vrijdag 30 september 2016

Grenzen


Onze fietsenstalling heeft één straatje zonder fietsenrekken, bedoeld voor mensen die hun fiets liever op de standaard zetten. Doordat dit straatje in het midden van de stalling ligt, kun je je fiets aan de ene kant erin rollen en aan het einde van de dag voorwaarts vertrekken. Alle fietsen staan min of meer netjes in het gelid.
Op één na. Er is een collega die zijn of haar damesfiets andersom neerzet. Kijk, dat intrigeert mij nou. Op het tijdstip waarop deze fiets gestald wordt, staan daar al diverse rijwielen, allemaal met het voorwiel naar het noorden. Je moet dan toch behoorlijk sterk in je schoenen staan om je fiets naar het zuiden te laten kijken. Of lak hebben aan alle conventies, dat kan ook.
Het is mij echter te gemakkelijk om zomaar conclusies te trekken zonder de omstandigheden te kennen. Ik heb mijn lesje geleerd. Vroeger placht ik nog wel eens binnensmonds te foeteren op hardlopers op het fietspad, terwijl de stoep – waar voetgangers en dus ook hardlopers nu eenmaal op grond van de wet thuishoren – daar pal naast lag. Sinds ik zelf loop weet ik beter: strak asfalt loopt prettiger dan een potentieel hobbelig troittoir, hondenpoep ligt vaker op de stoep dan op het fietspad, stoepje-af stoepje-op bij kruispunten is extra belastend voor je gestel en wandelaars gaan zelden aan de kant. Ik bedoel maar: tegendraads ogend gedrag kun je vaak heel goed uitleggen. Ik pas er dus wel voor op om de eigenaar van die damesfiets zomaar te betichten van recalcitrantie. Misschien heeft hij of zij wel een goede reden om die fiets zo neer te zetten.
Ergens moet de grens lopen tussen wat je in alle redelijkheid kunt goedpraten en wat écht te ver gaat. Rennen op de hoofdrijbaan terwijl daar ook een fietspad en/of trottoir beschikbaar is en de fiets in oost-westoriëntatie stallen zijn daar voorbeelden van. Ook als er geen wetgeving aan ten grondslag ligt, zoals in het voorbeeld van de fietsenstalling. Dan gelden er soms ongeschreven, ja zelfs onuitgesproken afspraken: iedereen doet het nu eenmaal zo en ook van jou wordt verwacht dat je je aan die conventies conformeert.
In mijn werk word ik vaak geconfronteerd met deze grens. Een logmelding geeft aan dat iemand iets heeft gedaan wat volgens de regels niet mag. Zo’n medewerker heeft dan soms een volstrekt plausibel verhaal waarom hij zo heeft gehandeld. Case closed, wat mij betreft, echter in sommige gevallen wel met de kanttekening dat het de volgende keer handiger is om het anders aan te pakken, bijvoorbeeld door vooraf toestemming te vragen of de juiste autorisaties te regelen. Al was het maar om jezelf een hoop gedoe te besparen.
Maar wee je gebeente als je een grens overschrijdt en daar geen goed verhaal bij hebt als je manager, ingefluisterd door security, vriendelijk komt informeren waar je in hemelsnaam mee bezig bent. Naïviteit is zelden een sterk argument. Formuleringen die beginnen met “O, ik dacht…” zijn ook tamelijk kansloos. Laat het denken maar over aan paarden, die hebben een dikkere kop, zeggen ze waar ik vandaan kom in situaties waarin het niet de bedoeling is dat je zelf nadenkt.
Nog even die fiets. Is die van jou? Ik zou dolgraag weten waarom. Puur uit nieuwsgierigheid.
En in de grote boze buitenwereld …
... is de beheerder van een website aansprakelijk als je schade lijdt door een malwarebesmetting via zijn site.
http://blog.iusmentis.com/2016/09/29/is-aansprakelijk-schade-malware-op-website/
