vrijdag 16 december 2016

Grasduinen

Wen er maar aan: je wordt bespioneerd. Als het niet via je gehackte router of het speelgoed van je kinderen gebeurt, dan toch in ieder geval door de apps op je smartphone.

Deze week kwam Evernote in het nieuws met een opmerkelijke wijziging in hun privacybeleid. Evernote is een populaire app om aantekeningen te maken, te beheren en er slim in te zoeken. Er staat dus heel veel informatie in, die ongetwijfeld voor een deel vertrouwelijk is. De wijziging in het beleid houdt in dat medewerkers van het bedrijf jouw aantekeningen mogen lezen. Mensen van vlees en bloed dus. We waren er min of meer aan gewend dat alles wat we online doen door de machtige analysemachines van bijvoorbeeld Google worden gejaagd. Dat doen ze niet alleen om onze “gebruikservaring te optimaliseren”, maar natuurlijk ook om ons op maat gesneden advertenties voor te kunnen schotelen. Google wordt niet voor niets door sommigen smalend een advertentiebedrijf genoemd.

Maar goed, doorgaans zijn het dus slimme algoritmes die ons emotieloos binnenstebuiten keren. Dat maakt het voor het gevoel minder erg: je hoeft zo’n machine nooit onder ogen te komen en je te schamen voor wat je gedaan hebt en zij gaat ook niet over je roddelen. Maar bij Evernote gaan dus echte mensen naar je aantekeningen kijken. Waarom? Omdat ze nieuwe machine learning tools hebben. Om te controleren of die tools goed werken moeten medewerkers sommige aantekeningen lezen. Ze zien dan of de tools conform verwachting werken.

Ik denk dan: had dat niet in een testomgeving gekund? Met fake data? Zo deden we dat in de vorige eeuw, met zorgvuldig samengestelde testgegevens. Kwam er een functionele wijziging in de programmatuur, dan zorgde je ervoor dat je ook nieuwe testrecords maakte zodat de nieuwe tak geraakt werd. Tegenwoordig lijkt testen met productiegegevens steeds vaker de norm te zijn. “Testgegevens maken is niet meer te doen”, heet het dan. Vanwege de complex- en massaliteit. Oké, maar anonimiseer die productiegegevens dan tenminste. Is ook al moeilijk, omdat zomaar in het wilde weg vernachelen van velden ertoe leidt dat verwijzingen naar andere bestanden niet meer werken (de referentiële integriteit is dan doorbroken). Je kunt dus niet zo maar anonimiseren, dat moet met beleid. En dat kost tijd en geld en ligt dus lastig.

De wereld heeft kennisgemaakt met de bedoelingen van Evernote doordat ze erover gecommuniceerd hebben. Mij bekruipt echter het angstige gevoel dat andere partijen soortgelijke dingen doen. Misschien op basis van een juridische formulering die al lang ergens in hun ellenlange voorwaarden – die je geaccepteerd hebt! – staat. En ik wil ook niet uitsluiten dat dergelijke praktijken her en der stiekem plaatsvinden. Als individuele consument-gebruiker ga je doorgaans sowieso niet eerst eens uitgebreid onderzoeken hoe een dienstverlener met jouw gegevens omgaat – al helemaal niet als het om een ‘gratis’ dienst gaat. Je gebruikt de dienst as is omdat hij zo handig is. Zeg eens eerlijk: weet jij van alle apps op je smartphone wat ze met je gegevens doen? Of ze die bijvoorbeeld in de cloud opslaan, om maar eens wat te noemen? Dat kan relevant zijn als je een app zakelijk gebruikt en je bedrijf het gebruik van de publieke cloud verbiedt. Ik kan je uit ervaring vertellen dat het knap lastig kan zijn om erachter te komen of een app gegevens lokaal of in de cloud opslaat (al is een juichend “synchroniseert over al je apparaten!” een goede hint). Evernote is zo’n toepassing die alles in de cloud zet. Alleen gebruikers van de betaalde versie kunnen ervoor kiezen om een aantekening uitsluitend lokaal op te slaan. Terzijde: Evernote is bezig met een overstap van hun eigen datacenter naar Google Cloud.

De aankondiging van Evernote over het grasduinen in aantekeningen bleef bepaald niet onopgemerkt. Een storm van kritiek brak los. Gisteren probeerde de CEO de zaak nog te sussen door in een blog uit te leggen wat er wel en niet zou veranderen. Maar nog diezelfde dag volgde een bericht waarin de communicatie-afdeling (!) liet weten dat de wijziging voorlopig van de baan is. De machine learning technologies komen wel beschikbaar voor klanten, maar menselijk meelezen gebeurt alleen op basis van opt-in. De komende maanden gaat het bedrijf hard nadenken over zijn privacybeleid.

Deze storm is dus even geluwd, maar de algemene ontwikkeling is onomkeerbaar. Ik wens je een gelukkig 1984.

De volgende Security (b)log verschijnt op 13 januari 2017.

En in de grote boze buitenwereld …


... geven we onze gegevens ook gewoon vrijwillig uit handen.
http://www.gartner.com/newsroom/id/3545018

... hoeft een skimmer (waarmee criminelen je bankpas kopiëren) niet per se heel klein te zijn.
https://twitter.com/Grifter801/status/808787317884329984/photo/1 [animated GIF]

... zorgt de nieuwe Wet computercriminaliteit voor verdeeldheid.
http://www.volkskrant.nl/binnenland/hoe-ver-mag-politie-gaan-in-nieuwe-hackwet~a4432881

... bezwijken SOC's onder de grote hoeveelheid data die ze te verwerken krijgen.
http://www.securityweek.com/socs-suffer-under-volume-data-alerts-report

... worstelen SOC's ook nog eens met het classificeren van bedreigingen.
https://www.helpnetsecurity.com/2016/12/13/soc-managers-triage-threats/

... kun je waarschuwingsschermen ook al niet meer zomaar vertrouwen.
https://hotforsecurity.bitdefender.com/blog/scammers-can-trick-microsoft-edge-into-displaying-fake-security-warnings-17315.html

... zijn dit de basisbeginselen voor het beveiligen van je wifi-netwerk.
https://www.grahamcluley.com/how-to-secure-your-wi-fi-network-the-basic-version/

... is dit de versie voor gevorderde thuisnetwerkbeheerders.
https://www.grahamcluley.com/how-secure-wi-fi-network-advanced/

... kwam de IT van de Australische belastingdienst knarsend tot stilstand.
http://www.smh.com.au/national/public-service/thousands-of-public-servants-sit-idle-as-atos-it-melts-down-20161213-gt9xfd.html

... is het nu officieel: een cyberaanval kan de samenleving ontwrichten.
https://www.security.nl/posting/496316/Onderzoek%3A+Cyberaanval+kan+samenleving+ontwrichten

... neemt de politie een cybercrime-aangifte wel degelijk serieus, zegt de minister.
https://www.security.nl/posting/496419/Van+der+Steur%3A+Politie+neemt+aangiften+cybercrime+serieus

... promoot de Duitse overheid na de bekendmaking van de mega-hack bij Yahoo het gebruik van Duitse e-maildiensten.
https://www.security.nl/posting/496464/Duitsland+promoot+eigen+e-maildiensten+na+Yahoo-hack

... kun je nu ook van ransomware afkomen door je vrienden te besmetten.
http://webwereld.nl/security/95676-ransomware-besmet-je-vrienden-en-krijg-je-data-terug

Gepost door op Geen opmerkingen:
Labels: , , , , , , ,

vrijdag 9 december 2016

Betrouwbaar

Uit de radio klinken de eerste zoete Amerikaanse kerstliedjes, pretparken adverteren met hun winters festijn en nu Sinterklaas zijn biezen heeft gepakt zijn er weer kerstbomen te koop. In deze tijd van het jaar dwarrelt de wereldvrede op ons neer, of althans dat wordt hij geacht te doen.  We houden in ieder geval een paar weken de illusie hoog dat nare mensen niet bestaan en dat moeder natuur ook alleen het beste met ons voorheeft. Kortom, we creëren onze eigen kerstsfeer.

In de film zou nu het geluid van een dwars over een grammofoonplaat scheurende pickupnaald klinken, want ik ga dit vredige tafereeltje wreed verstoren. Met ransomware. In de rubriek Grote boze buitenwereld van de Security (b)log kon je de laatste tijd veel artikelen over ransomware zien langskomen. Hoogste tijd dus om ook in de blog zelf aandacht aan dit nare fenomeen te besteden.

Ransomware wordt door criminelen op je computer gezet, die vervolgens wordt gegijzeld doordat de malware je bestanden versleutelt. De boef vraagt om losgeld en belooft in ruil daarvoor de code waarmee je je bestanden terugkrijgt. In de jonge dagen van dit verschijnsel kon je definitief naar je bestanden fluiten, want die code kreeg je niet. Omdat de politie en beveiligingsexperts toen in koor riepen dat je niet moest betalen “omdat je je bestanden toch niet terugkrijgt”, pasten de criminelen zich aan en sindsdien krijg je vaak wél je decryptiecode. De betrouwbare crimineel is daarmee een feit. Zijn businessmodel is gebaseerd op win-win: jij krijgt je bestanden terug en hij heeft een hogere omzet omdat meer ‘klanten’ bereid zijn om te betalen als er een redelijke kans bestaat dat ze hun verloren bestanden terugkrijgen. Er zijn zelfs criminele organisaties die er een heuse helpdesk op nahouden om je door het betalingsproces te loodsen. Betaling gebeurt namelijk doorgaans met bitcoins en lang niet iedereen is vertrouwd met deze virtuele valuta.

