Tag Archives: Oversight

Derde Column in Financieele Dagblad: Deltaplan Online Privacy en Beveiliging

Vorige week stond mijn derde column in het Financieele Dagblad. Met het stuk wil ik waarschuwen voor te hoge verwachtingen op snelle oplossingen na de Snowden-onthullingen. Het debat over de vraag die senator Duthler onlangs stelde in de Eerste Kamer — ‘wat zijn we ermee opgeschoten?’ — zal eind deze maand namelijk weer oplaaien. Dan draait de nu al torenhoge favoriet voor een documentaire-Oscar Citizenfour in de Nederlandse bioscopen, en volgen we met Laura Poitras Snowden anderhalf jaar lang op de voet. Schijnt briljant te zijn.

Mijn punt is, dat duurzaam herstel van privacy en beveiliging na zo’n grote ramp een kwestie van jaren is, niet van quick fixes. Net als met de Deltawerken. Ik vond het belangrijk om dat wat bredere aandacht te geven, anders is frustratie en gelatenheid rondom het verval van privacy en beveiliging een veel dieper, en misschien onherstelbaar gevolg. Gelukkig zijn er een aantal langzame maar hoopvolle ontwikkelingen in diezelfde Senaat, de Europese gerechtshoven en markten te melden, die nauwelijks door de media worden opgepikt. Continue reading Derde Column in Financieele Dagblad: Deltaplan Online Privacy en Beveiliging

New Paper ‘Security Collapse in the HTTPS Market’ Downloaded 30.000 Times in 3 Weeks

With my supervisor Nico van Eijk and co-authors Hadi Asghari and Michel van Eeten at Delft University of Technology, I’ve published a centerpiece of my doctoral project in the Communications of the ACM: ‘Security Collapse in the HTTPS Market’ [link to pdf].

In three weeks, the new article has been downloaded over 30.000 times. I didn’t quite believe that number, but the folks at the ACM have actually confirmed it. Blows my mind, really. Has been covered in the media and on Reddit and Slashdot, wich probably explains the download count. Visual artist Willow Brugh made a mesmerizing vizthink animation as a teaser to the article:

A.M. Arnbak, H. Asghari, M. van Eeten, N.A.N.M. van EijkSecurity Collapse in the HTTPS Market, Communications of the ACM, 2014-10, vol. 57, p. 47-55. Also published in: ACM Queue – Security, 2014-8, vol. 12.

From the abstract:

HTTPS (Hypertext Transfer Protocol Secure) has evolved into the de facto standard for secure Web browsing. However, widely reported security incidents-such as DigiNotar’s breach, Apple’s #gotofail, and OpenSSL’s Heartbleed-have exposed systemic security vulnerabilities of HTTPS to a global audience. The Edward Snowden revelations-notably around operation BULLRUN, MUSCULAR, and the lesser-known FLYING PIG program to query certificate metadata on a dragnet scale-have driven the point home that HTTPS is both a major target of government hacking and eavesdropping, as well as an effective measure against dragnet content surveillance when Internet traffic traverses global networks. HTTPS, in short, is an absolutely critical but fundamentally flawed cybersecurity technology.

To evaluate both legal and technological solutions to augment the security of HTTPS, our article argues that an understanding of the economic incentives of the stakeholders in the HTTPS ecosystem, most notably the CAs, is essential. We outline the systemic vulnerabilities of HTTPS, map the thriving market for certificates, and analyze the suggested regulatory and technological solutions on both sides of the Atlantic. Our findings show existing yet surprising market patterns and perverse incentives: not unlike the financial sector, the HTTPS market is full of information asymmetries and negative externalities, as a handful of CAs dominate the market and have become “too big to fail.” Unfortunately, proposed E.U. legislation will reinforce systemic vulnerabilities, and the proposed technological solutions that mostly originate in the U.S. are far from being adopted at scale. The systemic vulnerabilities in this crucial technology are likely to persist for years to come.

