Securitytest van 'corona-apps' levert meerdere kwetsbaarheden op
Een securitytest van de 'corona-apps' die deze week door de overheid werden geselecteerd heeft meerdere kwetsbaarheden opgeleverd, waaronder het gebruik van hardcoded wachtwoorden waardoor er toegang kon worden verkregen tot databases en de achterliggende infrastructuur.
Dat staat in een rapport van KPMG, dat in opdracht van het ministerie van Volksgezondheid onderzoek deed naar de technische veiligheid en betrouwbaarheid van de geselecteerde 'corona-apps' en achterliggende systemen. Het ging om een gelimiteerde initiële penetratietest en een quickscan van de broncode. Voor de penetratietest stonden er verschillende vragen centraal, zoals de mogelijkheid voor een kwaadwillende om gevoelige informatie te bemachtigen door het ongeautoriseerd kunnen communiceren met de achterliggende infrastructuur van de applicatie.
Ook keken de onderzoekers of een aanvaller de achterliggende infrastructuur van de applicatie door het injecteren van kwaadaardige code zou kunnen compromitteren of ernstig verstoren, waardoor de beschikbaarheid, integriteit en vertrouwelijkheid van het systeem in het geding zou komen. Tevens werd er gekeken naar het manipuleren van de data in de achterliggende infrastructuur van de apps, waardoor er niet meer goed zou kunnen worden bepaald welke gebruikers corona hebben en welke niet.
Bij het broncode-onderzoek stonden andere vragen centraal, waaronder de kwaliteit van de broncode, het vinden van kwetsbaarheden door gebruik te maken van automatische tooling, de aanwezigheid van andere data-uitgangen in de broncode die niet in het ontwerp zijn gedefinieerd, de afhankelijkheid van de software van externe libraries en of de broncode is opgezet in lijn met verwachtingen vanuit de technische en functionele documentatie.
Bevindingen
KPMG had de leveranciers van de zeven geselecteerde apps om technische documentatie, broncode, app en andere benodigde informatie gevraagd. Eén van de leveranciers voldeed hier niet aan en is niet in het onderzoek meegenomen. De namen van de leveranciers zijn niet bekendgemaakt en het nu gepubliceerde onderzoeksrapport bevat alleen algemene bevindingen.
Dat neemt niet weg dat de onderzoekers meerdere serieuze problemen hebben aangetroffen. Zo maken de ontwikkelaars van de apps over het algemeen geen gebruik van "secure coding" principes, waardoor bekende en te verwachten beveiligingsmaatregelen niet zijn geïmplementeerd. Dit geldt ook voor de achterliggende infrastructuur. "Hierdoor ontstaan (ernstige) kwetsbaarheden die eenvoudig voorkomen hadden kunnen worden", aldus de onderzoekers.
Verder blijkt dat de apps gebruikmaken van "hardcoded" wachtwoorden die leesbaar in de broncode staan. Met deze wachtwoorden kon er toegang worden verkregen tot databases en de achterliggende infrastructuur, inclusief datasets buiten het domein van de te testen corona-applicatie. Ook ontdekken de onderzoekers dat de achterliggende infrastructuur (inclusief de API) veel al zonder de benodigde identificatie/authenticatie is te misbruiken. Wanneer er wel beveiliging aanwezig is blijkt die eenvoudig te omzeilen. Een aanvaller kan zo toegang tot vertrouwelijke data krijgen of foutieve data opvoeren.
De apps blijken ook niet altijd uit te gaan van het principe om zo min mogelijk gevoelige gegevens op de telefoon van de eindgebruiker op te slaan. Wel opgeslagen data wordt daarbij onversleuteld opgeslagen. Wat de onderzoekers ook opvalt is dat de Android-apps om toegang tot onder andere de microfoon of foto's vragen. "De gewenste permissies zijn mogelijk te verklaren vanuit de gewenste functionaliteit maar de eindgebruiker zal dit naar waarschijnlijkheid ook wantrouwen en niet accepteren", zo merken ze op.
Uiteindelijk weten de onderzoekers bij slechts één van de zes leveranciers alle gestelde onderzoeksvragen te testen. KPMG stelt verder in het rapport dat het de gebruikte apps, de backend alsmede communicatie tussen de componenten vanwege de korte tijdsduur met een beperkte diepgang heeft kunnen onderzoeken. Het rapport bevat geen conclusie. Wel wordt het ministerie aangeraden dat een integraal security- en privacyonderzoek gericht op het gehele concept bestaande uit organisatie, processen en technologie van belang is voordat er tot een volledige implementatie wordt overgegaan (pdf).
Reacties (34)
Ik wil hier weinig woorden aan vuil maken. Iedereen of de meeste van security.nl had dit wel zien aankomen.
19-04-2020, 19:31 door
beatle
Door Anoniem: Goh. Verrassend.
Wel goed dat dit nu eens in de openbaarheid komt...
Wel goed dat dit nu eens in de openbaarheid komt...
