Category

Nieuws uit eigen keuken

Danny Mekic’ keynote speaker TEDxYouth Amsterdam

By | Nieuws uit eigen keuken | No Comments

20 november is het weer zover: Universal Children’s Day. Op die dag wordt in heel veel landen het evenement ‘TEDxYouth’. In 2010, het eerste jaar dat TEDxYouth georganiseerd werd, was dat al meteen op meer dan 80 plaatsen over de hele wereld verspreid. Ook in NEMO in Amsterdam.

Dit jaar is onze Danny Mekic’ gevraagd als keynote speaker voor dit fantastische evenement voor tieners van 12 t/m 18 jaar. Hieronder volgt de aankondiging van zijn TEDtalk:

Een ingewikkeld verhaal. Want als je je middelbare school niet af maakt, hoe kom je dan op de Universiteit van Amsterdam terecht als student Rechtsgeleerdheid, voorzitter van de juridische studentenraad en universitair docent, terwijl je daarnaast sinds je vijftiende een internetbedrijf uitbouwt? Met succes: in 2009 werd hij door het magazine Sprout van Management Team uitgeroepen tot ‘meest succesvolle jonge ondernemer van Nederland’, noemde Elsevier hem ‘een van de vijftig grootste Nederlandse talenten’ en kwam het blad Quote tot dezelfde conclusie terwijl het de mannen en vrouwen uit het bedrijfsleven werden gewaarschuwd voor zijn komst.

Zonder zijn middelbare school af te ronden, is hij op 24-jarige leeftijd een van de meest bekende internetexperts en jonge management consultants van Nederland. Dat laatste betekent dat hij bedrijven maar ook de overheid en Tweede Kamer adviseert, vooral op het gebied van technologie, media, (internet)communicatie en jongeren. Zonder zijn middelbare school afgerond te hebben werd hij toegelaten tot de Universiteit van Amsterdam als student, een jaar later als docent én werd hij verkozen als voorzitter van de studentenraad.

Volgens NRC Handelsblad is hij de meest gevraagde expert op televisie uit het bedrijfsleven, hij is regelmatig te zien in het Journaal en bij nieuwsprogramma’s zoals EenVandaag en Pownews. In 2009 werd hij uitgeroepen tot meest succesvolle jonge ondernemer van Nederland en werkt nu hard aan zijn tweede bedrijf: NewTeam, een adviesbureau gerund door twintigers én tieners! Coacht jonge mensen bij het dichter bij hun dromen komen, net als iets oudere directieleden van grote, beursgenoteerde bedrijven.

Gemiddeld geeft Danny Mekic’ (24) drie lezingen per week waarin hij normaal vertelt over internet, nieuwe media, marketing, een eigen bedrijf starten en opbouwen of wetten en regels. Maar niet op TEDxYouth. Ons vertelt hij een persoonlijk verhaal: hoe spijt en liefde kan helpen om een stap dichterbij je dromen te komen. Wat wil jij worden of doen als je later groot bent?

Na het succes van vorig jaar, vindt ook dit jaar TEDxYouth plaats in Science Center Nemo. Ben je tussen de 12 en 18 jaar, en wil je aanwezig zijn op deze dag vol inspiratie? Meld je dan aan via de TEDxYouth Amsterdam-website. Maar let op: vol=vol!

Naar de aanmeld-site.

EenVandaag: Wederom slecht beveiligde overheidswebsite

By | Actualiteiten, Nieuws uit eigen keuken | No Comments

Het ambtelijke informatie- en managementsysteem van de Provincie Noord-Holland was tot vanavond met een standaard wachtwoord voor iedereen toegankelijk. Het is de zoveelste keer dat het slecht gesteld is met de ICT en de veiligheid van overheidssites.

Hero Brinkman, Tweede Kamerlid en lid van Provinciale Staten namens de PVV, kwam bij toeval achter ‘de open deur’. Het systeem, BABS (Bestuurlijke Activiteiten Bewakingssysteem), is via internet toegankelijk. Op het systeem kunnen agenda’s worden aangepast en ook (geheime) documenten worden opgevraagd en toegevoegd.

In de handleiding van BABS valt te lezen dat het standaard wachtwoord ‘welkom’ is. De meeste ambtenaren hebben dat niet gedaan. Internetexpert Danny Mekic’ (NewTeam) noemt het ongelooflijk dat een standaard wachtwoord op zo’n systeem zit. Hij vindt dat de overheid veel te laks is.

Ook andere provincies en de landelijke overheid maken gebruik van BABS, maar onduidelijk is of die sites op dezelfde manier te benaderen waren met een standaard wachtwoord.

