image

Raad van de EU akkoord met wet voor Europese digitale identiteit

woensdag 27 maart 2024, 15:20 door Redactie, 15 reacties

De Raad van de EU heeft een verordening over de Europese digitale identiteit goedgekeurd, waardoor die straks binnen de Europese Unie is te gebruiken. Met de nieuwe wet kunnen de lidstaten burgers en bedrijven een digitale wallet aanbieden waarmee zij hun nationale digitale identiteit kunnen koppelen aan andere persoonlijke attributen, zoals een rijbewijs, diploma's en bankrekeningen. Met de digitale portemonnee op hun smartphone kunnen burgers zich dan identificeren en elektronische documenten delen.

De herziene eIDAS-verordening die nu is goedgekeurd en de Europese digitale identiteit mogelijk maakt, zal naar verwachting vanaf eind april dit jaar in werking treden. De exacte datum waarop het gebruik van de Europese digitale identiteit mogelijk wordt hangt af van de uitwerking van de technische details die de komende periode op Europees niveau worden vastgesteld.

Elke lidstaat moet in ieder geval in 2026 zijn burgers een wallet voor de Europese digitale identiteit kunnen bieden, en dergelijke wallets uit andere lidstaten accepteren. Het ministerie van Binnenlandse Zaken werkt op dit moment aan een open source voorbeeld ID-wallet.

Reacties (15)
27-03-2024, 15:39 door Anoniem
Tuurlijk.
Erg nadelig voor de burgers, dus dit was van tevoren duidelijk: de EUSSR is voor.
Wanneer stappen we nou eens uit die EU??
27-03-2024, 15:52 door Anoniem
De enige reden voor digitale wat dan ook is gemak voor de beheerders onder het mom van gemak voor de gebruikers
27-03-2024, 16:01 door Anoniem
Misschien ligt het aan mijn steen, maar wat is in vredesnaam een wallet precies?
Een portemonnee heb ik al, met RFID-afscherming en allemaal NFC-pasjes?
27-03-2024, 16:08 door Anoniem
Door Anoniem: Tuurlijk.
Erg nadelig voor de burgers, dus dit was van tevoren duidelijk: de EUSSR is voor.
Wanneer stappen we nou eens uit die EU??

Heb liever een federatie en meer integratie, maar goed aan je comment te zien, denk je niet aan de economische gevolgen voor Nederland als we de EU uit zouden gaan.
27-03-2024, 16:24 door Anoniem
Door Anoniem: Tuurlijk.
Erg nadelig voor de burgers, dus dit was van tevoren duidelijk: de EUSSR is voor.
Wanneer stappen we nou eens uit die EU??
In het verleden hadden Russen dikke vingers in de pap van dergelijke politieke ambities en bewegingen. Ik weet niet uit welke hoek er heden ten dage politieke en financiële steun is om dergelijke geluiden te versterken dat het idee 'gaat leven' in brede geledingen van de bevolking als een redelijk en haalbaar alternatief. Het hele punt is natuurlijk het financiële fundament onder de Europese Unie. Maar geloofwaardigheid van de Nederlandse politiek heeft een immense knauw gekregen de afgelopen 15 jaar. En als ik dat klapvee van de PVV daar in de kamer zie zitten, wordt dat de komende jaren echt niet beter, in de wetenschap dat PVV geen democratische politieke vereniging is.

En dan ga ik er vanuit dat als we iets meer dan een kwart weten van wat daar aan de hand was met een aantal lastige dossiers, dat dat al veel is. Wilders kent al die dossiers, en dat maakt hem kwetsbaar als langstzittende kamerlid. Misschien dat er een paar handige AIVD-ers zijn die wat struikeldraden op het parcours leggen. Hebben ze wel vaker gedaan, en dat blijft meestal keurig in de doofpot tot er weer politiek gemotiveerde complottheoretici gaan samenzweren en mainstream worden.
27-03-2024, 19:18 door Anoniem
DigiD is ook nooit verplicht geworden. Dan zal dat vast hiermee ook niet gebeuren.

Al zullen uiteraard dezelfde "tactieken" gebruikt gaan worden zodat ook jij nu weer overstag gaat. Maar verplicht is het niet hè.
Over mijn lijk, net als met DigiD, dat ik dit ooit ga gebruiken. Heb namelijk wel een hoop te verbergen.
28-03-2024, 00:03 door Erik van Straten
Krankzinnig.

Nepwebsites als AitM
Veel mensen zullen door cybercriminelen worden verleid om te authenticeren op nepwebsites (voorbeeld: https://security.nl/posting/834710) waarbij die nepwebsite, mogelijk geheel geautomatiseerd, als een AitM (Attacker in the Middle), als ware zij het slachtoffer, elders authenticeert - bijvoorbeeld om een creditcard aan te vragen. Waarbij relevante informatie, door die AitM, "on the fly" wordt gewijzigd - zoals het postadres waar de creditcard naar toe gestuurd moet worden.

Voorbeeld van nepwebsite - met "swimlane" diagram
Het volgende zou kunnen gebeuren nadat ene Piet een e-mail, SMS of appje kreeg met een "speciaal aanbod": een jaar lang geen kosten voor een nieuwe Bunq creditcard en een beginsaldo van 50 Euro cadeau! Ga daarvoor naar bunq.com (waarbij de feitelijke link daaronder bijvoorbeeld naar get-bunq-cc[.]com verwijst - die [ en ] om de laatste punt horen daar niet, ik heb ze toegevoegd om te voorkómen dat een virusscanner of een "pre-loadende" browser er een echte domeinnaam in zit, en die domeinnaam toevallig bestaat). Nb. hieronder heb ik creditcard afgekort met CC.

