image

Wetenschappers waarschuwen in brief voor gevaar van client-side scanning

woensdag 5 juli 2023, 10:52 door Redactie, 16 reacties

Tientallen wetenschappers en hoogleraren van vooraanstaande Britse universiteiten die werken op het gebied van cryptografie en it-veiligheid hebben in een open brief gewaarschuwd voor het gevaar van client-side scanning en het ondermijnen van end-to-end encryptie om de chatberichten van burgers te lezen, zoals de Britse regering via een wetsvoorstel wil realiseren. "Het is onze zorg dat surveillancetechnologieën worden uitgerold in de geest van het bieden van online veiligheid. Dit wetsvoorstel ondermijnt privacygaranties, en ook de veiligheid op internet", aldus de wetenschappers (pdf).

De kritiek is gericht op de Online Safety Bill van de Britse regering die chatdiensten kan verplichten tot het controleren van de berichten die hun gebruikers verzenden. Het wetsvoorstel kwam eerder door experts en burgerrechtenbewegingen onder vuur te liggen omdat die encryptie zou ondermijnen en een bedreiging voor de vrijheid van meningsuiting zou vormen.

Vervolgens kwam de Britse regering met een aangepast wetsvoorstel. Dat zou volgens de beleidsmakers end-to-end encryptie niet verbieden. Ook op het aangepaste voorstel is inmiddels felle kritiek. Het zou namelijk nog steeds end-to-end encryptie kunnen ondermijnen en stelt nergens expliciet dat encryptie moet worden beschermd. Na eerdere kritiek van WhatsApp en Signal kwam laatst ook Apple met een waarschuwing tegen het voorstel.

De briefschrijvers stellen dat toegang tot chatberichten op twee manieren kan worden verkregen. De eerste is onderweg, als het bericht wordt verstuurd. Hiervoor zou de gebruikte encryptiemethode moeten worden gekraakt of worden voorzien van een backdoor, zodat de autoriteiten kunnen meekijken. Toegang die autoriteiten wordt geboden is echter ook voor andere partijen beschikbaar. "Alle technologische oplossingen die worden genoemd geven een derde partij toegang tot privégesprekken onder voorwaarden die door deze derde partij worden bepaald", stellen de wetenschappers.

Client-side scanning

De andere optie voor het controleren van de chatberichten van burgers is client-side scanning. Hierbij wordt de inhoud van het bericht voor het versturen geïnspecteerd. De wetenschappers vergelijken dit met het continu aftappen van burgers via een "politieagent in de broekzak". Het probleem is dat deze detectie nauwkeurig moet zijn om ongewenste content te detecteren en geen content te detecteren die niet wordt gezocht, als er al een duidelijke overeenkomst is van wat er moet worden gezocht.

De voorstellen voor client-side scanning zijn er in twee varianten. De eerste bestaat uit het detecteren van afbeeldingen die door een autoriteit worden bijgehouden. De wetenschappers stellen dat deze aanpak, waar ook het Nederlandse kabinet voorstander van is, meerdere problemen kent. Zo blijkt dat client-side scanning niet het beoogde doel haalt, namelijk het detecteren van bekend verboden materiaal. Daarnaast blijkt dat de gebruikte algoritmes zijn te gebruiken om verborgen mogelijkheden toe te voegen, zoals gezichtsherkenning van bepaalde individuen, waardoor geheime surveillance via client-side scanning mogelijk is.

De tweede optie voor de inzet van client-side scanning betreft het gebruik van AI-modellen die alle afbeeldingen op misbruik controleren. Volgens de wetenschappers zijn er echter geen betrouwbare modellen voor het detecteren van misbruikmateriaal. Daardoor lopen onschuldige burgers het risico dat hun foto's onterecht als misbruik worden aangemerkt en gevoelige afbeeldingen en berichten met derde partijen worden gedeeld.

