Hopelijk wordt het geen wetsvoorstel waarbij onder het mom van het tegengaan van spoofing allerlei nieuwe surveillance wordt toegestaan in de telecommunicatie (aantasting van het telecommunicatiegeheim).

Ook moet het mogelijk blijven om met een afgeschermd nummer (vroeger bekend als: "geheim nummer") te bellen. Degene die gebeld wordt, ziet dan dat het nummer is afgeschermd. Dat is dus géén spoofing.

Van de EU valt op dit gebied niets goeds te verwachten, Brussel zet in op zoveel mogelijk massasurveillance. Waarschijnlijk wil de minister zich verschuilen achter de EU als hij weer met iets aankomt dat het recht op privacy aantast.

Met nummerherkenning kun je ook tekst meesturen ter herkenning. Zelf hebben we diverse VoIP telefoons en daar zie je ook de meegestuurde tekst. Soms staat daar heel vreemde tekst waarvan ik vermoed dat de afzender niet eens weet dat dit meegestuurd wordt. Ideaal om daar een afzender in leesbare tekst mee te spoofen.

Het hele wetstvoorstel heeft het echter alleen over nummers. Na flink spitten vond ik in punt 3 toch nog een passage waar staat dit ook gecontroleerd moet worden. Ik vraag me echter af in hoeverre dit gaat werken als de aanbieder in het buitenland zit.

De VVD heeft het steeds maar laten liggen en nu vragen ze erom? De hypocrisie...

Zinloos. Hieronder een tikkie gechargeerd, maar wel hoe het zit.

De Anoniem op dit forum roept regelmatig "banken bellen nooit".

Als ik dat ontkracht (supersimpel, zo blijkt uit het eerstvolgende antwoord) zegt de Anoniem: "OK, maar tegenwoordig kun je in de app checken of het jouw bank is die belt".

En als ik zeg dat zo'n check in je app kansloos is (zie onder de "Chase Case" in https://security.nl/posting/842742) dan zegt de Anoniem "OK, maar als de bank belt en jou vraagt om geld over te maken naar een kluisrekening, dan is dat natuurlijk foute boel".

Als ik dan zeg dat criminelen zich voorturend aanpassen, bijvoorbeeld door (zich voordoend als bankmedewerker) de klant te bellen en te zeggen dat de bank ziet dat er een virus op hun computer zit, en zij het beste (want gratis) Avast Antivirus kunnen downloaden vanaf https://avastdevicescan·com (live op dit moment, meer info in https://security.nl/posting/876323), dan zegt de Anoniem dat je wel héél stom bent als je Teamviewer op je PC, smartphone of tablet installeert.

Als ik dan zeg dat het *bijvoorbeeld* ook om "AnyDesk" kan gaan, een virusscanner die -naar verluidt- op elk apparaat werkt, dan antwoordt de Anoniem met whataboutism ("ja maar oplichting bestaat al heel lang, "pig butchering" https://nos.nl/artikel/2555805-honderden-buitenlanders-bevrijd-uit-online-scam-centra-in-myanmar, etc).

Zodra spoofing van telefoonnummers onmogelijk gemaakt is, zullen criminelen zeggen namens de Politie, een door de bank ingehuurd onderzoeksbureau of namens een andere bank te bellen - waar naartoe, vanaf de rekening van het (toekomstige) slachtoffer, grote bedragen zouden worden overgemaakt.

Als mensen niet, heel toevallig, alle telefoonnummers, waar hun bank ooit mee zou kunnen bellen, in hun telefoon hebben staan, zien zij een nietszeggend nummer (vergelijkbaar met een domeinnaam zoals avastdevicescan·com): een nummer (of een combinatie van kleine letters, cijfers, '-' en '.' [los van IDN's] zoals in een domeinnaam) zegt meestal niets over wie de (huidige!) eigenaar daarvan is.

Een drama met domeinnamen kan ontstaan als deze (door verkopen, of ongeautoriseerde toegang tot DNS records, of DNS/BGP-hijacks) in handen van kwaadwillenden vallen: dat geldt straks ook voor (niet meer gebruikte) telefoonnummers (die nog bij mensen in hun lijst met contacten staan - een lijst die naar elke nieuwe telefoon gekopieerd wordt).

Vergelijkbaar met BGP-hijacks: voor voldoende handige Harry's is de "backbone" van het wereldwijde telefonienetwerk zo lek als een mandje. Veel te veel (ook vage) partijen hebben toegang tot de "control"-laag (zie bijv. https://youtube.com/watch?v=wVyu7NB7W6Y).

