Lopend door een winkelstraat viel mijn oog op een reclamebord waarop een T65 was afgebeeld. Gretig legde ik aan de kinderen uit dat dit telefoontoestel vroeger bij iedereen stond die telefoon had (inderdaad, lang niet iedereen had telefoon). Er kwamen twee snoeren uit: een krulsnoer naar de hoorn en een recht snoer naar een speciaal stopcontact. Het grijze toestel, dat je huurde van de PTT (het Staatsbedrijf der Posterijen, Telegrafie en Telefonie, dat een monopolie had op deze drie activiteiten), had een schijf met tien gaten waar je je vinger in moest steken om een nummer te draaien en er zat een wit knopje op waarvan je niet wist waarom het daar zat, want het deed niets. (Tegenwoordig kun je dat soort dingen opzoeken. Het was de ‘aardtoets’, die bij gebruik van een huistelefooncentrale kon worden gebruikt voor ruggespraak en doorverbinden.)
Je “belde iemand op” omdat de bel in het toestel ging rinkelen als je dat deed. Het woord ‘ringtone’ bestond nog niet, je kon alleen het volume van de bel regelen met een regelaar aan de onderkant. Je kon met dat toestel bellen en gebeld worden: het was een one-trick pony.
En er kwamen nooit updates.
Hoe anders is dit alles nu. Een snoer komt hooguit nog uit je telefoon als hij – weer eens – aan de oplader hangt of als je oortjes gebruikt (en zelfs dat wordt nu afgeschaft), een ouderwetsche telefoonhoorn is verkrijgbaar als gimmick en updates zijn aan de orde van de dag. Dat laatste geldt vooral voor de vele apps die je op je smartphone hebt, maar zo af en toe krijg je ook een update voor het operating system voor je kiezen.
Apple heeft er een handje van om updates van iOS te ge-/misbruiken om dingen die jij doelbewust had uitgezet weer aan te zetten. In het verleden was dat zo met Bluetooth: dat zette je uit als je het niet nodig had omdat het een potentiële aanvalsvector is en hup, na installatie van de nieuwste iOS-versie stond het weer aan. Inmiddels hebben ze dat afgeleerd.
Versie 10 van hun mobiel besturingssysteem doet iets met je vergrendelscherm. Het biedt voortaan een weelde aan informatie die je in beeld kunt krijgen zonder je iDing te ontgrendelen. Allerlei widgets kunnen informatie tonen. Heel handig voor snelle toegang tot die informatie, maar je snapt al waar mijn bezwaar ligt: ook anderen dan de legitieme gebruiker kunnen dit. Ik denk dan bijvoorbeeld aan de widgets voor mail, agenda en notities. Sommige widgets staan standaard aan na installatie van iOS 10. Op het widget-scherm vind je de ‘Wijzig’-knop waarmee je widgets kunt in- of uitschakelen. Maar daar gepast gebruik van.
Dat werkt bij Android dan toch fijner. Zo heb ik ooit ingesteld dat ik de tekst van een binnenkomend SMS’je niet in de statusbalk wil laten tonen. Deze instelling heeft tot nu toe keurig alle updates overleefd (mijn wat ouder toestel draait op Android 4.4.4). Je kunt dat instellen in de berichten-app zelf, onder Instellingen > Meldingen > Berichtvoorbeeld. Meer uit de school klappende Android-widgets ken ik niet.
Weet je trouwens waarom die T65 nooit updates kreeg? Omdat het gewoon een ‘dom’ elektromechanisch apparaat was. En geen “computer met meer rekenkracht dan de Space Shuttle”, zoals de huidige smartphones. Nou vooruit, er was één update: tegen meerprijs kon je kiezen uit een zestal lelijke kleuren.
