Category Archives: privacy

Verkiezingen 2012

We hebben de verkiezingen alweer even achter de rug en dit keer heb ik per e-mail moeten stemmen omdat
ik anders te laat zou zijn (de aanvraag). Ik protesteerde daar tegen omdat ik een kopie van mijn paspoort per
email moest versturen. Ze wilden daar verder niet naar luisteren (het is zo of niets). Gedaan en ik kreeg zowaar
het stembiljet op tijd binnen, blijf met de manier waarop was ik echter niet.

Vandaag kreeg ik ineens een mailtje van noreply@denhaag.nl met de volgende tekst.

Geachte heer xxxxxxxxxxxxxx,=20

Een knelpunt bij het stemmen uit het buitenland is dat u uw stembescheid=
en soms niet op tijd ontvangt om ze tijdig terug te kunnen sturen. Het m=
inisterie van Binnenlandse Zaken en Koninkrijksrelaties spant zich in om=
 dit op te lossen. Doel is te komen tot een stembiljet dat eerder of via=
 e-mail kan worden toegezonden. Als het stembiljet eerder in uw bezit is=
, heeft u meer tijd om de door u uitgebrachte stem terug te zenden.=20
Het is van groot belang dat er getest wordt of u als kiezer overweg kunt=
 met het nieuwe stembiljet en er geldig mee kunt stemmen. Daarom doet he=
t ministerie een dringend beroep op u om mee te doen aan een test. =20

Meedoen met de test
Als u wilt meedoen met deze test voor kiezers die vanuit het buitenland =
kunnen stemmen, ga dan naar www.teststembiljet.nl/aanmelden  U ontvangt =
daarna een e-mail van de organisatie die de test uitvoert in opdracht va=
n het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
Werkt de link niet? Stuur dan een e-mail naar aanmelding@teststembiljet.=
nl.

Een testbiljet invullen en terugsturen
Als u deelneemt aan de test ontvangt u een e-mail met een testbiljet en =
uitleg over hoe u met het testbiljet een stem kunt uitbrengen. Om die te=
ststem uit te brengen, wordt u verzocht het testbiljet te printen. Het t=
estbiljet bevat alleen fictieve partijen en kandidaten. Nadat u uw keuze=
 heeft gemaakt, stuurt u het biljet zo spoedig mogelijk in een eigen env=
elop en gefrankeerd naar Nederland.=20
Het is helaas voor het ministerie niet mogelijk om u in het buitenland e=
en gefrankeerde envelop toe te sturen. Hopelijk bent u, gelet op het bel=
ang van deze test, bereid om de kosten van de envelop en de frankering v=
oor uw rekening te nemen. Het is niet mogelijk een scan van uw ingevulde=
 stembiljet per e-mail terug te sturen. Immers, een echt stembiljet zult=
 u ook met de post moeten verzenden. Het is essentieel dat u het testbil=
jet terugstuurt zoals u het heeft geprint en ingevuld. Alleen zo kan in =
de test worden beoordeeld of u met het nieuwe stembiljet een geldige ste=
m kunt uitbrengen. Uw deelname is belangrijk om te kunnen besluiten over=
 de introductie van het nieuwe stembiljet en om eventuele verbeteringen =
aan te brengen.=20

Helpdesk voor vragen
Misschien heeft u eerst nog een vraag of is iets niet duidelijk? Dan kun=
t u via helpdesk@teststembiljet.nl uw vraag stellen. U ontvangt zo spoed=
ig mogelijk antwoord. U kunt niet via dit e-mailadres van de gemeente De=
n Haag reageren.=20


Met vriendelijke groet,

Bureau Kiezers buiten Nederland


Als u meedoet aan de test, ontvangt u een e-mail met het testbiljet van =
organisatie@teststembiljet.nl.

Laat ik voorop stellen dat ik nooit een verzoek heb gekregen om in dit soort testen
mee te draaien, laat staan dat ik het ministerie ooit toestemming heb gegeven om mijn
email adres te gebruiken voor communicatie via derden. De link die in het mailtje staat
verwijst in het mailtje naar www.teststembiljet.nl/aanmelden. Klik je daar op dan kom
je echter op:

http://onderzoek.cgselecties.nl/aanmelden


Wil hier nog even bij opmerken dat dit een formulier is dat geen enkele beveiliging kent. Gewoon plaintext invullen en maar hopen dat het goed terecht komt. Erg vreemd.

Stoute schoenen aangetrokken en eens met de heer Slagter/Slachter? van CGselecties aan de telefoon
gehangen. Hij klonk erg ingetogen en leer bereid te zijn om mij allerlei informatie te geven.
Blijkbaar zit het bedrijf FirMM als opdrachtgever tussen hun en het ministerie in. Heb hem wel laten
weten dat ik dit bij de opta ga neerleggen en dat ik zeer benieuwd ben naar de uitkomst.