Bovendien kan een fraudeur bellen vanaf het eerstvolgende vrije 088-nummer en claimen dat dit een nieuw nummer is van de bank. En toen?

Spreekt de beller goed Nederlands, tutoyeert de beller, en schriftelijk: zie je taalfouten, kloppen de logo's, gebruikt de afzender het afzenderdomein van uw bank (hoe weet je of een afzenderdomein niet van jouw bank is), als u dat niet ziet in uw e-mailprogramma, check dan SPF, DKIM en DMARC (en check ook uw AUTOEXEC.BAT - of andere ICT-magie) enzovoorts: dat levert allemaal geen hard bewijs van echt of nep, zeker niet voor mensen die geen forensisch- en/of ICT expert zijn.

Je krijgt authenticatie op afstand heel moeilijk voldoende veilig voor (uiteindelijk) risicovolle transacties. Dat lukt beslist niet met "onspoofbare" nummers, ook al zouden die in enkele zeer specifieke gevallen iets kunnen helpen. Dat terwijl AI de betrouwbaarheid van authenticatie op afstand elke dag verder verzwakt.

Wat wél zou kunnen helpen is als internetbellen de standaard wordt, en bellende organisaties daar fatsoenlijke digitale certificaten voor zouden gebruiken. En de gebelde persoon gewaarschuwd wordt als de beller ongeauthenticeerd is, en als deze wél geauthenticeerd is, met welke betrouwbaarheid dat heeft plaatsgevonden.

Zonder een TLS-achtige constructie zal de identiteit van bellers doodsimpel gespoofd kunnen blijven worden - wát je ook verzint.

M.i. moeten we ophouden met steeds proberen lokale brandjes te blussen, terwijl de veenbrand zich ondergronds blijft uitbreiden.

Wacht maar, totdat je je moeder opeens aan de lijn hebt die zelf iets met haar telefoon heeft gedaan wat haar nummer afschermd. Hoe weet jij nou zeker dat dat geen spoofing is?

Spoofing is verboden. En er is een protocol om spoofing tegen te gaan:
STIR/SHAKEN;
https://en.wikipedia.org/wiki/STIR/SHAKEN
Wat we nodig hebben is niet nieuwe regels maar betere handhaving.

Eh... even terug... Wat is het probleem eigenlijk?
Het probleem is niet technisch, het probleem is dat mensen om de een of andere vage reden denken dat een nummer identificerend is. Daar is het nooit voor bedoeld geweest. En dus is het niet zo...

Hehe, mijn moeder heeft een afgeschermd nummer. Als ze belt hoor ik aan haar stem en wat ze zegt dat het geen spoofing is. Zij vraagt mij trouwens nooit om Anydesk te installeren of een bedrag over te maken naar een onbekend rekeningnummer. Een tijd lang werd ik regelmatig gebeld door "Microsoft" die in het Engels probeerden een gesprek aan te knopen. Dat was nooit van een afgeschermd nummer. Afgeschermd of niet zegt niets over of een beller te vertrouwen is.

Zo te zien heeft het beperkingen:
https://en.wikipedia.org/wiki/STIR/SHAKEN#Limitations_of_STIR/SHAKEN

Als techniek die is gemaakt met het idee om door mensen gebruikt te worden iets wezenlijk anders doet dan de gebruikende mensen in grote meerderheid verwachten dan is dat wel degelijk een probleem van hoe die techniek werkt, en niet een probleem van wat die mensen verwachten.

Systemen zo laten werken dat wat mensen zien en meemaken zo veel mogelijk is wat ze uit zichzelf verwachten dat het is wordt het principle of least surprise of het principle of least astonishment genoemd.

Je hebt CLIP en CNIP velden De eerste stuurt een nummer mee en het tweede een stuk tekst. Dus zelfs met een onbekend nummer kun je een 'bekend lijkende' tekst meesturen om vertrouwen te wekken. In hoeverre toestellen CNIP ondersteunen weet ik eigenlijk niet. Onze telefoons ondersteunen het wel en onze VoIP provider stuurt die data ook mee.

Een toestel met het DTMF protocol ondersteunt geen CNIP. Toestellen met het FSK protocol voor nummerherkenning ondersteunen wel CNIP. In België is FSK de standaard. In Nederland weet ik het niet, maar KPN gebruikt DTMF. (dus geen tekst)

Het eerste deel is natuurlijk al lang het geval. Eigenlijk iedereen die telefonie van zijn internet provider afneemt, krijgt de telefonie via VoIP of de kabelvariant ervan.

