De nieuwe eID draad

[Morduk]

Citaat:

Oorspronkelijk geplaatst door monza

Ik ben het eens met u dat de schotten tussen verschillende informatie stromen niet mogen verdwijnen. Maar een eID doet dat ook niet. De informatie op een eID is niet verschillend als die op een huidige niet electronische versie. Men mag ook niet meer informatie op zo'n dingentje zetten.

1. De informatie op die eID komt ergens van. De chip mag dan wel gesegmenteerd zijn wat betreft de brokken informatie die erop staan, het is een emanatie van een groter geheel. Maar da's een andere discussie.

2. Tenzij het parlement terug tekenen begint te vertonen van daadwerkelijke onafhankelijkheid, vind ik de parlementaire controle ontoereikend.

[brother paul]

Citaat:

Oorspronkelijk geplaatst door monza

Ik weet niet hoe makkelijk/moeilijk het was om een oude identiteitskaart te vervalsen.
Als u heeft over paspoorten die werken met RFID wat nooit had mogen gebruikt voor paspoort identificatie.
De eID identificatie zou enkel mogen na het ingeven van een PIN code. Op die manier heb ik 2 factors nodig voor mij te identificeren, iets wat ik weet en iets wat ik heb.
Het kraken van eID of digipass is niet nodig om een ebanking systeem te omzeilen, via phishing en keyloggers/trojans heeft men al aangetoond dat de user alsnog zijn geld kan kwijt zijn.

Wat jij suggereert is dat een rijksnummer op zichzelf al een waardevolg gegeven is ???

Ik steel een portefeuille, en krijg uw rijksnummer op de siskaart in mijn handen ... kan ik daarme iets doen ??? Nee toch

Ik GENEREER op basis van datum, random rijksnummers.... ik heb 100% kans om bestaande rijksnummes te vinden... gezien de structuur en de logica van het rijksnummer... Kan ik daarmee iets doen ???

Nee...

Dus een RFID kaart die uw rijksnummer publiceert, kan dus volgens u gebruikt worden om identity theft te doen. Gewoon het kaartje namaken, en alle rekening worden betaald op de naagemaakte zijn naam ???

Ale jongen get real, zo gemakkelijk maak je dat toch allemaal niet.

[brother paul]

Citaat:

Oorspronkelijk geplaatst door monza

Ja de verklaring van u is er geen privacy gevaar maar wel een gevaar dat legitieme sites worden geblokkeerd zonder enige reden.
Verder hoeft u niet beginnen schelden, het is niet omdat u het niet verstaat dat het daarom fout is.

ik versta uw probleem ook van blokkeren van legitieme sites, maar het een kan erger zijn dan het ander. Die russische sites zijn nogal gemakkelijk te herkennen hoor, ze hebben bvb geen hostnaam, maar gewoon een ip-adres

[monza]

Vroeger stond er op je paspoort geen rijksregister nummer. Dus RFID en rijksregister nummer niet door elkaar mixen, u behandelt 2 totaal verschillende reacties als 1.
EN ja uw rijksregisternummer zorgt voor de correlatie tussen de verschillende databanken. In samenhang met uw naam en adres kan men daar al iets mee doen.

[brother paul]

Citaat:

Oorspronkelijk geplaatst door Morduk

Phishing & spoofing hé....

Effe gegoogled,

Uit de tijd van 15/02/2008



En je moet blijkbaar niet eens meer schermen en websites namaken.

Van ZDnet 15/12/2008




Wel, ik ken iemand die dit heeft voorgehad. Hij dacht dat de sessie te lang inactief was gebleven en daarom terug moest inloggen.

Maar ja, de bank vergoedt je wel direct achteraf. Tegen de overheid kun je een paar jaar gaan procederen.

Dus 36 mensen het slachtoffer op 2miljoen. En dat is de grote reden om dan te claimen dat internetvoting of eID onveilig zijn... IK denk dat er via het huidige papieren stemsysteem 1000keer meer fouten gemaakt worden dan die 36 mogelijke fraudegevallen. Dus daar eens iets mee.

[Morduk]

Citaat:

Oorspronkelijk geplaatst door brother paul

Dus 36 mensen het slachtoffer op 2miljoen. En dat is de grote reden om dan te claimen dat internetvoting of eID onveilig zijn... IK denk dat er via het huidige papieren stemsysteem 1000keer meer fouten gemaakt worden dan die 36 mogelijke fraudegevallen. Dus daar eens iets mee.

36/2.000.000, vanwaar komt dat?

