AVG Alerts

Artikelen over toegepaste IT methoden en technieken
die niet congrueren of haaks staan op beoogde doelstellingen als beschreven in de AVG
met advies om maatregelen te nemen

InfoSec Nieuws

De Algemene Verordening Gegevensbescherming (AVG) beschrijft op hoofdlijnen waar aan te houden. De normen ISO27000 en ISO27001 geven praktische uitwerking hoe de AVG te implementeren met handhaven, en beschrijven "wat te doen" het proces met procedures en richtlijnen. Het geheel beoogt onder andere dat vertrouwelijke informatie vertrouwelijk blijft. Onderstaande links geven nieuws over gevallen waarbij niet in de opzet is geslaagd en zaken zijn ontspoord.
→ zie: Wikipedia Informatiebeveiliging

Threat Wire - Security, Privacy, and Internet Freedom News! → zie: YouTube Infotorial Hak5
NL Autoriteit Persoonsgegevens → zie: Website Actueel
USA InfoSec News → zie: Website HomePage
USA InfoSecurity Group → zie: Website HomePage
USA allinfosecnews.com global news regarding Cyber Security → zie: Website HomePage

Google
Android & iOS

Gebruik van Google, op Android en in mindere mate iOS ondermijnd privacy en security. Experimenten werden uitgevoerd op stationaire telefoons zonder gebruikersinteracties. Bij daadwerkelijk gebruik neemt de informatieverzameling toe. Bevindingen:
- Een slapende stationaire Android telefoon met Chrome browser actief op de achtergrond communiceerde locatie informatie 340 keer gedurende een periode van 24 uur
- Experiment vond dat op een iOS apparaat met Safari maar niet Chrome, Google geen waarneembare gegevens kon verzamelen tenzij een gebruiker interactie had met het apparaat
- Een inactieve Android telefoon met de Chrome browser zend bijna vijftig keer zoveel gegevensverzoeken per uur terug naar Google als een inactieve iOS telefoon met Safari
- Een inactief Android apparaat communiceert bijna tien keer vaker met Google dan een Apple apparaat communiceert met Apple servers
- Google kan anonieme gegevens die op passieve wijze zijn verzameld, koppelen aan de persoonlijke gegevens van de gebruiker
Advies, niet uit onderzoek maar vanaf deze website:
Voor optimale privacy en security gebruik een Linux telefoon met free OpenSource software.

Microsoft
Software as a Service

Net zoals andere leveranciers heeft Microsoft hun verdienmodel getransformeerd van leveren van een product naar leveren van een service. Want periodieke inkomsten zijn op lange termijn bedrijfseconomisch beter dan eenmalige aankopen. Vandaar gestage accentverlegging van product MS Office naar Office 365 als software as a service "in de cloud". Cloud computing is technisch qua privacy en security inherent niet slechter dan old skool in house data opslag want de tools die worden gebruikt om in house data opslag te beschermen zijn gelijk aan de tools als gebruikt bij cloud opslag. Dus in principe is er geen verschil tussen die twee manieren van opslaan van gegevens. Echter, Microsoft heeft haar service zo ingericht dat het bedrijf in staat is om de opgeslagen gegevens te benaderen met aldus de mogelijkheid om er mee te doen wat ze willen. Inzoomend op details is het schokkend te lezen dat Microsoft inhoudelijke data (dat gaat over alle Nederlanders en vertrouwelijke gegevens) wil kunnen blijven inzien en een juridische strijd aangaat om rechten te behouden om ermee te doen wat ze willen. Ook wil Microsoft niét hun telemetrie in operating systeem Windows uitzetten. De situatie is nu zo dat de Nederlandse overheid alle ambtenaren adviseert om Office365 niét te gebruiken. En logica dicteert dat als onze overheid met hun enorm team van interne en externe deskundigen tot die conclusie komt, het voor de hand ligt te volgen. Dus voor AVG compliancy doe wat overheid doet en gebruik geen Office365.

