Category Archives: on-line privacy

Amerikaanse elektronische patiëntendossiers massaal gestolen

Posted on by

Miljoenen Amerikaanse EPDs worden elk jaar gestolen. In de helft van de gevallen zou dit geleid hebben tot identiteitsfraude. Jaar in jaar uit. In de meeste gevallen door onzorgvuldig handelen van de gebruikers. Dat is waar beveiligingsexperts van het EPD in Nederland ook voor waarschuwen: 200_000 zorgverleners met een onhandige UZI-pas vormen de zachte onderbuik van het systeem.

De juichstemming van VZVZ-direkteur Edwin van Velzel is daarom nogal misplaatst. Volgens zijn tweets hebben penetratietests geen sukses gehad. Om te beginnen kunnen tests alleen maar fouten aantonen. Als alle tests doorstaan worden, wil dat niet zeggen dat er geen fouten meer in zitten. Wijsheid van niemand minder dan Edsger Dijkstra. Vervolgens is de vraag hoelang, door hoeveel hackers en met welke kwaliteiten deze tests uitgevoerd zijn. Tenslotte de vraag wat de scope van de tests is geweest: alleen de technische kant aanvallen of ook de organisatorische kant. Zonder nadere specifikatie is zijn bewering geen assurance en puur voor de bühne.

Het zal me niet verbazen als het EPD al binnen en paar weken in het nieuws is wegens een lek.

All your EPD-wachtwoorden are belong to us

Posted on by

Sommige instanties zijn wel heel erg nieuwsgierig en dwingen anderen hun wachtwoorden af te geven, zodat ze even in de beveiligde gegevens kunnen rondneuzen of erger. Zo ver mag het met het EPD niet komen.

Het is een bekend fenomeen. Sommige werkgevers vragen sollicitanten naar wachtwoorden van sociale media zoals Facebook, zodat ze ook het afgeschermde deel van het profiel kunnen doorzoeken naar mogelijk risikofaktoren. Ik weet niet of dit in Nederland voorkomt, maar in de VS bestaat dit fenomeen.

Ook overheden kunnen er wat van. In sommige landen worden bezoekers gedwongen moderne digitale apparatuur af te geven voor inspektie. Aan de grens moet men laptops, MP3-spelers, kamera’s, externe hard schijven en wat dies meer zij even af geven. Soms wordt er alleen maar snel gezocht naar verboden materiaal zoals pornografie, politiek opruiend materiaal, of nog erger, onrechtmatig verkregen auteursrechtelijk beschermd materiaal. Maar niet uit te sluiten valt dat alle data op het apparaat geëxfiltreerd wordt, zodat de dienst op alle gemak op zoek kan naar bedrijfsgeheimen, belastend materiaal, wachtwoorden, cryptografisch materiaal en kontaktgegevens. Mogelijk wordt van overheidswege, gratis en zonder medeweten van de bezoeker spyware op de machine geplaatst, zodat de machine volledig gekompromitteerd is.

Sommige landen eisen van bezoekers dat ze inloggen op hun mail-account, zodat de diensten even kunnen rondneuzen. Daarbij maken ze met liefde een lijst van de kontakten, zodat die in de toekomst ook in de gaten gehouden kunnen worden. Overigens inloggen op een vreemde machine of in een vreemd netwerk heeft zulke grote veiligheidsrisiko’s, dat het wachtwoord, de mail-account en alle oude mails op de account als gekompromitteerd beschouwd moeten worden. Het is te eenvoudig een key-logger of een man-in-the-middle te gebruiken.

afdwingen wachtwoord van het EPD

Twee recente onderzoeken (SCP en NIVEL) laten zien dat de meeste Nederlanders er weinig problemen mee hebben als de zorgpremie wordt gedifferentieerd. Mensen met een gezonde levenstijl zouden dan minder premie hoeven te betalen dan de medeburger die rookt, zuipt, blowt, of snackt.

Allereest is er dan de vraag of dit nog wel verzekeren is op basis van solidariteit tussen de verzekerden, of dat dit een vorm van voorfinanciering van zorg is. Als de medische status transparant geworden is, is er namelijk geen risiko meer.

De tweede vraag is hoe een zorgverzekeraar achter de levenstijl van zijn verzekerden kan komen. Verzekerden kunnen zelf rapporteren, maar dat is zeer fraudegevoelig. Een eigen netwerk van keuringsartsen opzetten zou ook kunnen, maar dat is erg duur en geeft slechts een fragmentarisch beeld. De personen met de meeste kennis van de levenstijl van de verzekerde zijn de huisarts en de apotheker. Precies die aktoren die een belangrijke rol hebben in het EPD. Met name de huisarts is goed bekend met de thuissituatie.

Nu denk ik niet dat het politiek geaccepteerd wordt als zorgverzekeraars direkt toegang krijgen tot de gegevens in het EPD. Maar zo hoeft het ook niet te lopen. Straks heeft iedereen een EPD waarvan hij zijn eigen gegevens kan inzien. Wilt u een goedkopere verzekering? Stuur dan even het wachtwoord door, zodat wij even kunnen kijken naar uw levenstijl en uw medische risiko’s.

