image

Beveiligingschef KPN adviseert om alles te versleutelen

maandag 13 april 2015, 12:42 door Redactie, 28 reacties
Laatst bijgewerkt: 13-04-2015, 17:21

Op dit moment is er sprake van een gouden eeuw voor surveillance door inlichtingendiensten, maar het gebruik van encryptie om communicatie te beschermen is onmisbaar voor de vrijheid van meningsuiting en de positie van Nederland. Dat vertelde Jaya Baloo, chief security officer van KPN, tijdens de ONE Conferentie van het Nationaal Cyber Security Center (NCSC) in Den Haag waar Security.NL bij aanwezig was.

Baloo liet tijdens haar presentatie zien hoe inlichtingendiensten encryptie vrezen en dit als het "going dark" probleem bestempelen, waarbij de inhoud van bijvoorbeeld smartphones niet kan worden ontsleuteld en verdachten onopgemerkt kunnen blijven. Amerikaanse diensten zoals de FBI en NSA hebben de afgelopen maanden regelmatig kritiek geleverd op de beslissing van bijvoorbeeld Apple en Google om smartphones standaard te versleutelen. In één van de voorbeelden die FBI-directeur James Comey noemde beschreef hij een scenario waarbij een kind was vermist en het door het gebruik van onkraakbare encryptie niet zou kunnen worden opgespoord.

Volgens Baloo zouden er in dit geval ook voldoende andere mogelijkheden zijn om het kind op te sporen. Encryptie wordt volgens haar dan ook onterecht als risico weggezet. Politici en het publiek moeten juist zien dat cryptografie onmisbaar is, ging de KPN-beveiligingschef verder. Zowel voor de vrijheid van meningsuiting als de zakelijke positie van Nederland. "Als we willen dat Nederland een veilige plek is om eerlijk zaken te doen, dan hebben we encrytie nodig, want dat maakt ons sterk en veilig", liet ze weten.

Debat

Volgens Baloo is het belangrijk dat er een debat komt om massasurveillance te bespreken. Sinds Snowden zijn er in de Verenigde Staten bijvoorbeeld geen aanpassingen van de bevoegdheden doorgevoerd, iets waar ze zich zorgen over maakt. De KPN-beveiligingschef ziet ook niets in voorstellen van de NSA om encryptie te verzwakken, bijvoorbeeld door "split keys" toe te passen, waarbij encryptiesleutels in verschillende delen zijn opgedeeld."We moeten alle maatregelen weigeren om encryptie te verzwakken", waarschuwde ze.

Baloo pleitte juist voor echte standaarden die de democratie en burgerrechten niet in gevaar brengen. Bij het uitbreiden van bevoegdheden moet de politie dan ook vertellen en onderbouwen waarom dit nodig is. Als er geen concrete cijfers kunnen worden overhandigd moeten extra bevoegdheden niet worden overwogen. Iets wat FBI directeur Comey bijvoorbeeld niet kan, merkte ze op. Baloo besloot haar presentatie met een advies voor het publiek: "leef lang, lach veel en versleutel alles."

Een hoge politiefunctionaris in de zaal reageerde op de uitspraken van Baloo dat opsporingsdiensten voorstander van zwakke en eenvoudig te kraken encryptie zouden zijn. Iets wat volgens haar niet zo is. "Alles wat burgers kunnen doen om zich te beschermen moedigen we aan", aldus de politiefunctionaris. Juist door slimme samenwerkingsverbanden zou politie volgens de functionaris het encryptieprobleem willen aanpakken.

Reacties (28)
13-04-2015, 13:33 door Anoniem
Wat een bullshit... en dit keer niet van KPN.
Alsof je een kind's GSM niet kan stealthpingen... binnen 2 minuten weet de FBI waar de GSM van het kind ligt, wel of geen encryptie. Zum kotzen dat ze zulke trieste voorbeelden moeten noemen om hun verzamelwoede te stillen.
lijken wel allemaal horders te zijn daaro.