Huawei
Google PlayStore

Zoals bekend is het Huawei verboden om Androids Google Playstore "af fabriek" te installeren. Daarop heeft Huawei een bypass gevonden via website www.lzplay.net ; Echter, er is een major privacy en security issue met deze methode! En vanwege gehanteerd concept níet AVG compliant. Want gebruiker geeft "Accept" op twee "extra machtigingen" en daarmee geeft gebruiker volledige Admin rechten weg, en dus volledige toegang tot alle bits en bytes op het apparaat. Er is verder geen controle op alles wat er aldus in het apparaat op de achtergrond allemaal gebeurt. Het beste is om géén recent aangeschaft Huawei apparaat met Google PlayStore te gebruiken totdat meer duidelijk is over deze backdoor.

App machtigingen

Facebook Messenger is mondiaal door meer dan miljard personen in gebruik. Vandaar dat deze app als voorbeeld is gekozen wat betreft "app machtigingen". Punt is dat weliswaar enkele machtigingen zoals camera aan- of uit te zetten zijn, maar sommige machtigingen staan altijd aan. Een daarvan is "volledige netwerktoegang". Daarmee kan Facebook met aldaar achterliggende ARP functie alle(!) apparaten met hun MAC adres (is uniek serienummer af fabriek) op dat (wifi) netwerk achterhalen. Dus een gebruiker van Messenger die inlogt op niet zijn eigen netwerk stelt al dan niet bewust zichzelf en alle anderen op dat netwerk bloot aan melding aan Facebook dat allen aanwezig zijn. In verlengde van artikel over VPN: een VPN kan die Messenger ARP functie niet neutraliseren! Het is niet voor niks dat Facebook de app Messenger losgekoppeld heeft van Facebook de website want het bedrijf is een datashark en gaat voor de kill. In ieder geval, de ARP functie op zich is voor communicatie niet nodig. Bijv. WhatsApp gebruikt het niet. Conclusie: apps zoals Messenger met "volledige netwerktoegang" zijn spyware en gebruikers daarvan zouden het beste de toegang tot (wifi) netwerken moeten worden ontzegt ten gunste van privacy van derden. Of, beter, jezelf in quarantaine plaatsen en niét op (wifi) netwerk inloggen dat ook door andere wordt gebruikt, zoals terras, hotel, collega's, studie of huisgenoten.

Digitaal ecosysteeem Microsoft bedreigt soevereiniteit land

PWC heeft een studie verricht in opdracht van "Bundesministeriums des Innern, für Bau und Heimat" en presenteert de analyse, en komt tot de conclusie dat gebruik van hoofdzakelijk of bijna alleen Microsoft producten een bedreiging is voor de soevereniteit van het land. Citaat: "Bovenal, beperkte informatiebeveiliging en rechtsonzekerheid brengen de digitale soevereiniteit van de Staat in gevaar." Geconstateerd is een te grote afhankelijkheid in rechtspositie wat betreft locatie van de servers (USA), geen garanties omtrent vertrouwelijkheid van opgeslagen data en oncontroleerbare telemetrie. Lezer kan aannemen dat de situatie in Nederland niet veel anders is dan in Duitsland. Als oplossingsrichting volgt o.a. het advies om huidige software stack te vervangen door inzet van free OpenSource software (foss). Zoals op deze website betoogt is PwC ook voor omdenken: "ein Kulturwandel bei Entwicklung und Einsatz von Software notwendig sind".

