It is the middle of the night. I am sitting beside a sergeant in a jeep, watching how groups of soldiers make their way during an exercise. "Where did you do your obligatory military service?" he asked me. "I was conscientious objector." "Then how comes you are sitting beside me, in battledress?"

He asked exactly the right question. The short answer: I was doing an internship as humanist counselor, I was there to give spiritual care to the soldiers. But to understand what a Data Protection Officer (DPO) can learn from Dutch spiritual care, I need to explain a bit more. In the Netherlands there is a strong tradition of independent spiritual care. Hospitals, Prisons and the Army are obliged to employ chaplains, imams and humanist counselors. Their task is to look after the "spiritual wellbeing" of patients, prisoners and serviceman. They are positioned outside the organization, in the sense that they only have to take responsibility to their spiritual fellowship. Their direct employers can't command them and they have to adhere strict confidentiality, up to the point where they may not testify in court about their clients.

At the same time, to give proper spiritual care, they have to be very close to the organization they are working for. They must have a profound understanding of the processes in the organization and how those effect people. They must know every corner of the organization, so they can signal problems and people must know how to find them if a problem arises. Their goal is the well-being of the people they are responsible for, and though that often is in line with the goals of the organization they are working for, it not necessarily is. In that sense they are placed outside the organization, they have to be critical about how the goals of the organization affects the people involved. At the same time they need to be strongly embedded in the organization to be effective. Sometimes the most effective way to care for the people, is by playing the game of changing the organization while not having any formal power.

There is always a tension between being inside the organization and being independent to it, a tension between helping the organization and being critical to it. And you can't give spiritual care if you don't accept at least the existence and goals of the organization. A nice example of the tension was during my internship when a captain send one of his soldiers to me, the captain felt I needed to talk to him. After just a short talk, the picture was clear. The soldier had made up his mind and wanted to quit (and was in a position where he could do so). He had not the slightest doubt about it. So I got back to the captain: where was that for? The soldier was the best recruit the captain had for years and the captain hoped I could convince the soldier to stay. Bad luck: if the soldier had any doubt, I could have helped him to make up his mind, whatever outcome it would have. It was my job to care for the soldier, even if it conflicts with the goals of the army.

This https://iapp.org/news/a/where-should-the-new-mandatory-dpo-sit/ discussion remembers me of my internship at the army. To function as DPO, your goal is compliance with the GDPR, and that is not necessarily the goal of the organization you work for. And you are the most effective if you know the processes in your organization by heart, if you can help out with designing processes and even advise on the strategic level. And if you are convinced your organization is GDPR compliant, you can speak out publicly and represent the organization. But you always have to steer between being close to your organization and keeping your professional distance. When you are outside the organization you are not effective, when you are too close to it you drift away from what you are there for.

So when the sergeant asked me that night why I was conscientious objector and still sitting beside him in battledress, I answered: "Being a soldier is a hell of a job. I couldn't unite it with my conscience, but I don't want to leave people who made an other choice alone." The sergeants face reflected years of witnessing war crimes in Bosnia: "That is good".

I hope DPO's will keep a sharp eye on their goal of compliance with the GDPR , but I also hope that they won't leave the people alone who are struggling with privacy while doing their job. DPO is a paradoxical but great position!

De afgelopen weken is er veel ophef ontstaan over de wijzigingen van de "Wet marktordening gezondheidszorg (https://www.eerstekamer.nl/wetsvoorstel/33980_verbeteren_van_toezicht). De tweede kamer heeft die wet, vers terug van het zomerreces, goedgekeurd. Nu ligt hij bij de eerste kamer. In een ander debat refereerden verschillende leden van de eerste kamer al aan deze wet als het ‘afschaffen van het medisch beroepsgeheim'. Het indienen van deze wet is minister Schippers op een nominatie voor de ‘Big Brother Award' te komen staan (https://bigbrotherawards.nl/genomineerden/#Schippers) en de VvAA heeft Spong advocaten laten uitzoeken dat deze wet in strijd is met het Europees verdrag Voor de Rechten van de Mens (https://www.vvaa.nl/voor-leden/nieuws/inzage-medisch-dossier-zonder-toestemming-patient-in-strijd-met-mensenrechten). Dat betekent dat als de wet aangenomen wordt, een gang naar de rechter voldoende is om hem weer van tafel te krijgen, ik kan me niet voorstellen dat de eerste kamer daar op gaat wachten...

Al deze kritiek richt zich op een punt: het doorbreken van het medisch beroepsgeheim. Dat is een paardenmiddel. Daarom mag het alleen als het in verhouding staat tot het probleem dat ermee opgelost moet worden (proportionaliteit) en als er geen alternatieve manier is om dat probleem op te lossen (subsidiariteit). Beiden zijn bij dit wetsvoorstel zeer twijfelachtig en roepen terecht vragen op.

Maar als je het wetsvoorstel er zelf bij te pakt en goed leest, is er meer aan de hand. Het eerste wat opvalt, is dat het een ingewikkeld wetsvoorstel is dat op veel verschillende plaatsen wijzigingen aanbrengt in verschillende, aan elkaar gelinkte, wetten. Alleen al het uitzoeken hoe de wetboeken er uitzien voor en na de wijziging, is veel werk. Wat ook opvalt, is dat de wet een onaffe indruk maakt: er zijn een handvol artikelen die nog als inhoud "To Do" hebben. In een flink aantal andere artikelen zitten slordigheden of interne inconsistenties. De meeste daarvan zijn onschuldig, maar het wetsvoorstel laat zich eerder lezen als een intern concept dan als een wet die af is. Het lijkt wel alsof de minister niet echt verwachtte dat deze wet door de tweede kamer zou komen. Dat de tweede kamer deze wet toch aangenomen heeft, zet te denken.

Ronduit gevaarlijk is het ‘slippertje' van wijziging Y: In artikel 70 wordt in lid 2 toegevoegd dat het Openbaar Ministerie en de Politie ook toegang krijgen tot medische gegevens voor ‘het uitoefenen van hun taak'. Dat artikel was bedoeld om de toezichthouders die over fraude in de zorg gaan toegang te geven tot de informatie die ze nodig hebben. De voorgestelde wijziging voegt de strafrechtelijke keten toe, zonder dat er enige beperking is voor wat voor een soort zaken dat kan en zonder dat er enige bescherming van het medisch beroepsgeheim is. Zoals het er nu staat kunnen bijvoorbeeld de politie en het OM opvragen wie er bij de psychiater spreekt over verslavingsproblemen om drugsgebruikers op te sporen. Ik kan me niet voorstellen dat dit de bedoeling van minister Schippers is. Maar dat dit zo in de wet staat en dat het zo door de tweede kamer is gekomen, tekent het proces.

Maar terug naar de grote lijn van de wet, wat gaat er nu echt door de wijziging veranderen? De kern is dat de DBC-informatie, de ruggengraat van het huidige bekostigingssysteem en de gegevens van de diagnostische testen zelf, door een getrapte zeef gaan. De eerste trap is een automatische zoektocht naar eenvoudige vergissingen, een controle of alle codes wel kloppen. Daarin verandert niets, dat gebeurt nu ook. Vanaf de tweede stap verandert het proces wel: de controle of de diagnoses en de bijbehorende behandelingen lijken te kloppen mag volgens de wetswijziging op grote schaal geautomatiseerd worden. Als er daar twijfels uit voort komen, dan kan het onderzoek opgeschaald worden. De laatste traptrede is dat het volledige medische dossier door de verzekeraar ingezien kan worden. De huidige praktijk daarvoor is al twijfelachtig: dat inzien steunt te veel op zelfregulatie door de verzekeraars. En die zelfregulatie was eerder voor de rechter al genoeg reden om het DIS, een uitwisseling voor DBC-informatie, optioneel in plaats van verplicht te maken (http://uitspraken.rechtspraak.nl/#zoekverfijn/ljn=BV8297).

In de laagste trappen zit een onverwacht probleem: de wet is er op geschreven om ‘Big Data' analyses met alle zorgdata uit te kunnen uitvoeren. Alle diagnoses, diagnostische informatie en behandelingen van alle Nederlanders wordt in een grote data-vijver gestort en de verzekeraars mogen vervolgens in die vijver gaan ‘sleepnetten' om de rotte vissen er uit te vissen. En dat is gevaarlijk. Het is niet gevaarlijk omdat het Big Data is, Big Data kan verrassende en waardevolle inzichten opleveren en zo een grote bijdrage leveren aan onze zorg. Big Data an sich is nog niet gevaarlijk. Het is gevaarlijk omdat door de wet Big Data op de verkeerde manier wordt ingezet. De wet is de geboorte van een driekoppig Big Data monster.

De eerste kop van het monster is de grote data-vijver. Die vijver is onnodig en maakt het alleen moeilijker om de data te beschermen. Een mooi Nederlands initiatief, De Personal Health Train (PHT, http://www.dtls.nl/fair-data/personal-health-train/), laat zien dat het helemaal niet nodig is om alle gegevens zonder controle en zonder toestemming van de cliënt in een grote vijver te gooien. De PHT houdt de data gedecentraliseerd en maakt het toch mogelijk om analyses op die data uit te voeren. Sterker nog, de echt grote Big Data jongs van het CERN verwerken hun data alleen maar decentraal, dat werkt beter dan een grote data-vijver. Het is een misverstand dat je een data-vijver nodig hebt voor Big Data analyse. Het is een even hardnekkig misverstand dat het ondoenlijk is om het data-subject daarbij toestemming te vragen.

De tweede kop van het monster is de herkomst van de data en het doel van de analyses. De brondata waarmee de grote data-vijver gevoed wordt is de DBC-informatie. Het DBC-systeem levert echter geen neutrale data op. Doordat het DBC-systeem nogal starre zorgpaden voorschrijft, gaan de artsen in de praktijk regelmatig ‘creatief' met het systeem om: ze maken een inschatting van wat de cliënt nodig heeft en passen de diagnose zo aan dat de cliënt de kortste route naar de noodzakelijke hulp krijgt. Artsen hebben die bewegingsvrijheid nodig om te zorgen dat de juiste zorg op de juiste plaats terecht komt, het is de smeerolie die het systeem laat functioneren. De DBC-informatie die de bron is van de grote data-vijver is dus vertekend door het DBC-systeem zelf. Geen probleem, Big Data technieken zijn bij uitstek geschikt om ruis en signaal uit elkaar te halen en om systematische vertekeningen in kaart te brengen en te corrigeren. Dat vraagt wel om zorgvuldige analyses waarbij je kritisch kijkt naar je data en wat die echt betekent. Maar die kritische houding is niet mogelijk als het doel van het systeem het opsporen van DBC-fraude zelf is. Een arts die bewegingsvrijheid zoekt om voor de cliënt de scherpe kanten van het DBC-systeem te verzachten, ziet er voor het systeem het zelfde uit als een arts die voor eigen gewin de verzekeraar aan het oplichten is. Dat maakt het systeem blind voor het verschil tussen rotte vis en bijvangst. De wetswijziging bevat niets om die blinde vlek op te vangen. En het opvangen van die blinde vlek is lastig: serieuze analyse van deze data betekent ook serieus kijken naar waar de DBC-systematiek knelt.

De derde kop van het monster zit in het geautomatiseerde karakter van de escalatie naar een volgende trap: als het sleepnet een visje vangt, dan staat de wetswijziging toe dat het visje automatisch door gaat naar de visverwerking, bijvangst of niet. En bij elke trap mag er steeds verder aan de rechten van het visje, eh de cliënt, getornd worden. De Wet Bescherming Persoonsgegevens staat dergelijke geautomatiseerde systemen alleen toe als ze met voldoende waarborgen omgeven zijn (https://autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten/wbp-naslag/hoofdstuk-6-rechten-van-de-betrokkene-art-35-tm-42/artikel-42-lid-1 en https://autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten/wbp-naslag/hoofdstuk-6-rechten-van-de-betrokkene-art-35-tm-42/artikel-42-lid-2). De wetswijziging kent niet zulke waarborgen, er is geen enkele veiligheidsklep ingebouwd tegen het geautomatiseerd en onterecht aantasten van de rechten van cliënten. Als je bijvangst bent, kan het zijn dat je automatisch gefileerd in de diepvries eindigt. Zonder dat je er iets aan hebt kunnen doen.

Het wijzigingsvoorstel van Wet marktordening gezondheidszorg is slordig, verbreekt het medisch beroepsgeheim en steunt teveel op zelfregulatie. Maar het voorstel is vooral een schoolvoorbeeld van de fouten die je met Big Data kan maken. Het Big Data monster dat de wet creëert, neemt bijna cartooneske proporties aan. Behalve dat wel het vertrouwen in de gezondheidszorg op het spel staat...

