A secure democratic Net is a fundamental right

As I am responsable for security I don't take holidays whenever I want to so I just liberated a day to be at ICANN for ISOC Belgium. As I am only since recently active with ISOC Belgium it was also my first ISOC meeting. And I was strange and fascinating at the same time.

Imagine. This is the world parliament of the itnernet. This is the place where is decided who may have domainextensions and sell them and who doesn't. This is the place where the central DNS infrastructure (which tells you where the information is based on a name, not an IP Addess (like a telephone number)) is more or less managed and planned. This is where people, governments and stakeholders talk about security, privacy and online democratic rights.

You see people with totally contradictory interests. You see activists and lobbyists. You see people from all over the world and from all different cultures and also many women who are important and intelligent (and not only bringing coffee and holding papers).

All those people have the same rights of opinion and questioning about any subject that is dear to them and the community.

The cynical guy in me says that this is not representative for the online population and that government and big business will do whatever they want to do. Maybe most of those that should be heared aren't here or haven't got the opportunity to express themselves. The satirical guy in me didn't know what to think when he was entering a conference room where everybody was connected to the internet reading the internet and emails while there was in fact a conference and a discussion taking place. How much can you multitaks without missing essential bits of information - which are mostly hidden in the details or things people aren't saying ?

But this is like democracy the best thing the internet has for the moment and the only alternatives are the breakup or balkanization of the internet or a technocratic supergovernment of the internet which was what the ICANN organisation used to be.

So even if one can be very cynical about this kind of meetings, it is quite fascinating to see evern for one day. So if anybody is planning to go to such a big ICANN meeting once - you should go once. Just to see how democracy is developing itself before your proper eyes and how a little bit of goodwill from all the different stakeholders can make the big difference and in fact made the internet the place we have become used to.

Yeah 900.000 visits and this to this kind of stuff that isn't easy to understand and isn't too well written and is totally free

just a reminder

You can find some hundreds of ITsecurity twitterstreams organised by subject on the twitter account above

You can also find tens of thousands of links to all kinds of stuff in the diigo.com links of mailforlen

most of the links and more specific info is now publised in the diigo.com security stream

and you can give me a shout at facebook or linkedin (see above) and follow this stream

I would advise you to subscribe to the RSS feed or the mailing alerts because you will never know what I will publish next

Just as a reminder, nothing will be published about my employer nor things that are given in confidence (some background information has been forwarded to contacts).

always looking for a good tip - and the source will be kept confidential

and if I didn't follow up on things or didn't blog every day, hey I have a family life and do other things in my life :)

but after all, 900.000 visits is something to be happy about and makes it a bit more worthwhile.

http://www.standaard.be/artikel/

ISOC blogpost

THE ISOC Belgium 5 POINTS FOR A  MORE SECURE AND MORE PRIVATE INTERNET

We have received responses from the main flemish governmental parties for the moment. Due to the high work volume - and we are volunteers - with the arrival of the ICANN meetings in Brussels

At the other side it is clear that not all candidates read their mails or even have the capabilities to respond to their mails. I think that the political parties will have to invest in central newsletter and other internetservices for their candidates so that many things can be made automatic.

Herman De Croo, (is very privacy minded)

Guide Depadt, (was a very interested listener during the hearings about internet security in Parliament)

Greet van Gool,

Roel Deseyn, (One of the main very active parliamentarians if it comes to privacy, telecom and internetsecurity, organizer of the hearings about internetsecurity in the parliament - the first).

Philip Decoene, (father of the New Telecom Law)

Jan Bertels

It is also clear that the main study centers of the parties VLD, CDV, GROEN and SP.A will continue the discussion after the election.

If you are coming also and you want to meet (have a chat and drink) I will be around several times, listening and maybe who knows participating in those exciting debates about WHOis and privacy and security and the responsabilities of registrars and dns operators in a world of fast fluxing botnets with dynamic dns and bulletproof hosting.

just mail me

http://www.icann.org for all details

bron : http://www.isoc.be

Kandidaten, partijen en organisaties kunnen hun steun betonen door een mail aan rudi.vansnick at  isoc.be of op dit emailadres

De franstalige versie wordt dit weekend gepubliceerd.