Track en Trace
cookies, pixels en scripts

Alle internetters worden permanent 24/7 aangevallen door spyware in de vorm van tracking cookies, pixels en scripts. In beeldspraak, visualiseer de internetter lekker surfend, met onderwater de making money sharks "ready for eating you alive". Allereerst het goede nieuws, op Home Page van deze website staat de beste verdediging tegen datasharks, namelijk Linux OS, VPN, Firefox met addons, Firewall, DuckDuckGo, Linux smartphone, encryptie, FOSS en een VPS met Nextcloud. Nu het slechte nieuws over hoe datasharking werkt, namelijk zeer geavanceerd want datasharks opereren in teamverband. Het team bestaat uit twee aanvalslinies, met enerzijds belangrijke spelers zoals Facebook, Instagram Google, Twitter, LinkedIn etc. Die 1e linie levert "kant-en-klaar" middelen, het gereedschap, de tooling in de vorm van ready-for-use cookies, pixels en scripts. En anderzijds de 2e linie, de websites en apps zoals NU.nl, AD.nl, Telegraaf.nl, Volkskrant, NOS.nl, RTL.nl, Overheid.nl, burgermeester.nl, dokter.nl, notaris.nl, bakker.nl, slager.nl, zorgverzekering.nl, nl, Bol.com, Amazon.com... enfin... elke website bouwt zelf(!) deze tools cookies, pixels en scripts in hun website. Dus, belangrijk te beseffen, dat gaat niét vanzelf maar eigenaren van die websites geven concreet opdracht aan website bouwer om die tools, die cookies, pixels en scripts erin te zetten! Dus de twee aanvalslinies vormen gezamenlijk in symbiose één team en hebben de fuik gezet. En daar komt de internetter en die surft onherroepelijk in het net. Doordat deze datasharks mondiaal op bijna elke website opereren hebben ze aldus een zeer nauwkeurig beeld van elke internetter. En voor degene die zeggen "ik heb geen sociale media account dus mij treft niks" - not so fast: datasharks houden vergaarde gegevens bij in een "shaduwprofiel" en door social engineering weten ze precies wie wie is en wie bij welke gegevens horen. Anyway, de jacht op internetter is profijtelijk want per jaar honderden miljarden aan verkochte "profielen van personen", en dat geld wordt binnen het team onderling verdeeld. Lees verder hoe partijen in symbiose de internetter tracken en tracen.

Apple macOS
issues met privacy en security

Standaard draait macOS allemaal om gebruiksgemak. Dit is geweldig, behalve dat het betekent dat uw privégegevens algemeen openbaar zijn en rondhangen voor iedereen (of een app), en dat is dus inherent niet AVG compliant. Veel van het standaardgedrag in macOS is bedoeld om het u gemakkelijker te maken, maar het betekent ook dat als iemand achter uw computer gaat zitten, of een app even digitaal om zich heen kijkt, deze een hoop dingen tegenkomt die u niet wilt. Hier zijn een hele reeks instellingen die het waard zijn om te tweaken.

Smart Watch
issues met privacy en security

De VS in 2018: "The Pentagon has banned deployed military personnel from using smartphones, smart watches fitness trackers and apps with geolocation enabled. The move was made in response to a serious security risk identified in January, when publicly available Strava data was found to reveal both the locations and layouts of US military bases in countries like Syria and Afghanistan. Strava allows users to capture maps of the routes followed while carrying out exercise like jogging, which are publicly visible if set to Public rather than Private. The most popular routes in any given area then form heatmaps, which effectively reveal not only the locations of military bases, but effectively create digital maps of their layouts". Ook in NL 2018 dezelfde maatregel toen app Polar.

Hoorzitting Facebook,
U.S. Senate Committee on Commerce, Science, and Transportation Washington

Zeer vele sociale media vergaren gegevens van internet gebruikers. Dat wil zeggen op basis van cookies en trackers worden cumulatief zoveel als maar mogelijk(!) gegevens bij elkaar gesprokkeld (datasharking). Zodoende ontstaat er van iedereen een "schaduwprofiel". Voor de degene die een account hebben bij betreffende sociale media wordt dat schaduwprofiel "onzichtbaar" aan het account gekoppeld. En voor degene die geen account hebben wordt obv social engineering alsnog een "niet zichtbaar fictief account" bijgehouden met daaraan het schaduwprofiel gekoppeld. Kortom, van elke internetters is er een profiel en dat wordt verkocht voor reclame doeleinden of anders; denk aan Cambridge Analytica die kandidaat Trump hielp bij zijn verkiezing. Bijgaand document dient als "voorbeeld bewijs", want andere platforms hanteren soortgelijke methoden en technieken.
United States Senate Committee on Commerce, Science, and Transportation Washington, D.C. 20510-6125 MEMORANDUM; Getuigenis en antwoorden van Facebook Zuckerberg op vragen tijdens hoorzitting

Hoorzitting Facebook,
U.S. Senate Committee on the Judiciary


De "Hearing titled Facebook, Social Media Privacy, and the Use and Abuse of Data" ging ook in op de juridische kant van praktijken en in die commissie gestelde vragen leverde de volgende antwoorden van Facebook. Bedenk ook hier dit dit document als "voorbeeld bewijs" dient want andere platforms hanteren soortgelijke methoden en technieken. Let speciaal op pagina 16 en 17 omtrent mate van details die worden bijgehouden, en samenwerking met websites