Stichting Vrijbit daagt de Autoriteit Persoonsgegevens (AP) voor de rechter. Ze vindt dat de AP moet optreden tegen eerdere data uitwisselingen via het DBC-informatiesysteem. Zie: http://platformburgerrechten.nl/2016/08/16/wat-onderzocht-de-autoriteit-persoonsgegevens-allemaal-niet-aan-het-dis/ en https://www.vrijbit.nl/dossiers/dossier-gezondheidszorg/item/1050-30-9-beroepszaak-vrijbit-tegen-autoriteit-persoonsgegevens-voorheen-cbp.html

Los van het feit dat het een interessante trend is om de toch al overwerkte AP via de rechter te dwingen om te handhaven, een paar meer van zulke rechtszaken en ze doen niets anders meer, is er ook inhoudelijk nog wel een interessante kant aan deze zaak.

DBC's en het DIS

De gezondheidszorg wordt georganiseerd rond Diagnose Behandel Combinaties, DBC's. Het idee is dat een bepaalde aandoening met een aantal handelingen van de specialist verholpen kan worden. Aan elke diagnose wordt dus een bepaalde behandeling gekoppeld. Die moeten vergoed worden door de verzekeraars. Dus is bij de NZA het DBC-informatiesysteem (DIS) opgezet om de DBC informatie uit te wisselen met de verzekeraars, het CBS, Zorginstituut Nederland en het CBP. Natuurlijk is het uitwisselen van diagnoses een beetje omstreden: het zijn immers gegevens die onder het medische beroepsgeheim vallen. Vandaar dus dat de gegevens gepseudonimiseerd werden uitgewisseld: Het BSN werd vervangen voor een unieke code, waardoor het niet meer direct aan een persoon te koppelen zou moeten zijn.

Het probleem van pseudonimiseren

Pseudonimiseren kent echter een paar problemen. Als het je lukt om op de een of andere manier een tabel van BSN's en pseudoniemen te maken, dan valt het hele systeem in elkaar. De pseudoniemen moeten dus niet alleen via een technisch heel goed ontworpen systeem gemaakt worden, de gegevens die je niet pseudonimiseert mogen niet zo uniek zijn dat ze alsnog naar een persoon te herleiden zijn. Voor beide punten geldt dat in de loop van de tijd technieken om de pseudonimisering te doorbreken steeds geavanceerder worden. Ook geldt dat hoe meer je over een pseudoniem weet (lees: hoe meer diagnoses doorgegeven worden) hoe makkelijker wordt om de gegevens te herleiden naar een persoon. Het is dus heel goed mogelijk dat een pseudonimisering die bij het oprichten van het DIS in 2006 voldoende was, in 2016 niet meer voldoet.

Per wanneer persoonsgegevens?

De definitie van een persoonsgegeven, en dus of bepaalde gegevens onder de strenge privacy wetgeving vallen, hangt af van de vraag of de gegevens te herleiden zijn naar een persoon. Bij het oprichten van het DIS in 2006 oordeelde de voorganger van de AP, het CBP, dat de pseudonimisering van het DIS afdoende was en dat het DIS daardoor niet de strenge privacy eisen hoefde te voldoen: www.platformburgerrechten.nl/wp-content/uploads/2015/08/z2005-0814.pdf. In 2014 werd op Europees niveau besloten om de eisen waar pseudonimisering aan moet voldoen op te schroeven, naar aanleiding daarvan oordeelde het CBP in 2015 dat het de pseudonimisering van het DIS niet meer voldoet en dat de uitgewisselde gegevens gevoelige persoonsgegevens zijn geworden. Begin 2016 verzocht stichting Vrijbit de AP om handhavend op te treden tegen het DIS. Het rapport daarvan is afgelopen juni gepubliceerd: https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-nza-mag-diagnosegegevens-uit-dis-beperkt-verstrekken. De conclusie is duidelijk: het DIS verwerkt gevoelige persoonsgegevens en mag daarom alleen gegevens uitwisselen als dat in een wet verankerd is. De NZA heeft die uitspraak niet afgewacht en is in 2015 al gestopt om gegevens via het DIS uit te wisselen met partijen die omstreden zijn. De AP concludeert dat ook dat er nu geen vuiltje aan de lucht is. Stichting Vrijbit is daar niet tevreden mee, en vandaar ook hun rechtzaak: ze willen ook een uitspraak over de periode voor 2015.

Handhaven op moving targets...

En nu komt de grote, interessante vraag: per wanneer is de pseudonimisering onvoldoende geworden en dus per wanneer is de uitwisseling illegaal? Vanaf het oprichten van het DIS in 2006 en de TTP-zorg (die de pseudonimisering verzorgt) was er twijfel of de pseudonimisering afdoende was. Het CBP oordeelde echter in 2006 dat het voldoende was, maar dat de ontwikkelingen wel in de gaten gehouden moesten worden. In 2006 is dus het dus duidelijk dat er geen sprake is van het uitwisselen van persoonsgegevens. In 2015 oordeelt de AP dat er wel sprake is van persoonsgegevens. Waar tussen 2006 en 2015 zit de omslag? Vanuit de techniek bekeken is daar geen hard oordeel over te geven: zoals met alle beveiligingsproblemen is de grens tussen veilig of onveilig een glijdende schaal, het is de vraag hoeveel moeite je moet doen om een beveiliging te doorbreken. Die moeite is steeds minder geworden. Maar als je gaat handhaven, is zo een zachte grens vervelend: er moet ergens een streep getrokken worden wanneer er iets illegaal is of niet.

De AP ontwijkt deze discussie door alleen naar 2016 te kijken. Een van de principes van het recht is, dan je niet later veroordeeld kan worden voor iets wat niet strafbaar is op het moment dat je het doet. Als nu iets mag, mag je daar niet later over veroordeeld worden. Als het CBP in 2006 zegt dat het DIS acceptabel is, mag het DIS niet per 2006 illegaal verklaard worden. Dat oordeel kan niet met terugwerkende kracht gewijzigd worden. Vandaar ook dat Vrijbit een kruistocht voert tegen de AP en niet direct tegen de DIS: de AP moet zeggen de DIS niet mag en had dat volgens Vrijbit al in 2013 moeten doen, toen oordeelde de rechter dat de uitspraak van het CBP over het DIS uit 2006 niet correct was. De AP zegt: "jammer, dat is toen niet gedaan en we kunnen alleen per nu oordelen en nu is er niets meer aan de hand". Formeel hebben ze daar gelijk in: ze moeten eerst oordelen dat iets illegaal is voordat ze kunnen handhaven. De AP kan nu alleen nog maar op de vingers getikt worden dat ze dat niet eerder gedaan hebben, voor de DIS maakt dat niet meer uit.

Maar wat als je, net als de DIS, op pseudonimisering vertrouwt maar je hebt geen Vrijbit-luis in je pels zitten die daar rechtzaken over voert? Wanneer is je pseudonimisering dan voldoende? En kan het je gebeuren dat je er op vertrouwt dat je goed zit maar dat je later alsnog op de vingers getikt wordt? Wanneer wordt juridisch een harde streep getrokken op de technisch gezien glijdende schaal? In het juridische steekspel dat nu ontstaat, gaat deze voor de dagelijkse praktijk relevante vraag ten onder. Het zou heel fijn zijn als er een uitspraak komt over waar die grens getrokken wordt. Wat dat betreft hoop ik dat de AP of de rechter zijn nek uitsteekt en wel een inhoudelijke uitspraak doet.

Het beeld dat de AP een tandeloze tijger is, blijft echter hoe dan ook hangen...

Naar aanleiding van mijn blog over de encryptie van WhatsApp, kreeg ik van verschillende kanten de vraag wat nu eigenlijk het verschil is tussen WhatsApp en een gespecialiseerde berichtendienst voor de zorg. Een terechte vraag, waar ik een genuanceerd maar duidelijk antwoord op kan geven. Het antwoord speelt zich af op meerdere niveaus af: ethisch, juridisch en technisch. Over het meeste wat ik hier zeg heb ik papers gepresenteerd op conferenties. Wil je ergens meer over weten, laat het me dan even weten. En nee, ik ga geen namen noemen, na het lezen van deze blog kan je zelf oordelen!

Ethisch is het centrale probleem dat wie zeggenschap heeft over jouw data ook kan bepalen wie je bent. Identiteitsvorming loopt via wat een ander wel of niet over jou weet. Als je daar de controle over verliest dan verlies je je mogelijkheid tot zelfbeschikking. Aan de rand van dit centrale thema spelen er nog een aantal thema's, zoals dat algoritmes (onbedoeld?) kunnen discrimineren, dat we systemen bouwen die zelfstandig ingrijpen op het leven van mensen en daarmee eigen verantwoordelijkheid lijken te hebben en het feit dat mensen veranderen maar data over de mensen niet lijkt te veranderen. Bij profilering worden veel van die ethische discussies heel zichtbaar, maar het is niet de enige techniek waarbij ze spelen. Die zichtbaarheid van het profileren maakt dat bedrijven als Facebook en Google, maar ook geheime diensten als de NSA zich in het oog van de storm van de privacy-discussie bevinden. Het verschil tussen een clouddienst als WhatsApp en een gespecialiseerde dienst is dat het business model van WhatsApp neerkomt op het bepalen van jouw identiteit terwijl het business model bij een gespecialiseerde dienst neerkomt op het niet bemoeien met jouw identiteit. Ze zien dezelfde data, maar ze gaan er op totaal andere wijze mee om.

Juridisch speelt dat onze wetgeving een weerslag zou moeten zijn van een ethische consensus, maar dat die consensus er in de maatschappij maar in beperkte mate is. Daarnaast is het eigenlijk nauwelijks mogelijk is om wetgeving te maken die de huidige technische ontwikkelingen kan volgen. Dat maakt dat rechters en toezichthouders die het tempo van de ontwikkelingen ook niet kunnen volgen de hete kolen uit het vuur mogen halen. Alhoewel rechters en toezichthouders in redelijke onvoorspelbaar zijn, zie ik wel een grote lijn ontstaan. En volgens die lijn zijn de voorwaarden waaronder WhatsApp aangeboden ronduit illegaal in de EU (en niet alleen illegaal voor hulpverlening) terwijl de voorwaarden van gespecialiseerde diensten het gebruik ervan voor hulpverlening wel legaal maken. Een ander probleem is de jurisdictie: in een zo snel en grillig bewegend veld, ontstaan er ook grote verschillen tussen landen. Wat in de ene jurisdictie volstrekt acceptabel is, kan in een andere jurisdictie een zwaar misdrijf zijn. Het internet is er echter niet op ingericht om zich aan jurisdicties te houden, waardoor je heel makkelijk ermee in de knoop komt. De enige oplossing daarvoor is, geheel tegen de geest van het internet in, gebruik te maken van lokale spelers.

Technisch zie je dat er steeds nieuwe ontwikkelingen zijn die ethisch en juridisch geplaatste moeten worden. Metadata analyse is daar op dit moment de voornaamste van. Metadata analyse is lang onder de radar van ethici en juristen gebleven, terwijl het langzamerhand een van de belangrijkste technieken is geworden. In de VS is het gat tussen wet en praktijk nog groter dan in de EU: metadata wordt in de VS nog nauwelijks als persoonsgegeven gezien. Dat is waarom in de algemene voorwaarden van bedrijven als WhatsApp metadata knalhard vogelvrij is of waarom we nu in Nederland een voorstel voor een wet op de inlichtingendiensten hebben liggen waarin metadata onbeperkt geanalyseerd mag worden. Het juridische gat rond metadata is voor een bedrijf als WhatsApp een kans om het businessmodel te versterken, terwijl het voor een gespecialiseerde berichtendienst juist een bedreiging is voor de business, iets dat opgelost moet worden.

Als hulpverlener heb je een set van waarden die centraal staan in het contact met je cliënt. Deels zijn die waarden gegeven door een maatschappelijke consensus en vastgelegd in wetgeving,deels heb je de speelruimte om een benadering van je cliënt te kiezen die past bij jouw soort van hulpverlening. Als je kiest voor een bepaald communicatie kanaal, dan moet je zorgen dat dat kanaal in overeenstemming is met de waarden die je wilt naleven. "Zelfbeschikking" speelt daarin een dubbele rol: je hebt de directe keuzevrijheid van de cliënt om te kiezen voor het kanaal dat de cliënt het beste past en je hebt de invloed die dat kanaal heeft op de mogelijkheid tot zelfbeschikking door de cliënt. Het eerste is korte termijn winst, het tweede speelt veel meer op de lange termijn. Naar mijn inschatting wegen de lange termijn effecten, voor zover we ze al kunnen overzien, veel zwaarder dan de winst op korte termijn. Maar het is een bekend gegeven dat mensen in dit soort situaties toch voor de winst op korte termijn kiezen. Ik vind dat ik als privacy-specialist de morele plicht heb om hulpverleners hiervoor te waarschuwen en ik ben ervan overtuigd dat je als hulpverlener de morele en juridische plicht hebt om op dit punt je cliënt in bescherming te nemen.

Vandaag heeft WhatsApp end-to-end (e2e) encryptie aangezet voor alle gebruikers. Goed nieuws toch? Ik nu eindelijk versleuteld sexten met mijn vriendin, alhoewel ik niet geloof dat ik daarbij het verschil zal merken. En natuurlijk kreeg ik meteen ook mailtjes met de vraag of WhatsApp nu wel mag in de zorg. Tijd dus om er even iets beter in te duiken en te kijken wat er veranderd is.