Ik kreeg vervolgens ook nog 2 06 nummers van dames die bij dit project zijn betrokken voor de firma FirMM.
Deze hadden echter beiden hun voicemail op staan en die bel ik van de week nog wel eens.

De headers tonen in ieder geval dat het via de mailserver van denhaag.nl naar buiten gaat:

 

Received: by 10.76.33.73 with SMTP id p9csp44595oai;
Fri, 9 Nov 2012 05:18:55 -0800 (PST)
Received: by 10.180.108.38 with SMTP id hh6mr2630288wib.0.1352467134768;
Fri, 09 Nov 2012 05:18:54 -0800 (PST)
Return-Path: <noreply@denhaag.nl>
Received: from smtp.denhaag.nl (smtp1s.denhaag.nl. [217.68.49.17])
by mx.google.com with ESMTP id gb1si1665410wib.18.2012.11.09.05.18.54;
Fri, 09 Nov 2012 05:18:54 -0800 (PST)
Received-SPF: pass (google.com: domain of noreply@denhaag.nl designates 217.68.49.17 as permitted sender) client-ip=217.68.49.17;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of noreply@denhaag.nl designates 217.68.49.17 as permitted sender) smtp.mail=noreply@denhaag.nl
X-SBRS: None
X-Sender: AppsOut
Received: from sw177.ka.haagnet.net ([172.23.100.73])
by smtp.denhaag.nl with ESMTP; 09 Nov 2012 13:55:41 +0100
Received: from SW177 ([172.23.100.73]) by SW177.ka.haagnet.net with Microsoft SMTPSVC(6.0.3790.4675);
Fri, 9 Nov 2012 13:56:17 +0100
MIME-Version: 1.0
Date: Fri, 09 Nov 2012 13:56:17 +0100
X-Priority: 3 (Normal)
Subject: Test met nieuw stembiljet voor kiezers in het buitenland
From: noreply@denhaag.nl
Content-Type: text/plain
Content-Transfer-Encoding: quoted-printable

Over de firma FirMM is het volgende te vinden:

firMM is an information+service design consultancy, founded by Judith Mulder and Francien Malecki. We create succesful dialogues for organisations that heavily exchange information with their clients. Information+service design leads to better customer experiences, reduced costs, increased return on investment and new opportunities.

Ik mag toch hopen dat deze dames niet door het ministerie op een project zijn gezet waarbij ze de prive gegevens van Nederlanders zomaar kunnen inzien en gebruiken bij andere commerciele bedrijven!

 

Volgende week deel 2.

Linkedin passwords compromised

Today, June 6th of 2012, the news came out that Linkedin passwords have been compromised. Over the years there have been a lot of discussions on what is a safe way to store, but also to choose a safe password. Assuming the provider of the service you are using is using a very insecure method to store password but are encoding them can give you some examples on how to choose a new one.

This example provides some links to find, test and create a password in md5 without the password being hashed _and_ salted.

Online there are some tools to help you disclose passwords for md5 encrypted passwords. They are also known as rainbow table services. You just grab an md5 encoded password and you check it on the website. One of them is used here, if you search for online rainbow table search you will find others too.

http://www.tmto.org/pages/passwordtools/hashcracker/

In the left box you paste up to 10 md5 hashed passwords and it will give you the password if it has it in the database. Some examples

password: linkedin
md5 string:  f1576406b382b7d1c8c2607f7c563d4f

password: gmail
md5 string  de01c1d48db6c321c637457113ed80d5

password: grandpa
md5 string: 224c1c878dec9c52ea8a8aaaf46a8872

password: semperfi
md5 string: 073de059ab0b79721180e1f87440d4fe

The checker displays the passwords for all of them:

f1576406b382b7d1c8c2607f7c563d4f:linkedin
de01c1d48db6c321c637457113ed80d5:gmail
073de059ab0b79721180e1f87440d4fe:semperfi
224c1c878dec9c52ea8a8aaaf46a8872:grandpa

As you can see the most common words are known already. If a site like linkedin is using md5 encryption only and someone is able to get the passwords they only need to run them through such a service (be aware, it is not hard to build something like this).

Use stronger password people. An unknown word combined with digits and other signs will make it very hard to decrypt it. Once you have chosen a password check it against a rainbow database to see if it is know there. If it is choose another one. It is not hard to imagine other encryption tools will have a simular database.