Vertrek van chatdiensten

Verschillende chatdiensten hebben aangegeven het Verenigd Koninkrijk te zullen verlaten als het wetsvoorstel wordt aangenomen, waardoor Britse burgers alleen nog van kwetsbare chatapps gebruik kunnen maken, merken de wetenschappers verder op. "Vanuit onze kant is het lastig om in te schatten hoe serieus die dreigementen zijn", liet minister Yesilgöz van Justitie en Veiligheid tijdens een overleg dat vorige week plaatsvond weten. "De verklaringen van WhatsApp en Signal zullen waarschijnlijk meer een poging tot beïnvloeding van de behandeling zijn, van het parlementaire proces voordat de Online Safety Bill wordt aangenomen, omdat dat nu echt onderwerp van gesprek is."

Waarschuwing

De in totaal 68 hoogleraren en wetenschappers sluiten hun open brief af met een waarschuwing. "Als onafhankelijke onderzoekers op het gebied van informatiebeveiliging en cryptografie ontwikkelen we technologieën die mensen op internet beschermen. In deze rol zien we de noodzaak om te benadrukken dat de veiligheid van deze essentiële technologieën door de Online Safety Bill wordt bedreigd."

Reacties (16)
05-07-2023, 11:00 door Anoniem
we gaan eerst proefdraaien door alle prive communicatie van Yesilgöz een jaar lang te publiceren in NRC
05-07-2023, 11:13 door Anoniem
Ik weet niet door welke experts de politici zich laten adviseren, maar volgens mij worden die geselecteerd zodat de uitspraken hun lijn van denken volgt.
Als deze 'experts' het bij-wijze-van-spreken voor het zeggen hebben dan wil ik graag een debat/discussie tussen de 2 experts-kampen.
Live te volgen, interactief, waarbij de kijkers adhv 2 balkjes (een rode en groene (oneens/eens)) live kan laten weten welke van de experts-kampen 'Bullshit' danwel 'dat-klinkt-logisch' uitspraken maakt. Dan vallen de van Rijbroek-experts denk ik snel door de mand.
05-07-2023, 13:04 door Anoniem
Dat waren nou net niet de "experts" die we in Nederland hebben geraadpleegd. Nou ja, wat hierboven al wordt gezegd: de "experts" die niet bij nama worden genoemd, doordat ze voor de rest van hun leven niet meer serieus worden genomen. Als er al "experts" zijn, want het is makkelijk met vage termen slingeren om je argumenten kracht bij te zetten, zeker als we de exacte bewoording van die "experts" niet kunnen nalezen. Daarnaast, wat voor de overheid een "expert" is zal geen expert zijn voor de rest van Nederland. Een expert in dienst van de overheid is niet zelden een ja-knikker. Wiens brood men eet, wiens woord men spreekt. Vaak genoeg gezien als externe bij de overheid.

Kortom, ook deze minister bedient zich weer van kwalijke truukjes om haar plannen te verdedigen en ze er doorheen te drammen. Tegen de tijd dat de verkiezingen eraan komen denkt geen hond hier meer over na en is CSS het nieuw normaal geworden, zonder consequenties voor de zittende macht.
05-07-2023, 13:46 door Anoniem
Door Anoniem: we gaan eerst proefdraaien door alle prive communicatie van Yesilgöz een jaar lang te publiceren in NRC

Doe maar alle landelijkee en europese politici en de EC leden.
05-07-2023, 14:02 door Anoniem
Als ik mij het goed herinner, is Tim Cook (CEO van Apple) zo'n expert. Maar die heeft zijn keutel ondertussen weer ingetrokken. Kan er niets meer over vinden op apple.com. Kostte kennelijk te veel klanten voor apple. Ik heb ook mijn eerste iPhone aanschaf uitgesteld mede hierdoor (ook omdat gesproken SMS nog enige tijd ondersteund wordt door Logius). Ik wens niet mee te werken aan de vernietiging van end-to-end encryptie voor iedereen voor altijd.
05-07-2023, 14:20 door Anoniem
Door Anoniem: we gaan eerst proefdraaien door alle prive communicatie van Yesilgöz een jaar lang te publiceren in NRC

Daar hebben politici nog niet over nagedacht.
Ook hun communicatie wordt zichtbaar voor wie weet wie allemaal.
Velen zijn nieuwsgierig naar wat politici te communiceren hebben.
05-07-2023, 14:35 door Erik van Straten - Bijgewerkt: 05-07-2023, 14:38
In de PDF die de redactie noemt (https://haddadi.github.io/UKOSBOpenletter.pdf) wordt verwezen naar een wetenschappelijke publicatie van de "Computational Privacy Group at Imperial College London" (https://cpg.doc.ic.ac.uk/team/) getiteld "Deep perceptual hashing algorithms with hidden dual purpose: when client-side scanning does facial recognition" achter een paywall.

