De Nederlandse Bewaarplicht staat op losse schroeven. Dit komt om dat een Duiste rechter vindt dat de Duitse bewaarplicht voor verkeersgegevens in strijd is met de grondwet.  De wet is in strijd met het telecommunicatiegeheim. De al opgeslagen data moet zo snel mogelijk worden verntietigd.

Deze uitspraak zal naar verwachting ook voor Nederlandse organisaties die staan voor de verdediging van digitale burgerrechten aanleiding zijn om, als de Nederlandse wet is aangenomen, een procedure tegen de staat te beginnen. De Duitse uitspraak zal daarom gevolgen hebben voor de Nederlandse wet bewaarplicht. Onze Hoge Raad laat zich vaak inspireren door deze hoogste Duitse rechter, die op juridisch vlak een van de meest toonaangevende rechtsorganen van Europa is. Bovendien staat de Europese richtlijn nu ook op de tocht.

De Duitse wetgever zal nu een nieuwe wet gaan maken. Hierin moet precies worden opgenomen in welke gevallen de gegevens gebruikt mogen gaan worden. Ook moet worden bepaald dat er niet zomaar door diverse overheidsinstanties te pas en te onpas in de gegevens gezocht kan gaan worden.

De Eurocommissaris van Justitie, Viviane Reding zegt te willen onderzoeken of de opslag van de gegevens werkelijk noodzakelijk is, en of geen andere mogelijkheden bestaan om de doelstelling van de bewaarplicht te bereiken.

Het lijkt dat er dat de ongebreidelde uitbreiding van inbreuken op de privacy door de overheid eindelijk een halt is toegeroepen. Het standpunt van de Duiste rechter wordt gezien als een kentering in het debat. Axel Arnbak van digitale burgerrechtenbeweging Bits of Freedom: “Dit is een grensverleggende uitspraak met grote gevolgen voor Nederland, waar dezelfde fouten als in Duitsland in nog hevigere mate zijn gemaakt. Ook de Nederlandse wet komt nu dus op losse schroeven te staan.”

De Franse president Sarkozy wordt niet voor niks ‘petit Napoleon’ genoemd. Macht, macht macht en controle over iedereen. Dat lijkt het ultieme doel te zijn. Aanstaande dinsdag wordt in Frankrijk gestemd over een wet die internet filtering door de overheid toestaat. Waarschijnlijk is Sarkozy te raad gegaan bij de Chinese, Iranese en Noord Koreaanse autoriteiten. De as van het kwaad zeg maar. Daar weten ze wel raad met onwelgevallig surfgedrag.

Het internetfilter zou de opsporing van kinderpornohandelaren moeten vergemakkelijken. Op zich een loflijk streven. Maar als we beginnen met filteren dan wordt het daarmee voor de overheid wel erg gemakkelijk om te volgen wat haar burgers op het web uitspoken. En wordt direct een inbreuk gedaan op de vrijheid van meningsuiting.  Het is regelrechte censuur. Daarover hadden we toch eind negentiende eeuw afgesproken dat we dat niet meer zouden doen.  De vrijheid van meningsuiting is een belangrijk grondrecht dat met een felle strijd is verworven.

In de nieuwe wet wordt onder meer bepaald dat ISP’s gedwongen kunnen worden om specifiek door de overheid aangegeven  internet verkeer te blokkeren. Volgens technici zal de wet niet gaan werken omdat de nieuwste encryptie technologieën al gebruikt worden in het peer-to-peer verkeer. En zo zouden de illegale handelingen ‘onder de radar blijven’.

Sarkozy zal echter doorgaan. Eerst was het de ‘three strikes you’re out’-wet, daarna kondigde hij aan dat filtering een gerechtvaardigd middel is om illegaal downloaden tegen te gaan. En nu worden ISP’s verplicht om verkeer te gaan blokkeren als de wet wordt aangenomen.

