PRIVACY LAB
Onderzoeksverslag. Privacy, wat is dat? Never Sleep Association
Inhoudsopgave
!! WORDT NOG AAN GEWERKT!! Het team
4-5
Contactgegevens
5
Algemeen onderzoek Raul
6-11
Juridisch 1
X
Juridisch 2
X
Juridisch 3
XX
Algemeen onderzoek Joey
12-13
Verleden
XX
Heden
XX
Heden 2
XX
Algemene onderzoek Chris
14-18
Toekomst 1
XX
Toekomst 2
XX
Technisch onderzoek Jimmy
19-24
RFID
XX
WIFI sniffing
XX
Technisch onderzoek Ricardo
25-XX
Deel 1
XX
Deel 2
XX
Deel 3?
XX
Het Team
Het Team
Chris de Ronde
Raul Jimenez
Concepter
Project manager
0844503
0851075
0651970190
0623502133
[email protected]
[email protected]
Jimmy Aupperlee
Ricardo Snoek
Developer
Developer
0845099
0834968
0641804941
0642916939
[email protected]
[email protected]
Joey Sanistam Creative 0856125 0634004690
[email protected]
Pagina 5
Algemeen onderzoek Raul
Pagina 6
Algemeen onderzoek Raul - de juridische kant van privacy Joey deed onderzoek naar de juridische kant van privacy Wat is privacy? Privacy is een onvervreemdbare mensenrecht. De verenigde naties proberen daarom dit over de gehele wereld te handvesten doormiddel van grondwetten, gewone wetten en verdragen. Dit recht tezamen met het recht van eigen mening vormen een essentieel basis voor een gezonde
economische verkeer. Wij mensen hebben behoefte naar zekerheid en veiligheid. Dit is sinds de digitalisering van
“No-‐one should be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks on his honour or reputation.” -‐ Universele Verklaring van de Rechten van de Mens, 1948, art. 12
persoonsgegevens moeilijker te waarborgen door de verschillende bedreigingen van buitenaf.
Privacyniveaus De eerste privacywet stamt uit 1361, toen in Engeland gluren en afluisteren strafbaar werd gesteld. Moderne privacyopvattingen onderscheiden verschillende categorieën : •
Persoonlijk
•
Informationeel
•
Organisatorisch
•
Spiritueel en intellectueel
•
‘bodily privacy (private parts)
•
territorial privacy (private places)
•
communications privacy (private messages)
•
information privacy
•
ePrivacy
Het is de ongecontroleerde combinatie van dit soort digitale data die ons momenteel veel privacyzorgen baart.
Wat zegt de wet? In Nederland hebben we de Wet bescherming persoonsgegevens, Duitsland heeft zijn Datenschutzgesetz en de Europese Unie heeft haar Data Protection Directive. Die laatste richtlijn zal worden veranderd in een bindende wet voor alle lidstaten en moet in 2015 in werking treden, zo is de bedoeling.
Artikel 139c lid 1 WvSr stelt hem strafbaar die ‘[…] opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel Pagina 7
Algemeen onderzoek Raul - de juridische kant van privacy van een geautomatiseerd werk.’ Het is op basis van dit artikel strafbaar om dataverkeer te sniffen tenzij je de afzender of ontvanger van deze data bent (of misschien de netwerkbeheerder).
Er staat in lid 2 echter een uitzondering op de regel: aftappen en opnemen van ‘doormiddel van een radio-ontvangapparaat ontvangen gegevens’ is niet verboden. Deze uitzondering is opgenomen met het oog op de vrijheid van meningsuiting In diezelfde lid 2 staat ook: ‘om de ontvangst mogelijk te maken een bijzondere inspanning is geleverd of een niet toegestane ontvanginrichting is gebruikt.’ Ik heb nergens kunnen ontdekken dat sniffers een niet toegestane ontvanginrichting zouden zijn, of dat het gebruik ervan een bijzondere inspanning met zich meebrengt.
Persoonsgegevens Kaliya Hamlin heeft een mindmap gemaakt over de digitale persoonlijke gegevens die wij in mindere / meerdere maten om ons heen hebben hangen.
Overzicht van online-privacy-issues 1.
