vrijdag 16 december 2016

Grasduinen

Wen er maar aan: je wordt bespioneerd. Als het niet via je gehackte router of het speelgoed van je kinderen gebeurt, dan toch in ieder geval door de apps op je smartphone.

Deze week kwam Evernote in het nieuws met een opmerkelijke wijziging in hun privacybeleid. Evernote is een populaire app om aantekeningen te maken, te beheren en er slim in te zoeken. Er staat dus heel veel informatie in, die ongetwijfeld voor een deel vertrouwelijk is. De wijziging in het beleid houdt in dat medewerkers van het bedrijf jouw aantekeningen mogen lezen. Mensen van vlees en bloed dus. We waren er min of meer aan gewend dat alles wat we online doen door de machtige analysemachines van bijvoorbeeld Google worden gejaagd. Dat doen ze niet alleen om onze “gebruikservaring te optimaliseren”, maar natuurlijk ook om ons op maat gesneden advertenties voor te kunnen schotelen. Google wordt niet voor niets door sommigen smalend een advertentiebedrijf genoemd.

Maar goed, doorgaans zijn het dus slimme algoritmes die ons emotieloos binnenstebuiten keren. Dat maakt het voor het gevoel minder erg: je hoeft zo’n machine nooit onder ogen te komen en je te schamen voor wat je gedaan hebt en zij gaat ook niet over je roddelen. Maar bij Evernote gaan dus echte mensen naar je aantekeningen kijken. Waarom? Omdat ze nieuwe machine learning tools hebben. Om te controleren of die tools goed werken moeten medewerkers sommige aantekeningen lezen. Ze zien dan of de tools conform verwachting werken.

Ik denk dan: had dat niet in een testomgeving gekund? Met fake data? Zo deden we dat in de vorige eeuw, met zorgvuldig samengestelde testgegevens. Kwam er een functionele wijziging in de programmatuur, dan zorgde je ervoor dat je ook nieuwe testrecords maakte zodat de nieuwe tak geraakt werd. Tegenwoordig lijkt testen met productiegegevens steeds vaker de norm te zijn. “Testgegevens maken is niet meer te doen”, heet het dan. Vanwege de complex- en massaliteit. Oké, maar anonimiseer die productiegegevens dan tenminste. Is ook al moeilijk, omdat zomaar in het wilde weg vernachelen van velden ertoe leidt dat verwijzingen naar andere bestanden niet meer werken (de referentiële integriteit is dan doorbroken). Je kunt dus niet zo maar anonimiseren, dat moet met beleid. En dat kost tijd en geld en ligt dus lastig.

De wereld heeft kennisgemaakt met de bedoelingen van Evernote doordat ze erover gecommuniceerd hebben. Mij bekruipt echter het angstige gevoel dat andere partijen soortgelijke dingen doen. Misschien op basis van een juridische formulering die al lang ergens in hun ellenlange voorwaarden – die je geaccepteerd hebt! – staat. En ik wil ook niet uitsluiten dat dergelijke praktijken her en der stiekem plaatsvinden. Als individuele consument-gebruiker ga je doorgaans sowieso niet eerst eens uitgebreid onderzoeken hoe een dienstverlener met jouw gegevens omgaat – al helemaal niet als het om een ‘gratis’ dienst gaat. Je gebruikt de dienst as is omdat hij zo handig is. Zeg eens eerlijk: weet jij van alle apps op je smartphone wat ze met je gegevens doen? Of ze die bijvoorbeeld in de cloud opslaan, om maar eens wat te noemen? Dat kan relevant zijn als je een app zakelijk gebruikt en je bedrijf het gebruik van de publieke cloud verbiedt. Ik kan je uit ervaring vertellen dat het knap lastig kan zijn om erachter te komen of een app gegevens lokaal of in de cloud opslaat (al is een juichend “synchroniseert over al je apparaten!” een goede hint). Evernote is zo’n toepassing die alles in de cloud zet. Alleen gebruikers van de betaalde versie kunnen ervoor kiezen om een aantekening uitsluitend lokaal op te slaan. Terzijde: Evernote is bezig met een overstap van hun eigen datacenter naar Google Cloud.

