R.I.P. - Benm

Dat vind ik ook een zorgelijke ontwikkeling. Nu geloof ik best dat er veel legitieme toepassingen zijn (zoals pakweg je gmail contacten importeren in facebook of zoiets), maar het geeft mensen wel de indruk dat het okay is je login gegevens in te vullen op andere plaatsen dan de webmail service zelf... op die manier maken ze het phishers wel een eind gemakkelijker.

Dat is gemakkelijk gezegd, maar -is- dat ook zo in de praktijk? Hoe vaak komt het niet voor dat je de gebruiksgegevens van het een of ander (bijvoorbeeld een hostingpakket oid) gewoon als e-mail ontvangt? En wat als iemand die onderschept, daarmee inlogt en je mission-critical domeinnaam weet te ontvreemden? Je kunt het naief noemen, maar ergens is het wel degelijk een probleem: niet zozeer de directe schade die er momenteel door wordt veroorzaakt, maar wel het complete gebrek aan awareness. Overigens is het frappant hoe gemakkelijk mensen hun passwords afstaan: ludiek onderzoek toonde aan dat de overgrote meererheid van kantoorwerkers hun wachtwoord afgaf, op en metrostation, in ruil voor een gratis balpen (!). Wat dat betreft is er nog genoeg voor te lichten ;)

Ongetwijfeld.. Maar ergens kan ik me niet aan de indruk onttrekken dat de fnv bezig is voor een heel specifieke groep: voormalig werknemers in de bouw die op een gegeven punt als zzp aannemer zijn verder gegaan. Deze groep zit nu natuurlijk in zwaar weer door sterke terugval in de bouw door de crisis, terwijl de zekerheid van loondienst destijds bewust is opgegeven voor een hoger inkomen. Werkgevers in de bouw zullen hun loondieners wel laten omscholen als het mogelijk is, die moeten tenslotte toch doorbetaald worden of ze nou iets bouwen of niet... maar dat geldt uiteraard niet meer voor iedereen die voor zichzelf is begonnen.

FNV bouw & hout... op een of andere manier denk ik niet dat die gaan komen waar het HL publiek veel mee op zal schieten. Zeker dingen als omscholing klinken meer als iets wat je zou doen met personeel van noodlijdende bedrijven dan met zelfstandigen.

Tja, ik neem aan dat dat getal een soort projectie is van de groei in computercapaciteit, waarbij je met de aanwezige capacitieit blijft proberen de sleutel te brute forcen. Dat daar vervolgens een getal van 4 significante cijfers uit rolt zegt denk ik verder niet zo veel. Maar goed, de sterkte van de encryptie is in ieder geval niet hetgeen dat evt nieuw is aan dit product. Ik ben veel benieuwder naar wat het plan is voor sleuteldistributie en verificatie, en nog benieuwder hoe je een dergelijke applicatie tot algemeen gebruikt uit kunt bouwen. Vooral het laatste lijkt me iets dat vraagt om een unieke, nog nimmer getoonde, aanpak.

Het is maar hoe je dit benaderd. Je kunt je ook afvragen wat de nadelige gevolgen zoal (kunnen) zijn van het gebrek aan encryptie. Nu zal de gemiddelde mens wellicht niet te maken krijgen met de gevolgen, maar wat als iemand, om maar even iets geks te noemen, even zijn telebanking username en wachtwoord, of creditcard gegevens per email aan zn partner stuurt? Er zijn genoeg mensen die dat gerust zouden doen, niet wetende dat die email eenvoudig onderschept kan worden met een geplunderde rekening als gevolg. Ik weet niet op welke schaal dergelijke fraude voorkomt, maar wel dat het absoluut mogelijk is dat zoiets gebeurd.

Dat hangt een beetje van de leverancier af... bij Dell registeren ze de verkoopdatum van de service tag, en ik neem aan dat de garantie dan gewoon vanaf die datum blijft tellen als het ding is doorverkocht. Maar het lijkt verder niet aantrekkelijk: voor een particulier is die aankoop via marktplaats prettig omdat het hem effectief de btw bespaard, als ondernemer vervalt het voordeel compleet omdat je het anders toch had kunnen aftrekken.

Encryptie maakt hoogstens verdacht als het geen gemeengoed is. Als er een fatsoenlijke standaard voor end-to-end encryptie voor e-mail wordt uitgerold, lijkt me het gebruik daarvan niet verdachter dan, pakweg, je gegevens doorgeven aan een webshop middels een https verbinding.