De link die ik eerder onderin https://security.nl/posting/797452 gaf, werkte zojuist echter nog (of dat de laatste versie van de publicatie is, weet ik niet).

Met name de kort geleden gepromoveerde Ana-Maria Cretu (https://ana-mariacretu.github.io/) lijkt erg actief op het gebied van beeldherkenning (perceptual hashing) en CSS.

In haar laatste paper (https://arxiv.org/abs/2306.05093 getiteld "Re-aligning Shadow Models can Improve White-box Membership Inference Attacks", met onderzoek gebruik akend van de "CIFAR-10 dataset" ("The CIFAR-10 dataset consists of 60000 32x32 colour images in 10 classes, with 6000 images per class" https://www.cs.toronto.edu/~kriz/cifar.html) schrijft zij onder meer: "Taken together, our results highlight that on-device deployment increase [sic] the attack surface and that the newly available information can be used by an attacker."

In hoeverre zij met dat laatste daadwerkelijk doelt op CSS naar CSAM weet ik niet, maar software en data toevoegen aan smartphones zal het aanvalsoppervlak allesbehalve verkleinen.

Voor mijn (uitgebreide) argumenten waarom CSS idioterie is, zie https://security.nl/posting/797615.
05-07-2023, 15:39 door Anoniem
De experts tegen kindermisbruik zien zelf niets in client-side scanning, omdat het niets bijdraagt aan de preventie.

Dit zal kinderen en jongeren juist schaden. Nu al worden kinderen en jongeren afgeperst met foto’s uit gehackte sociale media accounts. Kwetsbaarheden introduceren voor de opsporing maakt het internet ook onveiliger voor hen. Als je een achterdeur op een kier zet bij de bestrijding van misbruik, opent het nieuwe wegen voor kwaadwillenden.

https://offlimits.nl/nieuws/standpunt-over-de-europese-verordening-ter-voorkoming-en-bestrijding-van-seksueel-kindermisbruik

Voorheen het Expertisebureau Online Kindermisbruik (EOKM) gaat sinds 7 juni j.l. door onder de naam van Offlimits.
05-07-2023, 16:13 door Anoniem
Door Anoniem: De experts tegen kindermisbruik zien zelf niets in client-side scanning, omdat het niets bijdraagt aan de preventie.

Dit zal kinderen en jongeren juist schaden. Nu al worden kinderen en jongeren afgeperst met foto’s uit gehackte sociale media accounts. Kwetsbaarheden introduceren voor de opsporing maakt het internet ook onveiliger voor hen. Als je een achterdeur op een kier zet bij de bestrijding van misbruik, opent het nieuwe wegen voor kwaadwillenden.

https://offlimits.nl/nieuws/standpunt-over-de-europese-verordening-ter-voorkoming-en-bestrijding-van-seksueel-kindermisbruik

Voorheen het Expertisebureau Online Kindermisbruik (EOKM) gaat sinds 7 juni j.l. door onder de naam van Offlimits.

Maar dat soort geluiden wilen de voorstanders in de EC en de politiek niet horen, wan dat kunnen ze niet bij iedereen op de computer meekijken. En daar gaat het ze echt om.
Nu op KP willen monitoren, strakt op wie weet wat allemaal.

WeSAySo anno 2023.
De dinosaurussen bij de EC hebben ook wat bedacht.
05-07-2023, 21:07 door Anoniem
De Britten zijn geen onderdeel meer van de EU, toch gaan ze een EU voorstel nagenoeg naadloos overnemen? Of is het andersom? Opmerkelijk. Oh kijk, Australië zit er over na te denken om het voorbeeld van de Britten te gaan volgen. Canadese senatoren die van Meta eisen dat ze wat gaan doen aan CSAM (kindermisbruik). Amerika heeft haar NSA gag orders en een sloot aan exploits die ze voor zichzelf bewaren voor surveillance doeleinden. Die gaan/gingen zelfs zo ver als de firmware van routers vervangen door een firmware met een ingebouwde backdoor. Tappen ook buiten hun jurisdictie af. China hoeven we het niet te vragen.