De provincie heeft het systeem tijdelijk offline gehaald.

sitestat

Nu.nl: Controleer internetverkeer met overheid

By | Actualiteiten, Nieuws uit eigen keuken | No Comments

Door een hack bij Diginotar zijn overheidswebsites mogelijk onveilig geweest. Twee experts leggen uit hoe het precies zit en waarschuwen: “Controleer de recente communicatie met de overheid.”

Diginotar en vergelijkbare bedrijven geven certificaten uit waarmee de betrouwbaarheid van websites gegarandeerd moet worden. Na een hack werden valse certificaten uitgegeven waardoor privacygevoelige informatie afgetapt kan zijn. De Nederlandse overheid maakte ook gebruikt van Diginotarcertificaten en is inmiddels overgestapt op andere certificaten of doet dit in de nabije toekomst. Het OM en OPTA doen onderzoek naar de zaak.

Ot van Daalen, directeur van digitale burgerrechtenbeweging Bits of Freedom (BoF) en ICT- en internetexpert, NewTeam-partner Danny Mekic’ leggen tegenover NU.nl uit wat de hack nu precies in houdt, wat de functie van certificaten is en wat de gevolgen zijn.

Lees hier het artikel.

Pleidooi voor ict-kamers bij rechtbanken

By | Nieuws uit eigen keuken | No Comments

NewTeam-partner Danny Mekic’ pleitte afgelopen week in actualiteitenrubriek EénVandaag voor in ict gespecialiseerde rechters en misschien zelfs een speciale ‘ict-kamer’, met rechters gespecialiseerd in ict, binnen het Nederlandse rechtssysteem. Onder het huidige regime is het voor veel rechters lastig om bij te blijven met alle technologische ontwikkelingen, op en rond met name het internet, waardoor ze meer dan bij veel andere rechtszaken moeten leunen op uitleg en adviezen van derden.

Bekijk hier de reportage:

sitestat

Wat Vodafone allemaal achterlaat

By | Nieuws uit eigen keuken | No Comments

Door Jobert Abma:

Vorige week kwam ik toevallig in de gelegenheid een Vodafone dongel op mijn laptop aan te sluiten. Na 10 minuten deze er weer uitgehaald en heb er die dag niet meer naar omgekeken. Toen ik de volgende dag wat bestanden moest verwijderen, viel mijn oog op de map Vodafone Mobile Broadband. Na 10 minuten zoeken had ik niet alleen een onversleutelde kopie van alle SMS berichten van de dongel van de dag ervoor, maar ook een kopie van al mijn draadloos netwerken. In deze post even een opsomming van informatie wat wordt opgeslagen en wat daar de impact van is.

SMS-archief

Zoals in de inleiding genoemd, zijn de SMS berichten gemakkelijk terug te vinden door simpelweg een bestand te openen. Deze is, onder Mac OS, te vinden in de map ~/Library/Application Support/Vodafone Mobile Broadband/. Hierin staat het bestand sms-store.keyedArchive. Na het bestand te openen in een tekstverwerker wordt onderstaande inhoud weergegeven. Noemenswaardig is het feit dat het bestand toegankelijk is voor alle gebruikers op het systeem.

 


Figuur 1: SMS inhoud

Kopie draadloze netwerken

Wat voor mij een grote vraag is, is waarom Vodafone een kopie van al mijn WiFi netwerken maakt en daar SSID en registersleutel voor opslaat. Deze informatie wordt bewaard in het bestand~/Library/Preferences/de.novamedia.Vodafone Mobile Broadband.plist. In tegenstelling tot het SMS archief, is dit bestand alleen toegankelijk voor de gebruiker die het bestand heeft aangemaakt.


Figuur 2: kopie WiFi netwerken

Afhankelijk van de vertrouwelijke informatie in SMS berichten lijkt dit niet een groot probleem. Een groot raadsel is echter waarom Vodafone het archief niet versleuteld en waarom een kopie van WiFi netwerken wordt bewaard. Op een mobiele telefoon wordt ook een archief bijgehouden, maar hierbij is het niet mogelijk (sandbox, rechten) gemakkelijk toegang te krijgen tot de bestanden, wat de waarschijnlijkheid dermate verkleint. Een ander probleem is, is dat ik de dongel van iemand leende. Het feit dat ik daarmee direct toegang heb tot dergelijke informatie, maakt zo’n apparaat erg cruciaal en een zeer interessante aanvalsvector bij een serieuze hackpoging.