En in de grote boze buitenwereld …
... zoeken cybercriminelen de laatste tijd meer naar niet-bederfelijke informatie. Ze vinden die in medische dossiers.
https://beveiligingnieuws.nl/nieuws/ict-beveiliging/medische-gegevens-gehackt-id-fraude
... schetst dit filmpje een duister scenario voor een wereld waarin het internet der dingen overheerst.
https://m.youtube.com/watch?v=lGzPsl7dLIs&feature=youtu.be
... is een IoT-botnet te huur voor een paar duizend dollar per week.
https://www.hotforsecurity.com/blog/for-rent-an-iot-botnet-to-take-down-much-of-the-internet-16994.html
... zijn antidiefstal-trackers ook al niet zonder risico's.
http://www.theregister.co.uk/2016/10/25/iot_tracking_device_vulnerabilities
... kun je je netwerk scannen op kwetsbare IoT-devices.
http://lifehacker.com/iot-scanner-checks-for-vulnerabilities-in-your-connecte-1788154835
... gaan we nog veel meer horen van IoT-devices die zich tegen ons keren.
http://arstechnica.com/information-technology/2016/10/inside-the-machine-uprising-how-cameras-dvrs-took-down-parts-of-the-internet
... moeten we er dus maar aan wennen dat we schade gaan lijden door IoT-aanvallen.
https://securityledger.com/2016/10/bruised-by-internet-of-things-attacks-get-used-to-it/
... kunnen ook drones gehackt worden (uiteraard).
http://arstechnica.com/security/2016/10/drone-hijacker-gives-hackers-complete-control-of-aircraft-in-midflight/
... bindt Europol de strijd aan tegen mobiele malware. Ze hebben onder andere een flitsend filmpje en infographics gemaakt.
https://www.europol.europa.eu/content/mobile-malware
... gaat risico-acceptatie soms toch iets te gemakkelijk. (Speel de animated gif af om ‘m te snappen.)
https://mobile.twitter.com/thegrugq/status/790986835723898880/video/1
... kan een fout plaatje je iPhone of iPad besmetten.
https://www.grahamcluley.com/boobytrapped-jpeg-infect-iphone-upgrade-ios-10-1/
... vormt Dirty Cow een groot risico voor Android-toestellen.
http://arstechnica.com/security/2016/10/android-phones-rooted-by-most-serious-linux-escalation-bug-ever
... mag je niet zomaar gesprekken opnemen.
http://blog.iusmentis.com/2016/10/24/mag-kapture-armband-hele-omgeving-opnemen/
... hebben nog eens dertien landen zich aangesloten bij het No More Ransom-initiatief.
https://blog.kaspersky.com/nomoreransom-goes-global/13254/
vrijdag 28 oktober 2016
vrijdag 14 oktober 2016
Clowns
Jaren geleden vierden we vakantie op het Canarische eiland Fuerteventura. ’s Avonds flaneerden we graag door het centrum van Corralejo. Onze zoon, destijds kleuter van beroep, liep een paar meter voor ons uit over de brede stoep. Plotseling sprong iemand met een lelijk masker op uit een portiek tevoorschijn en maakte hem met groteske gebaren en geluiden flink aan het schrikken. Zelden heb ik iemand zó de huid vol gescholden (helaas ken ik geen Spaanse en te weinig Engelse scheldwoorden). Beroepshalve gewend om in worst case-scenario’s te denken zie je zo’n kind voor je geestesoog van het gevaar wegvluchten, zó de drukke straat op. Die kerel stond daar onnozel naar mijn gefoeter te luisteren, kennelijk niet in staat om te begrijpen waarom zijn actie niet leuk werd gevonden. Hij hoorde trouwens bij een pretpark een eindje verderop, waar ze onder andere een spookhuis hadden. Hij was een wandelend reclamespotje.
Fast forward naar 2016. De horrorclowns zijn in het nieuws. Bij wijze van onderzoek voor deze blog heb ik een paar van die filmpjes bekeken en ik kom tot de conclusie dat die maffe Amerikanen nogal wat in scène moeten hebben gezet. Waarom zou je in hemelsnaam langzaam met een paar man in de auto door het pikkedonker rijden en een camera op de verlaten weg richten? En dan duikt daar ineens geheel spontaan zo’n engerd op. Sure. Maar goed, een in scène gezet filmpje kan mensen op ideeën brengen. Bij de meer overtuigende filmpjes staat de cameraman verdekt opgesteld en filmt hij de bijbehorende clown als die iemand te grazen neemt. Het wordt natuurlijk écht vervelend als die clown iets wapenachtigs bij zich heeft. Dan is er al gauw sprake van bedreiging.
