Europol wil uitgebreidere Europese bewaarplicht
Europol wil dat er een uitgebreidere Europese bewaarplicht komt wegens het toenemend gebruik van Carrier Grade NAT (CGN) door internetproviders, wat een steeds groter probleem wordt bij het opsporen van verdachten. Dat heeft de opsporingsdienst in een document gericht aan EU-leden laten weten (pdf).
Internetproviders gebruiken CGN als oplossing voor het te kort aan ipv4-adressen. Hierdoor kunnen duizenden abonnees van een provider één ip-adres delen. CGN zorgt er volgens Europol voor dat opsporingsdiensten de activiteiten van een bepaalde verdachte niet meer naar een specifiek ip-adres kunnen herleiden. Onderzoekers moeten nu eerst bepalen wie van de honderden of duizenden abonnees die via het ene ip-adres verbinding met internet maakten voor de onderzochte acties verantwoordelijk is.
"CGN-technologieën hebben daardoor negatieve gevolgen als het gaat om databescherming en privacy, omdat opsporingsdiensten veel meer privacy-invasieve onderzoekstechnieken moeten toepassen om mogelijke verdachten te identificeren", aldus Europol. De opsporingsdienst stelt dat de meeste partijen die hiermee te maken kregen dachten dat CGN vanzelf door ipv6 zou verdwijnen. Ipv6 biedt iedereen namelijk een eigen ip-adres. Nu blijkt dat het zeker nog 20 jaar kan duren voordat CGN is verdwenen en dat steeds meer providers er gebruik van willen maken.
Uit recent onderzoek onder 70 traditionele internetproviders blijkt dat inmiddels 38 procent CGN heeft uitgerold en 12 procent dit van plan is. Bij mobiele internetproviders is dit zelfs 95 procent. "De gevolgen op onderzoeken is enorm", laat Europol weten. Als voorbeeld wordt een EU-lid genoemd waarbij 90 procent van de onderzochte mobiele ip-adressen niet naar een verdachte was te herleiden.
Bewaarplicht
Om gebruikers toch te kunnen identificeren wil Europol dat providers meer informatie gaan opslaan, namelijk de source en destination ip-adressen, de tijd van de verbinding en het source-poortnummer. "Het gebrek aan een uniforme bewaarplichtstandaard in Europa houdt in dat providers geen juridische verplichting hebben om dit soort gegevens op te slaan, wat inhoudt dat verzoeken van opsporingsdiensten geen bruikbare informatie van de provider opleveren", stelt Europol.
De opsporingsdienst pleit dan ook voor nieuwe wetgeving zodat providers worden verplicht om deze gegevens wel op te slaan. Om hiervoor te zorgen is er vandaag een speciaal secretariaat opgericht dat onder andere beleidsmakers bewust gaat maken van de problemen die CGN veroorzaakt en zal er worden opgeroepen tot een vrijwillig plan waarbij er met providers zal worden samengewerkt.
https://www.computable.nl/artikel/nieuws/security/5890388/250449/zembla-onthult-nieuw-datalek-bij-europol.html
https://www.computable.nl/artikel/nieuws/security/5890388/250449/zembla-onthult-nieuw-datalek-bij-europol.html
klopt,
morele lekkage
wie bewaakt de bewakers?
IPv6 moet juist van het toneel verdwijnen. Het is een rampzalig protocol vol met ontwerpfouten, uit een tijd dat niemand nog van cyberaanvallen had gehoord.
Als men de uitrol van IPv6 niet in de kiem weet te smoren dan gaan we met een internet te maken krijgen dat nog vele malen onveiliger is dan het huidige. En dat ligt men name ten grondslag aan de implementatie door fabrikanten.
Komop zeg, ook de lokale adresinformatie over het hele internet versturen en standaard alles direct vanaf het internet benaderbaar, dat is gewoon een totaal mislukt ontwerp. Dan nog een ingebouwde IPSec, zodat firewalls IPS en andere beveiligingsmechanismes buitenspel gezet kunnen worden en niemand nog kan controleren wat een apparaat allemaal met zijn fabrikant en derden communiceert...?
IPv6 moeten we overslaan, ander zitten we ermee in de maag. Net als het FTP protocol wat nu pas langzaam van het toneel begint te verdwijnen.
CNG is niet nieuw en het is vormt al die tijd al een belemmering. Opsporingsdiensten in Europa hebben er niet nu pas last van. In plaats van het onderliggende probleem te proberen te verhelpen hebben ze volhard in het invoeren behouden en uitbreiden van opsporingsmethoden die voordelen hebben voor de opsporingsdiensten en nadelen voor de personen waar de opsporingsdiensten als Europol voor werken.