Note: het SMS archief is ook toegankelijk via de Vodafone Mobile Broadband applicatie. Dit neemt echter niet weg dat Vodafone informatie onversleuteld opslaat wat een risicofactor is met betrekking tot vertrouwelijkheid en integriteit van informatie.

 

EénVandaag: Wat willen Apple, Google & TomTom met onze gegevens?

By | Nieuws uit eigen keuken | No Comments

Google spioneerde en krijgt een dwangsom aan zijn broek, Apple houdt exact bij waar eigenaren van iPhone’s zich bevinden en TomTom speelt rijgedrag door naar de politie. Waarom willen dit soort bedrijven onze gegevens toch hebben?

Het College Bescherming Persoonsgegevens (CBP) deed onderzoek naar Google, is woedend en dreigt met een dwangsom als de zoekgigant niet binnen drie maanden slachtoffers informeert. Reden: anders dan Google zegt is opgeslagen Wifi-informatie wel tot op de persoon terug te leiden, ontdekt het CBP. Daarbij gaat het om 3 miljoen Nederlanders.

Tegelijkertijd wordt bekend dat Apple’s iPhone tot ieder moment van de dag, jaar in jaar uit, bijhoudt waar zijn eigenaar is. Zonder dat de gebruiker het weet of de functie kan uitzetten. En TomTom blijkt rijgedrag door te verkopen aan de politie. Waarom blijven deze bedrijven onze privacy met voeten treden? En waarom is deze informatie zo belangrijk voor Google en Apple? Waarom durven ze het niet te vertellen? En wat kan het CBP er tegen doen?

NewTeam-partner Danny Mekić sprak over deze onderwerpen in actualiteitenrubriek EénVandaag. Bekijk hier de reportage:
sitestat

Voicemails ministers en vele andere Vodafone-klanten moeiteloos af te luisteren

By | Nieuws uit eigen keuken | No Comments

Het afluisteren van voicemails van onder andere ministers, burgemeesters, kamerleden, topambtenaren en woordvoerders bij de Nederlandse overheid is kinderlijk eenvoudig. Dit is zo sinds de overstap van de Nederlandse overheid naar Vodafone voor al haar mobiele telefoniediensten.

Voicemails zijn via een andere telefoon met een standaardcode af te luisteren. Dat blijkt uit onderzoek van het actualiteitenprogramma EenVandaag. Het instellen voor álle gebruikers die géén persoonlijke code in hebben gesteld, is een zeer ernstig datalek. Het betekent dat voicemailberichten van mogelijk miljoenen mensen op straat liggen. Zo kan staats- of bedrijfsgeheime info op straat belanden.

Get Microsoft SilverlightBekijk de video in andere formaten.

Emile Roemer (SP) vindt het een grof schandaal: “Dat dit zelfs op dit niveau gebeurt, is knulligheid ten top. De staatsbeveiliging heeft hier gewoon gefaald!”

De zwakke plek zit in de mogelijkheid van Vodafone om een voicemail op afstand af te luisteren via een andere telefoon. De meeste gebruikers luisteren hun voicemail alleen af via hun eigen mobiele telefoon en zijn dus niet op de hoogte van de mogelijkheid deze via een andere telefoon af te luisteren. EenVandaag had, doordat deze info voor iedereen beschikbaar is, toegang tot de voicemailberichten van onder andere ministers, staatssecretarissen, kamerleden, burgemeesters, De Nederlandse Bank en de RVD.

Vrijwel alle overheidsdiensten waaronder de ministeries maar ook zelfstandige bestuursorganen als de AFM, De Nederlandse Bank en de Luchtverkeersleiding Nederland maken gebruik van Vodafone. Daarnaast zijn er ook enkele miljoenen burgers die een Vodafone-abonnement hebben. Het gros van de gebruikers is niet op de hoogte van de afluistermogelijkheid via een ander toestel en van de standaardcode die daartoe ingesteld is.

Vodafone laat in een reactie weten dat het in principe een eigen verantwoordelijkheid is van de Vodafone-gebruiker om een code te wijzigen. Een groot deel van de klanten kiest er volgens Vodafone voor om deze pincode niet te wijzigen. Wel zal Vodafone vanaf vanavond ervoor zorgen dat het afluisteren van je voicemail op afstand alleen nog maar kan door die gebruikers die hun veiligheidscode aangepast hebben.

De SP wil uitleg van de premier en van de verantwoordelijke ministers.

