arjen's blog

Bankrupting the NSA with Tails & defeating TTIP

On Tuesday July 8th 2014 I was once more a guest on Max Keiser's programme 'The Keiser Report'. Max is a former Wall Street trader who foresaw the current economic crisis a decade ago. On his show he lets rip on the insane financial system and allows his guests to do the same.

Max asked me about the handbook 'Information Security for Journalists' I co-authored with journalist Silkie Carlo. The tools and methods it describes can help is slowing down the NSA by increasing the cost of surveiling individuals by a factor of about 1 million. We also discussed the latest US-inspired attempt-at-corporate-takeover-disquised-as-trade-agreement known as TTIP. I think this wil be defeated in the same way as its smaller precursors ACTA and SOPA before it because it is not in Europe's interest. This will require some serious action on behalf of Europeans since our politicians seem a tad slow in recognising the patterns here.

Full Keiserreport episode here on RT site and here on Youtube.

Book: Information security for journalists

With journalist Silkie Carlo I have co-authored a 'handbook' on practical information security for journalists commissioned by the UK Centre for Investigative Journalism. The CIJ handbook 'Information Security for Journalists' was launched at the CIJ Summer School 2014 last weekend in London. The book will be freely available in electronic format and in print after the summer. Just like last year I gave lectures (slides) and ran a hands-on workshop to get journalists 'tooled-up' so they can better protect their sources, themselves and their stories in a post-Snowden world.

From the 'backflap' of the book:

This handbook is a very important practical tool for journalists. And it is of particular importance to investigative reporters. For the first time journalists are now aware that virtually every electronic communication we make or receive is being recorded, stored and subject to analysis and action. As this surveillance is being conducted in secret, without scrutiny, transparency or any realistic form of accountability, our sources, our stories and our professional work itself is under threat.

After Snowden’s disclosures we know that there are real safeguards and real counter measures available. The CIJ’s latest handbook, Information Security for Journalists, lays out the most effective means of keeping your work private and safe from spying. It explains how to write safely, how to think about security and how to safely receive, store and send information that a government or powerful corporation may be keen for you not to know, to have or to share. To ensure your privacy and the safety of your sources, Information Security for Journalists will help you to make your communications indecipherable, untraceable and anonymous.

Although this handbook is largely about how to use your computer, you don’t need to have a computer science degree to use it. Its authors, and the experts advising the project are ensuring its practical accuracy and usability, and work with the latest technology.

Gavin MacFadyen,
Director of the Centre for Investigative Journalism

This handbook is being translated into Arabic, Chinese, French, German, Portugese, Spanish, and other languages

On Tuesday July 8th 2014 I was once more a guest on Max Keiser's programme 'The Keiser Report' to discuss the book. Video here on my blog, here on RT site and here on Youtube.

De andere IT van een ander Nederland

Onderstaande column is het vervolg op een artikel dat ik schreef in de eerste week van het Snowden/NSA schandaal in juni 2013. Waar dat artikel de concrete problemen beschreef beschrijf ik hieronder de andere keuzen de gemaakt hadden kunnen worden en nog steeds gemaakt worden en de voordelen voor Nederland en Europa ten opzicht van het huidige 'beleid'.

Ook gepubliceerd in het Engels op Consortium News en de Huffington Post

De afgelopen 10-15 jaar heeft de IT in Nederland zich niet ontwikkeld in lijn met publieke belangen en het garanderen van grondrechten van de burgers van Nederland. Ook zijn er enorme kansen op het gebied van economische ontwikkeling en werkgelegenheid gemist. Nederland besteedt veel IT uit aan buitenlandse partijen wat niet alleen tientallen miljarden Euro's (1-2% BNP) aan lokale economische groei/werkgelegenheid kost maar de samenleving ook de-facto uitlevert aan buitenlandse spionage op bestuurlijke instanties, bedrijfsleven en alle individuele burgers. Hoewel voor deze risico's al ruim 15 jaar werd gewaarschuwd is dit laatste aspect het afgelopen jaar door de onthullingen van Edward Snowden onweerlegbaar en zijn volle omvang aangetoond. 12 maanden later is er in Nederland geen spoor van een reactie op deze problematiek.

Het had ook anders gekund...

In de eerste 21 maanden van de 21ste eeuw barstte de dotcom bubbel en storten er drie wolkenkrabbers in elkaar in New York. Tussen deze twee gebeurtenissen in verscheen in de zomer van 2001 een grotendeels vergeten rapport aan het Europese Parlement dat de schaal en impact van elektronische spionage beschreef op Europa door de VS en haar 'Echelon' partners (Canada, het VK, Australië en Nieuw Zeeland). Naast een gedetailleerde probleem-analyse gaf het rapport ook concrete voorbeelden van beleidsmaatregelen op IT gebied die overheden konden nemen om buitenlandse inlichtingendiensten het bespioneren van Europa een stuk moeilijker te maken.

In dezelfde periode had de Amerikaanse overheid had een van de grootste anti-trust zaken in haar geschiedenis, tegen Microsoft, gewonnen en de EU was naar aanleiding van deze overwinning een vergelijkbare zaak gestart die ook tot een veroordeling en de hoogste boete in de geschiedenis van de EU zou leiden.

Het was tegen deze achtergrond dat het nadenken over de strategische versus operationele aspecten van IT in de publieke sector veranderde. Het rapport over Echelon maakte duidelijk dat het reduceren van IT tot een instrumentele zaak rampzalige consequenties had op de soevereiniteit van Europese staten te opzichte van, met name, de VS (en wellicht in de toekomst China, andere technisch capabele landen of niet-statelijke organisaties). Ook de economische gevolgen van industriële spionage tegen bedrijven werd een punt van zorg voor de overheid.