De aankondiging van Evernote over het grasduinen in aantekeningen bleef bepaald niet onopgemerkt. Een storm van kritiek brak los. Gisteren probeerde de CEO de zaak nog te sussen door in een blog uit te leggen wat er wel en niet zou veranderen. Maar nog diezelfde dag volgde een bericht waarin de communicatie-afdeling (!) liet weten dat de wijziging voorlopig van de baan is. De machine learning technologies komen wel beschikbaar voor klanten, maar menselijk meelezen gebeurt alleen op basis van opt-in. De komende maanden gaat het bedrijf hard nadenken over zijn privacybeleid.

Deze storm is dus even geluwd, maar de algemene ontwikkeling is onomkeerbaar. Ik wens je een gelukkig 1984.

De volgende Security (b)log verschijnt op 13 januari 2017.

En in de grote boze buitenwereld …


... geven we onze gegevens ook gewoon vrijwillig uit handen.
http://www.gartner.com/newsroom/id/3545018

... hoeft een skimmer (waarmee criminelen je bankpas kopiëren) niet per se heel klein te zijn.
https://twitter.com/Grifter801/status/808787317884329984/photo/1 [animated GIF]

... zorgt de nieuwe Wet computercriminaliteit voor verdeeldheid.
http://www.volkskrant.nl/binnenland/hoe-ver-mag-politie-gaan-in-nieuwe-hackwet~a4432881

... bezwijken SOC's onder de grote hoeveelheid data die ze te verwerken krijgen.
http://www.securityweek.com/socs-suffer-under-volume-data-alerts-report

... worstelen SOC's ook nog eens met het classificeren van bedreigingen.
https://www.helpnetsecurity.com/2016/12/13/soc-managers-triage-threats/

... kun je waarschuwingsschermen ook al niet meer zomaar vertrouwen.
https://hotforsecurity.bitdefender.com/blog/scammers-can-trick-microsoft-edge-into-displaying-fake-security-warnings-17315.html

... zijn dit de basisbeginselen voor het beveiligen van je wifi-netwerk.
https://www.grahamcluley.com/how-to-secure-your-wi-fi-network-the-basic-version/

... is dit de versie voor gevorderde thuisnetwerkbeheerders.
https://www.grahamcluley.com/how-secure-wi-fi-network-advanced/

... kwam de IT van de Australische belastingdienst knarsend tot stilstand.
http://www.smh.com.au/national/public-service/thousands-of-public-servants-sit-idle-as-atos-it-melts-down-20161213-gt9xfd.html

... is het nu officieel: een cyberaanval kan de samenleving ontwrichten.
https://www.security.nl/posting/496316/Onderzoek%3A+Cyberaanval+kan+samenleving+ontwrichten

... neemt de politie een cybercrime-aangifte wel degelijk serieus, zegt de minister.
https://www.security.nl/posting/496419/Van+der+Steur%3A+Politie+neemt+aangiften+cybercrime+serieus

... promoot de Duitse overheid na de bekendmaking van de mega-hack bij Yahoo het gebruik van Duitse e-maildiensten.
https://www.security.nl/posting/496464/Duitsland+promoot+eigen+e-maildiensten+na+Yahoo-hack

... kun je nu ook van ransomware afkomen door je vrienden te besmetten.
http://webwereld.nl/security/95676-ransomware-besmet-je-vrienden-en-krijg-je-data-terug

Gepost door op Geen opmerkingen:
Labels: , , , , , , ,

vrijdag 9 december 2016

Betrouwbaar

Uit de radio klinken de eerste zoete Amerikaanse kerstliedjes, pretparken adverteren met hun winters festijn en nu Sinterklaas zijn biezen heeft gepakt zijn er weer kerstbomen te koop. In deze tijd van het jaar dwarrelt de wereldvrede op ons neer, of althans dat wordt hij geacht te doen.  We houden in ieder geval een paar weken de illusie hoog dat nare mensen niet bestaan en dat moeder natuur ook alleen het beste met ons voorheeft. Kortom, we creëren onze eigen kerstsfeer.

