Mikrotik HAP Lite - Deel 1

Door fvdberg op dinsdag 17 april 2018 17:00 - Reacties (22)
Categorie: Mikrotik, Views: 2.409

Welkom bij deel 1 van de Mikrotik HAP lite Howto reeks

Onderdeel van Hackers op je netwerk

We gaan gelijk beginnen.

We willen vanuit security overwegingen meerdere netwerken hebben.

Om meerdere netwerken te maken willen we eigenlijk ook de IP reeksen scheiden. Daarmee zien we gelijk duidelijk met welk subnet we te maken hebben. De mooiste optie daarvoor vind ik altijd een IP helper. Die versimpelt het hele verhaal behoorlijk.

Zie https://www.cisco.com/en/...ation/guide/htdhcpre.html

IP helper is een onderdeel van Cisco die op een Cisco device in de DHCP relay implementatie zit... En dus niet op onze Mikrotik. We moeten dus echt hardcore gaan routeren en kunnen ons er niet lui van af maken. Mooi, want daarmee krijg ik gelijk een kans om je echt een kijkje in de keuken van netwerk beheer te geven. En laten we eerlijk zijn...de IP helper op de Cisco is ook een lapmiddeltje en heeft weinig met bewust routeren te maken.

Wizards zijn handig en toegankelijk, dat is leuk maar niet leerzaam. Omdat we toch hardcore gaan kies ik dus ook bewust voor de console. Lekker old school, maar wel heerlijk duidelijk en nog leerzaam ook.

We hebben geen IP Helper op de Mikrotik. All is lost?

Nee, we nu eerst even de overige mogelijkheden bespreken.

Als we geen IP helper hebben.. hoe gaan we dan de boel opsplitsen?

Op de Mikrotik is wel de optie DHCP relay aanwezig...
En ja die kunnen we gebruiken icm een DHCP server met een brede scope.
Zie https://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay

Als voorbeeld: 192.168.1.1 - 192.168.254.254 in de DHCP server geeft ons 254 ranges van 254 adressen. Met Subnet mask 255.255.0.0 kunnen we deze allemaal adresseren. Oftewel we moeten er een oplossing tussen plaatsen die alleen het gewenste deel van het subnet door laat. Hier komt DHCP relay in beeld. Hiermee kunnen we een soort van proxy die de aanvragen naar de DHCP beheerd plaatsen per interface en zo toch de DHCP server van ons modem gebruiken.

Dit werkt in de praktijk wel maar is niet de ultieme oplossing die de controle en bijbehorend veiligheidsniveau geeft die we onszelf als doel hebben gesteld. We routeren zo feitelijk ook helemaal niets met onze mikrotik router. We laten dat nog steeds compleet aan ons modem van de provider over. Vanuit het modem kunnen we nog steeds overal bij komen.

En vanuit het netwerk?

Als we op een client het subnet handmatig aanpassen naar 255.255.0.0 kunnen we gewoon op de andere subnetten binnen komen. En dat zullen we ook wel moeten want we moeten voor internet echt de gateway van het modem opvoeren.. Dit zouden we op kunnen vangen met een firewall... maar toch... Eigenlijk willen we echt per interface een eigen DHCP server, gateway, firewall en ip reeks hebben. We gebruiken de Mikrotik met bovenstaande config dus feitelijk enkel als een managed switch.

Kort om: fuck die shit...We gingen Hardcore, en gaan de Mikrotik gebruiken waar hij voor ontworpen is: Routeren. We gaan dus echt all the way. Cisco eat your heart out! IP helpers zijn voor dummy's De keuze voor routeren maakt het wel iets technischer... Maar het blijft Tweakers toch? Ik geloof in jullie!

Om de Mikrotik te configureren gaan we WINBOX gebruiken. Deze verbinden we op het mac adres van de 2e poort van de router. We beginnen met een "lege" Mikrotik. We laden dus geen Default Configuration in. We gaan vervolgens de boel vanuit de commandline interface (console screen) configureren. Dit om er mee bekend te raken.

Eerst maken we bruggen aan:

/interface bridge
add disabled=no name=LAN-bridge
add disabled=no name=LAN2-bridge
add disabled=no name=LAN3-bridge

Hier gaan we nu de Interfaces aanhangen:

/interface ethernet
set 0 disabled=no name=ether1-UPLINK
set 1 disabled=no name=ether2-LAN
set 2 disabled=no name=ether3-LAN2
set 3 disabled=no name=ether4-LAN3


Poort 1 gaat naar ons modem.
Poort 2 is LAN
Poort 3 is LAN2
Poort 4 is LAN3

Meer poorten hebben we niet. Ok. Klaar met poorten voor nu, terug naar de config

LAN willen we als reeks 10.0.0.1 t/m 10.0.0.254 geven.
LAN2 willen we als reeks 192.168.0.1 t/m 192.168.0.254 geven
LAN3 willen we als reeks 172.16.0.1 t/m 172.16.0.254 geven

Bewust maken we dus 3 verschillende subnets in 3 verschillende pools:

/ip pool
add name=lan ranges=10.0.0.1-10.0.0.254
add name=lan2 ranges=192.168.0.1-192.168.0.254
add name=lan3 ranges=172.16.0.1-172.16.255.254

Dit moeten we natuurlijk ook als dhcp servers aanmaken:

/ip dhcp-server
add address-pool=lan disabled=no interface=LAN-bridge lease-time=1d name=LAN
add address-pool=lan2 disabled=no interface=LAN2-bridge lease-time=1d name=LAN2
add address-pool=lan3 disabled=no interface=LAN3-bridge lease-time=1d name=LAN3

In dit voorbeeld kiezen we voor een lease van 1 dag. Een afgegeven IP wordt dus voor minimaal 24 uur gereserveerd.

