NLUUG voorjaarsconferentie

Vorige week was ik aanwezig op het NLUUG voorjaarscongres dat in het teken stond van Security. De conferentie bevatte 18 presentaties in verschillende tracks over vooral de technische implementaties van IT beveiliging.

De keynote was van Vincent Rijmen, een professor aan de KU Leuven en één van de uitvinders van het Rijndael encryptie algoritme, dat het hart is van AES encryptie. Professor Rijmen sprak over het verleden en de toekomst van hash functies en over methoden om de MD5 en SHA-1 hash functies te kraken.

Daarna bezocht ik een presentatie over anonymity systems, waarin afstudeerder Matthijs Koot toelichtte hoe anoniem systemen als Tor, MorphMix en I2P eigenlijk zijn.

Een heel interessante presentatie was die van Carel van Straten van het Spamhaus project. Het Spamhaus project probeert uit te zoeken hoe spammers werken en hoe ze te stoppen zijn. Ik zal binnenkort over dit intrigerende onderwerp een apart artikeltje publiceren.

Een andere zeer interessante presentatie was die van de inmiddels beroemde Duitse hacker Henryk Plotz. Hij was één van de hackers van de OV Chipkaart die de Mifare Classic chip bevatte. Henryk sprak over hoe ze de chipkaart gehackt hadden. Het was een combinatie van het monitoren en analyseren van de draadloze communicatie van de chip en van het fysiek kijken naar de chip, die ze siliciumlaag voor siliciumlaag weggepolijst hadden. Van elke laag hadden ze foto's gemaakt die ze later geanalyseerd hebben.

Na een aantal wat minder interessante presentaties zag ik het verhaal van Karin Spaink. Zij sprak over de beveiliging van elektronische patiënten dossiers (EPD's). Karin zei dat veel partijen graag een EPD willen, maar dat er maar weinig bewijs is dat ze ook daadwerkelijk betere gezondheidszorg opleveren. EPD's brengen in ieder geval wel veel security hoofdbrekers. Karin heeft een team van hackers geleid die met permissie van de ziekenhuizen de systemen van twee ziekenhuizen binnenkwamen. De hackers ware in staat vele miljoenen patiëntrecords in te zien, te kopiëren, te deleten en te wijzigen(!).

De NLUUG conferentie was een heel leuk en interessant evenement en was perfect georganiseerd. Zeer aanbevelenswaardig.

Persoonlijk Informatie Eigendom

Gisteren was ik te gast bij het Genootschap voor Informatiearchitecten (GIA) voor een lezing, getiteld "Persoonlijk Informatie Eigendom". De lezing werd gegeven door Paul Jansen en Pieter Wisse.

Het uitgangspunt van de lezing was de stelling dat informatie die nu op vele plekken over een (rechts)persoon wordt vastgelegd, eigendom zou moeten zijn van de (rechts)persoon waar de informatie betrekking op heeft.

Nu is het niet uitzonderlijk als informatie over iemand op honderden plekken (gedeeltelijk) is opgeslagen. Het is buiten bereik van degene waar de informatie betrekking op heeft. Zo staan mijn naam en adres staan op talloze plaatsen geregistreerd, zonder dat ik het weet, zonder dat die informatie correct hoeft te zijn en zonder dat ik invloed kan uitoefenen op wat er met die informatie gebeurt.

Verder betogen de sprekers dat informatie onlosmakelijk is verbonden met de context waarin de informatie betekenis heeft. Het gebruik van informatie zonder de juiste context levert dan ook problemen op. Zo is "loon" voor mijn werkgever iets anders dan voor de belastingdienst en weer iets anders voor mijn vrouw. De context bepaalt dus de betekenis van de informatie.

Ook zou men veel restrictiever moeten omgaan met het uitwisselen van informatie. Als iemand een fles sterke drank wil kopen, moet hij zich legitimeren om aan te tonen dat hij tenminste 18 jaar oud is. Vaak laat men dan zijn rijbewijs of paspoort zien. Hiermee worden veel meer gegevens aan de winkelier verstrekt dan hij nodig heeft. In mijn paspoort staat niet alleen mijn geboortedatum, maar ook mijn geboorteplaats, mijn burger service nummer, mijn nationaliteit, enzovoort. De winkelier heeft al deze informatie niet nodig, hij moet immers alleen mijn leeftijd controleren. Het zou dan ook beter zijn om mijn informatie een op andere manier over te dragen.

Jansen en Wisse willen het hele systeem van uitwisseling van persoonlijke informatie radicaal veranderen, en het liefst per wet laten vastleggen dat informatie over een persoon niet zomaar door iedereen kan worden vastgelegd en gebruikt (net zoals dat in de wet staat voor materiële zaken). De persoon moet zelf eigenaar worden van zijn informatie (net zoals hij eigenaar van zijn eigen geld is) en moet dus per geval bepalen of- en wat voor informatie hij in een bepaalde context uitwisselt.

Het betreft hier een nieuw informatiemanagement paradigma, dat verwoord is in een soort wetsartikel met vijftien punten: het iDNA Manifest, beginselen van de open informatierechtsstaat.

De lezing leverde veel discussie op in een zaal met zo'n 25 informatiearchitecten. Paul Jansen wist de discussie goed vorm te geven en van commentaar te voorzien. Al met al was het een heel interessante avond en voer om over deze materie nog verder na te denken.

The Irresistible Forces Meet the Movable Objects

Afgelopen januari was ik een week bij Microsoft in Redmond, waar ik een groot aantal presentaties bijwoonde..

Eén van die presentaties was "The Irresistible Forces Meet the Movable Objects" die werd gegeven door Pat Helland. Ik vond het de beste presentatie van die week..

Pat Helland heeft nu op zijn eigen blog een video geplaast van zijn presentatie. U kunt het hier bekijken.