Trouwens....da's:
- internetpolls
- eID
- online banking
- electronisch stemmen
bij elkaar in 4 zinnen. Terwijl ik het over 2 daarvan nog niet eens gehad heb.

De hackers worden niet alleen slimmer, men vergroot het aantal hackingsmogelijkheden. Dan kom je er ook niet mee iemand zich vragen stelt over veiligheid en controle af te schilderen als technologisch paranoïden.

[Fallen Angel]

Citaat:

Oorspronkelijk geplaatst door Morduk

4) Dan komt natuurlijk nog bovenop: er zal met firma's moeten gewerkt worden om deze toepassingen verder te ontwikkelen en te updaten. Dan is er grote angst die mij overvalt als de overheid informatica-opdrachten moet gaan uitbesteden. De goedkoopste lul-de-behanger gaat het contract krijgen. En dat gekoppeld aan de hedendaagse politieke arrogantie om ongeïnformeerd te beslissen over technische kwesties.
Bill Gates b.v. is al zeer geïnteresseerd. Ik word wel degelijk ongerust als een megabedrijf zoals Microsoft samen met de Belgische overheid 'samen aan de eID' gaan werken. Dat'em es een fatsoenlijke computer in elkaar steekt verdorie, in plaats van de overheid proberen in je computer in te bouwen

Privé bedrijven trekken zich niets aan van burgers. Zij zijn enkel geïnteresseerd in geld, VEEL geld.
Voorbeeldje uit de VS omtrent flitscamera's die enkel dienen om Lockheed Martin rijk te maken.
http://www.youtube.com/watch?v=ZINQC_yMnQ0

[brother paul]

Dus samengevat

- de eID is veiliger en minder vervalsbaarder

- de RFID is ook een veiliger alternatief, maar laat wel gemakkelijker een 'ongewenste lezing' mogelijk, tenzij die RFID alle lezingen in een protocol gaat stoppen en loggen, wat dan het summum van veiligheid zou betekenen. Als uw eID kaart zou piepen op het moment ze gelezen wordt, zou je weten dat er iemand aan ID aan het lezen is bvb. Als je de user dan in een protocol identificeert zou je weten wie aan het lezen is. En als een onrechtmatige leespoging vervolgd kan worden ben je helemaal ultrasafe bezig.

- identitytheft heeft belang voor alles wat geld aangaat. Dus een identity theft voor iemand die bvb een erfenis op zijn naam wil zetten, moet geanticipeerd worden in de design en ontwerp van de security van eID kaarten. Heeft er trouwens iemand weet van identityTheft met verlies van roerend of onroerend goed als gevolg met het oude paspoord versus het nieuwe paspoord ??? Me dunkt dat een beleidsmens ook die statistiek eventjes in de gaten houdt;..

- electronisch bankieren heeft dus een 2M geschatte gebruikers, en blijkt dus relatief saf te zijn met 36 identity thefts, die dan nog notabene door inderdaad keylogging en op een virale manier gebeurd zijn. Bij een erfenis lijkt mij de applicatie des te bizarrer.

Daarom om het helemaal waterdicht te maken zou het leuk zijn dat de vingerafdruk en de irisscan in een databank zit en via een geijkt algoritme kan gecheckt worden.

Het electronisch stemmen die volgens mij een van de eerste voordelen van de eID moet zijn, zal dus ervoor zorgen dat het systeem bewijst zijn waarde te hebben voor de burger.

[Fallen Angel]

Heb ook nog iets vreemd tegengekomen:

http://www.youtube.com/watch?v=i27a8LuzfIY&NR=1

Weet niet of dat dit fake is ja of nee.

Weet iemand er hier iets meer over?

[Fallen Angel]

Citaat:

Oorspronkelijk geplaatst door brother paul

Dus samengevat

- de eID is veiliger en minder vervalsbaarder

Yeah right.
Vroeger had je dure foto en ets apparatuur nodig ter waarde van duizenden euro's.
Nu heb je een PC en een kaartlezer nodig.

Citaat:

Oorspronkelijk geplaatst door brother paul

- de RFID is ook een veiliger alternatief, maar laat wel gemakkelijker een 'ongewenste lezing' mogelijk, tenzij die RFID alle lezingen in een protocol gaat stoppen en loggen, wat dan het summum van veiligheid zou betekenen. Als uw eID kaart zou piepen op het moment ze gelezen wordt, zou je weten dat er iemand aan ID aan het lezen is bvb. Als je de user dan in een protocol identificeert zou je weten wie aan het lezen is. En als een onrechtmatige leespoging vervolgd kan worden ben je helemaal ultrasafe bezig.