Bij gasten netwerken die openbaar zijn kan dat misschien beter nog lager worden gezet. 1h bijvoorbeeld, 1 uur.

In netwerken met weinig apparaten kan zelfs voor 1 week worden gekozen (1w)
Ik vind een dag echter mooi zat.

Nu gaan we onze poorten koppelen aan de bruggen:

/interface bridge port
add bridge=LAN-bridge disabled=no interface=ether2-LAN
add bridge=LAN2-bridge disabled=no interface=ether3-LAN2
add bridge=LAN3-bridge disabled=no interface=ether4-LAN3

Nu hebben we 3 fysieke poorten op de Mikrotik met daar op 3 losse netwerken en nu moeten we daar dus de DHCP servers naar laten verwijzen, we willen wel automatisch adressen hebben wanneer we er iets aan hangen:

/ip address
add address=10.0.0.1/24 disabled=no interface=LAN-bridge
add address=192.168.0.1/24 disabled=no interface=LAN2-bridge
add address=172.16.0.1/24 disabled=no interface=LAN3-bridge

De /24 achter het adres staat voor 255.255.255.0 als subnetmask in CIDR notatie. Prima voor een thuis netwerk, laten we dit dus even simpel houden.

Vervolgens moeten we ook nog de adressen van de default gateway toekennen:

/ip dhcp-server network
add address=10.0.0.0/8 comment="lan" dns-server=8.8.8.8 gateway=10.0.0.1 netmask=24
add address=192.168.0.0/24 comment="lan2" dns-server=8.8.8.8 gateway=192.168.0.1 netmask=24
add address=172.16.0.0/16 comment="lan3" dns-server=8.8.8.8 gateway=172.16.0.1 netmask=24

Wederom keert de 24 hier weer terug.

De default gateway wordt onze toegang tot het internet.
De dns server is 8.8.8.8, oftewel google DNS.

De DNS komen we later in een andere blog over de Pi-Hole op terug. Voor nu is het prima.

We hebben nu alleen 1 ding gemist:

Onze default gateway hebben we wel opgevoerd in de DHCP-server, maar dat gaat zo niet werken. Wat we nu nog niet doen is het daadwerkelijke internet verkeer beschikbaar maken. Dit komt aan op ether1-UPLINK en is feitelijk onze toegang tot de DMZ. Dit moeten we dus nog gaan routeren. De wijze hoe heet NAT. NAT is kort voor Network Adress Translation We gaan eerst voor een werkende configuratie zonder IPTV, die kan je namelijk ook rechtstreeks op je modem steken voor nu.

Terug naar NAT

We kijken even in de handleiding:
https://wiki.mikrotik.com/wiki/NAT_Tutorial is een optie, maar het staat iets simpeler in https://wiki.mikrotik.com...o_configure_a_home_router

We gaan beginnen met onze 1e netwerkpoort automatisch een IP op te laten halen op ons modem:

/ip dhcp-client
add interface=ether1-UPLINK add-default-route=yes use-peer-dns=yes

We hebben op dit moment nog steeds geen internet op de poorten.

De volgende stappen in dit verhaal zijn:

- NAT gebruiken als gateway,
- DMZ door laten verwijzen naar de Mikrotik
- Configureren van de firewall
- Port forwarding.

Als we dat onder de knie hebben kunnen we virtuele netwerken aanmaken, en Wifi inclusief meerdere vlans instellen of Mikrotiks koppelen via het LAN of door de lucht. Maar klaar voor nu, anders wordt de serie wel wat kort :)

En wie vindt als eerste de fout in deze blogpost... Ik ben namelijk het aller aller belangrijkste deel bewust vergeten.... De eerste die het in de comments meldt wint eeuwige roem!

Volgende keer gaan we compleet NAT

Hackers op je netwerk!

Door fvdberg op maandag 16 april 2018 17:20 - Reacties (10)
Categorie: -, Views: 5.825

Mijn blog behandeld de laatste tijd te vaak politieke of sociale zaken, en hoewel ook daar veel aan te tweaken is wil ik weer eens terug naar de oorsprong:

Howto's

Wel merk ik dat ik het schrijven leuk vind. Ik wil dus de howto's iets minder algemeen maken, en meer projecten plaatsen die Algemene, Sociale of door de politiek veroorzaakte (privacy) problemen oplossen. Een goede start daarbij lijkt me IoT wat echt een onderschat veiligheidsrisico is. Daarbij wil ik beginnen met het probleem eerst te bespreken in dit blog en daar later een leuke oplossing uitwerken d.m.v. Howto's die steeds iets dieper gaan binnen de focus. Dus ja ook darknets, VPN's en zaken als TOR komen aan bod.