All your EPD-wachtwoorden belong to us.

Cookies zijn polsbandjes

Posted on by

Over cookies hoor ik de vreemdste dingen. Dat het een soort virussen zijn, bijvoorbeeld. Maar een goede uitleg van wat cookies zijn ontbreekt. Een poging.

Iedereen kent wel het gebruik dat bezoekers aan een feest of discotheek na betaling een polsbandje krijgt of een stempel op de hand. Dit maakt het mogelijk dat de bezoeker naar buiten kan en later op vertoon van bandje of stempel toch weer binnengelaten kan worden zonder opnieuw te betalen.

Dat is de essentie van een cookie.

Als je het beveiligde deel van een website wilt binnengaan, moet je gewoonlijk gebruikersnaam en wachtwoord opgeven. Maar om te voorkomen dat dit ook bij elke volgende pagina die bezocht wordt, nodig is, krijgt de gebruiker zo’n polsbandje, een cookie. Bij elke volgende pagina op dezelfde site stuurt de browser van de gebruiker de informatie op de cookie mee naar de server. Aan de hand van die informatie weet de server wie de gebruiker is. Daarom hoeft de gebruiker niet voor elke pagina gebruikersnaam en wachtwoord in te typen. Dat zou namelijk niet erg gebruiksvriendelijk zijn. Een browser die deze gegevens in stilte elke keer zou meesturen zou niet erg veilig zijn, omdat het wachtwoord navenant vaak onderschept kan worden.

Zo bezien dragen cookies dus bij aan de beveiliging en de gebruiksvriendelijkheid.

De informatie op de cookie kan een tijdelijke toegangskode zijn, maar kan ook beschrijven welke gegevens de gebruiker in zijn winkelmandje heeft liggen, of in welke taal de pagina’s geserveerd moeten worden. Veel van deze gegevens had de server ook zelf kunnen bijhouden, maar om technische redenen is het handiger om dit bij de machine van de gebruiker neer te leggen.

Third-party cookies in termen van polsbandjes

Bij binnenkomst in de discotheek krijg je één polsbandje, namelijk die van de discotheek zelf. Maar dat kan bij cookies wel eens anders zijn. De gebruiker krijgt namelijk niet alleen een cookie van de site die hij bezoekt, maar ook een van alle adverteerders op die webpagina. Alsof je in de discotheek ook polsbandjes krijgt van Pepsi, Heineken, RTL, Q-Music, L’Oreal en Sony. Maar deze polsbandjes blijven om je arm zitten. Als je dan de week daarop een andere gelegenheid bezoekt, wordt er opgemerkt dat je de bandjes van die adverteerders nog om hebt en wordt dat doorgegeven aan die adverteerder. Zodoende weten de adverteerders precies welke sites je bezocht hebt, althans voorzover die sites voorzien waren van hun advertenties.  Met andere woorden ze bouwen een profiel en weten dat je graag rondhangt in schimmige kroegen in het Amsterdamse uitgaansleven, dat je houdt van vette shoarma en dat je in de laatste trein terug naar Purmerend zat. Zoiets.

Dit lijkt veel onschuldiger dan het is, omdat het profiel dat gemaakt kan worden akelig kompleet is.

Om te beginnen zijn er een paar grote partijen die hun cookies laten plaatsen door vrijwel alle websites van de wereld. Sociale media zijn populair en veel bedrijven willen hun ego strelen met like-buttons of retweeters, of hoe het ook allemaal heet. Maar het gevolg is, dat Facebook en Twitter aan de hand van de cookies die ze plaatsen, een zeer volledig beeld hebben van het surfgedrag van de gebruikers. Ook van gebruikers zonder een Facebook-account! Hetzelfde geldt voor Google. Google is namelijk niet alleen een zoekmachine, het is ook een zeer grote advertentieverkoper. Dus de advertenties van verschillende bedrijven, worden misschien allemaal bemiddeld door Google en gebruiken dezelfde cookie. De bemiddelaars hebben dus ook een zeer volledig beeld. Daarnaast heeft Google nog een ijzer in het vuur. Veel webmasters willen weten hoe populair de pagina’s van hun sites zijn. Daarom gebruiken ze analytics, veelal van Google. Alle pagina’s van al die geanalyseerde sites gebruiken dezelfde cookie en maken bij elk bezoek kontakt met de servers van Google en konsorten.

Tenslotte bestaat er een levendige handel in deze gegevens. De gegevens worden gekombineerd, verrijkt, en geselekteerd. Aan het einde van de pijplijn ontstaat er een pijnlijk privaat dossier van honderden pagina’s met surfgedrag, koopgedrag, interesses, adresgegevens, life style gedrag, namen, geboortedata, de hele santekraam.

De cookiewet maakt het web onveiliger en minder gebruiksvriendelijk

Posted on by

De Nederlandse Overheid brengt mijn security in gevaar, met wellicht goedbedoelde, maar domme maatregelen. Echter een overheid die tegen alle advies in volhard in domheid is niet goedbedoelend, maar onverbeterlijk.