Desondanks luidt het officiële advies nog steeds: niet betalen. Gewoon omdat je daarmee het criminele proces stimuleert. Bovendien loop je de kans dat ze je een paar keer pakken als je een trouwe klant bent. Vorige week hoorde ik op een conferentie het verhaal over een organisatie die eerst duizend dollar betaalde, toen tienduizend en tenslotte honderdduizend. Voor een lager bedrag hadden ze waarschijnlijk gemakkelijk professionele hulp kunnen inhuren. Die organisatie ging overigens niet in op het vierde ‘verzoek’ om een nóg hoger losgeld te betalen.

Het wordt tegenwoordig ook steeds gemakkelijker om je bestanden terug te krijgen zonder losgeld te betalen. Zo is er het jonge initiatief ‘No more ransom!’ van het Team High Tech Crime van de Nederlandse politie en het European Cyber Crime Centre (EC3) van Europol in samenwerking met de computerbeveiligingsbedrijven Kaspersky en Intel Security. Amazon verzorgt gratis hosting en Barracuda tekent voor de beveiliging ervan – ook al gratis. Steeds meer nationale politiediensten sluiten zich aan.

Op nomoreransom.org onderzoekt de crypto sheriff of er een oplossing beschikbaar is voor jouw ransomware. Als dat zo is, dan kun je daar gratis gebruik van maken. De site biedt ook adviezen voor het voorkomen van een ransomwarebesmetting. Het belangrijkste advies luidt: maak regelmatig back-ups van je bestanden en bewaar ook een back-up offline – ransomware versleutelt vaak niet alleen de lokale schijf maar gaat ook op zoek naar netwerkschijven. Het advies “Trust no one. Literally.” heeft alles te maken met phishing en is daarom een stuk moeilijker op te volgen: back-uppen is techniek, phishing herkennen is mensenwerk. Op de site staan nog meer adviezen die het opvolgen waard zijn.

Net als gewone bedrijven heeft ook de cybercrimebranche het in december extra druk. Als potentieel slachtoffer bestel je zóveel dingen online, dat dat ene foute mailtje opgaat in de massa en je minder gauw denkt: hé, ik heb toch helemaal niets besteld bij Amazon/Bol/Zalando/etc.? En voor je het weet heb je dus op die link geklikt of die zogenaamde factuur geopend. Ondanks de decemberdrukte is het raadzaam om extra alert te zijn op je inbox.

Gelukkig kon ik bij het verstoren van het feestgevoel ook laten zien dat er een heldere ster aan het firmament verschijnt. En geheel in lijn met de kerstgedachte wordt daarbij samengewerkt tussen publieke en private partijen.

En in de grote boze buitenwereld …

... is er natuurlijk ook deze week weer een schrijnend voorbeeld van een ransomwarebesmetting.
https://hotforsecurity.bitdefender.com/blog/ransomware-forced-hospitals-to-cancel-2800-operations-and-shut-down-systems-17273.html

... kun je maar beter geen IoT-auto stelen.
https://www.engadget.com/2016/12/05/bmw-remotely-locks-car-thief-inside/

... raakte ook dit jaar weer een pratende IoT-pop in opspraak. Deze heet Cayla en kan heel goed luisteren.
http://www.volkskrant.nl/tech/pratende-bluetooth-pop-laat-zich-makkelijk-gebruiken-als-afluisterapparaat~a4428966

... staat de T in IoT hierboven voor Toys: Internet of Toys. Wat dan weer een deelverzameling is van het Internet of Things (ook IoT).
https://veiliginternetten.nl/themes/situatie/wat-het-internet-toys/

... kunnen beheerders flinke schade aanrichten.
https://nakedsecurity.sophos.com/2016/12/06/rogue-admin-jailed-after-taking-down-former-employers-network/

... beschermt Visa zijn creditcards niet tegen het 'gespreid raden' van de CVC-code.
http://thenextweb.com/security/2016/12/05/credit-card-hackers/

... heeft Google een nieuwe app waarmee je je locatie kunt delen met 'vertrouwde contacten'. Ze presenteren de app onder de noemer veiligheid, maar je levert natuurlijk wel privacy in.
http://lifehacker.com/googles-new-trusted-contacts-shares-your-location-with-1789666993
https://blog.google/products/maps/let-your-loved-ones-know-youre-safe-our-new-personal-safety-app/

... moet je over een jaartje actie ondernemen als je niet wilt dat derden inzage in jouw bankgegevens krijgen.
http://www.welingelichtekringen.nl/economie/638338/wil-je-dat-vreemden-in-jouw-bankafschriften-kunnen-neuzen-dat-gaat-wel-gebeuren.html

... gebruiken oplichters gemene trucs om je bankinformatie te ontfutselen waarvan je misschien niet dacht dat ze geheim zijn.
https://www.fraudehelpdesk.nl/nieuws/gehaaide-oplichterstrucs-zou-u-er-trappen-deel-3/

... zorgt perfect forward secrecy ervoor dat oude berichten niet kunnen worden gekraakt als iemand in de toekomst jouw crypto-key bemachtigt.
https://www.wired.com/2016/11/what-is-perfect-forward-secrecy

... is het zinvol om af en toe te controleren welke apps toegang hebben tot je Twitter-account.
https://www.grahamcluley.com/lock-twitter-care-rogue-party-apps-dont-hijack-account/

... kun je je internetpresentie met een paar muisklikken om zeep helpen. Maar daarvoor moet je de site die je daarbij helpt wel wat toegangsrechten geven.
http://linkis.com/thenextweb.com/apps/Ic3Oo

... kan dit artikel je helpen bij het kiezen van een wachtwoordmanager.
https://tweakers.net/reviews/5031/1/datalekkenjaar-2016-kiezen-uit-wachtwoordmanagers-inleiding.html

Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 2 december 2016

Big data

In het kader van een bezoek aan een bevriend organisatieonderdeel kreeg ons team het verzoek om zelf ook een presentatie te verzorgen. De gastheer wist zelfs al een onderwerp waarover hij iets van ons wilde horen: big data. Big data is weer zo’n buzzword waarmee je brein meteen aan de loop gaat. Het is dus altijd goed om je eigen spontane invulling van hetgeen zo’n term zou kunnen betekenen eerst even te checken.

Als je Wikipedia erop naslaat, dan vind je vetgedrukte termen als hoeveelheid, snelheid en diversiteit van data. Ook worden variatie, kwaliteit en complexiteit genoemd. Het gaat in wezen om héél veel data waarmee héél snel iets gebeurt, terwijl het een ongeregeld zooitje is van mogelijk bedenkelijke kwaliteit, als ik het zo even mag samenvatten. Omdat het Wikipedia-artikel niets zegt over hoeveel hoeveel is (terwijl het daar toch om lijkt te draaien bij de term ‘big’), heb ik nog wat verder gezocht. En dan kom je uit bij McKinsey, die het mooi dramatisch heeft verwoord: “Datasets whose size is beyond the ability of typical database software tools to capture, store, manage, and analyze.” Vooral dat woord ‘beyond’ doet het ‘m.

Van oudsher hebben informatiebeveiligers het romantische beeld dat je gegevens zijn opgeborgen in een stevig kasteel dat een streng gecontroleerde toegang mogelijk maakt. Er zijn dikke muren, een slotgracht en een ophaalbrug die indringers buiten houden. Met big data verandert dit beeld drastisch: de data zijn overal en nergens en daar komen ze ook vandaan. Je weet niet meer waar je data – behalve in je rekencentrum – nog meer zijn, of op z’n minst is de herkomst van de data divers, hetgeen dan weer invloed kan hebben op de kwaliteit ervan. Wikipedia zegt op dit punt: “verschillende bronnen kunnen elkaar tegenspreken.”

Om vanuit beveiligingsperspectief een mening over big data te vormen heb ik naar wet- en regelgeving gekeken. Om te beginnen zijn daar de internationale ISO27001- en ISO27002-normen. Als je deze normatiek doorleest met een big data-bril op, dan vind je diverse termen die van belang zijn, bijvoorbeeld: functiescheiding, capaciteitsbeheer, logische en fysieke toegang, back-ups, informatietransport, classificatie, scheiding tussen ontwikkel-/test-/acceptatie-/productie-omgevingen, het gebruik van tools en privacy. Bij functiescheiding en toegangsbeheer kun je je afvragen wie daar iets over te zeggen heeft, wie verantwoordelijk is. Het gebruik van tools lijkt welhaast inherent aan de manier waarop we met big data willen werken, terwijl de normatiek juist erg hecht aan dedicated applicaties. Classificatie van gegevens was sowieso al een heikel thema en dat wordt er met big data niet gemakkelijker op.

Het onderwerp privacy komt natuurlijk ook terug via de Wet bescherming persoonsgegevens en via de Algemene Verordening Gegevensbescherming van de EU. Die wetten zeggen bijvoorbeeld iets over de fysieke opslaglocatie van persoonsgegevens. En wie is er bij zo’n grote, diverse bak data verantwoordelijk voor het melden van datalekken?