Identiteit: diefstal van persoonsgegevens, kredietfraude, ambush marketing
2. Eigendom: medische data, marketingcampagnes, internationale data & safe harbor, bewaking, virale marketing 3. Locatie: gegevens zoeken en matchen 4. Verdediging (de goede kant): beveliging, opslag, gebruik, verspreiding en aanbeveling van digitale informatie 5. Aanval (de donkere kant):
Pagina 8
Algemeen onderzoek Raul - de juridische kant van privacy 6. Tijd stelen van ontvangers: spam, zoekresultaten manipuleren 7. De toegang blokkeren: denial of service, censuur 8. De context vervalsen: kopiëren, plagiaat en bedrog, advertentiefraude
Pagina 9
Algemeen onderzoek Raul - de juridische kant van privacy
Pagina 10
Algemeen onderzoek Raul - de juridische kant van privacy
Pagina 11
Algemeen onderzoek Joey
Pagina 12
Algemeen onderzoek Joey - De privacy van toen en nu Joey deed onderzoek naar de privacy van toen en nu Privacy toen en nu Met de komst van het digitale tijdperk hebben we steeds meer toegang tot informatie. Sinds de komst van social media gebruiken we deze ( persoonlijke ) informatie en verschaffen we ook steeds meer ( persoonlijke ) informatie. Deze informatie is echter niet altijd goed beveiligd door de instanties die deze informatie verwerken. Mensen gebruiken de diensten omdat het hun leven gemakkelijker maakt, maar vergeten vaak dat de prijs hiervoor hun privacy schendt.
Ongeveer vanaf het jaar 2000 begon de opmars van het internet en 5 jaar later kwamen er steeds meer diensten bij die graag de informatie vergaarden van de consument. Steeds meer data werd heen en weer gestuurd zonder te bedenken wat voor gevolgen dat zou kunnen hebben.Vooral Nederland is hier in de laatste jaren het slechts in. Zo zat Nederland in 2011 onderaan de Europese privacy-ranglijst. Alleen Groot-Brittannië was slechter. Op 10 terreinen was er in Nederland sprake van ‘’endemische surveillance”. Biometrische paspoort, uitwisseling van gegevens, medische en financiële informatie zijn daar voorbeelden van. Verder was er geen effectieve grondwettelijke bescherming op privacy gebied, te weinig rechterlijk toezicht en niemand in de tweede kamer die hier zich sterk voor maakten. Een link naar het volledige rapport is in de bijlages te vinden.
3 jaar later is het nog steeds echter nog steeds niet beter geworden. En de mensen hebben er klaarblijkelijk ook geen hoop op. In een stelling uit 2013, uitgevoerd door de Telegraaf kwam uit dat onze privacy allang weg is. Sinds het incident met Snowden en de NSA hebben Nederlanders geen hoop meer dat wij ongeschonden zijn en dat ze niet worden afgeluisterd. Maar gelukkig gaat het in 2014 wel de goede kant op. De Commissie voor Burgerlijke vrijheden van het Europees parlement onderzoekt hoe de privacy van Europese burgers beter kan worden beschermd. Dit deden ze naar aanleiding van de uitspraken van Edward Snowden.
Zeker omdat Nederland in het debacle een aardige rol heeft. Met name de lidmaatschap van de zogenaamde ‘9-eyes’, waarin Engeland, VS en Nederland informatie delen, roept vragen op bij de commissie. Daarnaast heeft de consument ook steeds beter door dat de informatie die je deelt op internet en op je telefoon niet zomaar beschermd wordt en dat het zeker wel gevolgen kan hebben. Zo vond het merendeel van de bezoekers van de Telegraaf dat Facebook teveel macht zou krijgen na de overname van het chatprogramma WhatsApp. Na deze deal zijn veel mensen overgestapt naar andere applicaties en zijn ze bewuster geworden van hun privacy
Wat hier eigenlijk uit te halen is is dat de bewustwording van ( het schenden van ) Privacy steeds groter wordt bij de Nederlandse bevolking . Mensen gaan steeds vaker nadenken over privacy en letten er meer op. Zeker na het incident met Snowden is het flink gestegen en komen ongevallen steeds vaker aan het licht. Het Facebook-whatsapp geval is daar een voorbeeld van.
Pagina 13
Algemeen onderzoek Chris
Pagina 14
Algemeen onderzoek Chris - De toekomst van privacy Chris deed onderzoek naar de toekomst van privacy. Waar gaan we naar toe met onze gegevens? Volgens Bruce Schneider, een Amerikaanse privacy specialist, gaan we een toekomst tegemoet waarin grote multinationals en overheden meer en meer macht en controle op het internet krijgen. Dit komt door twee punten: •
De opmars van Cloud Computing. Die heeft er voor gezorgd dat we (lees: burgers) geen controle meer hebben over onze data. De data staat steeds meer op servers van Google, Microsoft, Apple en Facebook.
•
We (lees: burgers) benaderen die data op devices die gecontroleerd worden door providers zoals Apple bij de iPhones en iPads en Amazon bij hun Kindle apparaten. Google doet hetzelfde met alle Android devices.
Al deze punten geven de bedrijven die eveneens toegang hebben tot onze data meer macht. Immers ‘bezitten’ zij onze data. Hoe meer data er in hun bezit is, hoe meer ze er mee kunnen en hoe meer macht ze dus hebben. Maar niet alleen de bedrijven doen hieraan, ook overheden doen massaal aan machtwinning op het internet:
•
Denk aan de massa surveillance op het internet. De onthullingen van Edward Snowden hebben dit boven water gebracht. De NSA is misschien wel de grootste spion ter wereld. Let wel: in naam van de Amerikaanse overheid.
