image

Mozilla heeft grote zorgen over Australische encryptiewetgeving

dinsdag 26 februari 2019, 15:38 door Redactie, 15 reacties

Mozilla heeft grote zorgen over de Australische wetgeving die techbedrijven verplicht om de autoriteiten te helpen bij het verkrijgen van toegang tot versleutelde data. Dat blijkt uit een brief die de browserontwikkelaar naar een commissie van het Australische parlement heeft gestuurd (pdf).

Volgens Mozilla is de wetgeving uitermate zorgwekkend voor de veiligheid van internetgebruikers en internetinfrastructuur in Australië en daarbuiten, en stelt het geen beperkingen aan surveillance door de overheid. "Gegeven de ernstige dreiging die deze wet vormt voor de veiligheid en privacy, zijn we blij met de herziening van de wetgeving door de commissie en doen een dringend verzoek om die te verbeteren", zo laat de browserontwikkelaar weten.

In de brief schrijft Mozilla dat de wetgeving nooit goedgekeurd had mogen worden en dat de beste oplossing is om de wetgeving in zijn geheel terug te trekken, en opnieuw te beginnen met een openbare raadpleging. Mozilla erkent dat de politieke wil om dit te doen, en zo de veiligheid van alle Australiërs te beschermen, mogelijk niet bestaat. Daarom doet de browserontwikkelaar verschillende aanbevelingen om de gevaarlijkste gevolgen van de wet te beperken.

Zo moet de wet duidelijk maken dat de Australische autoriteiten zich niet kunnen richten op medewerkers van een communicatieprovider. Op dit moment zouden autoriteiten medewerkers kunnen dwingen om de veiligheid van systemen te verzwakken. Hierdoor zouden bedrijven alle in Australië gebaseerde medewerkers als potentiële insiderdreiging moeten beschouwen.

Verder pleit Mozilla voor het invoeren van maatregelen om misbruik tegen te gaan en dat alle verzoeken geen schade mogen doen aan gebruikers die niet worden verdacht. Tevens moet het beoordelingsmechanisme worden aangepast waarbij naar alle rechten en belangen wordt gekeken. Ook ziet Mozilla graag een transparantierapport over hoe vaak er een beroep op de wet is gedaan. Onlangs maakte vpn-provider VPNSecure bekend dat het Australië wegens de encryptiewetgeving ging verlaten.

Reacties (15)
26-02-2019, 16:21 door Anoniem
Dit krijg je dus als mensen zonder IT kennis beslissingen nemen over IT wetgeving.
26-02-2019, 17:04 door Anoniem
Gewoon allemaal VPNSecure achterna, weg uit Australie. Dat schept meteen een precedent voor andere landen met belachelijke iedeen.
26-02-2019, 17:07 door Anoniem
Echter, over Logius (Staat der Nederlanden CA) oordeelde Mozilla ten tijde invoering Wiv 2017 (sleepwet) : "Absent actual evidence, or a statement of intent from a government that they intend to use their CA to conduct SSL MITM, I think that we can't take action against government CAs simply because they pass surveillance laws.".
26-02-2019, 17:11 door Anoniem
Bug 1408647 https://bugzilla.mozilla.org/show_bug.cgi?id=1408647
Logius: Staat der Nederlanden CA trust issue (WiV)
RESOLVED WONTFIX
26-02-2019, 17:43 door Anoniem
Ja deze wet gaat te ver inderdaad voor de veiligheid van de Australiers,maar misschien kunnen ze gewoon dan een andere vpn aanbieder gaan gebruiken,dat hun eigen overheid ze niet kan zien.
Het internet verkeer zit dan in de tunnel,desnoods moeten ze een vpn server kiezen buiten Australie,dat het net lijkt of ze niet in Australie zijn.
Alleen de vpn uitzetten mogelijk met hun eigen versie van bepaalde tv diensten,en streamingsdiensten.
Ze zullen vast in Australie dan ook een soort geoblocking hanteren,zodat bepaalde Autralische diensten niet buiten Australie bekeken kunnen worden.
Maar goed ik hoop oprecht voor de Australiers dat deze wet om encrypie te beperken op een bepaald punt,gewoon niet door gaat.
26-02-2019, 17:57 door Anoniem
Door Anoniem: Dit krijg je dus als mensen zonder IT kennis beslissingen nemen over IT wetgeving.

Maar is dit een probleem van de NooBs of van de ICT branch?

Moeten de NooBs die de beslissingen nemen, zich beter en dieper inwerken in de IT-materie, of moet de ICT branch de IT-materie duidelijker en mogelijk ook simpeler (Jip en Janneke taal) communiceren naar de NooBs toe.

Als dit voor het ICT vakgebied geldt, geldt dit dan ook voor andere vakgebieden zoals: medisch, milieu, juridisch.
En als het in die vakgebieden geen probleem is, waar komt dat dan door?
26-02-2019, 18:25 door Anoniem
Dat is waar, maar het etaleert wederom de onbegrensde machtshonger van overheden,
die men wil uitoefenen over de onderdanen.
En dan maakt het niet uit of die honger van over rechts of van over links gestild wordt.

