Privacy - Wat niemand over je mag weten

Is het maken van fake website profielen strafbaar?

24-12-2020, 09:21 door Anoniem, 35 reacties
Op dit moment is het zo dat internetbedrijven te weinig actie (kunnen )ondernemen tegen het maken van fakeprofielen.

Dit melden resulteert voor veel dating en social netwetwerk sites nog lang niet altijd tot het sluiten van een account.

Ik ken uit de 1e hand een verhaal van een buitenlandse toeriste die via de site Couchsurfing in Nederland (Amsterdam) met iemand contact had die zich uitgaf als een ander. Deze persoon uit Amsterdam-west heeft de rugzak toeriste bedwelmd met zowel XTC als LSD en daarna verkracht.

Ik heb haar destijds opgevangen en geholpen met de aangifte hier in Nederland. De dader had een vals facebook profiel gemaakt en bleek achteraf een bekende zedenpleger volgens de politie. De dader had al meerdere nepprofielen aangemaakt op facebook maar daar konden ze weinig tegen doen.

Maar ook andere sites zoals pof zijn een bron van grote ellende voor anderen. Zodra sites/communities de intentie hebben om een ander te ontmoeten moeten ze echt zekerheid kunnen bieden dat de persoon met wie je praat ook echt die persoon is.

Is het heel onrealistisch dat de politiek het strafbaar zou gaan stellen als iemand een nep datingprofiel aanmaakt? Dat is wel het meest minimale om te vereisen. Ook andere contact communities zouden dat moeten worden.
Reacties (35)
24-12-2020, 11:32 door Anoniem
Door Anoniem: Is het heel onrealistisch dat de politiek het strafbaar zou gaan stellen als iemand een nep datingprofiel aanmaakt? Dat is wel het meest minimale om te vereisen. Ook andere contact communities zouden dat moeten worden.
Een vrouw die ik ken was getrouwd met een man die gaandeweg ernstige psychische stoornissen bleek te ontwikkelen. Ze is van hem gescheiden en daarna is hij haar ernstig en zeer bedreigend gaan stalken. Om zich tegen hem te beschermen heeft ze overal waar haar ex toegang toe zou kunnen krijgen, van adresboeken van gedeelde kennissen tot online accounts, gezorgd dat ze daar alleen onder een valse naam in voorkwam. Ze heeft via een datingsite een andere partner gevonden, en ook daar heeft ze een valse naam gebruikt om te voorkomen dat haar ex haar in haar zoektocht naar een ander zou gaan stalken, want zo ver ging die man.

De mogelijkheid een valse naam te gebruiken kan dus ook slachtoffers de kans geven zich te beschermen tegen daders. Het kan twee kanten op uitpakken.
24-12-2020, 12:23 door Anoniem
Besef je ook de implicaties van zo een wens: een anonieme reactie zoals je het nu zelf doet zou dan ook verboden kunnen worden. En wat dacht je van alle acteurs, die gaan ook niet onder hun echte naam, zelfs op TV.

Ik denk zelf dat we het beter andersom kunnen doen: je kunt je laten verifieren, dan krijg je een kenmerk dat jouw profiel geverifieerd is. Anders staat er geen 'naam' maar 'Gaat onder de naam van' of iets in die trant. En dan ligt het ook daar waar het moet liggen: bij degene die zo een platform beheerd.

Wel zou het fijn zijn als de politie mag ingrijpen, bv. in bovenstaande zouden ze met de social media maker moeten kunnen schakelen om de profielen wel te verwijderen.

-alias
24-12-2020, 12:50 door [Account Verwijderd]
Door Anoniem: Besef je ook de implicaties van zo een wens: een anonieme reactie zoals je het nu zelf doet zou dan ook verboden kunnen worden. En wat dacht je van alle acteurs, die gaan ook niet onder hun echte naam, zelfs op TV.
...

Nee want het essentiële verschil is dat een anoniem account niet pretendeert echt te zijn. Je mag gerust een pseudoniem gebruiken, als het maar duidelijk is dat het een pseudoniem is.
24-12-2020, 12:57 door Anoniem
Dat wordt een moeilijke, want hoe pas je dit bijvoorbeeld toe op nep nieuws met een nep profiel of niet?
Wat voor de een nep nieuws is, is voor de ander de waarheid.

Het gaat er maar om wie het vaststelt. Of degene die het nepnieuws of de klokkenluidersboodschap brengt of Big Tech,
die het wegjorist.

In zo'n maatschappij zijn we al komen te leven, volkomen onverdraagzaam tegenover een oppositioneel standpunt.

De oude tweedeling van de maatschappij van voor 1989 is er nu globaal met alle schizofrene gevolgen.

Voor het virusverhaal, zoals officieel gepropageerd of tegen. Voor Trump of tegen.
Of iedereen is ergens tegen, maar er wordt niets aan gedaan of geen konsekwenties aan verbonden
(zoals toeslagen affaire). Laissez-faire behalve bij wat prioriteit heeft om een of andere rede n.

In zo'n setting moet je zit ook zien, dus hangt het er maar vanaf.

#sockpuppet
24-12-2020, 13:10 door Anoniem
Door Anoniem: Besef je ook de implicaties van zo een wens: een anonieme reactie zoals je het nu zelf doet zou dan ook verboden kunnen worden. En wat dacht je van alle acteurs, die gaan ook niet onder hun echte naam, zelfs op TV.

Ik denk zelf dat we het beter andersom kunnen doen: je kunt je laten verifieren, dan krijg je een kenmerk dat jouw profiel geverifieerd is. Anders staat er geen 'naam' maar 'Gaat onder de naam van' of iets in die trant. En dan ligt het ook daar waar het moet liggen: bij degene die zo een platform beheerd.

Wel zou het fijn zijn als de politie mag ingrijpen, bv. in bovenstaande zouden ze met de social media maker moeten kunnen schakelen om de profielen wel te verwijderen.

-alias

Ik maak bewust het onderscheid tussen datingprofielen/social media profielen en forumpostings. Forumpostings kunnen vaak wel anoniem. Vooral als het veiligheidszaken zoals internetsecurity of politie/fraude berichten op een forum betreft.

Bij datingprofielen is fraude zwaarwegender. Het zou ook niet om een berisping of taakstraf moeten gaan, maar om zware straffen, van bijv. 1 jaar. Het kan als zeer negatief worden ervaren als je persoonlijke informatie met bv de buren, een voormalige klasgenoot of een collega deelt.
Dit heeft als ik me goed herinner zelfs in Nederland al tot een moord geleid waarbij 2 vrouwelijke collega's zich anders voordeden op een datingsite. Het mannelijke slachtoffer van de datingfraude vermoordde 1 van zijn vrouwelijke collega's met een mes op het werk.

Gevaarlijk dus en leidt feitelijk vaak ook tot misdadige situaties.

Het maken van een fakeprofiel moet dus strafbaar worden waarbij de overheid een straf van minstens 1 jaar moet opleggen.
24-12-2020, 13:42 door Anoniem
Door Anoniem: Besef je ook de implicaties van zo een wens: een anonieme reactie zoals je het nu zelf doet zou dan ook verboden kunnen worden. En wat dacht je van alle acteurs, die gaan ook niet onder hun echte naam, zelfs op TV.

Ik denk zelf dat we het beter andersom kunnen doen: je kunt je laten verifieren, dan krijg je een kenmerk dat jouw profiel geverifieerd is. Anders staat er geen 'naam' maar 'Gaat onder de naam van' of iets in die trant. En dan ligt het ook daar waar het moet liggen: bij degene die zo een platform beheerd.

Ja dat zou inderdaad het beste zijn, maar dan moet zo'n platform wel de mogelijkheid hebben om een identiteit te
verifieren (bijvoorbeeld via DigiD) en op te slaan zonder in problemen te komen met allerlei privacy wetten.
De naam die anderen zien mag best een alias zijn zolang het platform zelf maar de echte identiteit kent en aan politie
overhandigt als er problemen komen.