 

Het verhaal achter de studenten OV-chipkaart hack

By | Nieuws uit eigen keuken | No Comments

Door Michiel Prins:

Woensdag plaatste de Universiteitskrant Groningen een kleine aankondiging over de nieuwste OV-chipkaart hack van Luit van Drongelen en mij op hun website. Het duurde niet lang tot GeenStijlde aankondiging ook had gevonden en hun eigen variant van het artikel schreven. Vanaf toen ging het allemaal erg snel en doken soortgelijke berichten op op verschillende nieuwswebsites.

Doordat er weinig details bekend waren, werd op sommige websites gespeculeerd met als resultaat deels onjuiste berichtgeving. Zo werd er gesproken over ‘twee studenten uit Groningen’, terwijl ik samenwerkte met Luit (Hanzehogeschool Groningen) vanuit mijn functie binnen Online24. Hierop hebben we kort overlegd wat voor bericht we uiteindelijk de wereld in wilden sturen en besloten in te gaan op verschillende geïnteresseerden om een interview af te nemen.

Ik heb uitgebreid verhaal gedaan bij ANP, waardoor vrijwel direct het bericht werd aangepast en werden de extra details toegevoegd. Dit aangepaste bericht is na te lezen opNu.nl. Luit nam contact op met Webwereld, één van de websites waar in eerste instantie gespeculeerd werd. Ook dit werd vrij snel opgepikt en Webwereld zette onmiddellijk eennieuw artikel online met details van het interview met Luit. Daarnaast had Luit nog een kort interview met de NOS, welke werd uitgezonden tijdens het nieuws op 3FM.

Later op de dag werd er nog interesse getoond vanuit de redactie van De Wereld Draait Door, het was echter al te laat om er die dag nog een item van te maken. De dag er na was een optie, maar al wel ‘yesterdays news’: niet echt iets voor DWDD.

Woensdag aan het einde van de middag vonden we nog een gaatje in de agenda om een paar foto’s te schieten voor in Dagblad van het Noorden, nadat ik eerst uitgebreid telefonisch werd geïnterviewd.

Voorpagina Dagblad van het Noorden

 

Tentamencijfers in onderwijssysteem Blackboard eenvoudig te hacken door student

By | Nieuws uit eigen keuken, Onderzoek | No Comments

Door Michiel Prins:

Onlangs heb ik samen met Jobert Abma onderzoek gedaan naar de beveiliging van de populaire e-learning applicatie Blackboard. Blackboard wordt wereldwijd gebruikt op universiteiten om onderwijsmateriaal aan te bieden, communicatie en samenwerking tussen studenten en docenten makkelijker te maken, maar ook online toetsing en cijferbeheer behoort tot de functionaliteit van Blackboard.

Uit dit onderzoek is gebleken dat Blackboard (Academic Suite, later Learn) een zeer groot aantal beveiligingslekken bevat. Een voorbeeld: een student die om kan gaan met Google kan eenvoudig zijn of haar niveau van ‘student’ ophogen naar ‘instructor’. Daarnaast kan met wat creativiteit onopgemerkt inlogcombinaties van Blackboard gebruikers worden gestolen, met alle gevolgen van dien.

Doordat op universiteiten en hogescholen vaak gebruik gemaakt wordt van dezelfde inlogcombinaties voor verschillende applicaties, kan een student door misbruik te maken van een lek in Blackboard opeens op veel meer diensten inloggen. Denk hierbij aan studentenadministratie, studieprogressie management tools, e-mail etc.

Om gebruikers van Blackboard te waarschuwen voor de risico’s die zij lopen, publiceerden wij een paper over het onderzoek. Hierin werd aandacht gegeven aan de verschillende soorten beveiligingsgaten die zijn gevonden en het risico dat dit vormt voor de gebruikers en beheerders van Blackboard.

Afluistercamera’s in Amsterdam op het Centraal Station

By | Nieuws uit eigen keuken | No Comments

Doro Danny Mekic’:

Op verschillende openbare plaatsen in Amsterdam worden zogeheten afluistercamera’s gebruikt om gesprekken op te vangen. Doel van de apparatuur is agressie onder het publiek de kop in te drukken voordat die ontaardt in geweld, dat meldde het Parool gisteren.

Het detectiesysteem (genaamd Sigard) is door technologiebedrijf Sound Intelligence ontwikkeld voor plaatsen met een hoog risico op incidenten. Het wordt in Amsterdam inmiddels gebruikt op het Centraal Station, in winkelcentrum Buikslotermeerplein en bij bushaltes in de omgeving in Noord en bij de Heineken Music Hall in Zuidoost. Collegepartij Groenlinks vreest voor de gevolgen voor de privacy, schrijft de krant, en ook op het internet is ophef ontstaan over deze nieuwe vorm van van videoregistratie. Maar mag deze vorm van video- en audioregistratie zomaar?