De Ausssies konden in dit geval deze wetgeving al in de steigers hangen
en worden mogelijk door de rest van de wereld, die hun verstand nog niet verloren hebben, teruggefloten...
of stiekem bewonderd.

Vergeet daarbij niet dat andere overheden in het geniep of openlijk ook al met dergelijke plannen rondlopen,
zoals destijds Amber Rudd, de honorabele Minister van Binnenlandse Zaken van het Verenigd Koninkrijk.

Binnen onze politiek worden mogelijk ook dergelijke plannetjes gekoesterd. Het broeit volop en overal.
Men is immers bang voor wat ontevreden burgers of consumenten bezighoudt.

G*d beware ons voor deze privacy bedreigingen met een doel, namelijk ons te overheersen.

#sockpuppet
26-02-2019, 22:21 door Anoniem
Aan anoniem van 17:57,

Dit komt omdat de mensen, die de beslissingen mogen nemen, geen relevante kennis bezitten en dan ook menen, dat ze die niet hoeven te bezitten om hun agenda ten uitvoer te leggen. Deze agenda bestaat voornamelijk in het zorgen voor op de eerste plaats winstoptimalisatie. Daarvoor moet al het andere wijken en is dan minder relevant. Internet security bijvoorbeeld is voor dit soort lieden sluitpost, omdat het volgens hen alleen maar weggegooid geld is.

Dan zijn er de mensen met de relevante kennis en ervaring, maar die doen er helaas niet (meer) toe en de manager en ceo en politicus menen niet naar hen te hoeven luisteren. De chaos en onveiligheid op de infrastructuur is hiervan het gevolg met oplopende cybercriminaliteit en ongebreidelde macht van Big IT (Google, facebook, amazon - veel winst en weinig af te dragen kosten (belasting), hen gaat het fantastisch voor de wind. De anderen krijgen het steeds benauwder.

Nu is het wachten tot het zo niet langer gaat en de wal het schip gaat keren. Helaas vrees ik dat de beslissingnemers het allerlaatst hiervoor wakker zullen worden, zo wereldvreemd zijn ze immers intussen al wel geworden. Ze leven in hun eigen exclusieve wereldje.

Daar heb je het hele probleem in een notendop. Het is inherent geworden aan een systeem, dat aleen nog respect kan opbrengen voor poen en bezit. Dit geldt ook voor de massa, die slechts geslaagde sterren adoreert en al het andere als onbelangrijk heeft leren afserveren.

Je kunt daarna via de wetten van karma, wachten op de gevolgen en het zal alleen nog maar erger worden met een nog grotere innerlijke tweespalt tussen de "bepalers" en degenen voor wie bepaald wordt.

Het antieke Rome is ons al voorgegaan in deze en het moderne Babylon zal eens een zelfde lot (moeten) ondergaan.

luntrus
26-02-2019, 22:29 door Anoniem
Maar goed we laten ons niet intimideren door onze overheid,maar aan sommige dingen ontkomen we niet aan helaas.
Maar ja wie slim is kan de overheid een stap voor zijn en het ze zo moeilijk mogelijk maken in ons prive leven te neuzen.
Gewoon vpn gebruiken en dat blijven doen,van een vpn aanbieder welke te vertrouwen is en niks logt.
Het is immers de bedoeling van vpn om mensen buiten je netwerk gedrag te houden.
Het gaat toch je provider niks aan wat je doet en zeker de overheid niks.
Niemand eigenlijk.
27-02-2019, 15:39 door spatieman
je zou haast zeggen dat die ausies met china in bed liggen.
27-02-2019, 16:21 door Anoniem
Mozilla erkent dat de politieke wil om dit te doen, en zo de veiligheid van alle Australiërs te beschermen, mogelijk niet bestaat.

Dat is heel vriendelijk van Achmea. Deze deskundige erkent evenwel niet dat het resultaat zal zijn dat de veiligheid van Australiërs beschermd zal worden. Het statement bestaat uit twee elementen, namelijk een bruto veiligheidsverbetering en een netto afweging van voor- en nadelen.

Bruto is vermoedelijk wel het geval. Evenwel alle zaken buiten beschouwing latend waar reeds bestaande vormen van onderzoek ook tot een resultaat hadden komen (immers, we praten over veiligheid en niet over bezuiniging, wat een andere discussie is), blijft waarschijnlijk een zeer uiterst minieme verbetering over.