Gelukkig is er dan nog een secoff die het wel weet, maar wordt zoiets in dank afgenomen?
Krijgt KPN dadelijk geen 'sorry. We kunnen u niet helpen" als ze straks hulp nodig hebben van de overheid?
13-04-2015, 14:22 door Anoniem
Ik snap even niet waarom de CISO van de KPN hier over een soort lezing geeft, wat is haar belang in dezen? Mobiele providers zijn, net als ISP's, een doorgeefluik wat betreft mobiele communicatie. Ze dienen ervoor te zorgen dat niet iedere kleuter in staat is om communicatie te onderscheppen en dat er een beetje knap kan worden gebeld of dataverkeer kan plaats vinden. Verder houdt de verantwoordelijkheid wel zo'n beetje op.
Of is het een verkapte promotie voor de zogenaamde Secure Phone van de KPN?
13-04-2015, 14:51 door Reinder
Door Anoniem: Ik snap even niet waarom de CISO van de KPN hier over een soort lezing geeft, wat is haar belang in dezen? Mobiele providers zijn, net als ISP's, een doorgeefluik wat betreft mobiele communicatie. Ze dienen ervoor te zorgen dat niet iedere kleuter in staat is om communicatie te onderscheppen en dat er een beetje knap kan worden gebeld of dataverkeer kan plaats vinden. Verder houdt de verantwoordelijkheid wel zo'n beetje op.
Of is het een verkapte promotie voor de zogenaamde Secure Phone van de KPN?
KPN werkt samen met andere providers, carriers en techbedrijven op het gebied van security en bij verstoringen e.d. op het net. Zodoende doen ze ook aan kennisuitwisseling, ze geven wel meer lezingen op dit soort bijeenkomsten.
13-04-2015, 15:28 door Anoniem
Zit er standaard encryptie op een android device (smartphone of tablet)? En zo ja,hoe kan je die inschakelen?
13-04-2015, 16:11 door Reinder
Door Anoniem: Zit er standaard encryptie op een android device (smartphone of tablet)? En zo ja,hoe kan je die inschakelen?

Nee, het is niet standaard aanwezig op alle Android devices (sommige, bijvoorbeeld de hele goedkope tablets e.d. draaien op vrij oude versies van Android, bijv. 2.3). Voor recente versies van Android is het een van de eerste opties bij System/Security.
Let wel, als je dit aanzet kan je niet meer ontgrendelen door een driehoekje te tekenen met je vinger over een paar bolletjes op het scherm, je zult dan echt een wachtwoord moeten ingeven. Fanatieke elke vijf minuten hun telefoon checkende mensen zullen het al snel vervelend gaan vinden.
13-04-2015, 16:18 door Anoniem
Het gaat vooral om de metadata: wie wanneer waar met wie. Daar helpt encryptie niet.
13-04-2015, 16:41 door Anoniem
De meeste encryptie technologien hebben al een achterdeur (*) dus het enige waar men zich tegen wapent is, met de nadruk op wellicht, tegen onbevoegden anders dan de potentieel bevoegde instanties.

En KPN heeft dikke pakken boter op haar hoofd. Het draait daar enkel om geld.
13-04-2015, 17:00 door Anoniem
Hoe encryptie de vrijheid van meningsuiting kan bevorderen snap ik niet zo goed.

In een maatschappij waar men beslist niet zonder encryptie kan omdat er gevaar dreigt dat anderen meelezen,
bestaat die vrijheid van meningsuiting toch al niet meer?

Loesje
13-04-2015, 17:23 door Joep Lunaar
Door Reinder:
Door Anoniem: Zit er standaard encryptie op een android device (smartphone of tablet)? En zo ja,hoe kan je die inschakelen?

Nee, het is niet standaard aanwezig op alle Android devices (sommige, bijvoorbeeld de hele goedkope tablets e.d. draaien op vrij oude versies van Android, bijv. 2.3). Voor recente versies van Android is het een van de eerste opties bij System/Security.
Let wel, als je dit aanzet kan je niet meer ontgrendelen door een driehoekje te tekenen met je vinger over een paar bolletjes op het scherm, je zult dan echt een wachtwoord moeten ingeven. Fanatieke elke vijf minuten hun telefoon checkende mensen zullen het al snel vervelend gaan vinden.

Bij gebruik CyanogenMod als Andoid ROM, kan je wel degelijk met een patroon het scherm openen en op andere Android versies waarschijnlijk ook. De voor decryptie van de opslag benodigde sleutel hoeft overigens alleen tijdens het opstarten te worden ingegeven.
13-04-2015, 17:50 door Anoniem
Versleutelen?

