Google en het laaghangende privacy-fruit

Door Redsandro op vrijdag 4 juni 2021 16:56 - Reacties (5)
Categorieën: Beveiliging, Mobiel, Views: 4.795

Deze blog bevat koppen en informatie van nieuwsartikelen, speculatie gebaseerd op nieuwsartikelen, en speculatie van GoT en elders.

2005: "Don't be evil"

Kom je uit het Altavista- of Yahoo-tijdperk? Dan herinner je waarschijnlijk nog het vriendelijke Google uit de "don't be evil" periode.

De schone "Gooooooogle"-pagina met zoekresultaten. Het speuren naar een invite voor Gmail met een mailbox van een gigabyte in een tijd dat we van iedereen bounces kregen omdat de mailbox van hun gesprekspartner permanent vol zat. De acquisitie van Symbian-rivaal Android Inc in 2005 beloofde een open source besturingssysteem te worden als tegenhanger voor het toen nog geheimzinnige project van Apple. En in 2008 kwam er een nieuwe frisse browser: lichtgewicht en multi-threaded. Individuele tabs konden crashen in een tijd dat een crash in Internet Explorer, Opera (toen nog innovatief en Europees) of Firefox nog je hele browser neerhaalde.

De populariteit van Google Chrome steeg explosief. Chrome was in minder dan 4 jaar uitgegroeid tot marktleider. Android voor de smartphone groeide in 5 jaar uit tot marktleider. En beiden zouden die positie nooit meer verliezen.

2012: "Google will begin tracking users universally"

Hoewel "don't be evil" nog steeds aan het eind van Google's code of conduct staat, wordt het eigenlijk vanaf 2012 niet meer serieus genomen. Dat had te maken met de aankondiging dat "Google will begin tracking users universally across all its services."

Aanvankelijk was iedereen een beetje van oh haha nouja boeiend """ik heb toch niets te verbergen""". Maar vervolgens leerden we in 2013 dat de NSA voor 20 miljoen dollar per jaar mee kon kijken met wat je intypt, zelfs als je niet op enter drukt maar op backspace. De beroemde quote van Edward Snowden: "They watch your ideas form as you type." En toen, heel even, was toch grofweg 10% van de gebruikers zich héél even privacybewust. Je ziet het duidelijk terugkomen in de statistieken. Chrome verliest half 2013 10% van zijn marktaandeel.

Inmiddels hebben ze dat dubbel en dwars weer teruggewonnen en speelt het niet meer in de hoofden van de gebruikers.

Alhoewel... Er is een kleine doch groeiende groep gebruikers die zich met toenemende mate nog steeds of opnieuw bewust is van de groeiende macht van Google, en zich hier in meer of mindere mate tegen probeert te verzetten, of op zijn minst niet aan mee te doen. Dat is best lastig, omdat Google zowel de advertentiemarkt als de zoekmarkt, de browsermarkt, de analyticsmarkt en de smartphonemarkt domineert. Zo ontkom je er haast niet aan.

2016: "Get woke, go broke"

Zelf had ik er niet zo'n erg in, maar kreeg wel steeds vaker een frons op mijn gezicht bij nieuwsberichten. Zoals de Google goes woke efforts in 2016/2017 en het uiteindelijke ontslag van iemand die daar iets over zei. Of het ontslaan van mensen uit de A.I. ethische commissie in 2020 en 2021, die vervolgens bij Apple komen te werken.

Misschien is dat allemaal prima en terecht hoor, maar wanneer dergelijke issues het nieuws domineren in plaats van de introductie van een first-of-a-kind browser of de acquisitie van een revolutionair besturingssysteem, dan verliest Google toch een beetje zijn sjeu.

Google zal niet broke gaan, maar woke beleid heeft wel invloed op de omzet.

2020: Tracking in incognito mode

Ik was toch nog een beetje verrast toen ik leerde dat Google vermoedelijk gebruikers tracked in de incognito-mode van Chrome. Het geeft je een veilig gevoel waardoor gebruikers minder op hun hoede zijn en juist dan de meest waardevolle telemetrie genereren.

Maar het enige dat eigenlijk noemenswaardig anders is, is dat je zoekacties niet worden opgeslagen in je eigen lokale zoekgeschiedenis. Jíj kan het niet meer zien. Out of sight, out of mind. Maar de machine learning van Google gaat onverstoord verder met het zoeken van correlaties tussen onschuldig gedrag en je stoutste en meest gênante zoekopdrachten. Zodat ze krachtige modellen hebben op het moment dat dergelijke praktijken verboden worden.

Wist je overigens dat ook je Android Gboard toetsenbord een incognito-mode heeft? Als die niet expliciet aan staat (wat de betere apps zouden moeten triggeren bij bepaalde input zoals wachtwoorden) dan stuurt hij ook allerlei informatie door naar Google. Wel leggen ze uit dat deze tegenwoordig geanonimiseerd is.

2021: Chromium: de druppel

De druppel kwam voor mij uit onverwachte hoek, en is vermoedelijk alleen bekend bij Linuxgebruikers.

Google Chrome is opgezet als, en gebaseerd op, een open source-project genaamd Chromium. De eerste 7 jaar werden veel open source contributors aangetrokken uit de Linuxcommunity. Als dank kregen alle packagers van Chromium voor officiële Linuxdistro's een ongelimiteerde API-key voor alle Google-services om Chromium mee te compileren. Dat wil zeggen, met Chromium uit bijvoorbeeld Arch Linux kon je ook gewoon je bookmarks, history, passwords en auto-fill van je Google-account synchroniseren.

Op een gegeven moment was Chrome voor Linux volwassen. Maar het was niet echt populair. (Op Linux althans, want voor Windows voelde sowieso niemand zich geroepen om op een officiële vaste locatie Chromium-builds te plaatsen.) Chrome is namelijk in essentie het open source Chromium, plus closed source tracking en telemetrie (en nog een ingebouwde PDF-reader).

En die telemetrie is echt heel erg waardevol. Hiermee kan je namelijk met machine learning artificial intelligence modellen trainen om hele accurate profielen van je te maken. Wie de beste modellen heeft, heeft de toekomst.