Netto betekent de wetgeving nogal wat. Breekbare encryptie betekent niet alleen de encryptie, maar belangrijker ook de digitale handtekeningen. Het is niet mogelijk een kwetsbaarheid te maken die alleen voor de opsporingsdiensten bestaat.. Iedere kwetsbaarheid zal aan de natuurwetten moeten voldoen en is dus in principe toegankelijk voor iedereen of voor niemand. Het is een kwestie van tijd dat de mogelijkheid van toegang de weg gaat van het TSA slot (https://www.techlicious.com/blog/why-tsa-approved-luggage-locks-are-useless/). Een gedeeltelijke tenietdoening van de weinige successen tegen identiteitsfraude, ransomware en andere vormen van computercriminaliteit is onvermijdelijk. Gezien ook terreurgroeperingen de mogelijkheden als financieringsbron hebben ontdekt, is het zelfs mogelijk dat netto de terreurdreiging - door het verder openstellen van deze financieringsbronnen - toeneemt. Netto is de verbetering van de veiligheid dus te berekenen als negatief.
27-02-2019, 17:51 door Anoniem
Door Anoniem: Gewoon allemaal VPNSecure achterna, weg uit Australie. Dat schept meteen een precedent voor andere landen met belachelijke iedeen.

Ik ben eigenlijk wel voor deze exodus
27-02-2019, 17:58 door Anoniem
Door Anoniem: Echter, over Logius (Staat der Nederlanden CA) oordeelde Mozilla ten tijde invoering Wiv 2017 (sleepwet) : "Absent actual evidence, or a statement of intent from a government that they intend to use their CA to conduct SSL MITM, I think that we can't take action against government CAs simply because they pass surveillance laws.".

Door Anoniem: Bug 1408647 https://bugzilla.mozilla.org/show_bug.cgi?id=1408647
Logius: Staat der Nederlanden CA trust issue (WiV)
RESOLVED WONTFIX

Bedenk wel, anderen die een CA-lijst onderhouden zijn er niet open over, Mozilla is enige die dat wel doet.

In principe hebben ze ook gelijk.

Het zou wel mooi zijn als daar en tegen een detectie methode hebben om te zien als certificaten niet is uitgegeven door de CA die we zouden verwachten.

Er zijn zeker al 2 standaarden voor:

1. Certificate Transparency ( voor EV certificaten wordt het al gebruikt !)

2. CAA DNS Records - nog niet veel gebruikt
27-02-2019, 18:43 door Anoniem
Heel goed duidelijk gemaakt van anoniem van 16:21.

Het gezagsmonopolie van de overheid blijkt niet te handhaven, als die overheid zichzelf ondergeschikt heeft gemaakt aan de grootcommercie. Ze bezit geen enkel monopolie feitelijk meer en als overheid is zij verworden tot faciliterende partij. Ook de overheden zijn net als de burgers "horigen" van het grootkapitaal.

Dit terwijl het zo voorgesteld wordt of clouddiensten, encryptie verzorgende diensten e.d. juist faciliteren voor diezelfde overheid. Arrogant en verkeerd denken voert hier de boventoon. Niet meer wakker te schudden deze ziende blinden en horende doven.

Fout dus zo'n insteek en heel goed gezien door anoniem van 16:21 dat dit uiteindelijk voert tot proliferatie. Als niemand meer toegang tot encryptie kan hebben, zijn het slechts de overtreders die zich zullen beschermen of kent niemand meer bescherming.

Het is ook een kwestie van trust. Als op alle voordeursloten een loper van de overheid past, valt het te hopen dat alle overheidsambtenaren met lopers te vertrouwen zijn. Maar je moet natuurlijk het scheve in je redenering niet willen zien om tot dergelijke maatregelen over te gaan. En dan ook nog hard gaan janken als de burgers zich op andere manieren gaan weten te beschermen tegen iets dat ze als bemoeizuchtige overmatige pottenkijkerij beschouwen. Steeds meer gaan in tor-modus op tails of hangen achter 12 proxies.

In China mag je al niet meer zonder kleren in de beslotenheid van je eigen huis rondlopen. Telkens een tandje erbij en de boel nog ietsjes verder oprekken en uiteindelijk kom je in een onleefbare wereld terecht, waarin iedere onderdaan letterlijk "geleefd" wordt. Tot het moment dat je verplicht "wit zwart moet gaan noemen" en in bepaalde opzichten zijn we daar al aanbeland.

Komt hierover nog eens een ethisch en uitdiepend stevig debat om aan te geven aan politici, dat de wereldburger dit helemaal niet wenst. Sheople zijn in de worldwide animal farm lijkt me een vreselijk vooruitzicht. Uit deze draad blijk ik niet de enige met dergelijke opvattingen te zijn.

#sockpuppet
01-03-2019, 22:03 door Anoniem
Door Anoniem: Dit krijg je dus als mensen zonder IT kennis beslissingen nemen over IT wetgeving.

Nee dit krijg je als domme mensen beslissingen nemen. Iemand met een beetje verstand zou meteen een partij inschakelen die wel weet van de hoed en de rand, maar ja daar hebben we er niet zo veel van in deze wereld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.