In de film zou nu het geluid van een dwars over een grammofoonplaat scheurende pickupnaald klinken, want ik ga dit vredige tafereeltje wreed verstoren. Met ransomware. In de rubriek Grote boze buitenwereld van de Security (b)log kon je de laatste tijd veel artikelen over ransomware zien langskomen. Hoogste tijd dus om ook in de blog zelf aandacht aan dit nare fenomeen te besteden.

Ransomware wordt door criminelen op je computer gezet, die vervolgens wordt gegijzeld doordat de malware je bestanden versleutelt. De boef vraagt om losgeld en belooft in ruil daarvoor de code waarmee je je bestanden terugkrijgt. In de jonge dagen van dit verschijnsel kon je definitief naar je bestanden fluiten, want die code kreeg je niet. Omdat de politie en beveiligingsexperts toen in koor riepen dat je niet moest betalen “omdat je je bestanden toch niet terugkrijgt”, pasten de criminelen zich aan en sindsdien krijg je vaak wél je decryptiecode. De betrouwbare crimineel is daarmee een feit. Zijn businessmodel is gebaseerd op win-win: jij krijgt je bestanden terug en hij heeft een hogere omzet omdat meer ‘klanten’ bereid zijn om te betalen als er een redelijke kans bestaat dat ze hun verloren bestanden terugkrijgen. Er zijn zelfs criminele organisaties die er een heuse helpdesk op nahouden om je door het betalingsproces te loodsen. Betaling gebeurt namelijk doorgaans met bitcoins en lang niet iedereen is vertrouwd met deze virtuele valuta.

Desondanks luidt het officiële advies nog steeds: niet betalen. Gewoon omdat je daarmee het criminele proces stimuleert. Bovendien loop je de kans dat ze je een paar keer pakken als je een trouwe klant bent. Vorige week hoorde ik op een conferentie het verhaal over een organisatie die eerst duizend dollar betaalde, toen tienduizend en tenslotte honderdduizend. Voor een lager bedrag hadden ze waarschijnlijk gemakkelijk professionele hulp kunnen inhuren. Die organisatie ging overigens niet in op het vierde ‘verzoek’ om een nóg hoger losgeld te betalen.

Het wordt tegenwoordig ook steeds gemakkelijker om je bestanden terug te krijgen zonder losgeld te betalen. Zo is er het jonge initiatief ‘No more ransom!’ van het Team High Tech Crime van de Nederlandse politie en het European Cyber Crime Centre (EC3) van Europol in samenwerking met de computerbeveiligingsbedrijven Kaspersky en Intel Security. Amazon verzorgt gratis hosting en Barracuda tekent voor de beveiliging ervan – ook al gratis. Steeds meer nationale politiediensten sluiten zich aan.

Op nomoreransom.org onderzoekt de crypto sheriff of er een oplossing beschikbaar is voor jouw ransomware. Als dat zo is, dan kun je daar gratis gebruik van maken. De site biedt ook adviezen voor het voorkomen van een ransomwarebesmetting. Het belangrijkste advies luidt: maak regelmatig back-ups van je bestanden en bewaar ook een back-up offline – ransomware versleutelt vaak niet alleen de lokale schijf maar gaat ook op zoek naar netwerkschijven. Het advies “Trust no one. Literally.” heeft alles te maken met phishing en is daarom een stuk moeilijker op te volgen: back-uppen is techniek, phishing herkennen is mensenwerk. Op de site staan nog meer adviezen die het opvolgen waard zijn.

Net als gewone bedrijven heeft ook de cybercrimebranche het in december extra druk. Als potentieel slachtoffer bestel je zóveel dingen online, dat dat ene foute mailtje opgaat in de massa en je minder gauw denkt: hé, ik heb toch helemaal niets besteld bij Amazon/Bol/Zalando/etc.? En voor je het weet heb je dus op die link geklikt of die zogenaamde factuur geopend. Ondanks de decemberdrukte is het raadzaam om extra alert te zijn op je inbox.