Gewoon bij jou in de browser, gebaseerd op je gedrag en browsergeschiedenis. Deze modellen kunnen getraind worden om een hoge mate van precisie als bij ouderwetse tracking te evenaren. Met als extra voordeel natuurlijk dat het CCPA- en GDPR-compliant is, en dat het gespind kan worden als een barmhartig verzet tegen tracking cookies. Die heb je dan niet meer nodig. Want uiteindelijk hebben we een stukje A.I. in de browser zitten dat ons geheel autonoom profileert: Google FLoC.

Meer mensen moeten dus Chrome installeren. Chromium-derivatives moeten worden ontmoedigd. Het lijkt erop dat Google daarom besloot om de ongelimiteerde API-toegang vanaf Maart 2021 in te trekken waardoor gebruikers van allerlei Linux-distributies van Chromium naar Chrome willen overstappen omdat ze inmiddels wel verknocht zijn aan al die opgeslagen wachtwoorden, autofill, bookmarks et cetera.

Uiteraard proberen verschillende packagers allerlei trucjes om alsnog een werkende sync te krijgen waardoor je vandaag misschien kunt zeggen: "nou bij mij werkt het allemaal nog." Maar we weten allebei welke kant dit op neigt te gaan.

Onmogelijk: De deGoogle challenge 🤔

Er zijn verschillende dingen die je kunt doen. En gelukkig is het allemaal niet zwart-wit. Je kunt zelf een afweging maken in hoeverre dit relevant voor je is, en hoe ver je daarin wilt gaan. Sommige dingen zijn vrij heftig. Maar er is ook laag hangend fruit.

En daar zal ik het straks over hebben. Maar laat ik om het een beetje boeiend te houden eerst beginnen met de lompste simpele challenge die vrijwel niemand aankan: De deGoogle challenge.

Neem voor $1.99 één maand de "Alpha" DNS server van DeCloudUs af, en stel deze in als DNS server op je router, laptop, telefoon, et cetera.
"Alpha" DeCloudUs DNS

Alpha DNS servers are the "original" DeCloudUs DNS Premium servers where Google services and tracking are completely blocked (to fully deGoogle/unGoogle your device or your entire life, if you wish). In addition, the servers will also block ads, online trackers, and known malware sites.
Dat gaat wellicht verder dan je denkt. Google leest al mee met je web push notifications als je Chrome gebruikt (en weet dus wanneer je bijvoorbeeld je bitcoin hebt verkocht op de exchange). Maar wist je ook dat bijna alle push-notificaties op je Android smartphone via Google gaan? Gebruik DeCloudUs Alpha en je krijgt geen WhatsApp notificaties meer. Signal is één van de weinige apps die wel een ingebouwd alternatief heeft voor Google Cloud Messages.

DNS: Je staat er niet bij stil dat je je vrijwillig laat tracken of censureren 🛰️
Oké, DeCloudUs gaat je waarschijnlijk te ver, maar dan hebben we wel een interessant punt te pakken. Eén van de rudimentaire manieren waarop Google je gedrag kan volgen is via hun DNS servers, en veel mensen staan daar niet bij stil. Je Android telefoon gebruikt ze waarschijnlijk standaard: 8.8.8.8 en 8.8.4.4. Elke website die je bezoekt zorgt voor een request voor de domeinnaam bij een DNS server. Je computers gebruiken standaard de DNS van je Internet Service Provider (ISP).

Het laaghangende fruit is natuurlijk om deze meteen aan te passen. En stap dan ook gelijk over op encrypted DNS in de vorm van DNS over TLS (DoT) of DNS over HTTPS (DoH). Doe je dit op je computer, dan is het bijkomend voordeel is dat je ISP dan niet meer kan spioneren (ISP's zijn in Nederland wettelijk verplicht de logs te bewaren) of censureren (het bekendste voorbeeld in Nederland is natuurlijk The Pirate Bay, maar als je in Duitsland woont dan bepaalt de overheid dat je ook geen smakeloze grappen als Electric Retard (NSFW) mag bekijken). Dat is de reden waarom ze niet blij zijn met encrypted DNS.

Vanaf Android 9 of 10 kan je bij instellingen zoeken naar "secure DNS" en dan raad ik aan om daar Quad9 of Cloudflare in te vullen (of iets anders). Gebruik het ook meteen in je browser op je desktop, in je modem, en in je algemene instellingen. Voor Ubuntu Linux is dat bijvoorbeeld in te stellen in /etc/systemd/resolved.conf bij DNS= (space separated). Bijvoorbeeld:

code:
1
2
[Resolve]
DNS=9.9.9.9 149.112.112.112 2620:fe::9 2620:fe::fe


Dan geldt het voor alle verbindingen. Anders wordt de DNS van je modem gebruikt. Vaak verwijst die naar de loggende censuur-DNS van je ISP. Zorg ook dat je die aanpast, zodat alle requests die je gasten op jouw ip-adres doen niet onnodig worden gelogged en geanalyseerd. Dit is low hanging fruit. Maar stel het ook expliciet op je smartphone en laptop in zodat wanneer jij op een andere vaste plek bent (op werk of bij je ouders) je niet als mogelijke boef wordt behandeld.

Getargette advertenties 🏷️
Die liet ik altijd aan staan, of ik koos oprecht voor de opt-in. Als je dan toch advertenties tegen gaat komen in apps of op websites, dan is het toch veel interessanter als een stukje machine learning je helpt producten te ontdekken waarvan je nog niet wist dat ze bestonden? Als het goed werkt is elke advertentie net een nieuwe post uit de "Tweakers Gift Guide" Zo heb ik door een getargette advertentie met korting zo'n prachtige periodieke tabel gekocht van Engineered Labs. Hoe erg is het nu helemaal dat er ergens met je wordt meegedacht?

Welnu, het schijnt dus dat er op den duur wel een heel eng accuraat profiel over je wordt gemaakt met duizenden variabelen. En die kan gebruikt worden om je te manipuleren. De data kan uitlekken of verkocht worden. Denk aan verzekeringsmaatschappijen, politieke partijen of privé-detectives. Ook de Belastingdienst is niet vies van illegaal verkregen materiaal.

Maar laten we het simpel houden en één puntje benoemen waar ik geen rekening mee hield: Adverteerders komen te weten waar je woont, waar je werkt, en waar je zoal graag komt. Sterker nog, iemand met kwade bedoelingen kan je locatie een dagje volgen voor slechts $1000 aan advertentie-tegoed, alleen maar omdat je advertentie targetting aan hebt staan. Zo kan een dief alsnog gebruik maken van het ParkMobile-lek.

