informatiebeveiliging

Op 26 april 2013 is Arjen Kamphuis is samen met andere experts door Minister Plasterk (BzK) geïnstalleerd als lid van de Commissie onderzoek elektronisch stemmen (persbericht BzK). Deze commissie gaat onderzoeken of het mogelijk is het stemmen op papier te vervangen door een electronisch proces zonder dat daarbij de essentie van de democratie en de kieswet in gevaar komt. Zowel lokale bestuurders als belangenorganisaties van mensen met lichamelijke beperkingen dringen er op aan een alternatief te ontwikkelen voor het huidige papieren proces dat bij elke verkiezing in hun ogen voor veel problemen zorgt.

Tussen 1997 en 2007 was electronisch stemmen toegestaan maar deze toestemming werk teruggetrokken nadat uit onderzoek bleek dat de gebruikte systemen niet voldeden aan de essentie van de kieswet (stemgeheim en transparantie van het kiesproces).

Op Tweakers.nl en Webwereld.nl is de discussie over het onderwerp meteen losgebastern na publicatie van het bovenstaande persbericht. In de meer dan 175 reacties komen veel van de gebruikelijke misverstanden over de fundamentele problemen met electronisch stemmen weer langs. Ook naar IT-ers en computersliefhebbers is meer voorlichting over de complexiteit van het onderwerp nog noodzakelijk.

Interview op BNR radio op 1 mei 2013. Link naar mp3.

Eerdere publicaties over dit thema:
2008: publicatie in Digitaal Bestuur
2012: publicatie op Webwereld

<Webwereld column>

Een aantal jaren geleden ontwikkelden Israëlische en Amerikaanse inlichtingendiensten een computervirus met een specifiek militair doel: het beschadigen van Iraanse nucleaire installaties. Stuxnet werd via usb-sticks verspreid en nestelde zich stilletjes op Windows pc's om van daaruit op zoek te gaan naar specifieke industriële centrifuges die via Siemens SCADA-apparatuur worden aangestuurd.

Iran heeft, net als veel andere landen, een nucleair programma voor energieopwekking en de productie van isotopen voor onder meer medische toepassingen. De meeste landen kopen medische isotopen van specialist Nederland, die ze in de reactor in Petten bij ECN maakt. Door de westerse boycot van Iran is het voor dat land echter niet mogelijk isotopen voor medisch gebruik op de wereldmarkt aan te schaffen. Zelf maken is verre van ideaal, maar de enige optie die overblijft als import onmogelijk wordt gemaakt.

Waarom die boycot? Officieel omdat Iran volgens de VS niet voldoende openheid wil geven over zijn wapenprogramma's. Met name militaire toepassingen van het nucleaire programma is een officiële bron van zorg. Deze zorg is echter een vrij recent gegeven die om een of andere reden opnieuw leven is ingeblazen na de aanval op Irak (een aantal van de installaties is geleverd door Amerikaanse en Duitse bedrijven met financiering van de Wereldbank voor de revolutie van 1979). Het meest curieuze aan alle beschuldigingen van westerse overheden aan het adres van Iran is dat het nooit meer dan vage verdachtmakingen zijn. Toen 16 Amerikaanse inlichtingendiensten in 2007 een gezamenlijke studie deden naar de feiten achter deze beschuldigingen was de glasheldere conclusie: Iran is niet bezig met de ontwikkeling van een kernwapen.

<Webwereld column>

Heeft u wel eens 'De grote beurt' gezien? Dit is een auto-programma kloon van MTV's 'pimp my ride' waar oude auto's een makeover krijgen om ze weer hip&cool te maken. Probleem bij al het opleuken dat in deze programma's wordt gedaan is dat onder de nieuwe lak en glimmende velgen het een oude auto blijft die z'n beste tijd gehad heeft. Zo is het ook met het EPD.

Ruim 12 jaar geleden werd onder leiding van Minister Els Borst het plan opgevat een nationaal elektronisch patiënten dossier te realiseren. Een dergelijk dossier zou medicatie- en andere fouten door informatieachterstand bij zorgverleners voorkomen en zo vele mensenlevens redden. Het waren tenslotte de jaren '90 en er was niets dat IT niet leek te kunnen oplossen.

