Privacy - Wat niemand over je mag weten

Belastingdienst test WhatsApp

04-03-2016, 21:16 door Anoniem, 16 reacties
Berichtje in de Telegraaf dat de Belastingdienst testen doet om via WhatsApp met de burger te communiceren. Nou heb ik misschien iets gemist de laatste tijd, maar ik dacht dat WhatsApp helemaal niet veilig is, aangezien alle berichten ingezien kunnen worden door Facebook en verkocht voor commerciële doeleinden? Zelfs als dat laatste niet waar is, dan nog lijkt het mij dat de Belastingdienst beter een veiliger medium zou kunnen kiezen?
Reacties (16)
05-03-2016, 01:34 door Anoniem
Ik heb het bericht zelf niet gelezen, maar het zou zo kunnen zijn dat dat medium alleen gebruikt wordt voor algemene vragen, d.w.z vragen waarvan de antwoorden niet vertrouwlijk zijn. Vragen als bijvoorbeeld "is een print van een electronische factuur voldoende bewijs voor een aftrekpost, of moet ik het bedrijf vragen een papieren factuur te sturen", of "valt parkeren bij het ziekenhuis onder de onvergoede ziektekosten". Lijkt me dat dat prima kan via een onbeveiligd medium.
05-03-2016, 09:04 door Anoniem
Je mag sowieso geen persoonlijke gegevens sturen via het internet, je weet nooit met wie je echt aan het chatten bent of wie dat er mee kijkt. Toch nemen de meeste het risico om het gewoon wel te doen en daar zal de belastingdienst ervan profiteren.
05-03-2016, 13:02 door johanw
De berichten kunnen juist niet gelezen worden door wie dan ook buiten de verzender en ontvanger omdat WhatsApp de end to end encryptie van Signal overgenomen heeft voor de meeste platforms. De platforms waarop dat nog niet geimplementeerd is of men de moeite daarvoor niet wil doen worden eind dit jaar uitgefaseerd.
05-03-2016, 13:14 door Anoniem
Door johanw: De berichten kunnen juist niet gelezen worden door wie dan ook buiten de verzender en ontvanger omdat WhatsApp de end to end encryptie van Signal overgenomen heeft voor de meeste platforms. De platforms waarop dat nog niet geimplementeerd is of men de moeite daarvoor niet wil doen worden eind dit jaar uitgefaseerd.
??? Ik heb gehoort dat whatsapp alleen de videocalls gaat encrypten en dat werd pas vorige week(?) bekend gemaakt. Verder heb ik ook nog gehoort dat whatsapp idd volledig encrypted is, maar dan niet op de manier hoe het hoort te zijn waardoor velen gebruikers wel eens in de war geraken. De berichten zijn altijd te lezen om gerichte advertenties te tonen. Wat er verder nog verteld wordt zijn fabeltjes. Voor iets gratis zijn wij het product en dat zal immers zo blijven.
05-03-2016, 14:22 door Anoniem
Door Anoniem: Berichtje in de Telegraaf dat de Belastingdienst testen doet om via WhatsApp met de burger te communiceren. Nou heb ik misschien iets gemist de laatste tijd, maar ik dacht dat WhatsApp helemaal niet veilig is, aangezien alle berichten ingezien kunnen worden door Facebook en verkocht voor commerciële doeleinden? Zelfs als dat laatste niet waar is, dan nog lijkt het mij dat de Belastingdienst beter een veiliger medium zou kunnen kiezen?
Start hier: http://lmgtfy.com/?q=belastingdienst+whatsapp

Bron* = http://www.telegraaf.nl/dft/geld/belasting/25314898/__Belastingdienst_test_WhatsApp__.html
Bron = http://www.frankwatching.com/archive/2016/03/03/de-belastingdienst-probeerde-whatsapp-6-conclusies/
Bron (!!!) = https://belastingdienst-in-beeld.nl/whatsapp-voor-vragen-over-intermediairdagen/

Mooi hè, internet?!