Ik wil niet gevolgd worden door advertentieverkopers. Ik wil daarom niet dat bedrijven mijn surfgedrag in kaart kunnen brengen. Dus heb ik mijn browser zo ingesteld dat bij bezoek van een site alleen de cookies van de site zelf geplaatst mogen worden op mijn komputer. Cookies van adverteerders op die webpagina laat ik niet toe. Daarnaast is mijn browser zo ingesteld dat alle cookies worden weggegooid als ik de browser sluit. Alle cookies weg; veilig gevoel. Natuurlijk moet ik dan wel opnieuw aanmelden bij sommige websites, want ook de funktionele cookies worden hierbij weggegooid. Des te beter, ik kan dus niet per ongeluk aangemeld blijven op een site, zodat degene na mij de sessie kan overnemen.

So far so good.

Nu komt onze overheid in beeld. De wetgever trekt zich de privacy-zorgen van de burgers aan en wil iets doen tegen cookies die gebruikt worden om Internet-gebruikers te traceren. Daarvoor is een monster van een wet bedacht die alle gebruik van niet-funktionele cookies verbiedt op websites zonder expliciete toestemming van de gebruiker.

Om aan de wet te voldoen moet de web site daarom aan de gebruiker vragen of hij bezwaar heeft tegen het gebruik van niet-funktionele cookies. Om te voorkomen dat die vraag bij elk bezoek opnieuw gesteld moet worden, wordt het antwoord bewaard in ….. cookies. O ironie.

Gevolg is wel dat iedereen die zelf zo verstandig is cookies aan het einde van de sessie te laten opruimen, ook deze toestemmingscookies opruimt en dus dat hij bij een volgend bezoek aan de site weer gevraagd wordt om toestemming.

Deze wet is dus een straf voor verstandig surfgedrag.

Daarnaast heeft de wet nog een groot aantal andere rare punten. De wet geldt voor alle websites waar ook ter wereld indien ze bezocht worden door Nederlanders. Mij is niet duidelijk hoe de Opta dit in het buitenland denkt te gaan handhaven. Typisch een staaltje extraterritoriale wetgeving. Veel handiger was het geweest de wet toe te passen op Nederlandse of Europese websites.

Tenslotte is een gevolg van de wet, dat tal van sites de gebruikers in feite geen keus bieden met opmerkingen als:

bij gebruik van deze site veronderstellen wij dat u akkoord gaat met het gebruik van cookies

of, op sommige sites als de gebruiker geen niet-funktionele cookies wenst:

sorry, zo kunnen wij niet werken; kom een andere keer maar terug

Kortom, vanuit technisch standpunt was dit een knap staaltje domme symboolwetgeving.

Waarom willen bedrijven mijn geboortedatum weten als ze toch geen kaart sturen voor mijn verjaardag?

Posted on by

Het is bijna zover dat de groenteboer mijn geboortdatum wil weten als ik bij hem een kilo appels koop. Liefst ook een telefoonnummer erbij en een e-mailadres. Ik kom dit tegen bij nutsbedrijven, hotels, de spoorwegen, webwinkels.

Soms is het belang van de geboortedatum evident, bijvoorbeeld in het ziekenhuis. Voor behandeling is leeftijd een relevant parameter en een geboortedatum is een effektieve manier om verwarring van patiënten te voorkomen.

Maar waarom moet de Wehkamp, de Nederlandse Spoorwegen of de elektriciteitsboer mijn geboortedatum kennen. Vooruit, ze moeten misschien weten of ik meerderjarig ben en tekeningsbevoegd ben (wat overigens niet alleen hoeft af te hangen van mijn leeftijd), maar waarom de leeftijd op de dag nauwkeurig?

De risiko’s zijn van verstrekken zijn namelijk niet onaanzienlijk. Sommige banken gebruik een kombinatie van naam, voorletters en geboortedatum als authentikatiemechanisme voor telefonische transakties. Omdat Brenno de Winter meedere keren per week lijkt aan te tonen dat de gegevensbeveiliging in de zorg, in het onderwijs en in het bedrijfsleven in Nederland een lachertje is, wil ik de gegevens die nodig zijn voor sommige bankzaken niet in de gatenkaas bewaard hebben die sommigen een informatiesysteem noemen.

De aandachtige lezer zal nu wel begrijpen dat ik een beetje sjoemel. Niet met het doel onrechtmatig financieel voordeel te behalen, maar om mijn eigen privacy te verdedigen.

Overigens is ook het hele idee belachelijk dat geboortedata gebruikt zouden kunnen worden voor toegangsautorisatie: De geboortedata van een grote kring van bekenden heeft iedereen. En voor de rest van de wereld zet men het tegenwoordig op facebook.

Maar ja soms gaat het ook wel eens mis, zoals gisteren. Ik bel het nutsbedrijf en noem mijn naam en adres. De juffrouw vraagt me naar mijn geboortedatum. Ik zeg dat ik het niet verstrekt, waarop ze zegt: ‘ik mag u niet verder helpen zonder uw geboortedatum, want u had ## – ## – #### moeten zeggen.

Dankjewel, nu heeft elke social engineer een mogelijkheid om mijn geboortedatum los te peuteren en mij vervolgens een kaart voor mijn verjaardag te sturen!