•
Steeds meer propaganda en censuur op het internet. Goed voorbeeld hierbij is, binnen Nederland, de blokkade van The PirateBay.
•
Cyberwarfare wordt steeds meer toegepast om controle op over het internet te houden en dus macht te bezitten.
Hoe komt het dat we in de begin jaren van het internet de toekomst zo fout hebben kunnen voorspellen? Technologie vergroot macht in het algemeen, maar de adoptiesnelheid door groepen is anders. De ‘nerds’ (die technologie ontwikkelen) maken veel sneller gebruik van nieuwe technologieën. Logisch: zij zijn de uitvinders en zijn bijvoorbeeld niet gehinderd door bureaucratie, de wet of ethische bezwaren. Toen deze groepen het internet ontdekten hadden ze ineens macht! Social media werkt eigenlijk net zo: gelijkgestemden groepen zagen direct de kracht die het internet had, terwijl het voor bedrijven nog dik tien jaar duurde voor ze op hetzelfde niveau zaten.
Toen de grote organisaties de kracht van het internet ontdekten, hadden ze ineens nog véél meer macht dan dat ze al hadden. Daar ligt ook het grote verschil tussen burgers en bedrijven/overheden. De verspreiders van nieuwe technologie adopteren die technologieën sneller, terwijl de grote bedrijven en overheden trager zijn maar de gigantische kracht beter benutten. Voorbeeldje: Syrische burgers gebruikten Facebook om opstanden te organiseren en niet veel later pakte de Syrische overheid burgers op die via Facebook dergelijke berichten verspreidden. Dus wie wint er nu eigenlijk? Wint de snelheid het van de brute kracht of juist niet?
Het lijkt er echter op dat we naar een samenleving gaan waarin brute kracht het wint van snelheid: het is namelijk veel makkelijker voor de NSA om iedereen af te luisteren, dan het voor burgers is om hun privacy geheim te houden. Dit komt omdat hier technische kennis en vaardigheiden bij komen kijken. Normale burgers hebben die niet, of vinden het teveel Pagina 15
Algemeen onderzoek Chris - De toekomst van privacy
moeite het zichzelf aan te leren. Maar, en dit is een belangrijk punt, de gene die die kennis wél in huis hebben, zullen altijd een stap verder zijn dan overheden en grote bedrijven. Bijvoorbeeld door het opzetten van een eigen mailserver of het gebruik van encryptie om bestanden te versleutelen. ‘Cybercriminaliteit’ blijft dus van alle tijden. Criminelen zijn altijd een stapje voor op de politie ondanks dat hun macht ook groeit. Zoals bovenstaand verhaal al uitlegt: ze liggen altijd een stap voor.
De burgers raken geïsoleerd. Het gaat meer en meer om de grote bedrijven, dat zijn de jongens die het uitvechten. Apple, Amazon en Google vechten het uit in hun app stores, terwijl de VS en China strijden om de macht over de wereld etc. Dat wordt erger en erger naar mate de technologie vooruit gaat. Om een voorbeeld te geven: cybercriminelen kunnen meer banken overvallen, dan traditionele bankrovers ooit zullen kunnen. Meer technologie betekent simpelweg meer gevaar. Criminelen worden gevaarlijker, waardoor de overheid ook weer meer surveillance gaat toepassen. Een vicieuze cirkel. Stevenen we af op een totalitaire politiestaat?
Hoe gaan we dit tegen? Hiervoor kun je drie opties noteren: •
Op de korte termijn:
- Er is transparantie nodig. Hoe meer we weten wat grote bedrijven en overheden doen, hoe meer we ze kunnen
vertrouwen.
- Toezicht is eveneens een zeer belangrijk punt. Wetmakers moeten technologie begrijpen, er moet een levendige
pers zijn, er moeten toezichtgroepen zijn die analyseren wat grote bedrijven en overheden doen. Creëer
vertrouwen. •
Op de lange termijn:
- Werken aan het afbakenen en verkleinen van de machtsverschillen. Hoe meer we dat kunnen we balanceren,
hoe stabieler onze samenleving wordt. De sleutel tot dit alles is de toegang tot data op het internet. Privédata voor
bedrijven en individuen en openheid in overheidsdata. Op die manier overleven we de toekomst!