Gelukkig kon ik bij het verstoren van het feestgevoel ook laten zien dat er een heldere ster aan het firmament verschijnt. En geheel in lijn met de kerstgedachte wordt daarbij samengewerkt tussen publieke en private partijen.

En in de grote boze buitenwereld …

... is er natuurlijk ook deze week weer een schrijnend voorbeeld van een ransomwarebesmetting.
https://hotforsecurity.bitdefender.com/blog/ransomware-forced-hospitals-to-cancel-2800-operations-and-shut-down-systems-17273.html

... kun je maar beter geen IoT-auto stelen.
https://www.engadget.com/2016/12/05/bmw-remotely-locks-car-thief-inside/

... raakte ook dit jaar weer een pratende IoT-pop in opspraak. Deze heet Cayla en kan heel goed luisteren.
http://www.volkskrant.nl/tech/pratende-bluetooth-pop-laat-zich-makkelijk-gebruiken-als-afluisterapparaat~a4428966

... staat de T in IoT hierboven voor Toys: Internet of Toys. Wat dan weer een deelverzameling is van het Internet of Things (ook IoT).
https://veiliginternetten.nl/themes/situatie/wat-het-internet-toys/

... kunnen beheerders flinke schade aanrichten.
https://nakedsecurity.sophos.com/2016/12/06/rogue-admin-jailed-after-taking-down-former-employers-network/

... beschermt Visa zijn creditcards niet tegen het 'gespreid raden' van de CVC-code.
http://thenextweb.com/security/2016/12/05/credit-card-hackers/

... heeft Google een nieuwe app waarmee je je locatie kunt delen met 'vertrouwde contacten'. Ze presenteren de app onder de noemer veiligheid, maar je levert natuurlijk wel privacy in.
http://lifehacker.com/googles-new-trusted-contacts-shares-your-location-with-1789666993
https://blog.google/products/maps/let-your-loved-ones-know-youre-safe-our-new-personal-safety-app/

... moet je over een jaartje actie ondernemen als je niet wilt dat derden inzage in jouw bankgegevens krijgen.
http://www.welingelichtekringen.nl/economie/638338/wil-je-dat-vreemden-in-jouw-bankafschriften-kunnen-neuzen-dat-gaat-wel-gebeuren.html

... gebruiken oplichters gemene trucs om je bankinformatie te ontfutselen waarvan je misschien niet dacht dat ze geheim zijn.
https://www.fraudehelpdesk.nl/nieuws/gehaaide-oplichterstrucs-zou-u-er-trappen-deel-3/

... zorgt perfect forward secrecy ervoor dat oude berichten niet kunnen worden gekraakt als iemand in de toekomst jouw crypto-key bemachtigt.
https://www.wired.com/2016/11/what-is-perfect-forward-secrecy

... is het zinvol om af en toe te controleren welke apps toegang hebben tot je Twitter-account.
https://www.grahamcluley.com/lock-twitter-care-rogue-party-apps-dont-hijack-account/

... kun je je internetpresentie met een paar muisklikken om zeep helpen. Maar daarvoor moet je de site die je daarbij helpt wel wat toegangsrechten geven.
http://linkis.com/thenextweb.com/apps/Ic3Oo

... kan dit artikel je helpen bij het kiezen van een wachtwoordmanager.
https://tweakers.net/reviews/5031/1/datalekkenjaar-2016-kiezen-uit-wachtwoordmanagers-inleiding.html

Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 2 december 2016

Big data

In het kader van een bezoek aan een bevriend organisatieonderdeel kreeg ons team het verzoek om zelf ook een presentatie te verzorgen. De gastheer wist zelfs al een onderwerp waarover hij iets van ons wilde horen: big data. Big data is weer zo’n buzzword waarmee je brein meteen aan de loop gaat. Het is dus altijd goed om je eigen spontane invulling van hetgeen zo’n term zou kunnen betekenen eerst even te checken.