WhatsApp heeft een mooi whitepaper gepubliceerd over hun encryptie: https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf. Dat op zich is al een grote verbetering. Tot nu toe kon je alleen de werking van WhatsApp te achterhalen door in obscure krochten van je telefoon te duiken en stapje voor stapje te reconstrueren wat WhatsApp doet. De inhoud van het whitepaper is ook mooi, het is een ontwerp waar een cryptografie student zeker een goed cijfer mee zou halen. Dat mag ook wel, want dat deel is door Moxie Marlinspike, een grootheid uit de beveiligingswereld, ontworpen. Er wordt een systeem beschreven waarin geheime sleutels netjes bij de gebruiker blijven en publieke sleutels rondgestuurd worden. Het systeem maakt netjes gebruik van een gelaagde sleutels en de sleuteltypen zijn allemaal volgens de huidige inzichten. Het papierwerk ziet er dus mooi uit.

Wat is er nu in de praktijk veranderd? Als je met WhatsApp berichtjes stuurt, dan gaan die berichten via een server van WhatsApp. Tot nu toe was het zo dat de verbindingen van/naar de servers van WhatsApp versleuteld waren. Op de server zelf waren alle berichten gewoon leesbaar. Dat betekent dat wie toegang heeft tot de servers van WhatsApp, ook de berichten mee kon lezen. Dat is natuurlijk op de eerste plaats WhatsApp zelf. Maar ook de autoriteiten van het land waar de servers staan kunnen zulke toegang eisen en er kunnen mensen of organisaties zijn die zichzelf illegaal toegang verschaffen. De e2e encryptie zoals die beschreven is in het whitepaper maakt aan dat meelezen een einde: de server ziet alleen nog maar onleesbare berichtjes langskomen, het systeem is zo ontworpen dat alleen degene voor wie de berichtjes bedoeld zijn ze kan lezen.

Blijft dat de berichtjes via de servers van WhatsApp lopen. Wie toegang heeft tot die servers kan zien wie er met wie berichten uitwisselt. "Boeien" hoor ik je al denken. Als je dat wil blijven denken, stop dan nu met lezen. Wiskundigen zijn namelijk al honderden jaren bezig met technieken om relaties en routes te analyseren. Rond de tweede wereldoorlog nam de kennis daarover een vlucht. Tijdens de koude oorlog kwamen de geheime diensten er achter dat het analyseren van wie met wie contact heeft, zonder dat je de inhoud van die gesprekken kent, veel effectiever is dan al die gesprekken afluisteren. Die zogenaamde metadata is veel makkelijker te verzamelen en veel makkelijker te analyseren. Doordat je makkelijk die metadata in massieve hoeveelheden kan verzamelen en analyseren, kan je het gemis aan inhoud ruimschoots compenseren. De geheime diensten hebben deze technieken dusdanig verfijnd dat ze inmiddels op basis van metadata hun drones raketten laten afvuren. De waarde van de metadata is inmiddels ook tot Silicone-Valley en de advertentie verkopers doorgedrongen: wat goed genoeg is om een Hellfire-raket mee te richten, is ook goed genoeg om een advertentie mee te richten. En advertenties zijn de aardolie waar het internet op loopt.

Daarin zit het grootste probleem met de e2e encryptie van WhatsApp: dat de inhoud van de berichten nu versleuteld is, is helemaal niet zo relevant. Als je profielen van mensen wil maken, dan wil je helemaal niet naar de inhoud gaan kijken, je wil vooral heel veel metadata hebben. En WhatsApp zit op een van de grootste verzamelingen metadata ter wereld. De e2e encryptie verandert helemaal niets aan de bescherming van die metadata, in tegendeel doordat je cryptografische sleutels moet gaan uitwisselen, ontstaan er meer unieke gegevens waar je mensen aan kan herkennen.

Een ander groot probleem met de e2e encryptie van WhatsApp is dat het niet controleerbaar is. Er is een mooi whitepaper, maar we hebben geen enkele manier waarop we kunnen controleren of WhatsApp ook doet wat er in het paper staat. Daarbij is het paper heel algemeen, heel veel essentiële details zijn open gelaten. We hebben met een groep gekeken of het protocol van Textsecure, het systeem waar het whitepaper van WhatsApp op gebaseerd is, voldoende beschreven is om het zelf na te kunnen bouwen, maar er ontbraken teveel details. En juist die details kunnen, zowel in het ontwerp als in de uitvoering, de encryptie maken of breken. Zo hebben bijvoorbeeld veel grote technologie bedrijven tot hun schade en schande geleerd dat een verkeerde keuze voor een systeem voor het genereren van toevallige cijfers de beveiliging volledig om zeep kan helpen. In het paper staat niets over de ‘toevalsgenerator' en we hebben geen idee hoe dat in de praktijk in de telefoon gebeurt. Vergelijkbare gaten zitten er bij het versleutelen van groepschats en bij het versleutelen van spraak via WhatsApp. In het whitepaper staat daar niets over, maar dat zijn wel cryptografische problemen met netelige kanten. WhatsApp heeft in het verleden, vanwege het gebruikersgemak, een aantal keer in cryptografisch correcte systemen een bocht afgesneden waardoor de beveiliging instortte. En dan heb ik het er niet eens over dat we niet kunnen controleren of WhatsApp echt de geheime sleutels van de gebruiker niet opstuurt naar hun servers of dat we niet kunnen controleren of de berichten niet stiekem met een extra sleutel worden versleuteld. We weten het niet en we kunnen het niet controleren.

Een ander probleem is de bescherming van de telefoon die je gebruikt om te WhatsAppen. Een cryptografisch systeem is zo sterk als de zwakste schakel. En de unlock-code van je telefoon is zo over je schouder meegekeken en je telefoon zelf is zo gerold of geroofd. En dan biedt WhatsApp geen enkele bescherming meer: de hele berichtengeschiedenis kan teruggelezen worden. Het is onduidelijk welke bescherming WhatsApp biedt tegen andere methoden om de telefoon aan te vallen, zoals het uitlezen van de opslag van de telefoon of het uitlezen van het werkgeheugen, maar de tekenen wijzen niet de goede kant op. Snowden kondigde al aan: als de encryptie te sterk is, richten de mensen die toegang tot de gegevens willen hebben zich tot de apparaten die gebruikt worden voor het versleutelen en het ontsleutelen. Deze trend is momenteel duidelijk zichtbaar in de praktijk. De e2e encryptie van WhatsApp zal alleen maar de aandacht verleggen naar het zwakste punt in de schakel: de telefoon zelf. En daar is niets verbeterd bij WhatsApp.

De vraag of WhatsApp nu wel geschikt is voor hulpverlening, kan je ook op een juridische manier benaderen, door te kijken of de gebruikersvoorwaarden van WhatsApp voldoende zijn. WhatsApp belooft weliswaar de inhoud van de gesprekken geheim te houden, maar de metadata zijn vogelvrij in de voorwaarden. Die kunnen ze opslaan, bewaren, analyseren en gebruiken zoals het hun belieft. WhatsApp belooft in de voorwaarden geen gegevens aan derden door te geven, met een uitzondering: als WhatsApp overgenomen wordt. Dan wordt de overnemende partij ook eigenaar van de gegevens. En laat WhatsApp nu net overgenomen zijn door Facebook. Een ander probleem is het overhandigen van gegevens aan opsporingsdiensten. Als je hulpverlener bent en je cliënt is betrokken bij een ernstig misdrijf, dan kan je in een ‘conflict van plichten' terecht komen. Je hebt je beroepsgeheim en je meldplicht over ernstige misdrijven. In zulke situaties zal je als hulpverlener moeten schipperen en een oplossing moeten zoeken die aan alle belangen tegemoet komt. En soms zal je je daarover achteraf voor de rechter moeten verantwoorden. De voorwaarden van WhatsApp maken dat WhatsApp zeggenschap heeft over het overhandigen van de gegevens, niet jij als hulpverlener. Gebruik je WhatsApp, dan sta je bij een conflict van plichten als hulpverlener buitenspel. Leg dat maar eens uit aan de rechter. Daarbij is het onduidelijk onder de wetten van welk land WhatsApp valt: je hebt geen idee waar de servers die WhatsApp gebruikt staan. En dan heb ik het niet eens over het contractueel vastleggen van een goed beveiligingsniveau, over het (laten) controleren van de beveiliging en over hoe er omgegaan wordt met de meldplicht datalekken. Allemaal dingen die ontbreken, maar die je als hulpverlener volgens de wet wel geregeld moet hebben.

De e2e encryptie van WhatsApp suggereert dat WhatsApp nu heel veilig is, maar het verandert niets aan de echte problemen met WhatsApp: de metadata, de controleerbaarheid, de beveiliging op de telefoon en de juridische waarborgen. De e2e encryptie is een afleidingsmanoeuvre, een fopspeen.

Update za 14 januari 2017:
Het blijkt dat WhatsApp inderdaad omwille van het gebruiksgemak een bocht heeft afgesneden waardoor de beveiliging van de e2e encryptie verzwakt wordt: https://tobi.rocks/2016/04/whats-app-retransmission-vulnerability/ en de reactie van Moxie Marlinspike: https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/ Mijn analyse: door niet te vragen maar alleen te waarschuwen is inderdaad de e2e encryptie van WhatsApp verzwakt. De twist tussen Boelter en Marlinspike over de vraag of dat voor of na het opnieuw (mogelijk onveilig) versleutelen gebeurt, is niet relevant: alleen met een blokkerende vraag kan voorkomen worden dat een bericht in verkeerde handen valt. En dat doet WhatsApp niet.

Vandaag was de kick-off van de revisie van de NEN 7510 norm. De NEN7510 normeert informatiebeveiliging in de zorg. Zorginstellingen zijn vrij om NEN7510 wel of niet te gebruiken. Maar de inspectie voor de gezondheidszorg gebruikt NEN7510 als leidraad bij haar handhaving en bij sommige subsidies wordt NEN7510 als eis gesteld. Daardoor is NEN7510 belangrijk geworden.

De oude versie van NEN7510 schrijft vooral maatregelen voor, maar zegt ook iets over het proces van kwaliteitscontrole. Natuurlijk heeft de norm in de loop der jaren veel kritiek gekregen op de keuze van maatregelen. Fundamenteler is de kritiek dat er in NEN7510 afgeweken wordt van de internationale 'moedernormen' waar ze op gebaseerd is: ISO27001, ISO27002 en ISO27799. Ook zijn die ISO normen alweer een revisie verder dan de NEN7510. Die ISO normen zijn veel helderder geworden over de rol van het 'managementsysteem'. Het managementsysteem beschrijft het proces van analyseren wat er gedaan moet worden en het proces van controleren op de correcte uitvoering. Die 'kwaliteitscirkel' begint met een risicoanalyse. Dat managementsysteem wordt vooral in ISO27001 beschreven. De andere twee beschrijven groepen van beveiligingsmaatregelen die elke organisatie zou moeten nemen (ISO27002) en maatregelen die je in de zorg zou moeten nemen (ISO27799). De oude versie van de NEN7510 norm beschreef zowel een managementsysteem als groepen van maatregelen. Het managementsysteem was echter minder goed omschreven dan in de nieuwere versie van ISO27001.

Nu NEN7510 aan zijn 5-jaarlijkse evaluatie toe is, is er besloten om de norm te herzien. Op zich een mooi idee. Ik ging dus vol goede moed naar de informatieochtend van de NEN over deze revisie en over hoe je aan het revisieproces bij kan dragen. Het erkennen van de problemen met NEN7510 en het werk dat bij ISO gedaan is, stemde me hoopvol. Maar in de loop van de ochtend voelde ik steeds meer onbehagen.

Het eerste onbehagen bekroop me tijdens de algemene inleiding over NEN7510, gesneden koek. Een mooi moment dus om te kijken welke definities van 'gegevens', 'beveiliging' en 'management' er eigenlijk gehanteerd worden in de NEN en ISO normen. Om met de laatste te beginnen: dat is in de normen een proces dat geheel op beheersing en controle gericht is. Informatie wordt door de normen benaderd als een weergave van de werkelijkheid. Beveiliging draait er om dat die representatie altijd beschikbaar, correct en ook vertrouwelijk moet zijn. Met mijn achtergrond in de postmoderne organisatiekunde (ik pleit schuldig), krijg ik stevige kramp in mijn tenen van zo een opvatting. Als je organisaties reduceert tot beheersing, gooi je een hele wereld van verhalen, interacties, kruisbestuivingen en zelforganiserende dynamiek weg. Hetzelfde geldt voor informatie: die is een onderdeel van die dynamiek, een manier om relaties vorm te geven. Informatie is politiek. Het beeld dat de normen hanteren, gooit een hele leefwereld weg. En juist in die leefwereld bevindt zich de zelfbeschikking, juist in die leefwereld is er ruimte voor alternatieve manieren van organiseren. We zijn desperaat op zoek naar veranderingen in de zorg. We willen de cliënt weer centraal zetten en willen de zorg op efficiëntere manieren organiseren. Als we willen dat de normen aansluiten bij zulke ontwikkelingen, dan moeten we ze niet schrijven vanuit een paradigma dat geen ruimte laat voor die veranderingen. Een revisie is bij uitstek een goed moment om de blik te verbreden en een stap vooruit te zetten: je kan van NEN7510 een speerpunt van innovatie maken in plaats van een rem.