Kwam toevallig onderstaand stukje tekst tegen op politico.eu (25-10-2022), kennelijk werd GMail al gescanned. Persoon in kwestie zag allerlei accounts, mails, contactpersonen, foto's, enz, permanent verwijderd worden, en kreeg politiebezoek.

Only two months ago, the New York Times reported https://www.nytimes.com/2022/08/21/technology/google-surveillance-toddler-photo.html that Google had flagged medical images that a man in San Francisco had taken of his son’s groin as child sexual abuse material. He had sent the images to his doctor seeking medical advice for his child, only to have his account shut down and become the subject of a police investigation.

Kennelijk kunnen bedrijven zware sancties (gaan) krijgen als ze dat CSS niet serieus aanpakken, dus die gaan dan eieren voor hun geld kiezen en geen enkel risico nemen (zoals banken die je rekening opheffen als ze jouw transacties teveel aansprakelijkheidsrisico voor zichzelf vinden; ook al aan de gang in de UK).

U ziet, toenemende rechtvaardigheid de ganse (westerse) wereld over. In ieder proces kunnen menselijke (beoordelings)fouten gemaakt worden, maar de voortvarendheid waarmee dergelijke misstanden uit de wereld worden geholpen spreekt voor zich. Overduidelijk staat de burger, de mens, op de eerste plek, morele principes staan bovenaan (iedereen zou zo'n behandeling eigen geliefden wensen), en gaat het totaal niet om een bepaald nieuw regiem er doorheen te drukken.

Hier en daar zijn er al berichten waar te nemen dat er bedrijven zijn die dreigen weg te gaan van de UK als deze plannen doorgaan. Plannen die er zo ongeveer op neerkomen dat: of je accepteert CSS, of we verbieden E2EE. U ziet, privacy staat bovenaan op de niet onderhandelbare eisenlijst.

Er zijn zelfs al berichten dat bedrijven buiten de EU/UK geen zaken meer willen gaan doen met EU/UK vanwege dat gedoe. Immers, wie garandeert dat als jouw, zeg, GMail iets stuurt naar een EU/UK GMail en die wordt gevlagd, dat jouw account dan ook niet de nek wordt omgedraaid? Je EU/UK zakelijke bankrekening wordt opgeheven? Je vertrouwelijke zakelijke communicatie wordt afgekeken? Waar en hoe kun je terecht om aangedaan onrecht zo snel als mogelijk ongedaan te krijgen, ook waar het de techreuzen betreft en bancaire instellingen? Uitwisselen van gevoelige medische data niet tot een afsluiting of politie-onderzoek leidt? Hoe kan je EU/UK zakenpartner jou nog betalen. of zelfs communiceren, als er bij hem van alles op slot gaat? Die techreuzen en bancaire instellingen trekken de stekker eruit wanneer ze maar willen en stoppen vervolgens hun vingers in de oren. Een muur is communicatiever.

