Author: Spaink

beheerder / moderator

Three One strikes

De Franse ‘Three strikes’ wetgeving – wanneer een rechtenorganisatie zegt dat je hun auteursrecht schendt, krijg je een formele waarschuwing van je ISP en na drie waarschuwingen wordt je internetverbinding voor een jaar afgesloten – is sterk omstreden. Afgelopen jaar hebben al 100.000 Franse internetters zo’n waarschuwing gekregen. ISPam meldt nu dat de Franse ISPs de procedure zo kostbaar vinden, dat ze voor alle DSL-abonnees de prijs willen verhogen.

Bits of Freedom meldt vandaag dat Ziggo, en mogelijk ook andere Nederlandse providers, via een achterdeur een ‘one strike’ regeling hebben binnengehaald. DIsney en Warner hebben namelijk bedongen dat ISPs die films van hen via video on demand willen uitzenden, gebruikers die naar hun mening hun rechten schenden, meteen afsluit:


If the Customer does not respond satisfactorily to the warning letter and, in addition, does not immediately take down the content that infringes Warner Intellectual Property, the Licensee shall suspend the Customer’s ISP account until such time as the Licensee has received confirmation from Customer that Customer is no longer infringing or facilitating the infringement of Warner Intellectual Property.

Wachtwoord

Robert M., verdacht van grootschalig kindermisbruik en van het maken en downloaden van kinderporno, bleek zijn computerbestanden te hebben versleuteld. De reacties bestreken een voorspelbaar scala. Van het goedbedoelde maar naïeve ‘Zo’n wachtwoord kun je toch kraken?’, via het stoere ‘Laat mij maar even een uurtje alleen met die gast…’ tot het botte, maar evenzeer naïeve ‘We moeten encryptie voortaan verbieden!’

Een wachtwoord kraak je niet zomaar. Voor elk teken zijn er 96 opties. Met een wachtwoord van slechts acht tekens heb je al 7,2 biljard varianten. M. pochte in 2003 dat zijn wachtwoord 23 tekens lang was: bijna 4*1045 mogelijkheden (een 4 met 45 nullen erachter). Dat schiet niet op. Zelfs als half internet meewerkt om dat wachtwoord te kraken, zijn we eeuwen zoet. Exit rekenoptie.

Het voorstel de man met geweld aan de praat te krijgen, ondermijnt alles wat we zeggen hoog te willen houden. Verdachten hebben rechten, dat is nu juist het principe van de rechtstaat: niemand hoeft mee te werken aan zijn eigen veroordeling, marteling is uit den boze, verdenkingen dienen terdege te worden bewezen, en straffen uitmeten doen we op grond van de wet en pas ná een veroordeling door de rechter.

Wie tegenwerpt dat M. door zijn eigen daden elk recht op een nette behandeling is ontvallen, doet de rechtstaat au fond af als franje. De rechtstaat geldt principieel voor iedereen, zonder aanziens des persoons, en juist wanneer er veel op het spel staat, dient hij strikt te worden nageleefd. Principes die je alleen in acht neemt zolang je dat geen moeite kost of ze je handig uitkomen, zijn geen principes – dat zijn gelegenheidsargumenten. Grondrechten zijn geen luxeartikelen; niemand hoeft ze eerst te ‘verdienen’ , noch kunnen ze iemand zomaar worden afgenomen. Exit marteloptie.

Encryptie afschaffen dan maar? Nee. Er zijn buitengewoon goede, legitieme en verstandige redenen om encryptie te gebruiken, en dat iemand een nuttig ding misbruikt, betekent niet dat we dat ding dan meteen maar moeten afschaffen. (Met die redenering kunnen het schrift, de fotografie, de kerken, de telefonie en de banken ook beter de vuilnisbak in.) Bedrijven gebruiken encryptie, internet zou instorten zonder encryptie, het betalingsverkeer drijft erop. Mensenrechtenorganisaties gebruiken het, verstandige journalisten, en mensen die hun lijstjes met wachtwoorden niet onbeschermd willen laten rondslingeren.