Sidekick BNR digitaal

Op woensdag 4 juni was ik de sidekick bij BNR digitaal en mocht ik Herbert Blankenstein ondersteunen.

We spraken over HHB-tv, een nieuwe methode van TV-uitzendingen met allerlei additioneel oproepbare informatie/content stromen waar de NOS meer aan het expertimenteren is. Verder over het eenvoudig inbreken en overnemen van de computernetwerken die de meeste moderne auto's besturen met mogelijk specaculaire gevolgen. Als laatste over Nederlands bedrijf Selphee de makers van een nieuwe app die foto's en korter video's tot een enkel media-object maakt dat eenvoudig via social media te delen is. Ben zelf geen smartphone gebruiker maar nieuwe mediavormen leiden altijd tot onverwachte nieuwe toepassinge en kunstvormen. Ben beniewd wat er de komende maanden gemaakt gaar worden.

Luister hier de BNR stream of de MP3.

De volledige video van Motherboard over slecht beveiligde auto's hier:

Kerckhoffs lecture: what Europe needs to do after Snowden

At 12:30 on Friday 13th of June 2014 I will give the Kerckhoff Lecture at the Radboud Universities Kerckhoffs Institute for information security in Nijmegen in room HG00.068. For an audience of students and faculty who probably know more about the maths of cryptography than myself I will talk about the tech-policy implications of the Snowden revelations and why Europe has been doing so very, very little.

Imagine a whistleblower releasing detailed documentary proof of a group of organisations that dump large volumes of toxic mixed chemical waste in European rivers and lakes. The documents describe in detail how often (daily) and how toxic (very). Now imagine journalists, civic organisations and elected representatives all starting furious discussions about how bad this is and what the possible horrible consequences theoretically could be for european citizens.

Now imagine that this debate goes on and on for months as slowly more documentation is published showing ever more detailed descriptions of the various compounds in the toxic chemicals and what rivers and lakes precisely they are being dumped into.

Now imagine that no journalist, civic organisation or elected representative comes up with a single concrete and actionable proposal to stop the actual and ongoing toxic dumping or to prevent future organisations getting into the habit of illegal dumping.

Imagine also that both governments and public-sector organisations, including the ones responsable for health- and environmental matters continue not only to procure products and services from above organisations but also continue to give them the licences they need to operate.

Imagine that this goes on for month after month after month for a full year.

Now Imagine it turns out that the Government not only already knew about this 13 years before but also had a detailed report on practical solutions to clean up the mess and prevent future poisoning.

Imagine that.

Sounds incredible does it not?

Except this is precisely how Europe has been not-dealing with the revelations by Edward Snowden on industrialised mass-surveillance of our government & civic institutions, companies and citizens.

The EU has spent most of a year holding meetings and hearings to 'understand' the problem but has not produced a single word on what concrete actions could regain the right to privacy for its citizens now. This while a July 2001 report on Echelon, the NSA/GCHQ precursor program to the current alphabet soup, explained the scope of the problem of electronic dragnet surveillance and made practical and detailed recomendations that would have protected Europeans and their institutions had they been implemented. Currently only Germany has seen the beginnings of policies that will offer some protection for its citizens.

On Friday the 13th of June I will discuss the full scope of the NSA surveillance problem, the available technological and policy solutions and some suggestions about why they have not and are not being implemented (or even discussed).

Slides from lecture are here in ODF and PDF

Mailwisseling Centric over Commissie ICT deel-II

Onderstaande mail is de tweede reactie in een mailwisseling met Centric die die begon naar aanleiding van mijn bijdrage aan de Tijdelijke commissie ICT. De oorspronkelijke bijdrage van 5 mei 2014 staat hier, een Engelse vertaling hier. De volledige mail van Centric zoals door ontvangen staat onder mijn reactie op deze pagina.

Geachte mevrouw Ferket, beste Noor,

Hartelijk dank voor uw uitgebreide reactie op mijn mail. Ik ben blij dat u op uw eigen wijze de belangrijkste punten uit mijn eerdere schrijven daarin bevestigd:

  • Centric maakt proprietary software applicaties, bij voorkeur gebaseerd op proprietary platformen en middleware;
  • Klanten van Centric die deze applicaties gebruiken worden hierdoor (vandaag gelukkig minder dan 5 jaar geleden) in hun keuzevrijheid voor platformen en middleware beperkt;
  • Centric onderhoudt commerciële relaties met de leveranciers van proprietary software;
  • Als onderdeel van deze relaties is Centric ook wederverkoper van de licenties van deze software met marge;
  • Centric heeft dus een zakelijk belang bij de echte (of beleefde) afhankelijkheid van haar klanten ten opzichte van deze leveranciers (een fenomeen dat ook wel bekend staat als 'vendor-lock');
  • Toen in 2007 Staatssecretaris Heemskerk een eerste stap probeerde te zetten om specifiek dergelijke vormen van afhankelijkheid in de publieke sector te doorbreken reageerde uw voorganger daar vooral defensief op wat leidde tot een serie aanvaringen tussen Centric en de opensource community (inclusief overheidsklanten van Centric);
  • Inmiddels levert Centric op een aantal punten het soort keuzevrijheden waar klanten, Rijksoverheid en Parlement al sinds 2002-2004 om vroegen;

Ik snap dat u bovenstaande punten liever invult als 'feature' waar ik het toch eerder als 'bug' zie. Perspectieven kunnen nu eenmaal verschillen en zolang we daar duidelijk over zijn naar alle andere betrokkenen is dat geen probleem.

BNR interview bijdrage aan ICT Commissie

Op woensdag 21mei gaf ik op BNR Radio commentaar op mijn brief aan de Commissie ICT van 5 mei.