Europol toont aan dat het jaren lang een zeer zwakke strategie voert op voorkomen van opsporingsbelemmeringen en die strategie vast wil houden. Europol toont dat het een strategie voert die gericht is om het zichzelf makkelijker te maken, weinig op heeft met de nadelen voor wie ze horen te beschermen, dwars ligt op de richting die de hoogste rechtsprekende macht aangeeft. Europol toont ook aan dat het een strategie voert die niet gericht is op vernieuwing en innovatie, maar op behoud van oude reeds verworpen methoden en belemmerende protocollen.
Als Europol vast blijft houden aan deze oude strategieen dan maakt het de opsporingswereld niet alleen slechter maar werkt het criminaliteit nog jaren in de hand. Alleen een strategie gericht op het uitfaseren van oude protocollen als IPv4 beperken criminaliteit, maken opsporing makkelijker en doen recht aan de rechten van 750 miljoen Europeanen die Europol dient te beschermen.
Het beweren dat het invoeren van IPv6 nog 20 jaar kan duren is niet alleen een ongefundeerde inschatting maar ook een zwaktebod. Europol voert het op in de hoop sentiment te veranderen door mensen bang te maken dat opsporingsdiensten hun werkt niet goed kunnen doen. Europol zou het juist moeten gebruiken om de fundamenten van diverse problemen snel aan te pakken. Het heeft daar de kans toe maar nog blijven ze volharden in hun oude strategieen. Je kan je afvragen wat het doel van Europol werkelijk is.
Zo lang mogelijk blijven hangen op een onveilige infrastructuur tot je er zowat van af gejaagd wordt en dan nog eventjes talmen zolang het wettelijk mogelijk is.
Yahoo, hoort u mij of gaat u de naam veranderen om uw schande te verhullen?
De beleidsmakers en pitch hitters zijn zunig. Eerst geld harken dan pas iets aan innovatie uitrol teruggeven.
Kostenbeveiliging is belangrijker als echte beveiliging.
Het lijkt de flagellanten optocht wel van de digitale middeleeuwen - twee stappen vooruit en een achteruit.
CGN zo onveilig als het kan en als de ISP de IPv6 uitrol nog niet begonnen is is je VPN zo onveilig als wat.
Google, Facebook, Yahoo, Netflix, Akamai, Linkedin omzeilen de VPN en gaan op zoek naar IPv6 toegang.
Lekker ben je in zo'n geval.
Het is dus een ramp en voor Europol wellicht tevens een puzzel. Wel wettelijkdevice breed laten registreren, zoals in België, Spanje en Polen, maar vervolgens die adressen niet kunnen opsporen.
Aan de andere kant is het goed dat de bestaande incompetentie, de complete controle van de surveillance staat nog wat in de weg zit, maar dat geldt ook helaas voor de bad guys, die het verdienen om in de digitale kladden te worden gegrepen.
Ze lachen zich een aap, niets hindert hun 'business' activiteiten.
Maar we zien het steeds. De grootste jongens met de meeste poen voldoen het laatst aan de uitfaseringsvoorstellen.
Denk aan bijvoorbeeld sha-1, en dan certificeert men weer even als root of implementeert cyphers topsy turvy. DROWn,
hoort u er nog iets over?
Bij elk incident even knipperen met de ogen en dan weer terugvallen in dezelfde onveilige routine.
Wie hou je dan eigenlijk voor de gek, man?
IPv6 moet juist van het toneel verdwijnen. Het is een rampzalig protocol vol met ontwerpfouten, uit een tijd dat niemand nog van cyberaanvallen had gehoord.
Als men de uitrol van IPv6 niet in de kiem weet te smoren dan gaan we met een internet te maken krijgen dat nog vele malen onveiliger is dan het huidige. En dat ligt men name ten grondslag aan de implementatie door fabrikanten.
Komop zeg, ook de lokale adresinformatie over het hele internet versturen en standaard alles direct vanaf het internet benaderbaar, dat is gewoon een totaal mislukt ontwerp. Dan nog een ingebouwde IPSec, zodat firewalls IPS en andere beveiligingsmechanismes buitenspel gezet kunnen worden en niemand nog kan controleren wat een apparaat allemaal met zijn fabrikant en derden communiceert...?
IPv6 moeten we overslaan, ander zitten we ermee in de maag. Net als het FTP protocol wat nu pas langzaam van het toneel begint te verdwijnen.