Gelukkig zijn zijn eerdere pogingen op veel verzet gestuit in het Europees Parlement en ook in Frankrijk zelf. Maar deze regeringsleider met dictatoriale trekjes laat zich niet zo gemakkelijk stoppen.  De strijd tegen censuur moet blijkbaar opnieuw worden gevoerd. En dat zal een harde worden. Gelukkig zullen de ontwikkelingen in de techniek hem steeds het nakijken geven. En wordt het kat-en-muis spel toch nog beslist in het voordeel van de burgers.

Spionage vormt een reëel gevaar voor Nederland. Dat vindt de AIVD. En daarom hebben ze 3 brochures ontwikkeld om  bewustwording te kweken. Een van deze brochures gaat speciaal over ‘digitale spionage’.

Het is enorm prettig om te zien dat de AIVD waakt over onze veiligheid. En dat ze komen met “sterk inhoudelijke” tips. Die we anders niet zelf hadden kunnen bedenken. Zoals: “controleer altijd het e-mail adres van de afzender. Twijfelt u? Neem dan eerst contact met hem op” en “… open liever geen bijlages van onbekenden….”, “wantrouw e-mails die in slecht engels zijn gesteld..”.

Nou wil ik verder de security risico´s op internet geenszins bagatelliseren maar dit slaat echt nergens op. Het lijkt er sterk op dat de onbenulligheid van de AIVD zelf de basis is geweest voor deze brochure. Alle fouten die ze zelf gemaakt hebben, hebben ze in een foldertje gezet. De onmacht spreekt eruit. De publicaties zijn vooral bedoeld voor mensen uit het bedrijfsleven en overheidsfunctionarissen die in aanraking komen met informatie die voor andere landen interessant kan zijn. En waarschijnlijk zijn dat ongelofelijke nono´s. Het is allemaal van het niveau van `laat geen waardevolle spullen achter in uw auto`.

Internet security moet serieus worden genomen. En het kweken van bewustwording is daarvan een onderdeel. Maar in plaats van het formuleren van obligate tips zou het goed zijn als er een actieve verdediging wordt opgezet.  Er gaan miljoenen euri’s naar tanks, F-16´s, bommen en granaten. Maar wat doet het ministerie van defensie daadwerkelijk aan het opzetten van een verdediging tegen cyber-crime? Op welke wijze worden de white-hats benaderd om mee te denken en mee te werken aan de opzet van een verdedigingssysteem?

Daarnaast is het belangrijk dat elke organisatie door regelgeving gedwongen wordt een adequaat security plan te maken. De overheid moet hiermee beginnen het het goede voorbeeld geven. Uiteindelijk moet informatiebeveiliging net zo belangrijk worden binnen bedrijfsvoering als voedselveiligheid e.d.

De communicatie van de AIVD doet vermoeden dat het belang van een adequate nationale internetbeveiliging nog maar mondjesmaat wordt ingezien. En daar zit het echte probleem. De babyboomers die deze organisaties leiden moeten zo snel mogelijk worden vervangen. Hun gebrek aan affiniteit met ICT en internet leidt tot ongelukken. Het is aan de dertigers die opgegroeid zijn met internet en ICT om invulling te geven aan de nieuwe cyber-uitdagingen waarvoor we als maatschappij staan.

Bits of Freedom wil dat er een wet aangenomen wordt die verplicht dat datalekken worden gemeld. Op 27 januari wordt de evaluatie van de Wet bescherming persoonsgegevens in de Tweede Kamer besproken. Bits of Freedom vindt dit een goede gelegenheid om aandacht te vragen voor de invoering van een dergelijke wet.

Volgens Bits of Freedom komen onze persoonsgegevens in steeds meer databanken voor. Doordat deze databanken vaak aan het internet gekoppeld zijn zouden ze extra goed beveiligd moeten worden, maar dat gebeurt niet altijd. De kans op lekken neemt daardoor toe. En zo kunnen vertrouwelijke persoonsgegevens zo maar op straat komen te liggen. In de afgelopen tijd zijn er diverse lekken geweest waardoor persoonlijke gegevens op straat kwamen te liggen. Enkele voorbeelden :