Als je Wikipedia erop naslaat, dan vind je vetgedrukte termen als hoeveelheid, snelheid en diversiteit van data. Ook worden variatie, kwaliteit en complexiteit genoemd. Het gaat in wezen om héél veel data waarmee héél snel iets gebeurt, terwijl het een ongeregeld zooitje is van mogelijk bedenkelijke kwaliteit, als ik het zo even mag samenvatten. Omdat het Wikipedia-artikel niets zegt over hoeveel hoeveel is (terwijl het daar toch om lijkt te draaien bij de term ‘big’), heb ik nog wat verder gezocht. En dan kom je uit bij McKinsey, die het mooi dramatisch heeft verwoord: “Datasets whose size is beyond the ability of typical database software tools to capture, store, manage, and analyze.” Vooral dat woord ‘beyond’ doet het ‘m.

Van oudsher hebben informatiebeveiligers het romantische beeld dat je gegevens zijn opgeborgen in een stevig kasteel dat een streng gecontroleerde toegang mogelijk maakt. Er zijn dikke muren, een slotgracht en een ophaalbrug die indringers buiten houden. Met big data verandert dit beeld drastisch: de data zijn overal en nergens en daar komen ze ook vandaan. Je weet niet meer waar je data – behalve in je rekencentrum – nog meer zijn, of op z’n minst is de herkomst van de data divers, hetgeen dan weer invloed kan hebben op de kwaliteit ervan. Wikipedia zegt op dit punt: “verschillende bronnen kunnen elkaar tegenspreken.”

Om vanuit beveiligingsperspectief een mening over big data te vormen heb ik naar wet- en regelgeving gekeken. Om te beginnen zijn daar de internationale ISO27001- en ISO27002-normen. Als je deze normatiek doorleest met een big data-bril op, dan vind je diverse termen die van belang zijn, bijvoorbeeld: functiescheiding, capaciteitsbeheer, logische en fysieke toegang, back-ups, informatietransport, classificatie, scheiding tussen ontwikkel-/test-/acceptatie-/productie-omgevingen, het gebruik van tools en privacy. Bij functiescheiding en toegangsbeheer kun je je afvragen wie daar iets over te zeggen heeft, wie verantwoordelijk is. Het gebruik van tools lijkt welhaast inherent aan de manier waarop we met big data willen werken, terwijl de normatiek juist erg hecht aan dedicated applicaties. Classificatie van gegevens was sowieso al een heikel thema en dat wordt er met big data niet gemakkelijker op.

Het onderwerp privacy komt natuurlijk ook terug via de Wet bescherming persoonsgegevens en via de Algemene Verordening Gegevensbescherming van de EU. Die wetten zeggen bijvoorbeeld iets over de fysieke opslaglocatie van persoonsgegevens. En wie is er bij zo’n grote, diverse bak data verantwoordelijk voor het melden van datalekken?

Beveiligers baseren hun analyses op de BIV-aspecten: gegevens moeten beschikbaar zijn als je ze nodig hebt, ze moeten integer (juist en volledig) zijn en de vertrouwelijk moet gewaarborgd zijn. Een data-analist die zich op zo’n grote gegevensbak stort gaat op zoek naar allerlei verbanden om zodoende data te veredelen tot informatie. Is dat wel verenigbaar met een strakke handhaving van het need to know-principe? Of hebben we veeleer te maken met een grote supermarkt waarin de analist zijn boodschappenkar kan vullen met allerlei lekkernijen die hij tegenkomt en waarvan hij denkt dat hij daar misschien iets aan heeft? Als de Amerikaanse inlichtingen- en opsporingsdiensten dit doen, dan betichten we hen al gauw van datagraaien.