In het gesprek gaan we vooral in op de vraag of inzet van opensource software, waarvan de specificaties voor controle openbaar beschikbaar zijn. Dit in tegenstelling tot z.g. proprietary software die als blackbox wordt geleverd en waarbij alleen de leverancier enige idee heeft wat de software echt doet. Dit laatste was altijd al in theorie een vrij serieus bezwaar voor het toepassen van dergelijke ontransparante software in de kritische functies van de overheid. Maar de theoretische bezwaren zijn door de onthullingen van Edward Snowden over het laatste jaar zeer concreet geworden. Amerikaanse inlichtingen diensten maken gebruik van ongedocumenteerde fouten in software of dwingen Amerikaanse bedrijven zelfs actief om geheime achterdeurtjes aan hun producten toe te voegen. Onder de Patriot Act kan een Amerikaans bedrijf medewerking niet weigeren en mag ze er ook geen melding van maken. De klant van zo'n bedrijf heeft dus geen flauw idee dat deze software van haar computer een afluister apparaat maakt. En in Nederland is er geen grotere klant dan onze overheid.

Verder blijft het gewoon jammer dat we inmiddels 12 jaar nadat de Tweedekamer om een koerswijziging vroeg nog steeds jaarlijks voor miljarden aan buitenlandse software blackbox kopen terwijl er gratis en transparante alternatieven bestaan. Een klein deel van die miljarden in Nederland uitgeven om die te verbeteren zo goedkoper zijn en het geld dat we uitgeven veel meer in de lokale economie houden.

Luister hier de BNR stream of de MP3.

Mailwisseling Centric over Commissie ICT bijdrage

Onderstaande mail is een rectie op de email die ik ontving van Centric naar aanleiding van mijn bijdrage aan de Tijdelijke commissie ICT. De oorspronkelijke bijdrage van 5 mei 2014 staat hier, een Engelse vertaling hier. De volledige door ons ontvangen mail staat onder mijn reactie op deze pagina.

Geachte mevrouw Ferket, beste Noor,

Dank voor uw mail. Wij laten geen “reaguurders” toe op onze site want dan zijn we de hele dag bezig met monitoring van- en reageren op aperte onzin en beledigingen. Uw mail is zeker niet beledigend naar mij maar bevat wel een zeer specifiek perspectief waar ik hieronder graag nader op in ga.

Ik publiceer uw mail (in zijn geheel- geen edits) en mijn reactie op mijn blog. Graag zou ik zien dat u in wederkerigheid hetzelfde doet op uw site zodat er voor alle betrokkenen (met name uw klanten) openheid is over onze uitwisseling van inzichten.

In mijn optiek is het doel van de Commissie ICT veel breder dan het bekijken van een aantal projecten en zijn deze slechts voorbeelden van een structureler probleem waar men inzicht in poogt te krijgen. Er zijn redenen om aan te nemen dat Centric op punten onderdeel van dit probleem is (zeker niet de belangrijkste veroorzaker - meer een symptoom).

Publicatie van de mijn brief is overigens gedaan in overleg met- en op verzoek van de Commissie.

Uw openingszin 'wij herkennen dat beeld niet' gaat heel subtiel volstrekt niet in op de vraag of er wellicht toch een feitelijke basis is voor mijn uitspraken. Het is mogelijk dat u oprecht niet weet wat de percepties zijn van veel van uw klanten en eindgebruikers. Maar een beetje moeite heb ik hier wel mee. Niet in de laatste plaats omdat uw voorganger Ben van Lier op een bijeenkomst in 2007 van NOiV in aanwezigheid van een flink aantal klanten verbaal nogal wild om zich heen sloeg toen deze hem kritische vragen stelden. Een aantal bezoekers was oprecht bezorgd om hem en vroeg of het verstandig was een ambulance te bellen. True story.

In de rest van deze reactie zal ik pogen hier wat duidelijkheid te scheppen, overigens vrijwel geheel op basis van publieke informatie of zaken die mij persoonlijk verteld zijn door (ex)medewerkers van Centric. Geen informatie die u dus niet al zou kunnen hebben.

Ondanks uw stellingname dat Centric in harmonie met haar tevreden klanten mooie dingen doet kom ik vaak 'klanten' tegen, meestal IT-ers werkzaam in organisaties die uw producten hebben, die helemaal niet blij zijn met Centric. Dit heeft trouwens zelden te maken met productfunctionaliteit of de implementatie van werkprocessen. Veel vaker met de technische keuzes die Centric maakt en waartoe zij haar klanten dwingt.

Een recent voorbeeld is de 'strijd' (ik citeer) met Centric die gemeenteambtenaren in Ede in eerste instantie zeggen 'verloren' te hebben over de vraag welk databaseplatform ingezet moest worden ter ondersteuning van een Centric-applicatie (link in brief). De gemeente wilde graag een ander platform gebruiken in plaats van de Oracle oplossing die 80.000 Euro per jaar kost (plus 20% 'onderhoudskosten'). Later gaf Centric toe dat dit wel kon wat dan de vraag oproept waarom dit niet al veel langer en veel actiever werd aangeboden aan lokale overheden.

Speaking at Dataharvest+ conference

I will be speaking and workshopping at the 2014 Dataharvest+ conference in Brussels. This conference brings together investigative journalists, (big)data wranglers, coders & hackers to kick journalism into the 21st century.

My contribution will be a series of presentations about applied information security for investigative journalists and hands-on workshops to get security tools working on laptops. So bring yours! Slides I used are here: PPT, PDF. Some tips and links to tools. A video from a comparable worshop last year, since then the situation has turned out to be much more dire.

Many thanks to the Centre For Investigative Journalism for making this possible. Happy to be working with them again!