Hieronder chronologische
Piet events (gebeurtenissen)
o
/|\ Nepsite (AitM) Echte site
/ \ get-bunq-cc[.]com bunq.com

| open site | |
+——————————————>| open site |
| +——————————————>|
| | |
| | welkom bij |
| | bunq |
| welkom bij |<——————————————+
| bunq | |
|<——————————————+ |
| | |
| ik wil een CC | |
| aanvragen | |
+——————————————>| ik wil een CC |
| | aanvragen |
| +——————————————>|
| | |
| | log in met |
| | uw eID |
| log in met |<——————————————+
| uw eID | |
|<——————————————+ |
| | |
| eID data: | |
| ik ben Piet | |
+——————————————>| eID data: |
| | ik ben Piet |
| +——————————————>|
| | |
| | OK, op welk |
| | postadres |
| | wilt u de CC |
| | ontvangen? |
| OK, op welk |<——————————————+
| postadres | |
| wilt u de CC | |
| ontvangen? | |
|<——————————————+ |
| | |
| Kerkplein 7 | |
| 9876 ZY | |
| Apelveen | GELOGEN: |
+——————————————>| Markt 83a |
| | 8989 ZX |
| | Siddewaard |
| +——————————————>|
| | |
| | U ontvangt |
| | over enkele |
| | dagen de pin- |
| | code, en een |
| | paar dagen |
| | later de CC |
| U ontvangt |<——————————————+
| over enkele | |
| dagen de pin- | |
| code, en een | |
| paar dagen | |
| later de CC | |
|<——————————————+ |
| | |
v v v
tijd tijd tijd

Variatie: nepwebsite communiceert met andere site
Ik sluit andere scenarios niet uit, bijvoorbeeld dat Piet zodanig misleid wordt dat hij, op basis van een ontvangen (nep-) bericht, denkt dat Facebook een leeftijdsverificatie wil uitvoeren (de AitM nepsite zou dan bijv. facebook-age-check[.]com kunnen heten) - terwijl de AitM ondertussen met bunq.com communiceert. En dat de info, die naar Piet wordt gestuurd en die zogenaamd afkomstig is van Facebook, bij elkaar verzonnen is.

Variatie: nepwebsite communiceert met twee sites
In een variatie daarop zou de AitM zowel met Facebook als met bunq kunnen communiceren (zonder Piet te laten weten dat, in de achtergrond, met Bunq wordt gecommuniceerd. Als er voor een leeftijdscheck onvoldoende eID gegevens worden overgedragen, zou de nepsite kunnen liegen dat er iets misging en dat daarom aanvullende info moet worden aangeleverd (onder dreiging van het afsluiten van het Facebook-account van Piet). Hybride situaties, waarbij een zogenaamde medewerker van Facebook het slachtoffer belt, waarna slachtoffers vaak gewillig doen wat hen gevraagd wordt. Zoals een foute app of Windows software installeren "om de fout te corrigeren" (Nb. apps zoals o.a. Anydesk bestaan ook voor smartphones)

Betere certs met betrouwbare identiteitscheck
Het aantal slachtoffers zou beperkt kunnen worden als de EDIW (European Digital Identity Wallet, ook bekend als eID) app strenge eisen stelt aan op z'n minst de werkelijke identiteit van de verantwoordelijke van de website waarop wordt geauthenticeerd, en dat -via het meer uitgebreide https servercertificaat - er bij de internetter geen twijfel over kan bestaan wie verantwoordelijk is voor een website.

Beter is het natuurlijk als er eisen t.a.v. de betrouwbaarheid van genoemde verantwoordelijke worden gesteld, maar dat is (ook offline) een heel stuk lastiger.

DV is grotendeels zinloos (vooral schijnveiligheid)
Als ik het goed begrepen heb is de EU alsnog akkoord gegaan dat ook DV (Domain Validated) certificaten volstaan, die nul-komma-niets zeggen over de identiteit voor de verantwoordelijke van een website. DV-certificaten zijn de grootste onzin die er bestaat:

• Je hebt ze totaal niet nodig voor de versleuteling van moderne (met forward secrecy) https verbindingen. Let's Encrypt is fundamentele bull shit.

• Tijdens DNS-aanvallen, via gehackte DNS-records, middels BGP-hijacks en door overheidstoegang tot de infrastructuur van hostingproviders kunnen DV-certs kan een andere server -onterecht- een certificaat voor een andere server aanvragen en verkrijgen.

• Het enige dat direct voorafgaand aan de uitgifte van een DV-certificaat wordt vastgesteld, is dat als de certificaatuitgever verbinding maakt met het IP-adres van de kennelijke server, verkregen via DNS op basis van een domeinnaam, de betreffende server daadwerkelijk degene is van waaruit het certificaat werd aangevraagd. Oftewel, als DNS betrouwbaar is, krijgt de aanvragende server het certificaat. Dus, als DNS net zo betrouwbaar is voor de certificaatuitgever als voor jou, heb je zo'n certificaat helemaal niet nodig.

• Het enige identificerende gegeven van een website in een DV-certificaat is de domeinnaam. Als een internetter wil shoppen bij "Bol" en weet dat de domeinnaam bol.com van "Bol" is, dan helpt een DV certificaat een heel klein beetje bevestigen dat je verbinding hebt met een server van "Bol" als je, zonder certificaatmeldingen, https://bol.com/maakt-niet-uit zou zien als je de inhoud van de adresbalk van jouw browser via het klembord naar een teksteditor kopieert.

Probleem: daarmee weet je niet of een URL zoals https://bol-paas-prijspakkers[.]com/ wél of juist niet van "Bol" is - ook niet als die site dezelfde stijl, logo's en lettertypes gebruikt. Een domeinnaam is een uitermate zwak identificerend gegeven omdat elke malloot nagenoeg elke nog niet actief in gebruikzijnde domeinnaam kan "claimen", en zij schier eindeloos veel domeinnamen kunnen bedenken die best "zouden kunnen zijn van".