Zet dat dus in eerste instantie uit, want het is low hanging fruit.

Android 🤖

Android Location History 📜
Het is heel leuk om die mail te krijgen met zo'n timeline overzicht. Er staat in waar je op vakantie bent geweest, welke steden je hebt bezocht, hoeveel landen je in je Google-tracked leven hebt bezocht. Het is een soort gamification. Maar bedenk je dat jij alleen de locatiegegevens ziet waarvoor je expliciet toestemming voor hebt gegeven om ze in je timeline te gebruiken. Als je locatiegeschiedenis uitschakelt, dan wordt je locatie nog steeds gelogged.

Die vraag wordt je namelijk bij de eerste keer opstarten gevraagd. Of je locatie getracked mag worden zodat andere apps sneller je locatie kunnen bepalen. Maar als je deze ook uischakelt, dan wordt je locatie nog steeds gelogged.

Play Services trackt je namelijk met lage(re) frequentie alsnog, zodat je voor Google apps een snellere positie kunt krijgen. Gelukkig kan je expliciet je locatie/GPS uitschakelen. En als je die uitschakelt… dan wordt je locatie nog steeds gelogged.

Je kan eigenlijk alleen met een soldeerbout je GPS verwijderen. Echter, wordt je locatie nog steeds gelogged via GSM-masten en ge-crowdsource-te locatiegegevens van draadloze netwerken.

Althans, tot voor kort, ze zijn er inmiddels voor aangeklaagd. En hoewel het eigenlijk in 2018 al bekend was, en in 2020 opnieuw, komt er steeds meer informatie boven tafel over het doelbewust verstoppen van privacy-opties die ze wegens de commotie hebben geïntroduceerd. Zeggen ook ex-werknemers.

DeGoogle Android in ieder geval een klein beetje 🤏
Een grondige afweging die je kunt maken is het installeren van een Android-versie compleet zonder google-services. Dan weet je zeker dat er niet getracked wordt. Het is even wennen, het heeft wat scherpe randjes, maar voelt wel rustgevend.

De bekendste privacy-vriendelijk Android-versies zijn /e/os en de speciale LineageOS-build van MicroG. Daarnaast heb je nog minder bekende (en minder breed ondersteunde) Android-versies als CalyxOS, GrapheneOS en CopperheadOS. En als je het rigoureus wilt aanpakken dan gebruik je gewoon een heel ander smartphonesysteem zoals SailfishOS. Maar dat is geen Android, en daardoor wel erg hoog hangend fruit.

Het eerste wat je merkt is dat je geen Google Play Store meer hebt. Dat is even wennen. Vooral als je aankopen hebt gedaan. Je hebt dan geen Google Play store meer, maar waarschijnlijk de F-Droid store die in de standaard-repository alleen open source software aanbiedt.

Ik heb F-Droid (de open source app store) in het verleden nooit echt serieus genomen omdat het er zo lelijk uitziet, maar het is wel een soort pareltje in the rough. Tegenwoordig zoek ik eerst naar een privacyvriendelijke oplossing op F-Droid als ik iets nodig heb. Zelfs als je geen zin hebt om je telefoon te deGooglen, dan is het lucratief om er eens als zuinige Hollander naar te kijken. Neem bijvoorbeeld wat standaard apps om te beginnen:

AppGoogle PlayF-Droid
OsmAnd+€ 19,99Gratis
DAVx⁵€ 4,99Gratis
ICSx⁵€ 1,99Gratis
Simple Calendar€ 0,79Gratis
Simpe Gallery€ 0,79Gratis
TitaniumBackup Pro€ 6,49-
OAndBackupX-Gratis
NextcloudGratisGratis
Nextcloud Notes€ 2,99Gratis
Netxcloud Deck€ 2,99Gratis
Totale besparing€ 41,02


De Play Store geeft vaak vertrouwen, hoewel telkens weer blijkt dat duizenden apps met malafide code gepubliceerd worden. Bij F-Droid bestaat het controlemechanisme voor de meeste apps in de standaard repo uit reproducible builds. Dat wil zeggen: Je kunt zelf verifiëren dat er geen code is geïnjecteerd, of deze controle overlaten aan andere gedreven programmeurs op bijvoorbeeld XDA. Voor externe repo's geldt net als bij Linuxdistributies zoals Ubuntu: Vertrouw je deze uitgever? Dan voeg je de sleutel toe. De toelatingscriteria voor de standaard repo van F-Droid zijn zo streng bekeken dat F-Droid vaak als veiliger alternatief wordt gezien dan de Play Store. Ook Yale Privacy Lab raad mensen aan de Play Store niet langer te gebruiken, maar in plaats daarvan F-Droid te gebruiken.

Wil je je telefoon niet deGooglen? Zet dan sowieso location activity en app activity uit. Zet get location in background uit. Zet wifi background scanning en bluetooth background scanning uit. Gebruik geen Chrome, maar bijvoorbeeld Brave of Firefox. Gebruik een andere DNS. Zet Sync met Google account uit. Sync niet langer je contacten en kalender. Gebruik daarvoor je eigen cloud op je NAS, of een bestaande cloud. De bekendste oplossing die contacten en kalenders ondersteunt is Nextcloud.

Big tech in de EU 🇪🇺
Tijd voor een kleine noot: Europa heeft al een poosje de mond vol van het gebrek aan Europese initiatieven en alternatieven voor big tech. Maar dan komt er een Europese variant van een mobiel besturingssysteem: Sailfish OS. En dan hoor je er niets over. Geef ze geld, marketing, koop dat systeem en maak er een Europabreed AOSP-achtig project van denk ik dan. Komt hier niet echt van de grond.
Maar ik begrijp dat Rusland er groot op inzet, en over 10 jaar 50% van de markt op Sailfish OS wil hebben. (Of eigenlijk Aurora OS, een aangepaste versie ervan.) In Azië zetten ze er ook groter op in. Niet in de minste plaats Huawei, die geen gebruik van Google services meer mag gebruiken.

Gemiste kans, naar mijn mening. Kansen die ook werden gemist bij de verkoop van Opera aan China. (Hoewel Noorwegen niet in de EU zit, is het wel onderdeel van de EVA, de EER en de Schengenruimte.) Of andere open source systemen die in de verkoop gingen.