... heeft Europol zijn cybershortlist opgesteld.
http://www.nu.nl/internet/4328257/europol-blijft-ransomware-zien-als-voornaamste-cyberdreiging.html
... waarschuwt Europol ook nog voor fraude met de functie voor draadloos betalen op Android-toestellen.
http://www.bbc.com/news/technology-37495102
... is Europol tenslotte ook nog bang voor de kwantumcomputer.
http://www.darkreading.com/endpoint/the-real-reasons-why-users-stink-at-passwords/d/d-id/1327050
... loopt het nog even niet zo'n vaart met de kwantumcomputer, al is het verstandig als ‘men’ zich er alvast op voorbereidt.
http://www.newyorker.com/tech/elements/hacking-cryptography-and-the-countdown-to-quantum-computing
... leidt de Meldplicht Datalekken nog tot gemengde gevoelens.
https://www.computable.nl/artikel/achtergrond/magazine/5844570/5215853/een-half-jaar-meldplicht-hoe-staat-nederland-er-voor.html
... is onderzocht waarom mensen zo slecht omgaan met wachtwoorden.
http://www.darkreading.com/endpoint/the-real-reasons-why-users-stink-at-passwords/d/d-id/1327050
... pleit De Speld voor sterke huisnummers.
http://speld.nl/2016/09/28/meeste-huisnummers-eenvoudig-kraken/
... kun je zonder het te weten toch een Yahoo-account hebben.
https://blog.kaspersky.com/yahoo-hack-complexity-growing/13082/
... is het eigenlijk geen wonder dat Yahoo werd gehackt.
http://mobile.nytimes.com/2016/09/29/technology/yahoo-data-breach-hacking.html
... helpt een vinger in de dijk niet meer tegen bedreigingen voor mobiele apparaten. Er is een nieuwe dijk nodig.
https://www.helpnetsecurity.com/2016/09/28/mobile-security-stripped-bare/
... is het helemaal niet zo gek als je werkgever of justitie toegang tot je BYOD-apparaat eist.
http://blog.iusmentis.com/2016/09/28/mag-werkgever-toegang-eisen-tot-byod-telefoon/
... steken de Duitsers een stokje voor het informatiedelen van WhatsApp.
http://www.volkskrant.nl/buitenland/duitse-privacywaakhond-verbiedt-delen-gegevens-whatsapp~a4384702
... heeft Donald Trump een nieuw stereotype voor 'de hacker' neergezet. Verder vindt hij 'the cyber' heel erg belangrijk. Gelukkig heeft hij een tienjarige zoon die errug handig is met computers.
https://www.youtube.com/watch?v=wUjdFS52fR8
... is de website van securityjournalist Brian Krebs platgegooid door de grootste DDoS-aanval ooit. De aanval werd mede mogelijk gemaakt door met malware besmette IoT-devices.
http://arstechnica.com/security/2016/09/why-the-silencing-of-krebsonsecurity-opens-a-troubling-chapter-for-the-net/
... zijn backups van apparaten die onder iOS 10 draaien slechter beveiligd dan in de oudere versie van het operating system.
http://thehackernews.com/2016/09/apple-ios10-encryption.html
... adviseert het ministerie van VWS aan klanten van een bepaald systeem om hun browsers niet te updaten. [Psst: slecht idee.]
https://tweakers.net/nieuws/116001/ministerie-vws-raadt-zorgverleners-aan-om-browsers-niet-te-updaten.html
... moet je altijd op je hoede zijn voor social engineering.
http://cio.nl/security/94436-5-maal-social-engineering-waar-ook-jij-intrapt
... mag een certificate authority nooit rommelen met digitale certificaten.
http://webwereld.nl/security/94458-mozilla-woedend-op-sjoemelende-certificaatautoriteit
... denkt de helft van jullie te gemakkelijk over het verwijderen van data.
http://webwereld.nl/security/94474-it-ers-denken-dat-prullenbak-legen-data-wist
Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 23 september 2016