Maar ja een dergelijke oplossing moet je hier een voorstellen... dan komen overal degenen tevoorschijn die vinden dat
hun privacy gaat boven de rechten van anderen.
24-12-2020, 14:07 door MathFox
Ik heb de voorkeur om onder een pseudoniem berichten te plaatsen. Dat is ook een stukje bescherming tegen de ergste malloten, die niet zomaar mijn adres kunnen opzoeken. Daarnaast is een profiel onder pseudoniem niet "fake", maar het profiel van een echt persoon die kiest voor een stukje privacy.

En ja: "If making fake profiles is criminalized, only criminals will use fake profiles." je kunt het maken of gebruiken van valse profielen verbieden, maar dat zal criminelen niet weerhouden om ze aan te maken wanneer zij er brood in zien. Een verbod zou voor de "couch-surfster" weinig verschil gemaakt hebben, de verkrachter kan zich dat beetje extra risico veroorloven.
Het verbod lost niet veel op, maar creëert wel extra problemen voor mensen die met goede bedoelingen onder een pseudoniem willen publiceren. (Denk ook eens aan scholieren met terechte kritiek op hun school.)
24-12-2020, 15:02 door Anoniem
Het grote probleem hier is dat het internet profiel niet verifieerbaar is voor iedereen op Internet.
Wel in geval als de provider het zou willen weten en degenen, die eventueel profiel identificatie vereisen en opeisen (overheid etc.)

Voor de gemiddelde Internet-eindgebruiker kan het niet duidelijk zijn of er sprake is van een gewoon anoniem profiel
of een anoniem nep profiel met criminele bijbedoeling. Bij bijvoorbeeld dating sites kan vaker van het tweede sprake zijn.
Maar daarom kun je niet alle dating online verbieden. Misbruik hoort bij vrijheid is een misvatting in deze.

De vrijheid en privacy van de internet crimineel houdt op bij de aantasting van de vrijheid van alle anderen online.

Zo weten we ook niet wie er een oprecht reactant is, een troll of een betaald agent voor overheid of (groot)-commercie.
Sommige van deze inbreukmakers (op de vrijheid van meningsuiting van anderen) hebben bescherming van instanties of monopolisten. En soms geheel ten onrechte. Je kunt daarom maar niet het Internet willen afsluiten. Moeilijk, moeilijk.

Hoe kun je zo'n probleem oplossen, net zo als met een captcha en met een moderator-verificatie.
Of aan de hand van wat het profiel communiceert als dat niet klopt met het ware profiel.

Heeft de moderatie vastgesteld, dat er sprake is van een acceptabel profiel, dan is het goed.

Is er sprake van scam, spam of zelfs een malcreant of malbot, is dat niet goed en moet het profiel verbannen worden of de toegang ontzegd. Maar aan de andere kant heeft dat zeer grote privacy consequenties.

De meeste eindgebruikers weten het niet wat er aan de andere kant van hun scherm of schermpje huist.
Dat is het probleem.

Hoe en wanneer het ene of andere te laten prevaleren? Iemand?

Joris Goedbloed
24-12-2020, 15:35 door Erik van Straten - Bijgewerkt: 24-12-2020, 15:39
Door Anoniem: Is het heel onrealistisch dat de politiek het strafbaar zou gaan stellen als iemand een nep datingprofiel aanmaakt?
Dat is niet "heel onrealistisch" (zie onder) maar, net zoals andere reageerders hierboven, vraag ik mij af hoe wenselijk, hoe zinvol en hoe betrouwbaar dat zou zijn.

N.a.v. https://www.security.nl/posting/682986/Kabinet+werkt+aan+breder+gebruik+van+BSN+buiten+de+overheid ben ik me aan het inlezen over BSN's, en vond een PDF die je kunt downloaden vanuit https://www.rijksoverheid.nl/documenten/rapporten/2020/07/27/onderzoeksrapport-onderzoek-naar-het-burgerservicenummer. Uit dat document "Onderzoek+naar+het+Burgerservicenummer+en+management+reactie.pdf":
[...]
Het BSN-stelsel heeft voordelen gebracht, maar er zijn ook hiaten en verbeterpunten
[...]
Het BSN was bij de invoering onder andere bedoeld voor fraudebestrijding. Het aantal gemelde gevallen van identiteitsfraude is echter sinds de invoering van het BSN gestegen. Identiteitsfraude, met ontvreemding van het BSN als één van de belangrijke persoonsgegevens, kan vergaande consequenties hebben voor de slachtoffers. Zo was bijvoorbeeld het opnemen van het BSN op identiteitsbewijzen en in het btw-nummer fraudegevoelig en is daarom door de overheid aangepakt. Van alle klachten en vragen die de Autoriteit Persoonsgegevens (AP) ontvangt, gaan de meeste over het BSN, zowel over fraude als over het gebruik ervan.
[...]
4.1 Pseudonimisering en anonimisering vermindert risico’s voor privacy en fraude
[...]
Hieronder enkele voorbeelden van de voordelen die pseudonimisering van het BSN-systeem met zich mee kan brengen.
[...]
• Het kan fraude voorkomen wanneer mensen in private omgevingen kunnen inloggen met een overheidspseudoniem, bijvoorbeeld op Marktplaats. Met een overheidspseudoniem kun je daar maar één keer frauderen; daarna kun je geen nieuw account meer aanmaken. Ook voor Twitter biedt het voordelen als het gaat om het weren van trollen; ook hier kun je maar eenmalig een account aanmaken.
[...]
Als dat laatste ingevoerd zou worden, zal identiteitsfraude juist toenemen; hufters zullen zich dan voordoen als anderen, o.a. om te kunnen trollen, te kunnen frauderen en datingpartners te kunnen misleiden.


[Off Topic] Ook in dit document worden identificatie en authenticatie (bewijzen van identiteit) met elkaar verward. Een getal, en helemaal een enumereerbaar kort getal dat niet strikt geheim gehouden wordt, is totaal ongeschikt voor authenticatie. Al jaren pleiten we ervoor dat servers geen plain-text wachtwoorden opslaan om te voorkomen dat die al te makkelijk in verkeerde handen vallen, en dan zou dat voor een BSN niet nodig zijn - dat bovendien bij veel te veel partijen bekend is? Bezopen. We moeten ASAP een alternatief invoeren voor het huidige authenticeren op basis van de kennis van niet geheime of niet geheim te houden (persoons-) gegevens, zoals het kunnen verstrekken van een kopie van een identiteitsbewijs of het kennen van een geboortedatum en -plaats.

Daarnaast spreekt ook dit document van afgeleiden van het BSN - dat maar 9 cijfers lang is (en waarvan, o.a. t.g.v. de "11-proef" niet alle combinaties bruikbaar zijn), en daarmee veel te kort is om, zonder meer (letterlijk), gegarandeerd onomkeerbare afgeleiden van te maken.

Wel is het verstandig om verschillende partijen te verbieden om met dezelfde unieke persoonsidentifier te werken (zoals het BSN) - niet om identiteitsfraude te voorkomen, maar om te voorkomen dat verschillende databases al te eenvoudig (vaak illegaal) gekoppeld kunnen worden waarna persoonsgegevens (kunnen) worden misbruikt.

Wellicht kom ik hier binnenkort verder op terug in een nieuwe draad.
[/Off Topic]
24-12-2020, 15:42 door Anoniem
Door MathFox:
En ja: "If making fake profiles is criminalized, only criminals will use fake profiles."
Dat zou handig zijn! Want dan kun je iedereen die een fake profiel heeft oppakken, is immers een crimineel.

Er is best wel wat te zeggen voor een verplichting voor bedrijven die uitgebreide profielen registreren om de identiteit
van de maker te controleren en op te slaan. Die kan dan gebruikt worden in het geval er criminaliteit mee gepleegd wordt.
24-12-2020, 16:47 door MathFox
Door Anoniem:
Door MathFox:
En ja: "If making fake profiles is criminalized, only criminals will use fake profiles."
Dat zou handig zijn! Want dan kun je iedereen die een fake profiel heeft oppakken, is immers een crimineel.