Je moet dat spul in Europa houden, en dat mag best wat kosten. Anders krijgen we van die veel duurdere stuiptrekkingen van de EU die - wanneer het te laat is - opeens een aanbesteding gaat doen om een systeem geforceerd en passieloos vanaf de grond op te bouwen.

Ik ga echt niet met Gmail stoppen 🤡

Gmail is vet handig en al zou je er mee willen stoppen: als je het al jaren gebruikt is dat erg lastig. Maar je zou het wel iets minder makkelijk kunnen maken om nieuwe profielmodellen te kunnen trainen op 15 jaar communicatiegeschiedenis. Ga er een keer een uurtje voor zitten om zoveel mogelijk troep te verwijderen. Van gesprekken die je echt niet meer boeien tot waar je je eten bestelt.

En dan, als alles schoon is, ga vanaf dan voortaan gewoon eens standaard op "verwijderen" in plaats van "archiveren" drukken als je een mail of notificatie hebt gelezen. Dat is wel erg laaghangend fruit. Als de staat dan je mailbox binnen hackt omdat je toevallig als collateral damage in sleepnet-data voorkomt, dan kunnen ze slechts één maand terugkijken in je prullenbak, in plaats van 15 jaar om je vervolgens op iets irrelevants te betrappen.

Wil je iets verder gaan, dan kan je eens denken aan een (langdurige) transitie naar een ander email adres, niet bij Google. Bij voorkeur een partij die geld verdient met het upsellen van producten, niet met het verkopen van jouw privacy. ProtonMail, bekend van Edward Snowden en Mr. Robot, is bijvoorbeeld erg netjes. Of als je graag een aantal eigen domeinen van email wilt voorzien, dan is Zoho Mail een interessante optie.

Pretty Good Privacy 😶
Wil je de kers op de taart, dan kan je PGP gaan gebruiken en al je contactpersonen aansporen om het ook te gaan doen. Dan kan echt niemand meer profileren of meelezen.

Ik vraag al 15 jaar lang eens in de zoveel tijd of de Belastingdienst, De IB-Groep, DUO, de bank, de verzekering en vast nog wel meer, niet eens optionele PGP kunnen gaan invoeren. Dat zou betekenen dat ik mijn post gewoon in mijn postvak krijg, in plaats van dat ze me allemaal vertellen dat ik mijn post bij hun kan gaan komen ophalen. Ik bedoel, dat is toch de wereld op de kop, als iedereen zijn eigen postbode moet spelen? Het antwoord is al 15 jaar lang - ook hier op Tweakers overigens - "dat is veel te ingewikkeld en gaat nooit gebeuren."

Maar dat is gewoon geïnstitutionaliseerde prietpraat. Ik ken mensen die hun eigen badkamer tegelen. Brommer repareren. Toilet ontstoppen. Huis schilderen. Schuren. Grondverf. Acryllak. Hoe weten ze dat allemaal? Maakt niet uit. PGP zet je op in 60 seconden. Dat is makkelijker dan een Gmail account aanmaken! Natuurlijk heb je ook mensen die meteen een loodgieter bellen als hun wasbak of toilet verstopt zit. Maar de argumenten voor het niet aanbieden van een optie voor het ontvangen van PGP-beveiligde post is in feite identiek aan dat winkels je geen rode ontstopper met houten stok willen verkopen omdat het ontstoppen te ingewikkeld zou zijn. Bel maar een loodgieter. Haal je post maar op bij ons. Wij hebben nog nooit een datalek gehad en dat gaat ook nooit gebeuren.

Iedereen kan PGP gebruiken ☝️
De makkelijkste en bekendste PGP-implementatie zit natuurlijk in ProtonMail. En hoewel ProtonMail om heel veel redenen sowieso een goed alternatief is voor Gmail, hoef je niet per se over te stappen om het te gebruiken. Zo heb je natuurlijk het makkelijke FlowCrypt voor Gmail. Of het klassieke Mailvelope, welke naast Gmail ook Outlook Live, Yahoo, Zoho Mail, Mailbox.org, Posteo en nog wat onbekendere webmail providers ondersteunt.

Iedereen maakt een afweging tussen veiligheid en gemak. Persoonlijk vind ik webmail wel prima. Maar het veiligste is om je sleutels gewoon lokaal te houden en een email client op je computer te gebruiken. Met bijvoorbeeld Thunderbird Enigmail kan je elke (bij voorkeur IMAPS) mailserver gebruiken. Vroeger deden we dat allemaal, zo'n client configureren. En het was nog meer werk dan PGP gebruiken. Nogmaals, iedereen kan PGP gebruiken.

Gebruik géén VPN 🤠

Een populaire optie is een VPN. Zelf zie ik hier niet zoveel waarde in. Daar zit je dan met zo'n 500/500 of 1000/1000 mbit verbinding die in toenemende mate de laatste 10 jaar gemeengoed worden. Zet je de VPN aan, en dan heb je opeens 15/15 mbit. Ik heb verschillende providers geprobeerd, het is altijd het zelfde liedje: In het begin is het nog 50/50 of een andere redelijk snelle variant die je met gepaste tegenzin acceptabel vind. En tegen de tijd dat genoeg mensen hun maand-abonnement om het te proberen omzetten naar een jaar- tweejarig- of lifetime-abonnement, dan gaat het opeens bergafwaarts. Ik heb nog een betaald account liggen die gewoon wegens de timeouts onbruikbaar is, maar veelbelovend begon.

Dat vind ik allemaal niet de moeite waard. Want wat los je nu helemaal op? Het enige wat een VPN doet is je ip-adres geheim houden zodat het niet voorkomt in de logs van andere webservers. En je weet niet wat je daarvoor opgeeft, want een VPN-provider is een black box. En je ip-adres is in toenemende mate irrelevant.

Zelfs als je idealistische of religieuze overwegingen hebt die in strijd zijn met de wet, en je merkt dat je met een VPN geen dreigbrieven meer ontvangt die je sommeren te stoppen met het uitvoeren van deze religie, dan vermoed ik dat dit slechts uitstel is van executie. Want mensen zonder VPN zijn voor opsporingsdiensten van de copyright-politie op dit moment low-hanging-fruit. En als dat wegens de immense populariteit van VPNs op is, dan wordt snel duidelijk hoeveel waarde een VPN heeft.