Die openbaarheid vind ik persoonlijk wel een goed initiatief. Of je een dergelijke app moet willen weet ik niet maar de openheid van het proces verdient complimenten en wat mij betreft navolging.
Dus....
- Stoppen met dit (desastreuze) experiment, of
- Kop in het zand en stug door blijven gaan op de ingeslagen weg.
Wat zal het minsterie/de minister beslissen...
Mijn verwachting is optie 2.
- Stoppen met dit (desastreuze) experiment, of
- Kop in het zand en stug door blijven gaan op de ingeslagen weg.
Wat zal het minsterie/de minister beslissen...
Mijn verwachting is optie 2.
Met lede ogen zie ik dit aan... waarom verspilt de overheid nou zoveel geld aan zoiets wat haar nut nooit zal bewijzen...
Niemand met gezond verstand gaat deze app(s) gebruiken.. al is het alleen al vanwege het privacy stuk.
Security wise zitten hier zoveel haken en ogen aan, dat je je in deze heksenketel van emotionele beslissingen niet eens moet wagen aan het ontwikkelen van zo een app met deze (werk)druk.
Levensgevaarlijk om via een app assumptions te maken en gebasseerd daarop weer beslissingen...
Nu is het Corona.. wat is next...
lieve overheid stop met het geld hierin te pompen en besteed het aan iets nuttigs...
Niemand met gezond verstand gaat deze app(s) gebruiken.. al is het alleen al vanwege het privacy stuk.
Security wise zitten hier zoveel haken en ogen aan, dat je je in deze heksenketel van emotionele beslissingen niet eens moet wagen aan het ontwikkelen van zo een app met deze (werk)druk.
Levensgevaarlijk om via een app assumptions te maken en gebasseerd daarop weer beslissingen...
Nu is het Corona.. wat is next...
lieve overheid stop met het geld hierin te pompen en besteed het aan iets nuttigs...
lieve overheid stop met het geld hierin te pompen en besteed het aan iets nuttigs...
Corona App kan best nuttig zijn.Ga jij maar eens bij de GGD zitten om zonder app fatsoenlijk bron en contactonderzoek te doen van een nieuwe corona patient om het virus niet de vrije loop te laten. Het virus moet nl. voldoende ingedamd blijven, anders breidt het zich weer uit.
(het alternatief: de huidige lockdown nog veel langer aanhouden of steeds herhalen, is eigenlijk geen optie: te kostbaar!)
Zo'n app goed en veilig ontwikkelen kost gewoon meer tijd. Das gewoon het hele eiereten.
Of je moet iets kunnen overnemen wat al bestaat en goed kijken of het aan alle eisen voldoet.
Maar onze overheid doet bijna alsof het net zoiets is als stampot koken, wat spaghetticode er doorheen mengen,
sausje erover, allemaal eventjes proeven, en zoek de lekkerste er dan maar uit.
Beetje naïef. Maar dat zal wel komen door hun gebrek aan eigen ervaring met dit soort materie.
Misschien een idee om bij aan te sluiten, echter het ziet er wel weer onheilspellend profetisch uit.
Titel van het artikel:
Bijbehorende URL:
LOL!
Titel van het artikel:
Europe shares code for new coronavirus warning app
Bijbehorende URL:
https://www.politico.eu/article/europe-cracks-code-for-coronavirus-warning-app/
LOL!
En wat denken we van die miljoenen telefoons die geen security updates meer krijgt en dus blootgesteld wordt doordst men bluetooth moet aanzetten? Zelf heb ik een android one toestel die updates krijgt, maar er zijn mega veel telefoons zonder updates.
Verder is die app om vele redenen not done.
Ik hoop echt dat ze hem niet gaan verplichten. Want als men zegt je kan niet meer een cafe of trein bezoeken bv zonder app, moet je eens zien hoeveel mensen die app gaan gebruiken.
Verder is die app om vele redenen not done.
Ik hoop echt dat ze hem niet gaan verplichten. Want als men zegt je kan niet meer een cafe of trein bezoeken bv zonder app, moet je eens zien hoeveel mensen die app gaan gebruiken.
Door Anoniem:
Ga jij maar eens bij de GGD zitten
Zo een app gaat niet werken. bluetooth is onbetrouwbaar en dan moeten we iedereen nog zover krijgen op die app te installeren.Ga jij maar eens bij de GGD zitten
Enige dat werkt is wat zuid-korea doet. testen testen en nog eens testen, ben je besmet meteen in isolatie. Of een harde lockdown zoals in china.
Als nederlanders moeten nadenken dan rekken ze alles op en denken ze alleen maar aan hun zelf.
Ik heb ooit op een cruise boot gezeten waar een aantal nedelanders norro hadden en in hun hut moesten blijven totdat ze door de scheepsarts beter waren verklaard. 50% sloop de hut uit om in het buffet restaurant eten en drank te halen (terwijl alles gratis in de hut werd bezorg als ze naar het restaurant belde). Dat het schip norro maar niet onder controle kreeg door hun gedrag interesseerde ze totaal niet.
