Totale controle in de slipstream van de corona-pandemie

In de slipstream van de corona-pandemie plannen onze regeringsleiders samen met de industrie een totale bewaking van de samenleving. Wat we landen als China of Zuid-Korea verwijten, is hier al lang in ontwikkeling: het gebruik van mobiele telefoongegevens om bewegingsprofielen te maken en te volgen. De plausibele reden voor de Corona-app, die sinds kort door de regering is aangekondigd en door de mainstream media zal worden gepusht, komt volgens hun zeggen er om de bevolking te beschermen tegen de verspreiding van het corona-birus. Hoe dit "technisch" in korte tijd moet worden gerealiseerd is nog maar de vraag, maar gaat het ook niet om wat "technologie" kan, maar wat de staat en bedrijven met die technologie willen doen?




De Corona App


Het systeem, dat Microsoft en Accenture ontwikkelen als onderdeel van ID2020, zou geschikt zijn om niet alleen een paar miljoen vluchtelingen te volgen, maar ook miljarden mensen op aarde en om de toegang tot hun gegevens te beheren. De identiteitsbewijzen van individuen moeten die van de regering van hun eigen land kunnen aanvullen en vervangen.
Alleen de toegangsgegevens voor de ID-informatie die in andere databases zijn vastgelegd, mogen in de blockchain worden opgeslagen, niet de gegevens zelf. De opslag van toegangsgegevens in een blockchain moet er voor zorgen dat geen enkele overheid de toegang tot het identiteitsbewijs kan blokkeren. In het witboek van 2020 over het nauw verwante Known Traveller-project van Accenture staat echter dat uitgevers van identiteitsbewijzen (overheden, banken, werkgevers, verhuurders) ze vervolgens ongeldig moeten kunnen verklaren, ongeacht de houder van het bewijs.

Identiteitsgegevens zijn alles wat iemand doet of lijdt onder een geverifieerde identiteit, bijvoorbeeld alle bankgegevens, gezondheidsgegevens en alles wat wordt gedaan met een smartphone die biometrisch is gekoppeld aan de houder. Voor dit jaar heeft Accenture een prototype aangekondigd dat over de hele linie kan worden getest. Het nieuwe systeem moet uiterlijk in 2030 voor iedereen een digitaal identiteitsbewijs verstrekken.

Het Known Traveler-project maakt duidelijk wat men kan denken van de belofte van autonomie, mensen kunnen elke keer autonoom beslissen of en aan wie ze welke data geven en voor hoelang. Als je wilt dat de grenswachten je binnenlaten, moet je alle gegevens vrijgeven die ze willen hebben. Deze machtskloof treedt regelmatig op wanneer een persoon iets van een autoriteit of zelfs een grotere particuliere sectororganisatie wil. Wie kan met Amazon of PayPal onderhandelen over de leveringsvoorwaarden?

Vanaf het allereerste begin hebben degenen die de Self-Sovereign Identity hebben gepropageerd als tegengif voor de toenemende macht van bedrijven en regeringen over onze gegevens, de machtskloof genegeerd en verzwijgen dat de autonomie van gegevens door zogenaamd vrijwillige vrijgave tot een farce maakt en deze omkeert. Hier is sprake van opzettelijke misleiding. Dit is al te merken in de basistekst "The Path to Self-Sovereign Identity" van Christopher Allen uit 2016, die wordt beschouwd als de uitvinder van de term self-sovereign identity. Allen prijst de decentrale opslag en koppeling van data onder dit concept als bijdrage aan het verzwakken van de positie van Microsoft. In deze tekst leert men echter dat hij binnenkort zal vertrekken naar een ID2020-top om daar te spreken. Microsoft is één van de belangrijkste aanjagers van ID2020, die de Self-Sovereign Identity enthousiast heeft omarmd.
Niet dat Allen dat kon vermoeden. In zijn tekst uit 2016 klaagde hij dat alle even goed klinkende voorloperprojecten ter bescherming van de autonomie, waaruit de Self-Soverign-Identity ontstond, door machtige instellingen waren gekaapt en in het tegenovergestelde waren veranderd.