Daarnaast wil ik in een aparte reeks een stapje in de richting van de ontwikkelaars gaan:
Hoe kan je voorkomen dat je apparatuur misbruikt wordt, Hoe kan je voorkomen dat anderen meekijken met wat jij doet maar ook gedachten delen over de inrichting van dergelijke systemen. Als ontwikkelaars hebben we de verantwoordelijkheid om vele issues op klant niveau op te lossen die ons tegelijkertijd ook extra voordelen opleveren. Welke? Daar kom ik later op terug.

Ik hoor graag hoe jullie hier over denken.

Als eerste wil ik beginnen met IoT.

Internet of Things

Een koppeling met het internet wordt door veel leveranciers als iets standaard gezien maar vrijwel nergens wordt iets over de impact gemeld die dit kan hebben. Er zijn steeds meer nieuws artikelen te vinden over actief misbruik van lekken in deze categorie. Ik trek deze categorie echter iets breder als enkel koelkasten... het eerste wat men als IoT ziet dankzij de media. Ik denk dan ook dat we dit probleem echt in een veel breder spectrum als IoT moeten zien.

Hoe breed?

Zo breed als mogelijk. We gaan eerst even helemaal terug naar de basis.De meeste huis tuin en keuken netwerken hebben routers/modems die niet actief beheerd kunnen worden of beheerd worden door de internet providers. Inzage in het daadwerkelijke verkeer is niet mogelijk. Laat staan filteren of blokkeren. Je weet nooit wat er precies gebeurt als je de mogelijkheden en de middelen niet hebt om actief te beheren. Dit in combinatie met functionaliteiten die de gebruikers ontlasten zo als automatische configuratie van de benodigde in en uitgaande poorten via UPNP betekend het dat je gratis een flink lek erbij hebt gekregen.

Weet je echt zeker dat niemand in je netwerk kan?

Een mooi voorbeeld is een IP camera van een prijsstunter die redelijk simpel overgenomen kan worden. Daarbij kan er meegekeken worden, maar ook terug gepraat worden. Je kind zal maar zo'n camera op de kamer hebben.... Wanneer dit een camera is in een openbare kleedkamer wordt er moord en brand geschreeuwt... zelfs als het een gesloten circuit is zonder connectie met internet. Dit is een van de ergste vormen van privacy schending... ze zullen je maar opnemen in je blote lus... of erger... Maar je zet wel die webcam van die prijsstunter neer zonder er over na te denken...
De afgelopen tijd zijn er echt veel leuke voorbeelden geweest van IP-Camera's die openbaar aan het internet hangen.

Als voorbeeld: http://www.insecam.org/

Maar het gaat nog verder...

Apparaten waar je het niet van verwacht kunnen volledige toegang tot je netwerk geven. Met de huidige trend van het automatiseren is er een nieuw probleem: slimme thermostaten
In Amerika is er een casino gehacked via een thermometer de in een vertrouwd netwerk is gehangen.

Zie http://frontpage.fok.nl/n...ackt-via-thermometer.html

Verder hebben we ook nog de Ransomware attacks als Wannacry, Petya en NotPetya.
https://internetofbusiness.com/petya-notpetya-iot-security/

Het volgende target wordt bijna zeker "IoT"

Je moet eerst een bitcoin betalen voor je bij je magnetron maaltijd mag!
"Even" een apparaat ondoordacht in je netwerk hangen is niet slim en kan zelfs gevaarlijk zijn en verregaande gevolgen hebben voor zover dat nu al niet zo is. Het belang van een actief beheer van toegang op het netwerk is enkel alleen om die reden al gewenst.

Actief beheer gaat veel verder als een pakket als Kaspersky Total Internet Security, Ziggo Safe Online of KPN Veilig (beide F-Secure) op je laptop installeren. Dat is verreweg onvoldoende omdat dit alleen de daadwerkelijke PC waar het op staat beschermt en je feitelijk nog steeds vertrouwt op het werk van anderen.
Het gaat dus niets doen voor je smart tv of thermostaat. Als jou thermostaat als "man in the middle" gebruikt zou kunnen worden moet jij dus ook een "man in the middle" in je netwerk hebben die letterlijk inzage heeft en geeft in met wie er gecommuniceerd wordt en op welke poort. En eigenlijk zpu je ook exact willen weten wat al is dat weer een privacy gevoelig iets.
Al is het alleen maar om te voorkomen dat je thermostaat met een ander als de fabrikant of jezelf communiceert. Een thermostaat heeft echt niet meer toegang nodig, dus waarom zouden we hem dit geven? En UPNP... super handig vanuit de gedachte dat je gebruikers niet op moet zadelen met technische handelingen, maar als er met security verder niks gedaan wordt is het gewoon een lek. En dat is iets wat we bij veel IoT apparatuur zien. Er worden via UPNP niet standaard poorten open gezet zonder dat bekend is waarom.
Vaak is er een Linux achtige terminal aanwezig die als ie al versleuteld is met SSL toegankelijk is met niet al te sterke (vaak standaard) wachtwoorden. Net als een webinterface op poort 80 met als gebruikersnaam en wachtwoord admin en admin. Over het algemeen is er totaal niet over de veiligheid nagedacht of zijn er van fabriekswege al issues in de firmware aanwezig. Vervolgens is er door het karakter van IoT (Internet of Things) vrij lastig te definieren is welk verkeer mag of niet. En ja ook je router van je provider heeft dit issue. Deze kan je enkel als DMZ (De-Militarized Zone) gebruiken. Oftewel wanneer je je internet verkeer beheert op je systeem met een pakket als de F-Secure Ziggo/KPN pakketten is het relatief veilig. Nog steeds onvoldoende in mijn ogen... maar beter als niets doen. Een slimme thermostaat? No way! Die wil ik nooit in een DMZ zien! De reden weet je. Toch doe je het. En stiekem vaker als je denkt! Niet alleen met thermostaten.