Het voordeel van domeinnamen boven persoonsnamen is dat ze, als het goed is, wereldwijd uniek zijn (er zijn meerdere mensen die Erik van Straten heten). Maar zelfs áls persoonsnamen wereldwijd uniek zouden zijn, en iemand de spelling van mijn naam niet goed onthouden heeft (ook op security.nl word ik af en toe "aangesproken" met Eric) zou je zo in de val kunnen trappen. Aanvullende identificerende informatie, zoals een bedrijfsnaam, vestigingsadres en KVK-nummer, maakt identificatie simpelweg eenvoudiger. Voorwaarde is wel dat je ervan op aan moet kunnen dat de certificaatuitgever die gegevens grondig heeft gecheckt (wat net zo min veilig kan online) en daarnaast is het essentieel dat elk potentieel slachtoffer uitzoekt of de identificerende informatie daadwerkelijk van de bedoelde organisatie is.

• Veel mensen hebben er geen idee van wat een domeinnaam precies is - laat staan dat zij de risico's van IDN's (International Domain Names, met zichtbaar identieke, of sterk lijkende, doch afwijkende Unicode karakters er in) kennen, waarom je op die domeinnaam zou moeten letten (en niet op logo's en/of typfouten in de pagina), hoe je een domeinnaam uit een URL haalt en wat het verschil is tussen een punt en een minnetje in een domeinnaam.

• Veel CDN-providers zetten soms duizenden websites achter één IP-adres, en zijn het hun servers (van de CDN-providers dus) die het eindpunt vormen voor https-connecties vanaf browsers (een "legitieme" AitM dus). In veel gevallen heeft jouw browser, zonder dat iemand jou dat vertelt, helemaal geen End-to-End-Encrypted verbinding meer met de server, maar met een AitM - die je blind zult moeten vertrouwen (dit is precies de reden waarom big tech geen betere certificaten wil: die kunnen AitM's, als het goed is, namelijk helemaal niet aanvragen).

Nb. het argument dat met QWAC's (Qualified Website Authentication Certificates) overheden zouden kunnen gaan spioneren klopt in theorie, maar dat gebeurt nu ook al met DV-certs (https://notes.valdikss.org.ru/jabber.ru-mitm/ en nogelijk op een enorme schaal als de overheid van de U.S.A., op basis van de FISA Section 702 wetgeving, AitM-servers bij CDN-providers laat nonitoren.

AitM malware op smartphones
Echter, zelfs mét fatsoenlijke certificaten ben je er nog niet; er verschijnt steeds meer malware voor smartphones. En daartegen helpt niets, ook al zitten alle gevoelige gegevens veilig in een, zelfs voor de gebruiker, ontoegankelijke "elektronische portemonnee" ("wallet"). Als Europeanen straks ook iPhone apps van buiten de Apple App Store kunnen downloaden, nemen de risico's voor gebruikers alleen maar toe (die waren al niet nul, want ook in de App Store zijn regelmatig kwaadaardige apps te vinden).

Als een kwaadaardige app informatie van andere apps, bestemd voor het scherm, kan wijzigen voordat die info op het scherm verschijnt, is er al sprake van een AitM. Als een kwaadaardige Android app de user heeft kunnen overhalen om die app "accessibility permissions" te geven, kan die app niet alleen het scherm overnemen, maar ook alle invoer van de gebruiker (wijzigen, blokkeren, of, zonder dat de user iets doet, namens die user genereren).

Daarmee kan de app zich grotendeels voordoen als de user, zonder dat de user daar iets van hoeft te merken. Indien de app een pincode, vingerafdruk of gezichtsscan nodig heeft voor een kwaadaardige transactie, is het niet heel moeilijk om de user met geloofwaardige leugens over te halen om die af te geven (desnoods door te wachten totdat de gebruiker zelf zo'n actie initieert).

Online auth (op afstand) krijg je nooit betrouwbaar
Je kunt met bits, pixels en zelfs asymmetrische cryptografie, knutselen tot je een ons weegt, maar uiteindelijk wil je weten wie of de authenticerende persoon geen impersonator is. En dat krijg je, online, nooit betrouwbaar; hier zullen cybercriminelen steeds meer misbruik van gaan maken. Waarbij slachtoffers grote sommen geld kunnen kwijtraken, vaak erg in de put komen te zitten en diep ongelukkig worden doordat zij het vertrouwen in hun medemens zijn kwijtgeraakt.

En vanzelfsprekend heeft nog bijna niemand nagedacht over vangnetten. Dat wil zeggen, behalve banken en het Kifid: "daar doen wij niet aan mee". Als u zo graag een EDIW wilt, zijn de risico's daarvan voor u.

En als u zélf geen EDIW heeft en wilt, maar een ander een EDIW met uw gegevens kon verkrijgen en daarmee een lening op uw naam kon afsluiten, dan vinden wij dat heel vervelend voor u, maar niet wij hebben deze digitale identiteit bedacht - daar moet u voor in Brussel zijn.

VideoIdent
Mogelijk groter dan bij EDIW, zijn de risico's van VideoIdent - waarmee getracht wordt om online (op afstand dus) de identiteit van een persoon vast te stellen - door het maken van video's en/of foto's van het gezicht en van een identiteitsbewijs. De reden daarvoor is dat het vaak om het begin van een keten gaat, zonder dat er voorkennis bij de verifieerder hoeft te zijn.