Beveiligers baseren hun analyses op de BIV-aspecten: gegevens moeten beschikbaar zijn als je ze nodig hebt, ze moeten integer (juist en volledig) zijn en de vertrouwelijk moet gewaarborgd zijn. Een data-analist die zich op zo’n grote gegevensbak stort gaat op zoek naar allerlei verbanden om zodoende data te veredelen tot informatie. Is dat wel verenigbaar met een strakke handhaving van het need to know-principe? Of hebben we veeleer te maken met een grote supermarkt waarin de analist zijn boodschappenkar kan vullen met allerlei lekkernijen die hij tegenkomt en waarvan hij denkt dat hij daar misschien iets aan heeft? Als de Amerikaanse inlichtingen- en opsporingsdiensten dit doen, dan betichten we hen al gauw van datagraaien.

Big data en de cloud lijken voor elkaar te zijn gemaakt. Big data vraagt om big storage en dat is nu juist de kracht van de cloud, met al haar elasticiteit en schier onbegrensde capaciteit. De publieke cloud, dat is echter niets anders dan de computer van een onbekende. Big data kan uit diverse bronnen afkomstig zijn, is dus (voor een deel) de – wellicht minder betrouwbare – data van iemand anders. Deze beide constateringen hebben een negatieve gevoelswaarde, die je pseudo-wiskundig als volgt zou kunnen uitdrukken: min + min = 2 * min. Waarmee ik maar wil zeggen: de beide negatieve effecten – of op z’n minst: de gevoelens daarbij – versterken elkaar.
Het is dus zaak om onduidelijkheden te identificeren en daar vervolgens iets mee te doen. Ja, dat riekt inderdaad naar een risicoanalyse. Want risico’s moet je niet lopen, maar nemen. Het zou toch erg jammer zijn als de onneembare vesting van weleer zou verworden tot een onbeveiligbaar luchtkasteel.

En in de grote boze buitenwereld …

... is het natuurlijk goed om na te denken over wat een smart device voor kinderen wel en niet mag kunnen. Ik vraag me alleen af of al die kenmerken die in dit artikel worden genoemd op de doos van zo'n product staan.
http://www.trendmicro.com/vinfo/us/security/news/internet-of-things/iot-buyers-quiz-for-smart-parents

... heeft Operatie Avalanche een einde aan een groot botnet gemaakt.
https://www.europol.europa.eu/newsroom/news/‘avalanche’-network-dismantled-in-international-cyber-operation

... is de overheid laks met het beveiligen van haar websites.
http://www.volkskrant.nl/tech/helft-overheidssites-zonder-veilige-verbinding-overheid-zou-goede-voorbeeld-moeten-geven~a4425983

... brengt Firefox momenteel de privacy van Tor-gebruikers in gevaar.
https://www.grahamcluley.com/tor-users-risk-anonymity-stripped-via-attacks-exploiting-firefox-zero-day/

... staan onze cybersoldaten klaar voor het digitale gevecht.
http://www.ad.nl/nieuws/nederlandse-cybersoldaten-klaar-voor-de-strijd~a2aabcee

... is het OV-bedrijf van San Francisco goed omgegaan met een ransomware-besmetting. De financiële schade bleef beperkt tot twee dagen gratis vervoer voor iedereen.
https://www.grahamcluley.com/love-san-franciscos-metro-system-responded-ransomware-attacker/

... werd de OV-hacker van San Francisco zelf ook weer gehackt.
https://krebsonsecurity.com/2016/11/san-francisco-rail-system-hacker-hacked/

... bevorderen Schiphol en de Rotterdamse haven hun digitale weerbaarheid met twee nieuwe initiatieven.
http://nieuws.schiphol.nl/mainports-schiphol-en-rotterdamse-haven-bevorderen-digitale-weerbaarheid

... moet Trump een speerpunt maken van cybersecurity, zegt de dame die ook al Obama en Bush over dit onderwerp adviseerde.
https://www.bloomberg.com/view/articles/2016-11-30/what-trump-can-do-about-cybersecurity

... hoeft lang niet iedere organisatie een data protection officer te hebben, maar het kan wel handig zijn om er toch een te benoemen.
http://blog.iusmentis.com/2016/11/30/wanneer-data-protection-officer-nodig-als-bedrijf/

... wil de Duitse inlichtingendienst 150 miljoen investeren in het hacken van instant messengers. [Duits]
https://netzpolitik.org/2016/projekt-aniski-wie-der-bnd-mit-150-millionen-euro-messenger-wie-whatsapp-entschluesseln-will/

... kun je systemen voor gezichtsherkenning om de tuin leiden met brilmonturen waarop gelaatstrekken staan afgebeeld.
http://boingboing.net/2016/11/02/researchers-trick-facial-recog.html

... is het nooit slim om een vreemde USB-stick in je pc te prikken.
https://www.wired.com/2016/11/wickedly-clever-usb-stick-installs-backdoor-locked-pcs

Gepost door op Geen opmerkingen:
Labels: , , , , , ,

vrijdag 25 november 2016

Nep


Er worden op dit moment veel sleutelhangers, stickers en hangertjes voor in de auto uitgedeeld bij tankstations. Zogenaamd gratis. Neem deze niet aan, er zit een chip in verwerkt. Criminelen volgen je vanaf het tankstation naar huis en kunnen zo op deze manier te weten komen wanneer je niet thuis bent. Ze kunnen jou dus in je eigen auto volgen via de chip wanneer je weer naar huis komt. En zo kan de crimineel weer op tijd uit jouw huis vertrekken. Volgens de politie zit er een chip in verwerkt en is dit het werk van Roemenen. Een nieuwe vorm van criminaliteit. Deze spulletjes dus niet aannemen. Kopieer deze mail en laat het zoveel mogelijk mensen weten.

Deze hoax las ik voor het eerst een paar jaar geleden thuis bij mijn moeder in het Vaalser Weekblad.  Normaliter staat dit blad bol van vooral door verenigingen, zakenlui en de kerk aangeleverde kopij, waardoor dit bericht nog eens extra opviel. Gewoonlijk circuleren dergelijke nepverhalen in de social media en via de mail. Je hebt het ver geschopt als jouw verzinsel in druk verschijnt, ook al is het in een plaatselijk sufferdje.

Er zijn heel wat hoaxes in omloop. Ze waarschuwen je doorgaans voor naderend onheil. Een bekende uit 2012 is die waarin ervoor wordt gewaarschuwd dat Facebook alles wat je ooit hebt gepost openbaar wordt. Je zou dat kunnen voorkomen door een bericht te posten waarin je Facebook verbiedt om dat te doen. In dat kant-en-klaar beschikbare bericht wordt verwezen naar een Amerikaanse wet en het Statuut van Rome. Het gaat hier in feite om een dubbele hoax: Facebook had geen plannen om dit te doen en als het wel zo was zou je het niet kunnen voorkomen door een dergelijke boodschap te publiceren.

En dan hadden we nog de Michael Schumacher-hoax. Er zou een filmpje van zijn ski-ongeluk bestaan. Hier klikken alstublieft. Waarna een Trojaans paard zich op je computer nestelt en cybercriminelen toegang krijgen tot je bankgegevens en zo. Maar: ís dit wel een hoax? Volgens de Hoax-Wijzer (hoaxwijzer.be) en virusalert.nl gaat het om een terechte waarschuwing. Verder heb je weinig mogelijkheden om een bericht sluitend te toetsen. Dat het – zoals in het geval van Schumacher – in veel media wordt aangehaald, helpt niet echt, omdat de media elkaar bij dit soort berichten vaak napraten en zelden de moeite nemen om de juistheid ervan zelf te controleren..

Gelukkig zijn er meestal wel genoeg rode vlaggen om het hoax-alarm af te laten gaan. Vaak zijn ze schreeuwerig van toon, beroepen ze zich op een autoriteit (politie, KPN, de radio) om het bericht kracht bij te zetten en roepen ze je op om het artikel toch vooral verder te verspreiden. En als je twijfelt of een bericht vals of echt is, kun je het beste twee dingen doen: niet de gevraagde actie uitvoeren en wel alert zijn en dus bijvoorbeeld in het geval-Schumacher niet op de aangeboden link klikken. Daardoor doe je niet mee aan de verdere verspreiding van een mogelijke hoax en loop je ook niet het risico op een besmetting.

Ik vind het verontrustend dat hoaxes er kennelijk – zie de verspreidingsgraad en het feit dat ze jarenlang blijven rondzingen – beter in slagen om mensen te alarmeren dan échte beveiligingswaarschuwingen. Zouden die te moeilijk en te saai zijn? Bij voorbaat weerzin wekken omdat ze je bang maken en een gevoel van machteloosheid geven? Misschien moeten we beveiligingswaarschuwingen wat oppimpen:

KIJK UIT! Op diverse sociale media circuleert het bericht dat je GROTE RISICO’S loopt door in mailtjes die je van onbekenden krijgt op links te klikken of bestanden te openen!!! Je computer kan besmet raken en via ~phishing~ kunnen ÓcriminelenÓ je allerlei informatie zoals bankgegevens en wachtwoorden ontfutselen. TRAP HIER NIET IN! De Nationaal Coördinator Terrorisme en Veiligheid heeft dit bericht onlangs op de radio bevestigd en opgeroepen deze waarschuwing zo breed mogelijk te verspreiden. HANDEL NU: KOPIEER DIT BERICHT, HELP JE FAMILIE EN VRIENDEN!!!