Er is best wel wat te zeggen voor een verplichting voor bedrijven die uitgebreide profielen registreren om de identiteit
van de maker te controleren en op te slaan. Die kan dan gebruikt worden in het geval er criminaliteit mee gepleegd wordt.
Er zijn argumenten te maken voor het hebben van accounts met een "geverifieerde identiteit" in bepaalde situaties. Lang niet overal, voor een forum als security.nl kan ik prima met pseudoniemen leven.
Je moet je ook afvragen wat de waarde van een via Internet geverifieerde identiteit kan zijn. Hoe ver komt de marktplaatsoplichter met een stapeltje "kopietjes ID?" Hoeveel "geverifieerde" identiteiten kan hij/zij daarmee in het leven roepen?

Als Facebook vindt dat je je echte naam moet opgeven en daarom fake accounts sluit, is dat haar keuze. Maak een deal met de politie zeg ik tegen Mark Z., allebei blij dat fake profielen verwijderd worden.
24-12-2020, 18:57 door Anoniem
Door MathFox:
Door Anoniem:
Door MathFox:
En ja: "If making fake profiles is criminalized, only criminals will use fake profiles."
Dat zou handig zijn! Want dan kun je iedereen die een fake profiel heeft oppakken, is immers een crimineel.

Er is best wel wat te zeggen voor een verplichting voor bedrijven die uitgebreide profielen registreren om de identiteit
van de maker te controleren en op te slaan. Die kan dan gebruikt worden in het geval er criminaliteit mee gepleegd wordt.
Er zijn argumenten te maken voor het hebben van accounts met een "geverifieerde identiteit" in bepaalde situaties. Lang niet overal, voor een forum als security.nl kan ik prima met pseudoniemen leven.
Het is niet nodig om van pseudoniemen af te stappen als er een identiteit geverifieerd en opgeslagen is, dit hoeft
niet te betekenen dat je altijd onder eigen naam zit te werken, het hoeft alleen te betekenen dat je altijd terug te traceren
bent. Net als wanneer je een auto rijdt, en daar zit dan een kenteken op wat geregistreerd is. Of nog beter vergelijkbaar:
een chassisnummer. Als er wat gebeurt kan dat chassisnummer terug getraceerd worden naar de eigenaar en dienen
als startpunt voor een onderzoek.

Je moet je ook afvragen wat de waarde van een via Internet geverifieerde identiteit kan zijn. Hoe ver komt de marktplaatsoplichter met een stapeltje "kopietjes ID?" Hoeveel "geverifieerde" identiteiten kan hij/zij daarmee in het leven roepen?
Dat is geen geverifieerde identiteit. Daarvoor moet je denken aan systemen als DigiD of nog beter een systeem met
RFID lezers en identiteitskaarten. In Belgie heeft men dat al jaren.

Als Facebook vindt dat je je echte naam moet opgeven en daarom fake accounts sluit, is dat haar keuze. Maak een deal met de politie zeg ik tegen Mark Z., allebei blij dat fake profielen verwijderd worden.
Nogmaals het gaat er niet om dat je je echte naam gebruikt voor je Facebook pagina maar wel zou het zo moeten zijn
dat als iemand met de naam MathFox38779587346 een bedreiging plaatst, de persoon die daarachter zit op te sporen
is.
24-12-2020, 20:28 door Anoniem
De internetconsument moet maar bijleren.

Eén van "mijn" gebruikers van een site was doof. Maar omdat het allemaal tekst was op de site, hoefde hij dat niet meteen te zeggen. Bij elk IRL contact hoorde je het gelijk aan de manier waarop hij sprak. Waarop velen direct afhaakten zonder de moeite te nemen hem te leren kennen. Er is toen voor deze persoon een hele nieuwe wereld open gegaan.

Dating is geen supermarkt waar alles nieuw in de doos moet zitten en op die doos duidelijk staat aangegeven wat er in zit. Een belangrijk deel dat er gebruik van maakt daar mankeert wel wat aan. Maar het geeft ze wel een wereld om anderen te leren kennen en zichzelf te laten kennen. Mensen die perfectie zoeken, vooral op dating gebied, moeten afleren dat alles gecontroleerd en gecheckt moet zijn. Omdat die iPhone al duur genoeg was. Wie zelf de perfectie is en dus eist heeft toch niks te zoeken op een dating site? Toch? Maar goed, doven hou je altijd natuurlijk. Gelukkig kunnen die bellen met de consumentenbond.
24-12-2020, 21:36 door MathFox - Bijgewerkt: 24-12-2020, 21:38
Door Anoniem:
Door MathFox: Je moet je ook afvragen wat de waarde van een via Internet geverifieerde identiteit kan zijn. Hoe ver komt de marktplaatsoplichter met een stapeltje "kopietjes ID?" Hoeveel "geverifieerde" identiteiten kan hij/zij daarmee in het leven roepen?
Dat is geen geverifieerde identiteit. Daarvoor moet je denken aan systemen als DigiD of nog beter een systeem met
RFID lezers en identiteitskaarten. In Belgie heeft men dat al jaren.
Ik ben het met je eens dat het (in theorie) op een goede manier kan. Mits alle (belangrijke) landen een systeem bieden waarmee ze hun burgers of inwoners op Internet hun identiteit laten bewijzen. Tot die tijd kom je een heel eind met "kopietje paspoort". Maar ook al zijn die systemen algemeen in gebruik, dan komt ook de vraag: hoe voorkom je aanvallen (social engineering, MitM, trojans, etc.) op de bewijsprocedure? We hebben gezien hoe online betalen misbruikt is om bankgegevens te ontfutselen.
En daarna komt nog de vraag: hoe goed is de beveiliging van die "geverifieerde account"? Ik weet niet wat de huidige stand bij "Have I been pwned" is, maar het is zo langzamerhand wel heel duidelijk dat die login beter beveiligd moet zijn dan alleen met een wachtwoord. Wanneer de geverifieerde account door een derde kan worden overgenomen is de verificatie ook niet veel waard.
24-12-2020, 22:05 door Anoniem
Wat @MathFox zegt

'Fake' kan meerdere betekenissen hebben.

Liever denk ik in termen van pseudoniem, of alternatieve naam, als het gaat om profielen. Dit om gemakkelijke traceerbaarheid (google search) enigszinds te beperken.

Als men 'fake' bedoeld om een andere profiel of naam te simuleren, i.e. de 3-de partij te benadelen, dan is dat niet ok.

Tja, dit is technisch niet een oplosbaar probleem, en slechts op te lossen als een gedupeerde daar melding van maakt.

So be it! That is the world we live (and have lived) in.
25-12-2020, 00:18 door Erik van Straten - Bijgewerkt: 25-12-2020, 00:33
Door MathFox:
Door Anoniem:
Door MathFox: Je moet je ook afvragen wat de waarde van een via Internet geverifieerde identiteit kan zijn. Hoe ver komt de marktplaatsoplichter met een stapeltje "kopietjes ID?" Hoeveel "geverifieerde" identiteiten kan hij/zij daarmee in het leven roepen?
Dat is geen geverifieerde identiteit. Daarvoor moet je denken aan systemen als DigiD of nog beter een systeem met
RFID lezers en identiteitskaarten. In Belgie heeft men dat al jaren.
Ik ben het met je eens dat het (in theorie) op een goede manier kan. Mits alle (belangrijke) landen een systeem bieden waarmee ze hun burgers of inwoners op Internet hun identiteit laten bewijzen.
@Anoniem, in aanvulling op wat MathFox schrijft:

Dilemma: hoe "sterker" [*] het bewijs van identiteit, hoe groter de potentiële schade voor slachtoffers van identiteitsfraude.