De Landsadvocaat heeft in opdracht van het ministerie van VWS een
privacy-analyse uitgevoerd op zeven aangeboden corona-apps:
'Samenvatting privacy-analyse contactonderzoeksapps'
PDF document | 6 pagina's | 208 kB Rapport | 19-04-2020
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/publicaties/2020/04/19/samenvatting-privacy-analyse-contactonderzoeksapps/Samenvatting+privacy-analyse+contactonderzoeksapps.pdf
privacy-analyse uitgevoerd op zeven aangeboden corona-apps:
'Samenvatting privacy-analyse contactonderzoeksapps'
PDF document | 6 pagina's | 208 kB Rapport | 19-04-2020
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/publicaties/2020/04/19/samenvatting-privacy-analyse-contactonderzoeksapps/Samenvatting+privacy-analyse+contactonderzoeksapps.pdf
Door Anoniem: Dus....
- Stoppen met dit (desastreuze) experiment, of
- Kop in het zand en stug door blijven gaan op de ingeslagen weg.
Wat zal het minsterie/de minister beslissen...
Mijn verwachting is optie 2.
- Stoppen met dit (desastreuze) experiment, of
- Kop in het zand en stug door blijven gaan op de ingeslagen weg.
Wat zal het minsterie/de minister beslissen...
Mijn verwachting is optie 2.
Dat zou inderdaad het beste zijn. Immers als men een dergelijke app niet kan bouwen zonder algemeen voorkomende
fouten dan kan de volgende stap zijn om de bedroevende kwaliteit van app-coders een aan de orde te stellen.
Als de opdracht was om een veilige app te bouwen en je krijgt dit broddelwerk, dan kun je wel nagaan hoe de apps
gebouwd worden waar niet al vanaf het begin strenge eisen aan gesteld worden.
(maar die vaak na een tijdje toch wel allerlei persoonsgegevens blijken te verwerken)
Lectori Salutem,
De tijd en de security omgeving op Interwebz van voor de corona COVID-19 crisis komt nooit meer terug.
Dat is aan van alles en nog wat te merken in de lock-down en het nieuwe normaal, dat erna blijft.
Omineus gevoel dat, maar een beetje fijngevoelig persoon, die voelt 't a.h.w. aan zijn water.
We gaan in "rare" tijden komen te leven, lieve mede-aardbewoners.
Heb net nog een facebookexternalhitbot die links naar images crawlt geanalyseerd.
Je wordt er echt niet vrolijk van. Een bekende rule breaker en een fake crawler.
Maar nergens geblokkeerd en niet op VT gevlagd.
We hebben nu een pretext van Globalonia ontvangen om wereldwijde surveillance uit te kunnen voeren
onder het mom van een acute gezondheidsdreiging weg te kunnen nemen.
Men heeft de techniek ervoor inmiddels volop huis.
Neen, lieve mensen, deze volghonden hebben het bot en de geur ervan beet en laten niet gemakkelijk meer los.
Gaan we dit met z'n allen realiseren of zijn er alweer allemachtig veel sheople in slaap gesust?
We zijn op weg ... maar, naar welk tijdperk eigenlijk?
Installeer je COVID-19-tracing-appjes maar vlijtig, anders kom je buiten nergens nog binnen op de lange duur.
luntrus
De tijd en de security omgeving op Interwebz van voor de corona COVID-19 crisis komt nooit meer terug.
Dat is aan van alles en nog wat te merken in de lock-down en het nieuwe normaal, dat erna blijft.
Omineus gevoel dat, maar een beetje fijngevoelig persoon, die voelt 't a.h.w. aan zijn water.
We gaan in "rare" tijden komen te leven, lieve mede-aardbewoners.
Heb net nog een facebookexternalhitbot die links naar images crawlt geanalyseerd.
Je wordt er echt niet vrolijk van. Een bekende rule breaker en een fake crawler.
Maar nergens geblokkeerd en niet op VT gevlagd.
We hebben nu een pretext van Globalonia ontvangen om wereldwijde surveillance uit te kunnen voeren
onder het mom van een acute gezondheidsdreiging weg te kunnen nemen.
Men heeft de techniek ervoor inmiddels volop huis.
Neen, lieve mensen, deze volghonden hebben het bot en de geur ervan beet en laten niet gemakkelijk meer los.
Gaan we dit met z'n allen realiseren of zijn er alweer allemachtig veel sheople in slaap gesust?
We zijn op weg ... maar, naar welk tijdperk eigenlijk?
Installeer je COVID-19-tracing-appjes maar vlijtig, anders kom je buiten nergens nog binnen op de lange duur.
luntrus
Security-by-design is een mindset, niet een weekendtruukje!
Stop er maar mee, dit wordt niets.
Stop er maar mee, dit wordt niets.
Door Anoniem:
Enige dat werkt is wat zuid-korea doet. testen testen en nog eens testen, ben je besmet meteen in isolatie. Of een harde lockdown zoals in china.