Maar de tijd staat niet stil. Een Duits consortium met medewerking van het Amerikaanse adviesbureau Boston Consulting Group en een dochteronderneming van Lufthansa is, in overeenstemming met ID2020, begonnen met het opzetten van een digitaal epidemiepaspoort dat moet worden gebruikt om toegang te krijgen tot uw werkplek, een groot evenement of het vliegtuig. De informatie over tests moet toegankelijk worden gemaakt via een blockchain en gepseudonimiseerd via een identiteitsprovider en overeenkomstig GDPR worden opgeslagen in een cloud, d.w.z. op servers van Amazon, Microsoft en Co. Alleen de houder van het certificaat mag de blockchain-sleutel op de smartphone hebben waarmee de gegevens toegankelijk zijn.
De basis hiervan is het Lissi-onderzoeksproject gefinancierd door het Duitse federale Ministerie van Economische Zaken, waarin de Bundesdruckerei de leiding heeft. Lissi staat voor "Let’s initiate self-sovereign identity - Laten we zelf-soevereine identiteit initiëren". Precies de termen en het spraakgebruik van Microsoft, Accenture en het World Economic Forum. Net als bij ID2020 en KTDI worden de open source frameworks Hyperledger Aries en Hyperledger Indy gebruikt. Op de een of andere manier klinkt alles niet als onderzoek, maar alleen over het implementeren van het concept van Accenture en Microsoft in concrete toepassingsgebieden.

Voor mensen die niets moeten hebben van hun regering is het begrijpelijk dat zij een identiteitsbewijs willen hebben dat onafhankelijk is van de regering. Dit verlangen kan nog meer worden begrepen van Amerikaanse zijde als het een regering is zoals de Syrische waarmee men een oorlog voert. Maar met ID2020 zou het de norm moeten worden dat identiteit gedeeltelijk of volledig onafhankelijk wordt van de nationale overheden. Als gevolg hiervan worden "wereldburgers" gedeeltelijk losgeweekt van nationale regeringen, op één na.... de Amerikaanse regering.
Zij (de wereldburgers) zullen in dit concept maximaal afhankelijk zijn van de Amerikaanse regering, die het standpunt inneemt en handhaaft dat zij wetten kan uitvaardigen waaraan iedereen over de hele wereld zich moet houden. Bijkomende omstandigheid is dat hun gegevens meestal worden opgeslagen op servers van Amerikaanse bedrijven, met name de twee toonaangevende cloudservices van Amazon en Microsoft. De technische standaarden zijn bepaald door deze en andere Amerikaanse bedrijven en de centraal beheerde toegang tot deze identiteitsgegevens wordt beheerd door deze Amerikaanse bedrijven.

Niets zal de Amerikaanse regering ervan weerhouden Microsoft of Amazon, of één van de Amerikaanse bedrijven die de blockchain-architectuur van het programma bepalen, de opdracht te geven de gegevens van individuen of bedrijven te lezen, te blokkeren of te manipuleren zodat de betreffende personen handelingsonbekwaam worden. Zelfs als ze dat zouden willen, kunnen de regeringen van hun thuisland de getroffenen dan niet helpen. UDe wereldburger staat dan feitelijk onder de soevereiniteit van de Amerikaanse regering zonder enig Amerikaans staatsburgerschap, want één ding zal duidelijk zijn: de Amerikaanse regering zal de touwtjes in handen zal hebben.

De ID2020-alliantie is een bijna puur Amerikaanse aangelegenheid. Het startgeld was afkomstig van Microsoft en Accenture en van de Rockefeller Foundation. De volgende deelnemers waren Mercy Corps, Hyperledger en het International Computing Center van de Verenigde Naties, evenals de door Gates gefinancierde vaccinalliantie Gavi.
Via hun Cloud-wetgeving hebben Amerikaanse beveiligingsinstanties toegang tot gegevens op alle servers van Amerikaanse bedrijven, ongeacht waar ze zich bevinden.