Niet direct mijn stijl, maar ach, als het helpt…

En in de grote boze buitenwereld …

... zou je dit voor een hoax kunnen aanzien (maar dat is het waarschijnlijk niet).

... raak je besmet met ransomware via kwaadaardige plaatjes op Facebook.

... is het raadzaam om software up-to-date te houden, maar soms kan automatisch patchen ook tot problemen leiden.

... moet WhatsApp aan de Nederlandse privacywetgeving voldoen, zegt de rechter.

... worden Europese geldautomaten volop door hackers aangevallen.

... hebben Europese politiediensten in een gezamenlijke actie een groot aantal geldezels aangehouden.

... zijn het niet alleen goedkope consumentenprulletjes die het internet der dingen gevaarlijk maken.

... eist de privacywet in bepaalde gevallen dat er een bewerkersovereenkomst wordt opgesteld. Dit artikel legt uit wanneer dat moet en wat erin moet staan.

... kan het handig zijn om een briefje met wachtwoorden te maken voor achterblijvers. Maak er dan wel goede afspraken over.

... groeit ransomware omdat het zo’n makkelijke manier van geld verdienen is.

... is deze Australische assistent-minister goed doordrongen van de gevaren van cyberaanvallen.

... kun je gemakkelijk een Tesla stelen dankzij de bijbehorende app.

... komt beveiliging met wisselend succes voor in films en tv-series.

... heeft IBM voor tweehonderd miljoen dollar een 'schietbaan' gebouwd waar je een cyberaanval kunt oefenen.

... kun je een koptelefoonaansluiting softwarematig 'omdraaien' zodat de koptelefoon als microfoon werkt.

... is je oude smart-tv opeens een gewone tv geworden omdat hij geen moderne SHA-2-certificaten ondersteunt.

... lopen er drie miljoen Android-telefoons rond met een voorgeïnstalleerde backdoor/rootkit.

 … gaat de Autoriteit Persoonsgegevens nu toch echt boetes uitdelen.

… zouden de eerste bekeuringen van de AP wel eens bij ziekenhuizen terecht kunnen komen.

… vergt de cloud moderne wetgeving, vindt de chief privacy officer van Microsoft.


Gepost door op Geen opmerkingen:
Labels: , , , , , ,

vrijdag 18 november 2016

Regen

Dezer dagen komt helaas het regenpak weer vaker in actieve dienst, aangezien de herfst de neerslag precies zó weet de plannen dat het regent als ik naar kantoor en/of naar huis fiets.

Het regenpak biedt zowel bescherming als ongemak. Je blijft droog, maar als je flink doorfietst word je toch nat – van je eigen zweet. Het fietst sowieso minder prettig. Een capuchon kan, indien niet goed afgesteld of verkeerd ontworpen, het zicht naar alle kanten flink belemmeren. Dat veroorzaakt vertraging omdat je bij een kruispunt toch zeker wilt weten of de weg vrij is en daarom steeds aan de capuchon zit te sjorren.

Je kunt er natuurlijk voor kiezen om géén regenkleding aan trekken terwijl het toch heel duidelijk regent – en dus nat te worden. Of je dit doet hangt van een aantal factoren af, zoals intensiteit van de neerslag en je rijrichting (thuis kun je je omkleden als je nat aankomt). Bij pubers schijnt ook nog de macho-factor mee te spelen. Dit is niet mijn favoriete optie; ik ben toch meer van gepaste maatregelen.

Het komt ook wel eens voor dat je te laat beseft dat het verstandig zou zijn geweest om je regenpak aan te doen. Zoals bij mot- en miezerregen. Je denkt dan dat het wel meevalt en komt er pas als het te laat is achter dat die fijne druppeltjes genadeloos door je kleren dringen. Deze ervaring onthoud je een week of wat, maar als het na die tijd weer een keer motregent tuin je er gewoon opnieuw in.

Als het ‘gewoon’ licht regent loont het vaak niet de moeite om een regenpak aan te trekken: de ene druppel is alweer opgedroogd voordat de volgende je raakt. Maar daar kun je je op verkijken en onderweg kom je dan tot de conclusie dat het verstandig zou zijn om alsnog je regenpak aan te trekken. Als die gedachte in je opkomt, dan is het zaak om snel te handelen. Aarzel je te lang, dan hoeft het niet meer omdat je toch al te nat bent. Een andere reden voor zo’n ongeplande tussenstop kan natuurlijk zijn dat er bij vertrek nog geen vuiltje aan de lucht was en dat het en route zomaar ineens begon te regenen. Wat de aanleiding ook zij, zo’n tussenstop is ‘duur’: hij kost extra tijd en het te velde aantrekken van met name de regenbroek is lastiger dan wanneer je het zittend binnen kunt doen. En als je geen beschutting hebt terwijl je staat te hannesen, dan regen je ook nog eens nat terwijl je je juist daartegen wilt beschermen. Een soort dweilen met de kraan open.

Buienradar is al jarenlang mijn favoriete site. De verstrekte informatie kan ertoe leiden dat ik wat eerder of wat later vertrek om een bui voor te zijn of over te laten waaien. Soms zitten er fouten in deze monitoring. Dan regent het op het verkeerde moment, of helemaal niet terwijl de radar vindt van wel (false positive), of juist wel terwijl het volgens de radar droog is (false negative, komt vooral voor bij motregen).

Als het regenpak even geen optie is, dan kun je andere compenserende maatregelen treffen. Je kunt bijvoorbeeld even schuilen als je denkt of weet dat het zo over is. Of je kunt al fietsend vooroverbuigen om in ieder geval je benen een beetje droog te houden.

Ik laat het deze keer aan jezelf over om in bovenstaand verhaal de parallellen met informatiebeveiliging te bedenken. Je zult zien dat beveiliging nauw aansluit bij het gewone leven, waarin je iedere dag weer tal van microrisicoanalyses uitvoert.

En in de grote boze buitenwereld …

... hebben de Britse opsporings- en inlichtingendiensten vergaande bevoegden gekregen. Edward Snowden hierover op Twitter: "The UK has just legalized the most extreme surveillance in the history of western democracy. It goes farther than many autocracies."
http://www.zdnet.com/article/snoopers-charter-expansive-new-spying-powers-becomes-law/

... is minister Kamp uiteindelijk toch teruggekomen van zijn standpunt dat hij zijn privé-mailaccount 'gewoon' zakelijk kan blijven gebruiken. In deze Kamerbrief breekt hij nu zelfs een lans voor security awareness.
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/kamerstukken/2016/11/17/kamerbrief-uitkomsten-adr-onderzoek-prive-e-mailaccount/Kamerbrief+Uitkomsten+ADR-onderzoek+privé+e-mailaccount.pdf

... zei een senior security engineer van Google op een conferentie in Nieuw-Zeeland dat virusscanners waardeloos zijn. Onder dit artikel daarover zijn maar liefst 105 (deels interessante) reacties van lezers geplaatst.
http://www.theregister.co.uk/2016/11/17/google_hacker_pleads_try_whitelists_not_just_bunk_antivirus_ids/

... moet de veiligheid van het internet der dingen misschien wel via wetgeving gereguleerd worden.
https://threatpost.com/regulation-may-be-best-answer-to-iot-insecurity/121990/

... kopiëren iOS-apparaten de logbestanden van je telefoon-, FaceTime-, Skype- en WhatsApp-gesprekken naar iCloud (als iCloud tenminste aan staat).
https://theintercept.com/2016/11/17/iphones-secretly-send-call-history-to-apple-security-firm-says/

... laten de meeste Linux-computers zich hacken door zeventig seconden op de entertoets te drukken.
https://www.grahamcluley.com/holding-enter-key-smash-linuxs-defenses/

... blogt deze medewerker van een 'traditioneel' antivirusbedrijf fel van leer tegen zijn 'next gen'-concurrenten.
https://labsblog.f-secure.com/2016/11/16/whats-the-deal-with-next-gen/

... loopt er een kickstarterproject voor vingerafdrukstickers die je op je handschoenen kunt plakken zodat je je device ook in de winter gemakkelijk kunt ontgrendelen. Zo vervang je dus 'iets wat je bent' door 'iets wat je hebt'.
https://gizmodo.com/these-fake-fingerprint-stickers-let-you-access-a-protec-1788710313

... kreeg deze hacker celstraf voor het bijna kapotmaken van het internet.
http://www.volkskrant.nl/tech/nederlandse-superhacker-sven-k-krijgt-240-dagen-cel~a4415004

... zet Olympiër Churandy Martina zich in voor online veiligheid en privacy.
http://www.dutchcowboys.nl/cybercrime/churandy-martina-komt-in-actie-voor-online-beveiliging-en-privacy

... is het Internet of Toys een deelverzameling van het Internet of Things en daarmee net zo kwetsbaar.
https://www.mediawijzer.net/ouders-weten-veel-te-weinig-van-connected-toys/

... vroeg een cybercrimineel een crypto-deskundige om hulp omdat er een fout in zijn ransomware zit, waardoor bestanden van zijn slachtoffers niet meer herstelbaar zijn.
https://www.security.nl/posting/492844/Ransomwaremaker+vraagt+onderzoeker+om+hulp+met+encryptie

Gepost door op Geen opmerkingen:
Labels: , , , , , , ,

vrijdag 11 november 2016

Cybertroef

“Ik heb een zoon van tien. Hij heeft computers. Hij is zo goed met die computers, ongelooflijk. Het beveiligingsaspect van cyber is heel erg moeilijk. En misschien is het bijna niet te doen. Maar ik zeg: we doen niet de dingen die we zouden moeten doen. Maar dat is zo in het hele regeringsapparaat. We moeten zoveel dingen beter doen, en cyber is daar zeker één van.”

