All posts by axelarnbak

5e column Financieele Dagblad: Slimme Regelgeving – Wat Eeuwen Spam Ons Leren Over Cybersecurity

Op oudejaarsdag stond mijn vijfde column in het Financieele Dagblad. Het stuk beschrijft de geschiedenis van spam en trekt lessen uit deze eeuwenoude vorm van cybercrime voor cybersecuritybeleid in 2015. Met een vleugje Nigeriaanse Prinsen, Viagra en Monty Python on the side.

Continue reading 5e column Financieele Dagblad: Slimme Regelgeving – Wat Eeuwen Spam Ons Leren Over Cybersecurity

Expert Panel Report: A New Governance Model for Communications Security?

Published 5 December 2014 on Freedom to Tinker.

Today, the vulnerable state of electronic communications security dominates headlines across the globe, while surveillance, money and power increasingly permeate the ‘cybersecurity’ policy arena. With the stakes so high, how should communications security be regulated? Deirdre Mulligan (UC Berkeley), Ashkan Soltani (independent, Washington Post), Ian Brown (Oxford) and Michel van Eeten (TU Delft) weighed in on this proposition at an expert panel on my doctoral project at the Amsterdam Information Influx conference. Continue reading Expert Panel Report: A New Governance Model for Communications Security?

4e column Financieele Dagblad: Crypto wars 2.0 – de unieke sleutel tot onze informatie

My fourth column for the Dutch Financial Times has been published on 25 November. I use the iPhone device encryption debate to discuss the Crypto Wars 2.0 against the background of the first crypto wars of the mid ’90s. Amidst all the hype, will society take ‘cybersecurity’ serious and truly secure our communications?

Continue reading 4e column Financieele Dagblad: Crypto wars 2.0 – de unieke sleutel tot onze informatie

Derde Column in Financieele Dagblad: Deltaplan Online Privacy en Beveiliging

Vorige week stond mijn derde column in het Financieele Dagblad. Met het stuk wil ik waarschuwen voor te hoge verwachtingen op snelle oplossingen na de Snowden-onthullingen. Het debat over de vraag die senator Duthler onlangs stelde in de Eerste Kamer — ‘wat zijn we ermee opgeschoten?’ — zal eind deze maand namelijk weer oplaaien. Dan draait de nu al torenhoge favoriet voor een documentaire-Oscar Citizenfour in de Nederlandse bioscopen, en volgen we met Laura Poitras Snowden anderhalf jaar lang op de voet. Schijnt briljant te zijn.

Mijn punt is, dat duurzaam herstel van privacy en beveiliging na zo’n grote ramp een kwestie van jaren is, niet van quick fixes. Net als met de Deltawerken. Ik vond het belangrijk om dat wat bredere aandacht te geven, anders is frustratie en gelatenheid rondom het verval van privacy en beveiliging een veel dieper, en misschien onherstelbaar gevolg. Gelukkig zijn er een aantal langzame maar hoopvolle ontwikkelingen in diezelfde Senaat, de Europese gerechtshoven en markten te melden, die nauwelijks door de media worden opgepikt. Continue reading Derde Column in Financieele Dagblad: Deltaplan Online Privacy en Beveiliging

New Paper ‘Security Collapse in the HTTPS Market’ Downloaded 30.000 Times in 3 Weeks

With my supervisor Nico van Eijk and co-authors Hadi Asghari and Michel van Eeten at Delft University of Technology, I’ve published a centerpiece of my doctoral project in the Communications of the ACM: ‘Security Collapse in the HTTPS Market’ [link to pdf].

In three weeks, the new article has been downloaded over 30.000 times. I didn’t quite believe that number, but the folks at the ACM have actually confirmed it. Blows my mind, really. Has been covered in the media and on Reddit and Slashdot, wich probably explains the download count. Visual artist Willow Brugh made a mesmerizing vizthink animation as a teaser to the article:

A.M. Arnbak, H. Asghari, M. van Eeten, N.A.N.M. van EijkSecurity Collapse in the HTTPS Market, Communications of the ACM, 2014-10, vol. 57, p. 47-55. Also published in: ACM Queue – Security, 2014-8, vol. 12.