[*] Zeker is dat je nooit 100% haalt. Erger: in de praktijk zal de werkelijke betrouwbaarheid van online authenticatie veel lager zijn dan algemeen wordt verondersteld. De oorzaak daarvan is in elk geval dat de meeste mensen, vooral online, zeer eenvoudig te verleiden zijn om hun identiteit te bewijzen aan een Man-in-the-Middle (die zich daar vervolgens mee voordoet als het slachtoffer).

Zelf worstel ik met de vraag of het acceptabel is dat een (groeiend) percentage van de bevolking slachtoffer wordt van identiteitsfraude. Is dat net zo acceptabel als de de botte pech van verkeersslachtoffer worden door fouten van een ander? Of kunnen we, voor online identiteitsfraude, betere vangnetten bedenken dan we nu hebben?

Door MathFox: En daarna komt nog de vraag: hoe goed is de beveiliging van die "geverifieerde account"?
Exact. Een Nederlandse hacker met toegang tot het Twitter-account van Donald Trump is daar een fraai voorbeeld van.

Door MathFox: ... maar het is zo langzamerhand wel heel duidelijk dat die login beter beveiligd moet zijn dan alleen met een wachtwoord.
Als je een wachtwoordmanager gebruikt (wat ik iedereen aanraad), vind ik dat onzin. De meeste MFA is bedoeld om zwakke wachtwoorden te compenseren en levert daarnaast m.i. meer nadelen op dan voordelen.

Hardware keys in combinatie met FIDO2/WebAuthn lijken (?) wel een stap in de goede richting, maar zodra bijvoorbeeld onze webbrowser-plugins kwaadaardig blijken te zijn (een wachtwoordmanager helpt dan ook niet), kom ik weer terug bij mijn dilemma...

Het probleem van in elk geval ons techneuten (waar ik mijzelf ook toe reken) is dat we voortdurend oplossingen bedenken waar we een verbetering van verwachten die binnen de kortste keren door criminelen worden omzeild en uiteindelijk vooral ballast (t/m onbeschikbaarheid) voor onszelf opleveren.

Voorbeeld: achteraf "authenticatie" aan e-mail toevoegen middels SPF, DKIM, DMARC etc. heeft in de praktijk geen zin als Jan Doorsnee mail krijg van "noreply@icscards.nl' <noreply.icscards@icscards.xyz>, die mail daadwerkelijk is verzonden vanaf het domein icscards.xyz (en natuurlijk SPF, DKIM, DMARC etc. perfect voor elkaar heeft; in 2016 werd ics.nl misbruikt waar dat toen niet voor gold, zie https://security.nl/posting/471357) en Jan Doorsnee niet weet dat hij niet naar het eerste, maar naar het tweede deel van die afzendergegevens moet kijken en moet snappen dat icscards.xyz (of ics.nl) niets met icscards.nl te maken heeft. Daar komt bij dat de meeste mail clients "gemakshalve" die tweede helft niet eens tonen. Zelfs als het lukt om Jan Doorsnee op te voeden bovenstaande checks grondig uit te voeren, blijken bulk-mailing-bedrijven soms misbruikt te kunnen worden voor het verzenden van niet van echt te onderscheiden phishing mails, en bij BEC (Business Email Compromise) wordt e-mail daadwerkelijk vanuit het getoonde account verzonden. Steeds vaker denk ik dat we beter af zijn zonder al deze ballast, en aan Jan Doorsnee duidelijk moeten maken dat e-mail nooit betrouwbaar is. En dat we moeten ophouden met denken dat je zo'n legacy protocol achteraf "veilig" (fwiw) kunt maken.

Ander voorbeeld: uit https://www.theregister.com/2020/12/21/in_brief_security/ en https://www.theguardian.com/world/2020/dec/16/israeli-spy-firm-suspected-accessing-global-telecoms-channel-islands maak ik op dat aanvallers met toegang tot communicatieapparatuur van een willekeurige telco ergens op aarde, "dankzij" het SS7-protocol o.a. SMS berichten bestemd voor een telefoon waar dan ook, kunnen meelezen of stelen. Wat voor toegevoegde waarde heeft SMS 2FA dan nog?

Kortom: veel te veel "oplossingen" om digitale authenticatie te verbeteren, blijken omzeild te kunnen worden. Gebruikers worden, vooral door de bedenkers (ook niet-commerciële) van die oplossingen, maar ook door goedgelovige fans ("het werkt prima voor mij, nooit problemen mee gehad!'), in de waan gehouden dat zo'n oplossing een verbetering betekent. Slechts een minderheid wordt slachtoffer van identiteitsfraude en ontdekt dat het tegenovergestelde waar is, maar zwijgt uit schaamte of uit onbegrip over hoe zij belazerd zijn - of worden gewoon niet gehoord. Dat de meerderheid vervolgens roept "ik heb er nooit problemen mee gehad" en/of de slachtoffers voor sukkels uitmaakt als ze bijv. een spelfout over het hoofd hebben gezien, helpt natuurlijk ook niet...
25-12-2020, 02:21 door MathFox
@Erik van Straten
Dank voor het beter verwoorden van een aantal van mijn bedenkingen dan ik zelf kan. En ik en het met je eens dat wachtwoordmanagers nuttig zijn (modulo kwaadaardige browser plugins en vergelijkbare malware).

Ik ben ondertussen aangeland bij de tweede opdracht-/werk-gever die structureel gebruikt maakt van usb-keys voor 2FA. Ik ben daar zeer tevreden over. Ze zijn (bij redelijke toepassing) een minimale irritatie bij het gebruik van de systemen en voegen een aanzienlijke hoeveelheid veiligheid toe op de standaard wachtwoordverificatie.
Nee, niets is perfect, maar als de OS/browser-installatie van je werkgever de ongewenste plugins van je systeem houdt ben je weer een stap veliger met je logins.
25-12-2020, 10:33 door Anoniem
Door Erik van Straten:
Door MathFox:
Door Anoniem:
Door MathFox: Je moet je ook afvragen wat de waarde van een via Internet geverifieerde identiteit kan zijn. Hoe ver komt de marktplaatsoplichter met een stapeltje "kopietjes ID?" Hoeveel "geverifieerde" identiteiten kan hij/zij daarmee in het leven roepen?
Dat is geen geverifieerde identiteit. Daarvoor moet je denken aan systemen als DigiD of nog beter een systeem met
RFID lezers en identiteitskaarten. In Belgie heeft men dat al jaren.
Ik ben het met je eens dat het (in theorie) op een goede manier kan. Mits alle (belangrijke) landen een systeem bieden waarmee ze hun burgers of inwoners op Internet hun identiteit laten bewijzen.
@Anoniem, in aanvulling op wat MathFox schrijft:

Dilemma: hoe "sterker" [*] het bewijs van identiteit, hoe groter de potentiële schade voor slachtoffers van identiteitsfraude.
Onjuist. En goed "bewijs van identiteit" is niet te copieren naar een andere omgeving om daar dan vervolgens weer
als bewijs van identiteit te dienen. Dat is nou net wat er fout is met "weet BSN" en "kopietje paspoort" als bewijs
van identiteit.
Bij een goed systeem moet je dat bewijs live leveren en is het resultaat alleen dat identiteit bewezen is en niet en
copietje wat iemand anders ook weer kan gebruiken.
25-12-2020, 14:16 door Anoniem
Door MathFox: Ik heb de voorkeur om onder een pseudoniem berichten te plaatsen. Dat is ook een stukje bescherming tegen de ergste malloten, die niet zomaar mijn adres kunnen opzoeken. Daarnaast is een profiel onder pseudoniem niet "fake", maar het profiel van een echt persoon die kiest voor een stukje privacy.

En ja: "If making fake profiles is criminalized, only criminals will use fake profiles." je kunt het maken of gebruiken van valse profielen verbieden, maar dat zal criminelen niet weerhouden om ze aan te maken wanneer zij er brood in zien. Een verbod zou voor de "couch-surfster" weinig verschil gemaakt hebben, de verkrachter kan zich dat beetje extra risico veroorloven.
Het verbod lost niet veel op, maar creëert wel extra problemen voor mensen die met goede bedoelingen onder een pseudoniem willen publiceren. (Denk ook eens aan scholieren met terechte kritiek op hun school.)