Als nederlanders moeten nadenken dan rekken ze alles op en denken ze alleen maar aan hun zelf.
Ik heb ooit op een cruise boot gezeten waar een aantal nedelanders norro hadden en in hun hut moesten blijven totdat ze door de scheepsarts beter waren verklaard. 50% sloop de hut uit om in het buffet restaurant eten en drank te halen (terwijl alles gratis in de hut werd bezorg als ze naar het restaurant belde). Dat het schip norro maar niet onder controle kreeg door hun gedrag interesseerde ze totaal niet.
Door Anoniem:
Ga jij maar eens bij de GGD zitten
Zo een app gaat niet werken. bluetooth is onbetrouwbaar en dan moeten we iedereen nog zover krijgen op die app te installeren.Ga jij maar eens bij de GGD zitten
Enige dat werkt is wat zuid-korea doet. testen testen en nog eens testen, ben je besmet meteen in isolatie. Of een harde lockdown zoals in china.
Als nederlanders moeten nadenken dan rekken ze alles op en denken ze alleen maar aan hun zelf.
Ik heb ooit op een cruise boot gezeten waar een aantal nedelanders norro hadden en in hun hut moesten blijven totdat ze door de scheepsarts beter waren verklaard. 50% sloop de hut uit om in het buffet restaurant eten en drank te halen (terwijl alles gratis in de hut werd bezorg als ze naar het restaurant belde). Dat het schip norro maar niet onder controle kreeg door hun gedrag interesseerde ze totaal niet.
je bedoelt, testen voor EXOSOMES?
of voor een klein VERKOUDHEIDJE genaamd "corona" oftewel "kroning van de nieuwe wereldorde"?
mafketels.
In mijn ervaring met pentesten: niet noodzakelijkerwijs veel slechter dan “normaal”. Bedroevend, dus. Zeker die ene partij die niets heeft aangeleverd: nooit zaken mee doen.
Heeft iemand wel eens nagedacht over de conformiteit aan de Avg van de processen en tooling die de GGD gebruikt? Daar heb ik tot nu toe niemand over gehoord.
Heeft iemand wel eens nagedacht over de conformiteit aan de Avg van de processen en tooling die de GGD gebruikt? Daar heb ik tot nu toe niemand over gehoord.
Door beatle:
Die openbaarheid vind ik persoonlijk wel een goed initiatief. Of je een dergelijke app moet willen weet ik niet maar de openheid van het proces verdient complimenten en wat mij betreft navolging.
Door Anoniem: Goh. Verrassend.
Wel goed dat dit nu eens in de openbaarheid komt...
Wel goed dat dit nu eens in de openbaarheid komt...
Die openbaarheid vind ik persoonlijk wel een goed initiatief. Of je een dergelijke app moet willen weet ik niet maar de openheid van het proces verdient complimenten en wat mij betreft navolging.
Eens. En als we er dan ook nog wat meer tijd voor nemen, dan ben je waarschijnlijk 80% van de problemen die nu gezien worden ook kwijt. Veel issue's zijn in mijn ogen ontstaan doordat onder de tijdsdruk allerlei stappen m.b.t. kwaliteitsborging zijn overgeslagen.
Op zaterdag was ik helaas verhinderd, maar op zondag heb ik de live stream gevolgd. Af en toe vond ik het jammer dat ik daar niet aan tafel zat.
Samengevat: Zeer interessant experiment. De aanpak om zo een app (ontwikkelaar) te selecteren is in mijn ogen waardevol voor ontwikkeling in het openbare domein. Als het gaat om de Corona app zelf, zie ik geen waarde. Een Corona app gaat functioneel niet bieden wat ervan verwacht wordt. Privacy is een lastig ding, maar daar is nu zoveel aandacht voor dat ik me daar minder zorgen om maak.
Door Anoniem:Ga jij maar eens bij de GGD zitten om zonder app fatsoenlijk bron en contactonderzoek te doen van een nieuwe corona patient om het virus niet de vrije loop te laten. Het virus moet nl. voldoende ingedamd blijven, anders breidt het zich weer uit.
Want de GGD heeft de afgelopen jaren (decennia) nooit enig contactonderzoek kunnen uitvoeren zonder apps. De hele wereld staat stil (pun intended) als er geen app gebruikt kan worden.
Hoe deden ze dat dan in het pre-app tijdperk (bv gisteren)?
Pen, papier, telefoon, interviews. Het kost mankracht, maar is zeker uitvoerbaar. Ook zonder app. Zo nodig zet je bankzitters in als (verplichte) vrijwilligers.Gewoon bestaande processen en procedures opschalen.
Door Anoniem: ... Mijn verwachting is optie 2.
Nee, volgens mij scoort de app van leverancier no. 2 overal oké.
[ ] ongeschikt
[x] geschikt
Zo een app gaat niet werken. bluetooth is onbetrouwbaar en dan moeten we iedereen nog zover krijgen op die app te installeren.