Wachtwoorden delen


M., die bij de overheid werkt, ging op vakantie. Vlak daarvoor had haar organisatie een uitzendkracht ingehuurd om documenten te digitaliseren. En zoals dat ook wel elders gebeurt, had men voor deze uitzendkracht geen account klaarliggen toen zij verwachtingsvol op haar eerste werkdag verscheen. Omdat goede raad duur is en een uitzendkracht die met de handen over elkaar zit nog veel meer, koos de manager voor de pragmatische gemakkelijke weg: M. ging toch op vakantie en had bovendien de juiste autorisaties voor deze klus. De uitzendkracht kon dus wel onder haar account werken.

Bij ons zouden in zo'n geval zowel de manager als M. als de uitzendkracht de regels overtreden, en wel in die volgorde. Een manager mag nooit aan een medewerker vragen om zijn wachtwoord aan iemand te vertellen, de medewerker mag zijn wachtwoord nooit afstaan en moet dus weerstand bieden aan de manager en ten slotte had de uitzendkracht dit niet mogen accepteren. Waarbij ik meteen wil opmerken dat je die laatste natuurlijk moeilijk verwijten kunt maken omdat ik betwijfel of vooraf iemand even het beveiligingsbeleid met haar heeft doorgenomen. Bovendien kun je je als uitzendkracht waarschijnlijk slechts één keer zo'n weigering veroorloven. Daarna krijg je de kans niet eens meer.

Maar waarom eigenlijk? Waarom zou je die collega of uitzendkracht niet mogen vertrouwen? Het zijn toch heel aardige mensen, waarvoor de burgemeester ook nog eens een Verklaring Omtrent het Gedrag (VOG) heeft afgegeven?

Vertrouwen is slechts een deel van het verhaal. We willen graag dat alle handelingen altijd terug te voeren zijn naar een persoon. Daarvoor gebruiken we jouw user-id als onlosmakelijk aanknopingspunt. Als iets onder jouw user-id is gedaan, dan heb jij het gedaan. En als je dan beweert dat jij het niet was, dan moet je uitleggen hoe dat kan – je mocht je wachtwoord immers niet afgeven. Het kan best gebeuren dat iemand die je onder jouw account laat werken per ongeluk iets verkeerds doet; er hoeft lang niet altijd boze opzet in het spel te zijn, zoals bij fraude of een akelig mailtje aan een collega.

Als je in het Nederlands op Google redenen zoekt om je wachtwoord niet te delen, dan vind je niet veel. Schakel je echter over op Engels, dan rollen de lijstjes zo op je scherm. Het komt zelfs als zoeksuggestie in beeld zodra je  why not to share hebt ingetikt (na make-up, mascara en scheermesjes). Natuurlijk staan de punten uit de bovenstaande alinea erbij, maar ook: je wachtwoord delen is als het weggeven van je persoonlijke identiteit. En: als je zo onverstandig bent om hetzelfde wachtwoord op verschillende plaatsen te gebruiken, dan geef je iemand anders misschien wel toegang tot meer informatie dan de bedoeling is. En over ‘meer informatie’ gesproken: krijgt die ander misschien onder jouw account toegang tot informatie die slechts op basis van need to know toegankelijk mag zijn? Misschien wordt die informatie wel toegankelijk door single signon – het automatisch inloggen in bijvoorbeeld de mail of SAP. Daarmee geef je ook je eigen persoonlijke informatie prijs, zoals privémailtjes of inkomensgegevens.

Een Amerikaanse universiteit begint haar uitleg over het niet delen van wachtwoorden dreigend met: “How would you feel about being interviewed by the Police or Internal Audit as a suspect in a crime?” En een nieuwssite heeft een artikel met deze kop: “Sharing Passwords Is Romantic, But Not Without Risk”.  Daarin wordt uitgelegd dat het delen van wachtwoorden onder partners tegenwoordig steeds vaker als een teken van vertrouwen wordt gezien. Maar o wee als de liefde over is. Dan zouden er zo maar enge dingen op je Facebook-account kunnen komen te staan. En was je banksaldo echt zo laag?

Toen M. terugkeerde van haar vakantie in Denemarken kon zij op haar werk niet meer inloggen. De uitzendkracht had haar wachtwoord gewijzigd. Dat kun je op je werk waarschijnlijk vrij soepel weer oplossen, maar het kost je sowieso tijd. In je privé-omgeving kan de impact heftiger zijn: wie je wachtwoord kan wijzigen, kan ook je overige accountinformatie veranderen, bijvoorbeeld het bijbehorende e-mailadres. Dan kun je op ‘wachtwoord vergeten’ klikken tot je een ons weegt, maar dat nieuwe wachtwoord komt nooit meer bij jou terecht. Dus als iemand de volgende keer om je wachtwoord vraagt, dan zeg je nee en verwijs je naar deze blog. Of naar het beveiligingsbeleid van je werkgever, waar ook in zou moeten staan dat het niet mag.

