Nederland kampioen afluisteren

In Nederland worden ruim 22.000 telefoons afgeluisterd. Het gaat om gemiddeld 50 telefoons per gemeente. Nederlandse opsporingsambtenaren luisteren daarmee veel meer telefoons af dan hun collega’s in omringende landen (bron).

Op zich natuurlijk al een opmerkelijk bericht dat wij gemiddeld de meeste telefoons afluisteren, maar de vraag is natuurlijk waarom en wat doen we of voorkomen we daarmee? Dergelijk nieuws komt niet naar buiten en ik schat de kans dan ook groot dat de opsporingsambtenaren het merendeel van hun tijd naar onzin telefoontjes zitten te luisteren.

“Schat, ik ben over 10 minuten thuis, zet de aardappelen maar vast op”. Zo, weer een paar seconde kostbare opsporingstijd verloren gegaan. Nu is het natuurlijk al jaren een trend dat we minder en minder bellen en steeds meer “whatsappjes” en “pingetjes” sturen. Vraag jij je dan ook niet af of al die berichten ook gemonitord worden? Ik heb mijn “whatsapp” er net even op nageslagen en kom in zijn totaliteit 0 (lees: nul) spannende berichtjes tegen. Hopen voor de opsporingsambtenaren dat ze mij niet af hoeven te luisteren want dat is echt zonde van hun tijd.

Nou ja, hoor je binnenkort een storing op de lijn, hoor je een vreemde klik tijdens je gesprek of hoor je achtergrondgeluiden terwijl de ander in een rustig hoekje zit te bellen, dan kan het zomaar zo zijn dat er met je wordt meegeluisterd. Heb je iets spannends te vertellen dan doe je dat het beste dus niet via de telefoon.

Maar wacht, was dit niet al jaren de normaalste gang van zaken? Was het “vroeger” ook verboden om vertrouwelijk of geheime gegevens via de telefoon te bespreken (een veel geziene bedrijfspolicy)? Dan is er dus in de afgelopen jaren aan het risico niets gewijzigd. Alleen zijn we inmiddels vergroeid met onze telefoon en zijn we vergeten dat die redelijk eenvoudig is af te luisteren.

Wat dat betreft kunnen we het misschien nog het beste vergelijken met autorijden. In de auto voelen we ons veilig en omdat we ons veilig voelen zingen we keihard met de muziek mee, peuteren we lekker in onze neus en steken we vrolijk een middelvinger naar de ander op. Niemand die ons wat doet, niemand die ons ziet, toch? Met de telefoon is volgens mij iets vergelijkbaars aan de gang. We wanen ons veilig als we door ons mobieltje praten, niemand die ons kan horen. Nou ja, als je tenminste niet ijsberend door het kantoor door je microfoon loopt te gillen (mensen: het is een telefoon, als je wat zachter praat hoort de ander je ook hoor).

Ach, zolang je niets te verbergen hebt, heb je ook niks om je druk over te maken. Dus gewoon lekker blijven bellen en als je iets “vertrouwelijks” moet vertellen (of het nu privé of zakelijk is), gewoon lekker bij de ander een bak koffie gaan drinken en face-to-face het gesprek aangaan.

Directiekamers af te luisteren via videoconferencingsysteem

In een onderzoek, uitgevoerd door Chief security officer H.D. Moore van het Amerikaanse Rapid7 vond hij 5000 vergaderzalen met videoconferencingsysteem die voor ongenode gasten eenvoudig toegankelijk waren. Daarbij ging het onder meer om vergaderzalen bij grote namen uit de juridische wereld en uit de wereld van verstrekkers van risicokapitaal, bij farmaceutische bedrijven en bedrijven uit de olie-industrie. De videoconferencingsystemen waren geleverd door markleiders Polycom en Cisco, en door Sony, LifeSize en anderen(bron).