Later op de week zullen we een overzicht van de steunbetuigingen en besprekingen publiceren. We zijn beschikbaar voor meer uitleg en overleg.

ISOC Belgium legt 5-punten programma voor aan de kandidaten voor de verkiezingen van Juni 2010.

1. België heeft een algemene privacywet met tanden nodig

Het begrip privacy heeft de afgelopen jaren een veel bredere impact gekregen en moet dus met meer aandacht worden beschermd door de overheid. Dit is niet alleen het gevolg van de unilaterale acties van grote internationale internet operaties zoals Google en Facebook maar ook omdat deze acties fundamentele vragen oproepen over bepaalde facetten van onze privacy zoals lokatie-privacy (is het privaat om te weten waar je bent en op welke manier kan je die privacy inruilen voor vb. kortingsbonnen op je gsm en wat kunnen dergelijke providers hiermee doen ?). Het zijn deze en een hele reeks vragen die geregeld worden opgeroepen. Het is niet aan de rechtbanken om te proberen om de privacywetgeving steeds opnieuw te interpreteren zonder een globaal nationaal referentiekader.

België moet dus de privacywetgeving actualiseren met

• een aantal globale principes op het vlak van privacy

• een versterking van de bevoegdheden en middelen van de Privacy commissie (die vb ook controles ter plaatse moet uitvoeren)

• een uniformering van de toepassing van deze privacy beginselen doorheen alle Belgische overheden om verwarring en tegenstrijdigheden te voorkomen

• een jaarlijks verslag voor het parlement met duidelijke praktische aanbevelingen

Het is in dit opzicht dat ook de voorstellen over de omzetting van de Europese dataretentie richtlijn moeten worden bekeken. Algemeen komt die erop neer dat de overheid de telecom en internetproviders willen verplichten om alle gegevens over alle gesprekken en connecties van de hele bevolking willen laten bijhouden gedurende maximaal 2 jaar. Dit voorstel is zowel praktisch als juridisch erg bedenkelijk en is trouwens een strategische foute keuze. ISOC Belgium pleit voor een doorgedreven uitbouw van een snelle en volledige opvolging van de communicatie van verdachten of terroristische netwerken in het kader van een onderzoek dat door rechters wordt begeleid. Het is immers zowel de nationale als internationale reactiesnelheid die belangrijk zijn en niet het bouwen van enorme torens van babel met datacommunicatie die zowel onbegrijpbaar, onhandelbaar als onbetaalbaar zijn.

Dezelfde opmerkingen gelden trouwens voor de vele ideeën en voorstellen omtrent het opwerpen van een algemene firewall of internetfilter tegen allerhande verschijnselen op het internet gaande van illegale content tot online casino's.

2. België heeft een geactualiseerde digitale criminaliteitswetgeving nodig

De huidige wetgeving op de digitale criminaliteitswetgeving heeft een herziening nodig waardoor ze kan worden aangepast aan de huidige noden.

2.1. De wetgeving is zo vaag dat onderzoek naar veiligheidsproblemen en het melden van veiligheidsproblemen een redelijk riskante aangelegenheid wordt. Het is immers voor hetzij welke advocaat van een onzorgvuldig beveiligd product of webdienst mogelijk om de melder of onderzoeker voor de rechtbank te dagen op basis van deze wet. Het is dan aan de rechter om te oordelen of dit gegrond is, maar ondertussen is betrokkene - zelfs indien deze goede intenties had - financieel en emotioneel wel onder zeer zware druk geplaatst. Het nadeel is dat men in België liever zwijgt over veiligheidsproblemen dan het risico loopt om een proces aan zijn been te krijgen.

De 'responsable disclosure' (waarbij de ontdekte veiligheidsproblemen eerst aan de betrokken diensten of bedrijven worden medegedeeld zodat een oplossing kan worden gevonden en eventueel kan toegepast of verspreid worden) moet dus niet alleen informeel worden toegepast maar moet ook een juridische basis krijgen in deze wet. Dit kan via de nieuwe nationale CERT gebeuren.