In 2002 werd stichting Nictiz opgericht. Deze, door het ministerie van VWS gefinancierde non-profit-zonder-formele-macht, zou het nationaal EPD gaan realiseren. Al vrij snel werd besloten dat er geen echt nationaal EPD zou komen maar een soort zoekmachine die data uit alle systemen brokjes data over een specifieke patiënt trekt. Zo'n zoekmachine-oplossing is veel complexer dan een centraal systeem.

<Webwereld column>

Op 11 juli 2001 publiceerde het Europees Parlement een rapport over het spionagenetwerk Echelon en de implicaties voor Europese burgers en bedrijven. Er werd al jarenlang gespeculeerd over het bestaan van dit netwerk van Groot Brittannië-en-haar-voormalig-koloniën maar pas in 1999 kwam er een rapport uit dat het onderwerp voorgoed uit de alu-hoedjessfeer trok. Het rapport van het EU Parlement bevat zeer concrete en zinnige voorstellen die, door gebeurtenissen 2 maanden later na publicatie, nimmer zijn uitgevoerd. Of zelfs maar verder besproken.

Onder het kopje "maatregelen tot bevordering van de zelfbescherming van burgers en ondernemingen" staat een lijst met concrete voorstellen die beveiliging van gegevens en vertrouwelijkheid van communicatie in handen geeft van burgers. Allereerst verzoekt het Parlement burgers te informeren over het bestaan van Echelon en de gevolgen voor hun privacy. Deze voorlichting moet "vergezeld gaan van praktische bijstand bij het ontwerp en de installering van algemene beschermingsvoorzieningen, die ook de veiligheid van informatietechnologie omvatten". Dus niet alleen postbus 51 spotjes maar hands-on aan de slag graag!

<Webwereld column>

Terwijl stemcomputers in Nederland al vier jaar verboden zijn, blijken fundamentele misverstanden over de kern van het probleem rond stemcomputers te blijven bestaan. Afgelopen maand deden de VVD en D66 wederom voorstellen om elektronisch stemmen in Nederland weer in te voeren. Eerder dit jaar riep ook het Nederlands Genootschap van Burgemeesters op tot herinvoering (opmerkingen over niet-gekozen bestuurders die zich bemoeien met het kiesproces in de comments graag ;-).

De vele knullige security problemen (video) of de afwezigheid van de broncode van de software (in het geval van Nedap en SDU stemcomputers) zijn weliswaar prima aanleidingen geweest om het onderwerp via de media op de politieke agenda te krijgen, maar deze zaken zijn niet de kern van het probleem. En hoewel het dossier stemcomputer op het Ministerie van Binnenlandse zaken inmiddels een fel fluoriserende 'radioactief, niet aankomen!'-sticker heeft, blijft het risico bestaan dat lagere overheden of leveranciers blijven denken dat stemmen per computer best kan 'als we maar even die bugjes oplossen'.

De werkelijke bezwaren zijn veel fundamenteler en hebben weinig te maken met securitybugs of beschikbare broncode. Het gaat veel verder. Het gebruik van stemcomputers doet fundamentele democratische principes geweld aan. In het eerste jaar van de acties van de werkgroep wijvertrouwenstemcomputersniet.nl werd vaak geroepen door overheid en leveranciers dat men niet zo wantrouwend moest zijn. Nederland was tenslotte een net land en de suggestie dat iemand fraude zou plegen met zo iets fundamenteels als verkiezingen werd als ridicuul van de hand gedaan. Het was simpelweg ondenkbaar en verdere discussie of verantwoording erover was derhalve niet noodzakelijk.

<Webwereld column>

Doublethink is een begrip dat door George Orwell geïntroduceerd is in zijn beroemde roman '1984'. Het is een mentaal mechanisme dat mensen in staat stelt oprecht en tegelijkertijd twee volkomen tegengestelde ideeën te geloven zonder die tegenstelling als problematisch te ervaren.