• In december 2009 is een USB-stick met de gegevens van 3.000 klanten van de Rabobank kwijtgeraakt. De stick bevatte persoonsgegevens, beleggingsvormen en in veel gevallen de hoogte van het belegde vermogen.
• Het adresboek van persbureau GPD bleek in augustus 2009 voor iedereen via Google beschikbaar te zijn gemaakt. Hierdoor zijn de telefoonnummers van bekende Nederlanders die een geheim nummer hebben, waaronder Geert Wilders en Gerard Spong, beschikbaar gekomen.
• Het Dagblad van het Noorden heeft in mei 2009 meer dan 32.000 emailadressen van haar klanten per ongeluk toegankelijk gemaakt via haar website. De adressen zijn geindexeerd in zoekmachines.
• Een site waar gratis condooms werden konden worden besteld, maakte de gegevens van al haar klanten – ongeveer 10.000 – per ongeluk on-line beschikbaar. De site was juist bedoeld voor personen die zich schaamden om via een winkel condooms te kopen. Dit lek kwam in februari 2009 aan het licht.

Datalekken zouden gemeld moeten worden aan (potentiële) slachtoffers en het College Bescherming Persoonsgegevens, vindt Bits of Freedom. Zowel daadwerkelijke datalekken als mogelijke datalekken zouden onder de meldplicht moeten vallen. De huidige beperkte meldplicht zoals voorgeschreven in de ePrivacy-richtlijn vindt Bits of Freedom onvoldoende.

De Waarschuwingsdienst  wil in Nederland nog geen waarschuwing geven voor het gebruik van Internet Explorer, zoals in Duitsland is gebeurd.

Afgelopen weekeinde werden Duitse internetgebruikers gewaarschuwd om een andere internetbrowser dan Internet Explorer te kiezen. IE versie 6, 7 en 8 in combinatie met Windows XP, Vista of 7 zou onveilig zijn omdat  er misbruik gemaakt kan worden van een nog niet gedicht lek in de browser.

De Nederlandse Waarschuwingsdienst zegt het nog te vroeg te vinden voor een waarschuwing. “Eigenlijk brengen we alleen maar een waarschuwing uit als er ook een oplossing voor is”, vertelt woordvoerster Ella Broos tegenover ISPam.nl.  “De workaround die Microsoft heeft uitgebracht om het lek tijdelijk te dichten zijn we nu aan het testen.” Hoe lang het testen van de workaround gaat duren, kan Broos niet zeggen.

“Bovendien hebben we in Nederland nog geen misbruik van dit lek geconstateerd en willen we wel weten of er ook echt iets aan de hand is. Anders zaaien we alleen maar paniek.” Broos sluit zeker niet uit dat er later nog een melding of een waarschuwing komt van het lek in Internet Explorer.

Volgens Microsoft is een waarschuwing op dit moment niet nodig en volstaat het door de veiligheidsinstellingen van Internet Explorer op ‘hoog’ te zetten, hoewel dit een aantal mogelijkheden van de browser en sommige sites blokkeert. Het softwarebedrijf werkt op dit moment aan een goede patch die tijdens één van de maandelijkse patchrondes uitgebracht zou moeten worden.

De dataretentie-wet staat mogelijk op lossen schroeven. In Duitsland wordt momenteel een proces gevoerd over de vraag of deze wet, die ook in de Nederlandse vorm in Nederland geldt, in strijd is met de grondwet. Het proces wordt gesteund door 34.000 Duitse burgers.  Het Duitse  Bundesverfassungsgericht (zeg maar de rechter) was in een eerdere fase van dit proces al bijzonder kritisch over de dataretentie-wet en toonde zich tijdens de behandeling van deze zaak opnieuw bijzonder kritisch. In Duitsland ligt de zaak nog gevoeliger dan in Nederland vanwege het Naziverleden.

De wet, die vooral bedoeld was om terroristen de pas af te snijden of om zware misdrijven op te lossen, wordt ook door de content-industrie likkebarend bekeken. De content industrie wil de nieuwe wet graag gebruiken bij de handhaving van auteursrechten. Zoals zo vaak bij het vastleggen van extra gegevens dreigt het oorspronkelijke doel uit het oog te worden verloren. Als gegevens eenmaal vastliggen zullen deze gegevens ook gebruikt gaan worden voor zaken waarvoor het niet bedoeld was.