Dat is om twee redenen niet zo.

1) Mensen wordt (terecht) aangeraden het nood/alarmnummer van hun bank in de telefoon te zetten als contact, zodat ze bij verlies/diefstal van hun pas zo snel mogelijk de bank kunnen bellen.
2) Mobiele telefoons (Android en iPhone) doen een nummer-lookup (bij een google service, of apple service ) en tonen ook bedrijfsnaam als die te vinden is.

Voor 'bedrijfsnummers' , en zeker enorm verspreide nummers klopt dat eigenlijk altiijd.

(2 - ook zonder sniffer, als je oplet , je ziet het ook bij uitgaande belletjes , wanneer het nummer niet in je contacten zit dat er dan toch de naam van het bedrijf bij komt te staan ).

Dus helaas - een inkomend gesprek van een 'welbekend' nummer krijgt de naam van bedrijf of instantie er "vanzelf" bij.



Dat een deel van de checks bij "het publiek" ligt is zo oud als het geld ...
(dat is best vergelijkbaar - de "breed bekend geachte" kenmerken van echt geld, de technische hulpjes als een UV lamp , de lastiger kenmerken voor 'personeel op cursus' en dan nog wat obscure/geheime kenmerken voor de experts/DNB ).
De winkelier/koopman/particulier heeft trouwens geen "coulance regeling" als die vals geld aanpakt en echte goederen levert . Das pech, waarde weg.

En erachter een opsporing/vervolgings apparaat . Valsemunterij was ooit een 'hanging offense' .


Het was nooit geweldig.
In het T-65 tijdperk was er gewoon geen nummer melding (of - geen display).
En bestond de papieren authenticatie uit "gedrukt logo" vanuit een bedrijf , en een onduidelijke balpen krabbel vanuit de particulier.



Wacht even ? Normaal loop je altijd te ranten over alles wat er mis kan gaan met TLS certificaten, en dan moet dat model hier een oplossing bieden ?
Gemiddeld "best behoorlijk goed" , maar je hebt geloof ik als doel "100% perfect" .
Voor "de wereldwijde" telefonie ? Geen idee waarom je denkt dat het anders zal gaan dan bij websites.


ff het forum pesten : "iedereen op MS-teams" is al een betere oplossing ...


volgens mij zijn ongeveer _alle_ systemen waarbij er een soort van authenticatie nodig is, en er waarde te behalen valt aan het vervalsen ervan een opstapeling van technische maatregelen, patches daarop , "publieksvoorlichting van 'echt' ", icm een detectie/opsporing en vervolgings apparaat erachter.

cash geld
identiteitsdocumenten
goederen waarvan de waarde erg afhangt van 'echt' vs 'namaak' .
( modieuze meuk , klokkies , CD/DVD , apparatuur, goudbaren etc etc etc )

Ik heb dus geen geloof in "100% waterdicht" als we nou maar eens deze of die techniek zouden "gewoon overal" invoeren.

Natuurlijk bestaat 100% waterdicht niet. Waarom blijft iedereen maar LIEGEN dat ik dat zou willen? Vertel er eens bij waar ik dat zeg/schrijf?

En ik ben helemaal niet tegen certificaten, integendeel.

Wel ben ik ben tegen (voor internetters) waardeloze speelgoedcertificaten (*) op nep-en echte websites, waarvan Google (met winstoogmerk) heeft afgedwongen dat gebruikers geen verschil meer zien met fatsoenlijke websites. En dus nep niet meer van echt kunnen onderscheiden.

(*) Ideaal voor beheerders, maar een ramp voor internetveiligheid. Phishing met nepwebsites is een gigantisch probleem voor heel veel mensen - die geen beheerders en geen security-specialisten zijn.

Want gegeven een domeinnaam, moet je als internetter kennelijk ruiken of de bijbehorende website wel of niet van de overduidelijk uit de webpagina(s) blijkende eigenaar is.

Zie https://security.nl/posting/876502 voor mijn reactie op de zoveelste idioot.

De betrouwbaarheid van internet zit nu vele malen dichter bij 0% dan bij 100% (wat je nooit haalt) en dus kan het véél beter. Handhaaf vangnetten (en voeg toe waar nodig) voor de slachtoffers die alsnog vallen, maar dat kunnen er een stuk minder zijn als cybercriminelen veel effectiever van internet worden geweerd - of als hun nepsites weer beter van echte te onderscheiden zijn.