Dit hangt af van de straf die je stelt op het maken van fakeprofielen. Nu bestaat een straf voor hacken/fraude vaak uit gevangenisstraf of een boete.

Maar de overheid kan verder gaan en een gebruiker verbieden om op internet überhaupt actief te zijn. Net zoals iemand een rijontzegging krijgt bij verkeersovertredingen.

TS
26-12-2020, 22:02 door Anoniem
Een Internet-straatverbod? Die is goed zeg. Die hebben we nog niet gehad.
In geval van stalking en intimidatie is er nog wat voor te zeggen.
Maar waar is dan het Digitale Blijf Van Mijn Lijf Huis?

Jodocus Oyevaer
27-12-2020, 14:01 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Dilemma: hoe "sterker" [*] het bewijs van identiteit, hoe groter de potentiële schade voor slachtoffers van identiteitsfraude.
Onjuist.
Waarom onjuist?

Door Anoniem: En goed "bewijs van identiteit" is niet te copieren naar een andere omgeving om daar dan vervolgens weer als bewijs van identiteit te dienen.
Dan zou online authenticatie (digitaal op afstand) ook niet mogelijk zijn. Daarbij gaat het m.i. immers altijd om potentieel kopieerbare bytes die worden verzonden of uitgewisseld.

In een deel van die gevallen gaat het om eenmalig gebruik (zoals een "one time password" uit bijv. Authy), maar ook dan kan elke aanvaller met toegang tot de route tussen de verifiërende en authenticerende partij zich voordoen als die laatste en de verbinding overnemen of er op meeliften. Bovendien wordt vervolgens meestal een "sessie token", een shared secret (zoals een session cookie of een Kerberos ticket) verstrekt dat vervolgens als tijdelijke authenticator wordt gebruikt, en door aanvallers met toegang tot zo'n token kan worden misbruikt. Tevens zijn de meeste (zo niet alle) online authenticatiemethodes gebaseerd op langdurig opgeslagen "secrets" (bijv. private keys of OTP shared secrets) of afgeleiden van "secrets" (bijv. wachtwoordhashes), die in de praktijk regelmatig door criminelen worden "gestolen" (in de zin van illegaal gekopieerd) en waar vervolgens identiteitsfraude mee wordt gepleegd.

Ook dit is dus "bewijs van identiteit" dat soms wél kan worden gekopieerd "naar een andere omgeving om daar dan vervolgens weer als bewijs van identiteit te dienen".

Ten slotte zijn de meeste "account reset" (wachtwoord vergeten, hardware key verloren of defect, certificaat verlopen, ...) gebaseerd op zwakkere technieken dan de authenticatiemethode zelf, waardoor dit alles mij aan kaartenhuizen en drijfzand doet denken (denk bijv. aan SIM-swapping en certificaatuitgevers die identiteiten nauwelijks of niet verifiëren). Ik ken maar weinig mensen die beseffen hoe groot de risico's zijn die zij lopen zodra een cybercrimineel toegang krijgt tot hun e-mail account...

Ik vrees echter dat we, voor veel toepassingen, niet meer zonder online authenticatie kunnen (al was het maar dat ik het heel vervelend zou vinden als iemand anders onder mijn naam op deze site teksten zou kunnen schrijven waar ik niet achter sta).

Voor toepassingen met grote risico's vind ik online authenticatie plus de daaropvolgende uitwisseling van vertrouwelijke en noodzakelijkerwijs betrouwbare gegevens echter ongeschikt, alleen al omdat de computers en draagbare devices die we daar zelf voor gebruiken, in veel te veel gevallen (vooral in handen van de zwakkeren in onze samenleving) onvoldoende veilig voor zijn.

Door Anoniem: Dat is nou net wat er fout is met "weet BSN" en "kopietje paspoort" als bewijs van identiteit.
Je hebt gelijk dat hierbij gebruik wordt gemaakt van informatie die niet geheim is. We doen meer moeite om eerdergenoemde bytes geheim te houden, maar in de praktijk slagen we ook daar maar matig in. Online authenticatie is dus vooral gebaseerd op vertrouwelijkheid, waarbij een BSN en een kopietje paspoort helemaal niet vertrouwelijk zijn (en een kopietje paspoort het ook nog eens zonder de meeste echtheidskenmerken moet stellen, en dat is maar goed ook). Helaas lukt het ons (nog steeds) niet om onze overheid, banken etc. ervan te overtuigen dat kennis van BSN, een kopietje paspoort te kunnen overleggen en de geboortdatum van je moeder weten, totaal niet bewijzen dat iemand is wie zij/hij zegt te zijn. Kennelijk zijn er veel te veel naïevelingen die lijken te denken dat alle mensen deugen; zoals ik zo vaak schrijf, de essentie is meestal niet dat jij kunt bewijzen dat jij jij bent, maar dat een kwaadwillende niet kan "bewijzen" dat hij/zij jij is.

Door Anoniem: Bij een goed systeem moet je dat bewijs live leveren en is het resultaat alleen dat identiteit bewezen is en niet en copietje wat iemand anders ook weer kan gebruiken.
Of dat systeem "goed" is hangt vooral af van de bekwaamheid en integriteit van de verifieerder alsmede de manipuleerbaarheid en kopieerbaarheid van "identiteitsbewijzen" (inclusief biometrische kenmerken waaronder vingerafdrukken).

Als Tim Coronel verneemt dat broer Tom de hoofdprijs in een loterij heeft gewonnen, maar deze vandaag niet gaat cashen, en Tim het paspoort van Tom stiekem mee kan nemen, dan schat ik de kans groot dat Tim die hoofdprijs meekrijgt. Mensen die op elkaar lijken, het gebruik van maskers/vermommingen en vervalste (soms gestolen) identiteitsbewijzen (Mark Rutte: https://static.standaard.be/Assets/Images_Upload/2015/09/16/b5bfdae8-5c83-11e5-8c16-41efac056b90_original.jpg) vormen een probleem, en als de verifieerder chantabel is of diens taak niet goed uitoefent, houdt ook alles op.

En net als bij online authenticatie: als jouw rijbewijs en paspoort (daadwerkelijk of naar verluidt) gestolen zijn, hoe betrouwbaar kun jij dan nog bewijzen dat jij jij bent? En vooral: hoe moeilijk is het voor een kwaadwillende om te bewijzen dat zij/hij jij is?

Authenticatie is fundamenteel lastig. Vooral als de betrouwbaarheid van een authenticatiemethode wordt overschat (bijv. omdat de verkoper van de methode wordt geloofd) kan dat dramatische gevolgen hebben voor slachtoffers van identiteitsfraude - zowel bij online als bij live authenticatie.
27-12-2020, 17:31 door Anoniem
Het gaat natuurlijk al fout op het moment dat je een veesboek profiel (of elke willekeurige andere site) als identificatie ziet. DAAR zit het probleem.
27-12-2020, 18:18 door Anoniem
Je begrijpt er niets van Erik. Jammer dat je weer een woordenwaterval uitstort zoals je vaak doet, maar de kern van
het probleem raak je niet: een goed "bewijs van identiteit" is niet te copieren naar een andere omgeving om daar dan
vervolgens weer als bewijs van identiteit te dienen.
Dat jij dan vervolgens geen goed bewijs van identiteit weet te verzinnen en dat je talloze omgevingen naar boven kunt
brengen die het niet goed geregeld hebben dat betekent toch niet dat het niet gemaakt kan worden?
Dan kunnen we het toch overlaten aan mensen die slimmer zijn? Of sluit je uit dat die bestaan?
27-12-2020, 19:39 door MathFox
Door Anoniem: Je begrijpt er niets van Erik. Jammer dat je weer een woordenwaterval uitstort zoals je vaak doet, maar de kern van het probleem raak je niet: een goed "bewijs van identiteit" is niet te copieren naar een andere omgeving om daar dan vervolgens weer als bewijs van identiteit te dienen.