Helemaal niet nodig.
Het web kan eenvoudig super veilig gemaakt worden, zelfs geen https nodig.
Kijk maar naar de site van cybersecurityweek.

Back to the basics, simpel houden!
http://www.cybersecurityweek.nl/preview/cyber-securityweek-concept-3.jpg
13-04-2015, 18:02 door Reinder
@Joep Lunaar

Dat zal ongetwijfeld, maar de vraag ging expliciet over "standaard". Een andere, niet-standaard mod/rom valt daar dus buiten. Met een patroon het scherm unlocken kan volgens mij wel standaard als sinds een aantal releases, maar standaard werkt dat niet als je het device wilt encrypten. Tenminste, voor zover ik weet. Ik ga uit van "stock" android, want dat is waar de vraag over ging.
13-04-2015, 19:20 door Anoniem
Door Reinder: @Joep Lunaar

Dat zal ongetwijfeld, maar de vraag ging expliciet over "standaard". Een andere, niet-standaard mod/rom valt daar dus buiten. Met een patroon het scherm unlocken kan volgens mij wel standaard als sinds een aantal releases, maar standaard werkt dat niet als je het device wilt encrypten. Tenminste, voor zover ik weet. Ik ga uit van "stock" android, want dat is waar de vraag over ging.
En het heeft alleen zin om het erop te hebben als je telefoon uitstaat.
Ookal heb je telefoon encrypted en je doet snoertje eraan naar pc kan je nog alle mappen doorzoeken.
13-04-2015, 20:02 door Anoniem
Bij ons op de zaak pakken we elke morgen een willekeurige gsm en vullen op een lijstje in welke we mee hebben voor het geval we gebeld moeten worden .
Tis niet altijd handig maar een knappe kop die nog weet wie welke dag waar is en met wie ^^
13-04-2015, 21:48 door Anoniem
Door Anoniem: Hoe encryptie de vrijheid van meningsuiting kan bevorderen snap ik niet zo goed.

In een maatschappij waar men beslist niet zonder encryptie kan omdat er gevaar dreigt dat anderen meelezen,
bestaat die vrijheid van meningsuiting toch al niet meer?

Loesje

In een hoop omstandigheden, en landen, is het gevaarlijk om identificeerbaar te zijn als bron van een bepaalde mening.

Encryptie kan één van de bouwstenen waardoor mensen hun mening vrij kunnen uiten zonder ontdekt te worden.
13-04-2015, 21:50 door Anoniem
KPN is een provider van cryptografische materialen en maakt door versleuteling aan te moedigen, reclame voor haar eigen producten. Tevens is het ook zo, dat ze voor dit soort sessie's mensen zoeken van grote/bekende bedrijven want die scoren beter dan de gemiddelde (misschien goed opgeleide) burger.
13-04-2015, 23:42 door Anoniem
Door Anoniem: De meeste encryptie technologien hebben al een achterdeur (*)

Flauwekul. Vooral praatjes van mensen die geloven in komplot theoriën.
14-04-2015, 08:20 door Anoniem
Door Anoniem:
Door Anoniem: Hoe encryptie de vrijheid van meningsuiting kan bevorderen snap ik niet zo goed.

In een maatschappij waar men beslist niet zonder encryptie kan omdat er gevaar dreigt dat anderen meelezen,
bestaat die vrijheid van meningsuiting toch al niet meer?

Loesje

In een hoop omstandigheden, en landen, is het gevaarlijk om identificeerbaar te zijn als bron van een bepaalde mening.

Encryptie kan één van de bouwstenen waardoor mensen hun mening vrij kunnen uiten zonder ontdekt te worden.

Goed, dat snap ik. Maar in het artikel staat:
"...het gebruik van encryptie om communicatie te beschermen is onmisbaar voor de vrijheid van meningsuiting en de positie van Nederland."
Maar als er in een land werkelijk vrijheid van meningsuiting bestaat, dan mag je toch publiekelijk zeggen wat je ervan vindt zonder bang te zijn, en is encryptie toch nergens voor nodig? Duidelijker zou zijn geweest: in gebieden waar geen vrijheid van meningsuiting bestaat, is encryptie nodig om toch zonder angst misstanden naar buiten te kunnen brengen.
En als we in Nederland vinden dat we encryptie nodig hebben, dan is dat dus een teken dat we vinden dat er onvoldoende vrijheid van meningsuiting is. Toch?