En in de grote boze buitenwereld …

... geeft WhatsApp toch gewoon jouw gegevens door aan Facebook, ook al heb je dat uitgevinkt.
https://hackforprivacy.org/post/whatsapp.html


... zijn bij Yahoo de accountgegevens van minstens een half miljard klanten gestolen. In 2014. Alweer 2014. En extra zorgelijk hierbij is dat ook de 'geheime beveiligingsvragen' ("Wat is de meisjesnaam van je moeder?") gelekt zijn.
https://www.grahamcluley.com/2016/09/yahoo-confirms-500-million-accounts-hacked-2014-data-breach/

... waren die beveiligingsvragen toch al problematisch.
https://blog.kaspersky.com/security-questions-are-insecure/13004/

... bood een hacker al een kleine twee maanden geleden Yahoo-gegevens te koop aan. Overigens wijst Yahoo in de recente berichtgeving met de vinger naar een statelijke actor.
https://motherboard.vice.com/read/yahoo-supposed-data-breach-200-million-credentials-dark-web

... hebben diverse Australiërs verdachte USB-sticks in hun brievenbus gevonden. De communicatie van de politie daarover vind ik trouwens wel wat knullig.
https://www.vicpolicenews.com.au/news/harmful-usb-drives-found-in-letterboxes

... kunnen deze Chinezen je Tesla met een laptop manipuleren. Op een afstand van zo'n twintig kilometer.
https://www.grahamcluley.com/2016/09/watch-teslas-hacked-drive-20-away/

... heeft een Britse wetenschapper met een budget van honderd dollar een iPhone 5c gekraakt. De FBI heeft daar een miljoen dollar aan gespendeerd.
http://www.darkreading.com/mobile/scientist-clones-chip-to-unlock-iphone-proves-fbi-wrong/d/d-id/1326948

... is het een beetje ingewikkeld om te achterhalen of een bedrijf ook echt ISO27001-gecertificeerd is.
http://www.itgovernance.co.uk/blog/how-can-you-validate-an-iso-27001-vendor/

... is de camera van je laptop of mobiel apparaat misschien niet het enige wat je zou moeten afplakken.
https://isc.sans.edu/diary/21497




... worden DDoS-aanvallen steeds heftiger.
https://isc.sans.edu/diary/21511


Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 16 september 2016

Doodzwijgen


“Acceptatie is de oplossing voor terrorisme”, stond er boven het artikel*. Een tussenkop luidde: “Politici erger dan terroristen”. Beide stellingen schoten mij primair in het verkeerde keelgat. In de loop der jaren heb ik geleerd dat het handig kan zijn om primaire reacties aan een nader onderzoek te onderwerpen.

De auteur betoogt dat het  in de loop der tijden nog nooit zo veilig was op straat: de kans dat je in West-Europa om het leven komt door toedoen van “een idioot met een wapen” is erg klein. Het zijn politici, media en gewone burgers met social media-geilheid die onze emoties tot ongekende hoogten opdrijven als ergens een aanslag wordt gepleegd. Als je nou eens niet zo emotioneel zou reageren maar gewoon je schouders zou ophalen, dan verliezen terroristische aanslagen hun effect en sterven ze vanzelf uit, is zo ongeveer de gedachtegang van de auteur.

O, dus het is ónze schuld, denk ik dan. Die terrorist doet ook maar z’n werk, en als wij daar zo stom op reageren, waardoor zijn product een hoge attentiewaarde krijgt, dan werken we terrorisme zelf in de hand. Die conclusie is mij te gemakkelijk, of nee, ik vind haar gemeen. Net zoiets als na een verkrachting zeggen dat het slachtoffer ook wel erg lekker gekleed was. Eigen schuld, dikke bult.

Hoe valt zoiets op informatiebeveiliging te projecteren? Als een aanvaller erin slaagt om ons te hacken, werken we dan een volgende hack in de hand omdat de media erover berichten en andere hackers ook roem willen verwerven? Nee, allang niet meer. Vroeger – in de pionierstijd van het hackerwezen – vond zo’n actie inderdaad plaats ter meerdere eer en glorie van de aanvaller. Allicht speelt dit nog steeds een rol tussen hackers onderling, maar niet meer richting buitenwereld. We hebben tegenwoordig te maken met echte criminelen en die is het om de poen te doen, of om informatie die uiteindelijk weer te gelde kan worden gemaakt. Denk maar aan de hack bij Ashley Madison, die tot gevolg had dat leden van deze vreemdgangerssite op een afpersingsbrief werd vergast. Een DDoS-as-a-service-provider runt een business, no hard feelings. Het lol trappen van weleer is vercommercialiseerd.  