Uit de PDF die je vanuit deze pagina (https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/ANSSI-BSI-joint-releases/ANSSI-BSI_joint-release_2023.html) kunt downloaden:
While this joint release mainly discusses risks related to biometrics and identity documents, threats on the remote identity proofing service provider's information system (including web and mobile applications used in the identity verification process) remain an important hazard.)
Deze "risico-analyse" (van de Duitse en Franse overheids-security-organisaties) benoemt niet eens het risico van AitM aanvallen - die kunnen plaatsvinden zoals aangegeven in het diagram hierboven - waarbij je, in de plaats van de eID authenticatie, je jezelf de ideniteitsverificatie middels VideoIdent moet voorstellen.

Conclusie
Hoe eenvoudiger impersonatie, hoe minder betrouwbaar authenticatie is. Het is krankzinnig om transacties ter waarde van duizenden Euro's (of méér) te accorderen middels veel te onbetrouwbare authenticatie (omdat impersonatie te eenvoudig is). Dit gaat slecht aflopen voor veel mensen - ook die zélf géén EDIW nemen. Met steeds beter wordende AI, zowel een filmpje en een foto of scan van een identiteitsbewijs van een ander, zal het steeds eenvoudiger worden om -onterecht- een EDIW op naam van een ander te verkrijgen,
28-03-2024, 05:27 door Anoniem
Vroeger zeiden overvallers: je geld of je leven (en dan gaf je dat beetje contant wat je op dat moment bij je had). Daarna werd het: je pincode of je leven (en dan gaf je je maximale dag limiet dat je nog niet gebruikt had). Meer en meer wordt het: accepteer mijn tikkie of je leven (en dan geef je wederom je maximale dag limiet dat je nog niet gebruikt had). En later wordt het: geef me toegang tot je hele hebben en houden, of je leven. Oh, heb jij ook nog een Tesla? Weet jij wat je voor die accu's kunt krijgen?

Tip: zorg ervoor dat je uitsluitend en alleen zo min mogelijk contant geld bij je hebt, wat je die dag nodig hebt, niets geen pasjes, en qua elektronisch enkel de meest goedkoopste mobiel (absoluut zonder 2FA, e-ID, EV of bank app) die net voldoende is voor je meest minimale communicatiebehoeften (kom je nog als arme sloeber over ook; weinig van te plukken derhalve). Zet er nog even een Google, of zoiets, maximaal track and trace account bij aan, maar met een totaal lege email, zodat je de overvallers kunt uitleggen dat Google, of zoiets, tot op de seconde weet waar je precies was, en dat, gecombineerd met allerlei andere registratiesystemen; EMEI, RFID chips in ID's, camera's, zelfs SSID en BlueTooth nabijheid geregistreerd, en dat binnen desnoods een vierkante kilometer rondom, enzovoorts, wie er exact er op dat moment bij je in de buurt waren; en aders wel later middels correlatie). Want ja, je zult dan klappen krijgen, uit frustratie, maar ze gaan je niet overhoop steken als ze ervan overtuigd zijn dat je ze alles geeft wat jij ze op dat moment onmogelijk meer kunt geven. Ga echter de held spelen terwijl ze het idee hebben dat ze tienduizenden van je kunnen stelen via je bank app, of iets anders, maar jij moet zo nodig de held spelen... tja, andere attitude dan.

Maar dat snel via controlesystemen oppakken zal niet gebeuren, want alle misdadigers houden zich natuurlijk wel (niet!) aan alle sleep-, volg-, en controle wetten, dus die zijn dan in microseconden geïdentificeerd, gelokaliseerd, opgepakt, gearresteerd, en nog dezelfde dag, na een foei gesprek, heen gestuurd om te zien of ze er wat van geleerd hebben.

Neem hedendaagse CEO Fraud, een miljardenindustrie inmiddels, je mag blij zijn als je een deel van je gepikte geld terugkrijgt omdat er ergens (meestal een bank ver weg), zowaar, een transactie geblokkeerd heeft, want het vliegt geautomatiseerd alle kanten op in seconden tijd. Maar witwassen, dat is het echte probleem, dus dan is het kennelijk proportioneel om iedereen in z'n spreekwoordelijke hemdje te laten staan, terwijl CEO Fraud nagenoeg ongehinderd doorgaat.

Dat wetende, waar gaat het werkelijk om? Wanneer gaat al die zogenaamd misdaad bestrijdende invasie op ieders privacy daadwerkelijk een gigantische deuk slaan in iets als CEO Fraud?
28-03-2024, 05:40 door Anoniem
Door Anoniem:
Door Anoniem: Tuurlijk.
Erg nadelig voor de burgers, dus dit was van tevoren duidelijk: de EUSSR is voor.
Wanneer stappen we nou eens uit die EU??
In het verleden hadden Russen dikke vingers in de pap van dergelijke politieke ambities en bewegingen. Ik weet niet uit welke hoek er heden ten dage politieke en financiële steun is om dergelijke geluiden te versterken dat het idee 'gaat leven' in brede geledingen van de bevolking als een redelijk en haalbaar alternatief. Het hele punt is natuurlijk het financiële fundament onder de Europese Unie. Maar geloofwaardigheid van de Nederlandse politiek heeft een immense knauw gekregen de afgelopen 15 jaar. En als ik dat klapvee van de PVV daar in de kamer zie zitten, wordt dat de komende jaren echt niet beter, in de wetenschap dat PVV geen democratische politieke vereniging is.

En dan ga ik er vanuit dat als we iets meer dan een kwart weten van wat daar aan de hand was met een aantal lastige dossiers, dat dat al veel is. Wilders kent al die dossiers, en dat maakt hem kwetsbaar als langstzittende kamerlid. Misschien dat er een paar handige AIVD-ers zijn die wat struikeldraden op het parcours leggen. Hebben ze wel vaker gedaan, en dat blijft meestal keurig in de doofpot tot er weer politiek gemotiveerde complottheoretici gaan samenzweren en mainstream worden.