Aldus de aankomende 45e president van de Verenigde Staten, toen enkele weken geleden in een debat de cyberaanvallen op Amerikaanse instituties ter sprake kwam. Welke impuls gaat Donald John Trump (70, $ 3,7 miljard) de komende jaren geven aan informatiebeveiliging?

Om te beginnen denk ik dat hij geen flauw benul heeft waar het over gaat. Het is een veeg teken als je ‘cyber’ als zelfstandig naamwoord gebruikt. En tja, je tienjarig zoontje benoemen tot chief information security officer is ook niet zo’n sterke move. Heb je dat arme jochie gezien tijdens pa’s overwinningsrede? Barron zag lijkbleek en wist zich amper staande te houden. Maar ja, die speech vond dan ook plaats in het holst van de Amerikaanse nacht.

De opmerking dat “we” niet de dingen doen die we zouden moeten doen is een diskwalificatie van het hele beveiligingsapparaat. Maar dat we het op dat terrein beter moeten gaan doen staat buiten kijf. Dat is natuurlijk een heel generiek antwoord: vervang ‘cyber’ door waterkering, gezondheidszorg of alligatortemmen en het klopt óók.

Het voorvoegsel cyber gaat trouwens terug tot de jaren veertig van de vorige eeuw, toen de Amerikaanse wiskundige Norbert Wiener over cybernetica schreef. Midden jaren negentig werd het vooral bekend door cyberseks. Tegenwoordig doen we het vooral met cybersecurity – en dat is minstens zo spannend.

Trump heeft beloofd om cybersecurity onmiddellijk topprioriteit te geven. Hij wil offensieve capaciteiten om aanvallen van statelijke en andere actoren af te slaan. Ik zou dat eerder defensief noemen, maar wat hier wel een juiste observatie is, is dat je je niet alleen moet richten op andere landen. In het Cybersecuritybeeld Nederland 2016 valt te lezen dat beroepscriminelen steeds geavanceerder worden en qua mogelijkheden steeds dichter in de buurt van de statelijke actoren komen. Je moet je dus niet alleen op China, Rusland en Noord-Korea richten, maar ook op boeven van over de hele wereld.

Verder omvat Trumps cybervisie het instellen van een Cyber Review Team dat aanbevelingen moet doen om ‘different entities’ tegen ‘the likely threats’ te beschermen met ‘the best defense technologies’. Daarnaast moet het CRT een verplichte cyber awareness training voor overheidspersoneel ontwikkelen (top!). Ook worden er Joint Task Forces in het leven geroepen om het optreden van politie en opsporingsdiensten tegen cyberaanvallen te coördineren. En tenslotte wordt ook de militaire tak, het U.S. Cyber Command, versterkt.

Op het gebied van privacy zal Trump niet bepaald een aanwinst zijn. Nu kun je daar waarschijnlijk geen enkele Amerikaanse president van betichten, gezien hun keuze om mass surveillance tot norm te verheffen. Nationale veiligheid gaat voor Trump duidelijk boven privacy. Klokkenluider Edward Snowden kan wat hem betreft de doodstraf krijgen, heeft hij laten doorschemeren. En hij heeft opgeroepen om Apple te boycotten toen het bedrijf weigerde om een achterdeurtje in de iPhone in te bouwen. De internet kill switch komt ook dichterbij: Trump is gepikeerd omdat IS het internet beter gebruikt dan Amerika terwijl Amerika het internet bedacht heeft. Hij wil ‘ons internet’ niet laten gebruiken om zijn natie te vermoorden. Daarom moet het internet ‘op sommige plekken’ dichtgegooid worden. Wie klaagt over beperking van vrijheid van meningsuiting is een dwaas. Het in het groot opslaan van metadata kan op de warme steun van de president elect rekenen.

En dit gaat dan allemaal alleen nog maar over het binnenland. Trumps binnenland wel te verstaan. Wij, het buitenland, komen er ongetwijfeld nog bekaaider af. Overigens hebben we nu ook al een duidelijke achterstand: onze privacy is minder waard dan die van een Amerikaan. Kan het nog erger? Vast wel. Maak je borst maar nat.

En in de grote boze buitenwereld …

... wil ook het Nederlandse kabinet ruim baan voor opsporingsdiensten. Aldus de staatssecretaris van V&J, de minister van BZK én de minister van Defensie (!).
http://www.nu.nl/internet/4347648/kabinet-sluit-gebruik-van-kwetsbaarheden-in-software-niet.html

... kun je de Franse overheid ook al niet meer vertrouwen.
http://webwereld.nl/security/94968-franse-overheid-gooit-privacy-burger-te-grabbel

... bestaat privacy toch al bijna niet meer, betoogt de auteur van dit artikel.
http://computerworld.nl/security/94983-bestaat-privacy-nog-amper

... kost het hacken van een lokale iOS-backup je binnenkort een slordige duizend jaar.
https://www.tripwire.com/state-of-security/featured/ios-10-2-will-make-local-iphone-backup-much-much-harder-crack/

... kun je je iPhone en iPad heel wat meer gevoel voor privacy geven.
https://www.mijnonlineidentiteit.nl/privacy-instellingen-apple-ios/

... maakt zwakke IoT-beveiliging het mogelijk dat je telefoon een GPS-tracker wordt. Zonder dat je het weet.
https://www.grahamcluley.com/insecure-iot-gear-turn-phone-gps-tracker/

... laat dit filmpje zien hoe kwetsbaar het internet der dingen is.
https://youtu.be/Ed1OjAuRARU

... zijn wifi-bewakingscamera's kwetsbaar voor aanvallen.
http://www.securitymanagement.nl/bewakingscameras-goudmijn-hackers

... lijkt het Signal-protocol, dat in diverse chat-apps wordt gebruikt, erg veilig te zijn.
https://www.security.nl/posting/491948/Onderzoekers+vinden+geen+grote+fouten+in+Signal+Protocol

... bezorgt een DDoS-aanval je soms koude rillingen.
https://www.security.nl/posting/491969/Verwarming+in+Finse+gebouwen+uitgeschakeld+door+ddos-aanval

... kun je voortaan kwaadaardige sites rapporteren aan Google.
https://security.googleblog.com/2016/11/a-new-site-for-safe-browsing.html

Gepost door op Geen opmerkingen:
Labels: , , , , , , , , ,

vrijdag 4 november 2016

Spullen kopen

Als je een nieuwe laptop, wasmachine of auto wilt kopen, dan heb je een bepaald beeld van het product waar je naar verlangt. Dat kan in algemene termen (licht, stil, blauw) of in de vorm van heel concrete specificaties (Intel Core i7-4810MQ processor, 1600 toeren, 340 pk). Hoe concreter de specificaties, hoe lastiger het selectieproces. Want waar sommige mensen misschien tevreden zijn met iedere auto zolang hij maar blauw is, daar zal een laptopkoper die een specifieke processor wil ook nog wel een paar andere eisen hebben, zoals beeldschermgrootte en type videokaart. En budget natuurlijk.

Voor de aanschaf van veel producten zijn Google, Kieskeurig en dergelijke sites je beste vrienden. Vaak kun je op vergelijkingssites allerlei filters instellen en zo het aantal producten waaruit te kiezen valt steeds kleiner maken (waarbij je op de koop toe neemt dat je misschien niet alle producten ziet die te koop zijn, omdat sommige sites alleen producten opnemen waarvoor de fabrikant betaalt). Maar soms werkt dat niet op deze manier en moet je met een verkoper aan de slag. Je legt hem zo goed mogelijk uit wat je nodig hebt en hij zoekt er het passende product bij (waarbij je op de koop toe neemt dat je misschien niet alle producten ziet die te koop zijn, omdat de verkoper niet van alle fabrikanten evenveel provisie ontvangt).

Als je iets duurs voor een overheidsorganisatie in Europa moet inkopen, dan moet dat via een openbare aanbesteding. Je beschrijft welk product of dienst je nodig hebt en aan welke eisen het allemaal moet voldoen. Dat hele verhaal publiceer je en alle Europese bedrijven die daar zin in hebben kunnen een offerte uitbrengen. Vervolgens ga je die offertes doorspitten. Voldoet een aanbieder niet aan je eisen, dan valt hij af. Uit de leveranciers die overblijven kies je er een op basis van vooraf beschreven criteria, bijvoorbeeld laagste prijs. En klaar is Kees. (Dit is een vereenvoudigde weergave.)