Wetten Worden Werkelijkheid in software

Onderstaande brief is als email naar de Tijdelijke commissie ICT gestuurd.

5 mei 2014

Geachte leden van de Commissie ICT,

Door uw voorgangers ben ik op 1 juni 2012 uitgenodigd een bijdrage te leveren aan de expertbijeenkomst van de Parlementaire werkgroep ICT-projecten bij de overheid. De schriftelijke bijdrage die ik destijds heb aangeleverd staat hier.

Als IT-architect maar ook als bezorgde burger heb ik mij sinds 2002 actief bemoeid met het IT-beleid van de overheid op o.m. de dossiers EPD en open standaarden/opensource. In dit laatste dossier was ik in 2002 de initiatiefnemer van de Motie Vendrik die een grotere onafhankelijkheid van dominante leveranciers bepleitte. Vorig jaar mocht ik als technisch expert zitting nemen in de Commissie van Beek die Minister Plasterk heeft geadviseerd over de (on)mogelijkheden van de elektronische ondersteuning van het kiesproces.

Hoewel deze motie Vendrik in 2007 is vertaald in het Actieplan Heemskerk is dit beleid in 2010/11 door de lobbymacht van grote softwareleveranciers en de Amerikaanse overheid de nek om gedraaid. Zelfs de Algemene Rekenkamer is onder druk gezet om bepaalde vragen *niet* te stellen. Sinds 2002 heeft Nederland zo'n 60-90 miljard Euro uitgegeven aan buitenlandse software waarvoor in veel gevallen gratis alternatieven bestaan die net zo goed of zelfs beter zijn. Het gebruik hiervan wordt echter actief bemoeilijkt door zowel de Ministeries van OC&W en BZK, alsmede de VNG daarin gesteund door het lobbyapparaat van grote leveranciers en de Amerikaanse overheid.

Hoewel Minister Donner in 2004 in reactie op de Motie Vendrik al aangaf

  • dat de afhankelijkheid van Microsoft groot was;
  • dat dit een probleem was;
  • en dat middels invoering van open standaarden en de inzet van opensource dit opgelost kon worden;

Is die afhankelijkheid sindsdien nog veel groter geworden terwijl er in die periode ruim een miljard is uitgegeven aan Microsoft licenties. Met dat geld had 10.000 manjaar aan migratie weg van Microsoft naar gratis alternatieven betaald kunnen worden. Geld dat dan in de Nederlandse economie was gebleven en grotendeels via loonbelasting en BTW weer terug bij de overheid was gekomen. Niet dat die 10.000 manjaar nodig waren. De Gemeente Ede deed het tegen de verdrukking in voor een fractie daarvan en bespaart inmiddels 92% op software. De rest van de overheid nog niet. Waarom niet?

Europol niet langer achter cybercriminelen aan

Op woensdag 30 april gaf ik op BNR Radio commentaar op het nieuws dat Europol niet langer actief poogt cybercriminelen te arresteren. In plaats daarvan wil de politie organisatie digitale dieven 'lastig gaan vallen; bij hun werkzaamheden. Hoe men dat gaat aanpakken is volstrekt onduidelijk aangezien Europol zelf aangeeft dat het gebruik van privacy-technologiën als TOR het vrijwel onmogelijk maakt daders te identificeren.

In al het 'hang-em-high'-achtige wapengekletter van wetshandhavers is er al jaren geen aandacht voor preventie en voorlichting van burgers die door hun onwetendheid onnodig slachtoffer worden. De combinatie van ontbrekend computeronderwijs (een cursus tekstverwerken telt niet) en het actief creëren van software monopolies op desktops en laptops door de overheid zijn de meeste burgers volledig onbeschermd tegen sluwe criminelen die hun bankrekening leeghalen of met hun identiteit aan de haal gaan. Zowel de Nederlandse als de Europese overheid wordt al sinds het begin van deze eeuw verteld wat men wel zou moeten doen maar wil, kan of snapt dat niet. Burgers moeten zelf bescherming regelen door zich te verdiepen in basisvaardigheden van veilig computergebruik.

Luister hier de BNR stream of de MP3.

Sidekick BNR Digitaal

Op woensdag 5 februari 2014 was ik de 'sidekick' van BRN Digitaal presentator Herbert Blankenstein. De uitzending ging over het nieuws van het VKA rapport over internetstemmen, de laatste onderzoeksnotitie van het Verkenningsinstituut Nieuwe Technologie (VINT) over hoe techniek steeds intiemer wordt en steeds meer in en om uw lichaam plaatsvindt. Ook was de bedenker van Kiiroo te gast, een Nederlandse startup die handelt in digitale sekstoys.

Luister hier de BNR stream of de MP3.

Ask Snowden op BRN radio

Op 23 januari Gaf Edward Snowden in een live-chat antwoorden op vragen die hem per twitter gesteld waren. BRN vroeg Brenno de Winter, Bits of Freedom en mij naar onze vraag aan Edward Snowden.

Mijn vraag aan Snowden (die ik ook al eerder in mijn London Real interview stelde): gaan alle verdere onthullingen ook over de technische capaciteiten van de NSA of krijgen we wellicht ook een kijkje in de inlichtingen die de NSA heeft vezameld de afgelopen 50 jaar? Ik ben benieuwd naar eventuele informatie over belangrijke historische gebeurtenissen waar de NSA wellicht belangrijke informatie over heeft die wij (nog) niet hebben. Opnames van telefoontjes tussen Tony Blair en Balkenende in de 9 maanden voor de Irak oorlog, nog meer Nixon-tapes, gestolen ontwerpen van Britisch Aerospace die plotseling bij Boeing lagen. Men kan zich zo wat sappige krantenkoppen voorstellen.

Ik ben daar wel benieuwd naar.