In de ICT is het niet anders. Ook daar hebben we te maken met anonieme lieden die ons bedreigen. Soms zijn ze, net als de horrorclowns, daadwerkelijk gemaskerd – het Guy Fawkes-masker is het symbool van hacktivistencollectief Anonymous. De dreiging bestaat vaak uit DDoS-aanvallen, waarbij de site van het slachtoffer wordt platgegooid. Dat kan om ideële redenen zijn, zoals bij de steun van Anonymous voor WikiLeaks en de vergelding voor de aanslagen in Parijs, om redenen van concurrentie (“Als de site van mijn concurrent niet bereikbaar is komen de klanten naar mij toe”) en om politieke redenen, zoals bij aanvallen op mensenrechtenorganisaties of politieke organisaties. Gewoon om te klieren kan natuurlijk ook.
Een belangrijk verschil tussen de horrorclowns en ICT-beveiligingsincidenten is dat het bij die laatste meestal niet bij dreigementen of leuk bedoelde bangmakerij blijft – ze dreigen niet met DDoS’en, ze doen het gewoon. Dreiging gaat wel uit van het motto van Anonymous: "We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us." Ik weet trouwens niet of ze het zo bedoeld hebben, maar dit motto doet mij erg denken aan een nogal vijandige volkje uit Star Trek: “We are the Borg. You will be assimilated. Resistance is futile.”
De belangrijkste overeenkomst tussen beide fenomenen is toch wel dat de daden niet in de haak zijn. De politie roept op om 112 te bellen als je zo’n zieke grappenmaker ziet lopen en grote DDoS-aanvallen mogen ook op belangstelling van oom agent rekenen. Maar er is nog een overeenkomst: de neiging van slachtoffers om eigenrichting toe te passen. In die – al dan niet in scène gezette – Amerikaanse filmpjes zie je hoe clowns in elkaar worden geslagen. Ook in Nederland is zoiets al voorgekomen: een veertienjarige kickbokser uit Delft heeft een paar rake klappen uitgedeeld aan iemand die het stoer vond om zijn broertje bang te maken. In de ICT is terughacken al vaak onderwerp van discussie geweest. Als het ene technologiebedrijf bij het andere inbreekt (economische spionage), mag die partij dan terugslaan? Mag de politie hacken?
Voor eigen rechter spelen mag niet. Als plotseling zo’n enge clown (wat eigenlijk een contradictio in terminis hoort te zijn) dreigend voor je staat, kan ik me ergens wel voorstellen dat je in een reflex om je heen gaat slaan. Als een computer wordt aangevallen zullen weinigen van ons in staat zijn om terug te slaan. Je verdediging op orde hebben is dus erg belangrijk.
En in de grote boze buitenwereld …
... zegt de auteur van dit artikel het heel duidelijk: begin niet aan een tegenaanval.
https://nakedsecurity.sophos.com/2016/10/10/is-it-really-a-good-idea-to-scam-the-scammers/
... wil TNO de juridische wereld bijspijkeren op het gebied van cybercrime.
https://time.tno.nl/nl/artikelen/hoe-we-cybercrime-willen-aanpakken/
... kampt de Amerikaanse luchtmacht met verstoringen op het geheime netwerk voor de aansturing van drones.
https://www.buzzfeed.com/aramroston/air-force-investigating-outage-of-classified-computer-system
... bestaat er een (ietwat academisch) verschil tussen twee-factorauthenticatie en twee-stapauthenticatie.
http://lifehacker.com/the-difference-between-two-factor-and-two-step-authenti-1787159870
... hengelt deze nieuwe Android-malware naar veel informatie en vraagt zelfs om een selfie met je ID-bewijs.
https://www.grahamcluley.com/enjoy-taking-selfies-plays-right-hands-this-malware/
... is niet iedereen het eens met Bruce Schneiers opinie dat het zinloos is om te trachten het gedrag van gebruikers te beïnvloeden (zie de Security (b)log van vorige week).
https://securingthehuman.sans.org/blog/2016/10/13/why-bruce-is-wrong-about-fixing-the-user
... zeggen de banken dat online bankieren veilig is. De moeilijkheid zit echter in hun derde veiligheidsregel.
https://www.alertonline.nl/experts/veilig-bankieren
... hanteren cybercriminelen het principe: eenmaal dom, altijd dom.
https://www.fraudehelpdesk.nl/nieuws/als-naam-op-sucker-list-staat/
... maken bedrijven zich grote zorgen over cloud storage, maar ze doen daar vervolgens weinig aan.
https://www.helpnetsecurity.com/2016/10/14/cloud-encryption-misconceptions/
... is de waarde van een CEH- of CISSP-certificering betrekkelijk.
