Overheid bouwt eigen opensource Dropbox-alternatief
De overheid zal in de herfst van dit jaar een eigen versleutelde cloudopslagdienst lanceren genaamd LocalBox die tevens opensource zal zijn. Hierdoor kan straks iedereen zijn eigen LocalBox-server opzetten. Het idee voor de beveiligde clouddienst is afkomstig vanuit de Tweede Kamer.
LocalBox werd dit weekend tijdens de eth0-hackersconferentie in Leeuwarden gepresenteerd, hoewel de CIP-Post van het Centrum Informatiebeveiliging en Privacyberscherming in mei ook al aandacht aan de cloudopslagdienst schonk. Volgens de bedenkers hebben de onthullingen van klokkenluider Edward Snowden ervoor gezorgd dat er ook binnen de overheid behoefte was om op een veilige manier gegevens uit te wisselen en om volledige controle te hebben over die eigen gegevens.
Daarbij was het ook belangrijk dat er leveranciersonafhankelijk gewerkt kan worden en dat het volledig helder en transparant is hoe de versleuteling plaatsvindt. Om die reden werd besloten op basis van opensourcesoftware LocalBox te ontwikkelen, als veilig alternatief voor Dropbox. Een organisatie kan ervoor kiezen om LocalBox als hosted solution bij een bedrijf af te nemen. Als er echter bij dat bedrijf ongewenste veranderingen plaatsvinden dan kan er zonder enige beperking naar een andere leverancier worden overgestapt of is het mogelijk om LocalBox in de eigen omgeving te plaatsen.
Opensource
"We draaien al enkele jaren opensourceprojecten. Kennis delen, hergebruik van code, kostenbesparing en controle staan daarbij centraal. Bij LocalBox is dat niet alleen een voorkeur maar een intrinsiek onderdeel van de oplossing. De Snowden-zaak maakte ons duidelijk dat geen enkele gesloten oplossing uiteindelijk veilig bleek", aldus Marcus Bremer en Ruud Vriens. De ambtenaren bedachten samen met ICT-journalist Brenno de Winter uiteindelijk LocalBox, zo meldt de Leeuwarder Courant. In totaal doen er zes overheidsdiensten aan het project mee, waaronder de Belastingdienst, de Raad van State en de Algemene Rekenkamer, alsmede verschillende ICT-bedrijven.
Localbox zal documenten versleuteld opslaan, waarbij gebruikers zelf de sleutels beheren. Voor het versturen van documenten wordt end-to-end encryptie gebruikt, zodat alleen de verzender en ontvanger toegang tot de gegevens hebben en niet de clouddienst zelf. In eerste instantie zal LocalBox als synchronisatie-app voor Windows worden gelanceerd, met apps voor Android en iOS om bestanden te kunnen benaderen. Vooralsnog zijn er geen plannen voor een browserversie, zo laat Tweakers weten.
Een publeke voorbeeldgroep welke deze functionaliteit gebruikt is wuala.com/pgpstore.
De toekomst zal leren of localbox.nl dezelfde veiligheid en optioneel privacy geeft zoals het gebruik van true (quantum) randomness, onafhankelijke bron- en kanaalcodering en ondersteuning van informatie-theoretisch bewijsbare encryptie wat noodzakelijke voorwaarden zijn voor (bewijsbare) veiligheid.
Daarnaast als er een lek gevonden wordt, liggen dan ook de documenten van de staat op straat?
Het blijft wel onze regering die toch steeds weer IT projecten weet te verknallen...
Maar waarom gebruiken ze niet gewoon ownCloud? Is ook Open-Source en dat kun je gewoon in je eigen datacenter zetten.
Gaan we weer opnieuw het wiel uitvinden...
https://owncloud.org/
http://nl.wikipedia.org/wiki/OwnCloud
Is het niet een deel van diezelfde overheid die juist steeds met alle macht probeert informatie te verzamelen rondom alles wat privé en particulier is, juist via allerlei wegen probeert bij bestanden te komen die zijn afgeschermd?