Bovendien is encryptie verbieden zinloos: dat is gestolde, gebruiksklaar gemaakte kennis willen verbieden. Iedereen kan zich de levende variant van die kennis eigen maken, en zelfs al worden alle versleutelingsprogramma’s verboden of van achterdeurtjes voor overheden voorzien, dan kan elke slimmerik zo een nieuw programma in elkaar zetten. Of een nieuwe taal ontwerpen. Wie encryptie wil verbieden, wil feitelijk dat alle communicatie altijd en overal transparant moet worden opgeslagen, terwijl iedereen tevens permanent wordt gecontroleerd of-ie wel met iedereen transparant communiceert. (Trouwens, hoe weet u nu ooit zeker wat ik écht met ‘aardbeienjam’ bedoel?) Exit verbodsoptie.

De grote oplossing bestaat niet: recht doen is hard werken. Door goed speurwerk zijn er foto’s bovengekomen waarop de man zijn wandaden heeft vastgelegd, kon M. worden getraceerd. Zonder supercomputers, zonder marteling, een verbod op encryptie of enige andere uitholling van de rechtstaat is er degelijk bewijs gevonden en kan M. worden veroordeeld. Principieel, en met recht. Daar had M. zelfs bij kunnen blijven zwijgen.

Misbruik en technologie

[Voor het tijdschrift Lover, aflevering 2011-01. (Deze column verschijnt pas eind maart in druk, maar omdat-ie toch wel erg actueel is, zet ik hem nu alvast op mijn blog.)]

Eind vorig jaar werd bekend dat een medewerker van een Amsterdamse crèche een flink deel van de kinderen die onder zijn hoede waren, geregeld had uitgekleed en hen dan uitgebreid fotografeerde. Daarnaast had hij een aantal kinderen – sommigen nog maar peuters – daadwerkelijk misbruikt. Ook daarvan had hij foto’s en filmpjes gemaakt. In totaal ging het om ruim vijftig kinderen.

De politie kwam de man op het spoor nadat in Amerika iemand was gepakt die ruim tienduizend afbeeldingen van kinderporno had verzameld. Onderdeel van diens collectie was een serie waarop was te zien hoe een tweejarige peuter misbruikt werd. Een opvallende knuffel die in deze serie werd gespot, een Nijntjepop, leidde uiteindelijk naar Nederland.

De productie en verspreiding van kinderporno is ingrijpend veranderd door moderne technologie. Vroeger zat er gewoonlijk een organisatie achter de productie van zulke afbeeldingen. De foto’s en filmpjes moesten in eigen beheer werden ontwikkeld, afgedrukt en verveelvoudigd; met zulk materiaal stap je immers niet naar de fotoservice van de Hema. Tegenwoordig hoeven foto’s en films niet meer te worden ontwikkeld, kost een goede videocamera slechts een paar honderd euro, en kan de vermenigvuldiging en verspreiding via internet lopen. Elke lamlul kan nu in principe zijn eigen toko opzetten.

Akelig genoeg heeft ook de jacht op kinderporno een escalerend effect gehad. Vroeger bestond er een vrij helder onderscheid tussen producenten en consumenten van kinderporno, en kon je nog hopen dat het kijken naar zulk beeldmateriaal iemand van erger weerhield. Ook de, eh, liefhebber van het genre kon zichzelf voorhouden dat hij dicht bij de gevarenzone zat, maar godlof nog nét aan de veilige kant ervan. Hij keek dan weliswaar naar illegaal spul, maar hij deed tenminste niks. Hij bevredigde zijn lust door een verzameling op te bouwen van wat anderen hadden misdaan. Zelf een kind misbruiken wilde hij niet, of durfde hij niet. Dat ging ook hem een stap te ver. Bovendien, met wat moeite was er voldoende materiaal te vinden. Dus dat volstond.

