Weekoverzicht #37 2022

Deze week in het weekoverzicht: toezichthouder van geheime diensten stapt op, hoe de AVG te handhaven, de klokkenluider van Twitter en security updates.

Let op: we verwijzen in deze tekst naar andere websites. Deze websites hanteren een ander cookie beleid dan wij. Je kunt soms cookies weigeren in het cookie menu, zodra je op de website terechtkomt. Vergeet niet om op 'lijst met derden' of 'partners' te klikken. Ook daar kun je vaak nog cookies weigeren. Wat Freedom vindt van cookies lees je hier.

Bert Hubert stapt op uit TIB

Er verscheen in veel media de afgelopen week bericht over Bert Hubert die vertrekt bij de TIB. Hubert schreef er zelf ook een blog over.

Hieronder een samenvatting van het interview terug te luisteren op Radio 1, De Nieuws BV.

Bert Hubert stapt op bij TIB, de toezichthouder van inlichtingendiensten, omdat hij het niet eens is met de verruiming van de mogelijkheden om taps te plaatsen en af te luisteren.  

Ongeveer een jaar geleden kwamen de AIVD en MIVD met een spoedwet. Tot nu toe moesten de diensten AIVD en MIVD eerst vooraf toestemming vragen om af te luisteren. In de nieuwe wet wordt de toets vooraf beperkt en moet een andere commissie tijdens en na de operatie onderzoeken of diensten zich wel aan de wet houden.

Uiteindelijk is de wet goedgekeurd door de Raad van State. Er is ook een meerderheid in de coalitie. Hubert vermoedt dat de wet wordt aangenomen, zeker als er weinig aandacht voor komt. Daarom stapt hij nu op met veel bombarie. Dat is om hier aandacht aan te geven. 

De aanpassing geldt volgens Hubert niet voor alle bevoegheden, maar wel specifiek voor het hacken van computers. MIVD en AIVD mogen niet alleen computers hacken van mensen waar ze zich zorgen over maken, maar ook van andere mensen in hun omgeving. En niet alleen de eigen computer mag gehackt worden, ook computers die door de verdachte gebruikt worden (derden). De technische risico’s die dit met zich mee brengt moeten nu achteraf getoetst worden.

Dit is inherent minder effici√ęnt en meer werk, aldus Hubert. Bovendien is het de vraag of er genoeg mensen zijn om dit werk goed te kunnen doen.

De nieuwe wet zou nodig zijn omdat de diensten beter en sneller onderzoek doen naar bijvoorbeeld Russen en Chinezen. Maar, de huidige wet is al een zeer stevige wet en kent bovendien al een spoed procedure.

Tot nu toe was het zo dat als de data werd getapt er apart toestemming moest worden gevraagd om de data te bekijken, ook als dat bekijken door een computer wordt gedaan middels een algoritme. Dat ging mis bij de toeslagenaffaire en daarom werd daar de vraag gesteld: was het niet beter geweest als een commissie vooraf had getoetst? Dat was de TIB en zat al in de wet WIV verweven. Toezicht vooraf houdt echter op met deze wetswijziging. In het licht van de toeslagenaffaire en andere momenten waarop dit bij de overheid misging, is dit een rare beweging de andere kant op.

Hubert vraagt zich af waar de super hackers te vinden zijn die bereid zijn dit werk uit te voeren (toetsing tijdens en achteraf).

Advies van Hubert is: begin met de aanvang van groot onderhoud aan de wet. De wet bestaat in diverse vormen sinds 1997 en het is inmiddels een beetje een rommeltje geworden.       

EDRI praat met EDPB over de AVG en handhaving

EDRI* is door de EDPB** uitgenodigd om te komen praten over handhaving van de AVG***. In een brief van 2 september geeft EDRI aan dat al vaker is aangegeven bij verschillende EU organen wat er misgaat en dat oplossingen zijn aangedragen. Ook NOYB en Access Now sluiten hierbij aan.

Volgens EDRI is het niet alleen een kwestie van gebrek aan harmonisatie van nationaal procedureel recht. Nationale toezichthouders voeren hun werk niet goed uit. Dat komt door een tekort aan middelen. Soms worden ingediende klachten niet of niet op tijd behandeld of er worden geen updates gegeven. Om een goed gesprek te kunnen voeren met EDPB, dragen de organisaties in hun brief verschillende analyses, een onderzoeksmethode, argumenten en oplossingen aan.    