Deze ontwikkeling is niet in gang gezet doordat we hack-aanvallen berustend hebben geaccepteerd in de hoop dat ze zouden uitdoven als we ons maar koest hielden. Nee, de boefjes gingen inzien dat wat ze deden meer mogelijkheden bood waardoor ze ook echt iets aan hun activiteiten hadden. Bij terroristen ligt dat helaas anders: die zijn ideologisch gedreven (of door waanzin, dan wel een combinatie van die twee). Commercieel terrorisme, waarbij geen bloed vloeit maar slechts daarmee wordt gedreigd, valt niet te verwachten.

Nee, ik vind het toch allemaal een sfeertje hebben van “als ik iets verkeerds doe dan is dat jouw schuld”. Maar je komt er echt niet mee weg als je op je werk willens en wetens malware naar binnen brengt en dan zegt: je bent het zelf schuld, had je de USB-poort maar dicht moeten zetten.

Ja, als we misdaden die publiciteit tot doel hebben zouden kunnen negeren, dan zouden ze uitsterven. Maar het is een illusie om te denken dat dit in de huidige tijd mogelijk is. In ieder geval niet in de westerse wereld waar we vrije journalistiek hoog in het vaandel hebben staan en iedere toevallige passant burgerjournalistiek kan bedrijven. En Den Haag zou te klein zijn als politici niet op een aanslag zouden reageren.

Moraal van het verhaal voor informatiebeveiliging: je bent zélf verantwoordelijk voor je doen en laten, je zult je altijd moeten verantwoorden voor misstappen en je kunt je niet verschuilen achter (te) ruime instellingen als je donders goed kunt weten dat je iets verkeerds doet.


En in de grote boze buitenwereld …


... bevat de nieuwe iOS-versie natuurlijk ook security fixes.
https://threatpost.com/ios-10-security-updates-move-to-https/120545/

... is het altijd verstandig om een back-upje te maken voordat je gaat updaten.
http://lifehacker.com/psa-back-up-your-iphone-and-sync-your-third-party-apps-1786529832


... zijn de energiedata van twee miljoen Nederlandse huishoudens gestolen.
http://www.netbeheernederland.nl/nieuws/nieuwsbericht/?newsitemid=2596339712

... is de USB Killer nóg een reden om niet zomaar een onbekende USB-stick in je pc te prikken.
http://www.inc.com/joseph-steinberg/this-new-usb-stick-that-anyone-can-buy-destroys-almost-anything-it-is-plugged-in.html

... richt deze malware zich op specifieke harddisks voor NAS'en.
http://m.slashdot.org/story/316071

... is het misschien een tikkie dom om je gebruikers nieuwe wachtwoorden te mailen als je weet dat je mailserver gehackt is.
https://www.security.nl/posting/485314/Democratische+Partij+mailde+wachtwoord+na+e-mailhack

Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 9 september 2016

Apple

Ik wil het eens even over Apple hebben. Niet omdat ik bijzonder veel afweet van hun apparatuur of een fanboy ben. Ga maar na: toen ik het onderwerp voor deze blog koos, wist ik niet dat Apple in dezelfde week zijn jaarlijkse productaankondiging zou doen. Wel heb ik twee wapenfeiten te vermelden: voor mijn werk gebruik ik al jarenlang tot volle tevredenheid een iPad en ik heb de in opdracht van Steve Jobs geschreven biografie van Steve Jobs gelezen. (Voor wie hem niet kent: Steve Jobs was een van de oprichters en jarenlang hét markante gezicht van Apple. Hij overleed in 2011.)
 
Wie die ruim zeshonderd pagina’s dikke, niet door Jobs gecensureerde pil heeft gelezen kan welhaast geen andere conclusie trekken dan dat Jobs in sociaal opzicht een eikel was. Niet normaal hoe hij met mensen omging. In het boek wordt echter ook min of meer vastgesteld dat dit gedrag zijn medewerkers naar grote hoogten dreef – tenminste hen die tegen zijn kleinerende, vernietigende opmerkingen bestand waren. Zij bleken dingen te kunnen waarvan ze niet wisten dat ze het in zich hadden. Daarnaast was Jobs stronteigenwijs en bemoeide hij zich met allerlei details. Zo eiste hij dat de robots in een bepaalde fabriek felle kleuren zouden krijgen. Het werd hem afgeraden ze over te laten spuiten maar hij drukte zijn wil door. Gevolg: tenminste één robot ging stuk.
 