In de ruim tien jaar dat ik me in Nederland heb beziggehouden met opensource en open standaarden in de publieke sector ben ik heel wat geoefende doublethinkers tegen gekomen. Zo is mij gedurende al die jaren door 'experts' en insiders geduldig uitgelegd dat de migraties naar opensource desktops die de community  wilde onmogelijk waren omdat ambtenaren niet met andere platformen konden werken. Non-techies iets anders geven dan de Windows+Office desktop waarop ze getraind waren in het Nederlands onderwijs zou tot rampen leiden. Het Kon Echt Niet.

De stelligheid waarmee dit (tot op de dag van vandaag) op allerlei plekken als tegeltjeswijsheid gezegd wordt heeft mij altijd verbaasd. Eerder was Nederland namelijk van WP5.2 op DOS naar Word6 op Windows gemigreerd en toen is de Aarde toch ook echt gewoon blijven draaien, gingen kinderen naar school en kwam er water uit de kraan.

De diverse migraties, de meeste buiten Nederland, laten inmiddels ook zien dat gewone eindgebruikers prima hun werk kunnen doen met alternatieve platformen, mits ze daar even wat uitleg en ondersteuning bij krijgen (iets dat men trouwens ook volkomen normaal vindt bij de migratie naar nieuwe releases van de gebruikelijke proprietary systemen).

Dezelfde mensen die jaren lang met grote stelligheid beweerden dat 'Het Echt Niet Kon' zijn inmiddels druk bezig om heel trots iPads uit te rollen naar allerlei managers en directeuren die daar om allerlei redenen om vragen, of ze zelf meenemen. Kennelijk is de adoptie van een totaal ander platform, met een totaal andere interface, helemaal niet zo problematisch als al die jaren is gesteld. Huh?

<Webwereld column>

Het stof van Diginotar is netjes opgeveegd bij de bonte verzameling van ICT-fails in de publieke sector, de glazen zijn leeg en de plassen gedaan. Tot nu toe wijst niets erop dat er echt iets gaat veranderen aan de wijze waarop de Nederlandse overheid ICT projecten laat uitvoeren. Tijdens het overleg (mp3) in de Tweede Kamer was het duidelijk dat zowel de OPTA als PwC vinden dat hen niets te verwijten valt, ondanks het feit dat ze als toezichthouders jarenlang het stempel “OK” hebben gezet op Diginotar. De uitspraak van PwC dat de audits uiteraard goed zijn gedaan omdat “deze worden uitgevoerd door professionals met een eigen verantwoordelijkheid” zal hartverwarmend zijn voor Iraanse burgers die hiervan nu de consequenties ondervinden (denk aan iets met knieschijven en elektrisch gereedschap).

Door de chaos bij Diginotar kan nooit meer met zekerheid worden vastgesteld op welke momenten er bij het bedrijf is ingebroken en wat de gevolgen daarvan waren. Iemand die een compleet netwerk overneemt kan namelijk kinderlijk eenvoudig alle logs manipuleren. Het enige wat we dus echt met zekerheid kunnen zeggen is dat er tot nu toe geen reden is om aan te nemen dat de IT-security in het verleden veel beter was dan de recentelijk door FoxIT aangetroffen puinhoop.  Want de audits van PwC zijn overduidelijk niet in staat een dergelijke puinhoop te detecteren en de OPTA kijkt er kennelijk niet eens naar. Mogelijk was Diginotar dus al jaren van onder tot boven gehackt en is dat gewoon nooit iemand opgevallen. Een echte slimme cybercrimineel of spion doet zijn werk zo dat niemand ooit iets door heeft. In allerlei detaildiscussies over de exacte tijdslijn en omvang wordt volledig voorbij gegaan aan dit feit. Socrates glimlacht vanuit zijn graf bij de vaststelling dat we alleen zeker weten dat we niets zeker weten.

mijn nieuwe column voor NOiV.

De AIVD waarschuwde voor Chinese spionnen en cybercriminelen, Wikileaks cables ook. Nederland is kwetsbaar maar lijkt liever niets te willen weten van enge dingen uit de boze buitenwereld. Dat het de grote landen in de wereld ernst is blijkt wel uit de aanval op Iraanse nucleaire installaties en Amerikaanse vliegtuigbouwers. Maar met telecom partners als het Israëlische Verint heb je kennelijk helemaal geen vijanden nodig om afgeluisterd te worden.

