet weigeren mee te werken aan wettelijke verplichtingen ? Immers gaat het niet over verzoeken, maar om gerechtelijke bevelen ?
"Zo wordt het IP-adres van Hotmail-gebruikers aan elke uitgaande e-mail toegevoegd, zodat opsporingsdiensten direct naar de betreffende provider kunnen stappen voor klantgegevens. Microsoft en Yahoo zijn de enige grote mailproviders die dit doen."
Onzin, alle email providers doen dit, inclusief Gmail. Bij Gmail kan je als gebruiker niet bij die informatie, maar het gaat hier over de overheid. Indien de overheid via een gerechtelijk bevel wil weten wat het IP adres van een afzender is, dan kan dat bij iedere email dienst, web-based en niet web-based. Daarnaast zou het afschaffen van het toevoegen van het IP adres ook nog eens voor behoorlijke beveiligingsproblemen zorgen, kom er dan nog maar eens achter of een mail legitiem is, of door anderen wordt verstuurd t.b.v. phishing.
"Ook ontwikkelde Microsoft een forensische tool voor overheidsdiensten en heeft het schijfversleuteling in Windows 7 alleen in de duurste versie gestopt."
Lekker boeiend, moet iedere functionaliteit in een OS ingebakken worden ? Je kunt ook truecrypt gebruiken bijvoorbeeld.
"Het Google Chrome OS versleutelt standaard het systeem, en ook Apple en Ubuntu bevatten encryptie-oplossingen. De extra inkomsten zijn hiervoor niet de reden, zegt Soghoian. Hij vermoedt en zou ook geruchten hebben gehoord dat Microsoft bewust het gebruik van encryptie bij doorsnee gebruikers wil beperken."
Oja, waarom doet Microsoft dan helemaal niets om gebruik van HD encryptie programma's te frustreren ?
"Het Google Chrome OS versleutelt standaard het systeem, en ook Apple en Ubuntu bevatten encryptie-oplossingen. "
Bevat deze technologie geen law enforcement backdoor zodat de overheid het systeem kan decrypten voor forensisch onderzoek ?
"Scott Charney, Microsofts Corporate Vice President en hoofd Trustworthy Computing, was eerder openbaar aanklager bij het ministerie van Justitie. Het gebruik van encryptie is een groot obstakel voor opsporingsdiensten. "
En is er enig bewijs voor een link tussen zijn vroegere baan, en het al dan niet gebruiken van encryptie, of is dit gewoon weer een aanname ?
De recente onthullingen door Wikileaks geven aan dat je bepaalde overheden niet op hun blauwe ogen kunt vertrouwen.
Het is niet perse een slecht iets om vertrouwen te hebben in je overheid, maar dat is weer een andere discussie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