*: Ik zou een opinieblaadje niet als bron willen bestempelen, maar dat is enkel maar mijn eigen mening.
05-03-2016, 15:03 door Anoniem
Opmerkelijk is dat telegram, dat vergelijkbaar is met whatsapp, wel zegt die end-to-end encryptie te bieden.
05-03-2016, 15:22 door Anoniem
Ik,denk niet dat de belastingdienst zomaar zonder toestemming iemand een apje mag sturen op zijn of haar mobiele telefoon.
Mensen moeten toch zelf een telefoonnummer achter laten als ze dat willen?.
Het is niet de bedoeling dat mensen benaderd worden per telefoon als ze dat niet willen,lang niet iedereen is ingeschreven bij het bel me niet register,om zo marketing e.d te voorkomen.
ook simpelweg omdat lang ook niet iedereen er bekend mee is.
05-03-2016, 15:29 door Anoniem
Je refereert waarschijnlijk hier aan:
http://www.telegraaf.nl/dft/geld/belasting/25314898/__Belastingdienst_test_WhatsApp__.html

Antwoord:
Artsen mochten Whatsapp in ieder geval niet meer gebruiken voor data die herleidbaar is tot een patiënt.
Zie: https://www.security.nl/posting/462196

Uit Wikipedia: https://en.wikipedia.org/wiki/WhatsApp#Security:
As of December 1, 2015[update], WhatsApp has a score of 2 out of 7 points on the Electronic Frontier Foundation's secure messaging scorecard. It has received points for having communications encrypted in transit and having completed an independent security audit. It is missing points because communications are not encrypted with a key the provider doesn't have access to, users can't verify contacts' identities, past messages are not secure if the encryption keys are stolen, the code is not open to independent review, and the security design is not properly documented.
Verder is niet duidelijk of iphones inmiddels end-to end encryptie op Whatsapp kunnen gebruiken. (op 30-4-2015 nog niet volgens Heisse; geen wonder: het aangekochte Textsecure dat (gedeeltelijk?) is geïmplementeerd was ontworpen voor Androïd...)

Zoals ik er momenteel tegenaan kijk:
Het mag dan zijn dat Whatsapp over een soort van "end-to-end" encryptie beschikt,
maar één zwaluw maakt nog geen zomer.
Het lijkt mij dat mensen "te graag willen", en daardoor geen oog hebben voor wat er nog aan mankeert
en zich gemakkelijk een oor aan laten naaien. Namelijk volgens EFF schiet Whatsapp (en Facebook) tekort in:

- Whatsapp is nog steeds in staat om berichten mee te lezen (beschikt over sleutel)
- identiteit van je contact kan niet worden geverifieerd (MitM gevaar)
- als de sleutel wordt gestolen, kunnen alle berichten, oud en nieuw, worden teruggelezen. (geen forward secrecy)
- programma code is geen open source en kan dus niet worden nageplozen door onafhankelijke specialisten
- security design is niet keurig en compleet gedocumenteerd
(aldus de Electronic Frontier Foudation, https://www.eff.org/secure-messaging-scorecard,
actuele stand van zaken, waarbij laatste update van tabel dateert van 3 november 2015)
En daarbij dus zoals gezegd dat iPhones waarschijnlijk nog steeds in het geheel niet gebruik kunnen maken van die "end tot end" encryptie van Whatsapp.

Dit zou betekenen dat http://www.wired.com/2014/11/whatsapp-encrypted-messaging/
(november 2014) waar telegraaf (en belastingdienst?) zich op baseren een hoax zou kunnen zijn:
mogelijk is slechts een deel van de aangekochte Textsecure techniek in Whatapp geïmplementeerd.

Facebook chat heeft overigens dezelfde problemen.

Verder de welbekende spreuk: als iets (bijna) gratis is, dan ben jij hoogst waarschijnlijk het produkt.
In ieder geval een reden om nog eens extra op je hoede te zijn.
Het is een algemeen feit dat de meeste handelaren je proberen over te halen met schijnargumenten.
"veel beloven maar weinig geven, doet een gek in vreugde leven" (of zoiets)

En ik vrees dat "als puntje bij paaltje komt" de belastingdienst zich niet druk zal maken over privacy
als mensen er zelf voor kiezen om Whatsapp of Facebook te gebruiken voor communiceren met belastingdienst.
05-03-2016, 16:34 door Anoniem
Door Anoniem: Je mag sowieso geen persoonlijke gegevens sturen via het internet, je weet nooit met wie je echt aan het chatten bent of wie dat er mee kijkt. Toch nemen de meeste het risico om het gewoon wel te doen en daar zal de belastingdienst ervan profiteren.
Nou dat is wat cru. "Mag niet" Het mag wel maar het is wel verstandig om dit met vertrouwde software te doen.
Wanneer het niet zou mogen is er ook geen communicatie met de overheid via internet mogelijk.
Wat dacht je van de Belastingaangifte etc.
05-03-2016, 17:13 door karma4
Bron (!!!) = https://belastingdienst-in-beeld.nl/whatsapp-voor-vragen-over-intermediairdagen/
Mooi hè, internet?!
Uit die link "Daarbij worden geen persoonlijke of geheime gegevens uitgewisseld." Dat moet dan ook zo blijven.
Raar:
--> We gaan de krant en journalistiek radio berichten ook maar verbieden want die zijn niet end to end geencrypt.
Dat is je reinste censuur.

