Oblivious DNS over HTTPS.

Door ShellGhost op dinsdag 8 december 2020 15:31 - Reacties (3)
Categorie: -, Views: 2.061

Apple, Cloudflare en Surf hebben de handen in een geslagen en zijn met Oblivious DNS over HTTPS.
Klinkt spannend en dat is het ook, maar stiekem ook weer niet. Het is wel goed nieuws aangaande security.

Wat hebben ze gedaan om er voor te zorgen dat DNS providers niet jouw ip voorbij zien komen bij DNS over HTTPS? Een proxy server ervoor gezet. Klinkt tamelijk simpel.
Jouw verkeer gaat eerst door de proxy heen en daarna pas naar de DNS server. Waardoor de DNS server alleen het ip adres van de proxy ziet, en niet die van jou dus.

Om ODoH goed te laten werken is het nodig dat de proxyserver die het dns-verzoek naar de dns-server doorstuurt, door een andere partij wordt beheerd dan de dns-provider. Hiervoor werkt Cloudflare samen met verschillende proxypartners, te weten PCCW, SURF en Equinix. ODoH is inmiddels te gebruiken met de 1.1.1.1-dns-server van Cloudflare zelf. Daarnaast heeft Cloudflare de ODoH-specificatie aan de Internet Engineering Task Force (IETF) voorgelegd, in de hoop er een internetstandaard van te maken.

Bron: https://www.security.nl/p...+Oblivious+DNS+over+HTTPS

Geen onderzoek naar illegale praktijken gemeente Nissewaard.

Door ShellGhost op vrijdag 4 december 2020 09:54 - Reacties (9)
Categorie: -, Views: 3.608

De AP gaat geen onderzoek doen naar het illegaal scannen van vingerafdrukken van bijstandsontvangers door de gemeente Nissewaard.

Gedurende vier! jaar eiste de gemeente dat bijstandontvangers hun vingerafdruk gaf via een leerbedrijf. Als iemand dat weigerde werd er gedreigd met strafkorting op hun uitkering.

Het gebruik van de vingerafdrukscan was in 2014 door de gemeente gemeld bij het College Bescherming Persoonsgegevens, de voorloper van de huidige Autoriteit Persoonsgegevens. Het CBP zag geen aanleiding om in te grijpen, aldus de gemeente. Na een klacht over het systeem werd het uitgeschakeld en vervangen.
Een inwoner van de gemeente had ook bij de Autoriteit Persoonsgegevens een klacht over het systeem ingediend. Vorig jaar juni liet de toezichthouder weten dat het geen noodzaak meer zag tot het nemen van verdere stappen en het dossier toen sloot. Daarop besloot vakbond FNV alsnog een klacht in te dienen, maar ook daar zal de AP niets mee doen.

Het onderzoek gaat niet door wegens een tekort aan mankracht.

Bron: https://www.security.nl/p...ukken+bijstandsontvangers

Het bijzondere in deze is dat het AP wel onderzoek heeft gedaan en boetes heeft gegeven aan bedrijven. Daar is dus wel mankracht voor, maar een onderzoek naar illegale praktijken van een gemeente kan weer niet. Apart.

Stokpaardje van Ferd komt weer van stal.

Door ShellGhost op dinsdag 1 december 2020 12:44 - Reacties (2)
Categorie: -, Views: 2.730

Weer gaat Ferd Grapperhaus kijken of het mogelijk is om toegang te krijgen tot end-to-end encryption.
Ditmaal via de EU.

"De Raadsresolutie Encryptie wordt op 14 december besproken door de Raad Justitie en Binnenlandse Zaken (JBZ). De JBZ-raad bestaat uit de ministers van Justitie en Binnenlandse Zaken van de EU-lidstaten die een aantal keren per jaar vergaderen. De raadsresolutie staat onder andere stil bij de "belemmerende, beperkende werking van versleuteling op de mogelijkheden van bevoegde autoriteiten om de maatschappij en haar burgers veilig te houden", zo stelt Grapperhaus, die toevoegt dat encryptie ook misbruik wordt door criminelen."

Criminelen maken ook gebruik van auto's, scooters, fietsen, enzovoorts. Zullen we die dan ook maar gaan verbieden?


"Volgens de minister zijn opsporingsdiensten steeds meer afhankelijk van toegang tot digitale gegevens, terwijl versleuteling de toegang tot digitale gegevens uitdagend of praktisch onmogelijk maakt. "Dit raakt de effectiviteit van onder meer de aanpak van terrorisme, georganiseerde misdaad, kindermisbruik en cybercrime", merkt Grapperhaus op."

Dit is dubbel. Er zijn aardig wat criminelen opgepakt doordat de politie toegang verkreeg tot een encryptiedienst. Maar wat missen ze nu qua plannen van aanslagen?
In hoeverre hadden ze de Bataclan aanslag kunnen voorkomen als de opsporingsdiensten wel toegang hadden tot berichten die geëncrypteerd waren?
Aan de andere hand: lone wolfs houden ze toch nooit tegen. Is het dan niet nuttiger om terug te gaan naar de basis? Speurwerk door de diensten om zo criminelen / terroristen tegen te houden?

"Binnen de vaste commissie voor Justitie en Veiligheid van de Tweede Kamer zijn er de nodige vragen over de raadsresolutie. Zo vindt de VVD-fractie dat het sleutelen aan end-to-end encryptie niet zonder gevaren is en serieuze veiligheidsrisico’s met zich meebrengt. De D66-fractie maakt zich zorgen over het verzwakken van encryptie en wil meer informatie over de "technische oplossingen" waarover wordt gesproken."

Ik ben het tegenwoordig niet vaak eens met D66, maar in dit soort dingen wel. Als er ergens een backdoor geplaatst wordt, zal deze misbruikt worden, al dan niet door de overheidsdiensten of door hackers. De grote vraag is: wil je als overheid in de krant komen dat je een gigantisch lek hebt veroorzaakt?

Bron: https://www.security.nl/p...techbedrijven+onderzoeken