Loesje
14-04-2015, 08:43 door moschinooo
Het onderwerp en de foto neem ik al niet serieus.
14-04-2015, 10:39 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Hoe encryptie de vrijheid van meningsuiting kan bevorderen snap ik niet zo goed.

In een maatschappij waar men beslist niet zonder encryptie kan omdat er gevaar dreigt dat anderen meelezen,
bestaat die vrijheid van meningsuiting toch al niet meer?

Loesje

In een hoop omstandigheden, en landen, is het gevaarlijk om identificeerbaar te zijn als bron van een bepaalde mening.

Encryptie kan één van de bouwstenen waardoor mensen hun mening vrij kunnen uiten zonder ontdekt te worden.

Goed, dat snap ik. Maar in het artikel staat:
"...het gebruik van encryptie om communicatie te beschermen is onmisbaar voor de vrijheid van meningsuiting en de positie van Nederland."
Maar als er in een land werkelijk vrijheid van meningsuiting bestaat, dan mag je toch publiekelijk zeggen wat je ervan vindt zonder bang te zijn, en is encryptie toch nergens voor nodig? Duidelijker zou zijn geweest: in gebieden waar geen vrijheid van meningsuiting bestaat, is encryptie nodig om toch zonder angst misstanden naar buiten te kunnen brengen.
En als we in Nederland vinden dat we encryptie nodig hebben, dan is dat dus een teken dat we vinden dat er onvoldoende vrijheid van meningsuiting is. Toch?

Loesje

Volgens mij sprak Jayaa Baloo een stuk breder, en deels meer algemeen/internationaal -gericht dan de samenvatting zegt (' wij in Nederland' ).
Ze haalde specifiek de FBI aan die weer met de bangmakerij komt om encryptie te verbieden of achterdeuren in te bouwen.
M.i.heeft de samenvatting van de redactie die toon niet helemaal goed weergegeven.
('t is ook moeilijk - 50 minuten samenvatten in een half A4).

Ze heeft ook gelijk - je hebt een veilig _landschap_ nodig, waarin (oa) encryptie normaal en standaard is, en niet iets is wat *alleen* gebruikt wordt door iemand die het echt echt denkt nodig te hebben - dan is het een enorme vlag "hier gebeurt iets" .
En is de gebruiker waarschijnlijk onhandig, en de gebruikte tools (zeldzaam) ook niet geweldig.
Kortom - tegen massa-surveillance helpt vooral massa-encryptie .


Wat nederland betreft :
Nederland - het land waar justitie een arrestatieteam op een cartoonist afstuurt
Nederland - waar oppositionele policiti bedreigd en geintimeerd worden, en de zittende regering daar echt niet van wakker lijkt te liggen.
14-04-2015, 15:27 door Anoniem
Ik snap even niet waarom de CISO van de KPN hier over een soort lezing geeft, wat is haar belang in dezen?

Waarom zou Baloo een mening als deze *niet* verkondigen ? Je reactie komt een beetje paranoia over.
14-04-2015, 15:37 door Anoniem
Flauwekul. Vooral praatjes van mensen die geloven in komplot theoriën.

Jups, puur flauwekul van complotters.

NSA paid $10 million to put its backdoor in RSA encryption
http://www.theverge.com/2013/12/20/5231006/nsa-paid-10-million-for-a-back-door-into-rsa-encryption-according-to

The White House wants tech companies to hand over encryption keys or build backdoors
www.theguardian.com/commentisfree/2015/mar/04/backdoors-encryption-china-apple-google-nsa

Wel vermoeiend, mensen die bij alles wat ze twijfelachtig vinden de complot kaart trekken.
14-04-2015, 15:39 door Anoniem
Nederland - waar oppositionele policiti bedreigd en geintimeerd worden, en de zittende regering daar echt niet van wakker lijkt te liggen.

1) Je opmerking is volslagen offtopic en heeft niets met de discussie van doen.
2) Politici van regeringspartijen hebben net zo goed te maken met bedreigingen en intimidaties

Nederland - het land waar justitie een arrestatieteam op een cartoonist afstuurt

Ook offtopic.
14-04-2015, 16:31 door Anoniem
Door Anoniem:
Flauwekul. Vooral praatjes van mensen die geloven in komplot theoriën.