https://www.alienvault.com/blogs/security-essentials/are-security-certifications-worth-your-time
... hebben eigenaren van de Samsung Galaxy Note 7 een beschikbaarheidsprobleempje.
http://money.cnn.com/2016/10/10/technology/samsung-galaxy-note-7-turn-off/index.html
... vinden er cyberaanvallen plaats op nucleaire installaties.
http://linkis.com/mobile.reuters.com/a/3Db8v
vrijdag 7 oktober 2016
Averechts
Onder stoere namen als City Emergency Braking, Active City Stop en City Safety bieden diverse autofabrikanten systemen aan die een auto afremmen als je in botsing dreigt te komen met een voorligger of een plotseling overstekend kind. Zo’n op radar gebaseerd systeem, dat vooralsnog alleen bij lagere snelheden (‘city’) werkt, kan levens redden of op z’n minst de schade beperken. Helemaal geweldig dus.
Tenzij je met je politieauto een voortvluchtige crimineel van de weg wilt duwen en dat mooie systeem een ingreep doet. Dan kun je zomaar met je hoofd tegen het dashboard van je dienstauto knallen, want zo’n ingreep is nogal abrupt (Volkswagen daarover: Een remingreep van City Emergency Braking is geen comfortabele ervaring. Het abrupte karakter is speciaal ‘ingebouwd’ om de Volkswagen Touareg-bestuurder ervan te weerhouden om in stadsverkeer altijd en uitsluitend op het assistentie-systeem te vertrouwen.) Niemand bij de politie had om dat systeem gevraagd, het werd standaard door Volkswagen ingebouwd. Nu moeten 300 noodhulpauto’s (voorheen: politieauto) terug naar de garage om het weer uit te bouwen, zo schreef het AD eind augustus*.
Wat een geweldige beveiligingsmaatregel lijkt, hoeft dat niet altijd en overal te zijn. Dat geldt ook bij computers. Zo kan ik mij voorstellen dat het in een ziekenhuis niet per se handig is als bepaalde werkplekken zich automatisch vergrendelen, iets wat in een kantooromgeving toch als een goede maatregel geldt (voor die medewerkers die -L wel eens vergeten). Nee, op bijvoorbeeld een intensive care-afdeling moet het personeel altijd direct zicht op bepaalde monitoren hebben – vertraging door een screensaver kan daar levensbedreigend zijn.
Zo’n vaart zal het in onze kantoren zelden lopen. Maar toch: het zou met niet verbazen als we ook hier sommige beveiligingsmaatregelen hebben geïmplementeerd die averechts werken. Ik heb het dan niet over nuttige maatregelen die als ‘lastig’ worden ervaren, maar over maatregelen die zélf een bedreiging kunnen vormen.
Ik zal een riskant voorbeeld geven. Riskant, omdat het over een onderwerp gaat waarover bepaald geen consensus bestaat: wachtwoorden. Vaak is ergens in het wachtwoordbeleid vastgelegd dat eindgebruikers na een x aantal dagen “hun wachtwoord” moeten wijzigen. Dat moet nog een maatregel zijn uit de tijd dat eindgebruikers één wachtwoord hadden en het aannemelijk was dat dat wachtwoord vroeg of laat zou uitlekken, bijvoorbeeld omdat veel mensen het destijds op een geeltje noteerden en dat onder hun toetsenbord plakten. Tegenwoordig heeft iedereen tig wachtwoorden en we rammen er al jarenlang in dat je wachtwoord iets heel persoonlijks is waar je navenant mee moet omgaan. De eis om wachtwoorden te wijzigen kan dan, in combinatie met de noodzaak om complexe wachtwoorden te verzinnen, averechts werken doordat je het op een snel toegankelijke manier moet opschrijven omdat je niet telkens een nieuw, complex wachtwoord kunt onthouden, en dat dus keer tig. Overigens staat in de toch wel gezaghebbende internationale norm ISO27002 niets over het verplicht wijzigen van wachtwoorden (behalve als het om initiële wachtwoorden gaat, maar dat is dan ook weer logisch). In de BIR, de Baseline Informatiebeveiliging Rijksdienst, is wél weer een maximale geldigheidsduur van drie maanden opgenomen. Zoals ik al zei: er is geen consensus.