Zo zien we maar weer dat de beveiligingslekken niet altijd zitten waar onze focus op gericht is. Laten we eerlijk zijn, op veel risico-lijstjes zullen de videoconferencingsystemen nog niet voorkomen. En misschien “sweepen” we de directiekamers regelmatig op afluisterapparatuur (hoewel dat al een unicum lijkt), maar de “vijand” hebben we zelf in huis gehaald.

De soep wordt, als het goed is, echter niet zo heet gegeten als hij wordt opgediend. Ergens in ons beleid zal best staan dat vertrouwelijke gegevens niet via de telefoon gedeeld mogen worden (omdat we al jaren weten dat die afgeluisterd kunnen worden). Nu kun je natuurlijk hele discussies voeren of de videoconferencingsystemen wel of niet onder dit beleid vallen, maar dat is niet zo spannend. Valt het er namelijk nog niet onder dan passen we ons beleid toch even aan?

Maar gisteren haalden we het ook al aan. We moeten kijken naar de behoefte van de gebruikers. Leuk dat we het op papier verbieden, maar als de directie zich er al niet aan houdt dan moeten we ons wat dingen af gaan vragen.

We kunnen natuurlijk heel hard roepen dat beveiligingsbeleid ook voor de directie geldt en dat het management het goede voorbeeld moet geven. Daar heb je theoretisch best gelijk in, maar als ons beleid niet toereikend is dan moeten we toch echt eerst in de spiegel kijken.

Blijkbaar is er een behoefte om via videoconferencingsystemen te communiceren, ook over vertrouwelijke zaken. Dan zullen we dus op zoek moeten naar een manier waarop dat zo veilig mogelijk kan. Wat die manier exact is, weet ik ook nog niet, dus de zoektocht kan beginnen.

Zolang we de pot met goud aan het einde van de regenboog nog niet gevonden hebben, is het wel verstandig om de directie er van bewust te maken dat er wellicht een risico zit in het videoconferencingsysteem. Daarbij geven we natuurlijk richtlijnen over hoe ze zo veilig mogelijk kunnen communiceren en we geven ook aan dat we op zoek zijn naar een oplossing waar zij geen last van zullen hebben. Een uitdaging staat je daarbij wel te wachten, maar die gaan we natuurlijk niet uit de weg.

En om alles weer even te nuanceren en naar normale proporties terug te brengen: 9 van de 10 videoconferencing gesprekken zullen wellicht enigszins vertrouwelijk zijn, maar echte geheimen zullen ze nu ook weer niet bevatten. Dus voordat we ze maar direct verbieden wel eerst even bekijken wat er zoal besproken zal worden.

Om je alvast wat kaders mee te geven: Moore concentreerde zich op twee configuratiefouten: het plaatsen van het videoconferencingsysteem buiten de firewall en het gebruik van het automatisch accepteren van inkomende oproepen. Laten we ons daarop dan als eerste richten en voor die tijden dat de videoconferencing mogelijkheid niet nodig is kunnen we nog altijd gewoon de stekker uit het stopcontact trekken.

Nou, ik ga nu even een viedoconference in en zal het niet over geheime zaken hebben.

Mobieltjes afluisteren veel moeilijker dan beweerd

Een paar weken geleden hadden we het er nog over dat het afluisteren van mobieltjes voor een beetje techneut steeds makkelijker werd en dat het met goedkope tools al mogelijk was. Nu een tegenbericht…en welk bericht je moet geloven? Dat laat ik in het midden.

Een mobiele telefoon afluisteren is niet zo makkelijk als hackers doen overkomen. Goedkope hardware en gratis software om gesprekken af te luisteren werken helemaal niet (bron).

Feit is wel om echt vertrouwelijke informatie toch maar op een andere manier te bespreken. Niet alleen omdat het mobieltje misschien kan worden afgeluisterd maar juist ook omdat het risico bestaat dat er iemand over je schouder mee luistert.