Of niet… Zijn we niet stiekem al in die ‘toekomst’ beland? Big Data is het volgende punt in de toekomst van het internet. Maar, wat is het? En waarom is het zo belangrijk? Een onderzoek dat door Tegenlicht werd gedaan verklaard een hoop:
Pagina 16
Big Data is alle persoonlijke informatie die over jou verzameld is. Deze data wordt door bedrijven tegenwoordig steeds meer doorverkocht aan derde partijen. Kortom: jouw data is geld waard. Maar: zie je daar nog wel wat van terug? Hoeveel is het nou eigenlijk waard?
Data creëert tegenwoordig zelf zijn waarde, doordat het een handelswaar is geworden waartussen bedrijven handelen. Dat was vroeger niet het geval. Mensen weten echter niet wat hun eigen data waard is. Al die grote bedrijven willen graag dat jij alles deelt, terwijl ze zelf alles geheimhouden, een beetje de omgekeerde wereld dus! Het is ook raar dat je als gebruiker niet betaald wordt voor de data die je levert. Om een voorbeeld te geven: Wanneer een bedrijf een eindeproduct lanceert krijgt het daar geld voor. Als burger krijg je echter helemaal niets voor de data die je voor bedrijven ‘produceert.’ Je hebt in feite geen macht meer over je eigen data. Het is misschien een pijnlijke constatering, maar informatie wordt in een geavanceerde samenleving steeds belangrijker. Door nieuwe technieken en technologieën verdwijnen er banen, maar mensen moeten toch geld blijven verdienen. Informatie van mensen wordt op die manier dus geld waard. In de toekomst zal je wellicht in de winkel niet meer betalen met geld, maar met bijvoorbeeld je persoonsgegevens. Enge gedachte, niet waar?
Om te kunnen verklaren waarom Big Data voor bedrijven zoveel geld waard is, is het goed om eens te kijken naar wat het nu feitelijk is. Feitelijk is Big Data menselijk gedrag. Iedereen heeft ’n bepaalde hoeveelheid datapunten die hem als mens beschrijven. Gedrag laat heel veel sporen achter, bijna oneindig veel. Met al die data wordt geen profiel gecreëerd (statische data) maar een voorspellend model. Door al die voorspellende modellen te linken, kunnen bedrijven voorspellen of je vatbaar ben voor ziekte X of product Y. Op een dergelijke manier werken bijvoorbeeld de persoonlijke advertenties van Google of Facebook. Is dit wenselijk? Niet echt. De reclames die Google en Facebook je voorschotelen zijn in feite een soort van keuzebeperking. Gezien de weinige hoeveelheid ruimte op een beeldscherm, krijg je verder geen andere opties te zien, en dus kom je er niet achter of er ook andere producten zijn dan product Y of Z.
De eigenaren van Big Data hebben macht. Veel macht. Dit wordt nog erger door wearable computing, dat in 2014 steeds meer zijn intrede doet, en vermoedelijk snel in het straatbeeld zal worden opgenomen.
Wearable Computing moet is technologie die je op het lichaam bevestigd, zoals een smartwatch of Google Glass. Dat stelt bedrijven steeds beter in staat om ons gedrag te monitoren en daar commercieel op in te spelen. Bedrijven krijgen in hun Big Data de beschikking over data die je zelf vaak niet eens weet zoals je hartslag, bloeddruk of suikerspiegel. Toch ontbreekt er iets. Transparantie. Transparantie over wat er wel en niet met deze data gebeurt en de keuzevrijheid daarin. Deel je alles of niets? Of moet er misschien een tussenweg komen?
Pagina 17
Eind 2014 wordt de introductie van een nieuwe Europese Privacy Verordening verwacht. De Europese Privacy Verordening, die in heel Europa zal gelden, maakt bedrijven zelf verantwoordelijk voor het bewaken van de privacy van persoonsgegevens. Als de autoriteiten bij een bedrijf langskomen, moet het kunnen aantonen dat de privacy in alle bedrijfsprocessen heeft gewaarborgd. Voor elke nieuwe technologische applicatie is het bedrijf bovendien verplicht om in kaart te brengen wat de impact op de privacy zal zijn en welke risico’s er kleven aan de dataverwerking. Grote Amerikaanse technologiebedrijven volgen de ontwikkelingen in Europa met argusogen. Ook zij hebben zich op Europese bodem in het vervolg te houden aan de Europese Privacy Verordening en zich dus niet meer kunnen beroepen op de Patriot Act.
Toch blijven er in de toekomst onzekerheden: •
Hoe de privacy regelgeving evalueert: Heel strenge privacy regels die worden gehandhaafd met hoge boetes of een ontspannen regelgeving met weinig handhaving en lage straffen?
•
Privacy bewustzijn: Zijn we er met z’n alle van bewust wat er met onze Big Data gebeurd (een grote zorg)? Of zijn we nog net zo ontwetend en hanteren we het ‘no one cares’ principe?
De combinatie van de twee belangrijkste onzekerheden resulteert in vier scenario’s: 1.