Het belangrijkste gevolg van Jobs' eigenzinnigheid werd echter het gesloten ecosysteem waar mensen die niet zo van Apple houden vaak tegenaan hikken. Apple past strenge selectie toe op apps die worden aangeboden voor iPhones en iPads. Vanwege die strenge controle kan de App Store geen malware bevatten en daarom bevat de App Store geen antivirusprogramma’s, zo luidt hun filosofie. Wie in de App Store zoekt op ‘antivirus’, krijgt hooguit apps voor het maken van veilige verbindingen voorgeschoteld. En spelletjes.
 
Toen vorig jaar de Stagefright-bug een ernstige bedreiging voor Android-toestellen bleek te zijn, stapten sommige organisaties over op mobiele apparaten van Apple. Dat was mede ingegeven door het feit dat Android-patches maar langzaam doordringen tot de toestellen omdat de fabrikanten daartussen zitten. Iets oudere toestellen worden vaak helemaal niet meer gepatcht. Dat ligt heel anders bij Apple: als de fabrikant een update maakt, dan komt die rechtstreeks beschikbaar op hun apparaten.
 
Het veilige imago van iOS begint scheurtjes te vertonen. Onlangs kwam Apple met een noodpatch omdat er drie ernstige kwetsbaarheden in het operating system zaten. Er is een lange CVE-lijst (Common Vulnerabilities and Exposures) van iOS-kwetsbaarheden. En zo af en toe weet toch een app met minder goede bedoelingen door te dringen tot de App Store. Daarnaast blijft de beveiliging van het apparaat afhankelijk van de gebruiker. Als die de aangeboden updates niet installeert, dan blijft het toestel kwetsbaar. Organisaties kunnen weliswaar door middel van mobile device management controleren op welk patch level hun medewerkers zitten en desnoods verdergaande maatregelen treffen, maar feit blijft dat een deel van de gebruikte toestellen achterloopt.
 
Voor dat andere operating system van Apple, OS X, dat op de Mac draait, is wél antivirussoftware beschikbaar. Want wie googlet op “software download mac os x”, die komt allerlei sites tegen met OS X-software. Lang gold Apple als een veilig platform vanwege de lagere penetratiegraad dan Windows. Boeven en vandalen richten zich op de grote markt, was de gedachte. Tegenwoordig doen echter ook Mac-gebruikers er goed aan zich te beschermen tegen digitaal ongerief.
 
De wereld van de cryptografie leert ons dat geslotenheid op den duur nadelig is voor de veiligheid, omdat derden geen onderzoek kunnen doen naar zwakheden. Tot nu toe heeft iOS nog niet het Journaal gehaald met meldingen over kwetsbaarheden of malware. Ik ben benieuwd wanneer dat wél gaat gebeuren. Niet of, maar wanneer.
 
O ja, nog één ding. Het schijnt dat met de nieuwe iPhone 7 een beveiligingsrisico wordt geïntroduceerd aangaande het aspect beschikbaarheid. Naar verluidt zijn er al mensen die hun spiksplinternieuwe draadloze oortjes kwijt zijn (het toestel heeft geen afzonderlijke ingang meer voor oortjes). Want tja, ze zitten niet met een draad aan de telefoon vast hè. Bovendien zijn al heel wat opzetstukken voor elektrische tandenborstels in het ongerede geraakt doordat mensen grappig bedoelde foto’s maakten met zo’n borstel in hun oor. Enige gelijkenis met de Apple AirPods kan inderdaad niet ontkend worden.
 
En in de grote boze buitenwereld …
 
... moet je je oude iPhone wel even schonen voordat je hem verkoopt.
https://www.grahamcluley.com/2016/09/iphone-7-sell-old-phone-tips/
... heeft een hack een grote, zeer winstgevende DDoS-'provider' blootgelegd.
http://krebsonsecurity.com/2016/09/israeli-online-attack-service-vdos-earned-600000-in-two-years/