2.2. De wet zou moeten voorzien in een permanente parlementaire opvolging door een gespecialiseerde subcommissie die ook de nodige gespecialiseerde ondersteuning krijgt. De functies van deze parlementaire subcommissie zouden de behandeling zijn van de voorstellen en ontwerpen van wet aanhangende privacy en digitale beveiliging. Ze zou ook de praktische uitvoering van deze wetten moeten kunnen opvolgen. Ze zou ook jaarlijks de verschillende betrokken instellingen en organisaties moeten horen en ondervragen. Zelf zou ze ook de mogelijkheid moeten krijgen om hoorzittingen te organiseren rond nieuwe onderwerpen.

2.3. De FCCU en de andere diensten die in de veiligheid van de netwerken en infrastructuur van het land moeten voorzien moeten meer middelen krijgen en moeten eventueel worden opnieuw georganiseerd zodat er meer coördinatie is. Ondanks de hype over cyberterrorisme en cyberoorlog kan men niet ontkennen dat cyberaanvallen plaatsvinden en dat die soms ernstige gevolgen kunnen hebben. België is trouwens het gastland voor een groot aantal internationale instellingen en organisaties waar we hen ook een aanvaardbaar niveau van cyberveiligheid moeten kunnen aanbieden. Het is daarom tevens belangrijk dat ook de sensibilisering en coördinatie met andere strategische instellingen en bedrijven ook op het vlak van cyberbeveiligheid gebeurt. De bedrijven moeten gesensibiliseerd worden tegen cyberspionage.

3. België heeft een juridisch kader voor veiligheidsnormen op het vlak van digitale communicatie nodig

Momenteel legt iedereen zo een beetje zijn digitale veiligheidsnormen zelf vast of krijgt die internationaal opgelegd (al zijn die soms redelijk interpreteerbaar). België heeft voor alles en nog wat normen gaande van de bakker om de hoek tot de elektriciteitsnetwerken, maar niet voor de beveiliging van de webdiensten, belangrijke netwerken en gegevens. We moeten daar zelfs geen nieuwe normen voor uitvinden, deze bestaan al elders (vb NIST) en worden al wereldwijd toegepast, alleen zijn ze hier totaal vrijwillig.

We pleiten voor de vertaling van deze normen en eventueel hun aanpassing aan de Europese realiteit indien nodig. In samenwerking met de verschillende sectoren worden deze normen dan stapsgewijs ingevoerd zodat alle nieuwe toepassingen en webdiensten automatisch van in het begin aan die normen moeten voldoen, terwijl oudere toepassingen en webdiensten een overgangsperiode krijgen voor bepaalde facetten. Alle overheidsopdrachten en -subsidies op het vlak van webdiensten moeten deze voorwaarden verplicht toevoegen aan alle nieuwe markten. Er is hier trouwens geen enkele reden om te wachten op Europa of iets anders en dit heeft niets met concurrentievervalsing te maken, integendeel. Door onze digitale industrie te verplichten om de beste kwaliteits- en veiligheidsnormen te hanteren zal de Belgische concurrentiepositie immers sterk verbeteren.

4. België heeft een masterplan voor de Elektronische identiteitskaart nodig

De Elektronische identiteitskaart (e-ID) werd uitgedeeld aan elke Belg en binnenkort aan elke inwoner van België. Ze lijkt een handig instrument en werd regelmatig met veel publiciteit aangemoedigd in de pers. In het begin dacht men zelfs dat men er de internationale markten mee zou kunnen veroveren. Vandaag heeft men echter nog altijd niet voldoende geantwoord op een aantal fundamentele vragen die door een aantal onderzoekers werden gesteld nadat die zowel de privacy als de veiligheid van de kaart onderzochten.

Het is duidelijk dat een dergelijk groot en belangrijk project en product door een aparte overheidsadministratie permanent moet worden opgevolgd en uitgebouwd. De Elektronische Identiteitskaart heeft immers behoefte aan een goede technische opvolging om snel te kunnen reageren op nieuwe problemen of mogelijkheden. Dit kan enkel door een gespecialiseerde dienst die alle facetten van dit proces vastlegt en de uitvoering ervan controleert. Momenteel is dit verspreid over verschillende overheidsdiensten. (Binnenlandse zaken, Fedict,....)

