Internet, open bronnen, privacy en veiligheid

Internet, openbronnen, privacy en veiligheid

VROM-IOD, 28 januari 2010

Aan de orde komen

• Wat zijn openbronnen

• Bevoegdheden en juridische implicaties

• De bronnen

• Web 2.0

• IRN en veiligheid

• VROM-IOD thema’s

René Leijen

Informatiespecialist

€ Politieacademie | Directie Onderzoek,Kennis & Ontwikkeling | Afdeling Kennis

PolitieKennisNet

http://copsincyberspace.wordpress.com

http://twitter.com/nummer14

rleijen@planet.nlrene.leijen@politieacademie.nl

http://delicious.com/enerene

http://slideshare.com/enerene

http://nl.linkedin.com/in/reneleijen

How the story begins ...

• “Do not send a spy where a schoolboy can go.”

• “The problem with spies is they only know secrets.” 

Robert Steele, OSS.net (1994-95)

En dus zijn dit allemaal bronnen!

December 1996:

ACCACIA

Deelproject Open Bronnen

• “Al voor de start van het Accacia-programma, waren bij de Nederlandse politie initiatieven zichtbaar op het gebied van open bronnen. Deze initiatieven waren de aarzelende, eerste schreden in een wereld die van oudsher niet de hare is. De gangbare informatiebestanden zijn voor het overgrote deel traditionele politiebronnen. De komst van Accacia heeft deze initiatieven gebundeld. “

Definitie Openbron (1996-1997)

• informatie • vooral elektronische informatie

• die voor iedere burger• onafhankelijk van functie

• op legale wijze• zonder formele belemmeringen• volgens leveringsvoorwaarden

• al dan niet tegen betaling• prijs bepaalt niet op iets open is

• verkrijgbaar is

Voorbeeld 1: Nigerianen en fraude

• Een simpele zoekactie in wereldwijd verschijnende kranten levert tientallen artikelen op. Zo blijkt dat The Serious Fraud Office van New Zealand al in 1992 vergelijkbare zaken kende. Na die datum is in New-Zealandse kranten overigens weinig meer verschenen over dit onderwerp. Een telefoontje is dan genoeg om daar meer over te weten te komen. Vanaf 1993 verschijnen berichten in de Canadese en Engelse pers. In diverse publikaties uit een reeks van jaren wordt een Engelse collega genoemd als expert op dit gebied. Telefonisch contact met deze man kan een actuele kijk op het probleem opleveren en wellicht een (aangepaste) visie voor de toekomst.

Voorbeeld 2: Shaken baby

• Eén korps vertrouwde de plotselinge dood van een kind niet helemaal. Een zoekactie in enkele medische databanken binnen Lexis-Nexis leverde een schat aan informatie op over het zogenaamde shaken baby syndroom. In een van die documenten kwam een Nederlandse medicus aan het woord. Binnen een half uur was er telefonisch contact tussen rechercheurs en deze specialist, die de doodsoorzaak zou kunnen bevestigen.

Voorbeeld 3: Munchhausen

• Tijdens het verhoor verklaart een vrouw te lijden aan het Syndroom van Münchhausen by Proxy. Er is uiteraard niemand die daarvan gehoord heeft en ook geen psychiater aanwezig. Het verhoor wordt een aantal dagen opgeschort. Een zoekactie in Lexis-Nexis levert binnen tien minuten veel informatie op over dit syndroom. Zelfs zoveel dat duidelijk wordt dat het voorarrest verlengd moet worden en dat haar kinderen onder voogdij geplaatst moeten worden.

Voorbeeld 4: Mes

• Bij een overval is een bepaald merk mes gebruikt. Om de koper te vinden wordt een buurtonderzoek gehouden. Driehonderd winkels worden bezocht, ook tientallen waar dat merk niet verkocht wordt. Via databanken als de ABC voor Handel & Industrie werd binnen enkele minuten een overzicht gevonden van Ned. Importeurs/groothandelaren van messen en keukenmessen. Contact met hen levert informatie op waarmee het buurtonderzoek veel gerichter kan plaatsvinden.

Opdracht 1: juridisch

En nu …

• Bijna vijftien jaar later ....

• Een stuk ouder & grijzer

• Ook wijzer?