Ik zal de filmpjes nog eens posten zeker:
http://www.youtube.com/watch?v=vmajlKJlT3U (in dit filmpje wordt ook vluchtig uitgelegd wat juist het probleem is)

Mythbusters is een programma op Discovery channel die bepaalde verhalen en mythes wetenschappelijk uittesten. Spijtig dat ze het niet mogen doen voor RFID.
http://www.youtube.com/watch?v=-St_ltH90Oc

Citaat:

Oorspronkelijk geplaatst door brother paul

Daarom om het helemaal waterdicht te maken zou het leuk zijn dat de vingerafdruk en de irisscan in een databank zit en via een geijkt algoritme kan gecheckt worden.

*zucht*
http://www.youtube.com/watch?v=LA4Xx5Noxyo

Citaat:

Oorspronkelijk geplaatst door brother paul

Het electronisch stemmen die volgens mij een van de eerste voordelen van de eID moet zijn, zal dus ervoor zorgen dat het systeem bewijst zijn waarde te hebben voor de burger.

De partij met de beste hackers wint. Great.

[brother paul]

Citaat:

Oorspronkelijk geplaatst door Fallen Angel

Yeah right.
Vroeger had je dure foto en ets apparatuur nodig ter waarde van duizenden euro's.
Nu heb je een PC en een kaartlezer nodig.



Ik zal de filmpjes nog eens posten zeker:
http://www.youtube.com/watch?v=vmajlKJlT3U (in dit filmpje wordt ook vluchtig uitgelegd wat juist het probleem is)

Mythbusters is een programma op Discovery channel die bepaalde verhalen en mythes wetenschappelijk uittesten. Spijtig dat ze het niet mogen doen voor RFID.
http://www.youtube.com/watch?v=-St_ltH90Oc



*zucht*
http://www.youtube.com/watch?v=LA4Xx5Noxyo



De partij met de beste hackers wint. Great.

wel vreemd of niet, maar ik zou het meest vertrouwen hebben in de grootste hackerbende, dan in de huidige bende

[Fallen Angel]

Citaat:

Oorspronkelijk geplaatst door brother paul

wel vreemd of niet, maar ik zou het meest vertrouwen hebben in de grootste hackerbende, dan in de huidige bende

Mja zal eens aan ne maat die zich met alle kanten van IT bezighoud vragen wat de algemene politieke overtuiging is bij computerhackers.

Hijzelf is spijtig genoeg rechts liberaal.

[artisjok]

Citaat:

Oorspronkelijk geplaatst door Jaani_Dushman

Informatie waar wij niet van weten dat ze op die chip staat doorspelen naar instellingen waarvan wij niet weten dat zij er toegang toe hebben.
Als de overheid mij zegt dat ik dat -als burger- niet mag weten, dan vermoed ik bijbedoelingen.

Uiteraard niet.

Goed zo!!

Het feit dat ik niet kan controleren welke gegevens er doorgespeeld worden. Ik heb als burger de democratische plicht om te controleren wat de overheid doet. Ik noem dat zelfs geen "recht" maar een "plicht".
Een democratie kan enkel functioneren als de burger de regerende overheid wantrouwt. Zonder dat wantrouwen kan een democratie niet functioneren.

Om gegevens door te geven van de ene instelling naar de andere hebben ze je eID toch niet nodig. Dat doet de overheid al jaar en dag.
Vroeger (heel lang geleden) kregen de werknemers iedere trimester een papier van hun werkgever met gegevens voor hun ziekenkas. Dat papier moesten ze daar binnendragen, zodat de ziekenkas de verzekerbaarheid kon controleren. Sedert een 20-tal jaar worden deze gegevens electronisch van de ene instelling (RSZ) naar de andere instelling doorgegeven.
Nu er een eID is, zijn deze gegevensstromen plots verdacht?

Lees de wetgeving over het bijhouden en uitwisselen van gegevens. Lees welke commissies controleren. Oordeel dan of dat voldoende is voor jou.
Zo niet, kan je tenminste specifiëren wat er je niet aan bevalt en waarom.

[artisjok]

Citaat:

Oorspronkelijk geplaatst door brother paul

met een datacenter kan dat nu wel geen probleem zijn. De vlaamse overheid heeft toch ook zo een paar zware datacentra's ?

Welke datacenters bedoel je? Welke gegevens worden bijhouden?

[artisjok]

Citaat:

Oorspronkelijk geplaatst door brother paul

Ik blijf erwel bij dat een majeure efficientie zou kunnen ontstaan door alle bedrijven hun klanten en personeel persoongsgegevens op alle manieren te laten syncroniseren met het rijksregister. Zo stiemoderlijk dat hier de privacy behandeld wordt, vind je ofwel in een bananerepubliek ofwel in een dictatuur, maar niet in een open economie zoals Belgie...