... is dit het aangrijpende verhaal van iemand die gecyberstalked werd.
https://www.theguardian.com/society/2016/sep/07/cyberstalking-online-stalking-email-threats-laurie-gough
... kan twee-factor-authenticatie middels SMS misbruikt worden om aanvallers toegang tot een account te geven. En dat is nu juist wat 2FA moet voorkomen.
http://krebsonsecurity.com/2016/09/the-limits-of-sms-for-2-factor-authentication/
... kost het vijftig dollar en twintig minuten om een vergrendelde Windows-pc of Mac te kraken.
http://arstechnica.com/security/2016/09/stealing-login-credentials-from-a-locked-pc-or-mac-just-got-easier/
... krijgen lang niet alle ransomwareslachtoffers hun data terug nadat ze het losgeld hebben betaald.
http://www.theregister.co.uk/2016/09/07/uk_ransomware_victim_survey
... gebruikt deze ransomware Google Maps om de locatie van de gebruiker te bepalen.
https://www.fraudehelpdesk.nl/nieuws/ransomware-gebruikt-google-maps-voor-locatie-slachtoffer/
... moet Nederland meer investeren in cyberveiligheid, zegt de Cyber Security Raad.
https://www.security.nl/posting/484182/CSR%3A+Nederland+moet+meer+in+cyberveiligheid+investeren
... maakt de minister van Veiligheid en Justitie zich ook zorgen over de nieuwe gebruiksvoorwaarden van WhatsApp.
http://www.volkskrant.nl/tech/van-der-steur-bezorgd-over-privacy-whatsapp~a4371596/
... wil diezelfde minister ook in Nederland anonieme prepaidkaarten verbieden.
https://www.security.nl/posting/484360/Van+der+Steur+wil+verbod+op+anonieme+prepaidkaarten
... kan Rowhammer een computer fysiek hacken - door elektrische lading uit transistoren te 'hameren'.
https://www.wired.com/2016/08/new-form-hacking-breaks-ideas-computers-work/
... stikt het in Utrecht van de wifitrackers.
http://www.volkskrant.nl/opinie/wandelen-met-een-wifitracker~a4370395
[Achter betaalmuur, maar misschien toch gratis te lezen.]
... is ethiek het grootste probleem van de zelfrijdende auto.
https://blog.kaspersky.com/driverless-car-dangers/12897/
... hekelt de Algemene Rekenkamer het nieuwe stelsel voor digitale identificatie.
https://www.security.nl/posting/484475/Rekenkamer+hekelt+nieuwe+digitale+identificatie+overheid
 
Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 2 september 2016

Terrorposter

Een lezer maakte tijdens zijn vakantie in Frankrijk een foto voor de Security (b)log. Op de foto staat een poster met aanwijzingen hoe je je moet gedragen tijdens een terroristische aanval. “Misschien heb je er iets aan”, schreef hij erbij. Laten we eens kijken wat ervan te maken valt. Hier aan het begin van de blog weet ik nog niet waar we gaan uitkomen.
 
Met mijn school-Frans begrijp ik in ieder geval wat de Franse regering in een dergelijke situatie van mij verlangt – mede, of misschien vooral, dankzij de plaatjes. Zo achter mijn bureau gezeten roept de poster een paar vragen op. Op het tweede plaatje in de tweede rij wordt duidelijk gemaakt dat je uit het zicht moet blijven: er loopt iemand gebukt langs een muur. Maar waarom houdt hij zijn oren dicht? Om zijn gehoor te beschermen tegen de knallen van bommen en vuurwapens? Misschien wist de tekenaar niet waar hij de armen anders moest laten. Op het plaatje daaronder roept iemand een verkeersbord. We begrijpen allemaal onmiddellijk wat er bedoeld wordt: je moet anderen waarschuwen voor het gevaar. In werkelijkheid zullen daar waarschijnlijk heel wat andere termen en een hoop geschreeuw aan te pas komen.
 
Op het gele plaatje 1 (hé, hier zijn ze genummerd, dat impliceert een te hanteren volgorde) zien we in het kader iets dat bij de tweede keer kijken een slot blijkt te zijn. Ik zou die hand weggelaten hebben, want zij ontneemt je het zicht op het slot. Op plaatje 2 zet je alle licht- en geluidsbronnen uit (ook beeldschermen!). Vervolgens moet je je laag houden, in ieder geval wegwezen bij ramen en deuren, zegt nummer 3. Of je kruipt achter een solide object, zegt plaatje 4 dat dus eigenlijk 3b had moeten heten. En ik vraag me af waarom die juffrouw knielt – daardoor steekt ze meer uit. Plat tegen die muur, zou ik zeggen. Bij nummer 5 leg je je telefoon het zwijgen op, inclusief trilfunctie.
 
Het eerste rode plaatje gaat over het alarmeren van de autoriteiten. Kennelijk hebben de Fransen naast het Europese noodnummer ook nog een ander nummer. Niet erg handig. Maar het middelste rode plaatje is het meest verontrustende van de hele poster. Je mag niet naar de politie toe rennen. Op zich begrijpelijk, want ze weten niet of je bij de terroristen hoort. Maar ja, politie is veiligheid, daar wil je naar toe. Volgens het laatste plaatje moet je, als je naar buiten komt, je handen open en omhoog houden. Ik zou daar niet graag zo staan met terroristen in mijn rug.
 