Eerste Column voor het Financieele Dagblad: Cybersecurity als Dekmantel voor Digitale Boterberg

Vorige week ben ik begonnen als columnist voor het Financieele Dagblad. Eens in de zoveel weken probeer ik vanuit een wat onverwachte hoek actuele kwesties aan te snijden rondom internetbeveiliging, -privacy en -politiek in wat bredere zin. M’n eerste stukje gaat over hoe cybergrootmachten, onder het mom van ‘beveiliging’ en nationale veiligheid, momenteel in een ordinaire handeloorlog zijn verwikkeld, met name de V.S. en China. Ondertussen hebben alle betrokkenen boter op het hoofd – iedereen hackt iedereen – en is internetbeveiliging het kind van de rekening. Continue reading Eerste Column voor het Financieele Dagblad: Cybersecurity als Dekmantel voor Digitale Boterberg

New Paper “Loopholes for Circumventing the Constitution”, the NSA Statement, and Our Response

This post was published on Freedom to Tinker on 11 July 2014.

CBS News and a host of other outlets have covered my new paper with Sharon Goldberg, Loopholes for Circumventing the Constitution: Warrantless Bulk Surveillance on Americans by Collecting Network Traffic Abroad. We’ll present the paper on July 18 at HotPETS [slides, pdf], right after a keynote by Bill Binney (the NSA whistleblower), and at TPRC in September. In the CBS piece, the NSA responds to our paper in a clever way that avoids addressing what our paper is actually about – here’s our reaction. Continue reading New Paper “Loopholes for Circumventing the Constitution”, the NSA Statement, and Our Response

Opinie FD en Lezing Eerste Kamer: ‘Nederland als Internetdokter tussen Cybergrootmachten’

Op 6 mei mocht ik een bijdrage leveren aan de expertsessie ‘Cyberintelligence en Publiek Belang’ in de Eerste Kamer. Het ontwikkelen van inzicht in de Snowden-onthullingen stond daarin centraal. Het Financieel Dagblad publiceerde gisteren een bewerking van mijn lezing op de Opiniepagina. Klik op het plaatje hieronder om het stuk te lezen, waarin ik probeer in te gaan op welke rol voor Nederland is weggelegd nu we ons geconfronteerd zien met genetwerkte communicatie-omgeving van totale surveillance. De opinie is voor een breed publiek en daarom wat simpeler. De volledige tekst van mijn langere lezing heb ik daaronder integraal opgenomen. De lezing is wat anders van toon, want gericht aan senatoren, en bevat meer technische en juridische lagen.

UPDATE: Mede op basis van mijn lezing, heeft de Eerste Kamer een aantal moties aangenomen over privacy en security na Snowden.

Continue reading Opinie FD en Lezing Eerste Kamer: ‘Nederland als Internetdokter tussen Cybergrootmachten’

Slides Hoorcollege over Snowden-onthullingen: ‘Internationale Dataflows & Cloud Surveillance’

Net twee uur college gegeven bij het vak ‘privacy & gegevensbescherming’ aan masterstudenten infomatierecht van de Universiteit van Amsterdam. Het college geeft een overzicht van een paar belangrijke onthullingen rondom de praktijk van intelligence surveillance, plaatst ze in politiek-historisch perspectief en gaat wat dieper in op de beweegredenen van inlichtingendiensten ‘to know it all’. Na de pauze bespreek ik welke oplossingsrichtingen recht, beleid en technologie bieden. Ook een aantal nieuwe onthullingen in het gisteren gepubliceerde boek van Greenwald komen aan bod. Klik op de openingsslide hieronder om alle 100+ slides te zien (geen zorgen, veel plaatjes).

Hoe NSA Surveillance van Amerikanen Vanuit Buitenland de V.S. Grondwet Omzeilt [Nieuw Paper]

An English version of this post was published on Freedom to Tinker on 12 May 2014.