Ze kunnen beter gaan onderzoeken hoeveel mensen bereid zijn om die app te installeren. Komen ze niet aan 60% dan maar gelijk de stekker er uit en het geld aan werkende middelen uitgeven.
Door Anoniem: Dus....
- Stoppen met dit (desastreuze) experiment, of
- Kop in het zand en stug door blijven gaan op de ingeslagen weg.
Wat zal het minsterie/de minister beslissen...
Mijn verwachting is optie 2.
- Stoppen met dit (desastreuze) experiment, of
- Kop in het zand en stug door blijven gaan op de ingeslagen weg.
Wat zal het minsterie/de minister beslissen...
Mijn verwachting is optie 2.
Privacy is belangrijk en moet beschermd worden, maar mensen moeten ook eens niet zo verschrikkelijk hypocriet doen.
Het gaat namelijk niet om *de* privacy, het gaat om *jouw* privacy. En dan wijs ik niet naar deze anonieme reageerder maar naar iedereen die loopt te klagen over deze app.
Jullie lopen wel moeilijk te doen over hoe deze app je privacy schendt, maar tegelijk vinden jullie ook *allemaal* dat je het recht hebt om te weten of je in de buurt bent geweest van een persoon met een besmettelijke ziekte.
Want het gaat niet om privacy maar om *JOUW* privacy. *jij* wilt weten wie er ziek is maar niemand mag dat van jou weten.
De politie moet iedereen bekeuren die te hard rijdt, maar niet jou. Belasting moet alleen betaald worden door de rijken, als je voor politiek links bent is rechts de oorzaak van alle problemen, als je politiek rechts bent is links de oorzaak van alle problemen etc etc. Het ligt iig nooit aan jou.
Natuurlijk moet deze app veilig zijn maar het hele doel ervan is om aan te kunnen wijzen wie in jouw omgeving covid heeft. Hoe wil je dat anoniem gaan doen dan? Hoe wil je iemand die een potentieel dodelijke besmettelijke ziekte heeft gaan vermeiden als je niet weerrt wie het is?
En het is geen STD die je oploopt door dingen te doen die de schijnheilige meerderheid zegt af te keuren (terwijl ze zelf dolgraag in de parenclub zitten), het is iets wat je op kunt lopen door gewoon naast iemand te staan.
En jullie eikelen maar door over privacy.... bizar.
Er zijn zoveel problemen met deze apps, dat ik me afvraag of het überhaupt zin heeft om ze te maken.
1) Niet iedereen gaat de app gebruiken, wat is dan het praktisch nut?
2) Hoe ga je om met personen die wel dichtbij zijn, maar gescheiden middels glas of een muur? Daar gaat Bluetooth dwars doorheen en zie je dus niet.
3) Als de app anoniem is, hoe ga je dan voorkomen dat externen (kuch Russen kuch) massaal valse profielen gaan injecteren?
4) Kunstenaars gaan kloten met deze app, bijvoorbeeld door een telefoon aan de halsband van een hond knopen als politiek statement, hoe ga je daar mee om?
5) Hoe voorkom je misbruik? Denk aan iemand die via de app symptomen gaat faken om zo andere personen en bedrijven/scholen/venues enz. in lockdown te laten gaan? Is een mooi alternatief voor het leggen van handgranaten, wat nu veel wordt gebruikt om dat doel te bereiken.
6) Hoe ga je om met de Bluetooth ID randomizers die tegenwoordig standaard in iOS en Android zitten? Dat is er ingebouwd om Bluetooth tracking in winkels onmogelijk te maken.
Enz enz.
Oja, ps, de app moet gisteren al af zijn. En dan vind men het vreemd dat er haastwerk wordt geleverd...
1) Niet iedereen gaat de app gebruiken, wat is dan het praktisch nut?
2) Hoe ga je om met personen die wel dichtbij zijn, maar gescheiden middels glas of een muur? Daar gaat Bluetooth dwars doorheen en zie je dus niet.
3) Als de app anoniem is, hoe ga je dan voorkomen dat externen (kuch Russen kuch) massaal valse profielen gaan injecteren?
4) Kunstenaars gaan kloten met deze app, bijvoorbeeld door een telefoon aan de halsband van een hond knopen als politiek statement, hoe ga je daar mee om?
5) Hoe voorkom je misbruik? Denk aan iemand die via de app symptomen gaat faken om zo andere personen en bedrijven/scholen/venues enz. in lockdown te laten gaan? Is een mooi alternatief voor het leggen van handgranaten, wat nu veel wordt gebruikt om dat doel te bereiken.
6) Hoe ga je om met de Bluetooth ID randomizers die tegenwoordig standaard in iOS en Android zitten? Dat is er ingebouwd om Bluetooth tracking in winkels onmogelijk te maken.
Enz enz.
Oja, ps, de app moet gisteren al af zijn. En dan vind men het vreemd dat er haastwerk wordt geleverd...