U beweert hier dat de AIVD meer een politiek instrument is om politieke tegenstanders een pootje te haken, dan een daadwerkelijke staatsveiligheid gerichte organisatie, ongeacht politieke inrichting? Of gaat u zelfs zo ver dat een door enkelen ongewenste staats ingerichte, democratisch gekozen, politieke instelling, per definitie een pootje gehaakt dient te worden door onze geheime staatsdiensten?
28-03-2024, 07:41 door Anoniem
Ik vraag mij af wat er gaat gebeuren als je smartphone wordt gestolen, hoe kun je dan bewijzen wie je bent?
En hoeveel kans heb je dat ze hier misbruik van kunnen maken.

https://www.security.nl/posting/530740/Vorig+jaar+ruim+43_000+smartphones+in+Nederland+gestolen
28-03-2024, 09:17 door Anoniem
Door Anoniem: DigiD is ook nooit verplicht geworden. Dan zal dat vast hiermee ook niet gebeuren.

Al zullen uiteraard dezelfde "tactieken" gebruikt gaan worden zodat ook jij nu weer overstag gaat. Maar verplicht is het niet hè.
Over mijn lijk, net als met DigiD, dat ik dit ooit ga gebruiken. Heb namelijk wel een hoop te verbergen.
Het zal nooit "verplicht" worden uiteindelijk zul je niet zonder kunnen als ze de andere opties uitfaseren.
28-03-2024, 12:43 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tuurlijk.
Erg nadelig voor de burgers, dus dit was van tevoren duidelijk: de EUSSR is voor.
Wanneer stappen we nou eens uit die EU??
In het verleden hadden Russen dikke vingers in de pap van dergelijke politieke ambities en bewegingen. Ik weet niet uit welke hoek er heden ten dage politieke en financiële steun is om dergelijke geluiden te versterken dat het idee 'gaat leven' in brede geledingen van de bevolking als een redelijk en haalbaar alternatief. Het hele punt is natuurlijk het financiële fundament onder de Europese Unie. Maar geloofwaardigheid van de Nederlandse politiek heeft een immense knauw gekregen de afgelopen 15 jaar. En als ik dat klapvee van de PVV daar in de kamer zie zitten, wordt dat de komende jaren echt niet beter, in de wetenschap dat PVV geen democratische politieke vereniging is.

En dan ga ik er vanuit dat als we iets meer dan een kwart weten van wat daar aan de hand was met een aantal lastige dossiers, dat dat al veel is. Wilders kent al die dossiers, en dat maakt hem kwetsbaar als langstzittende kamerlid. Misschien dat er een paar handige AIVD-ers zijn die wat struikeldraden op het parcours leggen. Hebben ze wel vaker gedaan, en dat blijft meestal keurig in de doofpot tot er weer politiek gemotiveerde complottheoretici gaan samenzweren en mainstream worden.

U beweert hier dat de AIVD meer een politiek instrument is om politieke tegenstanders een pootje te haken, dan een daadwerkelijke staatsveiligheid gerichte organisatie, ongeacht politieke inrichting? Of gaat u zelfs zo ver dat een door enkelen ongewenste staats ingerichte, democratisch gekozen, politieke instelling, per definitie een pootje gehaakt dient te worden door onze geheime staatsdiensten?
AIVD/MIVD is tevens een politiek instrument. Het gaat om balans in de staatsveiligheidsbelangen, en die speelt ook wel eens intern, en soms lekt daar iets over uit. Maar dat er een toezichtscommissie op het functioneren van dergelijke diensten is ingesteld, blijkt dat er een behoefte was een pleister te plakken. Blijkbaar waren er klachten. Misschien hadden die met pootje haken te maken.
28-03-2024, 14:03 door Anoniem
Door Anoniem: Ik vraag mij af wat er gaat gebeuren als je smartphone wordt gestolen, hoe kun je dan bewijzen wie je bent?
En hoeveel kans heb je dat ze hier misbruik van kunnen maken.

https://www.security.nl/posting/530740/Vorig+jaar+ruim+43_000+smartphones+in+Nederland+gestolen

Sommige mensen zijn onterecht dood verklaard. Het schijnt dat ze de grootste moeite hebben om weer officieel levend verklaard te worden overal en nergens. Zelfs als ze over de, inmiddels verboden, vingerafdrukken beschikken die bij hun paspoort horen.

Voor wat betreft een gestolen mobiel, aannemende dat die locked was, meestal krijgen die een factory reset om daarna doorverkocht te worden. Dus, nieuwe mobiel aanschaffen, apps installeren, door de ID procedure lopen, en je kunt weer verder met bespioneerd worden.

In die gevallen dat je gedwongen wordt om je gestolen mobiel 'te openen' (zodat de overvaller toegang heeft tot je hele hebben en houden op die mobiel), dan heb je een serieus probleem. Hou er dan rekening mee dat er Identity Theft heeft plaatsgevonden, en/of je bankrekeningen zijn leeg geschraapt, en wie weet hoeveel meer. Gelijk aangifte doen dus, bank bellen (telefoonnummer weet je uit je hoofd, alsmede je rekeningnummer). Mobiels zijn onveilig. Ga dus enkel de straat op met dat wat je bereid bent te verliezen. Dus geen dure mobiel waar je hele hebben en houwen op staat, maar een goedkoop wegwerp ding dat niets meer bevat dan je SMS/Voice contacten, misschien wat freebee (want je wilt niets bij je hebben met waar je creditcard gegevens in staan) social media, routemaps, dat soort dingen.

