Nu het einde van 2010 in zicht komt, is het tijd om de rekening op te maken. We hebben het afgelopen jaar samen met talloze vrijwilligers hard gewerkt om vrijheid en privacy op internet te verdedigen. De belangrijke vraag is: wat moeten we in 2011 anders doen? Wat kunnen we veranderen in de organisatie om de beweging nog sterker te maken? Spaar ons niet! We horen graag jullie mening over dingen als:

• Betrekken we jullie wel genoeg bij ons werk?
• Geven we vrijwilligers wel genoeg credits?
• Moet het grappiger, of juist serieuzer?
• Zijn er campagnes, virals of lobby-acties van anderen die je inspirerend vond, en waaraan we een voorbeeld kunnen nemen?
• Moeten we meer bloggen, korter bloggen, videoblogs doen?
• Zijn we wel transparant genoeg? Wat willen jullie nog meer weten?
• Deden we iets tenenkrommend slecht?
• Moeten we ons op andere onderwerpen richten dan we deden in 2010? Wat verdient onze aandacht in 2011?

Laat het ons weten in de comments, of via de mail of per telefoon. En probeer zo concreet mogelijk te zijn - op die manier kunnen wij ons het best een beeld vormen van wat je bedoelt. Heel veel dank!

• Dit bericht op internet.

Van nieuwsoverzichten tot pophitjes; je zou een indrukwekkende lijst kunnen maken van alle oudejaarslijsten die nu verschijnen. Ook wij maken de balans op en kijken met trots terug op de resultaten die we samen hebben bereikt in 2010. Hieronder een incompleet overzicht. Wat deden we samen in 2010?

• We beschermden digitale vrijheid in Nederland tijdens de verkiezingen. Het resultaat was indrukwekkend: drie van de negen punten uit ons Manifest voor Digitale Vrijheid zijn overgenomen in het regeerakkoord.
• Wij beschermden de privé-communicatie van alle Nederlanders door aan te tonen dat de centrale telecomdatabank, het CIOT, aanzet tot structurele privacyschendingen door opsporingsinstanties. Naar aanleiding hiervan zijn kamervragen gesteld. Ook stopten we de plannen voor de landelijke zoekmachine met bankgegevens. We hebben hier direct aandacht voor gevraagd in de media en binnen een paar dagen was het plan van de baan.
• Wij vroegen aandacht voor de grofste privacyschenders van het voorafgaande jaar bij de Big Brother Awards 2009. (Binnenkort meer over de editie 2010!)
• Wij zetten ons in voor een goede beveiliging van databanken. Om aandacht te vragen voor dit probleem hebben we samen met Rejo Zenger het Zwartboek Datalekken aangelegd, waarin deze datalekken worden geregistreerd. Ook hebben we een wetsvoorstel opgesteld dat databankbeheerders verplicht om datalekken direct te melden.
• Wij streden tegen internetcensuur door het Nederlandse internetfilter aan de kaak te stellen. Daarmee wordt de afbeeldingen immers slechts verborgen, in plaats van verwijderd. Ook stelden we in de media het gebrek aan transparantie rondom het internetfilter aan de kaak.
• We hielpen internetgebruikers zichzelf te beschermen door Webwijs te maken. Met deze Online Zelfverdedigingsgids in 5 Clicks leggen we aan een breed publiek uit hoe je jezelf met vijf simpele maatregelen effectief beschermt tegen virussen, spam en privacyschendingen. Na maanden is Webwijs nog steeds een van de beste bekeken onderdelen van onze website.
• We hebben van Bits of Freedom een duurzame beweging gemaakt door in ŽŽn dag duizend donateurs te werven. Met deze actie hebben we op jaarbasis € 40.000,- aan donaties ontvangen.

Dank jullie wel!
Het enthousiasme en de inhoudelijke en financiële steun die we dagelijks van talloze sympathisanten krijgen is voor ons een van de mooiste aspecten van ons werk en maakt tevens dat wij vele malen effectiever zijn. We hopen op jullie steun te mogen blijven rekenen in 2011. Want die steun is volgend jaar hard nodig: 2011 zal een beslissend jaar voor internetvrijheid worden.

Wil je ook mee doen?
Vind je vrijheid op internet ook belangrijk en wil je Bits of Freedom helpen? Overweeg dan om, net als ruim 250 anderen, flexibele of vaste vrijwilliger te worden. Kijk voor meer informatie op onze Doe Mee-pagina.