Deze verbeterde Elektronische identiteitskaart met een georganiseerde permanente opvolging moet ook de problemen bij alle soorten gebruikers sneller kunnen opvangen en toevoegen aan het productieproces van de updates van de software. Slechts op deze manier kan de Elektronische identiteitskaart een algemeen identificatiemiddel wordt dat platform onafhankelijk zich verder kan ontwikkelen op een veilige en stabiele manier.

5. Een veilig internet voor iedereen

In de nieuwe Telecomwet staat in een artikel dat elke klant van een internetprovider gratis een veiligheidspakket (antivirus, firewall, antispam) moet ontvangen. Dit artikel werd tot nu toe niet uitgevoerd omdat de internetproviders beloofd hebben om de beveiliging van hun netwerken op zich te verbeteren. Ze hebben enkel de duurdere abonnementen voorzien van een zogenaamde gratis beveiliging. Ook de projecten die het gebruik van het internet willen bevorderen hebben geen permanent beveiligingspakket voorzien.

Nochtans bestaan er verschillende gratis pakketten van zelfs grote internationale bedrijven die een redelijke beveiliging schenken bij een normaal en voorzichtig internet gebruik. Elke computer die moeilijker kan worden geïnfecteerd is niet alleen een probleem (en kost) minder voor een internetprovider, maar maakt het internet ook veiliger voor alle andere Belgische internetgebruikers.

De internetproviders kunnen hun klanten gratis een 'clean feed' (zonder virussen) aanbieden indien ze blijven vasthouden aan de huidige strategische keuze m.b.t. de beveiliging van de publieke internet infrastructuur in België.

We willen er ook op wijzen dat onder internetproviders we ook de mobiele internet kanalen viseren. Momenteel is het zo dat er in verhouding slechts weinig virussen en veiligheidsproblemen voorkomen op het mobiele internet maar dit kan snel veranderen. De mobiele internetproviders dienen zich dan ook zo te organiseren en te coördineren dat ze zelfs tijdens een enorme groei nog steeds een aanvaardbare veiligheid en stabiliteit kunnen garanderen.

Door het opstellen van normen op het vlak van veiligheid moeten ook Belgische leveranciers van webdiensten veiliger worden zodat het gevaar op hacking en misbruik drastisch beperkt wordt. We ijveren hier voor een soort licentie of certificatie dat eerst door de sector wordt opgelegd. De overheid kan dan verplicht worden om enkel gebruik te maken van degelijk gecertificeerde diensten.

Indien internetproviders hun klanten gratis veiligheidsproducten aanbieden èn de webdiensten zelf gecertificeerd zijn op het vlak van veiligheid, spreekt het vanzelf dat deze webdiensten het recht zullen hebben om de toegang tot (al) hun elektronische diensten te beperken tot gebruikers die ervoor gezorgd hebben dat hun computer in orde is. Dit is vergelijkbaar met de autokeuring of de controle van de elektriciteitsinstallaties.

Besluit

Deze algemene punten geven België de mogelijkheid om op een gecoördineerde wijze de twee belangrijkste en met elkaar verbonden peilers van een internet beleid (privacy en veiligheid) op een permanente en kwalitatieve manier zowel op politiek, industrieel, juridisch als technisch vlak op te volgen.

ISOC Belgium pleit dus voor een integratie van de privacy en veiligheid doorheen het hele internet beleid en een coördinatie en samenwerking tussen alle betrokken overheden en spelers. Op deze manier kan men een toekomst bestendige basis bouwen voor een modern en geïntegreerd e-government beleid met een kwaliteitsvolle en permanente dienstverlening.

België kan hier als klein land met veel belangrijke spelers en een grote verscheidenheid aan technologieën een voorbeeldrol in spelen als ze een krachtdadig een gecoördineerd beleid wilt voeren.

Untill now there was a bit of everything.

Now we have only kept the tools and links to keep an eye on that have something to do with ITsecurity

We will check those links in the coming weeks and fill in the backlog of a few hundred new resources. Those will be added.

