September 2019

Story

Content is about privacy and security and a bit of fun on the side.
Creating awereness about Linux as "privacy by design" and more broadly
showing how web tooling can practically be used,
promoting free OpenSource software (foss)
and EU Algemene Verordening Gegevensbescherming (AVG/GDPR),
and for the non-techies delevering guides
to take control by using apps and add-ons.

OVER DEZE WEBSITE

Een gemiddelde enduser computer configuratie bestaat uit een aantal elementen zoals operating systeem, webbrowser, email programma, kantoorsoftware en verder specifieke software. Op hoofdpagina van deze website staan op basis van zo'n gemiddelde enduser een reeks componenten beschreven die privacy en security minded zijn. Het betreft zowel software als hardware.

Privacy en security minded is nodig want ten opzichte van "vroeger" is het anno heden zo dat het merendeel van IT makers en leveranciers gegevens van gebruiker wil monitoren. Dat wil zeggen: inzien, bestuderen, analyseren en waar mogelijk verkopen. En IT techniek voorziet in middelen om dat ook te doen. Daartoe zijn allerlei functies ingezet.

Zo is op operating systeem niveau "telemetrie" geintroduceerd en er gaat een kolosale hoeveelheid informatie van gebruiker naar leveranciers waarbij gebruiker niet weet of kan zien wat er allemaal gebeurd want de leveranciers zenden gebruikerdata encrypted naar zichzelf.

Dit fenomeen wordt ook wel "ET-phone home" genoemd en het is uitermate zorgwekkend dat veel OS'n zoals Windows, macOS, iOS, iPadOS, tvOS, ChromeOS en Android aan telemetrie doen.

Omdat ET-phone home encrypted is kan niet gecontroleerd worden wélke gebruiker data precies wordt leeggelezen, hetgeen inherent dus niet voldoet aan de Algemene Verordening Gegevensbescherming (AVG). Dientengevolge waarvan logica dicteert dat deze OS'n niet meer mogen worden gebruikt.

En verder willen OS'n dat gebruiker inlogt met z'n account en dat account is "vastgelegd in de systemen van leveranciers" met aldus verregaande koppeling van op slinkse wijze verkregen data naar individu.

Bij Windows, macOS, en ChromeOS is dat inloggen met account in zekere mate nog vrijblijvend alhoewel alsdan iets minder functionaliteit. Maar bij smartphones zoals Android en iOS (waaronder ook tvOS en iPadOS) is het "verplicht" want anders werkt er nagenoeg niks.

Dat "naar huis bellen" doen niet alleen operating systemen maar ook allerlei toepassingssoftware. Bijvoorbeeld Office365 is applicatie met "software en data opslag in de cloud" en Microsoft kan álles bekijken en heel veel "doen wat ze willen" om te verkopen. Google Docs en Apple equivalenten zijn niet beter wat dat aangaat.

Ook marktleider Adobe als voorbeeld van content creation software waarbij de programmatuur en data nog wél op PC van gebruiker staat, maar vanwege het nieuwerwetse concept "Software as a Service" a.k.a making money, ter vervanging van voorheen "kopen van pakket", het bedrijf anno heden ongecontroleerd encrypted data van gebruiker z'n PC richting servers van het bedrijf kopieert.

Waar het hiervoor bij Adobe over installatie op computers betreft, is het zo dat Adobe voor smartphone en tablet ook hun software in de Google Play Store en Apple Store heeft. Tijdens het installeren Adobe app wordt gebruiker bij machtigingen onder kopje "overige" gevraagd in te stemmen met "volledige netwerktoegang". Haast niemand komt zover om te lezen en deze optie is niet instelbaar.

Punt is dat Adobe zich hierbij begeeft in de rij van Facebook met app Messenger en dus kan zien en naar huis melden wie cq welk MAC-adres er precies aanwezig is op het (wifi) netwerk alwaar gebruiker is ingelogd. Adobe voegt zich in hiermee de rij van datasharks. Tot het tegendeel bewezen wordt moet worden aangenomen dat Adobe dat dus ook doet op PC's en computers.

Spyware

De vakterm voor hiervoor beschreven toepassingen met die functie is "spyware" behalve dan dat gebruiker toestemming heeft gegeven dus is het niet strafbaar. Office365 en Adobe zijn slechts voorbeelden, immers het overgrote deel van mainstream software doet aan ET phone home.