*EDRI

EDRI staat voor European Digital Rights. Het is een samenwerkingsverband van verschillende organisaties die zich bezig houden met (online) mensenrechten. Vanuit Nederland is Bits of Freedom betrokken bij EDRI. 

**EDPB

De EDPB is de European Data Protection Board. Het is de Europese toezichthouder. De EDPB houdt de andere Europese instanties in de gaten bij het beschermen van persoonsgegevens. Naast de EDPB is per lidstaat ook een nationale toezichthouder aangewezen. In Nederland is dat de Autoriteit Persoonsgegevens. 

***AVG

De AVG is een Europese wet die direct doorwerkt in alle lidstaten. De wet is dus ook in Nederland geldig. De AVG moet persoonsgegevns beschermen en stelt eisen waaraan moet worden voldaan als met persoonlijke gegevens wordt gewerkt. Die persoonlijke gegevens zijn bijvoorbeeld je naam of je adres, je mail of je telefoonnummer en je IBAN, maar ook je DNA, vingerafdruk, etc. Bij Freedom is ook je IP-adres een persoonsgegeven, omdat wij in ons systeem een klant kunnen koppelen aan een bepaald IP-adres.  

De klokkenluider van Twitter

NOS: Oud-topman en klokkenluider: Twitter misleidt publiek, de site is onveilig

Peiter Zatko, een voormalig security topman van Twitter, werd deze week gehoord in het Amerikaans Congres. Hij zegt te hebben geprobeerd de directie te waarschuwen voor de veiligheidsrisico’s in het bedrijf, maar werd ontslagen omdat hij volgens Twitter niet functioneerde. Hij richtte zich als klokkenluider tot het Congres, het ministerie van justitie, toezichthouder FTC en beurswaakhond SEC. Zatko kon de getuigenissen niet onderbouwen met bewijs, dat kon de oud-medewerker van Facebook vorig jaar wel.

Het bedrijf heeft meer persoonlijke gegevens dan gebruikers zich realiseren en zelfs dan het bedrijf zich realiseert, aldus Zatko. Te veel medewerkers hebben toegang tot gevoelige informatie.

Volgens de onderzoekscommissie in het Congres kunnen de gebreken, zoals Zatko die schetst, een directe bedreiging vormen voor de gebruikers en de Amerikaanse democratie. Twitter is immers een krachtig platform dat zich geen kwetsbaarheden kan veroorloven.     

Security updates

Windows

MS Windows-gebruikers: start your update engines! Het is weer die tijd van de maand, tijd voor een Windows update.
Controleer op updates via Start > Instellingen en zoek naar "Windows Update". Zoals altijd: sla voor het updaten je werk op, en herstart na de installatie van updates je systeem.

Patch Tuesday: updates op gezette tijden.
Elke tweede dinsdag van de maand publiceert Microsoft veiligheidsupdates voor MS Windows, maar ook voor apps zoals MS Office en Skype, en cloud-diensten zoals MS Azure. Deze maand zijn er wat minder updates - maar wel één zero-day in Windows 10/11 (CVE-2022-37969) én een remote exploit in de TCP-stack (CVE-2022-34718).

Een (over)compleet overzicht van alle kwetsbaarheden vind je op:

>> https://msrc.microsoft.com/update-guide/releaseNote/2022-Sep

Hoe je Windows updatet, vind je hier:

>> https://support.microsoft.com/nl-nl/windows/windows-bijwerken-3c5ae7fc-9fb6-9af1-1984-b5e0412c556a

Apple

Ook Apple-gebruikers opgelet!
Na de WWDC 2022 heeft Apple ook meteen patches uitgebracht voor iDevices. Check op je Mac, iPhone en iPad voor updates - en herstart je systeem. Meer details? Kijk ook op:

>> https://support.apple.com/en-us/HT201222


Zie het oorspronkelijke bericht op https://freedom.nl/nieuwsartikel/weekoverzicht-6
1 like

Bert Hubert heeft afgelopen week hierop gereageerd in BNR:

(podcast).
Want aan het toezicht achteraf zit ook nog een staartje.

Ook voor routers van D-Link is er een advies, als er geen update voor is vervang de router. Er zit een fataal lek in waardoor het een kwestie van tijd is tot de router deel uitmaakt van het mirai bot-net.
(Het kan zijn dat er een OpenWRT voor de router als alternatief bestaat, OpenWRT is recent vernieuwd voor alle platforms.)

Dit topic is 14 dagen na het laatste antwoord automatisch gesloten. Nieuwe antwoorden zijn niet meer toegestaan.