Er is een tsunami aan instanties die email niet begrijpen

Door Redsandro op donderdag 26 november 2015 02:25 - Reacties (27)
Categorie: Beveiliging, Views: 10.417

Er is een tsunami aan instanties die email niet begrijpen

De blauwe envelop verdwijnt. En zo sluit ook de Belastingdienst zich aan bij het revolutionair nieuwe idee om geadresseerden zèlf hun post bij alle individuele afzenders te laten ophalen. In deze digitale tijd wordt alles maar steeds makkelijker, en daar heeft gewoon niet iedereen zin in.

Dus of je voortaan zelf even een rondje afzenders wil doen. Overal individueel inloggen. En uiteraard om veiligheidsoverwegingen niet het zelfde wachtwoord gebruiken.
  • ING bank
  • DUO / IB-Groep
  • Rijksoverheid / Mijn Overheid
  • Belastingdienst
Bij deze en steeds meer instanties krijg je een bericht dat je moet inloggen om een bericht op te halen. Bij de ING bank wordt je zelfs aangeraden om regelmatig in te loggen:

https://pbs.twimg.com/media/CSlfJomWIAAHdvU.png:large

Bij mijn.overheid.nl kan je na het inloggen wel alsnog kiezen om een bericht naar je email adres door te sturen.

Maar waarom zo moeilijk? Het meest gehoorde argument is "om een veilige omgeving af te dwingen". Maar kunnen we niet zelf bepalen of we ons email adres als veilig beschouwen? Helemaal voorin de tuin staat een plastic bakje (AKA brievenbus) die ik daar zelf heb neergezet, en daar worden ook gewoon blauwe enveloppen in gestopt. Is het niet mijn eigen verantwoordelijkheid om mijn inbox veilig te behandelen?

Ik vind het niet meer dan logisch dat we na eenmalig inloggen de optie moeten hebben om ons mailadres als veilig aan te merken, waarbij we accoord gaan met bepaalde voorwaarden (die toch niemand leest) waarin we verklaren zelf schuldig te zijn aan het eventuele uitlekken van correspondentie waardoor de hele wereld weet dat ik een nieuw rijbewijs moet ophalen en huurtoeslag moet terugbetalen.

Wel snap ik dat deze instellingen het Nederlandse volk te dom achten om hun eigen email veilig te houden maar dat niet kunnen zeggen. Daarom vind ik dat (overheids)instellingen die papieren post willen vervangen door digitale post verplicht moeten zijn om gebruikers de optie aan te bieden om een public GPG key te uploaden, waarmee ze digitale post alsnog kunnen ontvangen in plaats van apart bij elke instelling te moeten ophalen. En dus de opt-in optie moet hebben om mijn berichten te kunnen ontvangen, niet zelf te moeten ophalen.
Heeft de Belastingdienst in een brief aan u verteld dat u post van de Belastingdienst voortaan uitsluitend digitaal kunt ontvangen? En bent u daar niet tevreden over? Dan kunt u met de Nationale ombudsman bellen over uw individuele zaak: 0800 - 33 55 555 (gratis). Wij zullen uw klacht als signaal meenemen in ons onderzoek. Wij zullen uw klacht gebruiken als achtergrondinformatie voor ons grote onderzoek.
Als we nu allemaal even bellen, en melden dat we vinden dat het vervangen van papieren berichten een achteruitgang is tenzij we berichten kunnen ontvangen in plaats van ophalen nadat we een PGP key hebben opgegeven, dan krijgen we misschien een 21e eeuwse variant van deze digitalisering.

Ik heb vanaf begin 2008 met verschillende mate's van beleefd- en volwassenheid al aan DUO (toen nog IB-Groep) aangedrongen op het versturen van post per mail. Als ik netjes bleef dan kreeg ik de reactie "er wordt aan gewerkt." Zoethoudertje dus.




En dan nu, voor jullie entertainment, een blogje van mij uit 2008 toen mijn manier van communiceren nog wat minder gewenst was. (Halverwege raak ik geïrriteerd.)

Sic @ alles.


Onhandigheden en ambtenarij van de IB-Groep

Een dik jaar geleden oid bood de IB-Groep haar 'klanten' aan post digitaal te ontvangen. Gaaf! Iets handigs!

Helaas. Deze post blijk je niet te ontvangen, maar je krijgt een link naar je post op de IBG website. Moet je weer met die DigiD van de overheid, je weet wel, dat ding die je elke maand opnieuw aanvraagt, inloggen en op de vaak trage site navigeren naar je post om een PDF te openen die je liever als mail bijlage had.

Als dan ook na het inloggen de post niet gelezen kan worden is er sprake van genoeg irritatie om eens aan zo'n belangijke monopolistische organisatie te vragen: "Hey, vind je dat normaal?"

from: IB Groep <vragen@ib-groep.nl>
to: Redsandro
date: Tue, May 20, 2008 at 2:15 PM
subject: nieuw(e) Bericht(en)


Beste Mijn IB-Groep gebruiker,

Er staat een nieuw Bericht voor je klaar in Mijn IB-Groep. Het Bericht vind je onder het tabblad Post bij "Mijn gegevens". Klik hier om in te loggen.

Namens de hoofddirectie,

Directeur Klantenservice

Dit bericht is automatisch aangemaakt en daarom niet ondertekend.
Lang vol onbegrip lopen klooien op die website, maar bij post stond echt alleen de titel van het bericht, als tekst. Geen link. Niet mogelijk om het te bekijken.
Dus ik stuur een mail naar IB-Groep.

from: Redsandro
to: <webmaster@ib-groep.nl>
date: Tue, May 20, 2008 at 2:46 PM
subject: Suggestie mbt nieuwe email-post service


Sinds kort is er de mogelijkheid om IB-groep brieven per email in plaats van per post te ontvangen. Dat is erg handig dus ik schakelde deze mogelijkheid meteen in. Maar wat blijkt, je krijgt een mail waarin staat dat je in moet loggen op ib-groep.nl om daar het een en ander aan te klikken om je bericht te lezen.

Ook is er helemaal geen document te zien, er staat "De documenten in het archief kunnen momenteel niet worden geraadpleegd," waarom niet? Iets meer informatie in de tekst zou mooi zijn. (Iedere keer staat er trouwens een andere VBscript error. Niet zo netjes om online te debuggen!)

Sites als Hyves en Myspace sturen mailtjes met de tekst "log in om je bericht te lezen" zodat je gedwongen inlogt, reclame leest, en meewerkt aan de populariteit. Maar daar is bij ib-groep.nl toch helemaal geen sprake van?