De Tweede Kamer, horend de beraadslaging, constateerde in 2002 al dat software een cruciale rol speelde in de kennissamenleving en dat de aanbodzijde van de softwaremarkt op dat moment sterk geconcentreerd was. De kamer verzocht de regering dan ook zich maximaal in te zetten om hier verbetering in aan te brengen.

Het zijn de eerste zinnen van de motie Vendrik over de niet functionerende markt voor desktop software die al vrij snel buiten beeld zijn geraakt in alle discussies over PDF/a en welk opensource CMS nou het beste is. Maar het ging dus in eerste instantie om een verstoring van de softwaremarkt, niet de interne bedrijfsvoering van middelbare scholen, gemeentes en agentschappen. Die verstoring oplossen is een veel taaiere klus dan 'iets met open standaarden doen' dus het logisch dat een programma dat resultaten wil laten zien zich met haar beperkte middelen op haalbare projecten richt.

<webwereld column>

Mijn oma is geboren in 1920 en moest op haar twaalfde van school om te werken in haar vaders winkel, zij heeft nooit een computer gebruikt (wel een iPod voor audioboeken). Oma is nu 90 en wil nog steeds graag weten wat ik nu zoal doe.

Meestal stap ik dan vrij snel over de techniek heen, want daar heeft oma niet zo veel mee. Het waarom is veel relevanter. Privacy, burgerrechten en zelf de baas zijn over je spullen/informatie. Dat kan ze prima begrijpen zonder alle technische details van open bron codes en cryptografie te volgen.

Bits of Freedom organiseerde afgelopen zondag in Amsterdam een lezing en discussie met Prof. Eben Moglen, Moglen is een voormalig programmeur die zich tegenwoordig als hoogleraar rechten en advocaat sterk maakt voor free software. Een deel van zijn lezing ging over de risico's van cloudcomputing (zie hier een eerdere lezing in New York over hetzelfde thema).

<eerder verschenen in het Tijdschrift voor Heelkunde>

Younass Aboulghit en Arjen Kamphuis

We leven in een periode waarin informatietechnologie ons leven drastisch veranderd. Overal om ons heen is het digitaliseringproces waar te nemen waarbij informatiesystemen processen ondersteunen en onze werkwijzen veranderen. Mensen verwachten snel en altijd bij informatie te kunnen komen en deze ook met elkaar te kunnen delen als dat nut heeft. Ook in de zorg liggen er kansen en heeft een nieuwe generatie patiënten hoge verwachtingen. De vraag is: Hoe omarmen we de mogelijkheden van de informatietechnologie met behoud van kwaliteit en vakmanschap? Hoe voorkomen we dat lukraak informatietechnologie gebruikt wordt die het werk van de vakspecialist eerder moeilijker maakt dan gemakkelijker? Dat het mis kan lopen met projecten in de zorg bewijst het dossier EPD.

<webwereld column>

Computervirussen en de lapmiddelen er tegen worden een steeds grotere bedreiging voor high-tech zorginstellingen. Voor een oud probleem van kwetsbare mono-cultuur bestaat een klassieke oplossing; diversiteit.

Afgelopen maandag gingen op veel IT-afdelingen de alarmbellen af. Wat aanvankelijk een virus infectie op Windows XP computers leek werd veroorzaakt door een anti-virus update van McAfee. Door de update werd een systeembestand gezien als bedreiging en maakte de beschermingssoftware het systeem onbruikbaar, een soort auto-immuun ziekte.

Naar aanleiding van mijn blogpost over de meest recente ontwikkeling rond Goud en de Rijkswerkplek ben ik een discussie begonnen op de community site van Ambtenaar 2.0. Dit werd een gedetailleerde uitwisseling waar ik zelf ook weer van leerde. De redactie van A2.0 heeft mij nu tot Lid van de week gemaakt en dus mag ik nog eens uitleggen wat Gendo is en waarom we doen wat we doen.