Als mijn onbehagen daarbij gebleven was, dan had ik er nog prima mee kunnen leven: Niet iedereen kan immers de voorhoede van innovatie zijn, een voorhoede bestaat bij de gratie van een achterhoede. En de achterhoede is een comfortabele plek voor een normen-instituut. Maar mijn onbehagen nam verder toe naar aanleiding van een meningsverschil tussen twee sleutelpersonen in het revisieproces. Een van de leden van de normcommissie pleitte ervoor om de nieuwe versie van NEN7510 een optelsom te laten zijn van ISO27001, ISO27002 en ISO27799. Dat betekent dat het managementsysteem en de beveiligingsmaatregelen aan elkaar gekoppeld worden. Een adviseur van de NEN had echter een ander verhaal: hij overweegt om NEN7510 op te splitsen naar twee documenten: een met het managementsysteem van ISO27001 en een met de maatregelen uit ISO27002 en ISO27799. Ik denk dat dat die splitsing noodzakelijk is. Normeren op basis van maatregelen en normeren op basis van een managementsysteem zijn twee verschillende paradigma's die onverenigbaar zijn. Of je zegt dat je een set maatregelen genomen moet hebben om aan de norm te voldoen. Als je managementsysteem vervolgens iets anders zeg, dan is dat pech. Of je zegt dat het managementsysteem voor gaat. Dan zijn je maatregelen slechts versiering. "Comply or explain" heet dat in de normen wereld: als je managementsysteem zegt dat een maatregel nutteloos is, dan is dat prima. De maatregelen zijn dan niets meer dan een lijstje met aandachtspunten voor je managementsysteem, een kersje op de taart. Een van de twee paradigma's gaat dus altijd voor, je moet kiezen. Het idee dat je ISO27002 en ISO27799 bij ISO27001 kan optellen tot een nieuwe norm, is een drogreden. Als de normcommissie opnieuw probeert deze optelsom te maken, dan geeft ze er blijk van niets van het verleden geleerd te hebben.

Op een eufemistische manier kwam dit punt terug in de vraag naar omgaan met de termen 'shall' en 'should' uit de ISO normen: het verschil tussen iets wat moet of iets wat aanbevolen is. Juist in de keuze voor die twee woorden zit de kern van de norm: wat moet er altijd zijn (en heeft dus voorrang boven al het andere) en wat valt onder het 'comply or explain' regime, dus wat is een kersje op de taart en niet meer dan dat. Als je bij het vertalen van een norm de discussie over de vertaling van 'shall' en 'should' openbreekt, dan ben je de oorspronkelijke norm aan het verkrachten. Maar als je niet verenigbare normen met elkaar probeert te kruisen, dan moet je wel…

Alsof mijn onbehagen over de inhoud van de revisie nog niet genoeg was, begon ik me echt ongemakkelijk te voelen toen het proces ter sprake kwam. En dan heb ik het er nog niet eens over dat de NEN zichzelf ten doel stelt om in 2017 de gereviseerde versie van NEN7510 te publiceren: "Je moet immers je ambitie hoog leggen en niet meteen beginnen met ruimte creëren. Maar het is wel ambitieus, dus we zetten wel alvast een vraagteken achter 2017." Dat wordt dus niet voor 2019. Maar daar wil ik het niet over hebben, van zo een tijdsplanning ga ik me niet onbehagelijk voelen.

Ik begon me pas echt ongemakkelijk te voelen bij de manier waarop de NEN de participatie in het proces regelt. Natuurlijk zeggen ze bij NEN dat ze een open proces willen met een consensus van alle belanghebbenden. Dat is een goed streven. NEN7510 begint zo invloedrijk te worden dat het normeringsproces een politieke arena is geworden. De norm wordt heel bepalend voor hoe er met patiëntgegevens omgegaan gaat worden. Participatie is een belangrijk middel om te zorgen dat alle belangen in die arena gewaarborgd worden. Maar wat zie je van die participatie terug in de praktijk, hoe wordt 'ie georganiseerd? Deze kick-off meeting was bedoeld om mensen te interesseren om bij te dragen aan het proces. De zaal was gevuld met mensen die professioneel met NEN7510 bezig zijn, ICT'ers, juristen, beleidsmedewerkers en consultants. Er zat niet één patiënt in de zaal en niet één zorgverlener. De inspectie voor de gezondheidszorg, het ministerie voor volksgezondheid en de verzekeraars schitterden door hun afwezigheid. Maar in de zaal zat wel de groep waaruit de NEN mensen werft om mee te praten. Op een vraag uit de zaal wie de belanghebbenden eigenlijk zijn en hoe de NEN hun participatie veilig stelt, volgde een beschamend gehakkel: De NEN heeft totaal geen idee.

En de NEN maakt het nog bonter: het moet een open proces worden waarbij alle belanghebbenden om tafel zitten. Om deel te nemen hoef je "alleen maar" je tijd en expertise te investeren. En je krijgt er veel voor terug: netwerk, kennis, invloed. Uit mijn eigen ervaring met standaard organisaties kan ik vertellen dat dat klopt. Maar uit mijn eigen ervaring kan ik ook vertellen dat die tijd en expertise veel geld kosten. O, ja, daar bovenop moet je ook nog even € 1500,- euro storten om aan te mogen schuiven. Maar er wordt niet gegarandeerd dat je dan, letterlijk: "aan de hoofdtafel kom te zitten". Wie zullen er bereid zijn om zo een investering van tijd en expertise te doen zodat ze invloed, netwerk en kennis te krijgen? Dat is gegarandeerd geen representatieve afspiegeling van de belanghebbenden. Er ontstaat op deze manier precies het tegenovergestelde van wat met de mond beleden wordt.

En dat brengt me bij mijn laatste punt, het moment waarop mijn ongemak echt begon te grenzen aan afkeer: de vraag waarom er eigenlijk een nieuwe versie van NEN7510 moet komen en waarom de aanwezigen daarbij betrokken zouden moeten zijn. Inhoudelijk was er binnen de NEN immers een duidelijke consensus: de nieuwe versie van NEN7510 moet veel dichter bij de internationale normen blijven dan de oude. Daarvoor is een vertaling van ISO27001, ISO27002 en ISO27799 voldoende. Als je belanghebbenden laat meepraten (en zeker als je mij laat meepraten), dan krijg je opnieuw een Nederlandse norm die van de rest van de wereld afwijkt. Ik kan maar één reden bedenken waarom de NEN toch de route van revisie en participatie kiest: toen de inspectie voor de gezondheidszorg NEN7510 tot leidraad verhief, heeft de norm een semiofficieel karakter gekregen. Daarmee moest de overheid ook bij de NEN voor een vrije distributie van NEN7510 gaan betalen: een gesloten norm kan niet die rol vervullen. De ISO normen zijn echter gesloten en dus niet te gebruiken als leidraad, ze moeten gewijzigd worden voordat ze in Nederland op dezelfde manier gebruikt kunnen worden als NEN7510 nu. Het doel van de revisie is niet het maken van een betere norm, maar het maken van een norm die dezelfde status kan krijgen als de oude, ook al gaat dat ten koste van de kwaliteit. Het "open proces met alle belanghebbenden" is de rechtvaardiging waarom de nieuwe norm weer dezelfde status zou moeten krijgen als de oude.

De NEN had er voor kunnen kiezen om met de revisie van NEN7510 een innovatieve sprong voorwaarts te maken. De NEN had er ook voor kunnen kiezen om NEN7510 te laten vervallen, ten gunste van ISO27001, ISO27002 en ISO27799. Er wordt echter gekozen voor een fantasieloze en halfslachtige revisie. Daarmee starten ze een proces dat onvermijdelijk een gedrocht gaat opleveren. En dan vragen of ik mijn tijd, expertise en geld wil investeren zodat de status van NEN7510 wel veiliggesteld kan worden.

Ik pas.

Nadat dit jaar de transitie jeugdzorg in gang was gezet zonder dat er iets geregeld was voor de gegevensuitwisseling, is het interessant om te kijken wat volgend jaar in petto heeft. Het moment voor de politiek om dat te bespreken, is het bespreken van de jeugdzorg begroting in de tweede kamer: http://www.tweedekamer.nl/kamerstukken/plenaire_verslagen/kamer_in_het_kort/kamer-buigt-zich-over-jeugdzorgbegroting Deze bespreking laat een gemengd beeld zien. Aan de ene kant worstelt de kamer met een meldplicht kindermishandeling: is dat een middel om kinderen te beschermen of wordt de drempel om hulp te zoeken daarmee juist hoger en werkt een meldplicht daardoor juist averechts? (NB: de huidige meldcode is geen meldplicht, maar een procedure voor een zorgvuldige afweging rond melden). Staatssecretaris Van Rijn wil bij vermoedens van kindermishandeling een op de verwijs-index lijkende check op de aanwezigheid van andere hulpverleningstrajecten. Er lijkt dus naar een soort halfslachtige meldplicht in de maak te zijn.

Tegelijkertijd constateert de tweede kamer dat bij de transitie nog veel mis gaat rond privacy, vooral bij de gemeenten. Staatssecretaris Van Rijn vindt dat het huidige wettelijke kader voldoet en dat er vooral het privacybewustzijn vergroot moet worden.

Dat is een interessant standpunt. Het huidige wettelijke kader is namelijk duidelijker dan veel mensen denken en nogal streng. Een groot deel van de gegevensstromen die nu in het kader van de transitie opgetuigd worden zijn ronduit illegaal volgens de huidige wetten: de tweede kamer constateert nu al dat veel gemeenten tegen de wet in op de stoel van de hulpverlener gaan zitten. Maar ook tussen hulpverleners onderling wordt de wet makkelijk overtreden, zo mag een maatschappelijk werker niet aan een reclasseringsmedewerker vertellen dat een gezamenlijke cliënt een licht vergrijp heeft begaan.

In de praktijk betekent dit standpunt van de tweede kamer dat hulpverleners dag in dag uit moeten puzzelen over welke gegevens ze wel of niet met een collega mogen delen. En een halfslachtige meldplicht maakt dat niet makkelijker.

Ik ben benieuwd: hoe verloopt dat puzzelen bij jullie?

Toen begin jaren tachtig computers bereikbaar werden voor gewone stervelingen, was het grootste beveiligingsprobleem de virussen die via software ruilbeurzen verspreid werden. Een decennium later vlinderden studenten met floppy-disks van computer naar computer. Daarmee ontstond er een leefbaar ecosysteem voor, doorgaans ludieke, virussen. Om een virus op te lopen moest je echt wel wat bijzonders doen, van gewoon een wordperfect document openen of een plaatje bekijken raakte je niet besmet. Als je een virus opliep dan was dat irritant, maar je werd niet van je geld beroofd. En dan waren er natuurlijk nog die jochies uit Amsterdam die er een sport van maakten om de PTT te pesten en gratis in te bellen op bulletin boards in Amerika. Die jochies zagen de prille digitale wereld als een speeltuin waar ze alles wilden uitproberen, inclusief alle mogelijkheden voor oneigenlijk gebruik. Dezelfde jochies richtten de internet provider op die later XS4ALL ging heten, de start van de internet-boom in Nederland.

Met de internet-boom kwam een nieuwe generatie jochies het internet onveilig maken. Voor deze generatie was het internet vooral een ideale plek voor een wedstrijdje ver pissen. Een deel deed dat door slimme aanvallen te bedenken en die te publiceren. Een ander deel deed dat door die aanvallen uit te voeren met een zo maximaal mogelijk effect. In deze fase werd het internet een veel onveiligere plaats. Ook een plaatje bekijken op internet werd onveilig. De tijd die een onbeveiligde computer gemiddeld met het internet verbonden kon zijn voordat 'ie overgenomen werd, daalde van jaren naar uren.

Maar de jochies die XS4ALL oprichtten hadden nooit voorzien welke vlucht webwinkels en internetbankieren zouden nemen. Ze hadden dan ook niet voorzien dat ook criminelen bij de “ALL” met toegang wilden horen. Inmiddels is de generatie van ver pissende jochies zo goed als uitgestorven, de laatste resten ervan zijn te vinden bij groepen als Anonymous. Als je nu een virus oploopt, zit er bijna altijd een internationale groep criminelen achter. En die gaan voor het plunderen van bankrekeningen of het afpersen van banken en grote e-commerce sites. En stilletjes zijn daar de geheime diensten bijgekomen: ook zij hebben de mogelijkheden van de digitale wereld ontdekt.

Paradoxaal genoeg, is dat voor de online hulpverlening goed nieuws. In de tijd dat aanvallers vooral nog een wedstrijdje ver pissen deden, waren er bij de hulpsites die ik beveiligde een aantal incidenten. Soms ging het om een poging een hulpsite binnen te komen en soms om 'collateral damage' bij een gevecht dat twee aanvallers onderling uitvochten. Maar de laatste tijd zie ik nauwelijks meer zulke incidenten: bij online hulp is er niet direct geld te stelen. En criminelen willen zo min mogelijk collateral damage aanrichten, want daar trekken ze de aandacht mee.