Het verloop van de rechtzaak heeft de tegenstanders van de wet extra hoop gegeven dat de rechter hun argumentatie zal volgen. De uitspraak wordt in de komende maanden verwacht. Als de tegenstanders hun gelijk halen is het ook te verwachten dat in Nederland werk gemaakt wordt van het aanvechten van deze wet.

In Nederland voert het Agentschap Telecom sinds enige tijd overleg met de ISP’s over de uitvoering van deze wet en de wijze waarop ISP’s de dataretentie moeten gaan organiseren.

Schrijvers van malware en andere criminelen die botnets en spamengines exploiteren zijn bezig hun eigen virtuele datacentra op te zetten. Dat meldt Kaspersky lab security. Tot nu toe maakten deze criminelen gebruik van shared hosting platforms. Maar sinds de politie acties onderneemt tegen deze platforms zijn veel criminelen bezig om in het geheim eigen centra op te zetten.

Een de redenen waardoor deze criminelen hun gang kunnen gaan is dat bij de aanvragen voor IP-ranges er te weinig vragen worden gesteld door de uitgevende RIR’s (regional Internet registries) zoals RIPE. Normaal gesproken moet je een goede reden geven als je de beschikking wil krijgen over een IP-range. Maar vaak ontbreekt de tijd om een aanvraag goed te screenen.

Als de criminelen over een IP range beschikken hebben ze een belangrijke horde genomen om redelijk vrij hun werk te kunnen doen, aldus Kaspserky. “Het loopt volledig uit de hand. Als je een IP range hebt dan ben je je eigen ISP”, zegt Alex Lanstein van FireEye, een anti-malware verkoper. Een goed voorbeeld betreft een Russische groep die zonder al te veel problemen een IP Range kreeg toegewezen door het RIPE. Vervolgens duurde het nog twee jaar voorat Ripe in staat was om de criminelen weer af te sluiten.

Er wordt gepleit voor betere bewustwording, controle en de oprichting van een abuse-desk.

De USA en Rusland zijn gesprekken begonnen over de versterking van Internet Security en de beperking van het militair gebruik van het internet. Dat meldt de New York Times zondag. De gesprekken zijn een belangrijke koerswijziging van de USA, tot nu toe waren zij daar niet toe bereid. De regering Obama is zich bewust van de grootschalige ontwikkeling van cyberwapens.

Een nieuwe aanpak moet een internationale wapenwedloop op het web voorkomen. In de afgelopen jaren zijn er dagelijks duizenden aanvallen op computer systemen van de overheid en grote bedrijven ontstaan. Deze aanvallen resulteren in vastlopende systemen en websites, gestolen gegevens en de ontvreemding van industriële geheimen. Binnenkort zal Obama een speciale adviseur aanstellen die de nationale aanpak moet coördineren. Afgelopen maanden zijn er diverse gesprekken geweest tussen de Russen en Amerikanen om de tot nu bestaande tegenstellingen te overbruggen. De Russen vinden dat de veiligheid op internet het best gediend is met een internationale aanpak resulterend in een verdrag vergelijkbaar met het non-proliferatie verdrag voor nucleaire, chemische en biologische wapens.

Volgens de New York Times ontwikkelen veel landen, waaronder de USA wapens die gebruikt kunnen worden op computernetwerken. De wapens zouden banksystemen maar ook elektriciteitsmaatschappijen en overheden kunnen lamleggen. De gebruikte wapens zijn zgn ‘logic bombs’ die verstopt worden in computers en op een nader te bepalen tijdstip schade aan kunnen richten. Ook ‘botnets’ kunnen websites en netwerken onklaar maken of gebruikt worden voor spionage. Ook wordt gewerkt aan Microgolven die op kilometers afstand computers kunnen vernietigen.