Soms wordt er wat verbaasd gereageerd op onze betrokkenheid bij maatschappelijke zaken waar we niet direct zakelijke iets mee te maken hebben. Naast ondernemers zijn wij echter ook burgers en mensen en iedereen binnen Gendo krijgt tijd en middelen om die rol in te vullen met de kennis en kundes die we hebben.

We reizen bij Gendo veel met het openbaar vervoer. Sterker nog, voor een boel medewerkers is het zo’n beetje de enige manier waarop ze reizen. Nooit in de file, gewoon door kunnen werken in de trein met de laptop op schoot en vaak redelijk in de buurt van de klant uitkomen.

Sinds kort hebben we ook bij Gendo te maken met OV chipkaarten. Nou hielden we dat vanuit onze interesse in security natuurlijk al scherp in de gaten maar als eindgebruiker zijn we, los van de gaten in de beveiliging, ook helemaal niet enthousiast.

Wellicht is het handig om uit te leggen dat we bij Gendo met een team van circa een man of tien voor klanten door het hele land heen werken. Dat maakt het hebben van een abonnement voor een vast traject niet interessant. Verder is het ook niet zo dat we iedere dag in de trein zitten waardoor eenn OV jaarkaart financieel ook niet voordelig is. Verder reizen we graag anoniem, omdat we vinden dat het de vervoerders geen bal aan gaat wie van waar naar waar reist en omdat we niet geloven in het opslaan van reizigers- en reisgegevens voor een periode van zeven jaar.

Op donderdag 17 september heeft Gendo een workshop verzorgt voor de Cascadis Webmasterclass bijeenkomst. Arjen Kamphuis en Menso Heus gaven de aanwezigen een breed overzicht van hoe het security landschap er uit ziet, wat een aantal veel voorkomende bedreigingen zijn en wat de deelnemers daar aan konden doen.

De workshop deelnemers werkten voor gemeenten, waterschappen, de politie en andere overheidsinstellingen en gebruikten een grote diversiteit aan systemen. Door een meer theoretische uitleg over security principes te geven in plaats van zeer systeemgerichte informatie slaagde Gendo er in de workshop voor iedereen interessant te houden.

In de aanloop naar Hacking at Random 2009 werd ik geinterviewd door security bedrijf Madison Gurkha. Klik op de afbeelding of hier voor een PDF op hogere resolutie.

Voor het blad van Stichting Nictiz mochten Anne Jonkman en ik onze mening geven op de stelling: "Hackers zijn de ultieme test voor het EPD". Voor meer info over mijn visie met de problemen op het EPD zoals het momenteel wordt uitgerold in Nederland zie mijn blogpost van vorig jaar: 'Pimp my EPD'.

Voor Digitaal bestuur werden Menso Heus en ik geïnterviewd over informatiebeveiliging en de overheid.

In 1989 hadden veel mensen nog nooit een computer aangeraakt en was Internet iets was wat je op de universiteit deed. Toch organiseerde een groep enthousiastelingen de 'Galactic Hacker Party' waar computer liefhebbers, digitale activisten, en hackers uit heel Europa elkaar konden ontmoeten. De bijeenkomst werd geheel door vrijwilligers georganiseerd om de kosten zo laag mogelijk te houden. Het was zo'n succes dat de formule in de VS werd overgenomen en men twee-jaarlijkse bijeenkomsten ging organiseren. In Duitsland kwam er naast het al bestaande jaarlijkse Chaos Computer Club Congres een twee-jaarlijks zomerkamp.

Heeft u wel eens 'De grote beurt' gezien? Dit is een auto-programma kloon van MTV's 'pimp my ride' waar oude auto's een makeover krijgen om ze weer hip&cool te maken. Probleem bij al het opleuken dat in deze programma's wordt gedaan is dat onder de nieuwe lak en glimmende velgen het een oude auto blijft die z'n beste tijd gehad heeft. Zo is het ook met het EPD.

Na mijn laatste column over de OV-chipkaart dacht ik dat er niets meer te zeggen zou zijn. Vele experts hadden het ding al naar de prullenbak verwezen en het was dus meer een kwestie van rustig afwachten tot het project zou afsterven (nadat er nog een paar miljoen gemeenschapsgeld over de balk gesmeten zou zijn – maar zo gaan die dingen nu eenmaal).