Terughacken, finfisher, internettaps, dataretentie, decryptiebevel, algehele digitale monitoring, politie, aivd, mivd.
De overheid die ineens met Brenno de Winter gaat samenwerken, op het gebied van security?
Was niet tot voor heel kort de houding van diverse overheidsdiensten van een heel andere aard jegens Brenno?
Loopt er niet nog een voorbereiding tot een rechtszaak tussen politie en Brenno de Winter?
http://politiek.thepostonline.nl/column/waarom-ik-ga-procederen/
Complimenten voor het positieve doorzettingsvermogen van Brenno (tegen de vooroordelen in, een net roze overhemd en geitenwollen sokken gaan prima samen!).
Maar een cloudopslagdienst van een overheid gaan gebruiken? Is dat inmiddels niet een beetje naïef?
Juist met het voorbeeld van Snowden en de vragen rondom (overheids softwareleverancier?) Gamma Group erbij zou je beter moeten kunnen weten.
Encryptie van bestanden en dan een torrent bestandje doorgeven of direct uploaden naar de beoogde ontvanger is voor velen al te moeilijk. Er is hier vast een doelgroep voor, en anders dan komt er en overheidswerkgroep die marketingtechnisch kan roepen dat dit overheids-it project een succes wordt.
En nauurlijk weer een overheids-it faal: geen ondersteuning voor *nix of bsd: Windows-only voor het uploaden, met programmatjes voor smartphones (securityfaal) om te downloaden. Ook al is het open-source, ik wacht niet met ingehouden adem op ports...
omkoping, bedreiging, etc. M.a.w.: hoe garandeer je dat wachtwoorden niet in verkeerde handen vallen en zo.
Want de opslagplaats zal iedereen al kennen als deze immers CENTRAAL is... (m.a.w.: het geheim waar je alle info kunt vinden ben je al behoorlijk kwijt, en je hoeft er dankzij internet niet eens fysiek naar toe te gaan...)
Groot nadeel van centrale electronische opslag is: als het ook maar één keer flink fout gaat, dan raakt het al snel
ALLE data op de cloud. Bij een kraak zal bijv. waarschijnlijk meteen BIJZONDER VEEL DATA worden buitgemaakt.
En als er storing is, dan werkt landelijk meteen ook HELEMAAL NIETS meer. etc. etc.
De kwesties met Diginotar en heartbleed hebben reeds bewezen hoe iets zomaar onverwacht flink mis kan gaan.
Voordeel van centraal opslaan is wel: gemak, goedkoop, eenvoudiger manageable. Maar het belangrijkste nadeel van
teveel centraal gaan opslaan is: EEN TE GROTE KWETSBAARHEID (en encryptie lost dit maar gedeeltelijk op)
Dit is bijv. nu ook net het probleem bij centrale opslag van patiëntendossiers, en ik vindt zoiets BESLIST NIET SLIM.
Typisch iets voor een bepaalde groep mensen die vooral gedreven wordt door geldzucht, en daarom techniek inzet.
Mensen worden op deze wijze de eigen verantwoordelijkheid ontnomen (alles wordt afgeschoven op "het systeem"),
en langzaam maar zeker tot "dom handelswaar" ("slaven") gemaakt.
Het risico dat "goedkoop" op een slechte dag "duurkoop" zal blijken, is bij zo'n systeem tamelijk groot.
En als het zo doorgaat, is het niet de vraag óf er ooit zo'n slechte dag komt, maar wannéér... (Murphy's law)
Centraal bijzonder veel data helemaal niets een te grote kwetsbaarheid beslist niet slim
Quote is ongeveer de informatie die je communiceert met het veelvuldig gebruik van schreeuwend hoofdletter gebruik.
De rest van de tekst valt er tegen weg, storend en niet functioneel bij het lezen.
Overbodige moeite gestoken in een boodschap die door de stijl alsnog niet gelezen wordt.