Hier op het BNR archief, hier als mp3.

'Tinfoil Is The New Black', Keiser Report interview

I was a guest on Max Keiser's programme 'The Keiser Report' last Thursday jan. 16th for the second time. Max is a former Wall Street trader who foresaw the current economic crisis a decade ago.

Full Keiserreport episode here on RT site and here on Youtube.

Max caught me be susprise by asking about the NSA TURMOIL and TURBINE programs. I confused them with other programs (there are many). The TURMOIL and TURBINE programs are part of the 'Targeted Acces Operations' family (see this Spiegel article). These are programs for gaining acces to systems by other means than abusing their built-in weaknesses over internet connections (the NSA's favourite method because it can be automated to spy on everyone at very low cost). Targeted Accces Operations (TAO) deals with everything from intercepting & modifying electronic devices that people order online to the use of microwave beam weapons to identify, hack, break and manipulate computer systems from great distance. The latter method has also been used for targeting drone strikes. The talk by Jacob Appelbaum I mention in the beginning of the interview is here. Many more talks from the 2013 CCC conference in Hamburg can be found here.

The US Declaration Of Independence is one of the greatest political writings in history and can be re-written for more contemporary political problems as I did here. Accoring to US academics the US declaration was inspired by the Dutch declaration that preceded it by almost two centuries.

Blogpost on a previous interview last year.

Interview on London Real

Last year during my December visit on London I gave a 1 hour interview to London Real. This is great new free-form 1+ hr completly unscripted interview program that is available on Youtube and as a podcast. Tired of the superficial 3-minute interviews that stop just when things get interesting? London Real is your channel. If you want to keep up to date on the London startup/tech scene then checkout Silicon Real.

I was honored to be in a lineup that includes several of my current heroes including Max Keiser, Jared Diamond, Annie Machon and Rick Falkvinge.

Brian Rose and me spoke about NSA-spying, the nature of privacy, copyright, bitcoin and much more. The interview begins at 7:48. For more check out the London Real site. Compact mp3 for download here.

Christmas message Edward Snowden

On December 25th 2013 Edward Snowden delivered an alternative Christmas message on the UK's channel 4 TV station. Before the broadcast a short version of the speech was leaked and immediatly uploaded to youtube. That upload was immediatly blocked but many re-uploads made the clip available everywhere. This is one of those places. If you want to thank Edward Snowden for giving up his relationship, familiy, job and any chance of a normal life to inform us all go here and donate. Or spread his message. And do something with it. Because if something is done all of Edward's sacrifices have meaning.

Cryptoparty in de Arnhemse Hackerspace Hack42

Op 20 december gaf ik de inleidende lezing op de Cryptoparty in de Hackerspace in Arnhem Hack42. Cryptoparties zijn informele en openbare bijeenkomsten waar iedereen in een dagdeel kan leren hoe je je data en communicatie kan beschermen tegen spionerende overheden, enge bedrijven of mafiosi. Zie hier voor de eerstvolgende bij jou in de buurt.

Sinds de onthullingen van Edward Snowden over de schaal van wereldwijde spionage door westerse inlichtingen diensten is er steeds meer interesse in het zelf regelen van hun privacy met technische middelen. Zelfs Geenstijl is om en omarmt de hackers.

Rapport Commissie elektronische stemmen in stemlokaal

Van 26 april tot 18 december 2013 was ik, samen met diverse andere experts, lid van de Commissie elektronisch stemmen in het stemlokaal.

In het verleden (2008, 2012) heb ik mij zeer kritisch uitgelaten over de fundamentele bezwaren tegen elektronisch stemmen zoals dat tot 2007 in Nederland was gerealiseerd met ontransparante en oncontroleerbare systemen.

De commissie adviseert het papieren stembiljet centraal te houden en met zeer streng te selecteren apparatuur de twee bezwaren van het huidige proces te verbeteren. Ten eerste is er de beperkte toegankelijkheid voor mensen met lichamelijke (visueel, motorisch, enz..) of verstandelijke beperkingen of z.g. 'laaggeletterden': door de stem te printen kan het zelfstandig uitbrengen van de stem voor deze groepen vergroot worden. Ten tweede de 'late' uitslag: door het fysieke format van het stembiljet te reduceren tot A4 of kleiner en deze te tellen met een optische scanner kan ieder stemlokaal binnen een uur na sluiting de uitslag aanleveren aan de centrale stembureau's. Of deze voordelen de geschatte kosten van 250 miljoen Euro (elke 8 jaar) plus 10 miljoen per jaar waard zijn is een vraag die Kabinet en Tweede Kamer moeten uitvechten.

Hier links naar het eindrapport, de bijlagen, de perspresentatie en het persbericht. Documenten staan ook bij MinBzK.

Iinterview op BNR nieuwsradio hier op BNR.nl en hier als mp3. Artikel en video van interview op nu.nl.

VVD Kamerlid Joost Taverne op NOS radio met opmerkelijke uitspraken - Rop Gongrijp's NOS radio interview met wat stevige kritiek en terechte zorgen over de uitvoering - In 'Met het ook op morgen' Kamerlid Joost Taverne en IT-student Ruud Verbij die allen duidelijk nog geen tijd hadden gehad de volledige 400 pagina's rapport + bijlagen te lezen. In een toekomstige blogpost zal ik nog eens ingaan op geschiedenis van stemcomputers en de technische waarborgen die de Commissie voorstelt om vertrouwen in techniek of de overheid overbodig te maken. De Commissie wil geen technieken of processen voorstellen die macht verder centraliseren of het kiesgeheim ter discussie kunnen stellen.