Niet alleen zakelijke software maar ook gratis spelletjes zoals Candy Crush, notabene door Microsoft als niét verwijderbare bloatware op Windows 10 "af fabriek" geinstalleerd. Sterker nog, als gebruiker dat spelletje uninstalled installeert Microsoft het in no time alsnog weer op PC.

Het feit dat spioneren technisch allemaal kan, wil niet zeggen dat IT leveranciers dat ook zouden moeten doen. De analogie richting het dievengilde ligt voor de hand, namelijk: het feit dat er goederen te stelen zijn "omdat de gelegenheid zich aandient" wil nog niet zeggen dat het gestolen mag worden.

En helers van goederen (data van gebruiker naar reclame boys) zouden ook in overtreding zijn ware het niet dat het geheel van IT leveranciers en middleman niet op voorhand criminelen zijn want gebruikers van hun diensten tekenen de servicevoorwaarden "voor akkoord" en daarin staat dat hun gegevens niet exclusief van hen zijn en dat leveranciers mogen doen wat ze nu doen.

De vraag dient zich aan waarom "iedereen en mass" tegen beter weten en in tegenstelling tot behoefte aan privacy en security dan toch maar alles tekent voor akkoord? Het lijkt wel een collectieve verslaving. IT leveranciers zien natuurlijk ook het gedrag van hun gebruikers en de privacyprijs van hun product wordt steeds hoger.

Enfin, fast forward naar heden en leveranciers hebben inmiddels zóveel data collectie ingebouwd dat buitenproportioneel niet normaal meer is, én vanuit doelstelling van AVG regelgeving niet te verenigen.

Het is tijd voor tweeledig omdenken met rigoreuze maatregelen:
1. Gekeken vanaf jaren '80 tot en met heden, en op basis daarvan, extrapolerend richting toekomst wordt als we zo doorgaan het qua privacy en security alleen maar nog slechter. Het is tijd voor een zero tolerance beleid ten aanzien van al-dan-niet-legale "spyware". Terug naar de basis waarbij alles privé is tenzij expliciet informatie wordt gedeeld via publieke media. Het data sharken en verkopen cq kopen van die data (reclame doeleinden of what ever) zou op basis van de AVG verboden moeten worden.
2. Gelijktijdig, niet wachten op resultaten eventueel voortvloeiende uit vorige punt, concrete acties om zoveel als mogelijk alle spyware uit het dagelijkse leven verbannen.

FOSS Privacy by design

Deze website geeft een 1e aanzet tot dat omdenken en informeert omtrent free OpenSource software (FOSS) dat "zowel qua look and feel als ook file format" praktisch toepasbaar is in te zetten om inherent wél te voldoen aan AVG. FOSS bespioneert gebruikers niet en heeft geen telemetrie.

Bij software producten op HomePage van deze website is uitgegaan van een gemiddelde configuratie als voorbeeld om daadwerkelijk wat te doen aan privacy en security en in groter verband bevordering van implementatie van AVG.

De AVG

VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)

Informatie
beveilingsnormen

De ISO/IEC 27000-serie, of 'ISMS Family of Standards', of kortweg 'ISO27k' omvat informatie beveiligingsnormen die gezamenlijk door de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC) worden gepubliceerd. De serie geeft de beste praktijkaanbevelingen over het beheer van informatiebeveiliging, en het beheer van informatierisico's door middel van informatie beveiligingscontroles in het kader van een algemeen systeem voor informatie beveiligingsbeheer (ISMS). De serie is opzettelijk breed en bevat meer dan alleen aanbevelingen over privacy, vertrouwelijkheid, en IT-gerelateerde (cybersecurity) problemen. Het is van toepassing op organisaties van alle vormen en maten. Alle organisaties worden aangemoedigd hun informatierisico's te beoordelen, dan handelen ze volgens hun behoeften door gebruik te maken van informatie beveiligingscontroles, met behulp van de richtlijnen en suggesties waar relevant. Gezien de dynamische aard van informatierisico's en veiligheid bevat het ISMS-concept voortdurende feedback- en verbeteringsactiviteiten om te reageren op veranderingen in de bedreigingen, kwetsbaarheden, en gevolgen van incidenten