Maar wat als je niet wilt dat iedereen te weten komt wat je wilt kopen, of als de specificaties die je opgeeft veel informatie geven over bijvoorbeeld jouw technische infrastructuur? Dan heb je een probleem. Je zit in een spagaat: enerzijds wil je een product dat zo goed mogelijk aansluit bij jouw eisen en op de spullen die je al hebt, anderzijds is daarvoor nou precies de informatie nodig die je liever niet zou willen prijsgeven. Helaas gaat de ‘niet-openbare aanbesteding’ over iets heel anders dan de vertrouwelijkheid van jouw informatie. Als je googelt op ‘aanbesteding’ en ‘vertrouwelijkheid’, dan gaan de resultaten over het vertrouwelijk behandelen van de informatie die een potentiële leverancier aan de potentiële koper geeft. Dat is dus de andere kant op.

Ik heb maar niet verder gezocht naar regelgeving op dit gebied. Want uiteindelijk komt het toch neer op vertrouwen. Via de hierboven genoemde niet-openbare aanbesteding kun je een voorselectie van leveranciers doen. Daarmee kun je voorkomen dat jouw informatie breeduit op straat komt te liggen. De geselecteerde leveranciers zul je vroeg of laat wél de nodige detailinformatie moeten geven. Je kunt het vertrouwen een beetje organiseren met NDA’s (non-disclosure agreements, geheimhoudingsverklaringen) en zo’n leverancier zou dom zijn als hij daar inbreuk op maakt, maar je weet nooit helemaal zeker hoe een individuele medewerker met jouw informatie omgaat. En toch kopen opsporingsdiensten, defensieonderdelen en anderen die iets te verbergen hebben regelmatig spullen. In deze fase is er trouwens geen verschil met het bedrijfsleven: ook daar zullen ze een leverancier voldoende inzicht moeten geven om hem in staat te stellen de juiste producten of diensten te leveren.

Ken je die mop over die betrouwbare autoverkoper? Ik ook niet. Maar ik denk wel dat het goed mogelijk is om vertrouwen in een leverancier te hebben, want je hoort eigenlijk nooit dat er op dat vlak iets misgaat. Binnenkort maar eens bij onze inkopers gaan buurten en informeren hoe dat in de praktijk werkt.

En in de grote boze buitenwereld …

... wapenen de VS zich tegen mogelijke Russische cyberaanvallen op hun presidentsverkiezingen.
https://www.washingtonpost.com/world/national-security/russia-seen-as-unable-to-alter-election-but-may-still-seek-to-undermine-it/2016/11/03/b7387160-a1cd-11e6-8832-23a007c77bb4_story.html

... zijn uiteraard ook slimme lampen hackbaar.
http://www.nu.nl/internet/4345615/onderzoekers-hacken-slimme-lampen-met-drone.html

... hebben twee computers zelf een crypto-algoritme bedacht en geen mens weet hoe het werkt.
http://www.demorgen.be/wetenschap/twee-computers-bedenken-eigen-geheimtaal-en-niemand-weet-hoe-het-werkt-b90e2d24/

... wilde een Britse verzekeringsmaatschappij haar jonge klanten beoordelen aan de hand van hun Facebookprofiel.
http://www.volkskrant.nl/tech/facebook-steekt-stokje-voor-spieken-door-autoverzekeraar~a4407398

... moet je oppassen voor een valse Flash Player-app.
https://threatpost.com/phony-android-flash-player-installs-banking-malware/121696/

... zullen ook auto's niet veilig zijn voor ransomware.
http://blog.caranddriver.com/ransomware-the-next-big-automotive-cybersecurity-threat

... vraagt de internetjurist zich af of een provider onveilige IoT-devices mag blokkeren.
http://blog.iusmentis.com/2016/11/02/mag-internet-provider-onveilige-iot-apparaten-blokkeren/

... is het de hoogste tijd om af te rekenen met onveilige IoT-devices.
https://www.fox-it.com/nl/insights/blogs/blog/ongekend-grote-ddos-aanvallen-is-nog-begin/

... is de mail van de campagnechef van Hillary Clinton gehackt via een phishing mail waarvan de IT-afdeling had gezegd dat het een legitiem mailtje was. Oeps.
https://www.hotforsecurity.com/blog/this-is-the-email-that-hacked-hillary-clintons-campaign-chief-17039.html

... is je smartphone of tablet misschien gehackt als hij deze tekenen vertoont.
http://www.inc.com/joseph-steinberg/14-signs-your-smartphone-or-tablet-has-been-hacked.html

... moesten drie Britse ziekenhuizen de deuren sluiten omdat ze met malware – waarschijnlijk ransomware – waren besmet.
https://www.helpnetsecurity.com/2016/11/01/uk-hospitals-virus-attack/

... is big data ook big business. [Duits]
http://www.tagesschau.de/inland/tracker-online-101.html

... was één tweet voldoende om een DDoS-aanval op het Amerikaanse noodnummer 911 te ontketenen.
http://www.theverge.com/2016/10/30/13471128/meetkumar-hiteshbhai-desai-arrest-911-exploit

... meldde de Telegraaf dat je vanaf 2018 een 'pasjeskastje' nodig hebt bij online aankopen. Of is dat toch niet waar, zoals de internetjurist betoogt?
http://www.telegraaf.nl/dft/nieuws_dft/26910383/__Muur_om_mobiele_webshop__.html
http://blog.iusmentis.com/2016/10/31/hoezo-mag-internetshoppen-vanaf-2018-alleen-nog-apart-betaalkastje/

Gepost door op Geen opmerkingen:
Labels: , , , , , ,

vrijdag 28 oktober 2016

T65

Lopend door een winkelstraat viel mijn oog op een reclamebord waarop een T65 was afgebeeld. Gretig legde ik aan de kinderen uit dat dit telefoontoestel vroeger bij iedereen stond die telefoon had (inderdaad, lang niet iedereen had telefoon). Er kwamen twee snoeren uit: een krulsnoer naar de hoorn en een recht snoer naar een speciaal stopcontact. Het grijze toestel, dat je huurde van de PTT (het Staatsbedrijf der Posterijen, Telegrafie en Telefonie, dat een monopolie had op deze drie activiteiten), had een schijf met tien gaten waar je je vinger in moest steken om een nummer te draaien en er zat een wit knopje op waarvan je niet wist waarom het daar zat, want het deed niets. (Tegenwoordig kun je dat soort dingen opzoeken. Het was de ‘aardtoets’, die bij gebruik van een huistelefooncentrale kon worden gebruikt voor ruggespraak en doorverbinden.) 

Je “belde iemand op” omdat de bel in het toestel ging rinkelen als je dat deed. Het woord ‘ringtone’ bestond nog niet, je kon alleen het volume van de bel regelen met een regelaar aan de onderkant. Je kon met dat toestel bellen en gebeld worden: het was een one-trick pony.
En er kwamen nooit updates.

Hoe anders is dit alles nu. Een snoer komt hooguit nog uit je telefoon als hij – weer eens – aan de oplader hangt of als je oortjes gebruikt (en zelfs dat wordt nu afgeschaft), een ouderwetsche telefoonhoorn is verkrijgbaar als gimmick en updates zijn aan de orde van de dag. Dat laatste geldt vooral voor de vele apps die je op je smartphone hebt, maar zo af en toe krijg je ook een update voor het operating system voor je kiezen.

Apple heeft er een handje van om updates van iOS te ge-/misbruiken om dingen die jij doelbewust had uitgezet weer aan te zetten. In het verleden was dat zo met Bluetooth: dat zette je uit als je het niet nodig had omdat het een potentiële aanvalsvector is en hup, na installatie van de nieuwste iOS-versie stond het weer aan. Inmiddels hebben ze dat afgeleerd.

Versie 10 van hun mobiel besturingssysteem doet iets met je vergrendelscherm. Het biedt voortaan een weelde aan informatie die je in beeld kunt krijgen zonder je iDing te ontgrendelen. Allerlei widgets kunnen informatie tonen. Heel handig voor snelle toegang tot die informatie, maar je snapt al waar mijn bezwaar ligt: ook anderen dan de legitieme gebruiker kunnen dit. Ik denk dan bijvoorbeeld aan de widgets voor mail, agenda en notities. Sommige widgets staan standaard aan na installatie van iOS 10. Op het widget-scherm vind je de ‘Wijzig’-knop waarmee je widgets kunt in- of uitschakelen. Maar daar gepast gebruik van.

Dat werkt bij Android dan toch fijner. Zo heb ik ooit ingesteld dat ik de tekst van een binnenkomend SMS’je niet in de statusbalk wil laten tonen. Deze instelling heeft tot nu toe keurig alle updates overleefd (mijn wat ouder toestel draait op Android 4.4.4). Je kunt dat instellen in de berichten-app zelf, onder Instellingen > Meldingen > Berichtvoorbeeld. Meer uit de school klappende Android-widgets ken ik niet.

Weet je trouwens waarom die T65 nooit updates kreeg? Omdat het gewoon een ‘dom’ elektromechanisch apparaat was. En geen “computer met meer rekenkracht dan de Space Shuttle”, zoals de huidige smartphones. Nou vooruit, er was één update: tegen meerprijs kon je kiezen uit een zestal lelijke kleuren.