Ik weet dat ik in deze discussie de term "kopietje ID" voor het eerst gebruikt heb. Ook met de mededeling dat er nog geen Internetwijd systeem is om identiteit te bewijzen en een persoon betrouwbaar te kunnen authenticeren. Zolang dat systeem er niet is, zijn accounts die een schijn van identiteitscontrole bieden daardoor waardevol voor fraudeurs.
Er zijn bedrijven die claimen identiteiten over het Internet vast te kunnen stellen, op een of andere manier. Om goed te verklaren redenen geven ze geen garantie op correctheid van hun verleende diensten.
27-12-2020, 20:28 door Erik van Straten
Door Anoniem: Dat jij dan vervolgens geen goed bewijs van identiteit weet te verzinnen en dat je talloze omgevingen naar boven kunt brengen die het niet goed geregeld hebben dat betekent toch niet dat het niet gemaakt kan worden?
Noem jij dan eens een methode van authenticeren, waar flinke risico's aan zijn verbonden, waarbij het nooit fout gaat?
27-12-2020, 21:08 door Erik van Straten - Bijgewerkt: 27-12-2020, 21:22
Door MathFox: Ook met de mededeling dat er nog geen Internetwijd systeem is om identiteit te bewijzen en een persoon betrouwbaar te kunnen authenticeren.
Zelfs met hardware keys of de Belgische eID loop je tegen het probleem op dat authenticeren geen doel op zich is; dat is de authenticiteit en/of vertrouwelijkheid van de informatie die vervolgens wordt uitgewisseld (zie de bijdrage van de TS, waar het mis ging met de authenticiteit). Als die informatie een hoger classificatieniveau heeft dan van een of meer schakels in de keten (waaronder de apparatuur van de betrokkene zoals router, PC, tablet of smartphone, maar ook de gebruiker zelf), ben je niet goed bezig.

Alleen al omdat bekend is dat een percentage van de apparatuur thuis nooit gepatched wordt of EOL is, niet van actuele beveiligingssoftware voorzien is en/of ronduid gecompromitteerd is, en een flink deel van onze landgenoten in de eerste de beste phishingaanval trapt (niet omdat ze stom zijn, maar omdat zij vertrouwen hebben in hun medemensen), vind ik het bijvoorbeeld onverantwoord dat elke Nederlander zijn of haar medisch dossier, met eigen apparatuur, online zou moeten kunnen raadplegen. Ook al zouden zij daarvoor een veiliger authenticatiemethode kunnen gebruiken dan een DigiD app of de DigiD website + SMS. Oogkleppenbeveiliging noem ik dat.
27-12-2020, 22:28 door MathFox
Door Erik van Straten: Zelfs met hardware keys of de Belgische eID loop je tegen het probleem op dat authenticeren geen doel op zich is; dat is de authenticiteit en/of vertrouwelijkheid van de informatie die vervolgens wordt uitgewisseld (zie de bijdrage van de TS, waar het mis ging met de authenticiteit). Als die informatie een hoger classificatieniveau heeft dan van een of meer schakels in de keten (waaronder de apparatuur van de betrokkene zoals router, PC, tablet of smartphone, maar ook de gebruiker zelf), ben je niet goed bezig.
Als je gaat praten over "classificatieniveau" ben je heel formeel bezig en dan negeer je dat efficiënte beveiliging gebaseerd is op een risicoanalyse. Ook geldt specifiek bij persoonsgegevens dat de persoon op wie de gegevens betrekking hebben wettelijk (en daar is vanuit filosofisch oogpunt ook een grondslag voor) het recht heeft om te bepalen dat ze aan bepaalde personen getoond mogen worden.
De implicatie is dat voor de gegevens in de centrale opslag een hoog niveau van beveiliging nodig is en dat je ook een hoog niveau van authenticatie en transportbeveiliging nodig hebt, maar dat het aan de betrokkene is om te bepalen welk niveau hij lokaal voldoende vindt.

Alleen al omdat bekend is dat een percentage van de apparatuur thuis nooit gepatched wordt of EOL is, niet van actuele beveiligingssoftware voorzien is en/of ronduid gecompromitteerd is, en een flink deel van onze landgenoten in de eerste de beste phishingaanval trapt (niet omdat ze stom zijn, maar omdat zij vertrouwen hebben in hun medemensen), vind ik het bijvoorbeeld onverantwoord dat elke Nederlander zijn of haar medisch dossier, met eigen apparatuur, online zou moeten kunnen raadplegen. Ook al zouden zij daarvoor een veiliger authenticatiemethode kunnen gebruiken dan een DigiD app of de DigiD website + SMS. Oogkleppenbeveiliging noem ik dat.
Ik ben het wat betreft DigiD met je eens, bij een voldoende niveau van authenticatie is gebruik van een cryptografisch systeem met individuele sleutels of certificaten per burger gewenst. Ook compleet eens dat de gemiddelde burger zijn systemen onvoldoende bijwerkt en niet weet hoeveel malware er op zijn computer beland is tot het systeem totaal onbruikbaar wordt.
Ik zie daar geen goede oplossing voor: Qubes OS zou de mogelijkheden moeten bieden om op een hardware systeem Facebook met al haar tentakels te isoleren van jouw privégegevens, maar een goed gebruik van Qubes of een vergelijkbaar systeem heb je niet zomaar uitgelegd aan de gemiddelde computergebruiker. Om nog maar niet te spreken over bedrijven die je via Facebook laten inloggen.
27-12-2020, 23:17 door Anoniem
Door Erik van Straten:
Door MathFox: Ook met de mededeling dat er nog geen Internetwijd systeem is om identiteit te bewijzen en een persoon betrouwbaar te kunnen authenticeren.
Zelfs met hardware keys of de Belgische eID loop je tegen het probleem op dat authenticeren geen doel op zich is; dat is de authenticiteit en/of vertrouwelijkheid van de informatie die vervolgens wordt uitgewisseld (zie de bijdrage van de TS, waar het mis ging met de authenticiteit).
Tuurlijk joh, als je in de hoek gedrukt bent gewoon de doelpalen verzetten!
Waar het over ging was of het mogelijk is om een identiteit betrouwbaar vast te stellen zonder dat die vervolgens
gecopieerd kan worden naar een andere toepassing. Dus of je bijvoorbeeld een dating website zou kunnen runnen die
de identiteit van een bezoeker kan verifieren en vastleggen zonder dat de eigenaar van die website vervolgens met die
verzamelde identiteiten vervelende dingen kan gaan uithalen zoals telefoonabonnementen afsluiten of drugskwekerijen
huren.

En dat kan best.

En ook dat die website vervolgens kan toestaan dat die bezoekers onder een aliasnaam op die site opereren dus hun
persoonlijke informatie niet hoeven prijs te geven aan andere bezoekers, tot andere bezoekers verzoeken die te
verstrekken aan justitie ivm een gepleegd misdrijf.

Dat kan ook best.

En nu ophouden met dat voortdurend rondtollen in negatieve verhalen en negatieve scenario's en "het kan allemaal
niet". Niet-kunners daar hebben we niks aan, laat het dan over aan mensen die het wel kunnen.
28-12-2020, 10:47 door Anoniem
Wat je bijvoorbeeld kunt doen is je burgers een kaart of device ter beschikking stellen wat verzoeken tot identificatie
kan afhandelen voor je. Er gaat een bericht heen wat een doel van identificatie bevat "identificatie tbv deze website",
en een verzoek voor bepaalde betrouwbare attributen naar keuze van de partij die die wil weten. Bijvoorbeeld de
echte naam, geboortedatum, indicatie "ouder dan 18", unieke identifier, etc. De burger krijgt te zien welk identificatie
doel er is en welke attributen gevraagd worden en die kaart of device die maakt vervolgens een gesigneerd bericht aan
waarvan die partij kan zien dat het correct is, waar die attributen in staan, maar waar die niets aan kan veranderen.
Dus het heeft geen zin met dit bericht te proberen een telefoonabonnement af te sluiten want dat is niet het juiste doel
en als er later iemand gaat wapperen met "kijk maar je hebt je geidentificeerd" dan kun je makkelijk zeggen "ja maar niet
voor jou!" en is de hele discussie voorbij.
Dus identificatie waarbij copietje niet werkt, dat was wat er gevraagd werd.