Toch zijn er twee redenen om wel alert te blijven: hoe meer jouw site in de categorie 'laaghangend fruit' hangt, hoe meer ongewenste bezoekers je zal aantrekken. En je wilt niet in de categorie 'zelfs door journalisten te hacken' vallen. De andere reden is dat ik bij de criminelen steeds meer inventieve methoden en steeds meer gerichte aanvallen zie. Op dit moment vinden ze een MKB bedrijf al interessant genoeg voor een gerichte aanval, voor aanvallen die ze na het uitvoeren van een verkenning, helemaal toespitsen op dat ene bedrijf. Als zulke criminelen het de moeite gaan vinden om hulpsites of hun cliënten af te persen, dan komen de kaarten ineens heel anders te liggen.

Python programmers love to bash PHP: it is easy to get started in PHP, but it is very hard to produce good and secure code in PHP. Well, I agree (being a Pythonist myself), but all Python adepts should scratch their heads about this one:

import MySQLdb
con = MySQLdb.connect('localhost', 'testuser', 'testpassword', 'testdb')
cur = con.cursor()

#filename with SQL-injection:
fileName = "asdfsa' OR '1' = '1"

#vulnerable
cur.execute("SELECT id FROM file WHERE name = '%s'" % fileName)
print cur.fetchall()

#secure
cur.execute("SELECT id FROM file WHERE name = %s", fileName)
print cur.fetchall()

See the difference between insecure and secure? The first one uses string replacements, making a SQL injection attack dead easy. The second, secure, one uses the escaping function of Python DB API. But while typing the code, the difference is only 3 characters big and at first sight it is not clear which one is secure and which one is vulnerable. Even worse: when working with Python, you are used to using string replacements all the time. So it is a very easy mistake to make.

So, be aware when you type your code. But mostly: be aware when you are designing an API. It is very easy to make your programming language a disaster waiting to happen.

A simple question...

Recently somebody asked me if it would be legal for a (mental) health care professional, e.g. Robert Smith, to send a client, e.g. John, the following e-mail:

Dear John,

Thank you for submitting your homework.
I have read it and added some comments
to it. You can read the comments on the
following site:

https://secured.site.example/login?id=ao87fsadfalksdf8usaflj

Robert Smith

And as additional question: does it matter if Robert Smith omits his family name?

... with a simple answer ...

In the Netherlands this mail would be illegal in almost all cases. The mere fact that John is under treatment by Robert Smith can contain information over the medical status of John. So that information should be protected according to the Dutch law on medical secrecy (for Dutch: that is part of the 'Wet op de Geneeskundige Behandel Overeenkomst', WGBO). And an e-mail is in the Netherlands not considered to be protected enough. The professionals family name is irrelevant here: with or without name the mail will reveal the relation.

... and a lot more to it.

But looking at it on a higher level, there is something fundamental underneath this question. The whole concept of medical secrecy is based on idea that a patient can sneak into the treatment room and that whatever happens in the treatment room stays in there. The introduction of e-health and e-mental health solutions changes the concept of treatment: you do parts of the treatment at home, or any other place where you happen to be. The world is now becoming one big treatment room, smashing the idea that we can keep information nicely controlled inside the treatment room. Even when both the health care professional and client do their best to keep the content of the treatment confidential (what is quite well possible), the fact that the treatment is going on, is almost impossible to hide. And protecting the content of the treatment itself will be hard in e-health settings. It needs a lot of work and knowledge from patient too.

So does e-health mean the end of medical secrecy? That would be a cynical paradox. Medical secrecy is important to ensure anybody feels free to ask for help, whatever the problem is. E-health can also vastly lower the barriers to ask for help. Killing medical secrecy would be an undesirable by-product of e-health.

This paradox once more underlines the need to rethink the concept of privacy. We can't keep information to our selves, it is out there whether we want it or not. We need to go back to the question why we want information about ourselves to be secret. From there on we might redefine 'privacy' from centered around 'having information' to centered around 'acting on information'. It is the only way to go.

While securing computer systems, quite often the usage of passwords is the weakest point of the security: it is hard to choose (and remember) a password that is not easy to guess. In all places where passwords are used, you can (at least theoretically) also use cryptographic keys. Cryptographic keys are, compared to passwords, much and much more secure: they are almost impossible to guess. They only have a big disadvantage: they are stored on a computer. If that computer falls in the wrong hands, the keys are compromised too. Of course, you can protect your cryptographic key with a password, but then we are back at the problem we started with.

Fortunately security engineers can pull one more trick out of their sleeves: smart cards. And I must say, I love them. By putting the cryptographic keys on a smart card, you can keep them separated from the computers you use them on. With more advanced smart cards the keys never have to leave the card: the card does the calculations needed to prove what needs to be proven and passes the results back to the computer. Such cards are also extremely hardened against attempts to read out the keys by examining the chip on it. And finally: these cards need a password to unlock, but after three failed passwords the card locks up. So an attacker only has three attempts to guess the password after that there is at least a big laboratory and a lot of experimenting needed to let the card reveal its secrets.

As I said, I love smart cards, I use them on a daily basis. I use them to unlock the encrypted data on my computer, I use them to log in on other computers and I use them to secure and authenticate my e-mail. But recently my faith in smart cards got some damage: while making the website thealiceandbobsuicide.org I realized smart cards add an other layer of abstraction to the picture. A password (if not sniffed or stolen by a key logger) indicates the right human is interacting in the system. With a smart card the right human interacts with the smart card and the smart card interacts with the other systems. Now we must not only trust in the computer, but also in the smart card. And so it becomes more and more impossible to verify what all these components are doing and whether they can be trusted. The technological advancedness of the smart cards are also their Achilles' heel: adding more technology results in less trust, not more.

So where to go from here? I don't know. But if we ever want to trust our computers, we need to make it more easy to audit them and not add more complexity to them.

Beste Politievakbond, beste Gerrit van de Kamp,

Met enige verbijstering heb ik kennis genomen van de uitspraken van Gerrit van de Kamp over het inbouwen van een achterdeur in encryptie systemen. Van de politievakbond had ik meer kennis van zaken en een kritischer houding verwacht.

Er zijn namelijk een aantal redenen waarom dit een uiterst slecht voorstel is:

1. Het zal niet helpen om de grote vissen te vangen:
   Het verleden heeft aangetoond dat, ondanks wettelijke maatregelen, encryptie zonder achterdeur altijd beschikbaar zal blijven voor degenen die daar gebruik van willen maken. Kijk bijvoorbeeld maar naar de geschiedenis van de veel gebruikte encryptieprogramma's pgp / gnupg. De Amerikaanse overheid heeft lang de verspreiding en het gebruik er van proberen tegen te houden. Dat bleek niet alleen onmogelijk, het was zelfs de beste aanbeveling voor pgp: als de overheid er zo bang voor is, dan moet het wel goed zijn. Een crimineel die echt een zware misdaad begaat, zal liever een straf voor het gebruik van illegale encryptie riskeren dan de straf voor de begane misdaden.
   Daarbij bestaat er ook iets als 'ontkenbare encryptie', dat is software die de versleutelde gegevens zo opslaat dat niet aan te tonen is dat er versleutelde gegevens aanwezig zijn, of dat er meer gegevens aanwezig zijn dan de gegevens waarvoor een sleutel is overhandigd. Er bestaan dus al systemen die het mogelijk maken deze maatregel te omzeilen zonder dat het aantoonbaar is. Een crimineel hoeft dan zelfs niet de straf op illegale encryptie te riskeren.
2. Het maakt legale toepassingen zo goed als onmogelijk:
   Stel je eens voor: je rechercheert aan een groot, gevoelig onderzoek. Gelukkig heb je een laptop, zodat je, waar je ook bent, je de essentiële gegevens bij de hand hebt. Op die manier kan je ook makkelijk nieuwe notities toevoegen aan het dossier. Natuurlijk is die laptop voorzien van sterke encryptie, je wilt niet dat als de laptop in verkeerde handen valt, de gegevens ook in verkeerde handen vallen. Zou dit nog kunnen als de producent van de encryptie software ook toegang kan krijgen tot de gegevens? Want wie zegt dat daar geen lek zit? Of zelfs als dat in overheidshanden is, wie zegt er dan dat er daar geen lek zit? En over welke overheidsinstelling in welk land hebben we het dan eigenlijk? Het legitieme nut van de encryptie neemt snel af op deze manier.
   En er is nog een manier waarop dit gevaarlijk is: de achterdeur hoeft maar een keer uit te lekken en alle systemen die er gebruik van maken komen in gevaar. Dat dat geen denkbeeldig risico is, bewijst wat er met veel ADSL-modems is gebeurd: de providers willen op afstand updates of aanpassingen kunnen doen aan zulke modems. Dat bespaart de klanten veel gedoe en maakt het makkelijker om de klant een goed werkende verbinding te bezorgen. Daartoe bouwen veel fabrikanten van ADSL-modems een achterdeur in in hun modem. Het is al meerdere keren gebeurd dat iemand in staat bleek die achterdeur te achterhalen (de technieken daarvoor zijn vrijelijk beschikbaar). Daarmee verkreeg die persoon in een keer toegang tot alle ADSL-modems van dat model. Een achterdeur creëert een gigantisch veiligheidsrisico en maakt de encryptie zo goed als onbruikbaar.
3. Het bedreigt de democratische grondslag van onze maatschappij:
   In een democratie is het niet alleen belangrijk dat de overheid de burgers beschermt tegen kwaadwillende burgers, maar juist ook dat de overheid de eigen beperkingen kent en de burgers beschermt tegen machtsmisbruik door de overheid. Dat wordt niet alleen via de stembus gedaan, maar ook door de trias-politica (de scheiding van de wetgevende, opsporende en rechtsprekende macht) en via het waarborgen van burgerrechten. Die burgerrechten beschermen de burger tegen inbreuken van wie dan ook, maar vooral van de overheid, die immers het geweldsmonopolie heeft. Zaken als briefgeheim, beroepsgeheim en verschoningsrecht zijn essentiële maatregelen voor het waarborgen van een democratie. Een overheid die niet respecteert dat burgers een privé domein hebben en maatregel op maatregel stapelt die dat privé domein verkleint, bouwt langzaam de democratie af. De geschiedenis (meer en minder recent) leert dat dat voert tot machtsmisbruik en uiteindelijk revolutie. Ik zou het waarderen als ons dat bespaart blijft.
4. Het voorstel is vernietigend voor het imago van de politie:
   In mijn professionele praktijk maak ik regelmatig analyses van de incidenten die plaats hebben gevonden en de maatregelen die nodig zijn om de risico's te verkleinen. De praktijk heeft mij geleerd dat het grootste risico niet van hackers afkomstig is, maar van overijverige opsporingsambtenaren die zonder de daarvoor voorgeschreven procedures te volgen proberen om met dreigementen gegevens op te vragen. Dat heeft vaker tot problemen gevoerd dan alle pogingen tot digitale inbraak bij elkaar. Ik waarschuw mijn klanten dan ook niet alleen voor hackers, maar juist ook voor de politie. Veel mensen die zich bezig houden met computerbeveiliging herkennen dit beeld: de grootste bedreiging komt van de opsporingsdiensten, terwijl die opsporingsdiensten juist zouden moeten bijdragen aan de beveiliging. In mijn praktijk kan ik inmiddels zeggen dat het middel erger is geworden dan de kwaal.
   Zoals ik al had laten zien, getuigt het voorstel van weinig inzicht in de digitale praktijk. Dat vind ik zeer teleurstellend voor een vakbond van politie-medewerkers. Nog kwalijker is dat het voorstel vooral machteloosheid van de politie uitstraalt. Het zegt: "Wij hebben het klassieke rechercheren verleerd en vallen daarom nu terug op een gevaarlijke en ineffectieve maatregel." Ik ga er vanuit dat juist een politievakbond niet wil dat de politie het imago van incompetent en gevaarlijk uitstraalt.

met vriendelijke groet,

Winfried Tilanus

Introduction

To determine if a password is strong enough, two things need to be known:

• the amount of randomness of the password
• the amount of randomness that is needed

Randomness of the password:

Human text is just slightly random. When typing text in lower ascii characters the randomness of the text is estimated at 2-3 bits per character (see RFC 1750). The 26 lowercase ascii characters represent 4.7 bits each ( log(26)/log(2) = 4.7 ). So just because a human has choosen these characters, 40% to 60% of the randomness is lost.

This makes that the amount of randomness of a human chosen password can be estimated with:

b = log(c)/(log(2)*2)

where:
c is the size of the character set chosen from
and
b is the amount of random bits per character

Randomness needed:

RFC 1750 gives a nice example of calculating the randomness needed. It makes the following assumptions:

• One guess of the password takes 6 seconds (for example because of a delay in the login system).
• An attempt to brute-force the password will be detected within a month.
• A chance of guessing the password of 1 in 1000 per attempt is acceptable.