Let's Encrypt en andere DV-cert verstrekkers, samen met browser-makers, hebben het internet er niet veiliger op gemaakt, integendeel. DV leek even leuk maar is volstrekt ongeschikt voor de huidige tijd. En browsers moeten ook flink op de schop.

Het zijn idioten die VOORTDUREND 100% FOUTLOZE GEBRUIKERS eisen. En iedereen die dat niet is, is stom en moet bloeden. Lekker puh!

Zit je nu te liegen, of heb je werkelijk geen idee welke boodschap je voortdurende geschriften daarover uitdragen ?
In theologie en politiek heb je dat soort stellingen "het staat er niet letterlijk DUS is dat niet de boodschap" .

Het is je al wel opgevallen dat "iedereen" dat van jou lijkt te denken. Dat klopt wel aardig, ik ben iig niet de enige dat dat denkt en dan een reactie in die richting schrijft.
Je zou dan eens kunnen gaan bedenken dat als "iedereen" je boodschap op een manier leest die jij niet bedoelt - dat het dan aan JOU en je stijl van communiceren ligt.
Tenminste - als je werkelijk een andere boodschap wilt communiceren dan de manier waarop die gelezen wordt.

Je hebt er trouwens cursussen voor , ook (en juist) voor ITers , effectief communiceren. Vooral degenen met een functie als consultant of anderszins de ambitie om op wat hoger nivo bij te sturen dan op implementatie detail doen er goed aan dat te overwegen.


Je zit jaar(en) lang nogal hysterisch te posten over het einde van de Internetwereld ondersteund met lijstjes van vele tientallen domeinen (op ~ 600.000.000) van budget/zero cost certificaten - en ik heb je geloof ik nog NOOIT ergens zien erkennen
.. "en voor de rest, jammer maar daar moeten we maar mee leven want perfect gaat niet" .
Met natuurlijk een verklaring dat het om "de winst" gaat die op onnavolgbare wijze gemaakt wordt door het subsidieren van gratis certicaten .

Hier beneden dan ook nog dat de betrouwbaarheid "dichter bij de 0%" zit - een charitatieve interpretatie zegt dan dat 49% van al het Internet verkeer naar "nep" gaat .
En iedereen die het anders ziet is een idioot.

Geen zin meer om het verder te analyseren.
Het is een beetje hopeloos.

Maar goed - voor juniore meelezers : werk _ook_ aan je communicatie skills .
Degenen die wat _bereiken_ in het veranderen van de wereld zijn daar (ook) goed in.
schets het bos. Het aanwijzen van iedere boom apart doe je in een appendix.

Tot Trump en consorten de EU "sancties" opleggen.
En dan poef zijn al die Amerikkkaanse cloud oplossingen, met onze data erin, opeen zomaar ontoegankelijk of sterk afgeknepen.

Tijd voor een Europese oplossing.
De VS is niet langer onze bondgenoot. Dat bleek onlangs wel in München.
De EU staat er voortaan alleen voor.
(De EU vs de VS, Rusland en China).

Het was natuurlijk ook vooral het forum pesten, even op de gevoelige plek drukken. Dat lijkt je ontgaan te zijn.
Maar in zoverre met een serieuze ondertoon - dat als 'niet-spoofbaarheid' van accounts je hoogste doel is, je dat (vooral) kunt krijgen met een centrale operator. Nu al .
Als je dat teveel nadelen vindt hebben , en dus meerdere operators wilt (elk met hun eigen kwaliteit van account validatie) - lever je (wat) in de betrouwbaarheid van een afzender account.


Daar bleek vooral dat de VS niet langer gekke henkie wil zijn en opdraaien voor verdediging van flapdrollen die wel veel willen, maar er zelf geen cent of geen soldaat voor overhebben.
Ik kan het ze echt niet kwalijk nemen.



Ik steek geen poot uit voor de EU.

Dus, je gaat of emigreren of je onder de voet laten lopen door de nukken van de "grootmachten" als je in de EU (Nederland) blijft, en de EU haar zaakjes niet eindelijk op orde krijgt.

Vooral als je zelf "geen poot voor de EU uitsteekt"...
Wat wordt het?
Of heb je nog een optie 3. Wordt/ben je soms een soeverein?

;-)