Het constitutioneelhof van Roemenië heeft geoordeeld dat de bewaarplicht ongrondwettelijk en in strijdt met de mensenrechten is. Er is nu een Engelse vertaling openbaar gemaakt van het oordeel dat al op 8 oktober dit jaar werd uitgesproken. Roemenië is het eerste land waar de rechter een dergelijk oordeel heeft uitgesproken.

Het opslaan van de verkeersgegevens van alle burgers is volgens het constitutioneelhof een schending van het recht op privacy, correspondentiegeheim, vrije verplaatsing en uitingsvrijheid.

Daarbij worden ook niet alleen van de personen die het initiatief nemen tot het contact, maar ook de ontvangers van de communicatie hun gegevens bewaard. De ontvangers kunnen zich niet beschermen tegen het gevaar van verkeerde conclusies die kunnen worden getrokken door het contact met een derde. Er kan zelfs doelbewust sprake zijn van verdachtmakingen door derden die het contact initiëren.

De hele bevolking wordt door de bewaarplicht bestempeld tot verdachte van terroristische en andere ernstige misdrijven. Als uitsmijter waarschuwt het constitutioneelhof er voor dat dit soort wetgeving er toe kan leiden dat de democratie kan worden opgeblazen, onder het mom van haar te beschermen. Iets waar al verschillende malen voor gewaarschuwd is door het Europees Hof voor de Rechten van de Mens (EHRM).

Ook in Duitsland loopt er bij het constitutioneelhof een procedure tegen de bewaarplicht. In december houdt het een hoorzitting en pas medio 2010 wordt een uitspraak verwacht. In eerste instantie heeft het constitutioneelhof zich al kritisch over de bewaarplicht uitgelaten. Het is niet uit te sluiten, dat het net als haar Roemeense collega tot de conclusie komt dat de bewaarplicht in strijdt met de mensenrechten is.

In Nederland bestaat er geen constitutioneelhof, en de rechter mag de wet niet aan de Grondwet toetsen. Wel mag de rechter aan ieder verbindende voorschriften van verdragen toetsen, zoals het Europees Verdrag voor de Rechten van de Mens (EVRM). Het constitutioneelhof van Roemenië is van mening dat de bewaarplicht met het EVRM in strijd is. Mogelijk kan de Nederlandse rechter daar inspiratie uit putten, om de bewaarplicht in Nederland onverbindend te verklaren.

Uit onderzoek van ISPam.nl blijkt dat veel webhosters in de Benelux hun zaakjes technisch niet op orde hebben. De nameservers van een kwart van de webhosters zijn open recursive. Deze beantwoorden DNS-queries niet alleen van eigen domeinnamen, maar ook van willekeurige anderen. Open recursive nameservers kunnen worden misbruikt om DDoS-aanvallen te starten.

Het onderzoek is uitgevoerd op basis van de websites van de 953 webhosters die staan vermeldt in ISPGids.com. Via de éérste nameserver die de eigen website van de webhosters gebruiken is geprobeerd om het A-record van google.nl op te vragen. Van de 953 nameservers, kregen we 37 keer helemaal geen response, 699 keer wel reactie maar zonder het bijbehorende A-record en maar liefst 217 nameservers gaf keurig het A-record van google.nl terug en is dus open recursive.

Van de open recursive nameservers hebben we gekeken welke controle paneel er wordt gebruikt. Hiervoor is gekeken de van de verschillende controle panelen bekende poorten op de bewuste servers open staan. We hebben hierbij gecontroleerd op 4 populaire controle panelen: DirectAdmin, Cpanel, Plesk en Webmin. Totaal kon in 134 gevallen het controle paneel worden vastgesteld. Het meeste kwam DirectAdmin voor op 104 servers, daarna volgden Cpanel op 14 servers, Plesk op 13 servers en Webmin op 3 servers.

Het feit dat er tenminste helft van de open recursive nameservers sprake is van een standaard controle paneel. Doet vermoeden dat veel webhosters hun servers online zetten met een standaard controle paneel. Daarna wordt gedacht dat alles wel goed komt. Er is dus werk aan de winkel voor een groot aantal webhosters. Om precies te zijn 217 webhosters!