WSIS violates data protection guidelines

trez 12.12.2003 11:14 Themen: Globalisierung Netactivism Repression
Image
Einer Gruppe von Hackern gelang der Zutritt zum Wsis - World summit on the information society - in Genf.


Original Story here:
 http://www.nodo50.org/wsis/pictures/
 http://galiza.indymedia.org/gz/2003/12/2234.shtml
Every participant to WSIS follow the signs to the registration desk. The participants were requested to carry the LETTER OF INVITATION that includes a REGISTRATION NUMBER and an IDENTITY CARD.

The participants stand in a queue and provide a REGISTRATION NUMBER. The REGISTRATION NUMBER is checked against a database. The participants show an ID Card and a picture is taken of them via a Webcam.
In our case we "only" provided the name of an existing participant that we obtained from the WSIS website and show a plastic card (as a secure ID Card) that contain the name of the participant and our picture.

While we asked about the WSIS PRIVACY POLICY concerning the collection of personal data and what the badge contained, we did even have time to picture all the cameras. No extra information was obtained upon our request

NOONE INFORMED us in advance about the procedure, that our picture was going to be stored in a DATABASE and the period of data retention. NOONE INFORMED us that the badge contained a SmartCard and a Radio Identification (RFID) built-in that could be triggered remotely without the cardholder noticing. The badge is printed out in less than one minute. The whole procedure takes around 3 minutes.

By this time we had a badge of one of the participants containing our own picture. We spent the following days making an analysis of what the badge contained. The control system is composed of a Radio Reader and a terminal. The Radio Reader exchanges secure messages with the badge of the participants.

When a participant approaches a radio reader a set of transations takes place in the centralized database. In the entrance, the associated picture to the name of the participant is retreived. Other data of the participants is also retreived as the name, affiliation and the times has entered the Congress. The system allows by datamining to obtain the human relationships of the participants.

Detail of one the proximity radio sensors. Sensor can be placed in the entrance of sessions rooms or a vending machine.

The system includes also a X-Ray and metal screening system. Two days before we were in the Congress bringing all kind of boxes and equipment. No physical access security was implemented until the very late time and we could move inside freely carrying any items.

Days before the Summit no physical security was available. Anyone could bring anything inside the conference. We wonder if all the data collected about the participants is proportional and balanced. In the name of SECURITY the participants are pictured and screened, a huge database is created. What for? To protect whom?

1. This is the first time that the participant is aware what is carrying is not just a simple plastic card.
2. Upon request to the radio smart card, the picture and the rest of the personal data is requested from the database.
3. The picture in the badge, the picture in the terminal and the cardholder face are verified.
4. Physical Verification of the pictures is done by the Swiss Army dressed in uniform.
5. Data of the participants that entered the Congress just before is also visible in the screenshot. Notice that is possible to make pictures of the personal data.
6. A set of pictures of the people latest visitors is available. The system timestamps every entry.
7. A timestamp shows the last time that the participants entered the Congress.
Image
Sicherheitscheck beim WSIS
Image
Sicherheitscheck beim WSIS
Image
Sicherheitscheck beim WSIS
Image
Sicherheitscheck beim WSIS
Indymedia ist eine Veröffentlichungsplattform, auf der jede und jeder selbstverfasste Berichte publizieren kann. Eine Überprüfung der Inhalte und eine redaktionelle Bearbeitung der Beiträge finden nicht statt. Bei Anregungen und Fragen zu diesem Artikel wenden sie sich bitte direkt an die Verfasserin oder den Verfasser.
(Moderationskriterien von Indymedia Deutschland)

Ergänzungen

Ergänze diesen Artikel

Übersetzung mit Babelfish

Medienkompetenz 13.12.2003 - 00:24
Jeder Teilnehmer zu WSIS folgen den Zeichen zum Abfertigungsschalter. Die Teilnehmer wurden verlangt, den BUCHSTABEN DER EINLADUNG zu tragen, die eine ZULASSUNGSNUMMER und einen PERSONALAUSWEIS miteinschließt.

Die Teilnehmer stehen in einer Warteschlange und stellen eine ZULASSUNGSNUMMER zur Verfügung. Die ZULASSUNGSNUMMER wird gegen eine Datenbank überprüft. Die Teilnehmer stellen dar, daß eine Identifikation Karte und ein Photo von ihnen über ein Webcam gemacht wird.
In unserem Fall gaben wir "nur" den Namen eines vorhandenen Teilnehmers, den wir von der WSIS Web site erhielten an und zeigen eine Plastikkarte (als sichere Identifikation Karte) die den Namen des Teilnehmers und unserer Abbildung enthalten.