Naw-gegevens? honderden ptt’s en gouden gidsen op internet

Financiële gegevens? graydon, d&b, reach, teikoku, yritysfaktat

Geografische gegevens? easytravel, streetatlas usa, maps.google.com, street view

Juridische gegevens? wetten, jurisprudentie, uitspraken – veroordelingen zelfs!

Landeninfo? CIA World Factbook, country (risk) reports, Wikipedia

Is alles te vinden?

Vluchtgegevens? Flight Disk (official airline guide), live aircraft tracking

Gegevens over mdma of andere chemicalien? Chemical abstracts

Persoonsgegevens? Schoolbank, Klasgenoten, Dienstmakkers, Reunieweb, Habbo,

Wieowie.nl, LinkedIn, Hyves, MSN, CU2, Sugababes, Hookers, Internetoplichting, Ikbengenaaid.nl

Goederen en bedrijven? Marktplaats, Speurders, eBay, KvK’s, Kadaster, Wieowie.nl,

Dun&Bradstreet, Dutch Company Information (LN), Bedrijvenverkoop, RDW, Funda, Goud.pagina.nl, Zilver.pagina.nl

Geld? DNB / FXHistory, Eurotraq / Where’s George?, Money

Laundering, Banken.pagina.nl, Fraude.pagina.nl, IMOLIN + AMLID database, Underground banking

Is alles te vinden?

En natuurlijk ook ...

En niet te vergeten

www.vrom.nl

www.vrom.nl op 26.01.2003

‘Successen’ -- beleid of incident?

In ieder geval: Politie 2.0

2009:Politiebronne

n.nl

Of zijn er nog steeds belemmeringen?

• Onbekendheid • Risico's • Juridisch, privacy, onjuiste informatie etc • Geen meerwaarde zien • Technische belemmeringen

– Toegang op werkplek, stand-alone

• Tijd /capaciteit– 'we hebben geen tijd/mensen om veel met internet te

doen'

Risico’s

• Herleidbaarheid naar prive-gegevens

• Imagoschade

• Gebruik geen standaardvoorzieningen– Dynamisch ip-adres

• Maar ook: Tijdstip van rechercheren– Voorbeeld: om 07.00 uur sites van Hells

Angels bezoeken

Zoeken vs rechercheren• We kennen Google, maar ....

• Voor opsporingsdoeleinden zoeken naar personen of gebeurtenissen

• Filteren van de juiste gegevens uit de hooiberg • Dóórzoeken op gevonden info

• Kán worden gezien als rechercheren [niet meer als zoeken]

• Let dan op bevoegdheden!

• Rechercheren op het internet is niet iets wat iedereen maar willekeurig kan doen. Hiertoe is een gedegen opleiding vereist.

• Zoeken kan iedereen, rechercheren is een vak!

Zoeken naar

• Mensen

• Bedrijven

• Goederen

• Foto’s/filmpjes/videos

• Lokaal

Mensen• Zoek creatief: Adrianus Gerardus van den Brink, roepnaam Gerard,

woonplaats Den Haag, geboren 12-11-1976. kan ook gevonden worden met – “Gerard van den Brink” – “G van den Brink” – “A.G. van den Brink” – Gerard Brink “Den Haag” – Gerard “12 november 1976”

• Hyves, de belangrijkste sociale netwerksite, wordt niet helemaal door Google doorzocht. Zoek dus op Hyves zelf. Zoek op adere profielsites kun als je aanwijzingen hebt over lidmaatschap van groepen (hobby, afkomst, subcultuur, etc). Zoek eventueel via partners, kinderen, ouders of vrienden of buren.

• Zoek ook op usernames of bijnamen van mensen, eventueel in de Forumgrazer (zoekt door 700 Nederlandse en Belgische forums).

• Let op dat zoeken bij www.wieowie.nl op hun servers allerlei informatie achterlaat over gebruikte ip-adressen.

Bedrijven

• Zoek uiteraard eerst in de KvK • Zoek daaropvolgend op de website van het

bedrijf, eventueel via Archive.org. • Zoek via Google Advanced > “link” naar welke

sites allemaal linken naar de website van het betreffende bedrijf.

• Zoek op Google op het domein van het bedrijf naar verschillende bestandsformaten (.ppt powerpoint; .doc word en .xls excel).

Goederen

• Zoek naar producten via webshops, veilingsites en advertentiesites

• Gebruik gespecialiseerde zoekmachines als Zoekwekker.nl, Veilingkijker.nl of Advertentiezoeker.nl.