En in de grote boze buitenwereld …

... zoeken cybercriminelen de laatste tijd meer naar niet-bederfelijke informatie. Ze vinden die in medische dossiers.
https://beveiligingnieuws.nl/nieuws/ict-beveiliging/medische-gegevens-gehackt-id-fraude

... schetst dit filmpje een duister scenario voor een wereld waarin het internet der dingen overheerst.
https://m.youtube.com/watch?v=lGzPsl7dLIs&feature=youtu.be

... is een IoT-botnet te huur voor een paar duizend dollar per week.
https://www.hotforsecurity.com/blog/for-rent-an-iot-botnet-to-take-down-much-of-the-internet-16994.html

... zijn antidiefstal-trackers ook al niet zonder risico's.
http://www.theregister.co.uk/2016/10/25/iot_tracking_device_vulnerabilities

... kun je je netwerk scannen op kwetsbare IoT-devices.
http://lifehacker.com/iot-scanner-checks-for-vulnerabilities-in-your-connecte-1788154835
... gaan we nog veel meer horen van IoT-devices die zich tegen ons keren.
http://arstechnica.com/information-technology/2016/10/inside-the-machine-uprising-how-cameras-dvrs-took-down-parts-of-the-internet

... moeten we er dus maar aan wennen dat we schade gaan lijden door IoT-aanvallen.
https://securityledger.com/2016/10/bruised-by-internet-of-things-attacks-get-used-to-it/

... kunnen ook drones gehackt worden (uiteraard).
http://arstechnica.com/security/2016/10/drone-hijacker-gives-hackers-complete-control-of-aircraft-in-midflight/

... bindt Europol de strijd aan tegen mobiele malware. Ze hebben onder andere een flitsend filmpje en infographics gemaakt.
https://www.europol.europa.eu/content/mobile-malware

... gaat risico-acceptatie soms toch iets te gemakkelijk. (Speel de animated gif af om ‘m te snappen.)
https://mobile.twitter.com/thegrugq/status/790986835723898880/video/1

... kan een fout plaatje je iPhone of iPad besmetten.
https://www.grahamcluley.com/boobytrapped-jpeg-infect-iphone-upgrade-ios-10-1/

... vormt Dirty Cow een groot risico voor Android-toestellen.
http://arstechnica.com/security/2016/10/android-phones-rooted-by-most-serious-linux-escalation-bug-ever

... mag je niet zomaar gesprekken opnemen.
http://blog.iusmentis.com/2016/10/24/mag-kapture-armband-hele-omgeving-opnemen/

... hebben nog eens dertien landen zich aangesloten bij het No More Ransom-initiatief.
https://blog.kaspersky.com/nomoreransom-goes-global/13254/
Gepost door op Geen opmerkingen:
Labels: , , , , , , , , , ,

vrijdag 14 oktober 2016

Clowns


Jaren geleden vierden we vakantie op het Canarische eiland Fuerteventura. ’s Avonds flaneerden we graag door het centrum van Corralejo. Onze zoon, destijds kleuter van beroep, liep een paar meter voor ons uit over de brede stoep. Plotseling sprong iemand met een lelijk masker op uit een portiek tevoorschijn en maakte hem met groteske gebaren en geluiden flink aan het schrikken. Zelden heb ik iemand zó de huid vol gescholden (helaas ken ik geen Spaanse en te weinig Engelse scheldwoorden). Beroepshalve gewend om in worst case-scenario’s te denken zie je zo’n kind voor je geestesoog van het gevaar wegvluchten, zó de drukke straat op. Die kerel stond daar onnozel naar mijn gefoeter te luisteren, kennelijk niet in staat om te begrijpen waarom zijn actie niet leuk werd gevonden. Hij hoorde trouwens bij een pretpark een eindje verderop, waar ze onder andere een spookhuis hadden. Hij was een wandelend reclamespotje.

Fast forward naar 2016. De horrorclowns zijn in het nieuws. Bij wijze van onderzoek voor deze blog heb ik een paar van die filmpjes bekeken en ik kom tot de conclusie dat die maffe Amerikanen nogal wat in scène moeten hebben gezet. Waarom zou je in hemelsnaam langzaam met een paar man in de auto door het pikkedonker rijden en een camera op de verlaten weg richten? En dan duikt daar ineens geheel spontaan zo’n engerd op. Sure. Maar goed, een in scène gezet filmpje kan mensen op ideeën brengen. Bij de meer overtuigende filmpjes staat de cameraman verdekt opgesteld en filmt hij de bijbehorende clown als die iemand te grazen neemt. Het wordt natuurlijk écht vervelend als die clown iets wapenachtigs bij zich heeft. Dan is er al gauw sprake van bedreiging.

In de ICT is het niet anders. Ook daar hebben we te maken met anonieme lieden die ons bedreigen. Soms zijn ze, net als de horrorclowns, daadwerkelijk gemaskerd – het Guy Fawkes-masker is het symbool van hacktivistencollectief Anonymous. De dreiging bestaat vaak uit DDoS-aanvallen, waarbij de site van het slachtoffer wordt platgegooid. Dat kan om ideële redenen zijn, zoals bij de steun van Anonymous voor WikiLeaks en de vergelding voor de aanslagen in Parijs, om redenen van concurrentie (“Als de site van mijn concurrent niet bereikbaar is komen de klanten naar mij toe”) en om politieke redenen, zoals bij aanvallen op mensenrechtenorganisaties of politieke organisaties. Gewoon om te klieren kan natuurlijk ook.

Een belangrijk verschil tussen de horrorclowns en ICT-beveiligingsincidenten is dat het bij die laatste meestal niet bij dreigementen of leuk bedoelde bangmakerij blijft – ze dreigen niet met DDoS’en, ze doen het gewoon. Dreiging gaat wel uit van het motto van Anonymous: "We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us." Ik weet trouwens niet of ze het zo bedoeld hebben, maar dit motto doet mij erg denken aan een nogal vijandige volkje uit Star Trek: “We are the Borg. You will be assimilated. Resistance is futile.”

De belangrijkste overeenkomst tussen beide fenomenen is toch wel dat de daden niet in de haak zijn. De politie roept op om 112 te bellen als je zo’n zieke grappenmaker ziet lopen en grote DDoS-aanvallen mogen ook op belangstelling van oom agent rekenen. Maar er is nog een overeenkomst: de neiging van slachtoffers om eigenrichting toe te passen. In die – al dan niet in scène gezette – Amerikaanse filmpjes zie je hoe clowns in elkaar worden geslagen. Ook in Nederland is zoiets al voorgekomen: een veertienjarige kickbokser uit Delft heeft een paar rake klappen uitgedeeld aan iemand die het stoer vond om zijn broertje bang te maken. In de ICT is terughacken al vaak onderwerp van discussie geweest. Als het ene technologiebedrijf bij het andere inbreekt (economische spionage), mag die partij dan terugslaan? Mag de politie hacken?

Voor eigen rechter spelen mag niet. Als plotseling zo’n enge clown (wat eigenlijk een contradictio in terminis hoort te zijn) dreigend voor je staat, kan ik me ergens wel voorstellen dat je in een reflex om je heen gaat slaan. Als een computer wordt aangevallen zullen weinigen van ons in staat zijn om terug te slaan. Je verdediging op orde hebben is dus erg belangrijk.

En in de grote boze buitenwereld …

... zegt de auteur van dit artikel het heel duidelijk: begin niet aan een tegenaanval.
https://nakedsecurity.sophos.com/2016/10/10/is-it-really-a-good-idea-to-scam-the-scammers/

... wil TNO de juridische wereld bijspijkeren op het gebied van cybercrime.
https://time.tno.nl/nl/artikelen/hoe-we-cybercrime-willen-aanpakken/

... kampt de Amerikaanse luchtmacht met verstoringen op het geheime netwerk voor de aansturing van drones.
https://www.buzzfeed.com/aramroston/air-force-investigating-outage-of-classified-computer-system

... bestaat er een (ietwat academisch) verschil tussen twee-factorauthenticatie en twee-stapauthenticatie.
http://lifehacker.com/the-difference-between-two-factor-and-two-step-authenti-1787159870

... hengelt deze nieuwe Android-malware naar veel informatie en vraagt zelfs om een selfie met je ID-bewijs.
https://www.grahamcluley.com/enjoy-taking-selfies-plays-right-hands-this-malware/

... is niet iedereen het eens met Bruce Schneiers opinie dat het zinloos is om te trachten het gedrag van gebruikers te beïnvloeden (zie de Security (b)log van vorige week).
https://securingthehuman.sans.org/blog/2016/10/13/why-bruce-is-wrong-about-fixing-the-user

... zeggen de banken dat online bankieren veilig is. De moeilijkheid zit echter in hun derde veiligheidsregel.
https://www.alertonline.nl/experts/veilig-bankieren

... hanteren cybercriminelen het principe: eenmaal dom, altijd dom.
https://www.fraudehelpdesk.nl/nieuws/als-naam-op-sucker-list-staat/

... maken bedrijven zich grote zorgen over cloud storage, maar ze doen daar vervolgens weinig aan.
https://www.helpnetsecurity.com/2016/10/14/cloud-encryption-misconceptions/

... is de waarde van een CEH- of CISSP-certificering betrekkelijk.
https://www.alienvault.com/blogs/security-essentials/are-security-certifications-worth-your-time

... hebben eigenaren van de Samsung Galaxy Note 7 een beschikbaarheidsprobleempje.
http://money.cnn.com/2016/10/10/technology/samsung-galaxy-note-7-turn-off/index.html

... vinden er cyberaanvallen plaats op nucleaire installaties.
http://linkis.com/mobile.reuters.com/a/3Db8v

Gepost door op Geen opmerkingen:
Labels: , , , , , , , ,

vrijdag 7 oktober 2016

Averechts

Onder stoere namen als City Emergency Braking, Active City Stop en City Safety bieden diverse autofabrikanten systemen aan die een auto afremmen als je in botsing dreigt te komen met een voorligger of een plotseling overstekend kind. Zo’n op radar gebaseerd systeem, dat vooralsnog alleen bij lagere snelheden (‘city’) werkt, kan levens redden of op z’n minst de schade beperken. Helemaal geweldig dus.