Ik ben benieuwd van welke beveiligingsmaatregelen jij als gebruiker vindt dat ze de beveiliging geen goed doen. Wellicht kan een goed onderbouwd verhaal tot een wijziging in het beleid leiden en kunnen we zo samen de informatiebeveiliging weer een beetje versterken.
*) http://www.ad.nl/dossier-nieuws/zelfremmende-politieauto-faalt~a5171ef0/
... heeft Yahoo alle inkomende mail van zijn klanten op verzoek van de inlichtingendiensten gescand op specifieke termen.
http://www.reuters.com/article/yahoo-nsa-idUSL2N1CA1C2
... vinden critici dat Yahoo zich had moeten verzetten.
https://theintercept.com/2016/10/04/delete-your-yahoo-account/
... hebben gebruikers last van beveiligingsmoeheid.
http://www.tripwire.com/state-of-security/featured/cybersecurity-is-just-too-much-trouble-for-the-general-public-claims-study/
... is het zinloos om te proberen het gedrag van de gebruiker te beïnvloeden.
https://www.schneier.com/blog/archives/2016/10/security_design.html
... ontving Open Whisper Systems, de maker van de messaging app Signal, een vordering van het Openbaar Ministerie van Virginia om bepaalde gebruikersgegevens aan te leveren. Ze konden echter slechts zeer summiere informatie verstrekken, hetgeen buiten de inlichtingendiensten als positief wordt ervaren.
http://www.reuters.com/article/us-usa-cyber-signal-idUSKCN1241JM
... heeft Open Whisper Systems zich succesvol verzet tegen het gerechtelijk bevel om niets over de vordering naar buiten te brengen.
https://whispersystems.org/bigbrother/eastern-virginia-grand-jury/
... heeft ook de Facebook Messenger nu end-to-end encryptie. Maar je moet het wel iedere keer opnieuw aanzetten.
https://www.hotforsecurity.com/blog/finally-everyone-can-encrypt-their-facebook-conversations-heres-how-16829.html
... moet je oppassen met hulpvragen via bijvoorbeeld WhatsApp.
https://www.fraudehelpdesk.nl/nieuws/hulpvraag-whatsapp-blijkt-oplichting/
... weet een Zwolse coassistent nu ook dat hij geen patiëntengegevens op een privélaptop mag opslaan. De laptop is gestolen waardoor medische gegevens van ruim vijfhonderd patiënten op straat liggen.
http://www.volkskrant.nl/binnenland/patientgegevens-zwols-ziekenhuis-op-straat-na-diefstal-laptop~a4390608/
... hoor je ook bij IoT-devices het default wachtwoord te wijzigen, maar dat is nog niet zo gemakkelijk.
https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/
... schetst deze cartoon een heftig beeld van ransomware op het internet der dingen.
http://www.geekculture.com/joyoftech/joyarchives/2340.html
... luistert deze insulinepomp naar onversleutelde commando's.
http://www.theregister.co.uk/2016/10/05/animas_diabetes_pump_flaw/
... gebruiken Mastercardhouders straks geen wachtwoord meer voor online aankopen, maar een vingerafdruk of selfie.
http://www.volkskrant.nl/tech/selfie-of-vingerafdruk-vervangt-pincode-of-wachtwoord~a4389944
... wijzigt deze innovatieve creditcard ieder uur haar beveiligingscode (de CCV-code op de achterkant).
http://www.thememo.com/2016/09/27/oberthur-technologies-societe-generale-groupe-bpce-bank-this-high-tech-card-is-being-rolled-out-by-french-banks-to-eliminate-fraud/
... dient een besmetting met ransomware, waarbij persoonsgegevens betrokken zijn, als datalek te worden beschouwd.
https://www.fraudehelpdesk.nl/nieuws/versleuteling-bestanden-persoonsgegevens-is-datalek/
... hebben de Britten nu ook een NCSC. Gek genoeg ressorteert dat onder inlichtingendienst GCHQ.
https://www.security.nl/posting/487747/Britten+gaan+van+start++met+National+Cyber+Security+Centre
... worden onze login-gegevens straks door ons lichaam naar een apparaat gezonden.
http://www.theregister.co.uk/2016/10/04/login_transmission_through_human_body/
... moet je bij iOS 10 even opletten of je iPhone of iPad met deze nieuwe versie niet meer informatie prijsgeeft dan je op prijs stelt.