Ander feit is dat het afluisteren van mobieltjes wel gewoon mogelijk is, maar dan met dure apparatuur die alleen aan overheden geleverd wordt. Nou ja, alleen aan overheden…dat valt nog te bezien. Grote kans dat als je genoeg geld neerlegt jij die apparatuur ook gewoon kunt kopen.

Maar goed, voor een beetje hobbyist zijn deze spullen te duur, deze zal je dus voorlopig nog niet zo snel afluisteren (als we dit bericht mogen geloven). Een geruststelling? Ehm, wat mij betreft niet echt. Als ik echt vertrouwelijke informatie via de telefoon bespreek heb ik liever dat een hobbyist me afluistert (die weet waarschijnlijk toch niet waar ik het over heb) dan dat een overheid of mijn concurrent dat doet. Afluisteren is dus wel degelijk mogelijk, als je maar genoeg geld neer telt.

Advies: de echt vertrouwelijke informatie dan toch maar face-to-face bespreken maar dan moet je natuurlijk wel weer zeker weten dat de ruimte waarin de bespreking is veilig is en niet afgeluisterd wordt. Maar goed, we hebben het alleen over echt vertrouwelijke informatie…en natuurlijk kan veel informatie als vertrouwelijk worden gezien, maar voor de buitenwereld is die informatie helemaal niet zo vertrouwelijk. We moeten natuurlijk niet overdrijven en onze informatie teveel als geheim gaan zien. Doen we dat wel dan zullen we ook de daad bij het woord moeten voegen en zorgen dat die informatie ook echt veilig is…en dan hebben we meer te doen dan alleen vertrouwelijke gesprekken voeren er zijn immers genoeg andere methoden om aan die informatie te komen.

Camera’s in Amsterdam luisteren ook af

Op verschillende openbare plaatsen in Amsterdam worden zogeheten afluistercamera’s gebruikt om gesprekken op te vangen. De camera’s hebben als doel agressie onder publiek de kop in drukken voordat dit ontaardt in geweld. GroenLinks wil volgens het Parool dat er bordjes komen om voorbijgangers attent te maken op het cameratoezicht en de geluidsregistratie. Het detectiesysteem staat op plaatsen met een hoog risico op incidenten, zoals op het Centraal Station, in winkelcentrum Buikslotermeerplein, bij bushaltes in Amsterdam-Noord en bij de Heineken Music Hall (bron).

Afluistercamera’s…een mooi woord (misschien is er binnenkort ook een kijkmicrofoon?) dat het helaas niet tot woord van het jaar zal schoppen omdat te weinig mensen deze term kennen en zich er dus ook niet van bewust zijn. Camera’s die niet alleen beelden opnemen maar ook de geluiden interpreteren om zo vroegtijdig in te kunnen grijpen. Een mooie techniek of een nieuwe inbreuk op de privacy van mensen?

GroenLinks wil de mensen er in ieder geval op wijzen. En hoewel ik daar niet tegen ben vraag ik me wel af hoeveel mensen om zich heen kijken in de openbare ruimte en hoe bewust men zich is van de beveiligingscamera’s om ons heen. Geloof me er hangen meer camera’s dan we denken, alleen letten we er niet op (en dat is misschien maar goed ook).

In bijna iedere winkel waar je tegenwoordig komt hangen beveiligingscamera’s en in dat geval is de winkelier verplicht om je te wijzen op het gebruik van die camera’s. Dat kan hij doen door een bordje naast de deur te hangen of door gewoon de camera’s goed zichtbaar te installeren. Wees eens eerlijk, heb jij wel eens goed gekeken of er een camera hangt in die winkel waar je laatst was? Waarschijnlijk ben je er straal aan voorbij gelopen. Erg? Op zich niet want je hebt vast niets te verbergen, maar toch is het goed om je ervan bewust te zijn.