Als de informatie publiekelijk openbaar bedoeld is. Wat is het probleem als het dan openbaar is?
05-03-2016, 17:57 door Anoniem
Volgens het persbericht in de telegraaf (ik neem aan dat het een persbericht is, alhoewel, er wordt verwezen naar de woordvoerder van de belastingdienst ) kunnen mensen een screenshotje sturen. Dat lijkt mij dan geen publieke info. Het idee is wel degelijk om persoonlijke vragen te kunnen stellen. Ik verbaas me erover (ja, echt, en dat zal ik blijven doen) dat de Belastingidienst zo soepel omgaat met het begrip vertrouwelijkheid. Innovatief is mooi, maar een beetje nadenken daarbij kan ook geen kwaad. Ik ben door de hier aangedragen informatie nog niet gerustgesteld.
05-03-2016, 19:36 door johanw - Bijgewerkt: 05-03-2016, 19:37
Door Anoniem:
- Whatsapp is nog steeds in staat om berichten mee te lezen (beschikt over sleutel)
Nee, daarin loopt die scorekaart van de EFF achter. Echter, wat je zegt KAN het gteval zijn, als een van de partijen nog een telefoon gebruikt die Symbian, windows phone 7 of BB 7 draait. Deze systemen worden (o.a. daarom) eind dit jaar niet meer ondersteund.
- identiteit van je contact kan niet worden geverifieerd (MitM gevaar)
Nog niet, dat zit er aan te komen.
- als de sleutel wordt gestolen, kunnen alle berichten, oud en nieuw, worden teruggelezen. (geen forward secrecy)
Dat is dus niet zo bij de versies die het Axolotl protocol geimplementeerd hebben.Ondertussen bij de overgrote meerderheid van de gebruikers.
- programma code is geen open source en kan dus niet worden nageplozen door onafhankelijke specialisten
Wel door de EFF (die natuurlijk wel een NDA tekenen voor de code). En afgezien daarvan zijn Android apk's vrij eenvoudig te decompileren. Je kunt de TextSecure code zo zien zitten als je het doet, zo lastig is dat niet. Die gedecompileerde code uitpluizen op achterdeuren is natuurlijk vrij veel werk maar zeker wel te doen.
En daarbij dus zoals gezegd dat iPhones waarschijnlijk nog steeds in het geheel niet gebruik kunnen maken van die "end tot end" encryptie van Whatsapp.
Ondertussen staat het ook voor de Appel tostellen aan.
Facebook chat heeft overigens dezelfde problemen.
Nee, daar zijn de problemen veel groter en kan Facebook wel meelezen. Bij het eerder genoemde Telegram trouwens ook, tenzij je de secret chat optie gebruikt en het encryptieprotocol daarvan is niet echt betrouwbaar. Het is wel goed gedocumenteerd ja, maar de experts vinden het niet geweldig.
06-03-2016, 15:32 door Anoniem
Kan iemand me vertellen hoe ik op mijn KPN (vaste lijn) telefoon kan Whatsappen.
Is nu eenmaal de enige telefoon die ik heb...
Smartphones zijn aan mij niet besteed.

En anders geen communicvatie met de belastingdienst meer begrijp ik?
Niet dat dat heel veel uitmaakt, die communicatie was toch al miniem.
06-03-2016, 15:39 door Anoniem
Door johanw:
Door Anoniem:
- Whatsapp is nog steeds in staat om berichten mee te lezen (beschikt over sleutel)
Nee, daarin loopt die scorekaart van de EFF achter. Echter, wat je zegt KAN het gteval zijn, als een van de partijen nog een telefoon gebruikt die Symbian, windows phone 7 of BB 7 draait. Deze systemen worden (o.a. daarom) eind dit jaar niet meer ondersteund.
- identiteit van je contact kan niet worden geverifieerd (MitM gevaar)
Nog niet, dat zit er aan te komen.
- als de sleutel wordt gestolen, kunnen alle berichten, oud en nieuw, worden teruggelezen. (geen forward secrecy)
Dat is dus niet zo bij de versies die het Axolotl protocol geimplementeerd hebben.Ondertussen bij de overgrote meerderheid van de gebruikers.
- programma code is geen open source en kan dus niet worden nageplozen door onafhankelijke specialisten
Wel door de EFF (die natuurlijk wel een NDA tekenen voor de code). En afgezien daarvan zijn Android apk's vrij eenvoudig te decompileren. Je kunt de TextSecure code zo zien zitten als je het doet, zo lastig is dat niet. Die gedecompileerde code uitpluizen op achterdeuren is natuurlijk vrij veel werk maar zeker wel te doen.
En daarbij dus zoals gezegd dat iPhones waarschijnlijk nog steeds in het geheel niet gebruik kunnen maken van die "end tot end" encryptie van Whatsapp.
Ondertussen staat het ook voor de Appel tostellen aan.
Facebook chat heeft overigens dezelfde problemen.
Nee, daar zijn de problemen veel groter en kan Facebook wel meelezen. Bij het eerder genoemde Telegram trouwens ook, tenzij je de secret chat optie gebruikt en het encryptieprotocol daarvan is niet echt betrouwbaar. Het is wel goed gedocumenteerd ja, maar de experts vinden het niet geweldig.