Andere pers: Webwereld - Tweakers - NRC - NU.nl - Computerworld - Volkskrant - NOS - Omroep Gelderland - RTL - Automatiseringsgids - Joop.nl - Binnenlands Bestuur - Security.nl - Opinie NRC Herbert Blankenstein - meer video's na de break...

Update 28-01-2014: Het rapport van VKA "Internetstemmen voor kiezers in het buitenland" staat hier. Nu.nl vat het rapport samen als 'Riskant en duur'.

Privacy 'howto' artikel voor Geenstijl

<geschreven op uitnodiging van Geenstijl.nl en dus in een wat andere stijl dan mijn gebruikelijke. Niet dat Geenstijl dus geen stijl heeft maar wel anders dus. Dat dan weer wel.>

Je kan je boos maken over je overheid die je mail wil lezen, je kan ook wat doen om te zorgen dat dat heel moeilijk wordt. Hieronder een stoomcursus email-beveiliging voor iedereen die niet wil wachten tot BOF en Brenno de glorieuze eindoverwinning behalen. Artikel 12 van de Universele Verklaring voor de Rechten van de Mens is tenslotte er niet alleen om je pr0n-habits te verbergen. Tenzij je blank, man, Europees en nazaat-van-een-adelijke-familie-met-grondbezit bent zijn jou burgerrechten bevochten door mensen die dat konden doen omdat ze niet in een stasi-achtige 'uberwachungs staat' leefden. Zonder privacy geen vrijheid van meningsuiting of zelfs maar meningsvorming en dus geen maatschappelijke verandering (zoals afschaffing van de slavernij, kinderarbeid of invoeren algemeen kiesrecht). Maar geloof mij niet, deze ex CIA/NSA/FBI/DoJ/MI5 medewerkers legden het afgelopen zomer nog even uit.

Als je privacy minder belangrijk vindt dat de hoeveelheid tijd die je per weekend TV reclames kijkt dan is dit stuk niet voor jou. Want het kost een beetje moeite, intelligentie en een aandachtsspanne groter dan die van een Gordonoudvis. OK, inmiddels zijn we 60% van de lezers kwijt. Da's jammer maar niet iedereen is te helpen. En als je echt niks te verbergen hebt laat je dan eens 15 min door Hans Teeuwen op live TV interviewen over je seksleven. Afschrikwekkende voorbeelden hebben tenslotte ook nut en het houdt de dumpert vol.

Interview The Keiserreport

Op Maandag 2 december 2013 was ik te gast bij Max Keiser in zijn programma 'The Keiser Report'. Max is een voormalige beurshandelaar die de huidige financiële crisis correct heeft zien aankomen. Max geeft in zijn programma zijn ongezouten mening over het bizarre financiële systeem en laat zijn gasten dat ook doen.

O, en een PetaFLOP is 1.000.000.000.000.000 bewerkingen per seconde. Dat had ik moeten weten ;-)

Volledige Keiser Report episode, hier op RT site en hier op Youtube en hier op De Dumpert van Geenstijl.

Tips hoe je Big Brother kunt omzeilen

<ook op Sargasso.nl>

Op 6 juli 2013 publiceerde de Britse krant The Guardian het eerste interview met Edward Snowden, tot dat moment systeembeheerder voor het Amerikaanse National Security Agency. Snowden kreeg door zijn werkzaamheden een gedetailleerd beeld van de mate waarin de NSA een wereldwijde Big Brother-staat in het inrichten was. Vrijwel alle elektronische communicatie wereldwijd werd realtime getapt, telefoons, laptops en servers werden gekraakt en softwarebedrijven werden gedwongen hun systemen met lekken op te leveren om dit mogelijk te maken.

Vermoedens van dergelijke activiteiten door onder meer Amerikaanse veiligheidsdiensten bestonden al decennia (zie dit artikel uit 1999) maar de schaal van de onthullingen die Snowden naar buiten brengt doet zelfs de meest paranoia-experts de rillingen over de rug lopen. Een korte opsomming en wat je er als burger aan kan doen.

Eben Moglen talks on Snowden & the future of Freedom

Update May 28th 2014: The Guardian just published a written summary of the talks below. For those with less time or a preference for text as opposed to video.

Over the last month Prof. Eben Moglen held a series of lectures on the implications of the documents released by whistleblower Edward Snowden. More than any other article or interview these talks give a clear analysis of the meaning of this information and what it is we all need to do as citizens if we want a future where freedom and civil liberties still has some meaning. Original video's, audio recordings and transcriptions of the talks can be found at http://snowdenandthefuture.info/.

Keynote & interview Eurapco Insurance

<op 26-09-2013 gaf ik keynote op het Eurapco congres waar top EU verzekeraars expertise delen.>

We live in a world of rapid technological change. Keynote speaker and IT expert Arjen Kamphuis discusses the implications for the insurance industry and its customers, and what measures can be taken to ensure the best possible customer experience. The objective was to raise awareness of the rapid pace of socio-technical development today and what fundamental effects this will have on the insurance industry. Changes in customer behaviour and expectations will have an impact on customer satisfaction with our companies’ claims handling.