En ga nou niet roepen dat dat allemaal maar theoretisch is. Ik heb al zo iets: een ING Scanner. Die beantwoordt een
bericht wat ik eerst kan lezen met een code. Dan gaan er geen attributen terug (dat heeft de bank niet nodig) maar wel
is er bepaald dat ik als enige bezitter van die scanner (en die de pincode weet om hem te unlocken) die handeling gedaan
heb.
Maar dat van die attributen is ook al gedaan, kijk eens naar IRMA.
28-12-2020, 12:44 door Erik van Straten
Door MathFox: Als je gaat praten over "classificatieniveau" ben je heel formeel bezig en dan negeer je dat efficiënte beveiliging gebaseerd is op een risicoanalyse.
Dat negeer ik m.i. niet, die zaken zijn nauw verwant. Je begint met dataclassificatie. Vervolgens stel je, op basis van een risicoanalyse, de minimale eisen vast voor alles waarin die data wordt bewaard, verwerkt en getransporteerd (en o.a. hoe apparatuur met opslagmogelijkheid moet worden afgevoerd). De risico's waar je rekening mee moet houden zijn dat (persoons-) gegevens in verkeerde handen vallen, ongeautoriseerd worden gewijzigd, beschadigd raken of voortijdig worden vernietigd.

Als je weet dat de persoon van wie de gegevens zijn onvoldoende in staat is om, bijv. als gevolg van de complexiteit van de gebruikte technologie, te voorkomen dat diens gegevens in verkeerde handen vallen (of ongeautoriseerd worden gewijzigd of verwijderd), moet je m.i. als risicoanalist je verantwoordelijkheid nemen en niet roepen "garantie tot aan de deur".

Vergelijkbaar vind ik het volkomen terecht dat slachtoffers van bank-phishingfraude (op z'n minst grotendeels) worden gecompenseerd (en dat de bewijslast tegen mensen die vervolgens misbruik maken van dit systeem, bij de banken ligt).

Door MathFox: Ook geldt specifiek bij persoonsgegevens dat de persoon op wie de gegevens betrekking hebben wettelijk (en daar is vanuit filosofisch oogpunt ook een grondslag voor) het recht heeft om te bepalen dat ze aan bepaalde personen getoond mogen worden.
Als dat veilig zou kunnen, ben ik het daar mee eens! Zelfs mijn moeder van 89 zou dat dan moeten kunnen (als zij dat zou willen). Maar zij heeft geen PC en geen smartphone (wel een gammele tablet waar ze nauwelijks mee om kan gaan en niet mee bankiert). Vroeger kon je in het ziekenhuis om een uitdraai van jouw medisch dossier vragen (of authenticatie toen voldoende zorgvuldig plaatsvond, betwijfel ik - maar sindsdien zijn de aantallen gevallen identiteitsfraude per jaar alleen maar gestegen terwijl de hoeveelheid digitaal opgeslagen persoonsgegevens is geëxplodeerd).

Ik geloof niet dat veel mensen gebruik maken van hun recht om hun gegevens in te zien, en totaal niet dat dit recht de verzameldrang heeft verminderd. Bovendien hebben veel meer organisaties gegevens van ons dan wij weet van hebben. Ik ken persoonlijk geen mensen die alle bedrijven en andere organisaties aanschrijven met de vraag of zij data van hem/haar hebben. Dat je daar in alle gevallen eerlijk antwoord op krijgt, is ook maar zeer de vraag. Nog even los van hoe je, bij jouw vraag, aantoont dat jij jij bent zonder dat we een universeel betrouwbaar online authenticatiemiddel hebben. Wie weet maken gegevenshoarders wel misbruik van dit systeem, en is dit middel daardoor erger dan de kwaal.

Door MathFox: De implicatie is dat voor de gegevens in de centrale opslag een hoog niveau van beveiliging nodig is en dat je ook een hoog niveau van authenticatie en transportbeveiliging nodig hebt, maar dat het aan de betrokkene is om te bepalen welk niveau hij lokaal voldoende vindt.
Maar dat is toch in tegenspraak met:
Door MathFox: Ook compleet eens dat de gemiddelde burger zijn systemen onvoldoende bijwerkt en niet weet hoeveel malware er op zijn computer beland is tot het systeem totaal onbruikbaar wordt.
De vergrijzing neemt toe en ruim 1 miljoen Nederlanders leeft onder de armoedegrens. Veel van hen beschikken niet over voldoende veilige apparatuur (en/of kunnen daar niet op veilige wijze mee omgaan) om veilig digitaal te authenticeren, te bankieren en vertrouwelijke persoonsgegevens mee uit te wisselen. De overheid is verplicht om minderheden te beschermen, en doet dat m.i. veel te weinig (ik vermoed deels omdat maar heel weinig politici de materie zelf begrijpen en de consequenties van misbruik overzien). Het zou mij niet verbazen als veel van de slachtoffers van de toeslagenaffaire moeite hadden met de digitale systemen waar je tegenwoordig mee moet communiceren om bezwaar te maken, in plaats van een begripvol mens aan een loket die begrijpt dat de materie jou boven de pet gaat en de zaken voor jou uitzoekt.
28-12-2020, 12:47 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Zelfs met hardware keys of de Belgische eID loop je tegen het probleem op dat authenticeren geen doel op zich is; dat is de authenticiteit en/of vertrouwelijkheid van de informatie die vervolgens wordt uitgewisseld (zie de bijdrage van de TS, waar het mis ging met de authenticiteit).
Tuurlijk joh, als je in de hoek gedrukt bent gewoon de doelpalen verzetten!
Huh?

Zodra hufters zich betrouwbaar moeten authenticeren (iets wat al knap lastig, zo niet onmogelijk is) op Couchsurfing- en/of social media sites bij het aanmaken van hun account, zullen zij daar onmiddellijk mee stoppen. In plaats daarvan zullen zij bestaande (vooral niet meer actief gebruikte) accounts hacken en/of mensen van het type katvanger/geldezel (minderjarig en/of sociaal zwak) een paar grijpstuivers geven om een account aan te maken. Slachtoffers zien vervolgens informatie die niet authentiek is. Door gebruik te maken van publieke VPN's, TOR en/of backdoored zombie-PC's kunnen de hufters hun anonimiteit vergroten. De pakkans voor dat soort daders via digitaal bewijs is, ondanks "sterke authenticatie", minimaal. De voordelen wegen dan totaal niet meer op tegen de nadelen voor degenen die geen hufter zijn maar zichzelf willen beschermen tegen idioten die hen als een prooi zien. Temeer daar dat soort sites regelmatig gehacked worden, waarna persoonsgegevens van nette mensen vaak op straat belanden.

Door Anoniem: Dus of je bijvoorbeeld een dating website zou kunnen runnen die de identiteit van een bezoeker kan verifieren en vastleggen zonder dat de eigenaar van die website vervolgens met die verzamelde identiteiten vervelende dingen kan gaan uithalen zoals telefoonabonnementen afsluiten of drugskwekerijen huren.

En dat kan best.
Ik herhaal:
Door Anoniem: Dat jij dan vervolgens geen goed bewijs van identiteit weet te verzinnen en dat je talloze omgevingen naar boven kunt brengen die het niet goed geregeld hebben dat betekent toch niet dat het niet gemaakt kan worden?
Noem jij dan eens een methode van authenticeren, waar flinke risico's aan zijn verbonden, waarbij het nooit fout gaat?
28-12-2020, 13:15 door MathFox
Door Anoniem:
Waar het over ging was of het mogelijk is om een identiteit betrouwbaar vast te stellen zonder dat die vervolgens
gecopieerd kan worden naar een andere toepassing. Dus of je bijvoorbeeld een dating website zou kunnen runnen die
de identiteit van een bezoeker kan verifieren en vastleggen zonder dat de eigenaar van die website vervolgens met die
verzamelde identiteiten vervelende dingen kan gaan uithalen zoals telefoonabonnementen afsluiten of drugskwekerijen
huren.