Other changes will be possible and probable. The work will be finished by the first of september at the latest.

But than you will have one interface for all the online apps and interesting important links that you should have if you have something to do with security.

The rest of the links is in diigo.com which is still open

http://brussels38.icann.org/

There are many things that need to be decided like the porn domain and a lot of other things about the security and responsability of existing and probably new domain registrars.

See you there

have updated the slideshare account with about 80 techpersons that are being followed and about 300 slides that are favourited

from time to time this will be upgraded from time to fime

http://www.slideshare.net/mailforlen

Although I appreciate that many people find Twitter to be valuable, I find it a truly awful way to exchange thoughts and ideas. It creates a mentally stunted world in which the most complicated thought you can think is one sentence long. It’s a cacophony of people shouting their thoughts into the abyss without listening to what anyone else is saying. Logging on gives you a page full of little hand grenades: impossible-to-understand, context-free sentences that take five minutes of research to unravel and which then turn out to be stupid, irrelevant, or pertaining to the television series Battlestar Galactica. I would write an essay describing why Twitter gives me a headache and makes me fear for the future of humanity, but it doesn’t deserve more than 140 characters of explanation, and I’ve already spent 820.
http://www.joelonsoftware.com

although twitter has replaced some blogging (the kinds of blogging that just takes links, quotes and pics) it will not replace those thoughts that take longer to explain

far from the chaos of all, you should select those that send meaningful information to twitter in the form of

* links

* things happening real-time (protests, disasters,....)

* bypassing censorship (Iran, China,...)

And for the rest I agree, for me it is just a repetition machine and a realtime link index.

by the way, the twitter lists have been extended

I see in the log that readers from institutions and organisations and press from all over the world are logging on again

I am back unless they shut it down or want to fire me

And it are facts and only the facts

I hate no one and I love you all :)

All the internal commercial and office politics I don't give a damn

But good to see you coming back

take the RSS feed or the twitter

I have to clean up a bit but essentially it will work on three levels

* dashboard (links and tools and special pages)

* this blog (some articles, mostly Belgian)

* diigo (already 30.000 links and everything that interests me)

Oh and just to be clear not everything is organized as it should be or tagged or whatever. If I would start doing this It would become a day job and I am not paid for that. And the more I organize the less I think, read and write.

Oh and yes It can be that I will be talking about other things that are risk involved and have in a strict sense nothing to do with itsecurity at the most limited view. I have a higher level of security in which electricity and risk and other things are also important. Even IT is sometimes just a small part of the risky lives we live in this risky world and how we are enjoying every minute of it :) Imagine that we wouldn't have to worry about anything and everything would always work as it should and everybody would always be nice to each other and fair and honest ?

Also to be clear this is my PERSONAL opinion and fact misson. Not only letter on this blog can be attributed to my other campaigns (ISOC) or my employer. This is my personal space of personal freedom in a democratic society in which I disclose things that anybody can already find on the internet if he knows how.

Stuff that I receive will be handled accordingly. It may be published. It may be held secret and sent to the appropriate channels. If you want your name to be kept secret you should say so from the beginning (and in that case use proxy and other anonymous routes to send your material). If even if you want it published there are unacceptable risks because this blog has a certain redistribution and readership, it will be so.

We are here to secure the Belgian internet for its users, by any lobbying and investigation possible by Belgian law. (not much in fact)

Monday there will be the official announcement of the Belgian CERT something we have fought for since 2004 and got into Belgian law in 2006 and pushed as the highest priority since 2008. I won't work there, for those who have asked. I can now relax a bit and don't have to play freelance CERT without having the resources.

Friday was the first day of Brucon which is organized by a group of good guys and some girls and proves that there is a will to make things happen and to work together. I helped a bit today, but it is mainly their work and they should be proud of their work. It was a good event and there were many people. Tomorrow there is even a party. I won't be there I have family from the US coming over and before they leave to discover more or Europe, I should spend some time with them and my family.

