Sophie in 't Veld: Europa heeft geen politieke wil om spyware aan te pakken
Europa heeft geen politieke wil om spyware aan te pakken, zo stelt Sophie In't Veld, Europarlementariër voor Volt. In't Veld nam deze week deel aan een paneldiscussie van het Center for Democracy & Technology over spyware. Volgens de Nederlandse politica weigert de EU collectief om maatregelen te nemen, waardoor alle landen medeplichtig zijn.
Vorig jaar juni presenteerde In 't Veld een onderzoeksrapport van een speciale door het Europees Parlement ingestelde commissie, die onderzoek had gedaan naar het gebruik van spyware door Europese overheden. Onder andere in Hongarije, Polen, Griekenland, Cyprus en Spanje zou spyware tegen onder andere oppositie en journalisten zijn ingezet. Tegelijkertijd nam het Europees Parlement een resolutie aan om het gebruik van spyware zoals Pegasus door landen tegen te gaan.
Eind vorig jaar bleek dat er nog altijd geen wetten waren aangenomen om dergelijk misbruik aan te pakken. Het Europarlement nam daarop een nieuwe resolutie aan die het gebrek aan handelen bekritiseerde. "Ik denk dat ze weten wat ze moeten doen, maar het probleem is dat ze niet willen. Er zijn van allerlei kanten veel goede suggesties gedaan. En het rapport van het Europees Parlement geeft ze een complete toolkit om het probleem aan te pakken, maar de politieke wil is er gewoon niet. Ze vinden hun nieuwe speeltje veel te leuk en willen het niet opgeven", stelt In't Veld.
Ze voegt toe dat de EU voor de bühne zich aansluit bij initiatieven tegen spyware, maar als het erop aankomt niets doet, de technologie zelf blijft gebruiken en het ook exporteert naar andere landen. "Het eerste ingrediënt dat we nodig hebben is politieke wil." Volgens In't Veld worden exportregels opzettelijk en systematisch geschonden. "De Europese Commissie weigert de regels te handhaven." De Europarlementariër voegt toe dat als de autoriteiten die verantwoordelijk zijn voor het handhaven van de wet die niet willen handhaven, er weinig middelen overblijven. In't Veld hoopt dan ook dat het volgende Europees Parlement veel strenger gaat zijn in het verantwoordelijk houden van de Europese Commissie.
De diensten bespioneren ONGEBREIDELD ALLE BURGERS. En dit is inmiddels genormaliseerd .Dus zo ziek is onze samenleving. Dit is EXTREEM OVERHEIDSHANDELEN.ONDERMIJNEND onze samenleving
Das leben der Anderen:
https://nl.wikipedia.org/wiki/Das_Leben_der_Anderen
Behalve data van de parlementariërs en hun vrindjes.
Daarmee wordt ook de rechtsstaat (de "rule of law") buiten spel gezet.
Ondertussen sturen dezelfde overheden die zich binnen de EU niet willen houden aan de spelregels, wel miljarden euro's en wapens naar Oekraïne om "democratie en rechtsstaat" (daar en in heel Europa) zogenaamd te verdedigen.
Sorry hoor, maar wat verdedigen we nu eigenlijk? Zeg dan gewoon eerlijk dat Europese elites hun eigen machtsbolwerk aan het verdedigen zijn, en hou op met het gebazel over een "democratische rechtsstaat" waarin die elites zelf niet eens geloven.
Dit doet overigens niets af aan de morele plicht van Europese landen (na de puinhoop waaraan ze zelf in 2008 en 2013/2014 etc. hebben bijgedragen) om het Oekraïense volk nu te steunen bij het verdedigen van het land tegen een gewelddadige aanvaller - ook los van enige verdediging van een vermeende "democratische rechtsstaat".
In hoeverre In 't Veld met haar stellingname ook het gedachtengoed van Volt vertegenwoordigt, weet ik niet. Het zou kunnen dat deze meest EU-gezinde van alle partijen als eerste doorkrijgt dat het ontbreken van werkelijke democratie en rechtsstaat een nagel aan de doodskist van de EU is, terwijl sociaal-democraten, (neo)liberalen inclusief "Christen-democraten" alsmede technocraten het gebrek aan legitimiteit van de EU nog simpelweg proberen te negeren.
Toch aardig hoe de omgang met "spyware" een inkijkje oplevert in de gedachtenwereld van de machthebbers van de EU...
M.J.
Je moet wetten maken, maar ook dat je weet dat die uitgevoerd kunnen worden (dus kost poen, in gelul kun je niet wonen), tegen misbruikers. Wetten maken tegen dat misbruik mogelijk is, is belachelijk.
Dat wisten de Neandertalers al.
Sophie in 't Veld heeft nooit veel gehad aan D66 in haar strijd tegen privacyschenders. De partij gaf dit soort issues als eerste weg in rechtse kabinetten.
