Ik zit niet zo in de spelletjes, maar om Pokémon GO kon deze week niemand heen. Twitter confronteerde mij er als eerste mee, maar al gauw hoorde ik ook allerlei berichten op de radio en vond mijn zoon dat ik daar maar eens over moest bloggen. Nee, zei ik, dat heeft niets met mijn vak te maken. Binnen een uur was ik om: er bleken wel degelijk implicaties voor beveiliging en privacy te zijn. Op Twitter heb ik voor mezelf een Infosec-lijst gemaakt, waar berichten in verschijnen van tweeps die voornamelijk over informatiebeveiliging twitteren, en daar ging het dus ook opeens vooral over Pokémon GO. Een veeg teken.
Het spelletje is officieel nog helemaal niet beschikbaar in Nederland, maar desondanks zijn er al hele volksstammen die het spelen. Voor je Android-toestel met je dan ergens een apk-bestand vandaan zien te halen – een Android package, een installatiebestand zeg maar. Mijn zoon had de desbetreffende apk ook op de kop getikt maar werd achterdochtig toen zijn smartphone vroeg of het goed was om een app te installeren die niet uit de Play Store kwam. Gelukkig kon ik hem op tijd uitleggen dat hij nooit apps uit alternatieve stores mag installeren omdat daar vaak malware in voorkomt. Een half uur later las ik het eerste bericht waarin melding werd gemaakt van een besmette Pokémon-apk. Inmiddels zijn er meerdere foute apk’s, waaronder exemplaren die de hacker volledige toegang tot jouw apparaat verschaffen.
Er zijn ook privacy-bedenkingen. De meeste mensen loggen in met hun Google-account, en in de iOS-versie van het spelletje hadden de ontwikkelaars “per ongeluk” volledige toegang tot dat account van de gebruiker gevraagd. Dat betekent dat Niantic, het bedrijf achter Pokémon GO, geautoriseerd was om je Gmail-account en je bestanden in de Google-cloud te benaderen, zoals documenten en foto’s. Ze hadden zelfs mail vanuit jouw account kunnen versturen. Die fout hebben ze nu opgelost en de rechten teruggebracht tot normale proporties. Dat neemt echter niet weg dat de gebruiksvoorwaarden erg veel ruimte laten voor het verzamelen van informatie. Je weet wel, van die voorwaarden waar je altijd ongezien mee akkoord gaat.
In de Amerikaanse staat Missouri hebben criminelen het spel misbruikt om argeloze mensen naar een afgelegen plek te lokken en ze daar te beroven. Uiteraard waren er vuurwapens in het spel. En er zijn meer berichten uit de wereld van de fysieke veiligheid, gewoon in Nederland: spelers die van het spoor geplukt moesten worden, de politie die haar handen vol heeft aan spelers die op hun schermpje turend over straat lopen zonder uit te kijken en ziekenhuizen die proberen om spelers buiten de deur te houden.
Ons management wil geen ge-Pokémon op het terrein hebben. Zeker niet door buitenstaanders, maar ook niet door medewerkers. Het desbetreffende bericht op het intranet heeft wat stofjes doen opwaaien, onder andere door mensen die zich erover opwinden dat er een verbod is afgekondigd en dat ze beschuldigd worden van fotograferen of filmen. Wat dat laatste betreft: dat stáát er helemaal niet. Er staat alleen een herinnering dat fotograferen niet mag. Maar goed, verplaats je eens even in de mensen die het verbod moeten handhaven. Die zien je straks rondlopen met een camerabeeld op je telefoon. Moeten ze dan echt bij iedereen nagaan of hij foto’s maakt of op virtuele wezens jaagt? Dat is net zo ondoenlijk als bij een clear desk-controle bepalen of die paperassen op een bureau wel of niet vertrouwelijk zijn. Daarom is de regel dat er helemáál geen papieren horen te liggen. En weet je, we leven in roerige tijden. Laten we het de mensen die over onze fysieke en digitale veiligheid waken wat gemakkelijker maken.
Inmiddels ben ik – tegen wil en dank – ook speler in het spel geworden, maar dan anders. De beste remedie tegen ongewenste taferelen is immers het wegnemen van de oorzaak. Ons management wil niet dat er Pokédingen op ons terrein verblijven en daarom heb ik een poging gewaagd om bij Niantic om een Pokémon-vrije zone te vragen. Compleet met coördinaten en een kaartje waarop ons complex is omkaderd. Tot nu toe heb ik nog geen succesverhalen van anderen gelezen, dus ik ben benieuwd hoe dit loopt als ze bij het Californische bedrijf van de schrik van hun succes zijn bekomen. Het automatische antwoord heb ik alvast binnen (“We will review and take appropriate action”). Daarmee heb ik in ieder geval een e-mailadres te pakken en het is niet eens een noreply-adres.