Kinderporno is inmiddels effectief de krochten van het internet ingejaagd. Door nieuwsgroepen nauwgezet uit te pluizen kon je eind jaren negentig nog een aardige verzameling opbouwen, maar tegenwoordig is kinderporno buitengewoon lastig te vinden. Je komt het nooit ‘zomaar’ tegen. (Reden waarom het leuren met verplichte kinderpornofilters voor iedereen, zoals de politiek steeds doet, baarlijke nonsens is.)

Wie nu kinderporno op internet wil vinden, dient zich een weg te banen langs steeds duister wordende paden. Rondhangen op rare fora, soms een hint geven, meedoen met de kliek, af en toe een privéberichtje sturen naar iemand die meer lijkt te weten. Na enige tijd is het prijs: een uitnodiging voor een besloten – maar verhoudingsgewijs onschuldige – site is zijn deel. Door daar vervolgens een goede reputatie op te bouwen, kan iemand zich omhoog werken en toegang verdienen tot een nog geheimer genootschap. Waarbij als regel geldt: hoe geheimer, hoe ernstiger.

Wie zich eenmaal ergens heeft binnengewerkt, downloadt subiet alles wat daar te vinden is: pakken wat je pakken kunt, while you can. (Dat verklaart tevens de kolossale hoeveelheden kinderporno die nu vaak worden aangetroffen indien iemand gepakt wordt.) Voor een ‘promotie’ naar een betere site is echter entreegeld nodig, in de vorm van nieuw materiaal. Eerder gedownload spul voldoet daartoe zelden. Iedereen heeft immers alles al, want iedereen heeft een vergelijkbaar traject afgelegd.

Waar eerder alleen de volkomen gedepriveerden daadwerkelijk kinderporno maakten, is er nu een systeem ontstaan dat bevordert dat kijkers uiteindelijk daders worden. ‘Alleen maar kijken’ is geen uitlaatklep meer – voor zover dat ooit opging – die erger kan voorkomen; wie wil kijken, wordt aangezet om mee te doen. De deelnemers medeplichtig maken is bovendien een slimme strategie van de beheerders van zulke geheime plekken: wie medeplichtig is, houdt immers beter zijn mond.

‘Internet maakt van consumenten producenten,’ was de opgetogen leus van Web 2.0. Helaas geldt dat ook voor domeinen waar je überhaupt geen producenten wilt hebben.

EenVandaag: encryptie

De nieuwsrubriek EenVandaag wijdt vanavond (18:15, Ned. 1) een item aan kinderporno en encryptie, waarin ik word geïnterviewd. (De uitzending staat inmiddels hier online.) Van hun website:


Het kan nog jaren duren voordat de computer van Robert M. gekraakt is. Het wachtwoord, bestaande uit 23 tekens is tot nu toe nog niet achterhaald door cryptologen van het NFI (Nederlands Forensisch Instituut). De computer van M. is waarschijnlijk beveiligd met behulp van het gratis te downloaden programma TrueCrypt. De computer was voor M. eenvoudig te beveiligen, maar voor crypotologen des te moeilijker om te kraken. Vanavond in EenVandaag een gesprek met computerdeskundige Karin Spaink. Hoe moeilijk is het om een beveiligde computer te ontsleutelen?

Door de hoeveelheid aan tekens en mogelijkheden, kleine letters, hoofdletters, cijfers en tekens, is er een groot aantal combinaties mogelijk. Programma’s die gemaakt zijn om codes te kraken kunnen over het ontsleutelen van deze combinatie jaren doen.

Bepaalde beveiligingsniveaus van de computer zijn intussen wel doorbroken, maar ze zijn nog lang niet allemaal gekraakt. De politie liet eerder al weten dat er op de computer beelden staan waarop sprake is van ernstig misbruik van kinderen.

Voorspellingen

Eerder vroeg Het Parool haar columnisten eind december om hun voorspelling voor het komende jaar te geven. Dat doet de krant al een tijdje niet meer, maar zulke lijstjes blijven leuk om te maken. (Of anders wel om ze later nog eens terug te lezen…)

Aanvullingen zijn van harte welkom! Schieten voor open doel mag deze keer, dus da’s altijd prijs.