Door Anoniem:
Zo een app gaat niet werken. bluetooth is onbetrouwbaar en dan moeten we iedereen nog zover krijgen op die app te installeren.
Ze kunnen beter gaan onderzoeken hoeveel mensen bereid zijn om die app te installeren. Komen ze niet aan 60% dan maar gelijk de stekker er uit en het geld aan werkende middelen uitgeven.Dat is reeds onderzocht, onder meer door Avrotros EenVandaag en andere opiniepeilers. De nodige maatschappelijke bereidwilligheid is er. De goodwill voor de GGDs en de nodige ICT knowhow is er ook.
Het probleem is niet dat er te weinig bereidwillige Nederlandse burgers zouden zijn (want 59% geeft aan welwillend te zijn), maar eerder, volgens andere research gegevens van Telecompaper.com, dat een aanzienlijk deel van de bevolking (ca. 10%) of geen mobieltje, of geen geschikte smartphone of alleen een ongeschikte dumbphone heeft.
Bereidwilligheid van de Nederlandse bevolking om mee te werken aan het mobiel traceren van SARS-CoV-2 infecties
dumb | smartphone |extra| > 60% minimum RIVM
|---->|---------------------------->|---->|
|.....|.....|.....|.....|.....|.....|.....|.....|.....|.....|
0 10 20 30 40 50 60 70 80 90 100 %
.
. <--39%---weigerachtig---|
.
. kritieke marge = |.....| +11%
.
0-----|---59%---welwillenden------->| ?
Diagram: Gedeelte van NL bevolking met een smartphone vs. het aandeel van weigerachtigen. n.b. In de groep 'dumb' zitten mensen zonder mobiel, zonder smartphone of alleen met dumbphone. (voor n = 21.937 uit panel van 65.000 leden)
"Privacy opgeven voor corona-app is prima, maar liever niet verplicht"
door Daphne Cornelisse, 8 april 2020
https://eenvandaag.avrotros.nl/panels/opiniepanel/alle-uitslagen/item/privacy-opgeven-voor-corona-app-is-prima-maar-liever-niet-verplicht/
Door Anoniem: Er zijn zoveel problemen met deze apps, dat ik me afvraag of het überhaupt zin heeft om ze te maken.
1) ... 6)
Enz enz.
Oja, ps, de app moet gisteren al af zijn. En dan vind men het vreemd dat er haastwerk wordt geleverd...
1) ... 6)
Enz enz.
Oja, ps, de app moet gisteren al af zijn. En dan vind men het vreemd dat er haastwerk wordt geleverd...
https://www.security.nl/posting/652884/Risico%27s+Corona+tracking+app
Door Anoniem: Pen, papier, telefoon, interviews. Het kost mankracht, maar is zeker uitvoerbaar. Ook zonder app. Zo nodig zet je bankzitters in als (verplichte) vrijwilligers. Gewoon bestaande processen en procedures opschalen.
Aangenomen dat momenteel amper 3% door het doormaken van een corona infectie (tijdelijk) immuun is geworden (en de rest van de bevolking dus nog steeds zeer bevattelijk is), dan moeten de GGDs het opgeschaalde bron- en contactonderzoek van zo'n 97% van een bevolking van 17,4 miljoen handmatig gaan onderzoeken...?
Heb je enig idee wat voor hoge kosten en logistieke problemen dat met zich meebrengt? Serieuze vraag. Bedenk daarbij dat medewerkers en vrijwilligers van de GGDs op huisbezoek zelf op hun beurt ook weer het virus onverhooopt kunnen verspreiden, net zoals verpleegkndigen en verzorgenden-IG dat bij de uitoefening van hun beroep kunnen doen...
En op de toestellen waarop ze moeten kunnen draaien ontstaan in de loop van een aantal maanden nogal wat essentiële tekortkomingen.
Een voorbeeldje is die van het volgende bericht voor iPhones: https://www.wired.com/story/ios-exploit-jailbreak-iphone-ipad/
waarvan de tekortkoming er vanaf de iPhone 4s af en nieuwer er al vele vele jaren in zit.
Dan kan je nog de behoorlijk relevante vraag stellen hoeveel weken of maanden de tracking app dienst moet doen.
Daaronder ligt nog de kwestie zoveel toestellen, zoveel combinaties van kwetsbaarheden.
Dit loopt op in talloze - in bepaalde mate nog niet gedetecteerde maar wel reeds publiekelijk bekende tekortkomingen - onvolledig secure te gebruiken toestellen waarop die app geacht moet worden "secure" en zonder data-lek en privacy gegarandeerd te functioneren. Voor de levensduur die meneer de Jonge graag wil, wel te verstaan.
Een voorbeeldje is die van het volgende bericht voor iPhones: https://www.wired.com/story/ios-exploit-jailbreak-iphone-ipad/
waarvan de tekortkoming er vanaf de iPhone 4s af en nieuwer er al vele vele jaren in zit.