Ik deel je mening. Er wordt nu gebruik gemaakt van NAT als een soort van firewall. Het rechtstreeks benaderen van devices (die nu achter NAT zitten) vind ik een enge gedachte. Je kunt er gif op innemen dat dit gedonder gaat opleveren. Verder is IPv6 vrij complex.Complexiteit en security gaan niet goed samen.
http://blog.ipspace.net/2014/06/why-is-ipv6-layer-2-security-so-complex.html
Een nieuwe protocol zie ik niet zomaar verschijnen. Voorlopig zitten we nog op IPv4 want de implementatie van IPv6 gaat erg moeizaam.
Maar het idee van ieder apparaat een eigen adres is ook in deze tijd best een goed idee in principe. Het is dan ook een fundamenteel principe van het open internet, en dat gehannes met NAT is behoorlijk kostbaar. Dat we het toch doen zegt iets over de qualiteit van de software die er op al die verbonden apparaten draaien. Maar het is geen oplossing. En het levert, zoals hier, additionele rompslomp op van vingerzwaaiers die vinden dat hun eisen heel redelijk zijn.
Ga ze maar vertellen dat ze ernaast zitten. Ze hebben nog steeds hun werk te doen, ook al zijn ze ook in mijn ogen vaak al te makkelijk de rest van de wereld verplichtingen op te leggen uit wat ze zelf zeggen noodzaak, en ik zeg is vooral mentale luiheid en vaak nogal oppervlakkig begrip van de materie.
Vanuit dat oogpunt heb ik liever toch geen NAT, alles een eigen adres, en dus een acute noodzaak ons te ontdoen van al die software die gewoon [x] ongeschikt is voor veilig gebruik, en dus te vervangen door iets dat wel [x] geschikt is. Maarja, dat zou pas echt werk betekenen voor al die snelle jongens van de ICT en de -beveiliging.
Alles wat ik op het Internet doe is al al te doorzichtig gemaakt, waar is mijn recht alleen gelaten te worden?
- Kan ik nog wat bewaren van het basale recht op persoonlijke integriteit en recht op anonimiteit,
als ik me netjes aan alle regels hou of verklaar dat te doen?
- Waarom wordt mijn gebruik van VPN, de Cloud en bijvoorbeeld tor in specifieke gevallen gefrustreerd?
- Waarom moet ik altijd en overal rekening houden met mogelijke pottenkijkers?
- Waarom kan ik de digitale gordijnen niet dicht trekken, zoals ik dat bij mijn kamerraam doe?
(camera afplakken wanneer ik die niet gebruik).
- Waarom moet ik me zorgen maken dat niemand inbreekt op mijn huis-netwerk.
- Waarom mag ik me niet beschermen tegen het gesnuffel van mijn provider en overheid,
die eigenlijk alleen zich bemoeien moeten met het in stand houden van mijn verbinding
en of ik netjes mijn geld/belasting aan hen vooruit betaal voor hun dienstverlening?
De techniek helpt mij niet om die vragen op te lossen, dat moet ik zelf doen.
Ik moet mezelf restricties opleggen, zelf mijn dhcp server inkloppen,
zelf device breed mijn thuis netwerk afgrendelen
en dan nog zit ik op een a priori onveilige infrastructuur, die elk moment kan worden gecompromitteerd?
Van Gaal zou zeggen: "Ben ik nou zo dom of .....".
Alles via een wereldwijd netwerk aan elkaar knopen slaat helemaal nergens op. Als een thuiszorgorganisatie alle 'IOT' devices ofwel sensoren van zijn vestigingen binnen Nederland wil kunnen benaderen dan is een klasse A IPv4 private range meer dan ruim voldoende. De hartslag en blaassensor van een oudje in Groningen hoeft echt niet door miljarden mensen vanaf elke locatie op deze planeet uitgelezen worden. Darkfibers naar alle locaties lost in een klap alle problemen op. Bij de aanleg gewoon 10 fibers naar elk pand is veel goedkoper dan al die halve prutsoplossingen die snelle jongens nu geruiken om iets nieuws als IPv6 te verkopen.
Dus... Het probleem kan veel beter opgelost worden door autonome netwerken te bouwen naast het internet, in plaats van alles te verweven met het internet. Dat is ook nog eens VEEL veiliger. En omdat deze autonome netwerken een specifiek doel hebben kunnen ze niet door kwaadwillende gebruikt worden om met elkaar te communiceren, dus dat neemt in een keer de zorgen van opsporingsdiensten weg.
Sterker nog overheidsdiensten moeten zich helemaal niet bemoeien met de evolutie van computernetwerken, ze hebben te weinig verstand van zaken en te veel eenzijdige belangen, waardoor er een digitaal verwoven puinhoop gaat ontstaan als ze dan wel doen. Ze moeten zich weer focussen het probleem bij de wortel aan te pakken en het netwerk design overlaten aan mensen die er verstand van hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