Big data en de cloud lijken voor elkaar te zijn gemaakt. Big data vraagt om big storage en dat is nu juist de kracht van de cloud, met al haar elasticiteit en schier onbegrensde capaciteit. De publieke cloud, dat is echter niets anders dan de computer van een onbekende. Big data kan uit diverse bronnen afkomstig zijn, is dus (voor een deel) de – wellicht minder betrouwbare – data van iemand anders. Deze beide constateringen hebben een negatieve gevoelswaarde, die je pseudo-wiskundig als volgt zou kunnen uitdrukken: min + min = 2 * min. Waarmee ik maar wil zeggen: de beide negatieve effecten – of op z’n minst: de gevoelens daarbij – versterken elkaar.
Het is dus zaak om onduidelijkheden te identificeren en daar vervolgens iets mee te doen. Ja, dat riekt inderdaad naar een risicoanalyse. Want risico’s moet je niet lopen, maar nemen. Het zou toch erg jammer zijn als de onneembare vesting van weleer zou verworden tot een onbeveiligbaar luchtkasteel.

En in de grote boze buitenwereld …

... is het natuurlijk goed om na te denken over wat een smart device voor kinderen wel en niet mag kunnen. Ik vraag me alleen af of al die kenmerken die in dit artikel worden genoemd op de doos van zo'n product staan.
http://www.trendmicro.com/vinfo/us/security/news/internet-of-things/iot-buyers-quiz-for-smart-parents

... heeft Operatie Avalanche een einde aan een groot botnet gemaakt.
https://www.europol.europa.eu/newsroom/news/‘avalanche’-network-dismantled-in-international-cyber-operation

... is de overheid laks met het beveiligen van haar websites.
http://www.volkskrant.nl/tech/helft-overheidssites-zonder-veilige-verbinding-overheid-zou-goede-voorbeeld-moeten-geven~a4425983

... brengt Firefox momenteel de privacy van Tor-gebruikers in gevaar.
https://www.grahamcluley.com/tor-users-risk-anonymity-stripped-via-attacks-exploiting-firefox-zero-day/

... staan onze cybersoldaten klaar voor het digitale gevecht.
http://www.ad.nl/nieuws/nederlandse-cybersoldaten-klaar-voor-de-strijd~a2aabcee

... is het OV-bedrijf van San Francisco goed omgegaan met een ransomware-besmetting. De financiële schade bleef beperkt tot twee dagen gratis vervoer voor iedereen.
https://www.grahamcluley.com/love-san-franciscos-metro-system-responded-ransomware-attacker/

... werd de OV-hacker van San Francisco zelf ook weer gehackt.
https://krebsonsecurity.com/2016/11/san-francisco-rail-system-hacker-hacked/

... bevorderen Schiphol en de Rotterdamse haven hun digitale weerbaarheid met twee nieuwe initiatieven.
http://nieuws.schiphol.nl/mainports-schiphol-en-rotterdamse-haven-bevorderen-digitale-weerbaarheid

... moet Trump een speerpunt maken van cybersecurity, zegt de dame die ook al Obama en Bush over dit onderwerp adviseerde.
https://www.bloomberg.com/view/articles/2016-11-30/what-trump-can-do-about-cybersecurity

... hoeft lang niet iedere organisatie een data protection officer te hebben, maar het kan wel handig zijn om er toch een te benoemen.
http://blog.iusmentis.com/2016/11/30/wanneer-data-protection-officer-nodig-als-bedrijf/

... wil de Duitse inlichtingendienst 150 miljoen investeren in het hacken van instant messengers. [Duits]
https://netzpolitik.org/2016/projekt-aniski-wie-der-bnd-mit-150-millionen-euro-messenger-wie-whatsapp-entschluesseln-will/

... kun je systemen voor gezichtsherkenning om de tuin leiden met brilmonturen waarop gelaatstrekken staan afgebeeld.
http://boingboing.net/2016/11/02/researchers-trick-facial-recog.html

... is het nooit slim om een vreemde USB-stick in je pc te prikken.
https://www.wired.com/2016/11/wickedly-clever-usb-stick-installs-backdoor-locked-pcs

Gepost door op Geen opmerkingen:
Labels: , , , , , ,
Abonneren op: Posts (Atom)