Ik stel voor om de post gewoon letterlijk via de email te sturen als de gebruiker deze optie aanvinkt. Bij voorkeur in de vorm van een .pdf attachment voor persoonlijke archiefdoeleinden. Als *extra* service kan je ze ook onder 'post' op ib-groep.nl laten staan, maar nu is er weer een 'omslachtiger dan nodig dienst' ontstaan.

(Dit is een goed bedoelde brief met suggesties van een IB-groep fan!)

Groeten,

~Redsandro
Slechts een uur later (zoals het hoort);

from: Webmaster <webmaster@ib-groep.nl>
to: Redsandro
date: Tue, May 20, 2008 at 3:39 PM
subject: Re: Suggestie mbt nieuwe email-post service


Beste Redsandro,

Bedankt voor je reactie. De gedachte achter het beschikbaar stellen van berichten via Mijn IB-Groep is dat ze in een beveiligde omgeving worden aangeboden, want je wilt niet dat iemand anders je post leest toch? Die kans is groter als je via een onbeveiligde link je berichten toegestuurd krijgt via e-mail. En wees gerust: de IB-Groep zal nooit zo commercieel worden als Hyves of MySpace en reclame aanbieden binnen Mijn IB-Groep.

De beveiliging die achter Mijn IB-Groep zit is dus de reden om berichten op deze manier aan te bieden.

Met vriendelijke groet,

René Glade

Helpdesk Mijn IB-Groep

from: Redsandro
to: Webmaster <webmaster@ib-groep.nl>
date: Tue, May 20, 2008 at 4:30 PM
subject: Re: Suggestie mbt nieuwe email-post service


Dag René,

Bedankt voor het snelle antwoord.

Het privé houden van email is een verantwoordelijkheid van de gebruiker zelf. Volgens mij is mail veiliger dan post (die geregeld door mijn huisgenoten (perongeluk) wordt geopend). Ik krijg ook financiele invoices van bijvoorbeeld webhosts, wachtwoorden en activatielinks van sites en dat soort dingen in mijn mail omdat mail privé en veilig is. Mits gebruikt met gezond verstand natuurlijk - net als de voordeur met brievenbus.

Daarom denk ik dat (evt. optioneel) een pdfje (attachment natuurlijk, geen onveilige link) in de mail een blije aanwinst zal zijn!

Vriendelijke groet,

~Redsandro
Verder geen antwoord. Dat dan weer niet.

from: IB Groep <nieuwsbrief@ib-groep.nl>
reply-to: IB Groep <vragen@ib-groep.nl>
to: Redsandro
date: Fri, Sep 12, 2008 at 12:17 PM
subject: nieuw(e) Bericht(en)


Beste Mijn IB-Groep gebruiker,

Er staat een nieuw Bericht voor je klaar in Mijn IB-Groep. Het Bericht vind je onder het tabblad Post bij "Mijn gegevens". Klik hier om in te loggen. Voor een toelichting op het Bericht klik hier.

Namens de hoofddirectie,

Directeur Klantenservice

Dit bericht is automatisch aangemaakt en daarom niet ondertekend.
Vervelend traag die site, 5 minuten weggegooit. Kan post niet openen.

from: IB Groep <nieuwsbrief@ib-groep.nl>
reply-to: IB Groep <vragen@ib-groep.nl>
to: Redsandro
date: Mon, Oct 20, 2008 at 1:45 PM
subject: nieuw Bericht 2009


Beste Mijn IB-Groep gebruiker,

Er staat een nieuw Bericht voor je klaar in Mijn IB-Groep. Op dit Bericht zie je hoeveel studiefinanciering je krijgt in 2009. Het Bericht vind je onder het tabblad Post bij "Mijn gegevens". Meer informatie over studiefinanciering in 2009 vind je in de nieuwsbrief.

Klik hier om in te loggen op Mijn IB-Groep. Voor een toelichting op het Bericht klik hier.

Namens de hoofddirectie,

Directeur Klantenservice.
Oeh, nu is de mail niet automatisch gemaakt? Anyway klinkt belangrijk. Nog eens proberen.

Nee, kan mijn post niet openen.

from: IB Groep <nieuwsbrief@ib-groep.nl>
reply-to: IB Groep <vragen@ib-groep.nl>
to: Redsandro
date: Mon, Nov 17, 2008 at 12:00 PM
subject: nieuw(e) Bericht(en)


Beste Mijn IB-Groep gebruiker,

Er staan 1 of meerdere nieuwe Berichten voor je klaar in Mijn IB-Groep. Het Bericht vind je onder het tabblad Post bij "Mijn gegevens". Klik hier om in te loggen. Voor een toelichting op het Bericht klik hier.

Het Bericht in Mijn IB-Groep met een dagtekening 18-10-2008 en/of 24-10-2008 heeft een datum van 8 november 2008 op het Bericht.

Namens de hoofddirectie,

Directeur Klantenservice

Dit bericht is automatisch aangemaakt en daarom niet ondertekend.
Bedankt voor de herinnering. Zouden ze dan hun post bekijk mogelijkheid hebben gefixt?

Nee. Ik kan alleen de titels lezen van de post. Niets openen.

Nog een mail naar IB-Groep:

from: Redsandro
to: Websubmit <vragen@ib-groep.nl>
date: Mon, Nov 17, 2008 at 12:23 PM
subject: E-service IQ - "Er staat een nieuw Bericht voor je klaar"


Vraag: Er staat een nieuw bericht voor me klaar. Volg ik de instructies in de mail, dan staat onder het tabje post mooi het nieuwe bericht, maar ik kan er niet op klikken om het te "openen". Dat leest dus een beetje lastig..

~Redsandro
Een week later...

from: IB-Groep <vragen@ib-groep.nl>
to: Redsandro
date: Thu, Oct 23, 2008 at 9:32 AM
subject: Re: E-service IQ - "Er staat een nieuw Bericht voor je klaar"


Beste Redsandro,

Via de optie "Instellingen Mijn IB-Groep" kun je aangeven of je de berichtyen digitaal wilt ontvangen. Als je dit niet wilt, dan zie wel bij het kopje "Post" dat er een bericht naar je wordt gestuurd, maar zul je moeten wachten totdat je dit per post ontvangt.