Het rechtse NRC (journalist Ton F. van Dijk) heeft een vernietigend artikel geschreven vol domme fouten en opzettelijk onzinnige verwijten die meer gaan over het Brusselse systeem dan over een persoon. Men heeft geprobeerd haar op deze publieke wijze weg te pesten. Toeval bestaat niet, ze was (en is) natuurlijk wel de luis in de pels van rechts, inlichtingendiensten en vrouwenrechtenschenders en ongevoelig voor lobbyisten.
Als voorbeeld de oplossing van Apple (volgens mij nu 2 of 3 jaar geleden) was het zo dat er bij foto's alleen een hash daarvan werd verzonden naar een server, die dan werd vergeleken met al bekende hashes met illegaal materiaal. Dit wordt ook vaak gebruikt op cloud servers. Gezien het gaat om een hash, heeft Apple (of Microsoft, Google, Amazon) geen toegang tot de foto's of andere data, want hashes zijn one-way encryptie.
Oftewel: hierbij is een oplossing bedacht waarbij de privacy van de eindgebruiker mee is genomen. Dat is toch beter dan een shadow-server of een complete backdoor? Willen andere dat dan? Geen oplossing geven voor dit probleem is niet mogelijk, want het is weldegelijk een probleem.
Over de spyware gesproken: dat is en compleet ander verhaal. Nooit aan beginnen als Europa. Dat gaat gewoon te ver.
Behalve data van de parlementariërs en hun vrindjes.
https://www.security.nl/posting/838207/EU+ministers+willen+eigen+accounts+uitzonderen+van+chatcontrole
Behalve data van de parlementariërs en hun vrindjes.
https://www.security.nl/posting/838207/EU+ministers+willen+eigen+accounts+uitzonderen+van+chatcontrole
Ja betekent ook nog een keer manipulatie. Natuurlijk wordt daar nu voor gestemd. Als het jezelf niet betreft.
Als voorbeeld de oplossing van Apple (volgens mij nu 2 of 3 jaar geleden) was het zo dat er bij foto's alleen een hash daarvan werd verzonden naar een server, die dan werd vergeleken met al bekende hashes met illegaal materiaal.
Onderzoekers die Apple-achtige fotoscan maakten: technologie is te gevaarlijk
vrijdag 20 augustus 2021, 16:54 door Redactie
https://www.security.nl/posting/717241/Onderzoekers+die+Apple+fotoscan+maakten+technologie+te+gevaarlijk
In plaats van een foto van bekend misbruikmateriaal kan een kwaadaardige statelijke actor ook de hashes nemen van, bijvoorbeeld, de overbekende bidprentjes van de paus of de dalai lama, om daarmee onwelgevallige katholieken of aanhangers van het Tibetaanse boeddhisme te vervolgen. Men kan in feite iedere willekeurige en veel gedeelde foto hashen, zoals het portret van een kritische journalist of de iconische foto van een vooraanstaande studentenleider, om zo te zien welke individuen of groeperingen die foto's veelvuldig met elkaar delen. Met andere woorden: ook het gebruik van alleen cryptografische hashes in het kader van client-side scanning vormt een gevaar voor de democratie, omdat ook die techniek eenvoudig misbruikt kan worden voor het traceren van doelwitten door middel van massasurveillance.
De hash van Apple is geen gewone hash functie, zoals in cryptografie, maar een NeuralHash met veel mogelijkheden tot false positives. Dit wil je dus niet.
Een gewone hashfunctie zoals SHA-256 is ook niet geschikt, want dan flip je een stuk of tachtig bits in je hele plaatje (~30 pixels) en dan weet je zeker dat deze nooit herkend zal worden. Ook niet als false positive.
https://www.schneier.com/blog/archives/2021/08/apples-neuralhash-algorithm-has-been-reverse-engineered.html
Waarom 80? Eén bit volstaat.
En als je dat in bijv. EXIF (of andere meta-) data doet, is het 100% onzichtbaar in het plaatje zelf. Maar ook als je van een 3-byte RGB waarde één van de bytes met 1 verlaagt, heb je waanzinnig goede ogen als je dat kleurverschil ziet. Zelfs als het hele plaatje maar uit één pixel zou bestaan.
En als je dat in bijv. EXIF (of andere meta-) data doet, is het 100% onzichtbaar in het plaatje zelf. Maar ook als je van een 3-byte RGB waarde één van de bytes met 1 verlaagt, heb je waanzinnig goede ogen als je dat kleurverschil ziet. Zelfs als het hele plaatje maar uit één pixel zou bestaan.
Je hebt helemaal gelijk. Ik tikte mijn reactie terwijl ik er nog over aan het nadenken was en dit is het resultaat.