Leuk dat al die bedrijven en overheden graag hebben dat je van alles paraat hebt op je mobiel (want dat is makkelijker; dus ook voor overvallers), maar ze geven nauwelijks thuis als dat in de verkeerde handen valt, dan is het plotseling jouw probleem.
03-04-2024, 02:47 door Anoniem
Door Erik van Straten: Krankzinnig.

Nepwebsites als AitM
Veel mensen zullen door cybercriminelen worden verleid om te authenticeren op nepwebsites (voorbeeld: https://security.nl/posting/834710) waarbij die nepwebsite, mogelijk geheel geautomatiseerd, als een AitM (Attacker in the Middle), als ware zij het slachtoffer, elders authenticeert - bijvoorbeeld om een creditcard aan te vragen. Waarbij relevante informatie, door die AitM, "on the fly" wordt gewijzigd - zoals het postadres waar de creditcard naar toe gestuurd moet worden.

Voorbeeld van nepwebsite - met "swimlane" diagram
Het volgende zou kunnen gebeuren nadat ene Piet een e-mail, SMS of appje kreeg met een "speciaal aanbod": een jaar lang geen kosten voor een nieuwe Bunq creditcard en een beginsaldo van 50 Euro cadeau! Ga daarvoor naar bunq.com (waarbij de feitelijke link daaronder bijvoorbeeld naar get-bunq-cc[.]com verwijst - die [ en ] om de laatste punt horen daar niet, ik heb ze toegevoegd om te voorkómen dat een virusscanner of een "pre-loadende" browser er een echte domeinnaam in zit, en die domeinnaam toevallig bestaat). Nb. hieronder heb ik creditcard afgekort met CC.

Hieronder chronologische
Piet events (gebeurtenissen)
o
/|\ Nepsite (AitM) Echte site
/ \ get-bunq-cc[.]com bunq.com

| open site | |
+——————————————>| open site |
| +——————————————>|
| | |
| | welkom bij |
| | bunq |
| welkom bij |<——————————————+
| bunq | |
|<——————————————+ |
| | |
| ik wil een CC | |
| aanvragen | |
+——————————————>| ik wil een CC |
| | aanvragen |
| +——————————————>|
| | |
| | log in met |
| | uw eID |
| log in met |<——————————————+
| uw eID | |
|<——————————————+ |
| | |
| eID data: | |
| ik ben Piet | |
+——————————————>| eID data: |
| | ik ben Piet |
| +——————————————>|
| | |
| | OK, op welk |
| | postadres |
| | wilt u de CC |
| | ontvangen? |
| OK, op welk |<——————————————+
| postadres | |
| wilt u de CC | |
| ontvangen? | |
|<——————————————+ |
| | |
| Kerkplein 7 | |
| 9876 ZY | |
| Apelveen | GELOGEN: |
+——————————————>| Markt 83a |
| | 8989 ZX |
| | Siddewaard |
| +——————————————>|
| | |
| | U ontvangt |
| | over enkele |
| | dagen de pin- |
| | code, en een |
| | paar dagen |
| | later de CC |
| U ontvangt |<——————————————+
| over enkele | |
| dagen de pin- | |
| code, en een | |
| paar dagen | |
| later de CC | |
|<——————————————+ |
| | |
v v v
tijd tijd tijd

Variatie: nepwebsite communiceert met andere site
Ik sluit andere scenarios niet uit, bijvoorbeeld dat Piet zodanig misleid wordt dat hij, op basis van een ontvangen (nep-) bericht, denkt dat Facebook een leeftijdsverificatie wil uitvoeren (de AitM nepsite zou dan bijv. facebook-age-check[.]com kunnen heten) - terwijl de AitM ondertussen met bunq.com communiceert. En dat de info, die naar Piet wordt gestuurd en die zogenaamd afkomstig is van Facebook, bij elkaar verzonnen is.

Variatie: nepwebsite communiceert met twee sites
In een variatie daarop zou de AitM zowel met Facebook als met bunq kunnen communiceren (zonder Piet te laten weten dat, in de achtergrond, met Bunq wordt gecommuniceerd. Als er voor een leeftijdscheck onvoldoende eID gegevens worden overgedragen, zou de nepsite kunnen liegen dat er iets misging en dat daarom aanvullende info moet worden aangeleverd (onder dreiging van het afsluiten van het Facebook-account van Piet). Hybride situaties, waarbij een zogenaamde medewerker van Facebook het slachtoffer belt, waarna slachtoffers vaak gewillig doen wat hen gevraagd wordt. Zoals een foute app of Windows software installeren "om de fout te corrigeren" (Nb. apps zoals o.a. Anydesk bestaan ook voor smartphones)

Betere certs met betrouwbare identiteitscheck
Het aantal slachtoffers zou beperkt kunnen worden als de EDIW (European Digital Identity Wallet, ook bekend als eID) app strenge eisen stelt aan op z'n minst de werkelijke identiteit van de verantwoordelijke van de website waarop wordt geauthenticeerd, en dat -via het meer uitgebreide https servercertificaat - er bij de internetter geen twijfel over kan bestaan wie verantwoordelijk is voor een website.

Beter is het natuurlijk als er eisen t.a.v. de betrouwbaarheid van genoemde verantwoordelijke worden gesteld, maar dat is (ook offline) een heel stuk lastiger.

DV is grotendeels zinloos (vooral schijnveiligheid)
Als ik het goed begrepen heb is de EU alsnog akkoord gegaan dat ook DV (Domain Validated) certificaten volstaan, die nul-komma-niets zeggen over de identiteit voor de verantwoordelijke van een website. DV-certificaten zijn de grootste onzin die er bestaat:

• Je hebt ze totaal niet nodig voor de versleuteling van moderne (met forward secrecy) https verbindingen. Let's Encrypt is fundamentele bull shit.