Dan kan je nog de behoorlijk relevante vraag stellen hoeveel weken of maanden de tracking app dienst moet doen.
Daaronder ligt nog de kwestie zoveel toestellen, zoveel combinaties van kwetsbaarheden.
Dit loopt op in talloze - in bepaalde mate nog niet gedetecteerde maar wel reeds publiekelijk bekende tekortkomingen - onvolledig secure te gebruiken toestellen waarop die app geacht moet worden "secure" en zonder data-lek en privacy gegarandeerd te functioneren. Voor de levensduur die meneer de Jonge graag wil, wel te verstaan.
20-04-2020, 13:17 door
MrMerlin
Ook zaterdag en zondag (naar de poppenkast) zitten kijken. Zaterdag was echt een farce, zondag ga wat meer inzicht maar geen enkel handelingsperspectief voor de toekijkers.
Ik ben blij dat het KPMG rapport de vloer aan veegt met de huidige stand van de Apps.
Neem er (even wat meer) tijd voor, de hackers zitten ook in lockdown en hebben zo meteen de tijd van hun leven.
Ik ben blij dat het KPMG rapport de vloer aan veegt met de huidige stand van de Apps.
Neem er (even wat meer) tijd voor, de hackers zitten ook in lockdown en hebben zo meteen de tijd van hun leven.
Door Anoniem: Privacy is belangrijk en moet beschermd worden, maar mensen moeten ook eens niet zo verschrikkelijk hypocriet doen.
Het gaat namelijk niet om *de* privacy, het gaat om *jouw* privacy.
[..]
En jullie eikelen maar door over privacy.... bizar.
Het gaat namelijk niet om *de* privacy, het gaat om *jouw* privacy.
[..]
En jullie eikelen maar door over privacy.... bizar.
Het alternatief is de lockdown nog een tijdje (een/twee jaar) te handhaven.
Daar heb ik persoonlijk ook geen probleem mee. Het gaat goed, dat thuiswerken.
Maar hoe oa. de contactberoepen en horeca daar over denken...
Uiteindelijk komt de vraag een keer: Wat mag een mensenleven kosten?
Wanneer wordt de economie belangrijker dan de coronabestrijding?
Door Anoniem:
Aangenomen dat momenteel amper 3% door het doormaken van een corona infectie (tijdelijk) immuun is geworden (en de rest van de bevolking dus nog steeds zeer bevattelijk is), dan moeten de GGDs het opgeschaalde bron- en contactonderzoek van zo'n 97% van een bevolking van 17,4 miljoen handmatig gaan onderzoeken...?
Heb je enig idee wat voor hoge kosten en logistieke problemen dat met zich meebrengt? Serieuze vraag. Bedenk daarbij dat medewerkers en vrijwilligers van de GGDs op huisbezoek zelf op hun beurt ook weer het virus onverhooopt kunnen verspreiden, net zoals verpleegkndigen en verzorgenden-IG dat bij de uitoefening van hun beroep kunnen doen...
Door Anoniem: Pen, papier, telefoon, interviews. Het kost mankracht, maar is zeker uitvoerbaar. Ook zonder app. Zo nodig zet je bankzitters in als (verplichte) vrijwilligers. Gewoon bestaande processen en procedures opschalen.
Aangenomen dat momenteel amper 3% door het doormaken van een corona infectie (tijdelijk) immuun is geworden (en de rest van de bevolking dus nog steeds zeer bevattelijk is), dan moeten de GGDs het opgeschaalde bron- en contactonderzoek van zo'n 97% van een bevolking van 17,4 miljoen handmatig gaan onderzoeken...?
Heb je enig idee wat voor hoge kosten en logistieke problemen dat met zich meebrengt? Serieuze vraag. Bedenk daarbij dat medewerkers en vrijwilligers van de GGDs op huisbezoek zelf op hun beurt ook weer het virus onverhooopt kunnen verspreiden, net zoals verpleegkndigen en verzorgenden-IG dat bij de uitoefening van hun beroep kunnen doen...
Ja, want iedereen wordt tegelikjertijd ziek. Dat voorkom je met een app dan ook niet.
Uit de NRC van vandaag:
https://www.nrc.nl/nieuws/2020/04/19/ministerie-kleunt-mis-met-appathon-a3997235
Voor half mei hebben Apple en Google verbeteringen aangekondigd die bluetooth betrouwbaarder moeten maken voor dergelijke apps. Complexe technologie is niet nodig, denkt De Winter. Praat met de GGD en dan „denk ik dat je tot verrassend simpele oplossingen kan komen.”
Laten we daar eens beginnen.
Door Anoniem: Heb je enig idee wat voor hoge kosten en logistieke problemen dat met zich meebrengt? Serieuze vraag. Bedenk daarbij dat medewerkers en vrijwilligers van de GGDs op huisbezoek zelf op hun beurt ook weer het virus onverhooopt kunnen verspreiden, net zoals verpleegkndigen en verzorgenden-IG dat bij de uitoefening van hun beroep kunnen doen...