Het laatste bericht gaat over jouw recht op studiefinanciering in 2009. Dit bericht wordt naar alle studenten verstuurd die recht hebben op studiefinanciering in 2009. Hierdoor gaat het om vele tienduizenden berichten. Het kan daardoor tot begin november duren voordat alle berichten, die per post worden verstuurd, zijn ontvangen.

Met vriendelijke groet,

Chris Kuggeleijn

Medewerker Klantenservice
www.ib-groep.nl
Okay, whatever. Half november probeer ik het opnieuw. Ik kan nog steeds niets lezen. Ook oudere berichten niet hè.

from: Redsandro
to: IB-Groep <vragen@ib-groep.nl>
date: Mon, Nov 17, 2008 at 1:35 PM
subject: Re: E-service IQ - "Er staat een nieuw Bericht voor je klaar"


Het is inmiddels half November geweest en ik kan nog steeds niets van mijn post lezen. Inmiddels heb ik nieuwe onleesbare post. Ik wordt er nu echt brak van. Hoe onhandig kan je iets maken?

De vervelende site met nutteloze javascript alerts die al irritant waren in 1995 is bovendien - God mag weten waarom - zo langzaam dat ik er met mijn T1 superverbinding gewoon 3 minuten (!!!) over deed om alleen de TITELS van mijn post te zien. En nog steeds kan ik mijn post niet lezen.

Stuur gewoon verdorie die brieven naar mijn mailbox als pdf attachment, zoals ik dacht dat jullie zouden doen toen ik vrijwillig koos om mijn post digitaal te ONTVANGEN (en niet een linkje ernaartoe). Een half jaar geleden kreeg ik als antwoord dat de veilige omgeving van de IB website voorkomt dat andere mensen mijn post lezen. Maar ik hoef toch voor mijn papieren post ook niet naar jullie hoofdkantoor te komen? Het persoonlijk houden van een mailbox is net zo goed mijn eigen verantwoordelijkheid als het persoonlijk houden van mijn voordeur/brievenbus/deurmat. Als ik dat niet denk te kunnen, dan zou ik die optie niet activeren.

Serieus, op zijn minst de OPTIE om post te ontvangen in plaats van linkjes naar die nare site zou het leven makkelijker maken. Dan kunnen baklappen nog fijn veilig inloggen, en dan kan de gewone man de post ontvangen waar het hoort, in de mailbox.

En haal alsjeblieft die alerts van de site. Al is het alleen maar om er professioneel uit te zien, of mensen met RSI niet onnodig te dissen.

Groeten,

~Redsandro
Twee weken later..

from: IB-Groep <vragen@ib-groep.nl>
to: Redsandro
date: Fri, Nov 28, 2008 at 9:37 AM
subject: Re: E-service IQ - "Er staat een nieuw Bericht voor je klaar"


Beste Redsandro,

In Mijn IB-groep staat duidelijk beschreven welke functionaliteit wij bieden. Het is jammer dat dit niet overeenkomt met wat jij graag zou willen zien. Wij zijn constant bezig met verbeteringen en nieuwe zaken digitaal aan te bieden. En gelukkig kunnen de meeste gebruikers van Mijn IB-groep dit ook zeer waarderen. Je bent vrij in de keuze digitaal of papier. Indien je je niet kunt vinden in de digitale manier waarop wij berichten aan bieden, dan kun je het beste je keuze veranderen.

Gezien ook de manier van jou communiceren lijkt het me verstandig om eventuele discussie hierbij te beindigen.

Met vriendelijke groet,

Steven Doornbos

Helpdesk Mijn IB-Groep

www.ib-groep.nl

----------------------------

Om te blijven verbeteren, onderzoeken we voortdurend onze eigen dienstverlening. Jouw mening is daarbij voor ons erg belangrijk. Daarom nodigen we je uit om via de webenquête ons te laten weten wat je van de mailafhandeling van de IB-Groep vindt. Het invullen kost je ongeveer vijf minuten.
Lol @ enquete. Anyway, blablabla.

Ben toch wel benieuwd welke IBG post ik dit hele jaar niet heb kunnen lezen dus ik probeer het nog eens. En wat blijkt? De titels zijn linkjes geworden!! Eindelijk. Verder wel een traag omslachtig kutsysteem maar dat had ik al duidelijk gemaakt.

from: Redsandro
to: IB-Groep <vragen@ib-groep.nl>
date: Fri, Nov 28, 2008 at 3:45 PM
subject: Re: E-service IQ - "Er staat een nieuw Bericht voor je klaar"


Dag IB-Groep,

Excuses dat mijn manier van communiceren niet bevalt. Jammer dat mijn punten niet serieus genomen worden, maar ik moet bekennen dat de irritatie wordt aangewakkerd door het feit dat jullie mij in een jaar tijd niet goed hebben kunnen vertellen wat het probleem was met de onleesbare post.

Inmiddels zie ik dat het werkt. Dat had je er ook bij kunnen melden:
----
Beste Redsandro,
De mail is niet bedoeld voor functionele wensen, dus dat deel van je communiceren is irrelevant.
Wel hebben we eindelijk de postleesfunctie hersteld. Excuses dat dit een jaar heeft moeten duren.
----
Bedankt in ieder geval.

Groeten,

~Redsandro
Dat zij zo omslachtig doen en niet correspondentie associëren met persoonsgegevens om een geheel van communicatie te zien, daar ga ik niet over. Maar los daarvan; bah.

Maar niets persoonlijks hoor.




lol @ hyves en myspace. 8-)

De OV-Shitkaart

Door Redsandro op donderdag 27 januari 2011 05:36 - Reacties (34)
Categorie: Beveiliging, Views: 5.014

Haha! :D Eindelijk komt er uitstel van de OV-Chipkaart nu is gebleken dat je niet langer hoeft te verdienen als een politicus om je 'een laboratorium' te kunnen veroorloven waarin de kindersurprise beveiliging te kraken is! 8)7

Althans dat zeiden ze gister op het nieuws. Vandaag zijn er alweer andere berichten. :O

Verstandig Nederland pist al 4 jaar over die kaart heen, maar nee zolang we geen pak aan hebben telt ons collectief inzicht niet mee. Woorden doen geen pijn. Pas als aantoonbaar door Jan met de pet zonder geld en 30 euro gefraudeerd kan worden op een manier waarbij - net als een piratebay hier en een Cd winkel daar - frauderen haast nog makkelijker is dan je te houden aan een faalsysteem, DAN krijgen een aantal losers in pak pas jeuk.