De 11 bestuursleden en de uitvoerend directeur komen uit of hebben een langdurige dienstverband gehad met Gavi (2), Microsoft, Accenture, HP, Lehman Brothers, JP Morgan, UBS, CCC (Derivate-Clearing) en de denktank New America Foundation die nauw verbondn is met Google, aangevuld met een Canadese professor en een Haïtiaan met een VN-achtergrond.

Het zal u niet verbazen dat China, Rusland en enkele andere landen zich hiertegen zullen verzetten, dus er zal een soevereiniteitsstrijd komen over de wereldburgers. Europa doet echter ijverig mee met de Amerikanen, net als andere geïndustrialiseerde landen in de Amerikaanse invloedssfeer, en de ontwikkelingslanden die hoe dan ook afhankelijk zijn van financiële hulp van de Wereldbank, het IMF en de Gates Foundation.

Zodra het contant geld is afgeschaft (en "dankzij" de coronacrisis is die stap al erg dichtbij gekomen), iets dat de in Washington gevestigde Better Than Cash Allicance (Amerikaanse regering, Gates Foundation, Mastercard, Visa, Citi) ook nastreeft onder de instrumentalisatie van de Verenigde Naties, is de bewaking en controle van mensen en bedrijven bijna voltooid, ongeacht hetzij in de invloedssfeer van de VS of die van China, wat in dit opzicht veel verder gevorderd is. Digitale betaling is één van de belangrijkste toepassingsgebieden voor digitale identiteiten en het gebied waardoor het gebruik ervan het meest effectief kan worden afgedwongen.

Deze monitoring en controle wordt geperfectioneerd met wat Apple en Google medio maart hebben aangekondigd. Bijna alle smartphones draaien wereldwijd op hun concurrerende besturingssystemen iOS en Android. Nu werken ze samen, vanaf mei om zogeheten "contact tracing apps" van de gezondheidsautoriteiten op beide besturingssystemen te laten werken.

Van de bewakingsapparatuur, die nog altijd telefoon (phone) wordt genoemd, wordt decentraal o.a. informatie opgeslagen in de buurt van welke andere bewakingsapparatuur de gebruiker de afgelopen twee weken is geweest. Elk apparaat wordt geïdentificeerd door een constant veranderend nummer. Als één van deze contacten binnen twee weken wordt gemarkeerd als besmet, worden al degenen die in de buurt zijn geweest geïnformeerd dat ze contact hebben gehad met een geïnfecteerd persoon en moeten ze zich laten testen.


Over privacy

In de komende maanden zijn Google en Apple van plan deze functionaliteit in de besturingssystemen te programmeren, wat de prestaties zou moeten verbeteren en het energieverbruik zou verminderen. De twee bedrijven benadrukken hoeveel aandacht ze daarbij besteden aan gegevensbescherming en decentralisatie. Veel gegevensbeschermers zijn ook redelijk overtuigd. Maar: "Elk gedecentraliseerd systeem kan worden omgezet in een centraal systeem", waarschuwt Jaap-Henk Hoepman, hoogleraar Privacy by Design aan de universiteit van Nijmegen. Het enige dat nodig is, is een punt waarvan de app de interface naar deze functionaliteit kan gebruiken, bijvoorbeeld de politie of een geheime dienst, om het zó te programmeren dat wanneer het in contact komt met een doelpersoon, een centraal punt een bericht ontvangt in plaats van de contactpersoon.

Het is dan ook niet ondenkbaar, nee, zelfs voor de hand liggend, dat deze functionaliteit, eenmaal geïmplementeerd, voor andere zaken wordt gebruikt, bijvoorbeeld wanneer een kindermisbruiker moet worden gepakt of de volgende grote terroristische aanslag moet worden voorkomen. De beloften dat de gegevens niet voor bewaking zouden worden gebruikt, duren dan slechts tot de eerste de beste gelegenheid zich voordoet om bijvoorbeeld een verdachte vrachtwagenchauffeur op deze manier met publieke informatie in te rekenen - of het klopt of niet. Beloften door politici worden gemakkelijker gebroken dan nageleefd  dat is nooit anders geweest.