Dat is wel een beetje een manco van gedwongen sleutelafgifte. Iemand die encryptie gebruikt om misdaden te verhullen zal wellicht eieren voor zn geld kiezen - twee jaar voor het achterhouden van de sleutel is dan een gustiger uitkomst als de sleutel afgeven wanneer deze een bewijs voor pakweg moord of landsverraad onthult. Overigens heb ik niet het idee dat een verbod enige invloed zal hebben op criminele toepassingen. Als men encryptie verbiedt zullen de 'misbruikers' zich indekken door toevoeging van steganografie, dus die hebben er geen last van. Legitiem gebruik wordt echter wel onmogelijk, wat mij een onwenselijke situatie lijkt.

Begrijp me goed, ik vind zoiets ook helemaal niet wenselijk... alleen lijkt het me een effectiever middel dan domweg verbieden van encryptie als de politiek om een of andere reden besluit dat de overheid overal inzage in moet kunnen krijgen. Een ander scenario zou werken met backdoors, maar dat lijkt me inherent onveilig. Toegang via zulke backdoors kan wellicht alleen bedoeld zijn voor overheidsdiensten, maar het duurt natuurlijk niet lang voor zoiets uitlekt en misbruikt wordt voor pakweg bedrijfsmatige spionnage. Het doet me een beetje denken aan het amerikaanse exportverbod op encryptie bij de ontwikkeling van ssl/tls - maar daar is uiteindelijk ook niets van overgebleven... vooral omdat in andere jurisdicties wel krachteriger encrypte gemaakt en verspreid kon worden.

Uiteraard heb ik het niet geheel per ongeluk zo verwoord - alleen vind ik die argumentatie voor encrypte meer valide dan voor vuurwapens. Wettelijk regelen dat iemand gedwongen (op straffe van hechtenis) kan worden de sleutel prijs te geven is natuurlijk een optie - waarmee je voor zover mogelijk het ongewenste effect van encryptie zoals jij het beschrijft kan proberen teniet te doen. De praktische kan van de zaak lijkt me overigens minder eenvoudig - je kunt moeilijk iemand tot het einde der tijden opsluiten omdat het de sleutel 'vergeten' is. Daarnaast zullen juist de criminele gebruikers meer geavanceerde technieken gebruiken waardoor niet eens te bewijzen is dat er geencrypte data op een drager aanwezig is. Dat gaat natuurlijk nauwelijks met e-mail, maar het probleem lijkt me duidelijk.

Eerlijkgezegd denk ik dat hier een enorm stuk onwetendheid een rol speelt - niet bij jou specifiek, maar wel bij gebruikers van e-mail in het algemeen. Hoeveel mensen zouden zich realiseren dat al hun email zeer eenvoudig meegelezen kan worden vanaf iedere machine in het pad van verzender naar ontvanger? Alles wat je per e-mail stuurt zou je feitelijk ook comfortabel op een briefkaart (zonder enveloppe) moeten kunnen sturen... ook daar kunnen postbodes, sorteerders en dergelijke alles meelezen, feitelijk een heel vergelijkbare situatie met gangbare e-mail. Als het brede publiek zich hier bewuster van was denk ik dat de uitrol van beveiligde email een veel grotere kans zou hebben...

Het lijkt me sowieso iets dat je gratis en open in de markt moet zetten wil het enige kans van slagen hebben. Dit soort systemen hebben gewoon een enorme user base nodig om ook maar een beetje nuttig te zijn, en dat krijg je niet voor elkaar als mensen ervoor moeten betalen.

Dat alle commerciele encryptie waardeloos is, lijkt me bout gesteld en bovendien niet direct te bewijzen. Een aardig en tamelijk recent voorbeeld is skype: opsporingsdiensten hebben serieuze problemen met het onderscheppen van deze gesprekken... maar het lijkt er inderdaad wel op dat men daar 'iets aan gaat doen'. Maar of dat op termijn nou iets zal uitmaken? Ik denk van niet.. the cat is out of the bag wat encryptie betreft, en met de opmars van open source oplossingen denk ik niet dat men de controle nog lang kan vasthouden. Voor de aanbieders van software zoals hier besproken is het natuurlijk prettig als men het zo snel mogelijk opgeeft. Overigens vind ik het een goed streven om uiteindelijk alle email (en eigenlijk ook alle http verkeer) default encrypted te krijgen. Alleen denk ik dat het gewoon een zeer lastige kwestie is omdat het alleen te realiseren is als alle gebruikers het omarmen. Dit is wellicht een beetje vergelijkbaar met de situatie rond spam: als alle gebruikers van e-mail tegelijk een technische aanpassing konden doorvoeren, was het morgen opgelost.