Zoals bij wel meer beleidsonderwerpen in Nederland hebben feiten en beleid echter steeds minder met elkaar te maken en gaat Staatssecretaris Huizinga voel goede moed verder met het uitrollen van een systeem waarvan iedere onafhankelijke expert al een jaar weet dat het onherstelbaar stuk is.

Het verschil tussen causale- en statistische verbanden blijft een bron van verwarring. Ook voor journalisten kennelijk want zowel Webwereld als de Automatiseringsgids slaan wat mij betreft de plank volledig mis (computerworld en ChannelWeb doen het niet veel beter).

2 jaar geleden zou ik een 'onderzoek' zoals Microsoft dat recentelijk heeft laten uitvoeren door marketing advies bureau The Harrison Group geweldig hebben gevonden. Zo'n document geeft altijd een paar sappige quotes waar je als opensource en open standards advocate jaren plezier van hebt. Het onderzoek claimt dat ongelicenceerde Windows PC's vaker crashen dan gelicenceerde op basis van een serie interviews met IT-ers uit het MKB (24-500 werkplekken). Maar dergelijke zeepbellen worden tegenwoordig snel genoeg doorgeprikt door de weldenkende burger. Met dank aan WC-eend.

Terwijl stemcomputers in Nederland al ruim een half jaar verboden zijn en het stemmen per computer voor zelfs waterschaps verkiezingen ook stervende is lijken fundamentele misverstanden over de kern van het probleem rond stemcomputers te blijven bestaan.

De vele knullige securityproblemen (video) of de afwezigheid van de broncode van de software (in het geval van Nedap en SDU stemcomputers) zijn weliswaar een prima aanleiding geweest om het onderwerp via de media op de politieke agenda te krijgen maar deze zaken zijn niet de kern van het probleem. En hoewel het dossier stemcomputer op het Ministerie van Binnenlandse zaken inmiddels een fel fluoriserende 'radioactief, niet aankomen!' sticker heeft blijft het risico bestaan dat lagere overheden of leveranciers blijven denken dat stemmen per computer best kan 'als we maar even die bugjes oplossen'.

Een paar weken geleden schreef ik hier al over de OV-chip farce als 'een geloof in de platte Aarde'. De werkelijkheid is echter nog erger dan een 21ste-eeuwse staatssecretaris die Middeleeuwse denkbeelden aanhangt. De OV-chipkaart is net een zombie in een low-budget film. Iedere keer als je denkt dat hij nu écht dood is omdat het niet meer lachwekkender en ongeloofwaardiger kan, staat de bloederige vleesklomp toch weer op om grommend nog een wannabe-acteur te lijf te gaan.

Het is opvallend dat de afgelopen dagen vrijwel niemand heeft bericht over het verschijnen van een rapport (PDF) van Inno-V, een adviesbureau voor duurzame mobiliteit. Alleen Kassa en Webwereld besteedden er aandacht aan. Of zou het zijn dat werkelijk niemand deze 'gebakken lucht' nog serieus genoeg neemt? Of heeft de meerderheid zich inmiddels neergelegd bij de overwinning van de OV-zombies?

De kapotte beveiliging van de OV-chipkaart en de wijze waarop de verantwoordelijke bestuurders hiermee omgaan, neemt lachwekkende vormen aan. Desperaat blijft de staatssecretaris zelfs nu nog vasthouden aan het idee 'dat het allemaal wel meevalt' en dat bedachte deadlines in principe gewoon gehaald kunnen worden. Het is alsof beleidsmakers niet willen geloven dat de aarde rond is omdat er nu eenmaal diepteinvesteringen in landkaarten gedaan zijn die uitgaan van een platte aarde.

Toen in december het onderzoek naar de interne werking van de Mifare Classic chip gepresenteerd werd, was er niemand aanwezig van een ministerie of van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). Vreemd, temeer omdat de inhoud van de presentatie al weken van te voren bekend was en het gebruik van de chip in toepassingen als toegangspassen niet bepaald een geheim is. Sinds die presentatie komen vanuit de overheid vooral ontkennende reacties. Onderbouwde opinies van onafhankelijke experts worden zorgvuldig genegeerd, ten gunste van dure onderzoeksrapporten. In iedere ronde stellen experts talloze problemen vast, maar het kabinet weigert keer op keer die visies te accepteren en laat wel rapporten schrijven die hun eigen politieke opinie rechtvaardigd.