We moeten dus als we IoT apparatuur willen gebruiken ook een beveiliging/structuur aanbrengen in ons thuisnetwerk maar om nu gelijk een "Barracuda" op te hangen... Dat gaat wat ver. Nog buiten dat het slechts een merk is met een oplossing ipv een oplossing. Toch wil ik die meuk niet direct in mijn netwerk hebben,
Ook wil ik zeker weten dat die meuk communiceert en met wie. Dit zodat ik uit kan sluiten dat het met zaken communiceert waarvan ik absoluut niet wil dat het communiceert. Aangezien die zooi allemaal op wifi werkt tegenwoordig wil ik daar een apart V-Lan / SSID voor maken. Dat geeft ons een iets gerichtere focus. Maar we willen er natuurlijk wel gewoon als vanouds bij kunnen vanuit het interne netwerk. We zullen een oplossing moeten vinden..

Ook op een laag budget zijn er mogelijkheden! De kosten van bijvoorbeeld de Mikrotik Routerboard producten en daarbij een Raspberry Pi Zero met pi-hole als DNS maken wel dat we voor relatief weinig geld iets kunnen configureren waarmee we in elk geval de controle terug kunnen krijgen. Ik wil voor deze blogserie een budget van maximaal 50 euro pakken. We gaan in het volgende blogje beginnen met een stukje introductie en basis configuratie van een simpele Mikrotik HAP Lite van minder als 30 euro. Later pakken we een raspberry pi zero van minder als een 10 tje.

Ik heb er zin in en jullie?

Sleepwet Referendum - Waarom tegen stemmen

Door fvdberg op woensdag 14 maart 2018 21:00 - Reacties (17)
Categorie: -, Views: 2.769

In mijn omgeving hoor ik veel onbegrip over het referendum over de sleepwet.

Vooral oudere mensen snappen niet wat het issue met de sleepwet is, en begrijpen niet waarom daar een referendum over moet zijn. en hebben die mening gebaseerd op wat ze bij de NOS horen en in de krant lezen. De moeite er in te verdiepen om een onderbouwde voor of tegen stem te doen hebben ze ook geen zin in.

Wat is de sleepwet

De sleepwet of aftapwet is de benaming voor de wet waar een wetsvoorstel voor ligt. De inhoud van de wet heeft verstrekkende gevolgen voor de privacy van Nederlanders die het internet gebruiken.

De wet, die officieel “wet op de inlichtingen- en veiligheidsdiensten” heet, moet een vervanging zijn voor de verouderde wet die volgens de overheid niet geschikt voor de tegenwoordige digitale communicatie.

Vernieuwing is toch goed?

Op zich is het goed dat er een nieuwe wet komt, de huidige is inderdaad verouderd.
Het grote probleem is echter dat de dienst te veel vrijheden krijgt binnen de wet in mijn ogen.

De wet zorgt er namelijk voor dat de kans aanwezig is dat je wordt afgeluisterd en wordt gehackt door de overheid zonder dat je verdachte bent.

Bovendien wordt alle data die wordt verzameld door de inlichtingen en veiligheidsdiensten 3 jaar bewaard. De bewaartermijn is in mijn ogen te lang. Ook denk ik dat die bewaartermijn juist de verzamelde gegevens in de praktijk onbruikbaar maakt.

Vervolgens mag de overheid deze gegevens ook delen met buitenlandse overheden waar andere bewaartermijnen gelden.

Dit delen mag zonder verdere controle gedaan worden. De data hoeft dus niet eerst geanalyseerd te worden door Nederlandse diensten. Dit houdt dus bijvoorbeeld in dat jouw data en informatie zomaar bij bijvoorbeeld de Amerikaanse overheid kan komen te liggen.

Door die gegevens vervolgens op te vragen is een omweg om in theorie de data oneindig lang te kunnen bewaren.

Alle geautomatiseerde apparaten mogen gehackt worden

Deze wet is van toepassing op alle geautomatiseerde apparaten. Dit houdt dus in dat de overheid zichzelf toegang kan verschaffen tot al jouw apparaten. Denk bijvoorbeeld aan je telefoon, smart-tv, computer, tablet, laptop enzovoort.

Data of back-ups op een NAS, online opslag of (bedrijfs)netwerk zetten maakt dus dat ook deze gehackt mag worden en dus geÔndexeerd mag worden.

het afluisteren en hacken zonder dat je verdachte bent is in mijn ogen een ernstige schending van privacy en brengt bovendien potentiŽle gevaren met zich mee in de toekomst.