Ik ben pas overtuigd als jij eff hebt weten te overtuigen.
https://www.eff.org/secure-messaging-scorecard staat open voor nieuwe input...
06-03-2016, 19:41 door Erwtensoep - Bijgewerkt: 06-03-2016, 19:47
Er is genoeg aan te merken op Telegram wat niet op die secure messaging scorecard staat.

Encrypted so the provider can’t read it?
-Ja, er is end-to-end encryptie in Secret Chats, dus Telegram zou het zelf niet moeten kunnen lezen, al zijn experts er over eens dat het geen goed encryptieprotocol is.

Can you verify contacts’ identities?
-Ja, je kan de identiteit van je contacten verifiëren om een Man in the Middle aanval uit te sluiten, maar Telegram geeft geen waarschuwing als de identiteit veranderd, dus tenzij je elke keer wanneer je het gebruikt het controleert heeft het weinig zin.

Are past comms secure if your keys are stolen?
-Maar half, deze gaat over Forward Secrecy, waarbij tijdelijke sleutels ipv vaste worden gebruikt, zodat je niet meer dan het laatste bericht kan ontsleutelen als je de sleutels bemachtigt. Telegram wisselt de sleutels echter per 100 berichten of wekelijks(welke sneller word bereikt). Een tijd terug was er zelfs helemaal geen Forward Secrecy, dit werd na een update aan de clients toegevoegd. Een app zoals Signal en dus ook WhatsApp heeft gewoon echt per bericht een andere sleutel, en daar is het ook in het procotol gebakken ipv het laten doen door de client.

Is the code open to independent review? & Is security design properly documented? & Has there been any recent code audit?
-Ja. Maar dat zegt weinig, want experts hebben daar dus uit opgemaakt dat het een beetje een brakke boel is. Bovendien kijkt het vinkje voor de code audit alleen naar of er een was, niet hoe uitgebreid die was of wat uberhaupt de bevindingen waren.

Daarnaast zijn er ook zaken die hier helemaal niet naar voren komen. Zo is de Secret Chat niet standaard, is er geen Secret Group chat en kan je alleen via je telefoon Secret Chat doen, via andere apparaten kan je er niet bij.

Een ander punt is Contact Discovery. Waar Signal en WhatsApp de nummers uit je telefoonboek halen, deze vervolgens hashen met SHA256 en dan versturen naar de server, hashed Telegram ze helemaal niet, en sturen ze ook gewoon de volledige naam die bij het telefoonnummer hoort mee.
Voor Contact Discovery heb je helemaal geen toegang tot de telefoonnummers bezig, hashes zijn genoeg.
Telegram claimt daarnaast de namen van je contacten nodig te hebben om je een melding te kunnen sturen als een van je contacten zich bij Telegram heeft aangemeld, maar Signal heeft deze functionaliteit ook, ze doen het alleen gewoon lokaal, dus geen namen naar de server.
Zaken als deze laten ook zien dat Telegram geen verstand van zaken heeft of geen moeite wil doen om hun app privacy vriendelijker te maken, dan hoef ik hun app niet meer te gebruiken.
07-03-2016, 09:13 door Anoniem
Door johanw: De berichten kunnen juist niet gelezen worden door wie dan ook buiten de verzender en ontvanger omdat WhatsApp de end to end encryptie van Signal overgenomen heeft voor de meeste platforms. De platforms waarop dat nog niet geimplementeerd is of men de moeite daarvoor niet wil doen worden eind dit jaar uitgefaseerd.

Heb je dat gecontroleerd in de source code? Is die open? Als je even 100.000 euro overmaakt op mijn bitcoin adres, krijg je van mij de garantie dat je in de hemel komt, echt waar, echt waar, ik zeg het je.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.