• Abonneren je eventueel op artikelen (automatisch bericht als dat wordt aangeboden)

Foto’s en videos

• Zoek op speciale foto/videosites als Flickr.com, YouTube.com of Picasa.com.

• Zoek op tags, beschrijvingen in steekwoorden door gebruikers zelf toegevoegd.

• Zoek geavanceerd, bijvoorbeeld via video.google.com of met de Advanced Image Search van Google.

Zoek lokaal

• Gebruik Google Maps

• Zoek eventueel via de honderden lokale sites; deze bevatten allerlei informatie over plaatsen en wijken (Buurtlink.nl bijv.)

• Gebruik Streetview (alle grote steden van Nederland)

• Gebruik eventueel Funda.nl

Bewustwording dus

En niet alleen bij politie...

IRN Internet recherche netwerk

Informatie: Peter de Beijer, Gelderland-Zuid

Wie wil je zijn?

•

Hoe doe je dat?

• Vervalsen websites en e-mails• Inpikken van iemands identiteit (ook van

overledenen)• Massa-aanbod persoonlijke gegevens in

openbronnen• Misbruik actualiteit• Jezelf anders voordoen• Burger van niet-bestaand land

Jezelf anders voordoen

Belvine

Burger van niet-bestaand land (1)

Sealand

Burger van niet-bestaand land (2)

Okusi Ambeno

Misbruik actualiteit

Tot slot: enkele tips & trucs

• Betrouwbaarheid?– Wie/wat is de bron

voorbeeld: http://www.spyderweb.nl/

• Actualiteit– Hoe recent is een site bijgewerkt?

• Waarde– Voor iedereen anders

• Vervolg– Zoekmethode vastleggen in pv

Bedenk een stappenplan

• Voorbereiden– Wat wil je weten– Wat weet je al– Wat wil je precies weten– Welke zoektermen gebruik

je– Waar ga je zoeken

• Uitvoeren en verwerken– Zoek en gij zult vinden– Pas vragen/-termen aan– Bewaar wat je vindt– Noteer bron en zoekmethode– Beoordeel betrouwbaarheid

en waarde– Leg vast wat je gevonden

hebt en hoe!

Leg vast wat je vindt

• Leg je hele zoektocht vast• Maak schermprintjes • Noteer o.a.

– De verwijzende website – Het IP-adres en de URL, plus de tijd van waarneming – Reden van doorklikken – Of een pseudoniem gebruikt is? (overleg met Leider

Onderzoek of OvJ) – Zoekpad – Eventuele wijzigingen en/of toevoegingen in de

zoekopdrachten • Leg alles overzichtelijk vast in een Proces

Verbaal van bevindingen

• Denk goed na over te gebruiken zoekwoorden (synomienem, alternatieve spellingen)

• Probeer per product of zoekslag in te schatten hoelang je wilt zoeken, of hoeveel je wilt vinden. Alles kan niet meer

• Bedenk dat alles op internet verzonnen kan zijn. Probeer alle informatie door andere bronnen bevestigd te krijgen.

Nog meer tips

• Oefen met Google Geavanceerd zoeken en ‘spreek met twee woorden’.

• Rechercheer door op gevonden informatie maar let op het sneeuwbal-effect. Lees gevonden informatie dus met speciale aandacht voor informatie die als nieuw aanknopingspunt kan dienen (vooral bij personen, zoals bijnamen, werk, hobby’s, adressen, woonplaats, namen van vrienden of kinderen, auto’s, foto’s, etc)

• Gebruik meerdere zoekmachines

• Zoek gegevens achter de site (oa SIDN, Whois.net, Domeindelver.nl)

• Als je wachtwoorden moet hebben om ergens in te loggen: gebruik eventueel Bugmenot.com Maar let op: moeten gegevens worden veiliggesteld, zorg dan voor officiele inlog.

• Let op shortners (adressen van tinyurl.com of bit.ly of ow.ly)

• Probeer bij het surfen op te gaan in de massa (= de vaste bezoekers van een site). Als iedereen op een site een nickname heeft, is het gek dat jij er geen hebt.

En de toekomst?

• Did You Know • http://www.youtube.com/watch?v=PHmwZ96_Gos

• The Sixth Sense• http://www.youtube.com/watch?v=mUdDhWfpqxg • http://www.youtube.com/watch?v=ZLEEiQZOYDs