Omdat ik evenveel entropie in SHA-256 wilde hebben als de 256 bits die SHA-256 heeft als uitvoer, kwam ik op 40 bits die veranderd moeten worden. Daar deed ik nog de birthday paradox overheen om uit te sluiten dat er twee gewijzigde afbeeldingen van kinderporno zouden bestaan met per ongeluk dezelfde SHA-256 hash (dan heb je meteen SHA-256 gebroken en moeten we op zoek naar een nieuwe hash functie; 'SHA-40' breken is wel mogelijk, 'SHA-80' wordt al pittig).
Ook is in een kleurenafbeelding rood, groen en blauw elk 8 bits. Wat 24 bits per pixel oplevert. Op je scherm zonder compressie.
Dus 256 bits veranderen in de afbeelding, gedeeld door 24 is 11 pixels randomizen (dus 0 naar 1 of 1 naar 0 of 1 naar 1 of 0 naar 0). Dat moet een bovengrens zijn voor een pedofiel om niet gepakt te worden.
Maar 1 bit veranderen verandert de SHA-256 ook al onherkenbaar. Dat is al genoeg. Daarom is SHA-256 niet geschikt om dit materiaal te ontdekken door de politie en worden meer heuristieke functies gebruikt. Deze heuristieke functies zitten er helaas vaker naast als cryptografische hashes. Wat ook mijn punt was.
In een rechtbank is SHA-256 wel prefect als bewijsmateriaal. Maar dan ben je al een stuk verder in het proces.
Als voorbeeld de oplossing van Apple (volgens mij nu 2 of 3 jaar geleden) was het zo dat er bij foto's alleen een hash daarvan werd verzonden naar een server, die dan werd vergeleken met al bekende hashes met illegaal materiaal. Dit wordt ook vaak gebruikt op cloud servers. Gezien het gaat om een hash, heeft Apple (of Microsoft, Google, Amazon) geen toegang tot de foto's of andere data, want hashes zijn one-way encryptie.
Oftewel: hierbij is een oplossing bedacht waarbij de privacy van de eindgebruiker mee is genomen. Dat is toch beter dan een shadow-server of een complete backdoor? Willen andere dat dan? Geen oplossing geven voor dit probleem is niet mogelijk, want het is weldegelijk een probleem.
Over de spyware gesproken: dat is en compleet ander verhaal. Nooit aan beginnen als Europa. Dat gaat gewoon te ver.
Bij welke hashes of hits stop je met meekijken?
CSS kijkt mee in de stream en wordt gecontroleerd door een derde...
Voorzover ik weet is spioneren meekijken door derden....
Net zoiets als zwanger zijn...bje bent het wel of niey, je spioneert wel of niet...
Als voorbeeld de oplossing van Apple (volgens mij nu 2 of 3 jaar geleden) was het zo dat er bij foto's alleen een hash daarvan werd verzonden naar een server, die dan werd vergeleken met al bekende hashes met illegaal materiaal.
Onderzoekers die Apple-achtige fotoscan maakten: technologie is te gevaarlijk
vrijdag 20 augustus 2021, 16:54 door Redactie
https://www.security.nl/posting/717241/Onderzoekers+die+Apple+fotoscan+maakten+technologie+te+gevaarlijk
In plaats van een foto van bekend misbruikmateriaal kan een kwaadaardige statelijke actor ook de hashes nemen van, bijvoorbeeld, de overbekende bidprentjes van de paus of de dalai lama, om daarmee onwelgevallige katholieken of aanhangers van het Tibetaanse boeddhisme te vervolgen. Men kan in feite iedere willekeurige en veel gedeelde foto hashen, zoals het portret van een kritische journalist of de iconische foto van een vooraanstaande studentenleider, om zo te zien welke individuen of groeperingen die foto's veelvuldig met elkaar delen. Met andere woorden: ook het gebruik van alleen cryptografische hashes in het kader van client-side scanning vormt een gevaar voor de democratie, omdat ook die techniek eenvoudig misbruikt kan worden voor het traceren van doelwitten door middel van massasurveillance.
Deze techniek is al iets ouder en ongetwijfeld ingezet. Wat dacht je van het staatsieportret van Koning in rechtszalen, of de vlag van EU op het songfestival, Ikea dekbedden in pensionnetjes, acteurs in politieuniformen...
Ik heb een idee: een fanzine maken voor lieden die het gevaar van deze technologie inzien met iedere week een pin-up voor aan de slaapkamermuur. Joseph Stalin, Adolf Hitler, Osama Bin Laden, Pol Pot, Mao of een Mohammed cartoon. Afgewisseld met iconische afbeeldingen van lokale beroemdheden, het model van de maand, want we zijn uiteraard vrij in het maken van fotocollages voor aan de muur. Desnoods een portret van je eigen moeder er tussen hangen, of je werkgever. Gewoon om hash-boeren te treiteren.
Het "lijkt" net alsof je het NRC kunt inhuren voor karaktermoorden met een grof geschut aan losse flodders.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!