Wat zijn de potentiele gevaren?

Om als voorbeeld te geven: De overheid kan op deze manier een beeld maken van je persoonlijkheid, politieke voorkeur en geloof. Hiermee kunnen ze bepalen of je een gevaar bent voor de samenleving.

Profiling

Wie een beetje geschiedkundig ingesteld is weet dat o.a. registratie van geloof iets is wat al eerder is misbruikt.

In januari 1941 moesten alle joden zich melden voor registratie.

Vrijwel iedereen gehoorzaamt. Want wat gebeurt er als je weigert? En waarom zou je niet uitkomen voor je afkomst?

Later maakt de registratie het de Duitsers makkelijker om de maatregelen tegen de joden uit te voeren.

Kerken en moskeeŽn gebruiken tegenwoordig digitale administraties, ontvangen bedragen van rekeningnummers. Dit betekend dat dit door de overheid geÔndexeerd kan worden op de diverse manieren, door af te luisteren... Door te hacken... Door profielen te schetsen..

Betaal je dus aan een kerk, moskee of andere instelling/stichting/vereniging die direct te linken is aan een geloof, politieke voorkeur, of andersoortige groep dan is dat een reden om dat aan je profiel toe te voegen, en hoewel de gegevens maar 3 jaar bewaard mogen worden kan zo'n profiel ook zonder die data bewaard blijven.

Er zijn nog meer voorbeelden van profiling te noemen, maar ik beperk me even tot de al eerder misbruikte registratie van geloof. Andere voorbeelden graag in de comments.

Maatregelen om te voorkomen dat de overheid informatie over je internet gedrag vergaart

Wanneer inlichtingendiensten jouw data willen hebben lukt ze dit heus wel. Het is nagenoeg onmogelijk jezelf onzichtbaar te maken voor de inlichtingendiensten.
Er zijn momenteel wel een aantal goede opties maar zelfs onder de huidige wetgeving hebben de inlichtingendiensten al voldoende methodes om ook dan jouw data in te zien na toestemming van de officier van justitie.

Immers is ons modem in nagenoeg alle gevallen niet ons eigendom, maar van onze internet provider, Hier zit dus een backdoor op en dat is ons zwakste punt.

Om die reden ga ik deze kennis dan ook niet delen. Immers het ondermijnen van de huidige wet werkt positief voor de acceptatie van de sleepwet.

Er zijn wel een aantal methodes die ik ethish gezien graag deel omdat ik voorstander ben van vrijheid van meningsuiting, en een voorvechter van privacy ben.

De belangrijkste:

VPN

Een VPN is een zeer goede oplossing als je wilt voorkomen dat overheidsinstanties jouw dataverkeer gemakkelijk kunnen aftappen. Uiteraard moet deze VPN wel naar een land lopen waar er geen banden zijn met Nederland en een land waar loggen niet verplicht is en dus ook niet gebeurt.

Natuurlijk is het zo dat wanneer overheidsinstanties jou echt willen aftappen en informatie over jou zoeken, ze echt wel een methode vinden om jouw data in te zien.

Maar wanneer iemand in jouw wijk bijvoorbeeld verdacht is, maakt de nieuwe sleepwet het mogelijk dat ook al jouw data wordt afgetapt. Wanneer je internetverbinding via een VPN verloopt zullen ze alleen versleutelde data tegenkomen in jouw internetverkeer.

Dit is ook weer een trigger, zie het eerdere kopje profiling, In het kader waarom zou je een VPN gebruiken als je niks te verbergen hebt?

Simpel, omdat je normaal gesproken onschuldig bent tot het tegendeel bewezen is, en je niet mee hoeft te werken aan je eigen veroordeling.

Om die reden is het wijs om een VPN met een automatische kill switch te gebruiken, een VPN service is door het beginpunt te blokkeren eenvoudig ontoegankelijk te maken en dus uit te schakelen.

Zonder kill switch zal je op dat moment je eigen verbinding weer gebruiken. Met als gevolg dat je data weer zichtbaar is.

Vele bedrijven gebruiken VPN om thuiswerken te faciliteren of locaties te koppelen.

Een VPN valt best wel op als je Deep Packet Inspection gebruikt en is dus redelijk eenvoudig te flaggen in een profiel. Als je niets te verbergen hebt maar enkel privacy wenst zie ik die flag niet als een groot probleem. Zeker niet als iedereen dat gaat doen.

Ook heeft de overheid daarmee nog steeds de mogelijkheid om je apparatuur te hacken, en zo toegang tot je netwerk te krijgen. Als je daadwerkelijk een potentieel gevaar bent zet een VPN ze niet buiten spel.

Nogmaals ik heb weet van andere opties die ook dat kunnen voorkomen, maar die ga ik bewust niet delen. De onderbouwing daarvan lijkt me logisch. Ook graag niet delen als reactie hierop.

Grootschalig afluisteren is niet effectief.

Bij de meeste aanslagen blijken de daders bekend te zijn bij inlichtingendiensten of bekend te staan als jihadist.