Op deze website zijn meerdere artikelen te vinden over client side scanning, maar ook over ongevraagd delen van medische data, rekeningrijden, digitale euro (+ EU ID), afgedwongen blocken van websites en meer van dat fraais.
Duidelijk mag zijn dat (EU/UK) politici burgerbelangen, bijvoorbeeld privacy en onschuldig tenzij anders bewezen, hoog in het vaandel hebben staan. Meer nog dan achter de voordeur, in je auto, in je geldstromen, in je medische data en in je meest intieme privé willen kijken. Volgens hun om de planeet te redden, terroristen te bestrijden, fraudeurs op te sporen (Toeslagenaffaire, weet u nog), Groningers te compenseren (?), woningnood op te lossen, 600 ziekenhuisopnames per week te voorkomen en kindermisbruik te voorkomen (schijnt dat slechts 15% daarvan via digitale communicatie plaatsvindt en dat dan met een foutmarge van zo'n 10 tot 20% procent). Kost vrachten vol met geld van anderen, schijnt echter de economie te versterken, dochters kunnen weer op slecht onderhouden en slecht verlichte fietspaden alleen rijden in het donker, lost de stijgende armoede op, boeren en vissers gaan biologisch verantwoord produceren (dus tot 3x minder opbrengst voor een hogere verkoopprijs; wat dan een eerlijke prijs wordt genoemd en echt niet gaat leiden tot shoppen in het buitenland; want die houden veel realistische stikstofnormen en Natura2000 gebieden en noem maar op aan), duurzaamheid is zo snel mogelijk zoveel als mogelijk te vervangen of nieuw te bouwen (schijnt kennelijk kant en klaar uit de lucht te vallen, dus totaal geen last van stijgende kosten links en rechts, alsmede gebrek aan werkelijke vaklieden), fossiel te verbannen (al eens opgezocht welke producten er allemaal enkel met fossiel gemaakt kunnen worden?) en zal nimmer onderhavig zijn aan function creep, en mocht dat wel zo zijn dan wordt dat in volledige openbaarheid met geen enkel achtergehouden stuk in de Kamer besproken. Sterker nog, blijft allemaal binnen geraamd budget en wordt ruim op tijd gerealiseerd.

Kortom, wij mogen in onze handen knijpen met zulke kapiteins aan het stuur. Er is ook nergens ook maar iets van een toekomstige "met de kennis van nu" te bespeuren, alles wat we hierin momenteel in investeren en/of opofferen zal als 1.0 versie echt niet tot gejatte en aanzienlijk goedkopere 2.0 versies leiden uit landen die zelf beschikken over de daarvoor benodigde grondstoffen (met goedkoper gas, kolen, kerncentrales en arbeidskrachten) dus die vrachten met geld gaan onze economie tot ongekende hoogten stuwen in de nabije toekomst.

Wees eerlijk, iemand met zulke kwalificaties, behaalde en nog te behalen resultaten en in graniet gebeitelde morele normen en waarden ziet u graag uw dochter trouwen. Toch?

Ja, van alles wijst er op dat de Gouden Eeuw terug gaat keren in een moderner jasje. Hoe was die oorspronkelijke Gouden Eeuw voor de burgers eigenlijk? Had je toen ook alles wat je nodig had, betaalbaar en betrouwbaar, binnen 15 minuten handbereik? Eén inkomen waar het gehele gezin, en andere inwonende generaties, ruim van konden leven? Zoals te doen gebruikelijk niet eens zo lang geleden. Hoe gingen ze in die tijd om met kritische denkers die slechts onderbouwde vragen stellen?

Samengevat, niks om je vinger over op te steken. Bekrachtigd door het feit dat kritische geluiden eerder verstomd worden dan beantwoord, wij snappen simpelweg niet waar deze zieners mee bezig zijn, en het kost ze simpelweg teveel tijd om daar een fatsoenlijk en inhoudelijk antwoord op te geven. Kenmerk van een waarachtige volksvertegenwoordiger. We gaan allemaal erg gelukkig worden. Hebben ze bij herhaling zelf gezegd. Kijk simpelweg naar wat ze het afgelopen decennia allemaal daadwerkelijk bereikt hebben. Het gaat zoveel beter, toch?
05-07-2023, 22:36 door Anoniem
Mocht dit erdoor gedrukt word laten we als technici dan tot in den treure dit CSS onder de aandacht van zoveel mogelijk mensen blijven brengen om mensen hiervan bewust te maken want daar is erg weinig aandacht voor geweest in de media.

Maar ook nadat het straks eventueel al in gevoerd is kunnen we blijven wijzen hierop en kan door bewustwording het in de toekomst mogelijk toch weer gestopt worden.

Mensen weten het niet of beseffen de impact ervan niet.

Sup!
06-07-2023, 07:34 door Anoniem
@ anoniem van 21.07,

Prachtige bijdrage. Goed uitgelegd. Maar er zwemmen er maar weinigen tegen deze stroom in.
U vestigt dus uw hoop, ja waarop eigenlijk. Ik zou zeggen, laat nu alle hoop maar varen (voorlopig althans).
Er zijn er gelukkig nog velen, die het zo zien.