Future shock – are we prepared for change? Some of the topics discussed in the keynote

  • What if tomorrow’s world looks really different? The basic rules of our business can change at incredible speed because of changes in technology, national/EU/ international policies, environmental threats and other external factors. New technology can overtake existing business models, and even make them irrelevant. The insurance industry faces the challenge of combining the need to be stable, secure and reliable with being dynamic, fast and responsive.
  • Cyber security needs to be taken care of, both within companies and between companies and their customers. Privacy issues are of great importance for insurance companies. For instance, it would be damaging for the image of a stable, secure and reliable insurance company if it were to be revealed that all customer data had been fully exposed by hackers or the NSA.
  • Today, all large service companies need to balance industrialised processes with the human touch. As a customer, you do not want to be exposed to the internal processes of your service provider. The customer just wants to receive service in an uncomplicated way. Changes in customer behaviour and expectations will have an impact on customer satisfaction with our companies’ claims handling.
  • Our companies’ brands face increasing danger in a fast-paced world of social media. Our customers rely more on the experience of others than on the promises of the companies. Through social media, good and especially bad experiences can be shared easily and quickly. We can join the conversation about our brand, but not control it.
  • A fast-changing world offers opportunities and threats for your business and your position in the market. Are you ready to adapt to changes in customer expectations? Is your organisation positioned to deal proactively with change, or could you be caught off guard? Do you have a plan for what to do if an improbable case scenario does occur? By carrying out regular scenario planning, you can at least have contingency plans for different case scenarios.
In your keynote speech, you mentioned that it’s very hard for anyone inside the insurance industry to see the world the way a customer, or other outsider, sees it. Can you, as an outsider, give us some tips about what is needed to achieve excellence from a customer’s perspective?

NSA intell goldmine, who else has access?

<ook op Sargasso.nl en HuffPo UK>

The War Room, Dr. Strangelove - 1965 Shortly after the initial release of some documents from whistleblower Edward Snowden I wrote a little summary about the IT-policy implications for Europe based on earlier columns. A lot of additional documents have come out since then and we can basically conclude that almost every computer system on the planet is fully broken or at least very vulnerable to NSA interference or manipulation.

Nobody, including the NSA, Edward Snowden, Glenn Greenwald has a total oversight of all the in the tens of thousands of documents let alone the political or strategic implications of the info contained in them. Most of the news keeps focusing on the 'scandal' aspect and/or the person of Snowden. Being angry at the US government (practised by most opponents) and attacking the person of Snowden (a favorite of apologists of the US regime) distracts from defining adequate policy responses and so far there have been precisely none in Europe. This constitutes a massive failure of the various EU governments to protect their citizens' rights and the economic sovereignty of their nations. It is also strange in light of the fact that an adequate policy response had already been formulated in July 2001 and really just needs to be implemented.

But every now and them the disinfo spread by some apologists for the behaviors of the NSA is useful for understanding how much worse the situation may just turn out to be. This article by a former NSA employee is a nice example of an attempt at smearing the whistleblower while actually digging the hole the NSA (and the US regime) is in much, much deeper. The piece claims Snowden secretly worked for Russian intelligence all along. While I do not share the authors views on Snowden's motivations or allegiances the suggestion that outside organisations could have agents inside the NSA has some interesting implications.

On Journalistic integrity

(deze blog startte als een mail naar Jeroen Wollaars, medewerker van de NOS n.a.v. een twitter bericht van zijn hand - staat ook op Sargasso.nl met veel reacties en discussie, reactie van Jeroen Wollaars. Mijn reactie daarop iets ingekort voor leesbaarheid hier - volledige mail hier. Deze blog ook op geenstijl, onze server had een drukke zondag ... ;-)

Hi Jeroen,

Yesterday you felt it tweet-worthy that Russia Today TV had cut off a guest who used the platform he was given not to discuss the Bradley Manning trail but instead staged a protest against the horrible LGBT-rights situation in Russia. This incident was to you 'proof' that RT could not be trusted as a good information source in other things. As a reference you picked the Dutch newspaper 'De Telegraaf'. This, in my view, was a rather unfortunate choice since this newspaper has itself a long and sordid history of collaborating with the German occupation, misinforming of misrepresenting world events and generally being a publication that only cares about human rights when it suits their political agenda. All in the tradition of FOX-news and the Daily mail.

At OHM2013 I talked about implications of accelerating tech, some ways to understand the various crisis we're in right now and some questions we can ask about the strange things our governments seem to be up to these days.

I was critical of most western 'mainstream' media because they see quite incapable of asking basic questions such as: "why are we putting Bradley Manning on trial and not the helicopter-gunner who shot up over a dozen civilians including children?" Shooting at children with an anti-tank gun and then lying about it to the world is probably a war-crime, certainly something worth digging into in the context of a war that itself has been started based on lies.

Futureshock - What's it for? Understanding systems and policies

Just did the latest version of my 'Futureshock' talk (update from 2005 / 2009) at OHM2013. The central new insight is that exponential change does not only work 'up' (Moore's law, Kurzweil's law of accelerating returns) but also the other way: exponential out of control financial systems and military-industrial-security-complexes causing exponential depletion of critical resources. All of this is very bad but the exponential climate disaster is now rapidly approaching a level that could end up killing more people that all the wars ever (and perhaps all of us). Welcome to the age of consequences where 'crisis' will be the new normal.

Just as in 2005/2009 I to give an overview of exponentially developing technologies and their implications (for details see the earlier versions of the talk linked above). But we really need to discuss some bad news about exponentially growing problems of resource scarcity, environmental degradation and the policy non-responses of our governments so far. A lot of activism against things like 'The War on Terror' or the various other ways our governments have lots their democratic ways seem to be working from the assumption that most of the problems are just a misunderstanding. And if we can just explain the facts to these, not so smart, but esssentially well meaning people in Brussels and Washington everything will be OK. This model of reality is good for getting funded as an NGO and getting invited to talk to aforementioned well-meaning people. It is not good for actually understanding and influencing what is going on (firstly because it ignores the fact that politicians in Brussels and Washington are really not in charge). Lets at least consider the idea that these 'crazy' policies are not crazy at all but are actually working perfectly. That is for the actual goals, just not the officially stated ones.

Let's talk. But let our talking be based on a harsh assesment of where we really are, not some politically convienent pretense of where we should be or would like to be.

Slides here in PDF and PPT CC-licenced, free for non-commercial use.