https://www.grahamcluley.com/ios-10-privacy-round/
... moet Nederland met spoed werken aan betere digitale veiligheid.
https://www.security.nl/posting/488057/Rapport%3A+cybersecurity+Nederland+met+spoed+versterken
... is er een tool beschikbaar om te controleren of iemand je via de camera en microfoon van je Mac bespiedt.
http://webwereld.nl/security/94522-zo-check-je-of-iemand-je-bespiedt-via-je-webcam
Tenzij je met je politieauto een voortvluchtige crimineel van de weg wilt duwen en dat mooie systeem een ingreep doet. Dan kun je zomaar met je hoofd tegen het dashboard van je dienstauto knallen, want zo’n ingreep is nogal abrupt (Volkswagen daarover: Een remingreep van City Emergency Braking is geen comfortabele ervaring. Het abrupte karakter is speciaal ‘ingebouwd’ om de Volkswagen Touareg-bestuurder ervan te weerhouden om in stadsverkeer altijd en uitsluitend op het assistentie-systeem te vertrouwen.) Niemand bij de politie had om dat systeem gevraagd, het werd standaard door Volkswagen ingebouwd. Nu moeten 300 noodhulpauto’s (voorheen: politieauto) terug naar de garage om het weer uit te bouwen, zo schreef het AD eind augustus*.
Wat een geweldige beveiligingsmaatregel lijkt, hoeft dat niet altijd en overal te zijn. Dat geldt ook bij computers. Zo kan ik mij voorstellen dat het in een ziekenhuis niet per se handig is als bepaalde werkplekken zich automatisch vergrendelen, iets wat in een kantooromgeving toch als een goede maatregel geldt (voor die medewerkers die -L wel eens vergeten). Nee, op bijvoorbeeld een intensive care-afdeling moet het personeel altijd direct zicht op bepaalde monitoren hebben – vertraging door een screensaver kan daar levensbedreigend zijn.
Zo’n vaart zal het in onze kantoren zelden lopen. Maar toch: het zou met niet verbazen als we ook hier sommige beveiligingsmaatregelen hebben geïmplementeerd die averechts werken. Ik heb het dan niet over nuttige maatregelen die als ‘lastig’ worden ervaren, maar over maatregelen die zélf een bedreiging kunnen vormen.
Ik zal een riskant voorbeeld geven. Riskant, omdat het over een onderwerp gaat waarover bepaald geen consensus bestaat: wachtwoorden. Vaak is ergens in het wachtwoordbeleid vastgelegd dat eindgebruikers na een x aantal dagen “hun wachtwoord” moeten wijzigen. Dat moet nog een maatregel zijn uit de tijd dat eindgebruikers één wachtwoord hadden en het aannemelijk was dat dat wachtwoord vroeg of laat zou uitlekken, bijvoorbeeld omdat veel mensen het destijds op een geeltje noteerden en dat onder hun toetsenbord plakten. Tegenwoordig heeft iedereen tig wachtwoorden en we rammen er al jarenlang in dat je wachtwoord iets heel persoonlijks is waar je navenant mee moet omgaan. De eis om wachtwoorden te wijzigen kan dan, in combinatie met de noodzaak om complexe wachtwoorden te verzinnen, averechts werken doordat je het op een snel toegankelijke manier moet opschrijven omdat je niet telkens een nieuw, complex wachtwoord kunt onthouden, en dat dus keer tig. Overigens staat in de toch wel gezaghebbende internationale norm ISO27002 niets over het verplicht wijzigen van wachtwoorden (behalve als het om initiële wachtwoorden gaat, maar dat is dan ook weer logisch). In de BIR, de Baseline Informatiebeveiliging Rijksdienst, is wél weer een maximale geldigheidsduur van drie maanden opgenomen. Zoals ik al zei: er is geen consensus.
Ik ben benieuwd van welke beveiligingsmaatregelen jij als gebruiker vindt dat ze de beveiliging geen goed doen. Wellicht kan een goed onderbouwd verhaal tot een wijziging in het beleid leiden en kunnen we zo samen de informatiebeveiliging weer een beetje versterken.