In een ‘hokjes scenario’ zijn de regels vaak erg streng, maar dat kan de mensen over het algemeen niet zoveel schelen. Een organisatie heeft aan privacy-eisen te voldoen om advocaten in tegenstelling tot klanten tevreden te houden. Dit kan als ‘money wasted’ worden aangeduid.
2. In het ‘angst scenario’ is privacy een ‘hot issue’. Zowel toezichthouders als de mensen in het algemeen geven veel om privacy. Bedrijven moeten investeren in privacy-by-design, privacy verbeterende technologieën en privacy deskundigheid in het algemeen. De angst zit hem in het niet aan die eisen kunnen voldoen. 3. In het ‘keuze scenario’ is de regelgeving versoepeld maar mensen geven wel om privacy. Er is dus een keuze vanuit het perspectief van bedrijven en burgers. 4. In het ‘negeer scenario’ geeft niemand, zowel toezichthouders als burgers om privacy en is het totaal geen issue. Big Data wordt hier dus gewoon vrij verkocht en verspreid.
In welk scenario zullen we terecht komen? De tijd zal het leren…
Pagina 18
Technisch onderzoek Jimmy
Pagina 19
Technisch onderzoek Jimmy - RFID en WiFi sniffing Jimmy onderzocht de technische kant van twee zaken in privacyland: WiFi sniffing en RFID cloning Abstract Het klonen, oftewel volledig kopiëren, van RFID gegevens uit een portemonnee kan leiden tot het stelen van gevoelige persoonsgegevens. Wij onderzoeken de mogelijke gevaren die ontstaan wanneer een volledige portemonnee langs een (overtrouwde) RFID lezer wordt gehaald. Dit document bevat een onderzoek naar de werking van RFID en de mogelijkheden tot het klonen van RFID gegevens.
Introductie Radio Frequency Identification (RFID) is een techniek die steeds vaker wordt toegepast bij verschillende vormen van identificatie, een belangrijk en gevoelig onderwerp. De techniek maakt gebruik van radio signalen om een object te identificeren. Om dit te kunnen doen, moet de lezer een signaal uitzenden waarna de tag een antwoord geeft. Er zijn momenteel twee verschillende manieren waarop dit gebeurt, d.m.v. inductief of zogeheten ‘backscattering’. Wanneer de lezer inductief uit wilt lezen dan stuurt het een magnetisch veld tussen zichzelf en de tag. De tag haalt hier vervolgens de kracht uit om antwoord te kunnen geven. De ‘backscattering’ methode werkt als een soort lachspiegel. De lezer stuurt dan een signaal, waarna de tag het signaal reflecteert met zijn antwoord er in verweven. (Ahson, S. A., & Ilyas, M. - 2010)
Antwoord signalen Het antwoord dat verstuurd wordt door de tag, is te vergelijken met een barcode. Een kleine hoeveelheid voorgeprogrammeerde data kan worden uitgelezen en gebruikt door de bron die deze informatie snapt. Het verschil met een barcode is echter, dat een RFID signaal kan worden uitgelezen zonder dat deze zichtbaar aanwezig is. Tevens kan het signaal door de meeste stoffen (waaronder kleding) heen en kan het op grotere afstand worden uitgelezen. (Ahson, S. A., & Ilyas, M. - 2010)
Aangezien de lezer en tag afhankelijk zijn van radio signalen, zijn er verschillende metaalsoorten die de signalen kunnen blokkeren. Het inwikkelen van je portemonnee in zilverfolie zou al voldoende moeten zijn om de signalen te blokkeren. (Juels, A., Rivest, R. L., & Szydlo, M. - 2003, October).
Daarnaast kunnen de signalen redelijk eenvoudig worden verward. Wanneer er meerdere verschillende RFID tags dicht op elkaar aanwezig zijn, dan wordt het al lastiger voor de lezer om de signalen die het terug krijgt uit elkaar te houden. Er zijn hedendaags verschillende technieken om dit te omzeilen, waardoor dit geen problemen hoeft op te leveren. (Vogt, H. 2002, October).