What's it for? The objectives of policies & systems

<Column syndicated on Consortium News>

When trying to understand current events in their context it's often more useful to look at the policies that are influencing these events than individual cases (although the individual cases often make up 'the news'). In many cases there is a gaping chasm between the formally stated goals of a policy and their actual effects ('wars' on various nouns such as 'terror' or 'drugs' come to mind).

Despite this, discussions about and opposition against are often argued from the rather fictional standpoint that the stated goals are the actual goals. Even if it is patently obvious that the policy in question does not further this goal, and that everybody smart enough to have some influence is aware of this. Opposition against misguided or destructive policies thus allows the parameters of the debate to be fenced-in by its proponents. It's pretty hard to win any debate if the other party can define (and re-define) the goal-posts without a need for any evidence that these goal-posts are reasonably placed.

Info security workshop Centre for Investigative Journalism

The UK Centre for Investigative Journalism is a non-profit organisation dedicated to educating and training journalists to benefit the quality of journalism and thus public debates on important topics in society. Every year the CIJ holds a 3-day summer school where journalists can follow lectures, participate in workshops and meet with some of the foremost professionals in their field. Several months ago, when the CIJ asked me to help set up a workshop in information security, we had no idea then how hot the subject would become after the revelations by former NSA-contractor Edward Snowden. I was very happy to see the room at London City University was packed with journalists eager to learn both theory and practice of securing their communications and protecting their data. An overview of theory & tools for those who missed it, slides here, video below.

Being in London for a few days also allowed me to contribute to a cryptoparty (a workshop for teaching info security basics to anyone interested) that was kindly hosted and wonderfully supported by the London Hackerspace. Dozens of people from all walks of life showed up and we had a great time.

If you would like to attend such a workshop contact your local hackerspace and join or look at this list of upcoming cryptoparties. If nothing is planned in your area start a group yourself. The time for it has never been more propitious. The links above can get you started. If you get stuck mail me and I'll be happy to put you in contact with people near you.

Below a recording of the theory introduction part of the workshop at the 2013 summer school. After this intro the whole class worked together for several hours setting up software tools for email-encryption, anonymous browsing and testing these new capabilities with colleagues. By the end of the day over 30 journalists were tooled up to receive scoops from high-risk whistleblowers.

The missed opportunity of avoiding PRISM

<originally a column for Consortium News>

On July 11th 2001 the European Parliament published a report on the Echelon spy network and the implications for European citizens and businesses. Speculations about the existence of this network of Great Britain-and-her-former-colonies had been going on for years but it took until 1999 for a journalist to publish a report that moved the subject out of the tinfoil-hat- zone. The report of the EU Parliament contains very practical and sensible proposals, but because of events two months later across the Atlantic, they have never been implemented. Or even discussed further.

Under the heading "Measures to encourage self-protection by citizens and enterprises" lists several concrete proposals for improving data security and confidentiality of communications for EU citizens. The document calls on Parliament to inform citizens about the existence of Echelon and the implications for their privacy. This information must be "accompanied by practical assistance in designing and implementing comprehensive protection measures, including the security of information technology".

Other gems are the requests to "take appropriate measures to promote, develop and manufacture European encryption technology and software and, above all, to support projects aimed at developing user encryption technology, which are open-source" and "promote software projects whose source text is published, thereby guaranteeing that the software has no "back doors" built in (the so-called "open source software")”. The document also mentions explicitly the unreliability of security and encryption technologies whose source code is not published. This is an issue that is a strict taboo in Dutch and UK discussions on IT strategy for governments (probably because certain major NATO partners might be offended).

Also, governments must set a good example to each other and their citizens by "systematic use of encryption of e-mails, so that in the longer term this will be normal practice." This should in practice be realised by "ensuring the training and publication of their staff with new encryption technologies and techniques by means of the necessary practical training and courses." Even candidate countries of the EU should be helped "if they cannot provide the necessary protection by a lack of technological independence".

That one paragraph from the summer of 2001, when rational security policies had not yet been completely destroyed by 9/11, describes the basis for a solid IT policy that ensures security and privacy of citizens against threats from both foreign actors and the government itself (historically always the greatest threat to its citizens and the reason why we have constitutions).

Had these policies been implemented over the last decade then the PRISM revelations of the last week would have been met mostly with indifference. European citizens, governments and companies would be performing most of their computing and communications on systems controlled by European organisations, running software co-developed in Europe and physically located on European soil. An American problem with an overreaching spy apparatus would have been just that, an American problem - like teenagers with machine guns or lack of universal healthcare, just one more of those crazy things they do in the colonies to have 'freedom'.

OHM and other Three-Letter-Agencies

<originally a column for OHM2013.org - also on HuffPo UK> - video of The Great Spook Panel below this post

“Whatever you do will be insignificant, but it is very important that you do it.” - Mahatma Gandhi

This summer the Dutch hacker community, with help from friends all over the world, will organise the seventh hacker festival in a series that started in 1989 with the Galactic Hacker Party. The world has changed massively since then (we'll get to that) but the goal of these gatherings remains the same: to share knowledge and ideas about technology and its implications for our world, have heated discussions on what we should do about the problems we see (sometimes well before many others see them), generally have fun in communicating without keyboards, and being excellent to each other.

Four years ago a somewhat unknown Australian hacker with some new ideas about the future of journalism gave the opening keynote at HAR2009. His site was called Wikileaks and some of us had a hunch that this concept might be going places. We had no idea just how far that would be...

Not long after the first gathering in the Netherlands in 1989, the Berlin Wall came down. While we can claim no connection, the interminable Cold War had finally ended and many of us felt, with the optimism so typical of youth, that world peace might just be possible in our lifetimes. We would go back to making rockets that went up instead of straight-and-level and other great things would follow.