• Tijdens DNS-aanvallen, via gehackte DNS-records, middels BGP-hijacks en door overheidstoegang tot de infrastructuur van hostingproviders kunnen DV-certs kan een andere server -onterecht- een certificaat voor een andere server aanvragen en verkrijgen.

• Het enige dat direct voorafgaand aan de uitgifte van een DV-certificaat wordt vastgesteld, is dat als de certificaatuitgever verbinding maakt met het IP-adres van de kennelijke server, verkregen via DNS op basis van een domeinnaam, de betreffende server daadwerkelijk degene is van waaruit het certificaat werd aangevraagd. Oftewel, als DNS betrouwbaar is, krijgt de aanvragende server het certificaat. Dus, als DNS net zo betrouwbaar is voor de certificaatuitgever als voor jou, heb je zo'n certificaat helemaal niet nodig.

• Het enige identificerende gegeven van een website in een DV-certificaat is de domeinnaam. Als een internetter wil shoppen bij "Bol" en weet dat de domeinnaam bol.com van "Bol" is, dan helpt een DV certificaat een heel klein beetje bevestigen dat je verbinding hebt met een server van "Bol" als je, zonder certificaatmeldingen, https://bol.com/maakt-niet-uit zou zien als je de inhoud van de adresbalk van jouw browser via het klembord naar een teksteditor kopieert.

Probleem: daarmee weet je niet of een URL zoals https://bol-paas-prijspakkers[.]com/ wél of juist niet van "Bol" is - ook niet als die site dezelfde stijl, logo's en lettertypes gebruikt. Een domeinnaam is een uitermate zwak identificerend gegeven omdat elke malloot nagenoeg elke nog niet actief in gebruikzijnde domeinnaam kan "claimen", en zij schier eindeloos veel domeinnamen kunnen bedenken die best "zouden kunnen zijn van".

Het voordeel van domeinnamen boven persoonsnamen is dat ze, als het goed is, wereldwijd uniek zijn (er zijn meerdere mensen die Erik van Straten heten). Maar zelfs áls persoonsnamen wereldwijd uniek zouden zijn, en iemand de spelling van mijn naam niet goed onthouden heeft (ook op security.nl word ik af en toe "aangesproken" met Eric) zou je zo in de val kunnen trappen. Aanvullende identificerende informatie, zoals een bedrijfsnaam, vestigingsadres en KVK-nummer, maakt identificatie simpelweg eenvoudiger. Voorwaarde is wel dat je ervan op aan moet kunnen dat de certificaatuitgever die gegevens grondig heeft gecheckt (wat net zo min veilig kan online) en daarnaast is het essentieel dat elk potentieel slachtoffer uitzoekt of de identificerende informatie daadwerkelijk van de bedoelde organisatie is.

• Veel mensen hebben er geen idee van wat een domeinnaam precies is - laat staan dat zij de risico's van IDN's (International Domain Names, met zichtbaar identieke, of sterk lijkende, doch afwijkende Unicode karakters er in) kennen, waarom je op die domeinnaam zou moeten letten (en niet op logo's en/of typfouten in de pagina), hoe je een domeinnaam uit een URL haalt en wat het verschil is tussen een punt en een minnetje in een domeinnaam.

• Veel CDN-providers zetten soms duizenden websites achter één IP-adres, en zijn het hun servers (van de CDN-providers dus) die het eindpunt vormen voor https-connecties vanaf browsers (een "legitieme" AitM dus). In veel gevallen heeft jouw browser, zonder dat iemand jou dat vertelt, helemaal geen End-to-End-Encrypted verbinding meer met de server, maar met een AitM - die je blind zult moeten vertrouwen (dit is precies de reden waarom big tech geen betere certificaten wil: die kunnen AitM's, als het goed is, namelijk helemaal niet aanvragen).

Nb. het argument dat met QWAC's (Qualified Website Authentication Certificates) overheden zouden kunnen gaan spioneren klopt in theorie, maar dat gebeurt nu ook al met DV-certs (https://notes.valdikss.org.ru/jabber.ru-mitm/ en nogelijk op een enorme schaal als de overheid van de U.S.A., op basis van de FISA Section 702 wetgeving, AitM-servers bij CDN-providers laat nonitoren.

AitM malware op smartphones
Echter, zelfs mét fatsoenlijke certificaten ben je er nog niet; er verschijnt steeds meer malware voor smartphones. En daartegen helpt niets, ook al zitten alle gevoelige gegevens veilig in een, zelfs voor de gebruiker, ontoegankelijke "elektronische portemonnee" ("wallet"). Als Europeanen straks ook iPhone apps van buiten de Apple App Store kunnen downloaden, nemen de risico's voor gebruikers alleen maar toe (die waren al niet nul, want ook in de App Store zijn regelmatig kwaadaardige apps te vinden).

Als een kwaadaardige app informatie van andere apps, bestemd voor het scherm, kan wijzigen voordat die info op het scherm verschijnt, is er al sprake van een AitM. Als een kwaadaardige Android app de user heeft kunnen overhalen om die app "accessibility permissions" te geven, kan die app niet alleen het scherm overnemen, maar ook alle invoer van de gebruiker (wijzigen, blokkeren, of, zonder dat de user iets doet, namens die user genereren).

Daarmee kan de app zich grotendeels voordoen als de user, zonder dat de user daar iets van hoeft te merken. Indien de app een pincode, vingerafdruk of gezichtsscan nodig heeft voor een kwaadaardige transactie, is het niet heel moeilijk om de user met geloofwaardige leugens over te halen om die af te geven (desnoods door te wachten totdat de gebruiker zelf zo'n actie initieert).