Pagina 20
Technisch onderzoek Jimmy - RFID en WiFi sniffing
Coderingen Er zijn momenteel een aantal standard coderingen en beveiligingen die gebruikt worden waaronder EM 4100, TK5551 en Verichip. Daarnaast kunnen de gegevens die op de tag staan, zijn versleuteld met ieder willekeurig algoritme. Het is aan de uiteindelijke lezer om het geheel uit te lezen en de versleuteling terug te draaien. De eerder genoemde bovenste laag codering wordt vaak al gebruikt door de lezer om te onderscheiden of het een verwachte tag betreft. Wanneer deze codering al niet voldoet, dan hoeft de lezer niet verder te kijken. (Ateniese, G., Camenisch, J., & de Medeiros, B. - 2005, November). Gegevens klonen Het gevaar ligt momenteel in het klonen van tags. Het is simpelweg zo dat wanneer een lezer gegevens opvraagt, de tag al zijn gegevens uitspuugt richting de lezer. Hoewel het niet zo hoeft te zijn dat lezer iets met deze gegevens kan, kunnen deze gegevens wel worden opgeslagen. Deze gegevens kunnen vervolgens ook weer opnieuw worden geschreven naar een lege tag, waarna deze op gelijke manier zal functioneren als het origineel. De gegevens kunnen ook later worden geanalyseerd en eventueel alsnog worden uitgelezen nadat de lezer er achter is hoe deze tag versleuteld is. (Abawajy, J. 2009, October)
Het zakkenrollen Als eerder genoemde technieken worden gecombineerd met een sterke antenne, dan wordt het mogelijk om op afstand de portemonnee van een voorbijganger volledig uit te lezen. Hedendaags bevinden zich een grote hoeveelheid pasjes met een RFID tag in de portemonnee van de gemiddelde voorbijganger. Deze pasjes bevatten vaak, hoewel ook geregeld versleuteld, gevoelige data. De versleuteling weerhoud echter niet dat de pas gekopieerd en gebruikt kan worden door een ander. Dit betekend dat een vreemde op afstand een ID-kaart kan kopiëren en bijvoorbeeld kan gebruiken om op het vliegveld een vlucht te boeken.
Toekomstig onderzoek Gelukkig is het niet heel eenvoudig om alle pasjes uit een portemonnee van een voorbijganger op afstand uit te lezen. Er komen vele complicaties bij kijken zoals de verstoring door meerdere signalen en de uiteindelijke codering en versleuteling. Daarnaast is het versterken van de antenne van een RFID lezer een apart onderzoek waardig. Dit neemt niet weg dat wanneer er tijd in gestoken wordt, het wel mogelijk is om de inhoud van alle pasjes uit een portemonnee op afstand te kopiëren naar een willekeurige bron. Dit kan zijn een lege tag, of iedere willekeurige vorm van data opslag. Vervolgens kunnen de gegevens alsnog worden ontleed of opnieuw worden gebruikt. In toekomstig onderzoek zullen wij zelf de proef op de som nemen en de eerder genoemde technieken gaan uitproberen.
Pagina 21
Technisch onderzoek Jimmy - RFID en WiFi sniffing
Abstract Wegens verontrustende berichten over winkels die continu Wi-Fi signalen opvangen om klanten te meten, hebben wij besloten te onderzoeken welke informatie te achterhalen valt en in hoeverre dit legaal mag. Tevens hebben wij onderzocht of het automatiseren van een dergelijk afluisterproces eenvoudig te produceren is en wat er vervolgens mogelijk is.
Introductie Wi-Fi signaal wordt momenteel bijna altijd omnidirectioneel uitgezonden. Dit betekend dat het signaal alle kanten op gestuurd wordt, hopende dat het apparaat waarvoor het signaal bedoeld is, het ook daadwerkelijk opvangt. Dit betekent ook dat feitelijk alle Wi-Fi ontvangers dit signaal kunnen opvangen, zelfs wanneer deze niet voor hen bedoeld was. Het opvangen van alle zogenaamde ‘pakketten’ die verstuurd worden via Wi-Fi wordt ook wel ‘sniffing’ genoemd. Om dit mogelijk te maken, dient de Wi-Fi ontvanger in ‘monitor mode’ te worden geplaatst. ‘Promiscuous mode’ is tevens mogelijk, maar dan kan de ontvanger enkel pakketten ontvangen binnen één netwerk.
Monitor mode Voor het uitvoeren van onderzoek naar de werking en het mogelijk maken van de eerder genoemde ‘monitor mode’ hebben we een Wi-Fi ontvanger aangeschaft van het merk TP-LINK van het type TL-WN821N. Dit type is gekozen omdat het belangrijk is om niet alleen B en G signaal op te vangen maar ook N signaal, aangezien het overgrote deel draadloze signalen bestaat uit N signaal. Het volledig activeren van ‘monitor mode’ op een apparaat is niet altijd even makkelijk. Maar het OS Kali Linux maakte dit een stuk eenvoudiger. Kali Linux is een distributie van Linux speciaal ingericht voor het testen van penetratiemogelijkheden bij alle soorten applicaties. Kali Linux heeft het hulpprogramma aircrack-ng standaard meegebakken in de distributie. Dit programma is tevens te installeren op Windows en op Mac, maar in beide gevallen werken niet alle onderdelen. De ‘monitor mode’ van aircrack-ng werkt zelfs alleen maar op bepaalde Linux distributies (waaronder Kali).