To generate md5 strings of a password you could use a database like mysql but I am sure there are some other tools for it too. In mysql you just run the following query:

select md5(‘linkedin’);

Sopa/Pipa, etc…a

Maybe we should be prepared to a completely different kind of internet once SOPA and PIPA get accepted. It indeed will be a very poorly informing network that will only have common sites hosted by isp’s who are scanning everything with deeppacket inspects to see if anything ‘illegal’ will be posted.

Here in Europa a lot of companies, mostly German as far as I know, are already scanning Tor, Torrent usage, proxies, etc.. These are mostly companies that act for movie produces like Paramount and other local producers. They are acting like normal users and are gathering information about ipnumbers, etc..

If a user is down/uploading illegal stuff within a country where they can act they will ask for the user address and details like the official name, etc.. This is done with a court order. After that they will offer the down/uploader a plan to plea guilty and to pay a fine (never do that, hire a specialized lawyer).

Some six months ago these companies also started contacting ISP’s in countries where they have no rights to act. Most of the ISP’s are working global or European. They are contacting their customers to make sure their users are stopped uploading (in the Netherlands) and downloading (in countries) copyrighted stuff.

Now let’s consider the following. There is this world wide isp that is hosting fiber for local operating fiber users. Let’s call them Ziggo, Casema, T-Online, Comcast, whatever. The current bills like SOPA and PIPA might not give the US the rights to kill those sites but they will put presure on the world wide isp to do something about this. They might even put presure on the dns root server maintainers to act.

In the end this isp will need to block local isp’s to make sure they can survive in other parts of the world.

Alternatives will be started. Anonymous might start their own dns system, there is opendns, there are other alternatives. This does not help you if your provider is not allowed to connect to the network….

Let’s stop all of those stupid bills.

md5 wachtwoorden op het internet

Laatst had ik op google+ een grappige discussie waarbij vooral een posting van Sam Rijver de aanleiding was om eens een stukje te schrijven over wachtwoorden die worden opgeslagen op het internet. Er kwamen nog wat leuke side effects bij naar voren, uiteindelijk beloofde ik om eens een stukje over wachtwoorden gebruik te schrijven
in een blogposting.

Historisch gezien zijn er enorm veel oss oplossingen die vooral md5 als versleuteling gebruiken om wachtwoorden op te slaan. Dit was van oudsher een goede keuze, zeker  omdat het internet nog niet over krachtige machine’s beschikte die een md5sum konden kraken. Toen midden jaren 90 vooral thuis gebruikers een eigen server zijn gaan draaien met standaard oplossingen kwam dit wel aan de orde. Hackers zijn toen langzamerhand gaan werken aan een oplossingen om rainbow tables facaliteren op het internet. Dit zijn eigenlijk zoekmachine’s waar je woorden kunt invoeren die je een wachtwoord en de md5 hash geven om te vergelijken met met een lijst van wachtwoorden die is opgeslagen in een md5 formaat.

Men zag dit jaren ervoor al enigsinds aankomen en dus verzon men een manier om dit link te verbeteren. Daarvoor gebruikte men een salt string. Dit is een string die men gebruikt om bijvoorbeeld het wachtwoord te concatten met de string en het dan te versleutelen naar md5. Een mooie oplossing maar er bestaat 1 groot probleem met deze oplossing. Sites die het gebruiken hebben vaak de hele authentication onder 1 account draaien, vaak omdat ze met goedkope hosting maar 1 database account krijgen en default oplossingen zoals applicatie xyz geen oplossingen hebben om dit voor gebruiker xyz te verbergen.

Om dit gedeeltelijk op te lossen bedachten bepaalde applicatie schrijvers dat je rollen kon toekennen op een database. Het komt er op neer dat je aparte rollen hebt die alleen maar toegang hebben op bepaalde tabellen en objecten. Dit is nog maar zelden gebruikt binnen software, zeker als je kijkt naar de oss oplossingen. Het geeft echter ook geen echte oplossing voor het probleem waar men eigenlijk mee te maken heeft.
Het feit blijft dat een webserver vaak maar als 1 user draait en dat alle mensen die daar tegen moeten authenticaten nog steeds dezelfde rechten hebben als
user ‘nobody’ (oftewel de bezoeker).

Al met al maakt het gebruik van een salt het iets lastiger om te hacken. Het is echter
geen oplossing voor het probleem. SSL kan zaken verbloemen omdat het niet te sniffen is zonder flink je best te doen. Uiteindelijk moet er echter worden nagedacht over een andere manier van werken (PKI voor alle website? en wat doen we dan met verisign dat gehackt wordt?).