• Dit bericht op internet.
• 2011 zal een beslissend jaar voor internetvrijheid worden.
• Doe Mee.

Op 21 december 2010 heeft de Amerikaanse telecomtoezichthouder, de FCC, regels vastgesteld om het internet open te houden. De regels zijn niet perfect, maar stukken beter dan wat de Nederlandse regering wil vaststellen. Wat heeft de FCC bepaald, en hoe verschilt dat met de Nederlandse situatie?

Het Amerikaanse internet blijft redelijk open
De beslissing van de FCC is nog niet openbaar, maar in een persbericht legt ze uit waar de regels op neer komen. De FCC stelt allereerst vast dat het internet zo een succes is doordat het vrij en open is. Ze concludeert dat die openheid in gevaar is: providers willen websites en diensten vertragen en blokkeren.

De FCC verplicht internetproviders daarom ten eerste om informatie te verschaffen over hun netwerkmanagement. De FCC verbiedt daarnaast providers die vast internet aanbieden om verkeer te blokkeren of ÒonredelijkÓ te discrimineren. Providers die mobiel internet aanbieden mogen websites en concurrerende video- of telefoondiensten niet blokkeren, maar wel verkeer discrimineren. De verboden gelden niet voor zover sprake is van “redelijk netwerkmanagement”, zoals om spam of virussen te blokkeren. Hieronder zijn de belangrijkste passages opgenomen.

De FCC gaat speciaal in op het verbod op “onredelijke” discriminatie. Ze geeft aan dat providers die geld zouden gaan vragen aan content-aanbieders voor doorgifte zich waarschijnlijk schuldig zouden maken aan onredelijke discriminatie. Hiermee worden rijke content-aanbieders, zoals Google, immers bevoordeeld. Voor niet-commerciële aanbieders, zoals kleine bloggers, kan dit de doodsteek zijn. En het zou een toetredingsdrempel vormen voor nieuwe aanbieders, die eerst afspraken zouden moeten maken met allerlei internetproviders voordat zij hun diensten Ÿberhaupt kunnen aanbieden. Dit stevige beleid staat in schril contrast met de Franse overheid, die onlangs aankondigde dat zij zelf geld wil vragen aan grote content-aanbieders zoals Google.

Terwijl de Nederlandse regering machtige telecomproviders hun gang laat gaan
Er is van alles aan te merken op dit besluit: is het bijvoorbeeld wel terecht om mobiel en vast internet anders te behandelen? Maar we kunnen al met zekerheid zeggen dat de Amerikaanse toezichthouder het open internet belangrijker vindt dan de Nederlandse regering.

Want hoewel het kabinet in het regeerakkoord schreef dat zij een “open en vrij internet” zal bevorderen, geeft zij internetproviders ruim baan om diensten of websites te blokkeren of vertragen. De Nederlandse regering wil providers slechts verplichten om transparant te zijn over d‡t ze internetverkeer blokkeren of vertragen. De regels hierover heeft de Nederlandse regering onlangs aan de Tweede Kamer voorgelegd. Die zal hierover nu zijn oordeel moeten vellen. Het is te hopen dat het parlement wŽl de macht van grote telecomproviders aan banden wil leggen. Zodat niet de internetprovider, maar jij kan blijven beslissen welke websites je bezoekt en welke diensten je afneemt op internet.

Passages uit het persbericht
“The Internet has thrived because of its freedom and openness - the absence of any gatekeeper blocking lawful uses of the network or picking winners and losers online. Consumers and innovators do not have to seek permission before they use the Internet to launch new technologies, start businesses, connect with friends, or share their views. The Internet is a level playing field. Consumers can make their own choices about what applications and services to use and are free to decide what content they want to access, create, or share with others. This openness promotes competition.” “Broadband providers have taken actions that endanger the Internet's openness by blocking or degrading disfavored content and applications without disclosing their practices to consumers. Finally, broadband providers may have financial interests in services that may compete with online content and services.”

Rule 1: Transparency
“A person engaged in the provision of broadband Internet access service shall publicly disclose accurate information regarding the network management practices, performance, and commercial terms of its broadband Internet access services sufficient for consumers to make informed choices regarding use of such services and for content, application, service, and device providers to develop, market, and maintain Internet offerings.”