*) http://www.ad.nl/dossier-nieuws/zelfremmende-politieauto-faalt~a5171ef0/
En in de grote boze buitenwereld …
... heeft Yahoo alle inkomende mail van zijn klanten op verzoek van de inlichtingendiensten gescand op specifieke termen.
http://www.reuters.com/article/yahoo-nsa-idUSL2N1CA1C2
... vinden critici dat Yahoo zich had moeten verzetten.
https://theintercept.com/2016/10/04/delete-your-yahoo-account/
... hebben gebruikers last van beveiligingsmoeheid.
http://www.tripwire.com/state-of-security/featured/cybersecurity-is-just-too-much-trouble-for-the-general-public-claims-study/
... is het zinloos om te proberen het gedrag van de gebruiker te beïnvloeden.
https://www.schneier.com/blog/archives/2016/10/security_design.html
... ontving Open Whisper Systems, de maker van de messaging app Signal, een vordering van het Openbaar Ministerie van Virginia om bepaalde gebruikersgegevens aan te leveren. Ze konden echter slechts zeer summiere informatie verstrekken, hetgeen buiten de inlichtingendiensten als positief wordt ervaren.
http://www.reuters.com/article/us-usa-cyber-signal-idUSKCN1241JM
... heeft Open Whisper Systems zich succesvol verzet tegen het gerechtelijk bevel om niets over de vordering naar buiten te brengen.
https://whispersystems.org/bigbrother/eastern-virginia-grand-jury/
... heeft ook de Facebook Messenger nu end-to-end encryptie. Maar je moet het wel iedere keer opnieuw aanzetten.
https://www.hotforsecurity.com/blog/finally-everyone-can-encrypt-their-facebook-conversations-heres-how-16829.html
... moet je oppassen met hulpvragen via bijvoorbeeld WhatsApp.
https://www.fraudehelpdesk.nl/nieuws/hulpvraag-whatsapp-blijkt-oplichting/
... weet een Zwolse coassistent nu ook dat hij geen patiëntengegevens op een privélaptop mag opslaan. De laptop is gestolen waardoor medische gegevens van ruim vijfhonderd patiënten op straat liggen.
http://www.volkskrant.nl/binnenland/patientgegevens-zwols-ziekenhuis-op-straat-na-diefstal-laptop~a4390608/
... hoor je ook bij IoT-devices het default wachtwoord te wijzigen, maar dat is nog niet zo gemakkelijk.
https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/
... schetst deze cartoon een heftig beeld van ransomware op het internet der dingen.
http://www.geekculture.com/joyoftech/joyarchives/2340.html
... luistert deze insulinepomp naar onversleutelde commando's.
http://www.theregister.co.uk/2016/10/05/animas_diabetes_pump_flaw/
... gebruiken Mastercardhouders straks geen wachtwoord meer voor online aankopen, maar een vingerafdruk of selfie.
http://www.volkskrant.nl/tech/selfie-of-vingerafdruk-vervangt-pincode-of-wachtwoord~a4389944
... wijzigt deze innovatieve creditcard ieder uur haar beveiligingscode (de CCV-code op de achterkant).
http://www.thememo.com/2016/09/27/oberthur-technologies-societe-generale-groupe-bpce-bank-this-high-tech-card-is-being-rolled-out-by-french-banks-to-eliminate-fraud/
... dient een besmetting met ransomware, waarbij persoonsgegevens betrokken zijn, als datalek te worden beschouwd.
https://www.fraudehelpdesk.nl/nieuws/versleuteling-bestanden-persoonsgegevens-is-datalek/
... hebben de Britten nu ook een NCSC. Gek genoeg ressorteert dat onder inlichtingendienst GCHQ.
https://www.security.nl/posting/487747/Britten+gaan+van+start++met+National+Cyber+Security+Centre
... worden onze login-gegevens straks door ons lichaam naar een apparaat gezonden.
http://www.theregister.co.uk/2016/10/04/login_transmission_through_human_body/
... moet je bij iOS 10 even opletten of je iPhone of iPad met deze nieuwe versie niet meer informatie prijsgeeft dan je op prijs stelt.
https://www.grahamcluley.com/ios-10-privacy-round/
... moet Nederland met spoed werken aan betere digitale veiligheid.
https://www.security.nl/posting/488057/Rapport%3A+cybersecurity+Nederland+met+spoed+versterken
... is er een tool beschikbaar om te controleren of iemand je via de camera en microfoon van je Mac bespiedt.
http://webwereld.nl/security/94522-zo-check-je-of-iemand-je-bespiedt-via-je-webcam
Abonneren op:
Posts (Atom)