Online auth (op afstand) krijg je nooit betrouwbaar
Je kunt met bits, pixels en zelfs asymmetrische cryptografie, knutselen tot je een ons weegt, maar uiteindelijk wil je weten wie of de authenticerende persoon geen impersonator is. En dat krijg je, online, nooit betrouwbaar; hier zullen cybercriminelen steeds meer misbruik van gaan maken. Waarbij slachtoffers grote sommen geld kunnen kwijtraken, vaak erg in de put komen te zitten en diep ongelukkig worden doordat zij het vertrouwen in hun medemens zijn kwijtgeraakt.

En vanzelfsprekend heeft nog bijna niemand nagedacht over vangnetten. Dat wil zeggen, behalve banken en het Kifid: "daar doen wij niet aan mee". Als u zo graag een EDIW wilt, zijn de risico's daarvan voor u.

En als u zélf geen EDIW heeft en wilt, maar een ander een EDIW met uw gegevens kon verkrijgen en daarmee een lening op uw naam kon afsluiten, dan vinden wij dat heel vervelend voor u, maar niet wij hebben deze digitale identiteit bedacht - daar moet u voor in Brussel zijn.

VideoIdent
Mogelijk groter dan bij EDIW, zijn de risico's van VideoIdent - waarmee getracht wordt om online (op afstand dus) de identiteit van een persoon vast te stellen - door het maken van video's en/of foto's van het gezicht en van een identiteitsbewijs. De reden daarvoor is dat het vaak om het begin van een keten gaat, zonder dat er voorkennis bij de verifieerder hoeft te zijn.

Uit de PDF die je vanuit deze pagina (https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/ANSSI-BSI-joint-releases/ANSSI-BSI_joint-release_2023.html) kunt downloaden:
While this joint release mainly discusses risks related to biometrics and identity documents, threats on the remote identity proofing service provider's information system (including web and mobile applications used in the identity verification process) remain an important hazard.)
Deze "risico-analyse" (van de Duitse en Franse overheids-security-organisaties) benoemt niet eens het risico van AitM aanvallen - die kunnen plaatsvinden zoals aangegeven in het diagram hierboven - waarbij je, in de plaats van de eID authenticatie, je jezelf de ideniteitsverificatie middels VideoIdent moet voorstellen.

Conclusie
Hoe eenvoudiger impersonatie, hoe minder betrouwbaar authenticatie is. Het is krankzinnig om transacties ter waarde van duizenden Euro's (of méér) te accorderen middels veel te onbetrouwbare authenticatie (omdat impersonatie te eenvoudig is). Dit gaat slecht aflopen voor veel mensen - ook die zélf géén EDIW nemen. Met steeds beter wordende AI, zowel een filmpje en een foto of scan van een identiteitsbewijs van een ander, zal het steeds eenvoudiger worden om -onterecht- een EDIW op naam van een ander te verkrijgen,

Leuk stuk, maar heb je weleens nagedacht over PassKeys?
15-04-2024, 01:50 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Krankzinnig.

Nepwebsites als AitM
[...]
Leuk stuk, maar heb je weleens nagedacht over PassKeys?
Uh ja, wel meer dan eens, ook "hardop" (o.a. in https://security.nl/posting/798699/Passkeys+voor+leken).

Echter, passkeys zijn bedoeld voor wat ik "relatieve authenticatie" noem: je maakt ergens een account aan waarbij je, voor zover daar om gevraagd wordt, alles bij elkaar kunt liegen over jouw "absolute identiteit". Het doel hiervan is dat, elke volgende keer dat jij inlogt, de server zo betrouwbaar mogelijk "weet" dat het om dezelfde entiteit gaat als die het account heeft aangenaakt (vanuit de server bezien zo betrouwbaar mogelijk vaststelt dat er niet iemand of iets inlogt die zich voordoet als jou - een impersonator dus).

Bij wat ik "absolute authenticatie" noem, wordt een deel van-, of al jouw, meestal door een overheid vastgelegde, koppeling (in bijv. een paspoort of een eID) tussen meestal een pasfoto, een mogelijke beschrijving (lengte, gender, oogkleur) en (door mensen verzonnen) identificerende gegevens zoals naam, geboorteplaats en geboortedatum, gedeeld met een identificerende, én die identiteit -met minder of meer betrouwbaarheid- op echtheid verifiërende (authenticerende) partij.

Hoewel een hybride vorm denkbaar is (bijv. bij door op DigiD.nl relatief te authenticeren m.b.v. een passkey, waarna DigiD jouw noodzakelijke persoonsgegevens retourneert aan de website waar je feitelijk absoluut op aan het authenticeren was), heb je in dit kader niets aan kale passkeys, net zo min als aan FIDO2 hardware keys, 2FA/MFA en zelfgekozen gebruikersnamen en wachtwoorden.

Een eID zoals EDIW kun je het beste vergelijken met een door de overheid uitgegeven X.509 client certificaat met daarin de koppeling (digitaal ondertekend door de uitgever) tussen:
• jou uniek absoluut identificerende gegevens;
• jouw public key;
• metadata (waaronder geldigheidsduur en gegevens over de uitgever).

De bijpassende private key zit (hopelijk veilig) in afgeschermde, speciale, hardware (in bijvoorbeeld jouw smartphone of een een smartcard).

Is het daarmee gegarandeerd veilig?

Nee, om onder meer de redenen die ik eerder in deze pagina beschreef; een AitM ergens tussen de (hopelijk veilig opgeborgen) private key en de uiteindelijk verifiërende website, kan zich namelijk voordoen als jou (die AitM kan ook bestaan uit malware op jouw eigen smartphone).

Maar ook eerder kunnen al die gegevens op de smartphone van een ander terecht zijn gekomen.

Of iemand kan jouw smartphone hebben gestolen, weten hoe deze ontgrendeld moet worden (voor zover van toepassing) en een eventueel noodzakelijke pincode kennen om de private key van jouw eID te kunnen gebruiken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.