From the abstract:

HTTPS (Hypertext Transfer Protocol Secure) has evolved into the de facto standard for secure Web browsing. However, widely reported security incidents-such as DigiNotar’s breach, Apple’s #gotofail, and OpenSSL’s Heartbleed-have exposed systemic security vulnerabilities of HTTPS to a global audience. The Edward Snowden revelations-notably around operation BULLRUN, MUSCULAR, and the lesser-known FLYING PIG program to query certificate metadata on a dragnet scale-have driven the point home that HTTPS is both a major target of government hacking and eavesdropping, as well as an effective measure against dragnet content surveillance when Internet traffic traverses global networks. HTTPS, in short, is an absolutely critical but fundamentally flawed cybersecurity technology.

To evaluate both legal and technological solutions to augment the security of HTTPS, our article argues that an understanding of the economic incentives of the stakeholders in the HTTPS ecosystem, most notably the CAs, is essential. We outline the systemic vulnerabilities of HTTPS, map the thriving market for certificates, and analyze the suggested regulatory and technological solutions on both sides of the Atlantic. Our findings show existing yet surprising market patterns and perverse incentives: not unlike the financial sector, the HTTPS market is full of information asymmetries and negative externalities, as a handful of CAs dominate the market and have become “too big to fail.” Unfortunately, proposed E.U. legislation will reinforce systemic vulnerabilities, and the proposed technological solutions that mostly originate in the U.S. are far from being adopted at scale. The systemic vulnerabilities in this crucial technology are likely to persist for years to come.

Tweede Column in Financieele Dagblad: Stortvloed Regulering Moet Beveiliging Internet Verbeteren

Na mijn eerste column over cybersecurity als excuus voor een ordinaire handelsoorlog tussen de V.S. en China, publiceerde Het Financieele Dablad gisteren mijn tweede stuk over de stortvloed aan nieuwe cybersecurity regulering die op ons afkomt. De wetgever, toezichthouders en rechters hebben van internetbeveiliging een top prioriteit gemaakt. In het komende jaar wordt het cybersecuritylandschap voor het komende decennium gedefinieerd.

In de column, pleit ik ervoor om de structureel falende markt voor internetbeveiliging strakker te reguleren. Oftewel: beveiligingseisen,  meldplichten na incidenten en aansprakelijkheid voor de Microsofts en Apple’s van deze wereld. Dat is in het belang van overheden, de rest van het bedrijfsleven en de eindgebruiker. Hoog tijd dat deze groepen gaan samenspannen tegen de ijzersterke lobby van de hard- en softwareindustrie.

Continue reading Tweede Column in Financieele Dagblad: Stortvloed Regulering Moet Beveiliging Internet Verbeteren

Eerste Column voor het Financieele Dagblad: Cybersecurity als Dekmantel voor Digitale Boterberg

Vorige week ben ik begonnen als columnist voor het Financieele Dagblad. Eens in de zoveel weken probeer ik vanuit een wat onverwachte hoek actuele kwesties aan te snijden rondom internetbeveiliging, -privacy en -politiek in wat bredere zin. M’n eerste stukje gaat over hoe cybergrootmachten, onder het mom van ‘beveiliging’ en nationale veiligheid, momenteel in een ordinaire handeloorlog zijn verwikkeld, met name de V.S. en China. Ondertussen hebben alle betrokkenen boter op het hoofd – iedereen hackt iedereen – en is internetbeveiliging het kind van de rekening. Continue reading Eerste Column voor het Financieele Dagblad: Cybersecurity als Dekmantel voor Digitale Boterberg

“Marketingtruc Hold Security. Niet De Grootste Hack Allertijden” [Interviews Radio1 en FD]

Nadat de New York Times een artikel publiceerde over de ‘grootste hack allertijden’, buitelde de media wereldwijd over elkaar heen om te berichten over cyberarmaggedon. Het bleek, zoals zo vaak, nogal mee te vallen. Lees en hoor hier m’n kritiek op deze marketingtruc van eenmansbedrijf Hold Security op  Radio 1 en in het Financieele Dagblad. Continue reading “Marketingtruc Hold Security. Niet De Grootste Hack Allertijden” [Interviews Radio1 en FD]