Echt leuk wordt het als je gebruik maakt van je rechten. Je hebt namelijk het recht om inzage te vragen in de opnames waar jij op staat. Heb je een keer een middagje niets te doen? Dan daag ik je bij deze uit om je partner eens lekker mee uit winkelen te nemen: jij kunt je heerlijk vermaken door bij alle winkels waar ze iets wil kopen de verkoper te vragen naar de beelden die hij zojuist van jou heeft opgenomen. Let vooral ook even op de verbaasde blikken die je van de verkoper krijgt. Ben benieuwd of je de beelden te zien krijgt. In ieder geval hebben jij en je partner een leuke middag gehad.

Spionage via e-mail gegroeid

Buitenlandse geheime diensten proberen steeds vaker aan gevoelige Nederlandse informatie te komen door besmette e-mails te sturen, meldt de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in zijn jaarverslag over 2009 (bron).

Een risico waar maar weinig mensen bij stil staan. Als we al vreemde mailtjes ontvangen (en wie ontvangt er geen SPAM tegenwoordig) dan gaan we er niet vanuit dat hier een buitenlandse geheime dienst achter zit, wat hebben wij nu voor informatie die voor hen interessant kan zijn?

Op zich waarschijnlijk weinig, maar juist de combinatie van allerlei gegevens en informatie kan interessant zijn. Natuurlijk zijn er mensen die over gevoelige informatie beschikken, daar moet extra aandacht voor zijn (hoewel hier in de praktijk ook nog veel winst valt te behalen), maar het merendeel van de mensen beseft zich niet welke risico’s er zijn. Een stuk informatie hoeft helemaal niet gevoelig te zijn, maar de combinatie met andere gegevens kan er juist voor zorgen dat het wel gevoelig wordt (aan je inlognaam hebben ze niets en ook niet aan je wachtwoord, maar als je over beide beschikt dan ben je al een stuk verder).

Nu is dit natuurlijk een interessant bericht en een goede waarschuwing van de AIVD, maar helaas wordt niet duidelijk gemaakt wat je hier als individu nu aan kunt doen. Kun je hier als individu eigenlijk wel wat aan doen of moet de overheid hier een centrale rol in spelen? En als de overheid die centrale rol op zich neemt, in hoeverre kunnen we dan spreken over censuur?

Hier wordt met name ingegaan op de buitenlandse geheime diensten, maar waren we als Nederland niet een van de landen die het meeste doet aan afluisteren? Vergeet niet dat niet alleen de buitenlandse diensten hier gretig gebruik van maken, maar onze eigen geheime dienst kan er natuurlijk ook wat van. Overigens ben ik ook wel benieuwd naar alle spionage activiteiten die onze geheime dienst in het buitenland uitvoert, of zijn wij het braafste jongetje van de klas en houden wij ons keurig aan de internationaal afgesproken regels?

Providers woedend over tapvergoeding overheid

Providers krijgen van de overheid een vergoeding van 13,13 euro per internettap. Het plaatsen van een tap kost echter zo’n 1.300 euro. De isp’s zijn woedend.

De kosten voor het plaatsen van internettaps komen wettelijk gezien voor de rekening van de providers. Zij zijn namelijk verplicht om taps te plaatsen voor Justitie en de AIVD. De investeringen die providers moeten doen om tappen mogelijk te maken, moeten zij doorberekenen aan eindgebruikers (bron).

Daar gaat je business case als je ISP wilde worden. Het enthousiaste tappen van de overheid kost je gewoon de kop. Hoe meer zij willen tappen hoe meer verlies je bij kunt boeken op de winst- en verlies rekening. Inmiddels zijn er al vaker berichten verschenen waaruit blijkt dat tappen en afluisteren binnen Nederland de gewoonste zaak is. In 2009 waren het al zo’n 3350 internettaps en in 2008 luisterden ze dagelijks al 1681 telefoontjes af.

Nederland is internationaal ‘koploper telefoontaps’. In de Verenigde Staten worden er jaarlijks in totaal 2.208 gesprekken afgeluisterd. De politie heeft in totaal bij 12.491 telefoonnummers getapt. Het grootste deel van de taps, 84 procent, had plaats bij mobiele nummers (bron).