  • De regering komt met domme plannen voor internet. Nu is dat op zich geen nieuws, maar ditmaal zijn de plannen zo knullig dat Bits of Freedom besluit het bij een publiekelijke lachbui te houden. Dat werkt zo aanstekelijk dat het ook parlement de slappe lach krijgt en de plannen schielijk worden gedumpt.
  • De NS koopt nieuwe treinen, waarmee – oh, heel onverwacht hoor! – nieuwe problemen blijken te zijn.
  • Geert Wilders verandert van haarkleur, hij stapt van schreeuwend blond over naar driedelig grijs. Dit om gedistingeerder te lijken.
  • Femke Halsema schrijft een boek over haar leven als politica. Ze onthult daarin een flirt met Rutte en handtastelijkheden van een niet bij naam genoemde CDA’er.
  • Het kabinet Rutte valt kort voor het zomerreces.
  • Beatrix kondigt haar aftreden aan. (Elizabeth daarentegen blijft.)
  • Jomanda blijkt kanker te hebben. Ze wijt dat aan ‘het negativisme’ om haar heen.
  • De blauwvintonijn sterft uit.
  • ACTA wordt niet aangenomen.
  • Powerdressing voor vrouwen komt weer in: jasjes, bloesjes en colberts krijgen fikse schoudervullingen.
  • Er gaan drie Eurolanden failliet, en twee pensioenfondsen vallen om.
  • Een psycholoog legt uit dat we door de crisis onze verwachtingen temperen, en dat we zodoende op de keper beschouwd allemaal gelukkiger zijn geworden.
  • Het wordt een prachtige zomer.
  • Mijn vader wordt tachtig.
  • Het bioscoopbezoek stijgt als nooit tevoren, maar Brein blijft klagen dat downloaders de industrie vernielen. Update: Het aantal verkochte bioscoopkaartjes in Nederland blijkt te zijn gestegen van ruim 27 miljoen in 2009 naar 28 miljoen in 2010.
  • Ik voltooi mijn boek over Hack-Tic, XS4all en de geschiedenis van het publieke internet in Nederland af (en, niet onbelangrijk, ik ben er tevreden over).
  • Ik word verliefd, ik weet alleen nog niet op wie :)

Knetterende katten

Sinds de winter is ingevallen knetteren mijn katten dat het een aard heeft. Als ik ze aanhaal, raakt hun vacht statisch geladen: we krijgen daarna alletwee korte, venijnige tikjes. Ik probeer hun oortjes of neus zo min mogelijk aan te raken, want daar een schokje krijgen lijkt me pijnlijk voor ze. Maar dat lukt niet altijd. En het helpt als ik één hand op hun lijfje houd terwijl ik ze met de andere streel, want dan bouwt die spanning zich niet op. Maar ook dat lukt vaak niet.

Het is weliswaar grappig om te zien hoe Max d’r haren overeind gaan staan als ik met mijn hand in de buurt kom, maar toch… Heeft iemand tips om te voorkomen dat aaien een straf wordt? Hoe zorg ik dat mijn katten niet knetteren?

Update: De lucht in huis bleek te droog te zijn. De tip was bakjes water op de radiator te zetten, maar dat hielp niet veel. De beste en snelste oplossing: leg een kletsnatte handdoek over de radiator. In een paar uur tijd verdamp je dan al snel een liter water. Problem solved! Al binnen een paar uur knetterden de katten niet meer, en ook ik vind de lucht in huis ineens een stuk prettiger ‘aanvoelen’.

Botnet

De DDoS-aanvallen eerder deze maand op MasterCard, Visa en PayPal zorgden voor onrust. De teneur was dat strenge straffen gepast waren: het zou gaan om vernieling. Nogal wat mensen vreesden dat dit een voorbode was van hackers die het betalingsverkeer zouden ontregelen of andermans geld inpikten.