Over verboden en/of verplichte backdoors zou ik me vooralsnog niet de grootste zorg maken. Ik geloof dat er toevallig op dit moment een of andere zaak loopt tegen een pedofiel die had bedacht dat het handig was zijn bestanden middels truecrypt (dat is overigens voor harddisks, niet voor mails) voor zichzelf te houden. Vooralsnog lijkt het erop dat het OM pech heeft. Overigens is het inbouwen van backdoors om evidente redenen nogal lastig als je software open source is ;)

Toch ben je daarmee snel klaar.. if you outlaw encryption, only outlaws will have encryption. Het argument van misbruik is m.i. waanzinnig - iemand die een of ander crimineel plot aan het voorbereiden is, zal daar echt niet van afzien omdat hij in het proces ook nog even een verbod op encryptie negeert.

Eerlijkgezegd denk ik niet dat ik me iets ga aanschaffen om een bericht van 1 persoon te kunnen lezen, ook al kost het slechts een tientje. Als iemand per se een versleuteld bericht kwijt moet stuur ik heb wel mn pgp public key... Wat absoluut onkraakbaar betreft: dat is altijd een riskante uitspraak, maar de huidige technieken zijn mits correct geimplementeerd wel veilig genoeg... of je die 34 miljoen jaar haalt is verder ook niet zo relevant, belangrijker is meestal of het tenminste de komende 100 jaar onkraakbaar zal blijven - en daar heb ik weinig twijfels over. .. en even ingehaald toen ik bovenstaande tikte... Hoe werkt dat sleutelbeheer dan precies? Dat is uiteraard wel van groot belang om de veiligheid van het totale systeem te kunnen verkopen!

Aan een 087 nummer zou ik sowieso niet beginnen. Consumenten weten inmiddels dat die bijzonder duur kunnen zijn om te bellen, als een soort 0900 maar dan met open einde qua kosten.

Dat gaat natuurlijk wel het probleem worden. Stel dat ik het zou aanschaffen, dan heeft het pas nut als iedereen waarmee ik email het ook heeft, en ik zou eergelijkgezegd niet verwachten dat men het allemaal gaat aanschaffen. Sterker nog, een iedereen een gratis oplossing laten gebruiken is al ondoenlijk. Wat dat betreft ben ik wel benieuwd wat dit product zoveel beter maakt als domweg implementeren van om het even welke public key infrastructuur door alle betrokkenen...

Grappig.. ik had gedacht dat de technologie het schuifje of nokje van floppies, bandjes en vhs tapes wel een keer was ontstegen :) Evengoed denk ik dat er best een electronische oplossing voor te vinden zal zijn... kwestie van iemand zoeken met teveel tijd en buitengewone interesse in prutsen aan dit soort dingen ;)

Op zich is het wel geinig natuurlijk, mooie manier om iemand wat informatie toe te sturen in een tastbaar dingetje, en minder gewoontjes dan een cd rom of iets dergelijks. Maar als je dat gratis doet wil je wellicht voorkomen dat mensen gaan bestellen puur om een gratis usb drive te krijgen - een onwisbare usb stick is dan natuurlijk handig! Als je het middels software beveiligd is dat vast ook wel weer ongedaan te maken (aan die link te zien althans), al weet ik niet of de gemiddelde gratis-gadget-verzamelaar die moeite zal nemen.

Dat niet, het is ook om inkomende skype calls te forwarden naar je gsm (er moet dus een simkaart in), maar of deze ook werkt om een vaste lijn door te kunnen schakelen weet ik niet zeker. Overigens hebben ze er meedere varianten van: http://www.mobigater.com/index.php?p=2 - ik zou alleen niet zo 123 weten waar je die kunt kopen.. misschien het beste eens via de site een distributeur zoeken en navragen of het kan doen wat jij wilt?

Echt goedkoop is het niet, maar bijv: http://www.dealextreme.com/details.dx/sku.9674 lijkt ongeveer te zijn wat je hiervoor moet hebben. Daarmee zou je een skypein nummer kunnen doorschakelen naar je gsm. Als je daarvoor 2 sims van een operator gebruikt waarbij je voor gratis/weinig binnen hetzelfde netwerk kunt bellen, zit je feitelijk al goed.

Volgens mij moet het wel kunnen... SD kaartjes hebben vaak een extern schakelaartje om ze readonly te maken, maar ik vermoed dat dat feature ook aanwezig is in usb sticks - zij het niet extern toegankelijk. Handigste is denk ik om iemand te benaderen die wat weet van electronica, en eens te laten kijken wat erin zit. Met de documentatie van de chips erbij zal het vermoeddelijk niet meer werk zijn dan doorkrassen of overbruggen van een printspoortje.

Tja, dat is inderdaad ook weer zoeits... ook met online shoppen en dergelijke. Volgens mij is het nog het handigste dingen gewoon als particulier te bestellen, en daarna in te boeken in de zaak - mag zeker bij een eenmanszaak geen enkel probleem zijn, en de verkoper weer van niets.