Maar waarom gebruiken ze niet gewoon ownCloud? Is ook Open-Source en dat kun je gewoon in je eigen datacenter zetten.
Gaan we weer opnieuw het wiel uitvinden...
https://owncloud.org/
http://nl.wikipedia.org/wiki/OwnCloud
Wel eens naar SpiderOak gekeken? Ze willen in de toekomst volledig Open Source worden. Het fijne is dat de bestanden automatisch versleuteld worden voordat ze in de cloud worden gezet.
Centraal bijzonder veel data helemaal niets een te grote kwetsbaarheid beslist niet slim
Je bent "ALLE" nog vergeten... Viel zeker niet genoeg op tussen de kleine lettertjes? ;)
Met enig begrip voor deze "hoofdletterspasmen" viel er nog best een boodschap in te lezen voor wie het wil zien.
Owncloud is mooi, maar tot vorig jaar (het is vast beter geworden) was het een redelijk goede verzameling van technieken, die ieder hun eigen repository en versienummers hebben. Grote hoeveelheden grote bestanden kon dat ding toen niet aan.
Wel heeft het android foto sync, en een gemakkelijke manier om bestanden met anderen te delen.
Het is trouwens niet zo dat alles wat de overheid doet wordt gefinancierd vanuit belastinginkomsten. Zo nu en dan wordt er eens wat verkocht, een beetje rente ontvangen, wat geleend en wat gekregen.
Het hoeft dus niet per sé om één centrale dienst of één centrale server of database in Nederland te gaan(?)
Maar iedereen moet in principe een "LocalBox"-dienst kunnen huren bij een zelf gekozen provider,
of zelfs een geheel eigen zelfstandige lokale "LocalBox"-server (inclusief eigen database) kunnen opzetten(?)
Dit in tegenstelling tot DropBox, een centrale dienst waarvan de servers onder Amerikaans toezicht in de USA staan.
Als dit allemaal klopt, dan zou LocalBox geen kwestie zijn van centralisatie van gegevens, maar eerder van decentralisatie. In ieder geval als je het vergelijkt met DropBox, waar immers bijna de hele wereld op is aangesloten.
LocalBox lijkt me in dit geval best een goed initiatief, dat alleen maar is toe te juichen.
Maar als het er op neer mocht komen dat elke "LocalBox" verplicht gekoppeld wordt aan een centrale Nederlandse database (en het woord "cloud" doet mij daar wel erg aan denken...), dán wijst mijn duim naar omlaag...
Er zijn voldoende initiatieven die de tekortkomingen van het internet gaan adressen. Een erg interessant voorbeeld is http://maidsafe.net/ dat als doel heeft om een nieuw internet te ontwerpen om de tekortkomingen van het huidige internet te adresseren. I.v.m. veiligheid natuurlijk maar ook zaken zoals bijvoorbeeld data eigendom.
Het zou helpen als de overheid dergelijk initiatieven ondersteunt. Ik bedoel dan niet met belastinggeld software componenten gaan ontwikkelen. Maar wetgeving, handhaving, voorlichting, waar nodig.
Bitcoin is een ander zeer interessant initiatief dat hulp kan gebruiken.
Een probleem is dat we veel van onze soevereiniteit hebben afgestaan aan de Europese elite (en Europa is geen democratie). Onze regering en overheid kunnen dus niet zoveel meer. Nederland kan bijvoorbeeld niet voortvarend met een initiatief als Bitcoin aan de slag. We zijn afhankelijk van Europese ambtenaren en dan zijn er al gauw 5 of 10 jaar voorbij voor er iets concreets is.
'De ambtenaren bedachten samen met ICT-journalist Brenno de Winter uiteindelijk LocalBox'
Ik zou zeggen; maak je niet druk want Brenno de Winter weet echt wel wat hij doet. En laten we blij zijn dat men naar Brenno luister in plaats van dat men hem afluistert.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