En dat kan best.
Hoe wil je iemand over internet zijn identiteit laten bewijzen? Hoe wil je dat doen op een manier dat de ontvanger van de identiteit die niet kan misbruiken? Waarom is het nog niet grootschalig in gebruik?
We zitten hier op een aan computerbeveiliging gewijde website, dan mag je proberen uit te leggen hoe je een heel lastig beveiligingsprobleem denkt op te lossen.

En ook dat die website vervolgens kan toestaan dat die bezoekers onder een aliasnaam op die site opereren dus hun
persoonlijke informatie niet hoeven prijs te geven aan andere bezoekers, tot andere bezoekers verzoeken die te
verstrekken aan justitie ivm een gepleegd misdrijf.

Dat kan ook best.
Hier zie ik de mogelijkheden wel. Aliastabel in de database met verwijzing naar geverifieerd profiel.
28-12-2020, 13:49 door Erik van Straten - Bijgewerkt: 28-12-2020, 13:54
Door Anoniem: Wat je bijvoorbeeld kunt doen is je burgers een kaart of device ter beschikking stellen wat verzoeken tot identificatie
kan afhandelen voor je. Er gaat een bericht heen wat een doel van identificatie bevat "identificatie tbv deze website",
en een verzoek voor bepaalde betrouwbare attributen naar keuze van de partij die die wil weten. Bijvoorbeeld de
echte naam, geboortedatum, indicatie "ouder dan 18", unieke identifier, etc. De burger krijgt te zien welk identificatie
doel er is en welke attributen gevraagd worden en die kaart of device die maakt vervolgens een gesigneerd bericht aan
waarvan die partij kan zien dat het correct is, waar die attributen in staan, maar waar die niets aan kan veranderen.
Dus het heeft geen zin met dit bericht te proberen een telefoonabonnement af te sluiten want dat is niet het juiste doel
en als er later iemand gaat wapperen met "kijk maar je hebt je geidentificeerd" dan kun je makkelijk zeggen "ja maar niet
voor jou!" en is de hele discussie voorbij.
Dus identificatie waarbij copietje niet werkt, dat was wat er gevraagd werd.

En ga nou niet roepen dat dat allemaal maar theoretisch is. Ik heb al zo iets: een ING Scanner. Die beantwoordt een
bericht wat ik eerst kan lezen met een code. Dan gaan er geen attributen terug (dat heeft de bank niet nodig) maar wel
is er bepaald dat ik als enige bezitter van die scanner (en die de pincode weet om hem te unlocken) die handeling gedaan
heb.
Maar dat van die attributen is ook al gedaan, kijk eens naar IRMA.
1) Je denkt niet als een aanvaller. Zij zijn met velen waaronder ook heel slimme en creatieve mensen die voortdurend naar de zwakste schakel zoeken. Als zij jouw smartphone met malware kunnen rooten, kunnen zij zich als jou voordoen zodra jij met jouw secure device authenticeert (iets waar ze jou met enige social engineering waarschijnlijk ook nog toe kunnen verleiden - op een moment dat hen dat uitkomt). En als je tijdens inloggen op een website niet op de domeinnaam let, niet ziet dat de domeinnaam afwijkt, niet weet dat die domeinnaam niet (meer) van de bedoelde organisatie is, of je (bijv. via phishing of door malware) een vals rootcertificaat op jouw device hebt en de domeinnaam wel klopt - maar je op een andere site zit, kun je ook onbedoeld jouw credentials aan een MitM cadeau doen, die zich dan kan voordoen als jou.

2) Er zijn 2 soorten authenticatie: waarbij het in jouw belang is dat niemand anders zich voor kan doen als jou (bijv. bij internetbankieren) en waarbij het niet in jouw belang is dat anderen weten dat jij jij bent (als je een crimineel bent, wordt aangehouden wegens een overtreding of als je bang bent dat jouw gegevens tegen jou worden gebruikt - zoals degenen die anoniem posten op security.nl, met als voorbeelden jij en de TS). Hou ten minste daar rekening mee als je als aanvaller probeert te denken.

Overigens ben ik blij met jouw reacties (die eenvoudig te koppelen zijn doordat je "copiëren" met een 'c' schrijft, twee spaties achter een punt zet en harde returns gebruikt halverwege zinnen): je zet me tot denken. En ze maken mij duidelijk dat zelfs bijdragers op deze site de risico's van in toenemende mate digitaal uitgewisselde, verwerkte en opgeslagen informatie (waaronder hun vertrouwelijke persoonsgegevens) totaal niet kunnen en/of willen overzien. Laat staan dat tante Truus dat zou kunnen.

M.b.t. authenticatie: het wachten is tot er een belangrijke grote Nederlandse instelling tot op het bot wordt gehacked, zoals een bank, grote verzekeraar, groep ziekenhuizen, grote gemeente, corona-test/inentings database etc. met grote en/of zelfs onherstelbare schade als gevolg - voor jou en mij persoonlijk, of voor de hele BV Nederland. Na de univ. Maastricht en de gemeente Hof van Twente is m.i. de vraag niet meer of. Bijna alle moderne grootschalige hacks zijn mogelijk doordat aanvallers zich aanvankelijk kunnen voordoen als de gebruiker van een gehackt device en uiteindelijk als Domain Admin of vergelijkbaar (identiteitsfraude plegen dus). En dat is meestal mogelijk doordat de gebruikte authenticatiemethodes onvoldoende veilig zijn. Ook al zou "dat best [veilig] kunnen" wijst de praktijk uit dat dit vaak niet (wellicht zelden) gebeurt; niemand wil tig keer per dag inloggen, laat staan daar unieke wachtwoorden en allerlei 2FA codes voor invoeren. Dus helpen we alle veilige authenticatiemethodes onmiddelijk om zeep met o.a. SSO. Cybercriminelen lachen zich rot.
28-12-2020, 16:37 door Anoniem
Door Erik van Straten:
1) Je denkt niet als een aanvaller.
Nee jij wel. Het is verdacht hoevaak jij alleen maar praat over problemen, bij iedere oplossing zie jij problemen en bij
iedere methode een aanvaller.
Je zult er zelf wel een zijn!

(zo, ik kan dat ook)
29-12-2020, 06:44 door Erik van Straten - Bijgewerkt: 29-12-2020, 07:03
Door Anoniem:
Door Erik van Straten:
1) Je denkt niet als een aanvaller.
Nee jij wel. Het is verdacht hoevaak jij alleen maar praat over problemen, bij iedere oplossing zie jij problemen en bij
iedere methode een aanvaller.
Om fatsoenlijke risicoanalyses uit te kunnen voeren, zul je eerst alle mogelijke bedreigingen in kaart moeten proberen te brengen (aanvallers hebben genoeg aan één gat, daarom moeten securityprofessionals ze allemaal proberen te vinden). Middels risicoanalyses bepaal je vervolgens welke gaten moeten worden gedicht, mitigerende maatregelen moeten worden genomen of waarvoor geen actie nodig is. Het is mijn vak om beren op de weg te zien.

Dat er te weinig mensen zijn die dat kunnen en/of waar serieus naar geluisterd wordt, of die überhaupt geraadpleegd worden, blijkt uit de dagelijkse lijst (op security sites) van organisaties die gehacked zijn, en recentelijk van tools die verschijnen om gecompromitteerde cloud-accounts op te sporen - waar de authenticatiemethode kennelijk te zwak van was (zie bijv. https://www.bleepingcomputer.com/news/security/cisa-releases-azure-microsoft-365-malicious-activity-detection-tool/).

Ik ben actief op deze site om mijn kennis te delen en vooral om te leren, o.a. over nieuwe bedreigingen. En jij?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.