PotentiŽle aanslagplegers die al bekend zijn, hoeft je niet op te sporen door grootschalig het internet af te luisteren. Ook onder de huidige wetgeving is het al mogelijk gericht verdachte personen op internet af te luisteren.

De Raad van Europa heeft onderzoek gedaan naar grootschalig afluisteren en concludeert onomwonden dat "massasurveillance geen effectief middel is in de strijd tegen terrorisme of georganiseerde misdaad in vergelijking met traditionele, gerichte surveillance". Ook het doorzoeken van gegevens met profielen om terroristen te vinden is niet effectief.

De Wetenschappelijke Raad voor het Regeringsbeleid constateert: "Omdat elke terroristische aanslag uniek is, is het nagenoeg onmogelijk om een goed profiel te maken. In combinatie met een gering aantal aanslagen levert dit te hoge foutpercentages op."

Bij de aanslagen in Barcelona hebben de daders offline gecommuniceerd juist om ontdekking te voorkomen. De aandacht voor dit soort dreigingen kan verslappen als de AIVD druk is met het afluisteren van de rest van Nederland. Om die reden adviseer ik een VPN. De terroristen gebruiken al lang andere technieken die ik bewust niet ga noemen.

Gebrekkig toezicht

Verregaande bevoegdheden verdienen extra goed toezicht. Dat ontbreekt in deze wet.
Voor de bevoegdheden moet een speciale commissie toestemming geven, maar die mag niet alle informatie inzien en kan daarom onmogelijk een afgewogen oordeel geven.

Achteraf mag de toezichthouder CTIVD de inlichtingendiensten controleren, maar die mag weer geen bindende adviezen geven. Instanties als de Raad van State, de CTIVD en de Autoriteit Persoonsgegevens hebben er op gewezen dat het toezicht onder de maat is.

Met die kritiek is niets gedaan.

In strijd met mensenrechten

Ongerichte massa-surveillance is in strijd met fundamentele mensenrechten. Afluisteren van mensen is alleen toegestaan als het duidelijk is afgebakend, zowel in tijd als in categorieŽn personen.

Het Europese Hof heeft in 2008 het grootschalig afluisteren door de Britse regering vanwege het abstracte begrip "nationale veiligheid" als onrechtmatig bestempeld.

Intimiderend en zelf censuur

Er gaat een intimiderende werking van de wet uit. Grootschalig afluisteren van internet zal mensen voorzichtiger maken. Je weet nooit of de autoriteiten meekijken bij wat je op internet doet.

Een onderzoek van de universiteit van CaliforniŽ laat zien dat na de Snowden-onthullingen, pagina's met terrorisme-gerelateerde onderwerpen 20% minder werden bezocht.

Een ander onderzoek laat zien dat 34% van de mensen terughoudender op internet wordt door het grootschalig afluisteren.

Volgens de onderzoekster "dwingt de angst voor overheidscontrole tot een vorm van zelfcensuur die we normaal in politiestaten zien".

Oftewel het gaat in tegen de vrijheid van meningsuiting en van informatie.

Totalitaire infrastructuur

Met de nieuwe wet wordt een mogelijkheid geboden om een infrastructuur op te tuigen om de gehele bevolking in de gaten te houden.

Er komen aftappunten bij internetknooppunten en mogelijk bij (tech-)bedrijven of instellingen.

Er komen grote opslagsystemen bij de AIVD en software om alle gegevens van Nederlanders te koppelen en analyseren.

Dit is de infrastructuur die je verwacht in totalitaire regimes. Ook democratisch gekozen leiders kunnen die infrastructuur inzetten voor eigen doelen, zoals bijvoorbeeld de Turkse situatie laat zien.

DNA databank
Een ander gevoelig punt is de DNA databank.

Waarom geen landelijke databank met DNA van alle Nederlanders? Zou een onderzoek als dat naar de moord op Marianne Vaatstra dan niet eerder afgerond zijn geweest?

Ja. een lijst met mogelijke daders had verkregen kunnen worden als er voldoende familieleden van de verdachte al in de databank had gezeten.

Echter zijn dat er zo verschrikkelijk veel als je over alle Nederlanders filtert dat die groep zo groot is dat zelfs de dader een speld in een hooiberg was geweest.

In het boek "Stammen alle Gemertenaren af van Karel de Grote" uit 1993 van Hans Vogels en Willy Ivits wordt bovendien ook nog eens cijfermatig bewezen dat iedereen van Karel de Grote af moet stammen.

Echter heeft ook de dader vrijwillig meegewerkt aan de oproep om DNA af te staan,

Het niet afstaan maakt je bij een dergelijk onderzoek namelijk ook verdacht. Als er geen match is blijven die over die niet hebben meegewerkt..

Oftewel Sociale druk.
Niks DNA databank.

Dit maakt dat een hele grote databank aan leggen met al ons DNA enkel een grote kostenpost is.

Bovendien is er al een DNA databank, een ieder die langer als 4 jaar celstraf krijgt moet al verplicht DNA af staan. Hierdoor is de databank van de politie al best wel fors, Indien jouw DNA-materiaal er al in zit zou dat dus zomaar een geleide kunnen zijn richting je broer of zoon.