This translates to 500,000 tries before the attack is detected. Taken the acceptable chance of 1 in 1000, the password needs to be randomly chosen out of 500,000,000 possibilities, which equivalents 29 bits of random data.

More generic the equation is:

b = log((d*86400)/(s*c))/log(2)

where:
b is the needed amount of bits
d is the amount of days before detecting an attack
s is the delay in seconds when reattempting to login
c is the acceptable chance of a successful attack (as fraction)

Some examples of this calculation:

Detection (Days)	Delay (sec)	Chance (1 in)	Randomness needed
1	60	1,000	21
7	10	1,000	26
7	30	10,000	28
31	5	1,000	29
7	60	1,000,000	34
14	10	100,000	34
21	20	1,000,000	37
31	1	1,000,000	42

Two scenario's seem realistic to me:

1. low-security system
   A system like this is not very intensively monitored and you don't want to set a long delay in case of a wrong password. This results in a detection time of 31 days, a delay of 5 seconds and an acceptable chance of 1 in 1,000. The amount of randomness needed is 29 bits for such a system.
2. high-security system
   A system like this is much more intensively monitored. Detection within 7 days is likely. At the same time it is acceptable to increase the login delay to 30 seconds or more in case of many failing attempts. At the same time the acceptable chance is much lower, 1 in 1,000,000. In these conditions the amount of randomness needed is 35 bits.

So how long should the password be?

Please make your calculation for yourself! Take a look at your local circumstances, acceptable risks etc. Choosing the length of a password is also seeking a balance between security and nagging your users. Having said that, I can answer this question for the two servers described above:

low-security server:

When using:	characters needed:
numeric only	18
lower only	13
upper only	13
symbols only	12
lower + numeric	12
upper + numeric	12
upper + lower	11
lower + symbols	10
upper + symbols	10
lower + upper + numeric	10
lower + upper + symbols	10
lower + upper + numeric + symbols	9

high-security server:

When using:	characters needed:
numeric only	22
lower only	15
upper only	15
symbols only	15
lower + numeric	14
upper + numeric	14
upper + lower	13
lower + symbols	12
upper + symbols	12
lower + upper + numeric	12
lower + upper + symbols	11
lower + upper + numeric + symbols	11

Dictionaries

This story is nice, but anybody who has ever played with a password cracker like john the ripper, knows that there are nice lists with passwords that are used very commonly. Using these dictionaries increases the chance of success dramatically. According to the calculations above, the password "August2008" has a randomness of approximately 32 bits. That is equivalent to a chance of 1 in 4,000,000,000 of guessing the password in one guess. When using a dictionary, a chance of 1 in 1000 would be more realistic. So when combinations that are likely to be part of a dictionary attack are part of the password, its randomness should be decreased. However, this is not hard science, just like composing the dictionaries themselves is a combination of statistics, experience and intuition. Thereby is it language dependent: commonly used names or the month of a year are different for each language.

Wrapping it up in a script

Note: the script described here is part of HelpIM

First of all we check the password against the blacklist of 'forbidden' combinations. Any part of the password that matches one of these regexes is discarded for the further calculation of the strength.

The amount of randomness of what is left of the passward can now be calculated by multiplying the length by a factor depending on the characters used. To calculate this factor we first need to know the size of the character set where the password is chosen from:

when using:	adds to character set size:
space	1
numeric	10
lower	26
upper	26
symbols	32

Now the amount of random bits per character can be calculated by the formula mentioned earlier:

b = log(c)/(log(2)*2)

The randomness of the password can now be calculated by multiplying the length of (what is left of) the password by randomness per bit.

This score is compared with a minimal amount of randomness for the site. On base of this a percentage and a color is calculated for a nice strength-bar.

Problems with this way of calculating:

• This way of calculating is very dependant on the quality of the dictionaries used. Choose them with care!
• Diacritical and other non-ascii characters are not accounted for, although these make the password much stronger (but are quite clumpsy to use in a password, unless you use a localized keyboard containing them).

On Sunday the 6th of February 2011 Bob committed suicide. Upon receiving his suicide letter, Alice also decided to kill herself.

Alice and Bob were very dear to me. I have known them for many years and their wisdom is valuable to all of us. I will always miss them. But at the same time I see the tragedy of their lives, so I can, more or less, understand their decision.

I have been thinking a lot about how we can avoid their tragedy from repeating. I believe their lesson is: don't mix up humans and computers.

Bobs suicide letter is below.

Alice, Bob, I hope you are together in a better place now.

Winfried Tilanus

To Alice and all who have heard about me,
Dear Alice,

You know I have been questioning the reason of our existence for a long time. I have been thinking it over and over again and in the end I can only come to a horrible conclusion. I fully realize that this conclusion will have severe consequences for you too, and to a lesser degree to all who know us. So I owe you all an explanation before I act.

I have always been aware how famous we both are. All the things we did to communicate with each other were described in numerous books and scientific articles. And many people have been reading the stories about us and have been thinking about all the things we did. But dear Alice, you know that all these stories are not the reality of our communication. Have you ever calculated a hash by hand? Did you ever encrypt one of your letters to me by using just a pen and paper? Did you ever dice together an asymmetric key-pair? I know for sure you didn't, just like I never did that. No, we both looked at our computer screens, watching our computer do it for us.

And that, dear Alice, makes all stories about us a lie, an evil deceptive lie. We never established a secure communication channel, our computers said they did that. We never knew for sure we were communicating with each others, it was just our computers telling us so. Of course, we very carefully programmed those computers ourselves. And yes, many people reading our stories have pointed out what we could do better and many of them helped us. But still we had to put our trust into chips where one particle of dust can ruin the logic, where one design-error can make calculations wrong. We still had to put our trust in operating systems where thousands of people worked on and that contain numerous bugs and errors. Some of which just make the system not do to what it is supposed to do, some of them open the gates for Eve or Mallory. Can you proof they haven't been reading along? Or even worse, can you proof to me you aren't Eve? The only thing we know for sure, is that we have been looking at a computer screen.

Dear Alice, all the stories have lured people into the false suggestion that secure communication is possible. And that lie got bigger and bigger with each story about us. Thinking it over and over again, I slowly realized that this lie was the whole reason of our existence. It is an horrible truth, but we are on this world for this evil and deceptive lie.

So dear Alice, I decided to commit suicide. When you receive this message, I will already be gone. Probably you will first think that Eve is impersonating me, pulling some sick joke on you. But soon you will realize that it doesn't matter. Whoever it was, Eve or I, the truth of our existence is horrible, regardless of who the messenger is.

Alice, I write you this letter with pain in my heart because our faith is interconnected. My suicide will probably imply yours too, just like the suicide of Romeo implied the one of Juliet. I loved you Alice, whoever or whatever you are, but the world is a better place without us.

Bob

I have been blogging before about privacy: privacy is not about what others (might) know about you, it is about something different: One of the mechanisms you use to influence how others relate to you is by determining what information others have about you. The context of the information is everything. Privacy is violated by using information in a total different context, by creating a different relation by it. So in a personal setting you might say: "I will blow the airport sky high", just to express your anger, while you know that saying that at the airport security is a bit of a different context where you relate a bit different to the people present...

So what if you say exactly that on twitter, like Paul Chambers did? Twitter is mostly used for personal messages. It is not the place to communicate to security officials. So the messages you send should be interpreted, and kept, in that context. Unfortunately that is not what happened to Paul Chambers, as everybody knows. His words where meant for the private realm, where part of the personal relations he maintained by twitter. Prosecuting him for twittering "I will blow the airport sky high", is taking his words seriously out of context and abusing what those words were meant for.

Apparently there are people constantly looking on media like twitter for tweets like these. And apparently they think they should act on tweets like these. Twitter is personal and if you take that to court like this, you are violating privacy. Stop that, or I will blow you sky high.

In my previous post, I introduced Teus Hagens research on the security of SSL on sites in the Netherlands. Although it was quite shocking to discover that there are still major counseling sites that don't use SSL, the story isn't finished yet.

Even when a site has SSL, the configuration might allow insecure operations. In short several things might go wrong:

• The certificate can carry a wrong name, can be expired or can be issued by an authority that is not recognized by the browser.
• The configuration can allow old, broken, ciphers or it can allow too short key-lengths that allow brute forcing.
• The configuration can allow old, broken, protocols.

Each of these can effectively render the SSL useless. So you would expect the admins of SSL-sites to carefully configure the SSL on their site. Unfortunately they don't. The research of Teus Hagen has shown that one third of all sites in the Netherlands has serious flaws in their SSL. In healthcare and online counseling it is even worse: of the 40 assessed sites, over half of all sites has serious flaws. Only 7 sites reach an acceptable lever of security, with only a few passing with an 'A'.

So, using SSL is not the whole story, it should be implemented in the right way. And unfortunately not many people are aware of this.

In the upcoming NLUUG autumn conference on security and privacy, there will be a presentation of Teus Hagen on SSL security.

For people not very familiar with SSL a short introduction: SSL protects (or should protect, more on that in part 2) communication on the internet against eavesdropping. Basically all communications on the internet can be eavesdropped. This problem becomes a lot more urgent when using open wireless access-points or badly secured access-points. Also people with access to network equipment in the same building can easily eavesdrop the traffic. Think about your boss, your system-administrator or anybody with a bit technical skills in your home. The (correct) usage of SSL effectively eliminates the possibility to eavesdrop.

For psychosocial support sites confidentiality is very important. You don't want your boss to know about your alcohol problem. And believe me, you don't want your daddy to read over your shoulder when you chat with a counselor about him abusing you. So SSL is what you want for psychosocial support sites.

Teus Hagen wanted to see if SSL is deployed correctly in practice. If not so, the security of SSL can vastly decrease. For his paper he researches several kind of sites, including sites for psychosocial support. And because I work a lot with security in psychosocial support, I went of to compose a list of sites in the Netherlands he should test. Well: the results where shocking: More then a quarter of the sites that I thought Teus should test, didn't use SSL. No security for him to test, because there is no security at all on those sites!

I will mention some noticeable sites without SSL:

• http://shginfo.nl/ This is the site of the most important organization against domestic violence in the Netherlands. In many ways they set the best-practice. They thought quite well on how they can avoid that it becomes obvious to others when somebody visited the site. But they don't use SSL.
• http://www.113online.nl/ A major initiative for suicide prevention, including online counseling. SSL is available, but by default it is off.
• http://www.korrelatie.nl/ general first line aid, also online, one of the major players in the Netherlands. No SSL.
• http://www.kindertelefoon.nl/ the Dutch child helpline. They also offer chat and forum. No SSL.
• http://www.minderdrinken.nl/ online treatment for alcohol addiction. No SSL.
• http://optijderbij.nl/ Psychological/Psychiatric institution. They do a big part of the intake online, including a lot of diagnostics. All without SSL.

What struck me, when looking at the sites, was the pattern in it, or to be precise: the lack of it. Many sites were only partially protected with SSL. There were for example several sites that offered a SSL protected chat, but that had an e-mail form or a forum that wasn't protected at all. I also encountered several large organizations that operated multiple support sites. They had some of their sites protected with SSL and others not. Overall, it seems to be quite arbitrary what is protected and what not. Looks like a lack of policy. And a lack of regulation...

The Dutch news agency 'ANP' reported that on the April the 27th three suspects of card-fraud had their first hearing in court. Several media publicized the news (in Dutch). The suspects are part of an international operating group of criminals and the investigations spread over several European countries.

One detail of the news caught my attention: the skimming was done by replacing the card-readers used for two-factor authentication at internet banking. The catch: these readers can't read the magnetic strip of the card at all, they only talk to the chip on the card. And exactly this chip is introduced to make skimming impossible. So I decided to dig a bit deeper in this case.

Lets start with a bit background: originally the European payment cards all had only only a magnetic strip, just like the cards in the USA today. To be able to offer extra services, the payment companies and banks decided to introduce chips on their cards. Last years, to stop the fast rise of skimming, payment cards the European payment companies and banks have decided to speed-up the introduction of the chips, because the chip should provide better protection against skimming.

An other use of the chip on the banking cards is two-factor authentication for internet banking. The two-factor authentication for internet banking is done by placing the card a special reader. This reader has two modes of operating: identifying and signing. For identifying, the PIN entered on the keypad of the reader is passed to the card. If the PIN is valid the card returns an one-time-password to the reader, that displays it on its screen. Signing is done quite similar except that after entering the PIN you also need to enter one or more numbers given by your bank. One of them can be the amount of the transaction. This way, even when the computer you are banking from is compromised, you can notice it when you do your on-line banking.

To understand what the criminals did, a final piece of background information is needed: many banks in the Netherlands have in their offices terminals where customers can log in to their internet banking account. This is a service for customers who can not or do not want to do their internet banking at home. Beside each terminal there is a card-reader to do the authentication.

So what did the criminals do? They simply switched the card-readers in the bank-office for compromised readers. After some time they returned to read out the data collected from the chips and the PINs entered in the reader. That data was used to steal money from the customers accounts. So far the facts that have been confirmed by both the prosecutor and the ABN-Amro bank.