Veel acuter dan de nog niet ingevoerde OV-chipkaart is de gekraakte beveiliging van 2 miljoen RFID deurpassen zo staat in het Parool en andere nieuwsbronnen Het idee dat de problemen met de Mifare Classic RFID chip zich zouden beperken tot het toepassingsgebied van de OV kaart, of tot het Nederlands grondgebied zijn een beetje naief. Alle toepassingen van de chip waar informatiebeveiliging een rol speelt staan op de helling.

Wat TNO vorige week nog voor onmogelijk hield maar waar experts het al over eens waren is nu werkelijkheid: De OV chipkaart is definitief gehacked door Duitse experts. De huidige technologie van de OV-chipkaart is daarmee definitief afgeschreven en ongeschikt om ingezet te worden voor toepassingen die enige vorm van bescherming van de gegevens vereisen. Maar wat ik het meest interesante aan de hele sage blijf vinden is dat iedereen maar TNO vervolg opdrachten blijft geven terwijl dit instituut, om wat voor reden dan ook, keer op keer volkomen de plank misslaat.

Bruce Schneier just posted a really good explanation about "the difference between feeling and reality in security". It is one of those articles I wish I'd written. Not because there is a great new nugget of insight in it but because it explains some very basic problems in thinking about security so very well.

The gist of the article is that as people living in modern environments we can have a hard time accurately estimating realistic trade offs between risks and reward. When the world was closely resembling the world we had developed in as a species we were better at it. Our brains were supported by millions of years of evolution in correctly estimating the risk versus rewards of certain actions. There's food here and a lion, should I stay or run? The specimens who made bad trade-off calls died of hunger or lions. The ones making good calls had many babies.

Het is toch wat met die stemcomputers, nu lekken ze weer de uitslag van de Amerikaanse presidentsverkiezingen van dit najaar. Op die manier is het volgen van zo'n TV-show natuurlijk helemaal niet leuk meer. Het is triest gesteld met de wereld als we niet eens meer kunnen vertrouwen op een goed georganiseerde fake-verkiezing.

Het pijnlijke van de parodiesite the Onion is hoe dicht bij de werkelijkheid hun berichten zijn. Iedereen die zicht bezighoudt met onderzoek naar stemcomputers weet dat ze volkomen ongeschikt zijn om op een tranparante en integere manier een verkiezing mee te organiseren. In steeds meer landen (of gedeelten ervan) worden ze dan ook afgeschaft. Maar ondanks de sterke indicaties van stemfraude in de verkiezingen van 2000, 2004, 2006 en in de voorverkiezingen van de afgelopen maanden houden bedrijven als Diebold het nog droog.

Gelukkig mogen we in Nederland na een kleine 2 decennia gewoon weer op papier stemmen. Of we die moeite ook nemen is een heel andere vraag.

Volgens IT en andere media gaat de Staatssecretaris onder de vlag van een aanvalsplan door met de OV chipkaart. Dit ondanks de zorgen van diverse experts. De instelling die vorig jaar nog riep dat het prima zat met die kaart (TNO) heeft het nu nog een keer onderzocht en zegt eigelijk nog steeds dat het prima zit. Hoewel hun rapport start met een uitgebreide beschrijving van wat ze niet hebben onderzocht. Ook wekt de filenaam "TNO_ICT_-_Security_Analysis_OV-Chipkaart_-_public_report.pdf" de suggestie dat er ook nog een niet publieke versie is. Wat zou daar in staan?

Voor het blad van de Nederlandse Reuma bond 'in Beweging' werd ik geinterviewed over de problemen met de beveliging van electronische patienten dossiers en de implicaties voor de veiligheid en privacy van patienten. Voor het artikel werd een mooie foto gemaakt in het datacenter van XS4all. Klik op de afbeelding voor een hogere resolutie.