Op deze manier kunnen ook bronnen worden getraceerd van journalisten die geheim materiaal hebben gepubliceerd. Als je Google Home hebt, kan Google alle bezoekers van dit huis identificeren. Is er gerommel met data geweest die digitale bedrijven als Google en Facebook, in tegenstelling tot alle beloften, nog niet stiekem hebben gepleegd omdat ze dachten dat het niet aan het licht zou komen?

Ross Anderson, hoogleraar beveiligingstechniek aan de universiteit van Cambridge, is één van degenen die de National Health Service in het VK adviseert over gegevensbeschermingsaspecten van de daar geplande app voor het traceren van contacten. Tracering zou helemaal niet werken, onder andere omdat trollen zo'n anoniem systeem onmiddellijk konden en zouden saboteren, of als Jantje zichzelf besmet verklaart om de helft van de school op vakantie te sturen, of dat een performancekunstenaar een telefoon van een besmette persoon vastbindt aan een hond en hem vervolgens door het park laat rennen.

Contacttracing-apps die als succesvol worden beschouwd, zijn redelijk opdringerig voor de privacy. Er zijn geen evaluaties gedaan dat automatische contactopsporing ècht helpt bij het bestrijden van de corona-pandemie. U moet er rekening mee houden dat automatische tracering veel meer vatbaar is voor fouten dan handmatige, waarbij geïnfecteerde mensen om hun contacten wordt gevraagd en deze vervolgens door echte mensen worden benaderd.

We verwachten verklaringen van onze regering en staatsinstellingen die het zullen hebben over een hoog beschermingsniveau en absolute anonimiteit. Het is echter onzin dat de "technologie" daarvoor zorgt. De basis van welke corona-app dan ook is het volgen - dat wil zeggen het volgen en opslaan van bewegingen en ontmoetingen van mensen. Dit gebeurt via de infrastructuur van de telecomaanbieders (providers). Elke mobiele telefoon zendt continu een radiosignaal uit, dat wordt opgevangen door een radiomast en doorgegeven aan de datacenters van de provider. Als een mobiele telefoon met de corona-app een andere mobiele telefoon met dezelfde app ontmoet, communiceren ze met elkaar door middel van een digitale handdruk. Deze gegevens blijven aanvankelijk lokaal op de twee mobiele telefoons. Om een ​​wederzijds alarm te kunnen laten plaatsvinden, moeten deze echter worden aangesloten via de centrale databases, waar alle gebruikers van mobiele telefoons worden geregistreerd, anders kunnen de zogenaamde alarmmeldingen (push-berichten) niet worden geactiveerd. De beheerder van de app en de telecommunicatieproviders weten logischerwijs welke smartphones zijn aangesloten, wie de eigenaar is en wie de "virusverspreider" is en ze weten ook uit de geschiedenis van de radiocellen wanneer de twee mobiele telefoons contact hadden.

Bluetooth gaat ook door de muur, een virus niet. Mensen die lange tijd voor of achter een geïnfecteerde persoon hebben gestaan, zullen de app waarschuwen als mogelijk geïnfecteerd. De waarschuwingen zouden zo talrijk zijn dat mensen ze op een gegeven moment gewoon zouden negeren. Alles wat u kunt bedenken om handmatige correcties door gebruikers mogelijk te maken, gaat ten koste van gegevensbescherming en anonimiteit.
Bluetooth wordt door veel deskundigen beschouwd als "chronisch onveilig" en men wijst er terecht op dat in Android met Bluetooth ingeschakeld, locatiediensten zijn geactiveerd. Dit kan leiden tot flink wat nevenschade. Want als een app toegang heeft tot Bluetooth, ontvangt het gratis de locatiegegevens van zijn gebruiker (die die eerder kan hebben geweigerd) en kan het app-bedrijf de gegevens evalueren en verkopen voor marketingdoeleinden. Bovendien werken apps die puur op Bluetooth zijn gebaseerd gedurende een lange periode nauwelijks. Ze zuigen de batterij van de smartphone snel leeg en hebben teveel rekenkracht nodig.