Während wir nach der WSIS PRIVACY POLICY hinsichtlich ist der Ansammlung der persönlichen Daten fragten und was das Abzeichen enthielt, hatten wir sogar Zeit, alle Kameras darzustellen. Keine Extrainformationen wurden auf unsere Anfrage eingeholt

NOONE INFORMIERTE uns, daß im voraus über das Verfahren, diese unsere Abbildung im BegriffWAR, in einer DATENBANK und in der Periode des Datenzurückhaltens gespeichert zu werden. NOONE INFORMIERTE uns, daß das Abzeichen ein SmartCard und einen Radiokennzeichnung (RFID) Built-in enthielt, die ohne Kartenbesitzerzu beachten entfernt ausgelöst werden konnten. Das Abzeichen wird in weniger als einer Minute ausgedruckt. Das vollständige Verfahren Nehmen herum 3 Minuten.

Bis zum dieser Zeit hatten wir ein Abzeichen von einem der Teilnehmer, die unsere eigene Abbildung enthalten. Wir verbrachten die folgenden Tage, die eine Analyse bilden von, was das Abzeichen enthielt. Das Steuersystem besteht aus einem Radioleser und einem Anschluß. Der Radioleser tauscht sichere Anzeigen mit dem Abzeichen der Teilnehmer aus.

Wenn ein Teilnehmer einem Radioleser sich nähert, findet ein Satz transations in der zentralisierten Datenbank statt. Im Eingang ist die verbundene Abbildung zum Namen des Teilnehmers retreived. Andere Daten der Teilnehmer sind retreived auch als der Name, Verbindung und die Zeiten hat den Kongreß angemeldet. Das System läßt, indem es, zum der menschlichen Verhältnisse der Teilnehmer zu erhalten datamining.

Detail von einem die Näheradio-Sensoren. Sensor kann in den Eingang der Lernabschnitträume oder des Verkaufäutomaten gelegt werden.

Das System schließt auch ein Röntgenstrahl- und Metallsiebungsystem ein. Zwei Tage bevor wir im Kongreß waren, der alle Art Kästen und Ausrüstung holt. Keine körperliche Zugang Sicherheit wurde eingeführt, bis die sehr späte Zeit und wir das Innere verschieben könnten, das frei alle mögliche Einzelteile trägt.

Tage vor dem Gipfel war keine körperliche Sicherheit vorhanden. Jedermann konnte alles innerhalb der Konferenz holen. Wir wundern uns, wenn alle Daten, die über die Teilnehmer gesammelt werden, proportional und ausgeglichen sind. Im Namen der SICHERHEIT werden die Teilnehmer dargestellt und aussortiert, wird eine sehr große Datenbank verursacht. Für was? Wem schützen?

1. Dieses ist das erste mal, daß der Teilnehmer bewußt ist, trägt daß was, nicht ist eine einfache Plastikkarte gerecht.
2. Auf Anfrage zur intelligenten Radiokarte, wird die Abbildung und der Rest der persönlichen Daten von der Datenbank verlangt.
3. Die Abbildung im Abzeichen, die Abbildung im Anschluß und das Kartenbesitzergesicht werden überprüft.
4. Körperliche Überprüfung der Abbildungen wird von der schweizer Armee erfolgt, die in der Uniform gekleidet wird.
5. Daten der Teilnehmer, denen den Kongreß anmeldete kurz vor, sind auch im screenshot sichtbar. Beachten Sie, das möglich ist, um Abbildungen von den persönlichen Daten zu bilden.
6. Ein Satz Abbildungen der neuesten Besucher der Leute ist vorhanden. Die System Zeitstempel jede Eintragung.
7. Ein Zeitstempel zeigt dem letzten Mal, daß die Teilnehmer den Kongreß anmeldeten.

 http://babel.altavista.com/translate.dyn

Die Welt ist gar nicht internett

Dokumentation 13.12.2003 - 02:04
Die Welt ist gar nicht internett
Warum es mit der digitalen Gerechtigkeit nicht klappt. von burkhard schröder
 http://www.jungle-world.com/seiten/2003/50/2187.php

Bits, Bytes and Rice
Wie sieht es aus in dem Land, aus dem die Computer-Inder kommen? Über die IT-Industrie des siebtgrößten Landes der Welt. von elke wittich
 http://www.jungle-world.com/seiten/2003/50/2188.php

Hallo Welt!
Weltinformationsgipfel in Genf
von tilman baumgärtel
 http://www.jungle-world.com/seiten/2003/50/2189.php