Pakketten Het kostte vervolgens zeer weinig moeite om via verscheidene programma’s waaronder Wireshark, alle pakketten in de omgeving op te vangen. Het simpelweg opvangen van deze pakketten geeft over het algemeen niet veel informatie. De pakketten zijn, wanneer de gebruiker verbinding heeft met een WEP/WPA beveiligde verbinding, volledig versleuteld. Zonder te knoeien met deze versleuteling is het echter al wel mogelijk om te achterhalen van wat voor soort apparaat de verbinding komt. Zo konden we direct al vele verschillende mobiele apparaten identificeren waaronder van HTC en Apple. Het identificeren van het type toestel is wat ons betreft echter niet voldoende.
Pagina 22
Technisch onderzoek Jimmy - RFID en WiFi sniffing
Versleuteling ontwijken Er zijn verschillende manieren om de versleuteling op een pakket te verbreken. Maar in de plaats van het verbreken van een versleuteling, kunnen we ook proberen deze te ontwijken. Dit is mogelijk door een zogenaamde ‘man-in-themiddle attack’. Het eerder genoemde aircrack-ng pakket heeft de mogelijkheid om in de plaats van ‘monitor mode’ een zogenaamde ‘evil twin AP’ aan te maken. Dit betekend dat je het signaal van de router waar de gebruiker mee probeert te verbinden, nabootst en prioriteit geeft over de originele verbinding. De eindgebruiker zal dan verbinding maken met jouw nagebootste router en jij zorgt er vervolgens voor dat zijn verzoek wordt doorgestuurd naar de router en geeft de gebruiker zijn antwoord. Doordat je er nu tussen zit, heb je de mogelijkheid om de communicatie tussen jouw ‘namaak router’ en de eindgebruiker onversleuteld te laten. Het is redelijk schokkend hoe eenvoudig te realiseren en vrijwel ontraceerbaar dit is.
Versleuteling verbreken Maar wat als we alsnog ook de versleuteling willen verbreken? Hoe eenvoudig is dit? Dit blijkt helaas ook schokkend eenvoudig tot op een bepaalde hoogte. Het verbreken van een beveiligde WEP verbinding is doodeenvoudig. Om de encryptiecode te achterhalen, waarmee alle toekomstige pakketten op deze verbinding kunnen worden uitgelezen, duurt hooguit drie minuten en kan volledig worden geautomatiseerd. Wat betreft WPA/WPA2 verbindingen, ook dit kan geautomatiseerd worden en is redelijk eenvoudig. Hier is echter meer computerkracht voor nodig en duurt iets langer. Doch, wanneer de code is achterhaald, kunnen alle toekomstige pakketten wederom worden ontsleuteld. Enkel de zogenaamde WPA Enterprise verbindingen zijn bijna niet te kraken. Deze verbindingen zijn versleuteld met een dermate ingewikkeld certificaat, dat het breken van de beveiliging een doorsnee PC jaren kost.
Pakketten zonder versleuteling Wanneer het dan eindelijk gelukt is om een pakket zonder versleuteling te bemachtigen, dan zijn de volgende gegevens in ieder geval bekend; •
De oorsprong van het pakket
•
Het doel van het pakket
•
De inhoud van het pakket (de body)
De body van het pakket kan echter wederom een versleuteling bevatten die er voor zorgt dat het niet uit te lezen is. Websites die via het https protocol werken versleutelen de inhoud d.m.v. een SSL certificaat. Het breken van deze beveiliging is bij een hoge bit waarde vrijwel onmogelijk. Automatiseren van het proces
D.m.v. Node.js is het voor ons mogelijk om het hele proces van opvangen en het breken van versleuteling te automatiseren. Pagina 23
Technisch onderzoek Jimmy - RFID en WiFi sniffing
Vervolgens zou het heel eenvoudig zijn om de gegevens opnieuw en onversleuteld uit te zenden. Het simpelweg opvangen van signalen en opnieuw uitzenden is vrijwel gelijk aan wat een radio doet en volgens de wet legaal. Het breken van een versleuteling is dit echter niet. Dit betekend dat alle signalen die niet versleuteld zijn daadwerkelijk uitgelezen mogen worden. Zolang deze geen privacy schenden door de gegevens op te slaan, en het enkel direct weer opnieuw wordt uitgezonden, dan is er niets aan de hand. Daarmee kan men wel bewust worden gemaakt van het feit dat gegevens zonder versleuteling, d.m.v. een SSL certificaat, eenvoudig kan worden uitgelezen. Het is derhalve nimmer verstandig om via Wi-Fi een website zonder HTTPS protocol te bezoeken en te gebruiken.