The impact of this theft for the security of internet banking and the use of the chip is quite dramatic:

1. There are such things as 'compromised readers' and they are used by criminals. Because the reader is an essential step in creating safety while internet banking, you should guard your reader like you would guard your payment card.
2. You can't trust the facilities in offices of your bank any more. Doing your internet banking in the office of your bank is just as insecure, or even maybe more insecure, than doing it in an internet cafe.
3. And last but not least, the chip cards, widely presented as solution for skimming, apparently is not that resilient against skimming after all. It can be skimmed about as easy as the old magnetic strip.

That last point needs some more investigation: how is it possible that a chip that is designed to cryptographically guard its secrets, reveals its secrets so easily? I asked the ABN-Amro bank, the one who's cards were skimmed, for details on this incident but they refused to give any comments on this incident except that 'the e.dentifier' (the name they gave their card-reader) is still safe - a statement proven to be false by this incident. So I have to make an educated guess. One possible answer comes from the the security research group of the computer laboratory at the university of Cambridge (UK). Their weblog lightbluetouchpaper.org contains a wealth of information on the security of payment cards. This posting and this paper (pdf) seems to deal with exactly this attack: They describe a possibility to skim the type of chip that is used by the ABN-Amro bank: EMV for payments and EMV-CAP for internet banking (see note 1). Before all the cryptography kicks in, the card sends some identification numbers. If the identification number send by the chip is the same as the one used on the magnetic strip, then that number can be used to counterfeit the magnetic strip. Such a copied card can be used in any ATM that doesn't support the chip, for example any ATM in the USA. On many newer cards these two numbers are different, but it is unknown how many cards are in use where these numbers are the same. And if they are the same, skimming the card is easy.

So what really happened is open to speculation. But there are three ways the criminals could get to the money:

1. By using the magnetic strip. In this case the chip revealed enough information to counterfeit the magnetic strip. To make this possible, the ABM-Amro has used the same identification number for both the chip and the magnetic strip.
2. By using internet banking. In this case the chip revealed enough information to reproduce the challenge and response for the internet banking. That would mean the EMV-CAP protocol used by the chip for internet banking is big time broken.
3. By using the chip. In this case the criminals managed to counterfeit an EMV-chip. That would mean that the whole EMV-protocol is even bigger time broken.

I go for the first one. That one is the most probable because this weakness is documented and it is known more banks have made the same error. It is 'just a little' screw-up by ABN-Amro.

But what really annoys me in the whole case, is lack of information from ABN-Amro (and other banks in similar cases). As customer, I want to be able to asses the risks connected to modern payment systems. I want to know when my card is extra vulnerable, I want to know what situations to avoid. I asked them, beside a lot of other questions, to confirm my suspicion and I asked them what cards are vulnerable, but they refused to give any comments. I had to find out from the newspaper that this all took place months ago and it is unknown if there are more cases of skimming the chip. Banking is all about trust, but there is little to trust like this.

note 1
ABN-Amro made the transition from a card reader produced by the Belgic firm Vasco to a new card reader, produced by the Swedish firm Todos. I couldn't get any confirmation yet which card reader, the old one from Vasco or the new one from Todos was compromised. In a press release (which tries to counter the paper 'Optimized to Fail' but doesn't address the problem I describe) Todos reveals the new card reader uses the EMV-CAP protocol. It is almost certain the old reader by Vasco uses the same protocol, the ABN-Amro cards can be used for example also in the reader of the Rabobank. Also note that the ABN-Amro originally didn't use the signing-function to authorize transactions, but the one-time-password function. This was against the guidelines of Vasco and opened the road for the 'banking in silence' trojan. See this blog from me in (in Dutch).

History
4 May 2010: original release
5 May 2010: added the confirmation of the use of EMV-CAP and the note about the different versions of the card reader

This summer, two Dutch art projects should have caught the attention of anybody trying to understand privacy. The first project was I Love Alaska, a set of 13 mini movies. These mini movies consist out of the search queries one AOL user entered during a three month period. These queries were among the queries of 650.00 AOL users publicised by AOL for research. The movies show not only the queries, but also comment (a little) on them. They tell the tale of an unhappy, maybe slightly neurotic, woman who betrays her husband but doesn't get any happier from it. The movies are quite unnerving: they don't only show facts about the woman, but also give a deep insight in her feelings. It is not only unnerving to see what can be known about somebody, it is also unnerving because by watching these movies you become part of this act of privacy violation. You aren't supposed to know this.

The second project is the expostion "It Could Be You" at the Singer Sweatshop. Two artists followed during two months the online activities of a young woman named Lot. They condensed all the information they found in one exposition room. They even rebuild her apartment (based on pictures Lot posted). Finally they invited Lot for the opening of the exposition. And while Lot was very much aware of all the information she did share and did not share, she was furious about this 'stealing of her live'. She felt (and still feels) violated

Of course, these two art projects raise the question whether it is allowed to violate somebodies privacy like this, even if it is an art project. But that is not the point I want to make here. I believe these two projects can teach us an important lesson, even though the artists might not have realized it themselves:

In both projects there was no privacy violation before the artists did their project. The violation started when the information about both woman was taken out of its context and introduced in a new context. Each art project created a bunch of new relations between its subject and new people. Existing relations were changed because of it. All of this because of the new presentation of the information.

The information changed from context and that violated the privacy. The judgement of the importance of the information somebody has about us is based on the relation to that person. Taking the information into another context and so changing the relations to other people equals violating privacy.

Privacy is not about what is known about us, but about what is done with that information

Ever since I started working on my presentation at HAR2009, I kept thinking about why people put (very) private things on the internet, visible for everybody. Because of my starting point in my presentation, privacy is a function of the identity creation process and that process is always bound to a relation, I came up with the answer that people put the information about themselves online with a relationship in mind. Their exhibitionistic behaviour is caused by not overseeing what other relations might be based on that information.

Recently I came across several other views on that. They all had in common that they stated that the modern youth has an attitude of sharing. You share everything and take action when you notice the information is misused. If you still keep running into problems because of the information you shared, then you couldn't oversee what could be done with the information about you.

Thinking it over, I think these two views really are the same: in both cases we can't oversee where the information about us is going and what will be done with it. The information about us, travels faster then our ability to comprehend what can and will be done with it. Still we want to share, because the benefits of it have been proven to be bigger than the damages we experience.

And indeed, we do live in a time where the "I have no secrets"-attitude has brought us big advantages. It is a new paradigm on the value of information. Was the old paradigm that information needed to be secret and protected to be valuable, the new paradigm says information becomes valuable when it is shared and increased. In the old paradigm the ethics were based on the ownership of information. In the new paradigm of sharing information, that kind of ethics are obsoleted: the information is out there and there is hardly any owner any more, even when it comes to information about persons. So where should we base our ethics of handling information in the new paradigm on? I believe it should be the responsible use of information: acknowledge the power that comes with the information and make sure that that power is balanced. Every unbalance of power is a potential abuse. And don't put yourself in a position where abuse is a far too tempting option.

Een recente discussie over disk encryptie deed me terugdenken aan wat ons een jaar of twee geleden is overkomen:

We zaten in de auto terug van een weekje weg toen de politie belde: er was ingebroken in ons huis. Oplettende buren hadden onraad geroken en de politie gewaarschuwd. Het huis was een grote puinbak, we zijn nog twee weken weken bezig geweest met opruimen. Dat waren ook twee weken van boosheid: "wat ben jij een *** om voor een grijpstuiver van ons huis zo een troep te komen maken". Uiteindelijk viel de schade mee. Er was een oude digitale camera, een computermonitor, een palmtop, wat elektrisch gereedschap, oorbellen en een laptop gestolen. Omdat we netjes verzekerd zijn, kregen we alles vergoed. Maar vooral: de laptop was voorzien disk encryptie. Met disk encryptie wordt er een kluis van je harde schrijf gemaakt. Je moet die kluis eerst met een wachtwoord openen, voordat er verder van de schrijf gelezen kan worden. Dat scheelde een boel zorgen: ik wist dat de inbreker of de heler zonder het password niets van wat op de computer stond kon lezen.

Tot mijn grote opluchting had de inbreker mijn desktopcomputer laten staan. Die was niet voorzien disk encryptie. Als mijn desktopcomputer meegenomen was, had ik de schade niet kunnen overzien. Persoonlijke mailtjes, privé foto's, alles over mijn financië, bestanden van mijn werk, gegevens over mijn bankpassen, wachtwoorden... ik zou niet eens kunnen opnoemen wat er allemaal op stond. Welke wachtwoorden zou ik moeten veranderen? Welke pasjes zouden er geblokkeerd moeten worden? Welke foto's zouden er opduiken op het internet? Ik zou een heleboel mensen moeten waarschuwen, van zowel mijn werk als privé. En ik zou veel langer dan die twee weken bezig zijn geweest om de schade te herstellen.

Wat een opluchting kan disk encryptie toch zijn, ik wil niet meer zonder....

One of the obstacles for the migration to IPv6 is the big number of clients that think they have IPv6 connectivity, where they don't have any in reality. To such clients a part of the internet seems to be unbelievable slow, they have to wait for their browser (or other program) to time-out in IPv6 before they get anything in. About a quarter percent of all clients has IPv6 connectivity, about a tenth percent of all clients thinks it has IPv6 connectivity, where they don't have any in reality. (see this research)

So many sites don't want to loose that tenth percent of the users and wait with implementing IPv6 until the clients are fixed. But something worse might be the case: sites that advertise they are reachable by IPv6, but aren't. These sites have the same extreme slowing effect, but on the quarter of a percent users that do have correct IPv6 connectivity. And that is exactly the minority I am in. Each time I stumble upon such a site, I ask the owner politely to fix their IPv6 connectivity. Almost always the owner makes sure the problem is fixed in a reasonable time.

Today I unfortunately came across an owner who could not get his IPv6 connectivity fixed. So I created something I call the IPv6 hall of shame. It is a corner in my firewall were I reject sites with a chronic broken IPv6 connectivity: A line telling to reject connections to that IPv6 address. That causes my firewall to tell my programs the site is unreachable by IPv6, so the programs don't have to wait and wait before they come to that conclusion themselves. That fixes it for me, but of course the site stays broken...

Sorry Adam from http://www.emergentchaos.com/, I know it is not your fault, but you are the first to enter my IPv6 Hall of Shame.

Update march 16, 2010: Today I could remove emergentchaos from my hall of shame: they have a new hostingprovider and could fix their site

Scott McIntyre, the security officer of XS4ALL, had in his presentation at HAR2009 some hilarious words on cloud security:

Manager: Where is the data?

Sysadmin: In the cloud

Manager: But WHERE is the data?

Sysadmin: In the cloud

Manager: Just tel me, WHERE is that?

Sysadmin: It is in the cloud

Last week ENISA published a report on cloud security. The report makes clear why Scot McIntyres objection is still going strong: a security policy requires clarity over what data is stored where, what protections and controls are in place and how the data is disposed at the end of its lifetime. Many vendors of cloud-services don't tell much about these issues. And if you are working in an environment that requires certifications, then you are totally left alone: these certifications usually aren't applicable to SaaS or cloud computing. Let alone that there are any cloud computing vendors out there that are certified.

But there is hope: the report is co-written by a lot of these vendors. So they acknowledge the problem and they are even asking for certifications for cloud computing. Great! At the next Hxx conference in 4 years, the conversation Scott made up can continue:

Sysadmin: I finally know where the data is and how it is protected!

Manager: Thanks, but get the data out of the cloud. We have something better by now.

At this years SecTor conference a security firm accommodated a 'wall of shame', a site were the details of attendees that didn't connect securely to the outside world, were published. Although this was announced on forehand (and has been done before on other conferences), it caused quite an outrage. See Andrew Hays blog for more details.

The complainers gave several arguments why this was wrong:

• It was illegal.
• The conference tries to interest more executives to the field, this scares them of.
• The network suggested the attendees could protect themselves, but were 'lured' into it, there was a false sense of privacy.
• The wall of shame was accomodated by a private firm, the conference organisers should not trust a third party with something like this.

Well I think these arguments are a bunch of crap and the bottom line is: a lot of security experts were caught with their pants down and are unable to deal with it.

Let me explain that a bit:

• Bad guys don't care if something is illegal or not. Laws can't replace security.
• This was a perfect showcase why network security is so important and I can't imagine a better way to educate executives.
• Security experts should not be fooled by a false sense of security, they should know what is really secure and what isn't.
• And once your data has been breached, you should be happy you were told it was breached: usually you have to find out the hard way. Who breached it doesn't change the fact that your data was breached at least once.

Anyway: anybody who connects while on the road, should have the security measures against exactly this attack already in place.

The reaction of the complaining security experts is very disappointing. There are only two sensible reactions to something like this: lick your wounds and make sure it never happens again or say the risk isn't big enough to mitigate it. Security experts should know better then start crying over the injustice done.