Bij een DDoS-aanval wordt een leger computers ingezet om een website te overspoelen; die krijgt ineens van alle kanten talloze verzoeken om een pagina te tonen. De webserver kan de toeloop niet aan, raakt overbelast en geeft de geest: missie geslaagd. De remedie is betrekkelijk simpel en komt erop neer dat je de webserver herstart en verdachte verzoeken voorlopig even afwimpelt. Er wordt geen infrastructuur ontregeld of informatie ontvreemd, er worden geen systemen overgenomen, er gaat niks kapot. Een DDoS-aanval is het beste te vergelijken met een digitale wegversperring. Het verkeer rond de website wordt ernstig belemmerd. Heel hinderlijk, maar niet iets dat thuishoort in de categorie zware criminaliteit.

De aanleiding voor de kwestie vind ik serieuzer. MasterCard, Visa en PayPal hadden bekend gemaakt dat zij de tegoeden van WikiLeaks hadden bevroren. Op grond waarvan was onduidelijk. PayPal zei aanvankelijk een brief te hebben gekregen van het Amerikaanse State Department dat hen daartoe sommeerde; dat bleek gelogen te zijn. Daarna beweerde PayPal dat WikiLeaks ‘mogelijk’ activiteiten tentoonspreidde die illegaal waren, of althans ongewenst, en dat ze zulke klanten volgens hun bedrijfsvoorwaarden mogen weren.

Het uitsluiten van klanten vanwege ‘ongewenste’ activiteiten ligt iets ingewikkelder dan PayPal deed voorkomen. Ze mogen een klant alleen weren als die een duidelijk bedrijfsrisico oplevert (bijvoorbeeld omdat-ie geregeld zijn schulden verzaakt), of indien bewezen is dat het geld illegaal is verkregen dan wel voor illegale doelen wordt aangewend. En een klant de dienst opzeggen is bepaald iets anders dan zijn geld bevriezen: dat laatste is simpelweg een wederrechtelijke inbeslagname. (U kunt dat desgewenst ook diefstal noemen.)

PayPal, Visa en MasterCard mogen WikiLeaks niet zomaar de deur wijzen, laat staan hun geld in beslag nemen. Dat financiële instanties zo eigengereid optreden en hun beleid door het nieuws laten bepalen in plaats van door wet en recht, is zorgwekkend. Uw bank hoeft u helemaal niet aardig te vinden. Definiëren wat gewenst of ongewenst politiek gedrag is van hun klanten, is niet hun taak. Ook de KluKluxKlan heeft recht op een bankrekening en iemands geld in beslag nemen mag alleen als een rechter dat verordonneert.

Dus dat sommige supporters van WikiLeaks het die banken betaald wilde zetten, was niet vreemd. Toch: slim is anders. Wie onheus gedrag beantwoordt met meer onheus gedrag, vereffent immers geen rekening. Die schept slechts meer onheusheid.

Eén aspect van de affaire is onderbelicht gebleven. Wat zijn dat eigenlijk voor computers die als een leger kunnen worden ingezet, en die op afstand door anderen kunnen worden aangestuurd en afgevuurd? Uit wie of wat bestaat zo’n botnet?

Het antwoord zal u verrassen: de kans is groot dat u erin zit. De gemiddelde PC wemelt van de virussen, en een deel daarvan heeft uitsluitend tot doel uw computer in te lijven in een leger van botnets. Botnets om DDoS-aanvallen uit te voeren, botnets om spam te versturen, en helaas: ook botnets die wél zijn bedoeld om de infrastructuur te ontwrichten of u uw geld te ontfutselen.

Priemjaar

Mijn leeftijd onthoud ik bij benadering, ik moet ‘m altijd even narekenen. Is het getal dat ik in mijn hoofd heb nou hoe oud ik het afgelopen jaar was, hoe oud ik net ben geworden of hoe oud ik volgend jaar zal zijn?