... blijft ransomware een groot gevaar. Het Amerikaanse US-CERT en het Canadese CCIRC hebben deze alert samengesteld om nog eens te beschrijven wat het is en hoe je je kunt beschermen.
https://www.us-cert.gov/ncas/alerts/TA16-091A
https://www.us-cert.gov/ncas/alerts/TA16-091A
... is momenteel een massale ransomware-campagne aan de gang.
https://www.grahamcluley.com/2016/07/careful-inbox-massive-locky-ransomware-campaign-underway/
https://www.grahamcluley.com/2016/07/careful-inbox-massive-locky-ransomware-campaign-underway/
... komt er misschien wel een middel tegen alle ransomware.
http://www.theregister.co.uk/2016/07/12/ransomware_defeated/
http://www.theregister.co.uk/2016/07/12/ransomware_defeated/
... denk je misschien dat je niets te verbergen hebt, maar ondertussen moet je wel alles beschermen. Een VPN kan je daarbij helpen. [Dit is een reclamefilmpje van F-Secure, maar omdat Mikko Hyppönen aan het woord komt, is het toch zeer informatief.]
https://www.youtube.com/watch?v=DbXlQJ0HIpg
https://www.youtube.com/watch?v=DbXlQJ0HIpg
... lees je hier een interview met diezelfde Fin.
http://www.nrc.nl/nieuws/2016/07/08/cybercrimelos-je-niet-op-met-computers-3015084-a1510323
http://www.nrc.nl/nieuws/2016/07/08/cybercrimelos-je-niet-op-met-computers-3015084-a1510323
... is behavioural targeting een reden om bovenstaand filmpje serieus te nemen.
http://www.emerce.nl/achtergrond/behavioural-targeting-pseudonieme-gegevens-wel-zo-onschuldig
http://www.emerce.nl/achtergrond/behavioural-targeting-pseudonieme-gegevens-wel-zo-onschuldig
... kleven er een paar beveiligingsrisico's aan 3D-printen.
https://www.helpnetsecurity.com/2016/07/13/3d-printing-risks/
https://www.helpnetsecurity.com/2016/07/13/3d-printing-risks/
... heeft de Europese Commissie het Privacy Shield geaccordeerd.
http://europa.eu/rapid/press-release_IP-16-2461_en.htm
http://europa.eu/rapid/press-release_IP-16-2461_en.htm
... lees je in dit opiniestuk van Max Schrems, die eerder de Free Harbour-afspraken tussen de EU en de VS wist te torpederen en Jan-Philipp Albrecht, lid van het Europees Parlement voor de Groenen, wat zij vinden van het Privacy Shield. (Dat dit artikel verschenen is in de Irish Times is niet geheel toevallig: Schrems had een zaak tegen Facebook aangespannen, dat zijn Europese vertegenwoordiging in Dublin heeft. Als gevolg van deze zaak veegde uiteindelijk het Europese Hof van Justitie Safe Harbour van tafel.)
http://www.irishtimes.com/opinion/privacy-shield-the-new-eu-rules-on-transatlantic-data-sharing-will-not-protect-you-1.2719018
http://www.irishtimes.com/opinion/privacy-shield-the-new-eu-rules-on-transatlantic-data-sharing-will-not-protect-you-1.2719018
... kun je het Schrems zelf horen zeggen in dit filmpje. Hij wordt hier geïnterviewd door Albrecht.
https://youtu.be/swj-Zmgps8I
https://youtu.be/swj-Zmgps8I
... ziet de Cloud Security Alliance het allemaal wat rooskleuriger in.
https://blog.cloudsecurityalliance.org/2016/07/12/need-know-navigating-eu-data-protection-changes-eu-us-privacy-shield-eu-general-data-protection-regulation
https://blog.cloudsecurityalliance.org/2016/07/12/need-know-navigating-eu-data-protection-changes-eu-us-privacy-shield-eu-general-data-protection-regulation
... kun je geld verdienen door beveiligingsbugs in auto's te vinden.
https://www.helpnetsecurity.com/2016/07/13/fiat-chrysler-automobiles-bug-bounty/
https://www.helpnetsecurity.com/2016/07/13/fiat-chrysler-automobiles-bug-bounty/
... moet een Amerikaanse gezondheidsinstelling $ 650.000 boete betalen vanwege de diefstal van een mobiel apparaat dat medische gegevens van 412 patiënten bevatte.
http://blogs.csc.com/2016/07/07/theft-of-employee-iphone-results-in-650000-hipaa-fine
http://blogs.csc.com/2016/07/07/theft-of-employee-iphone-results-in-650000-hipaa-fine
Geen opmerkingen:
Een reactie posten