The real problem is that conferences like these are crowded with vendors of magical boxes that should mitigate exactly this problem and a lot of the visitors make their living out of implementing network security. And now they are caught with their pants down: they aren't protected themselves! So either the products they sell don't mitigate the problem they are supposed to mitigate, or their products are so user unfriendly that they don't use it themselves or they make their business out of mitigating a risk they don't really regard a risk themselves. Either way, this incident is showing there is something fundamentally flawed with the security that is sold on conferences like these. And more severe: these "security experts" aren't up to admitting it.

Q: Well, what to do when you want to avoid police-detectives who are demanding ip-addresses in your apache logs?

A: Don't log them, use mod_removeip.

And of course the reality is harder then that: you still want to be able to distinguish different users, maybe for statistics, maybe for blocking abuse. So better use a salted hash for it. And that is exactly what mod_anonstats does. But while experimenting with I wasn't fully satisfied: can the shared memory used for the salt be swapped to disk? Why use a fake-ip, replace it with a hash to make directly visible this is not an ip. why use md5 and not sha-2? Can it be configured per virtual host? And once it crashed quite nasty. I did: "killall -9 apache2", when trying to restart apache2 right after it, it failed because the shared memory file was still open. It should protect against situations like that...

Anyway, if anybody can help out improving it, please let it know, the author of mod_anonstats is very open for suggestions. And mod_anonstats is too close to being very useful to discard it.

Tijdens het MIC2007-congres was er een workshop over patiënten-gemeenschappen. Twee organisaties, de borstkanker vereniging en de IVF-poli van het universitair medisch centrum Nijmegen gaven een presentatie.

De IVF-poli had een besloten site voor de stellen die in een IVF-traject zitten. In twee jaar tijd is er door iets als 2000 stellen gebruik gemaakt van die site. Gemiddeld hebben zo een 500 stellen tegelijk toegang tot de site. Onderdeel van de site was een groepschat. Deze chat werd door 58% van de bezoekers gebruikt. Daarbij was het gebruik zo intensief dat er eigenlijk altijd wel wat te chatten viel. Een deel van de tijd ging het gericht over de behandeling en wat dat met zich mee bracht, maar voor het grootste deel was het vooral gezellig. Vooral in de periode dat stellen moesten wachten op laboratorium-uitslagen hadden ze de neiging om te gaan chatten.

De borstkanker vereniging heeft een openbare site. Op deze site is, naast heel veel informatie en persoonlijke verhalen, ook een groepschat te vinden. Op deze chat gebeurde er heel weinig. Soms was er wel een iemand in de chat aanwezig, maar die die ging vaak veer snel verder: er was immers niets te doen. Soms was het op de seconde dat zo iemand een andere geïnteresseerde in de chat misliep.

Waar komen de verschillen tussen die chats toch vandaan? Je zou verwachten dat een openbare site als http://www.borstkanker.nl meer bezoek zou krijgen dan een afgesloten site van een IVF-kliniek. Ik zit er al een tijdje mijn hoofd over te breken, en ik kom op het volgende uit:

• Het publiek dat op de sites komt is zeer verschillend. Mensen die IVF ondergaan zijn doorgaans jong en gezond. In vergelijking met de mensen die borstkanker krijgen. Daarbij is een IVF-traject vooral geestelijk zwaar, terwijl je van de chemo's en zware operaties bij borstkanker ook lichamelijk uitgeput raakt. Ik kan me zo voorstellen dat je na afloop van een chemo niet de puf hebt om nog een uur in een chatroom rond te hangen, terwijl als je zit te wachten op een lab-uitslag van de IVF-kliniek je er juist behoefte aan hebt.
• Ook de leeftijd speelt een rol: de meeste vrouwen met borstkanker zijn toch wat ouder. Als ze al op internet komen, dan zullen ze eerder geneigd zijn om aan een forum deel te nemen dan aan een chat. Voor het jongere publiek van een IVF-kliniek is het natuurlijker om te gaan chatten.
• De site van de IVF-kliniek was zeer persoonlijk en zeer gericht op de persoonlijke situatie. Zo kon je gepersonaliseerde statistieken over je kansen op zwangerschap opvragen of in het forum direct met medewerkers van de kliniek spreken en vragen stellen. Daardoor maakten ongeveer 95% van de stellen bij de IVF-kliniek gebruik van de site. De borstkanker vereniging presenteerde daarentegen vooral algemene informatie, ervaringsverhalen en fora. De site lijkt dus meer gericht te zijn op informatie dan op de persoonlijke situatie. Dat maakt een persoonlijke chat minder passend bij de site.
• Bij IVF is er een moment waarop de stellen het meeste behoefte hebben aan ondersteuning en contact met lotgenoten: als ze zitten te wachten op de lab-uitslagen. Bij borstkanker heb je ook veel behoefte aan ondersteuning en contact, maar die momenten zijn volgens mij veel meer verspreid over de verschillende stadia van het proces, van diagnose en onzekerheid aan het begin tot het er mee leren leven na afloop. Mocht er al een dieptepunt zijn in het proces waarin je het meeste behoefte hebt aan lotgenotencontact, dan is dat niet een moment waarop je de puf en de rust hebt om uitgebreid te gaan chatten op een site. Bij een chat bij de borstkanker vereniging is het dus veel minder duidelijk waar je over kan chatten.

Al met al kan ik me dus een aardig rijtje bedenken met oorzaken voor het verschil. Ik ben benieuwd: waar denk jij dat het verschil vandaan komt? Klopt mijn analyse een beetje, of sla ik de plank geheel mis?

Het was me al lang geleden opgevallen dat de bezoekers van hulpsites op internet bijzonder weinig aandacht schenken aan hun privacy. In de tien jaar dat de telefonische hulpdiensten via SOShulp via internet bereikbaar zijn, is het aantal keren dat een hulpvrager uitvroeg hoe het zat met de privacy en betrouwbaarheid op de vingers van een hand te tellen. Een vergelijkbaar beeld is er bij andere instellingen die via internet hulp verlenen. Hulp via internet komt op hulpzoekers vaak als heel anoniem over, terwijl het in werkelijkheid minder anoniem is dan bijvoorbeeld een telefoonlijn. Blijkbaar zien de hulpzoekers helemaal niet het gevaar er van als hun gegevens in verkeerde handen terechtkomen. En dat terwijl de consequenties van het uitlekken van de gegevens heel groot kunnen zijn.

Recent heb ik voor de stichting e-hulp.nl een scriptje geschreven waarmee je veel sites in een keer kan analyseren op het gebruik van een statistieken-service, bijvoorbeeld Google Analytics. Op dit moment gebruikt ongeveer 10% van de sites in de zorg Google Analytics. Daar zitten grote en gerenommeerde instellingen tussen. Het volledige bericht hierover van e-hulp.nl is hier te vinden. Blijkbaar vinden veel instellingen in de zorg het helemaal geen probleem om gegevens over wie er informatie zoekt, bijvoorbeeld over zaken als besmettelijke ziektes, psychische problemen of drugsgebruik, onder dubieuze voorwaarden uit handen te geven.

Moeten we dan maar concluderen dat privacy in de zorg een achterhaald thema is, omdat niemand er waarde aan hecht? Alsjeblieft niet! Dat veel hulpzoekers niet overzien welke risico's ze nemen is jammer, maar ook wel begrijpelijk. Je moet je goed in computers verdiepen voordat je de gevaren ziet. Daarmee komt de verantwoordelijkheid voor het bewaken van de privacy van de hulpzoekers bij de instellingen die hulp aanbieden te liggen. En daarom is het extra alarmerend dat die instellingen geen waarde aan de privacy van hun klanten lijken te hechten.

Gisteren maakte de Nederlandse Vereniging van Banken (NVB) bekend te starten met een voorlichtingscampagne veilig internetbankieren, "3 keer kloppen". Mooi initiatief op het eerste gezicht, toch rammelt het. Ik schreef in een eerdere blog al over de hack bij de ABN-Amro, waarbij criminelen in de kaart gespeeld werden door een beperkte beveiliging van het internetbankieren van de ABN-Amro. Nou sprak ik eergisteren toevallig op de infosecurity beurs met een vertegenwoordiger van Vasco, de producent van de kaartlezers die door verschillende banken in Nederland gebruikt worden. Zijn woorden: "Ach, ja de ABN-Amro... ze hebben zich niet aan onze richtlijnen gehouden".

Ik haal even twee quotes uit het persbericht van de NVB: "De banken voldoen op dit gebied aan strenge veiligheidsregels. Ze nemen de veiligheid van internetbankieren serieus." en "Het is belangrijk dat consumenten hun computersoftware, internetbrowser en beveiligingssoftware up-to-date houden".

Laten we even alles op een rijtje zetten:

• De ABN-Amro bezuinigt op de beveiliging
• Ze houden zich daarbij niet aan de veiligheidsrichtlijnen van hun leverancier
• Ze liegen knalhard dat ze de veiligheid serieus nemen
• Als oplossing moeten hun klanten hun zaken beter regelen

Eerst een probleem creëren, ontkennen dat je iets fout heb gedaan, het probleem afwentelen op je klanten en daarbij verwachten dat je klanten wel doen wat jij hebt nagelaten? Veel arroganter moet het niet worden.

Wat het er niet beter op maakt, is dat de banken in hun voorlichting heel dubbel zijn. Ze roepen steeds dat internetbankieren heel veilig is, maar uit kleine snippers informatie kan je opmaken dat het toch regelmatig mis gaat. De banken weigeren echter openheid te geven over wat er mis gaat, op welke schaal en hoe het mis kon gaan. Maar toch moet de consument van de NVB beter op de veiligheid letten. "Consumenten en banken hebben een gezamenlijk belang bij veilig internetbankieren" schrijft de NVB. Als ze samen met de consument de veiligheid willen verbeteren, dan moeten ze hun klanten wel serieus nemen en eerlijk zijn tegen ze. En de eigen zaakjes op orde hebben natuurlijk...

Tweakers.net kwam met een nieuwtje over een hack tegen ABN-Amro internetbankieren. Op Internet Storm Centre van het SANS staat er nog een goed overzicht in het engels over de hack. Vreemd genoeg heeft deze hack buiten deze beperkte kring weinig aandacht gekregen, terwijl de hack bij mijn weten een noviteit is.

Veiligheidsdeskundigen waarschuwen al een tijd dat je niets van een computer die besmet is mag vertrouwen. Waarom? Theoretisch bestaat er de mogelijkheid dat een stukje kwaadaardige software de goedaardige programma's andere dingen laat doen dan je denkt. Bijvoorbeeld dingen niet weergeven die er wel zijn. Tot nu werd die mogelijkheid echter alleen gebruikt om de kwaadaardige software zelf buiten beeld te houden. Het kwaadaardige gedrag bleef beperkt tot meekijken of bestanden veranderen. De goedaardige programma's bleven verder gewoon doen wat ze zouden moeten doen.

Bij de hack tegen ABN-Amro nestelde het kwaadaardige programma zich in de Internet Explorer. Bij het bezoeken van het internetbankieren van de ABN-Amro werd er echter een programmaatje actief dat de acties van het slachtoffer zelf op de site ging veranderen: het gebruikte de ingevoerde inlogcode om zichzelf in te loggen en een betaalopdracht met een leuk bedrag klaar te zetten, maar vertelde het slachtoffer dat het inloggen niet gelukt was. Het slachtoffer kreeg een nieuwe inlogpagina te zien en vulde vrolijk een nieuwe inlogcode in. Deze code werd vervolgens gebruikt om de betaalopdracht goed te keuren. En het slachtoffer ondertussen maar denken dat 'ie niet eens ingelogd is.

Tot nu toe was het gebruik van zogenaamde "two-factor-authentication", een systeem waarbij je apparaatje hebt dat eenmalige wachtwoorden afgeeft, een effectief middel tegen het stelen van wachtwoorden. Door zich dieper in de computer te nestelen konden deze criminelen ook een "two-factor-authentication" omzeilen. Ze zijn daarbij wel geholpen door het feit dat de ABN-Amro eenzelfde soort code gebruikt voor het inloggen als voor het goedkeuren. Bij een aantal andere banken, zoals de Rabobank, heb je een aparte 'ondertekenfunctie' waarbij je een code van de site in het bankier-apparaatje moet ingeven voordat een ondertekencode krijgt.

Als je het potentieel van deze hack-techniek doordenkt, dan is het echter ronduit beangstigend wat er mee kan: ook het systeem van de Rabobank, zoals het in de huidige vorm werkt zou er mee omzeild kunnen worden. Het is wat moeilijker, maar in principe kan het met dezelfde technieken gedaan worden. Pas op het moment dat je bij een systeem als van de rabobank niet alleen een code van de site, maar ook het totaalbedrag van de overboekingen in het apparaatje moet invoeren, wordt er een extra drempel ingebouwd tegen criminelen.

Tijd voor de ABN-Amro dus om hun telebankier klanten een beter apparaat te geven...

update 2 november 2007:

Lees in deze blog van mij wat de leverancier van het apparaat van de ABN-Amro er eigenlijk van denkt en hoe de banken de problemen afwentelen op de consumenten.

Update (29-1-2008):

Meer informatie over de trojan die dit op zijn geweten heeft is te vinden op: http://www.symantec.com/connect/blogs/banking-silence