College Bescherming Persoonsgegevens
Het College Bescherming Persoonsgegevens (CBP) houdt in Nederland toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Cameratoezicht zoals bijvoorbeeld in het Service Center van de Nederlandse Spoorwegen is toegestaan, mits het voldoet aan een aantal voorwaarden. Zo moet duidelijk kenbaar gemaakt worden aan klanten en personeel dat er cameratoezicht aanwezig is. Dit kan bijvoorbeeld door het ophangen van een bordje. Verder dient er zo min mogelijk inbreuk te worden gemaakt op de persoonlijke levenssfeer van klanten, een camera in een pashokje plaatsen gaat te ver, volgens het CBP.

In het Parool-artikel, wordt echter gesproken over openbare locaties zoals bedoeld in artikel 1 van de Wet Openbare Manifestaties. De overheid, en dan met name gemeenten en politie, mag gebruik maken van cameratoezicht in openbare ruimtes.

In artikel 151c lid 4 Gemeentewet is vastgelegd dat het óók het gebruik van camera’s in openbare ruimtes kenbaar moet zijn. Burgers moeten in elk geval in kennis worden gesteld van de mogelijkheid dat zij op beelden kunnen voorkomen zodra zij het gebied betreden dat binnen het bereik van de camera’s valt. Aan het kenbaarheidsvereiste moet niet alleen worden voldaan als er beelden worden vastgelegd, maar ook als sprake is van monitoring en erdus geen opnames worden gemaakt, zo meldt het Centrum voor Criminaliteitspreventie en Veiligheid in zijn Handreiking cameratoezicht: uitgave 2009. De handreiking vermeldt verder dat naast kenbaarheid van het cameratoezicht, ook het verwachtingspatroon van de burger een belangrijk aandachtspunt is. De praktijk laat zien dat er duidelijke communicatie nodig is over bijvoorbeeld bewaartermijnen, inzagerecht en het gebruik van camerabeelden voor andere doeleinden dan toezicht op de openbare orde en opsporing van strafbare feiten.

Geen melding van afluisterpraktijken op Amsterdam Centraal kunnen vinden
Vandaag ben ik wezen kijken in het Service Centrum van de Nederlandse Spoorwegen op station Amsterdam Centraal, waar volgens het onderschrift bij de foto op de website van het Parool de afluistercamera’s hangen. Ik heb niet kunnen vinden dat ik ergens werd geattendeerd op het feit dat er camera’s hangen, laat staan dat deze camera’s ook microfoons bevatten en ‘meeluisteren’ met mijn gesprekken. Het is niet voldoende om de camera’s zichtbaar op te hangen, en natuurlijk helemaal niet als deze microfoons bevatten: er moet duidelijk melding van worden gemaakt, ook als het gaat om een ‘monitoring’-systeem waarbij geen opnames worden gemaakt.

Aanmelding bij College Bescherming Persoonsgegevens
De Gemeente Groningen had in 2005 de primeur om deze nieuwe audio-analysetechniek van Sound Intelligence te testen, en heeft hiervan melding gemaakt bij het College Bescherming Persoonsgegevens. Dat is ook verplicht, aangezien het om een digitaal videotechniek gaat. Het CBP maakte hiervan melding op haar website: “Groningen zal het CBP om advies vragen wanneer dergelijke camera’s in de stad zullen worden geïnstalleerd.”

Op de website van het CBP heb ik verder niks terug kunnen vinden over deze proef, laat staan dat het CBP het gebruik van dergelijke camera’s definitief heeft goedgekeurd, en welke aanvullende vereisten zij aan het gebruik stelt (bijvoorbeeld het ophangen van een duidelijke melding dat er óók geluidsanalyses plaatsvinden in het gebied). Het is nog maar de vraag of het bij het CBP bekend was dat de camera’s in het Centraal Station ook microfoons bevatten.

Ik ben dan ook erg benieuwd naar een reactie van het CBP op het Parool-artikel: waren zij op de hoogte van de microfoons, het monitoring-systeem en maakt de Nederlandse Spoorwegen wel voldoende duidelijk dat er gefilmd en meegeluisterd wordt? Is het überhaupt wenselijk om de overheid of een Nederlandse Spoorwegen mee te luisteren met privégesprekken van mensen op openbare plaatsen?

Afluistercamera Amsterdam Centraal