Rule 2: No Blocking
“A person engaged in the provision of fixed broadband Internet access service, insofar as such person is so engaged, shall not block lawful content, applications, services, or non-harmful devices, subject to reasonable network management. A person engaged in the provision of mobile broadband Internet access service, insofar as such person is so engaged, shall not block consumers from accessing lawful websites, subject to reasonable network management; nor shall such person block applications that compete with the providerÕs voice or video telephony services, subject to reasonable network”

Rule 3: No Unreasonable Discrimination
“A person engaged in the provision of fixed broadband Internet access service, insofar as such person is so engaged, shall not unreasonably discriminate in transmitting lawful network traffic over a consumerÕs broadband Internet access service. Reasonable network management shall not constitute unreasonable discrimination.”

Reasonable network management
“A network management practice is reasonable if it is appropriate and tailored to achieving a legitimate network management purpose, taking into account the particular network architecture and technology of the broadband Internet access service. Legitimate network management purposes include: ensuring network security and integrity, including by addressing traffic that is harmful to the network; addressing traffic that is unwanted by users (including by premise operators), such as by providing services or capabilities consistent with a userÕs choices regarding parental controls or security capabilities; and by reducing or mitigating the effects of congestion on the network.”

• Dit bericht op internet.
• Persbericht FCC.
• Aankondiging Franse overheid dat zij zelf geld wil vragen aan grote content-aanbieders.

Bits of Freedom heeft haar Zwartboek Datalekken nog eens bijgewerkt. De gegevens van meer dan 63.000 klanten van de Nederlandse Energiemaatschappij waren tot een paar dagen terug toegankelijk via de website van het bedrijf. Maar hoe ziet zo een datalek in de praktijk er precies uit? In deze uitgebreide blog laten we met afbeeldingen zien hoe verbazingwekkend slecht deze gevoelige gegevens waren beveiligd.

Uit de gegevens die publiek toegangelijk waren kon de persoons-, login- en factuurgegevens van de klanten achterhaald worden. De anonieme bron kon de gegevens met minimale stappen achterhalen.

De ontdekker van het lek vond de gegevens door op zoek te gaan naar een zogenaamde “open directory”. Dit is een gebruikelijke term voor een directory die eigenlijk alleen bedoeld is voor het publiceren van bestanden als plaatjes. Het is dan niet de bedoeling dat de directory zelf ook toegankelijk is. Door een foutieve configuratie van de webserver is een gemakkelijk een overzicht te genereren van alle bestanden in de directory.

Bij de Nederlandse Energiemaatschappij was de directory “/repository” op de website Mijn Energie zo'n open directory.

Ook de onderliggende directory “/repository/tmp”, met daarin veel Excel bestanden, bleek onvoldoende beveiligd. Niet alleen is de inhoud onbedoeld zichtbaar, bovendien is die inhoud ook nog eens zonder een wachtwoord toegankelijk.

De Excel bestanden bevatten elk een lange lijst van klantnummers, e-mailadressen en wachtwoorden. De bestanden zelf en ook de wachtwoorden zijn niet versleuteld.

De meeste bestanden bevatten de gegevens van om en nabij de 63.000 klanten. Deze gegevens zijn op hun beurt weer te gebruiken om in te loggen in het deel van de website waarop klanten de eigen gegevens kunnen inzien. Ook Maurice de Hond, het gezicht in de reclamecampagne van het bedrijf, is klant bij het energiebedrijf (nota bene: dit is al bekendgemaakt door Tweakers, anders zouden we dit uiteraard niet hebben verteld).

En vervolgens konden via deze website de facturen van Maurice de Hond ingezien worden. Deze demonstratie laat zien hoe makkelijk het is om toegang te krijgen tot persoonsgegevens als die niet goed beveiligd zijn. Helaas is NEM niet een uitzondering, maar komt dit veel vaker voor. En als informatie eenmaal op internet gepubliceerd is, dan kan verspreiding niet worden tegengehouden. Het is daarom hoog tijd dat organisaties, groot en klein, hun informatiebeveiliging veel serieuzer nemen. Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een wetsvoorstel ingediend dat databankbeheerders verplicht om datalekken direct te melden. Zij heeft dat wetsvoorstel toegelicht in een position paper.

• Dit bericht op internet.
• Zwartboek Datalekken.
• Bericht Tweakers.
• Position paper meldplicht datalekken

• Justitie moet rapport over digitaal oormerk afkeuren.
• Justitie doet onderzoek naar permanente internettap.
• 27c3 Congress, day 1: data retention lecture, amazing people and Quake on a wind fan.
• 27c3 Congress, day 2 and 3: groundbreaking GSM hack, campaigning against data retention.