Tenzij je met je politieauto een voortvluchtige crimineel van de weg wilt duwen en dat mooie systeem een ingreep doet. Dan kun je zomaar met je hoofd tegen het dashboard van je dienstauto knallen, want zo’n ingreep is nogal abrupt (Volkswagen daarover: Een remingreep van City Emergency Braking is geen comfortabele ervaring. Het abrupte karakter is speciaal ‘ingebouwd’ om de Volkswagen Touareg-bestuurder ervan te weerhouden om in stadsverkeer altijd en uitsluitend op het assistentie-systeem te vertrouwen.) Niemand bij de politie had om dat systeem gevraagd, het werd standaard door Volkswagen ingebouwd. Nu moeten 300 noodhulpauto’s (voorheen: politieauto) terug naar de garage om het weer uit te bouwen, zo schreef het AD eind augustus*.

Wat een geweldige beveiligingsmaatregel lijkt, hoeft dat niet altijd en overal te zijn. Dat geldt ook bij computers. Zo kan ik mij voorstellen dat het in een ziekenhuis niet per se handig is als bepaalde werkplekken zich automatisch vergrendelen, iets wat in een kantooromgeving toch als een goede maatregel geldt (voor die medewerkers die -L wel eens vergeten). Nee, op bijvoorbeeld een intensive care-afdeling moet het personeel altijd direct zicht op bepaalde monitoren hebben – vertraging door een screensaver kan daar levensbedreigend zijn.

Zo’n vaart zal het in onze kantoren zelden lopen. Maar toch: het zou met niet verbazen als we ook hier sommige beveiligingsmaatregelen hebben geïmplementeerd die averechts werken. Ik heb het dan niet over nuttige maatregelen die als ‘lastig’ worden ervaren, maar over maatregelen die zélf een bedreiging kunnen vormen.

Ik zal een riskant voorbeeld geven. Riskant, omdat het over een onderwerp gaat waarover bepaald geen consensus bestaat: wachtwoorden. Vaak is ergens in het wachtwoordbeleid vastgelegd dat eindgebruikers na een x aantal dagen “hun wachtwoord” moeten wijzigen. Dat moet nog een maatregel zijn uit de tijd dat eindgebruikers één wachtwoord hadden en het aannemelijk was dat dat wachtwoord vroeg of laat zou uitlekken, bijvoorbeeld omdat veel mensen het destijds op een geeltje noteerden en dat onder hun toetsenbord plakten. Tegenwoordig heeft iedereen tig wachtwoorden en we rammen er al jarenlang in dat je wachtwoord iets heel persoonlijks is waar je navenant mee moet omgaan. De eis om wachtwoorden te wijzigen kan dan, in combinatie met de noodzaak om complexe wachtwoorden te verzinnen, averechts werken doordat je het op een snel toegankelijke manier moet opschrijven omdat je niet telkens een nieuw, complex wachtwoord kunt onthouden, en dat dus keer tig. Overigens staat in de toch wel gezaghebbende internationale norm ISO27002 niets over het verplicht wijzigen van wachtwoorden (behalve als het om initiële wachtwoorden gaat, maar dat is dan ook weer logisch). In de BIR, de Baseline Informatiebeveiliging Rijksdienst, is wél weer een maximale geldigheidsduur van drie maanden opgenomen. Zoals ik al zei: er is geen consensus.

Ik ben benieuwd van welke beveiligingsmaatregelen jij als gebruiker vindt dat ze de beveiliging geen goed doen. Wellicht kan een goed onderbouwd verhaal tot een wijziging in het beleid leiden en kunnen we zo samen de informatiebeveiliging weer een beetje versterken.

*) http://www.ad.nl/dossier-nieuws/zelfremmende-politieauto-faalt~a5171ef0/

En in de grote boze buitenwereld …

... heeft Yahoo alle inkomende mail van zijn klanten op verzoek van de inlichtingendiensten gescand op specifieke termen.
http://www.reuters.com/article/yahoo-nsa-idUSL2N1CA1C2

... vinden critici dat Yahoo zich had moeten verzetten.
https://theintercept.com/2016/10/04/delete-your-yahoo-account/

... hebben gebruikers last van beveiligingsmoeheid.
http://www.tripwire.com/state-of-security/featured/cybersecurity-is-just-too-much-trouble-for-the-general-public-claims-study/

... is het zinloos om te proberen het gedrag van de gebruiker te beïnvloeden.
https://www.schneier.com/blog/archives/2016/10/security_design.html

... ontving Open Whisper Systems, de maker van de messaging app Signal, een vordering van het Openbaar Ministerie van Virginia om bepaalde gebruikersgegevens aan te leveren. Ze konden echter slechts zeer summiere informatie verstrekken, hetgeen buiten de inlichtingendiensten als positief wordt ervaren.
http://www.reuters.com/article/us-usa-cyber-signal-idUSKCN1241JM

... heeft Open Whisper Systems zich succesvol verzet tegen het gerechtelijk bevel om niets over de vordering naar buiten te brengen.
https://whispersystems.org/bigbrother/eastern-virginia-grand-jury/

... heeft ook de Facebook Messenger nu end-to-end encryptie. Maar je moet het wel iedere keer opnieuw aanzetten.
https://www.hotforsecurity.com/blog/finally-everyone-can-encrypt-their-facebook-conversations-heres-how-16829.html

... moet je oppassen met hulpvragen via bijvoorbeeld WhatsApp.
https://www.fraudehelpdesk.nl/nieuws/hulpvraag-whatsapp-blijkt-oplichting/

... weet een Zwolse coassistent nu ook dat hij geen patiëntengegevens op een privélaptop mag opslaan. De laptop is gestolen waardoor medische gegevens van ruim vijfhonderd patiënten op straat liggen.
http://www.volkskrant.nl/binnenland/patientgegevens-zwols-ziekenhuis-op-straat-na-diefstal-laptop~a4390608/

... hoor je ook bij IoT-devices het default wachtwoord te wijzigen, maar dat is nog niet zo gemakkelijk.
https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/

... schetst deze cartoon een heftig beeld van ransomware op het internet der dingen.
http://www.geekculture.com/joyoftech/joyarchives/2340.html

... luistert deze insulinepomp naar onversleutelde commando's.
http://www.theregister.co.uk/2016/10/05/animas_diabetes_pump_flaw/

... gebruiken Mastercardhouders straks geen wachtwoord meer voor online aankopen, maar een vingerafdruk of selfie.
http://www.volkskrant.nl/tech/selfie-of-vingerafdruk-vervangt-pincode-of-wachtwoord~a4389944

... wijzigt deze innovatieve creditcard ieder uur haar beveiligingscode (de CCV-code op de achterkant).
http://www.thememo.com/2016/09/27/oberthur-technologies-societe-generale-groupe-bpce-bank-this-high-tech-card-is-being-rolled-out-by-french-banks-to-eliminate-fraud/

... dient een besmetting met ransomware, waarbij persoonsgegevens betrokken zijn, als datalek te worden beschouwd.
https://www.fraudehelpdesk.nl/nieuws/versleuteling-bestanden-persoonsgegevens-is-datalek/

... hebben de Britten nu ook een NCSC. Gek genoeg ressorteert dat onder inlichtingendienst GCHQ.
https://www.security.nl/posting/487747/Britten+gaan+van+start++met+National+Cyber+Security+Centre

... worden onze login-gegevens straks door ons lichaam naar een apparaat gezonden.
http://www.theregister.co.uk/2016/10/04/login_transmission_through_human_body/

... moet je bij iOS 10 even opletten of je iPhone of iPad met deze nieuwe versie niet meer informatie prijsgeeft dan je op prijs stelt.
https://www.grahamcluley.com/ios-10-privacy-round/

... moet Nederland met spoed werken aan betere digitale veiligheid.
https://www.security.nl/posting/488057/Rapport%3A+cybersecurity+Nederland+met+spoed+versterken

... is er een tool beschikbaar om te controleren of iemand je via de camera en microfoon van je Mac bespiedt.
http://webwereld.nl/security/94522-zo-check-je-of-iemand-je-bespiedt-via-je-webcam
Gepost door op Geen opmerkingen:
Labels: , , , , ,
Abonneren op: Posts (Atom)