Conclusie Het is schokkend eenvoudig om WEP verbindingen en zwakke WPA verbindingen te kraken en alle gegevens af te luisteren. En zelfs wanneer men niet de moeite wilt nemen om de wachtwoorden te achterhalen, dan zijn er nog verscheidenen andere redelijk eenvoudige manieren om Wi-Fi af te luisteren. Het is echter hoe dan ook illegaal om versleutelingen te verbreken. Ten alle tijden strijd dit tegen de wet. Dit betekend echter niet dat het eenvoudig te achterhalen is dat dit gebeurd en dat dit kan worden gehandhaafd. Het is voor ons mogelijk, via een geautomatiseerd proces, eenvoudige data en onversleutelde gegevens de wereld in te sturen om mensen bewust te maken van de gevaren. De schaal waarop deze onversleutelde data te verkrijgen valt is echter vrij klein en zal geen schokkende resultaten leveren.
Pagina 24
Technisch onderzoek Ricardo
Pagina 25
Pagina 26
Bronvermelding
Pagina 27
Bronvermelding
Bronnen Chris: •
http://www.marketingfacts.nl/berichten/wearables-data-en-privacy-een-roep-om-transparantie
•
http://www.novay.nl/medewerkers/maarten-wegdam/een-cio-perspectief-op-de-toekomst-van-privacy/67403
•
http://tegenlicht.vpro.nl/afleveringen/2013-2014/persoonlijke-data.html
•
http://www.youtube.com/watch?v=1ZnKcDnapuY
Bronnen Jimmy: •
Abawajy, J. (2009, October). Enhancing RFID tag resistance against cloning attack. In Network and System Security, 2009. NSS’09. Third International Conference on (pp. 18-23). IEEE.
•
Ahson, S. A., & Ilyas, M. (2010). RFID handbook: applications, technology, security, and privacy. CRC press.
•
Ateniese, G., Camenisch, J., & de Medeiros, B. (2005, November). Untraceable RFID tags via insubvertible encryption. In Proceedings of the 12th ACM conference on Computer and communications security (pp. 92-101). ACM.
•
Bauer, K., Gonzales, H., & McCoy, D. (2008, December). Mitigating evil twin attacks in 802.11. In Performance, Computing and Communications Conference, 2008. IPCCC 2008. IEEE International (pp. 513-516). IEEE.
•
Juels, A., Rivest, R. L., & Szydlo, M. (2003, October). The blocker tag: selective blocking of RFID tags for consumer privacy. In Proceedings of the 10th ACM conference on Computer and communications security (pp. 103-111). ACM.
•
Li, M., Claypool, M., & Kinicki, R. (2005). Wireless Sniffing by Example How to Build and Use an IEEE 802.11 Wireless Network Sniffer.
•
Song, Y., Yang, C., & Gu, G. (2010, June). Who is peeping at your passwords at Starbucks?—To catch an evil twin access point. In Dependable Systems and Networks (DSN), 2010 IEEE/IFIP International Conference on (pp. 323-332). IEEE.
•
Wong, S. (2003). The evolution of wireless security in 802.11 networks: WEP, WPA and 802.11 standards. URL: http:// www. sans. org/rr/whitepapers/wireless/1109. php Retrieved, 28(7), 05.
•
Verdult, R. (2008). Proof of concept, cloning the OV-chip card. Technical report, Radboud University Nijmegen.
•
Vogt, H. (2002, October). Multiple object identification with passive RFID tags. In Systems, Man and Cybernetics, 2002 IEEE International Conference on(Vol. 3, pp. 6-pp). IEEE.
Bronnen Joey: •
https://www.privacyinternational.org/reports/netherlands
•
http://www.telegraaf.nl/watuzegt/wuz_stelling/22011564/__Nederland_naief_over_afluisteren__.html
•
http://www.rtlnieuws.nl/nieuws/binnenland/nederland-te-slordig-met-privacy-burgers
•
http://www.telegraaf.nl/watuzegt/wuz_stelling/22327851/__Te_veel_macht_voor_Facebook__.htm
Pagina 28
Bronnen Ricardo:
Bronnen Raul: •
http://wetten.overheid.nl/BWBR0011468/geldigheidsdatum_09-03-2014
•
Privacy, technologie en de wet Big Data voor iedereen door goed design Jaap Bloem , Menno van Doorn , Sander Duivestein , Thomas van Manen en Erik van Ommeren. Sogeti – Geraadpleegd op 25 Februari 2014 http://blog.vint.sogeti.com/wp-content/uploads/2013/03/Privacy-technologie-en-de-wet-VINT.pdf
•
Internet Privacy and Security: A Shared Responsibility David Gorodyansky - 31 oktober 2013 http://www.wired.com/insights/2013/10/internet-privacy-and-security-a-shared-responsibility
•
The Wearable Revolution: Drawing the Line Between Exciting New Tech and Privacy Zile Liu - 23 januari 2014 http://www.wired.com/insights/2014/01/wearable-revolution-drawing-line-exciting-new-tech-privacy
•
Pagina 29