Pleit je er voor om toe te laten dat bedrijven de gegevens van het rijksregister kunnen/mogen consulteren?
Nee, dank je. Ik bepaal zelf wel aan wie ik mijn adres e.d. geef.

Wat bedoel je met stiefmoederlijk behandeld? Zijn we te strikt of te laks?

[artisjok]

Citaat:

Oorspronkelijk geplaatst door Pelgrim

Ik vroeg eigenlijk om garanties.

Heb je iets gelezen van de pagina waarvan ik de link gaf?
http://www.ksz-bcss.fgov.be/nl/mission/mission_2.htm

een beetje wetgeving :
http://www.ksz-bcss.fgov.be/nl/legis...islat_home.htm

sectorale commissies
http://www.privacycommission.be/nl/sectoral_committees/

Welke garanties wel je nog?

[Jaani_Dushman]

Citaat:

Oorspronkelijk geplaatst door AdrianHealey

Komende van een volbloed planeconomie communist is dit, wel ja, wat is het eigenlijk?

"Consequent" is het woord waar u naar zoekt.

[artisjok]

Citaat:

Oorspronkelijk geplaatst door Fallen Angel

Ik ben benieuwd hoeveel gevallen van identiteitsdiefstal we dan gaan hebben.

Elke pc waar één of andere trojan op staat (zijn er redelijk veel) is een potentieel slachtoffer.

Beste voorbeeld is een vriend die informatica studeerde en een zombie netwerk had van tussen de 2000 �* 3000 pc's. Hij had een website waar mensen allerlei handige programmas van hem konden downloaden.
Wat er niet bij vermeld was was het feit dat er een trojan in zat die ervoor zorgde dat hij de volledige controle over je computer had. Hij gebruikte het voornamelijk om muziek van de harde schijf van die mensen te halen.
Hij is er intussen mee gestopt nu er een paar jaar geleden een nederlander gepakt is geweest die rond de 1 miljoen zombie pc's had.

Om je te identificeren heb je een eID nodig en de pincode.
Stel dat ze je pincode kunnen achterhalen, dan hebben ze je eID nog niet.

[brother paul]

Citaat:

Oorspronkelijk geplaatst door artisjok

Pleit je er voor om toe te laten dat bedrijven de gegevens van het rijksregister kunnen/mogen consulteren?
Nee, dank je. Ik bepaal zelf wel aan wie ik mijn adres e.d. geef.

Wat bedoel je met stiefmoederlijk behandeld? Zijn we te strikt of te laks?

Kijk artisjoks

ik ben klant bij de Forits, ik verhuis van pimperzele, naar kattehoek en de Fortis mag toch wel mijn adres weten zeker ???

Daar pleit ik voor dit punt:
1 centraal punt waar uw verhuis wordt gemeld, en al waar je klant bent geweest het laatste 2 jaar bvb (de limiet moet beperkt maar toch praktisch ingesteld worden) wordt automatisch zijn database gesyncroniseerd.

[brother paul]

Citaat:

Oorspronkelijk geplaatst door artisjok

Pleit je er voor om toe te laten dat bedrijven de gegevens van het rijksregister kunnen/mogen consulteren?
Nee, dank je. Ik bepaal zelf wel aan wie ik mijn adres e.d. geef.

Wat bedoel je met stiefmoederlijk behandeld? Zijn we te strikt of te laks?

ivm dat stiefmoeder ik kan u duizenden voorbeelden geven.

Voorbeeld is voornamelijk: de Siskaart en de nieuwe eID is een soort distributed database. Dus alles wat daarop staat is feitelijk desynchroon met de werkelijkheid. Dus sowieso loopt die databank altijd ergens op een punt achter.

Ik moet er geen tekening bij maken , dat bij conceptie de data juist staan, maar na verloop van tijd er daar tonnen fouten op staan op die kaarten. Er is geen goeie manier om die databank perfect gemirrord te houden met de realiteit en met wat in het rijksregister aanwezig is, zonder een majeure menselijke inspanning te realiseren en een immense taskforce.

Indien je het concept vereenvoudigt tot een recordlinked database, waar de kaart de link-nummer is en de kruispuntdatabank de databank is die zijn request krijgt , dan zou iedereen continu synchrone data hebben... En zou iedereen continu up to date informatie hebben..

Deze concept fout kost de belgische gemeenschap MILJARDEN...

mvg