I am already looking forward for Brucon 2010. The minister didn't come and the public annoncement of CERT (or any announcement) didn't happen. His loss. He lost the opportunity to get the historic picture of a minister being applauded by the community for realizing something they have been fighting for for years. His loss. If I angered some people by my hardhanded tactics to try to force the situation, excuse me. I bluffed and I have lost this time.

I am reading this blog now

http://webgunner.blogspot.com/

this is a definitive closing down of the belsec experiment. It has been interesting to say the least.

http://www.brucon.org

If you are asking yourself if those sql attacks against the Belgian banks were just an accident or some stupid attacks from kiddies or one of the smartest weapons (together with xss for example) around, you should go to this presentation

Brucon the Belgian place to be for securityminded IT people  18th-19th september

If you are in Belgium the 18th and 19th of september you should go to Brucon.org in Brussels. It is not free but I don't think there is any ITsec happening in Belgium where so many people that are thinking about and working with ITsecurity will be together. Not the commercial stuff, not the salespeople but the real ITsec researchers, testers and 'hackers' (refusing the limits of discussion).

If you are serious about Itsecurity you should be present.

If it is not for the speakers, it is to network.

Belgium is a small country, so if you want to know who is an active ITresearcher and will make name in the future (or already has like some bloggers) you can't miss this event.

http://www.brucon.org  (there are still some tickets available, but you shouldn't wait too long)

The last year we had several times to use all our imagination to keep people out of court or to publish information about critical securityproblems with some ITprojects (EID). It was clear that with the very vague Belgian cybercriminalitylaw we were very limited in our possibilities and we had to be sure that we had our back covered before doing anything. An open discussion about ITsecurity is something different as also some University researchers discovered.

The last year we also pushed for some new legislative and policy decisions and some are more or less established (the decision to establish a CERT finally) but some other still need some initiative. It was clear that even if we had some influence from the bloggersworld that we had to move up the ladder to the level were we would be involved in the discussion instead of discussing them afterwards.

My readers also know that after 5 years my family around me asked me to take some hard decisions and put me before some hard choices. The virtual world is beautiful but even if you are all day before your computer, you are alone. And all the rest is one big illusion. So I also decided to use my limited resources in a more effective way.

The only goal of EKZ, mailforlen or Belsec is just to change policy so that the internet becomes more safe for everyone. I am not making many friends with that and the victims of the present situations don't understand very well what is all about, but in the end if our actions lead to a more secure internet and a more responsable attitude and response by those responsable for guarding and securing this and other digital networks, it won't be in vain, how little progress even may be.

So after some discussions the last months, belsec has decided to integrate into an international organisations and to try to get some policy things and some thoughts about ITsecurity directed in a better way. The international organisation is ISOC and the Belgian Chapter will set up a group about esecurity. All details are not really filled in yet and some things may be changed during the course of events, but ISOC belgium has the clear intention of setting ITsecurity on the top of the agenda.

This is normal because you can't have quality or good communication or transactions without security. Security is the beginning and ending of everything that is code. And you are only as secure as the weakest link.

There are many and big plans but it is my intention to begin one step at a time. Also we will try to push for self-regulation and responsability in a first phase. If it seems totally unrealistic, than the government will have to step in. But normally the online Belgian world will have to understand that it is in their best interest to act more responsably and to set up their own strict self regulations and controls and punishment proposals if they want to be the safest place on the world wild west.

For us it is a new beginning. We will do our best not to offend someone or to come out with proposals that won't take the other side under consideration. We will do everything to work with people and organisations or institutions and hope that they will understand that with a bit of good will we can accomplish much.

I have already heard a lot from some people and some initiatives and organisations have already contacted us to work with us. You can still contact us, we are always open for new ideas and initiatives. We will however try to limit double work or to rewrite the bible. 

You can find us at http://www.isoc.be 

The information on these blogs will not be updated anyhow. It is not yet clear if we will migrate totally to isoc with the rest of the information around here.

For the flemish people, read De standaard tomorrow.

I don't know what will be written, so it will be a surprise.

Thanks and good bye

ps Belsec was a collective and not everything written under the alias is to be attributed to the person that will take part in the ISOC structure in Belgium from now on. He will deny having written himself anything here. Just for legal reasons.