Tegelijkertijd is onze kennis van DNA ook weer niet zo groot dat we op grote schaal profielen kunnen vergelijken, zeker niet wanneer we teveel profielen hebben. Op dit moment kan wat gezegd worden over geslacht, etnische herkomst en oogkleur, maar verder is het allemaal nog redelijk dark matter.

Een bevolkingsbrede DNA-databank is niet gewenst, niet werkbaar en zal ook onvoldoende opbrengen.

Ik hoop dat ik een ieder heb kunnen overtuigen van het nut van de tegen stem volgende week, Delen is lief!

Internationaal betalen

Door fvdberg op maandag 12 februari 2018 18:27 - Reacties (8)
Categorie: -, Views: 1.000

Je zou verwachten dat internationaal betalen steeds makkelijker en goedkoper wordt, Niets is minder waar. Ondanks het mooie SEPA systeem is er feitelijk nog niets verbeterd

Vandaag nog moest ik een bedrag overmaken naar polen in poolse zloty. Ik log in bij KNAB, en kan nergens de valuta selecteren. Navraag leerde dat ik daarvoor een formulier moest invullen en terug moest mailen.

Kosten: 15 euro plus 0,1% procent, en geen woord over de wisselkoers.

ok die 15 euro maakt het duur maar wat moet dat moet. Ik formulier ingevuld, wat blijkt: KNAB ondersteund geen SEPA overboeking in PLN.

Advies van KNAB: probeer een andere bank.

Informatie ingewonnen bij andere banken en overal worden dergelijke hoge tarieven gevraagd, wel flink lager als KNAB maar toch alle anderen ondersteunen PLN wel.

Omdat ik niet kan wachten tot ik een zakelijk account heb bij een andere bank toch eens verder gekeken. Ik kwam bij Transferwise uit.

Bij transferwise maak je een account aan, je voert de gegevens van de ontvangende partij in en kan vervolgens betalen met ideal, creditcard en nog een aantal andere opties. Transferwise is zonder extra ‘verborgen’ kosten zo als de wisselkoers die door de banken gehanteerd wordt.

Ik was uiteindelijk nog goedkoper uit ook als bij de bank met iets meer als 2 euro aan kosten.

Mijn advies? SEPA betalingen die niet in EUR gaan of andere internationale betalingen gewoon lekker via transferlink doen. sneller, gebruiksvriendelijk en veel goedkoper als via je eigen bank.

Hier kan je een account aanmaken: http://bit.ly/2EBnacc
Via deze link krijg je 1 gratis internationale overboeking (tot £500)

Ouders van tegenwoordig...

Door fvdberg op zaterdag 21 oktober 2017 12:25 - Reacties (52)
Categorie: -, Views: 5.714

Woord vooraf:
Niet geschikt voor ouders van nu die hun kinderen klein houden, dit artikel kan hard aankomen!
Het artikel is buiten mijn mening ook echt op feiten gebaseerd, en om te voorkomen dat er in de discussie oorlog uit breekt 1 regel: Alles dient onderbouwd te zijn.

Zo nu van start

Vanmorgen was het weer eens zo ver, Er ging een opsporingsbericht met foto over de Facebook en de lokale app groepen heen dat zoonlief gisteren om 22.00 naar een feestje ging, en nog niet was thuisgekomen.

Als je hier iets over zegt als heb even geduld en wacht even af voor je begint te alarmeren beginnen de ouders weer te piepen dat je de kinderen wel kan vertrouwen maar de wereld niet.

Natuurlijk heb je het recht om bezorgd te zijn als je wakker wordt en je zoon nog niet thuis is, echter waarom moet gelijk alles en iedereen op de hoogte worden gesteld?

Ik snap wel waar het vandaan komt, maar dat betekend niet dat ik het er mee eens ben.
De oorzaak is de huidige trend sinds grofweg 2000 in opvoeden.

Kinderen van tegenwoordig worden compleet anders opgevoed als ik in de jaren 80/90.
Kinderen worden zo lang mogelijk klein gehouden en tot in den treure beschermd.

En ja ik heb praktijkvoorbeelden:

Wanneer een kind iets verkeerd doet en straf krijgt van de begeleider bij de scouting zijn de ouders in staat om het kind ondanks deze straf gewoon mee te nemen, want mijn kind doet zo iets niet. en in geval van corvee: mijn kind hoeft geen WC te boenen.

Let op: we hebben het hier over kinderen van 12 t/m 16 jaar! die worden vaak nog door de ouders gehaald en gebracht...

Als wij later thuis kwamen (wij werden niet gehaald/gebracht, wij hadden een fiets) en mijn ouders vroegen waarom we zo laat waren en we zeiden dat we straf gehad hadden dan was het enige wat ze er over zeiden dat we het dan wel verdiend zouden hebben. en als de reden ook hun echt te ver ging kregen we er thuis nogmaals straf bovenop.

Dit ging precies hetzelfde met school.

Vanaf een jaar of 16 mochten we stappen en vertrouwen moesten we verdienen.

In het begin kregen we tijden opgelegd, en hier hielden we ons aan, maar dit werd steeds ruimer tot het vertrouwen er was en er geen tijd meer was. Vaak gingen we pas naar huis als de zon op kwam.