Maar is het geen recept om het continent op den duur af te kunnen serveren?
Haal Rusland als grondstoffenleverancier weg bij de industrie van m.n. Duitsland en heers.

Verder kun je nog zoveel chaos produceren als je wenst en dan ga je opnieuw opbouwen.
Je snapt het beleid slechts als je bereid bent het diep monsterlijke ervan in te zien, zoals u hierboven.

Waar voert het heen? We zijn op herhaling, maar nu technologisch geavanceerder.
De gang der geschiedenis. Uit wiens kokers kwamen al deze ideeën?
06-07-2023, 08:54 door Anoniem
mix dit nieuws met deze:
https://tweakers.net/nieuws/211452/rechter-regering-vs-mag-geen-contact-meer-hebben-met-socialmediabedrijven.html
en zie wat voor mogelijkheden dit schept om terug te reizen naar de toekomst van 1984.

Bekende tekst(, mede gebruikt in Into the badlands):
Power is a pricey doll.
You get a taste for it,
You keep coming back for more.
Somewhere along that road,
good intensions,they get lost.
06-07-2023, 22:06 door Anoniem
Macht corrumpeert en absolute Content Side Scanning-macht corrumpeert absoluut.

Waarom laat men dit gebeuren? Iedereen loopt keurig in het gelid
of gaat er nog mee collaboreren. Zeker de statelijke actoren, ze vangen geld voor hun onvoorwaardelijke support.

Een vijandig pact van overheidsbemoeienis hand in voet' met de grote monopolistische gatekeepers (dataslurpers pur sang) ontmoet geen enkele weerstand van een ongeïnteresseerd en dom gehouden publiek. Ook zwijgen de main stream media in alle talen of het zo afgesproken is. Ze lopen al tijden aan de leiband.

Publieke tegenoffensieven bij voorbaat uitgesloten.
Arm Nederland, arm Europa.

Je krijgt het lot dat je verdient, beste medeburgers.
Karma is the bitch.

#webproxy
06-07-2023, 22:18 door Anoniem
"Follow the Science!" of "Trust the experts!", werkt alleen als het past in het politieke narratief, zo veel mag duidelijk zijn voor iedereen die langer dan 15 jaar mee gaat hoop ik.
07-07-2023, 10:44 door Anoniem
Door Anoniem: Macht corrumpeert en absolute Content Side Scanning-macht corrumpeert absoluut.

Waarom laat men dit gebeuren? Iedereen loopt keurig in het gelid
of gaat er nog mee collaboreren. Zeker de statelijke actoren, ze vangen geld voor hun onvoorwaardelijke support.

Een vijandig pact van overheidsbemoeienis hand in voet' met de grote monopolistische gatekeepers (dataslurpers pur sang) ontmoet geen enkele weerstand van een ongeïnteresseerd en dom gehouden publiek. Ook zwijgen de main stream media in alle talen of het zo afgesproken is. Ze lopen al tijden aan de leiband.

Publieke tegenoffensieven bij voorbaat uitgesloten.
Arm Nederland, arm Europa.

Je krijgt het lot dat je verdient, beste medeburgers.
Karma is the bitch.

#webproxy

Ik ben het met je eens.
“The best argument against democracy is a five-minute conversation with the average voter.”

Zolang ze hun tiktok filmpjes hebben en hun biertje zal het de meeste mensen een rotzorg zijn.

Tevens denk ik ook dat heel veel mensen het simpelweg hebben opgegeven.
Het is niet voor niets dat het politieke vertrouwen een all-time-low heeft bereikt.
Men haalt z'n schouders op en gaat door met het dagelijkse.

Straks komen we op een punt waarop mensen zich afvragen hoe het toch zover heeft mogen komen, tegen die tijd is het te laat.

Doet me hieraan denken:

First they came for the socialists, and I did not speak out—
Because I was not a socialist.

Then they came for the trade unionists, and I did not speak out—
Because I was not a trade unionist.

Then they came for the Jews, and I did not speak out—
Because I was not a Jew.

Then they came for me—and there was no one left to speak for me.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.