Jups, puur flauwekul van complotters.

NSA paid $10 million to put its backdoor in RSA encryption
http://www.theverge.com/2013/12/20/5231006/nsa-paid-10-million-for-a-back-door-into-rsa-encryption-according-to

The White House wants tech companies to hand over encryption keys or build backdoors
www.theguardian.com/commentisfree/2015/mar/04/backdoors-encryption-china-apple-google-nsa

Wel vermoeiend, mensen die bij alles wat ze twijfelachtig vinden de complot kaart trekken.

Het tweede linkje is een artikel waar nergens vermeld wordt dat er ook daadwerkelijk backdoors geimplementeerd zijn. Het eerste artikel refereert naar een enkel programma (BSafe) waarin een backdoor geimplementeerd zou zijn.

Om dan gelijk te roepen dat "de meeste" manieren van encryptie gebackdoored zijn, tja, dat kan ik dan ook niet erg serieus nemen. Dan is die complotkaart niet geheel onlogisch, toch?
14-04-2015, 18:29 door Anoniem
Door Anoniem: Hoe encryptie de vrijheid van meningsuiting kan bevorderen snap ik niet zo goed.

In een maatschappij waar men beslist niet zonder encryptie kan omdat er gevaar dreigt dat anderen meelezen,
bestaat die vrijheid van meningsuiting toch al niet meer?

Loesje

Dat is op zich wel waar. En ik ben het er ook mee eens als je dat bedoelt dat mensen vrij moeten zijn om te zeggen en zijn wie ze willen zonder daarom te worden achtergesteld (uiteraard altijd uitgezonderd waar dit de even grote vrijheid van anderen in gevaar brengt). Maar helaas is dat een verloren zaak. Mensen zijn nu eenmaal zo dat ze aanleidingen vinden om anderen dwars te zitten. Ook in officiële kringen (zie o.a. Observant 66 en Weblog Recht en Bestuur van afgelopen weekend). Encryptie en andere vormen van privacy maken het dan tenminste nog mogelijk om met gelijkgestemden te praten. Het is een zwaktebod, maar beter dan niets.
14-04-2015, 18:31 door Anoniem
>>Het tweede linkje is een artikel waar nergens vermeld wordt dat er ook daadwerkelijk backdoors geimplementeerd zijn. Het eerste artikel refereert naar een enkel programma (BSafe) waarin een backdoor geimplementeerd zou zijn.

En laat nou net Bsafe geen programmaatje of enkel appje zijn... HET WAS DÉ DEFACTO standaard crypto-toolkit die doo ontwikkelaars werdt gebruikt en inmiddels in vrijwel elk software en hardware-product zit.... (zat....)
14-04-2015, 18:59 door Anoniem
MBaloo haalt regelmatig feiten en fictie door elkaar. Ik lees in haar profiel dat ze met trots afluisterapparatuur heeft verkocht aan overheden. Hoe geloofwaardig ben je als CISO van KPN als je nu het tegenovergestelde bepleit en je probeert te weren tegen inlichtingendiensten? Na haar speech kreeg het een interessante wending, waar ze voorheen riep: de overheid wil dit, de overheid wil dat.. antwoorde een overheidsmevrouw in uniform: KPN dat wil de overheid helemaal niet, die wil haar burgers beschermen. Ik had nog vertrouwen in KPN als belangrijkste speler in onze kritisch infrastructuren, dit is nu weg, ook hier heerst de poen!
14-04-2015, 21:27 door Anoniem
Door moschinooo: Het onderwerp en de foto neem ik al niet serieus.

O, is het weer zo ver?
Wat bedoel je precies met deze suggestieve uitspraak?
Dat je een indiase vrouw niet serieus kunt nemen op dit onderwerp?
16-04-2015, 17:20 door Anoniem
Dat je een indiase vrouw niet serieus kunt nemen op dit onderwerp?
Misschien dat je elk mens met zo'n lege blik zulks egocentrisch geblaat, gelardeerd met veel bargoens maar weinig inhoud, niet serieus moet nemen. Of beter: lekker kan laten blaten voor haar eigen klapvee (die ze letterlijk op de 1e en 2e rang zet, en op dezelfde loonlijst staat, en wellicht promotie wenst te maken...).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.