Er waren 2 regels: 's avonds een vent, 's ochtend een vent, oftewel als er familiaire zaken op zondag gepland waren was het stappen geen excuus. hoe brak ook je ging gewoon mee of hielp gewoon mee.
En als je thuis kwam deed je dat zo stil mogelijk.

Hoe gaat dit nu?

Ouders hebben geen tijd meer om op te voeden, en laten dit aan anderen over, De school, de voetbal, de scouting,, Wanneer ze wel tijd hebben gaan ze in de overdrive, en alles wat kan worden bemoederd of bevaderd wordt dat ook.

Elke negatieve eigenschap wordt ontkent of weggepoetst met een positievere eigenschap, elk potentieel risico wordt uit de weg genomen. Het antwoord op slechte cijfers door slecht gedrag is bijles of een diagnose laten stellen als ADHD. en slechte cijfers door slecht presteren wordt ook genegeerd, bijvoorbeeld een tekening dieop school gemaakt en beoordeeld is. Deze wordt als een waar kunstwerk gezien in plaats van dat er positieve adviezen op komen zo als: ik zou er de volgende keer de lijnen wat strakker zetten of er wat meer kleur in brengen.

Met andere woorden: Kinderen zijn niets meer gewend, en hebben enkel aan de kromme verwachtingen van de ouders moeten voldoen (meer een ideaalbeeld als verwachting) Maar deze kinderen kunnen daardoor vervolgens niet aan de verwachtingen van de maatschappij waar ze in terecht zullen komen voldoen.

Wat je vervolgens ziet gebeuren is dat kinderen die zodra ze eindelijk onder het juk van hun ouders vandaan komen gewoon nog niet klaar zijn voor de echte wereld. Dit met allemaal problemen als gevolg, en daarnaast kunnen ze niet tegen kritiek, net als hun ouders dat ook niet kunnen.

En dat is ook bewezen: Er zijn nog nooit zo veel kinderen geweest met een diagnose. Maar ook zijn er zeer veel 20'ers die een burn out hebben, stress vertonen en/of bij de psychiator lopen. De kosten van de GGZ voor deze categorie zijn nog nooit zo hoog geweest.

Met andere woorden: De conclusie dat ouders de teugels moeten laten vieren, en dat hun kinderen niet klaar zijn voor de toekomst is gewoon terecht.

Mijn mening? Kinderen van nu zijn mietjes en ouders van nu ontkennen alles.

Kinderen worden klein gehouden tot na hun 18e, en het wangedrag buiten het zicht van de ouders wordt ontkent. In veel gevallen (gezonde ontwikkeling in mijn ogen) breken kinderen zelf los rond hun 16e, ze gaan zich er tegen verzetten. maar waar de ouders dat ook toe moeten laten gebeurt dat niet, nee als dat gebeurt schreeuwen de ouders moord en brand.

Help mijn kind is om 10.00 nog niet thuis! hij is om 22.00 weg gegaan gister avond

Als voorbeeld:

Af en toe pakten we de trein naar Amsterdam om 22:30, en gingen stappen.

Vervolgens hadden we met wat geluk de nachttrein van 06.00 naar Leiden, en daar dan wachten op de eerste bus die op zondag pas tegen 8 uur ging. Dus wachten we tot een uur of 7 de winkels open gingen. daar dronken we nog een bak koffie. Omdat we vanaf een centrale plek weg gingen moesten we vanaf die plek ook weer naar huis fietsen, of je kreeg bij iemand thuis nog wat drinken en een boterham aangeboden of wat dan ook.

maar ook in de stad, soms bleef je elders slapen en na het ontbijt ging je naar huis.

dus om 10.00 nog niet thuis zie ik echt niet als een issue.

En ja in die tijd konden we SMS en, en dat deden we niet eerder als dat zij dat deden. Daar dachten we niet aan. Tegenwoordig zitten ouders en kinderen de hele dag op de whatsapp. Welke vrijheid

Ouders van nu moeten hun grote waffel gewoon eens houden, niet alles afzwakken, de teugels losser durven doen en wat meer vertrouwen hebben.

En nog een voorbeeld van zaken in de media die ouders extreem angstig maken:

De moord/verkrachting op Anne Faber:

Als Anne daar niet gefietst had, dan had de dader de dochter van iemand anders verkracht/vermoord.

Met andere woorden: je moet de oplossing niet zoeken in een excuus als "ze fietste alleen" of "als ze een andere route had genomen..." De verkrachting/moord voorkom je er niet mee, enkel de persoon die verkracht/vermoord wordt.

Wil je dit kunnen voorkomen dan moet je het in de begeleiding van dat soort mafkezen zoeken. En ja dit soort zaken bespreken hoort bij de opvoeding. oftewel er lering uit trekken.

Maar er krampachtig op reageren als avondklokken instellen. extreem gaan controleren of extra zorgen gaan maken of maatregelen nemen... dat werkt enkel negatief voor alle partijen. zowel psychisch op dat moment als in de toekomst.

Nawoord:

Ouders die hun kinderen wel normaal opvoeden hoeven zich niet aangevallen te voelen.
Ouders die zich aangevallen voelen: Graag enkel reageren met onderbouwde reacties, Dit ter voorkoming van een oorlog in de comments.