Ooit heb ik een paar dagen oprecht gemeend dat ik die week veertig zou worden en me toen afgevraagd wat ik daarvan vond. Veertig is toch wel een grens – tenminste, dat zei iedereen. Gold dat ook voor mij? Nee, eigenlijk niet. Het voelde niks anders dan 37 of 38 worden ofzo. Daags voor de bewuste verjaardag realiseerde ik me dat ik helemaal geen 40 zou worden, maar 39. Dus toen 40 zich een jaar later écht aandiende vond ik daar niks speciaals meer aan. Veertig worden had ik immers al eens gedaan :)

*rekent* *geboren in 1957* *weet het nu zeker*

Vandaag word ik 53. Da’s een priemgetal, dus dit wordt vast een goed jaar. (Op oneven getallen heb ik het nooit bijzonder begrepen maar voor priemgetallen heb ik een onevenredig groot zwak.)

Dit jaar doe ik er niks aan. Maandagen lenen zich slecht voor feestjes, en gisteren was ik nogal ziek, dus dat ik voor vandaag niks had gepland komt goed uit. Maar wat meer is: ik heb mijn vrienden het afgelopen jaar nogal verwaarloosd en dan voelt het raar ze nu ineens uit te nodigen. Meer alsof ik ze vraag omdat ik met ze wil pronken dan omdat ze me lief zijn. Dus vanavond ga ik het afgezegde etentje van gisteren inhalen en neem ik een goede fles wijn mee. En ik neem me voor om komend jaar heus meer tijd te wijden aan al wie me lief is…

Wikileaks updates

De hoogste tijd voor een selectie uit de (naar mijn idee) belangrijkste updates rondom Wikileaks.

♦ Sinds dinsdag 14 december blokkeert de luchtmacht in Amerika nieuws over / van Wikileaks. Maar liefst vijfentwintig sites, waaronder die van de Guardian en van de New York Times, worden door de Amerikaanse luchtmacht geblokkeerd opdat medewerkers geen nieuws over Wikileaks kunnen lezen. Eerder al gaf de Amerikaanse regering opdracht te zorgen dat overheidsmedewerkers Wikileaks zelf niet meer konden lezen. Daar kan ik me nog iets bij voorstellen. Maar om van overheidswege gerennomeerde kranten te blokkeren is pure idiotie.

♦ Het online magazine Salon publiceerde afgelopen woensdag (15 december) een artikel over Bradley Manning, de soldaat die verdacht wordt van het lekken van materiaal aan Wikileaks. Manning zit al zeven maanden in eenzame opsluiting. De Guardian mellde donderdag 16 december dat de gezondheid van Manning hard achteruit gaat.

♦ Onderzoeksjournalisten uit veertig landen hebben publiekelijk hun steun betuigd aan Wikileaks.

♦ De Zweedse omroep SVT werkt al enige tijd aan een documentaire over Wikileaks, en heeft die nu online gezet. De (Engelstalige) documentaire duurt bijna een uur, en is hier te zien.

Wikileaks

Gistermiddag was ik te gast in het radioprogramma Vrijdagmiddag Live (AVRO, radio 1). Het gesprek ging over de publicaties van Wikileaks, over Anonymous en hun DDoS-aanvallen op Paypal, Mastercard en Visa, over de vraag hoe ‘eng’ en hoe moeilijk zo’n aanval nu precies is, over ‘informatie-oorlogen’ en de openbaarheid van bestuur, over de aantijgingen jegens Wikileaks en over hoe de vraag hoe ver openheid kan of mag strekken.

Wat een verademing, dat interview. Gastheer Jan Mom nam er ruim de tijd voor, wat bij zo’n complex onderwerp buitengewoon prettig is. Het betekende dat er eventjes niks hoefde te worden afgeraffeld en dat argumenten konden worden uitgediept. Het ging eindelijk niet over soundbytes maar over inhoud.

Het gesprek werd voorafgegaan door een liedje over mij. De tekst was geschreven op basis van Google resultaten, zodat zowel mijn katten als mijn werk erin figureerden. De tekst was tamelijk geestig. Of nou ja, dat vond ik tenminste, en ik kan er sowieso slecht tegen als iemand me publiekelijk bespreekt: daar word ik meestal erg giechelig en onhandig van :)

Het gesprek – dat al met al bijna een half uur duurde – is hier te beluisteren.