Je hebt natuurlijk niets aan zo’n poster op het moment van een aanval. Zo zal hij ook niet bedoeld zijn. Het is de bedoeling om hem vooraf te bestuderen, zodat je in geval van nood weet wat je moet doen. Op de foto zie je dat hij naast een winkel of ander etablissement hangt. Ik stel me zo voor dat die poster op heel veel plaatsen hangt en misschien wel als flyer op scholen, bibliotheken en in het OV wordt uitgedeeld. Het is dus een awarenesscampagne. Er zitten wat (vermeende) fouten en onduidelijkheden in en niet bij alle maatregelen is duidelijk waarom je iets zou moeten doen of laten.
 
Informatiebeveiligers doen ook veel aan awareness. En wij maken ook fouten. Van deze Franse antiterrorismeposter kunnen we in ieder geval leren dat je alles zó moet zien uit te leggen dat iedereen denkt: ja, dat is helemaal logisch zo, geen speld tussen te krijgen. En in plaats van alleen maar te zeggen wat je niet mag doen, moet je ook zeggen wat je dan wél moet doen, en dat moet een passend alternatief zijn. Met handen omhoog verschijnen vind ik geen passend alternatief voor naar de veiligheid toe rennen. Of je moet zo’n maatregel heel goed kunnen uitleggen. De poster houdt ook geen rekening met de emoties van zo’n moment, al vind ik het prima dat niet op de poster staat dat je niet in paniek moet raken. Je moet er dan maar op vertrouwen dat de politie ter plaatse wél rekening houdt met alle factoren. In de informatiebeveiliging moeten we eveneens rekening houden met emoties, vooral wanneer iets niet mag, omdat juist emoties ertoe kunnen leiden dat mensen zich niet altijd aan de regels houden. Dus, vakbroeders: uitleggen, uitleggen, uitleggen.

En in de grote boze buitenwereld …
 
... heeft WhatsApp een ingreep in zijn gebruiksvoorwaarden gedaan: ze gaan informatie delen met Facebook. Er is verzet.
https://www.security.nl/posting/483684/EFF+slaat+alarm+over+nieuw+privacybeleid+WhatsApp
... heeft de ICT-jurist ook een mening over het onderonsje tussen WhatsApp en Facebook.
http://blog.iusmentis.com/2016/08/29/mag-whatsapp-data-gaan-delen-facebook/
... zegt een goede beoordeling in Google Play niet alles. Malware ligt op de loer.
https://blog.kaspersky.com/dont-believe-google-play-ratings/12882/
... heeft de Autoriteit Persoonsgegevens een dwangsom opgelegd aan een wifi-tracking-bedrijf.
http://www.volkskrant.nl/media/dwangsom-voor-registreren-wifi-signalen-winkelklanten~a4368526/

... is pas nu aan het licht gekomen dat bij een Dropbox-hack uit 2012 de gegevens van tientallen miljoenen gebruikers zijn buitgemaakt. Het is dus tijd voor een nieuw wachtwoord. En als je je wachtwoorden elders hergebruikt moet je ze ook voor die andere accounts wijzigen. Het beste voorzie je dan maar meteen ieder account van een uniek wachtwoord.
https://motherboard.vice.com/read/hackers-stole-over-60-million-dropbox-accounts

... moet een CISO een cockpit hebben.
 
... kunnen spionnen dankzij wifi liplezen, zien wat je opschrijft en je identificeren.
http://www.inc.com/joseph-steinberg/how-wifi-lets-people-read-your-lips-identity-you-and-read-your-writing.html
 
... voldoet Google aan de Privacy Shield-regels, zegt Google. Hoeveel je daar als Europeaan mee opschiet is maar zeer de vraag, gezien alle kritiek op de overeenkomst.
http://googleforwork.blogspot.nl/2016/08/Google-adopts-Privacy-Shield.html
 
... promoot de Duitse overheid het gebruik van encryptie bij het mailen.
https://www.security.nl/posting/483785/Duitse+overheidsinstantie%3A+versleutelde+e-mail+is+een+must
 
 
Gepost door op Geen opmerkingen:
Labels: , , , , ,
Abonneren op: Posts (Atom)