Vandaag komt het langverwachte boek van Glenn Greenwald uit, ‘No Place to Hide’. Naast persoonlijke verhalen over samenwerken met klokkenluider Edward Snowden, belooft Greenwald nieuwe onthullingen van surveillance praktijken van Westerse inlichtingendiensten. In de laatste weken, heb ik samen met Sharon Goldberg (Computer Science, Boston University) een publicatie voorbereid over ‘Executive Order 12333’. Volgens de NSA is dit besluit van President Reagan de ‘belangrijkste juridische grondslag’ voor massale surveillance buiten de V.S. In ons paper beargumenteren we dat ‘EO 12333’ juridische mazen mogelijk maakt in de Amerikaanse Grondwet, waardoor diensten als de NSA vrij van toezicht door het V.S. Congres of de rechter en andere juridische waarborgen Amerikaanse communicatie kunnen afluisteren en analyseren.

Als onafhankelijke onderzoeker, kunnen we natuurlijk  niet weten wat Amerikaanse diensten precies uitvoeren. Maar ons centrale punt is, dat de wetten en de techniek het mogelijk maken om de Amerikaanse Grondwet, die overigens alleen bescherming biedt voor Amerikanen, te omzeilen.  Hiermee willen we de wetenschappelijke en de politieke discussie in Amerika informeren: denk niet dat nationaliteit een waarborg is tegen de sleepnetten van je eigen diensten.

Sharon en ik vragen ons nu af: zal het nieuwe boek van Greenwald onze theoretische bevindingen bevestigen met nieuwe onthullingen? Gisteren publiceerde Greenwald ineens een flarde over het hacken van routers, die bestemd zijn voor het buitenland. Het zou dus zomaar kunnen. Hier de samenvatting van ons paper, volgende week de eerste versie online. Continue reading Hoe NSA Surveillance van Amerikanen Vanuit Buitenland de V.S. Grondwet Omzeilt [Nieuw Paper]

Mijn One-Pager voor Expertsessie Eerste Kamer Cyberintelligence en Publiek Belang

Op dinsdag 6 mei ben ik een van de genodigden voor een expertsessie in de Eerste Kamer over ‘cyberintelligence en publiek belang’. Ik ben specifiek gevraagd om in te gaan op economische spionage en backdoors. Ter voorbereiding is mij gevraagd in een one-pager in te gaan op twee algemene vragen; tijdens de bijeenkomst beantwoord ik vragen direct van de senatoren. Hier mijn one-pager [pdf].

9 Problems of Government Hacking: Why IT-Systems Deserve Constitutional Protection

Published 20 February 2014 on Freedom to Tinker.

Governments around the world are increasingly hacking into IT-systems. But for every apparent benefit, government hacking creates deeper problems. Time to unpack 9 of them, and to discuss one unique perspective: in response to a proposed hacking law in 2008, the German Constitutional Court created a new human right protecting the ‘confidentiality and integrity of IT-systems’. The rest of the world should follow suit, and outlaw government hacking until its deep problems are addressed. Continue reading 9 Problems of Government Hacking: Why IT-Systems Deserve Constitutional Protection

ECHR Fast-tracks Court Case on PRISM and TEMPORA (and VERYANGRYBIRDS?)

So. The NSA and GCHQ piggyback on Angry Birds to spy on its 1.7 billion users. potential terrorists. Not only that, but everything on smartphones can be compromised: “if its on the phone, we can get it”. Will it ever stop? A few days ago, the European Court of Human Rights (‘ECHR’) made the unique move to fast-track a case on the legality of mass surveillance practices by the GCHQ. A judgement is now expected in months, rather than years – in time to have a huge impact on the global debate on mass surveillance. Time for some analysis. Continue reading ECHR Fast-tracks Court Case on PRISM and TEMPORA (and VERYANGRYBIRDS?)