Wat kost het om het hele land op slot te houden?
Is een opschaling bij de GGDs (met alle noodzakelijke veiligheidsmiddelen bij huisbezoek) dan nog steeds niet goedkoper?
Logistieke problemen zijn op te lossen. Net als de beschikbaarheid van veiligheidsmiddelen. Is dat niet haalbaar, dan moet je niet eens willen nadenken over het versoepelen van de lockdown.
Door Anoniem:Wat kost het om het hele land op slot te houden?
Dat gaat om astronomisch grote bedragen. Alleen al de gemiddelde dagproductie van de Nederlandse industrie was in afgelopen februari 1,3 procent lager dan in februari 2019. Het verlies hangt wel sterk van het marktsegment af.
https://www.cbs.nl/nl-nl/dossier/cbs-cijfers-coronacrisis
Is een opschaling bij de GGDs (met alle noodzakelijke veiligheidsmiddelen bij huisbezoek) dan nog steeds niet goedkoper?
Ik denk dat een draconische opschaling van het bron- en contactonderzoek door de GGDs een stuk goedkoper is, maar dat is meer mijn onderbuikgevoel dan een echt op harde cijfers gestoeld economisch inzicht.
Logistieke problemen zijn op te lossen. Net als de beschikbaarheid van veiligheidsmiddelen. Is dat niet haalbaar, dan moet je niet eens willen nadenken over het versoepelen van de lockdown.
Lijkt mij ook niet verstandig, gezien de slechte ervaringen van Singapore en Hokkaido in Japan daarmee. Zodra een lockdown wordt losgelaten breekt meteen de pleuris uit. Hier in Nederland zal dat niet anders zijn.
Exitstrategieën: Het virus duikt snel weer op, en vier andere lessen uit Azië
door Hanneke Chin-A-Fo
https://www.nrc.nl/nieuws/2020/04/19/exitstrategie-niet-te-snel-het-virus-slaat-terug-a3997212
MUST READ!
https://www.linkedin.com/posts/esmee-babet-snoey-kiewit_privacy-cybersecurity-corona-activity-6657849134432694272-Qvmy
https://www.linkedin.com/posts/esmee-babet-snoey-kiewit_privacy-cybersecurity-corona-activity-6657849134432694272-Qvmy
Door Anoniem: MUST READ!
https://www.linkedin.com/posts/esmee-babet-snoey-kiewit_privacy-cybersecurity-corona-activity-6657849134432694272-Qvmy
https://www.linkedin.com/posts/esmee-babet-snoey-kiewit_privacy-cybersecurity-corona-activity-6657849134432694272-Qvmy
Dat is nou een wazige link! En je moet een LinkedIn account hebben om het te kunnen lezen. Nee, bedankt! Ik wil absoluut geen LinkedIn account (MS) en als het alleen daar is gepubliceerd - waarom dat in vredesnaam? is het alleen maar om het 'ethische' in 'ethical hacker' te benadrukken? - dan laat maar :-(
De achterliggende reden...totaal zinloos. Is iemand je huis voorbij gelopen hit, je auto voorbij gefietst hit, daarnaast het gaat de overheid niets aan wie ik toevallig op welk moment ontmoet heb. Zeker niet als je daar fout conclusies uit zou kunnen trekken. Je liep door de buurtsuper...later is deze overvallen...toevallig was diegene die de overval pleegde ook een biertje aan het drinken bij dezelfde kroeg...tja verklaar je nader...
Door Anoniem: Logistieke problemen zijn op te lossen. Net als de beschikbaarheid van veiligheidsmiddelen. Is dat niet haalbaar, dan moet je niet eens willen nadenken over het versoepelen van de lockdown.
Om een idee te krijgen van de logistieke orde grootte, zo pakten ze het bij de oosterburen aan:
"Een maand geleden plaatste het Duitse RIVM een oproep om vijfhonderd extra 'containment scouts' te werven: er kwamen 11.000 reacties binnen. De regio Aachen heeft 550.000 inwoners, doet dagelijks 1600 testen en heeft permanent 140 mensen aan het werk."
Ze hadden bij het Robert Koch-Institute een plan klaarliggen, een systeem voor tbc-gevallen, dat ze voor Covid-19 hebben opgeschaald. Nederland had niet zo'n plan: dat moet nu nog door het RIVM en de GGDs worden uitgevogeld.
Volgens de NOS berichtgeving:
"Duitsland heeft vijf onderzoekers voor elke twintigduizend inwoners. Als Nederland dat zou aanhouden, zouden er 4250 contactonderzoekers aan het werk zijn."
Grootschalig contactonderzoek nodig, maar wie moet dat gaan doen?
door Siebe Sietsma en Jop de Vrieze, 21 april 20:33 uur
https://nos.nl/nieuwsuur/artikel/2331268-grootschalig-contactonderzoek-nodig-maar-wie-moet-dat-gaan-doen.html
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