We mogen politieke besluitvormers niet de illusie laten dat ze met technische magie aan moeilijke beslissingen kunnen ontsnappen. Als bijvoorbeeld toegang tot bedrijven of het opheffen van bewegingsbeperkingen afhankelijk wordt gemaakt van het feit dat je je smartphone laat zien en daarmee aantoont dat je de app regelmatig gebruikt en dat deze geen gevaar vertoont, dan is het afgelopen met vrijwilligheid en anonimiteit. De Bluetooth-protocollen van de providers zijn ook berucht vanwege hun vele beveiligingskwetsbaarheden, die erg relevant worden wanneer iedereen gedwongen wordt rond te lopen met de bluetooth-functie ingeschakeld, of dit vrijwillig doet.

Zoals bij elk te downloaden programma moet de gebruiker akkoord gaan met de voorwaarden. De "gebruiker" gaat dus min of meer akkoord met het gebruik van diens gegevens en doent daarmee afstand van de eigen rechten op de gegevens. Zelfs het feit dat communicatie gecodeerd is, kan je niet echt geruststellen. Om het waarschuwingsbericht in te stellen, moeten de gegevens worden verwerkt en dit betekent dat ze van tevoren moeten worden ontsleuteld. De codering van de gegevens zelf is ook geen echte bescherming - elke codering kan worden gekraakt. Het is gewoon een kwestie van rekencapaciteit en de tijd en sleutel voor decodering. Deze liggen o.a. bij de veiligheidsdiensten en de politie. Niemand kan op dit moment inschatten of en hoe de gegevens van de corona-app gebruikt zullen worden door overheidsinstellingen, zorgverzekeraars en bedrijven.

Ondanks al deze bekende en soms zeer voor de hand liggende functionele defecten en gevaren, wordt beweerd dat automatische contactopsporing absoluut noodzakelijk is, waarbij een uitschakeling en contactblokkering geleidelijk kunnen worden opgeheven. Dit is verdacht, vooral omdat er onder vele anderen veel meer aarzeling is waarvan het belang en het nut wordt overeengekomen, zoals méér testen en systematische willekeurige tests om de verspreiding van het corona-virus te bepalen.


Big Brother

Niemand hoeft de app te gebruiken omdat deze alleen naar een apparaat wordt overgebracht wanneer de gebruiker deze downloadt - de regering zegt dat het op basis van vrijwilligheid gaat. U kunt dat geloven, maar de realiteit kan heel anders zijn, vooral als het tegenvalt met die vrijwilligheid. Buiten dat: niemand kan met zekerheid controleren welke beveiligingspatches en nieuwe versies de besturingssystemen van mobiele telefoons dagelijks naar de pc en de smartphone overbrengen. Het computermagazine "Chip" schreef begin april heel openhartig: zelfs als de software via een update aan een bestaande app wordt toegevoegd, zouden de app-gebruikers het met het gebruik van de software eens moeten zijn. Er kan dus vanuit worden gegaan dat de app straks overal automatisch wordt geïnstalleerd. Zal de app daadwerkelijk wachten tot de eigenaren hem activeren met een "ja ik wil"? Een teken aan de wand is dat de Duitse Bondsdag al in 2017 "trojaanse paarden" van de overheid heeft goedgekeurd. Dit betekent dat programma's die onopgemerkt de computers en mobiele telefoons van verdachten kunnen bespioneren, bij onze oosterburen zijn toegestaan.

Dat het nog erger kan zien we in Denemarken. Daar is inmiddels al wettelijk geregeld dat er sprake kan zijn van gedwongen tests, gedwongen vaccinaties en gedwongen behandeling - desnoods met inzet van het leger. Het laat zien welke maatregelen door westerse regeringen nu mogelijk zijn. Als het niet mogelijk is om dergelijke maatregelen en structuren bekend te maken bij een breder publiek, kan de samenleving in de huidige crisissituatie in een politie- en bewakingsstaat terechtkomen, waarvan ze zich pas volledig bewust wordt als de digitale handboeien al zijn gesloten.



(Zoals altijd zijn alle bronvermeldingen en -verwijzingen alleen beschikbaar voor abonnee's)





[19 april 2020]

Afdrukken Doorsturen