Even een kleine recap van de geschiedenis:

1993: Er wordt bekend gemaakt dat aan de invoering van een chipkaart zal gaan worden gewerkt.
2004: Elf jaar later (!!) besluiten ze het eens te gaan testen.
2005: De eerste officiële introductie vindt plaats (in regio Rotterdam).
2006: Eerste [url=problemen]problemen[/url] met de testkaart komen aan het licht.
2008: De huidige kaart is gekraakt door Zie Jermans en de UvA.
2008: Even later hackt (een student aan) de Radboud Universiteit de OV-Chipkaart met nog minder moeite; publicatie proefschrift wordt door TLS tegengehouden.
2008: TLS zegt: "OV-Chipkaart kraken loont niet. Anders waren we er al mee gestopt."
2009: Er zijn constant verschillende bronnen die met goedkopere hardware de hack voltooien.
2010: Landelijke invoering.
2010: De OV-Chipkaart opent ondergrondse afvalcontainers.
2011: De kaart is voor 30 euro te hacken door Jan met de pet.
2011: "We voeren de chipkaart gewoon in."

Sinds 2007 wordt elke stap en uitspraak van TLS uitgelachen door verstandig Nederland. Want dit zat er natuurlijk lang en breed aan te komen, maar de pakjesloser had uiteraard niet verwacht dat dit zo snel zou gebeuren.

De truuk is namelijk om met zijn allen net zo lang te bagatelliseren, lobbyen en afspraken te maken met mensen die er het minst verstand van hebben, totdat al die losers hun bonussen kunnen opstrijken en verkassen naar een andere baan of positie zonder dat er ooit iemand verantwoordelijk voor is.

Hier een aantal bekende zoethoudertjes:

Pakjesloser praatje:
Je hoeft geen kaartje meer te kopen, vet makkelijk gewoon de bus/tram/trein inlopen yeay!

Praktijk:
• Als je niet de fraudegevoeligheid aan je bankrekening wenst te koppelen en je locatie- en privégegevens niet wenst weg te geven, kan je het huidige saldo alleen schatten. Daarom moet je alsnog langs de kaartautomaat om dit te checken.
• Wil je overstappen op een internationale trein? Dan moet je eerst naar de ingang van het station lopen om uit te checken. Wordt nog lachen als er poortjes op het station zijn.

Pakjesloser praatje:
Onbezorgd met je gezin tripjes maken onafhankelijk van de verschillende vervoerders!

Praktijk:
• Ga eens met je drie kinderen van 5, 6 en 7 naar je oma op bezoek, en je moet verplicht 4 ov-chipkaarten à €7,50 per stuk met €20 instaptarief per stuk hebben. Lachen voor mensen die bijna nooit met openbaar vervoer gaan.

Pakjesloser praatje:
De tarieven voor een enkele reis zijn aangepast, waardoor de chipkaart nu niet langer duurder is dan een kaartje!

Praktijk:
• Groepskortingen zijn niet meer mogelijk, reizen is duurder.
• Verschillende Tweakers melden dat ze zonder de 'binnen een uur' regel voor stelselmatige tripjes meer dan 200% van het 'oude' bedrag kwijt zijn.
• Veel meldingen van inchecken zonder problemen, uitchecken out of order, €20/€15/€10/€4 instaptarief kwijt.
• Het terugclaimen van gestolen geld bij defecte aparatuur of foutief genoteerde ritten is ingewikkeld en tijdsrovend. Bellen met niet nederlands sprekende mensen en kastje naar de muur taferelen. Als het om €10 of minder gaat kan je beter accepteren dat er ergens een pakjesloser een extra mooie vakantie van heeft om vroegtijdig grijze haren te voorkomen.
• Even op een (trein)tussenstation uitstappen om met de bus naar Henkie te gaan zit er niet meer bij: Je kan de bus niet in zonder bij de NS uit te checken. Doe je dit wel dan is reizen duurder.
• Kaart stuk? Nieuwe kopen à €7,50 - Saldo kwijt. Nieuwe kaart? Saldo overzetten à €2,50.
• NS Kortingskaart? Je kunt niet langer om 8u50 instappen en een apart kortingskaartje voor het traject vanaf 9u00 kopen. Reizen is duurder.

Het openbaar vervoer is typisch Nederlands niet alleen één van de duurste in heel Europa, het is ook nog eens zo duur terwijl het grootste deel al door de overheid (jij dus) wordt betaald. Van de 4 miljard aan kosten per jaar betaalt de reiziger ongeveer anderhalf. Met andere woorden: In plaats van dit 3 miljard kostende faalproject die, als het niet afgeschaft gaat worden in ieder geval nog veel meer zal gaan kosten, hadden we ook al twee jaar gratis openbaar vervoer kunnen hebben.

En dan zo'n TLS-loser op het nieuws: "Ja da's mooi kut, maar de gewone reiziger zal niet voor de kosten opdraaien."
Nee inderdaad, alle nodige reparaties worden gesubsidieerd door de overheid, jij dus. Of wat specifieker, de langstudeerder, zoals het er naar uitziet.

Maak dat OV toch goedkoper. Ik zie een parallel met de muziekindustrie. Blijf op zijn minst een beetje in de buurt van wat Jan met de pet wil. Linksom of rechtsom; nu is het OV toch gratis. Voor het zelfde geld had het al twee jaar gratis kunnen zijn, en voor de herstel- of terugrolkosten kunnen we weer een jaar gratis met het OV. Ik vind het een sprekende grap dat ik voor €25 de 200 kilometer naar Utrecht met de trein kan afleggen, om vervolgens voor €35 de 900 kilometer naar Praag doe. Haha het is een terugkerende zomeraanbieding, gemene vergelijking he.

Misschien als er een Chineze bron kaartlezers en -schrijvers aangeboord wordt die voor een paar euro per stuk over de toonbank van ebay komen, misschien als er massaal gefraudeert wordt, misschien dan dat er eindelijk eens koppen van pakjeslosers gaan rollen. Ik zou het wel humor vinden. Want zo leren we op school ook niet met verantwoordelijkheden om te gaan. De enige plek waar je met een grote mond je bullshit er door kunt drukken is de kunstacademie. (Ja, jaartje AKI gedaan)