Een leuke discussie die ik al eens aanging is om isp’s meer rechten te laten weggeven op bijvoorbeeld een database. Dit om het gebruik van rollen te kunnen laten toestaan. Vaak doen ze dat niet door kennis gebrek over het specifieke product (stel je voor dat je grant rechten geeft aan een simpele gebruiker). Ze zouden natuurlijk kunnen overwegen om dit alleen op die ene database te doen :-)

Rainbow tables, wat verstaat men daar onder.

Rainbow tables kun je tegenwoordig al online raadplegen. Je zoekt een wachtwoord dat je snift en voert die in op een specifieke zoekmachine die het vertaalt naar een md5hash, zodra je de vergelijking hebt kun je dus weten met welke wachtwoorden je moet inloggen.
Bozocrack

Dit is een vrij eenvoudig script dat veel md5 encrypted wachtwoorden direct kan vertalen naar de plain text wachtwoorden. Het zoekt op google, maar dat kan natuurlijk ook op een andere zoekmachine, naar strings van 32 chars hashes en kijkt daar naar het eigenlijke wachtwoord. Ze staan namelijk vaak gewoon online.

Tips.

1. Verwerk eens spaties in wachtwoorden.
2. Gebruik tools als bozocrack om een wachtwoord te zoeken dat niet bekend is.
3. Schrijf de makers van het door jouw gebruikte product eens aan om iig rollen te defineren. Dit maakt het al iets lastiger.
4. Gebruik je verstand :-)

Privacy on Google and Facebook

Over the last couple of weeks I had several discussions about the privacy on Google+ and Facebook. Currently I see friends leaving both networks due to the lack of it.

Is this a paranoid reaction? I don’t think it is. Social media sites are notorious for collecting information about people and selling it for some profit. What people do forget is the fact that these so called social sites are just the tip of what companies collect about you. People should be aware.

Let’s give some examples.

In the Netherlands, and partly in Germany (I think in a lot of countries) the government is able to track you since your isp needs to track traffic for 1 to N months. This means that they will not only collect who you call but also where you are located when you made these calls (or did not call at all).

The Dutch government is tracking you on certain highways where they track all cars (the license plates). So they know where you have been at what time.

Supermarkets will hand you a bonus card promising smart deals, they know exactly what you buy, even if you only use your credit card.

Health Insurance companies are getting bills from you doctor about subscriptions he wrote for you. They know exactly what is wrong with you.

As for the internet. I started using it in the late 1990’s and my provider at that time already had a blackbox tracking what people are looking for. People working there contacted me using non isp related phone’s to talk about certain issues.

Is this making me paranoid? No. I am aware of what I want to share and also have some options if I want to share something without tracking me. Just think about what you post on the internet, it is cached forever :-)

 

Google+, deel 2

Goed, ondanks dat het een beta is krijg ik al een aardig idee over hoe g+ gaat uitpakken. Blijkbaar ziet de middenstand en het bedrijfleven een grote kans. Wellicht ook omdat ze nu niet meer kunnen spammen via e-mail. De sociale hype is iets waar ze met veel genoegen instappen. Hun insteek is. Als je last van me hebt blok je me maar.

Is er ook iets tegen te doen? Tuurlijk. De circles stellen je in staat om groepen goed uit elkaar te houden. Daarnaast is het natuurlijk niet verplicht om iemand te volgen. In het begin krijg je het idee dat iedereen alles met elkaar moet delen. Op het moment dat je een heftige discussie over dit onderwerp voert krijg je zelfs volgers die het helemaal niet met jouw idee over wat wel/niet kan eens is.

Er zijn ook positieve dingen te melden. Ik zie leuke draadjes ontstaan tussen kringen die elkaar overlappen met sommige mensen. Zo krijg je ook dat mensen weer andere mensen leren kennen. Wellicht is dat de beste eigenschap van een sociaal netwerk.

Momenteel heb ik alles eens wat stricter gezet en post niet altijd iets openbaar. We zullen afwachten wat het over een maand of twee doet. Er zijn diverse voorspellingen waarbij men aangeeft dat Twitter, Hyves en Facebook straks uit Nederland zijn verdwenen. Zelf verwacht ik dat niet. De kans is zelfs groot dat een flink aantal gebruikers schrikt over het marketing gehalte van de mensen die ik hierboven al noemde. Ze zullen dan zeker hun Hyves of Facebook account niet opzeggen.

openstudy.com.

A while ago I connected to openstudy.com using my Facebook settings. Due to lack of time I decided to leave this initiative by deleting it from Facebook. Although it is a very nice initiative (mit opencourseware, nyu, etc… are participating) I found that deleting it from Facebook does not seem to kill your account there. You need to login again using Facebook and then disable the notifications. This is one thing but there is another problem.

Once logged in again there is no clear way to cancel your account. This is a bad thing imho…..

%d bloggers like this: