vrijdag 15 december 2017

Waar ben je?

Sinds anderhalf jaar publiceer ik de Security (b)log ook extern*. Dat doe ik bij Blogger en Blogger is van Google. En omdat Google een gegevensfabriek is, fabriceren ze gegevens over alles wat los en vast zit. Zo ook over mijn blog. En ze zijn niet te beroerd om die gegevens te delen met de veroorzaker ervan.

Dit kaartje wordt getoond op de pagina ‘Statistieken’ onder het kopje ‘Publiek’. De titel van het kaartje is ‘Pageviews per land’. De meeste lezers komen natuurlijk uit Nederland (dat kun je amper zien, maar geloof me nou maar). Frankrijk en Polen doen het ook goed en de VS, Oekraïne, België en Duitsland zijn ook ingekleurd. Soms hebben ook Rusland, India, Brazilië of andere landen een kleurtje op deze dynamische kaart.

Wow, zie ik je denken, een Nederlandstalige blog met zo’n internationaal bereik? Dat zou wel leuk zijn, maar het kan eigenlijk niet kloppen. Alleen al vanwege de taal. En daarnaast krijg ik hits uit landen waarin weinig en vermoedelijk zelfs geen mensen weten dat ik besta, laat staan dat ik schrijf.

Maar hoe komen die hits dan op de kaart? Waarschijnlijk doordat mensen VPN’s gebruiken: virtual private networks. Die doen twee dingen.  Om te beginnen beveiligen ze je internetverkeer door een privétunnel onder de digitale snelweg voor je aan te leggen, zodat jouw internetverkeer beveiligd is tegen inzage door derden. Daar hoort wel een fikse kanttekening bij: je internetprovider kan jouw verkeer nu ook niet meer inzien, maar je VPN-provider wel (het gebruik van encryptie – bijvoorbeeld middels certificaten – laat ik hier even buiten beschouwing). De keus wie van die twee je het meest vertrouwt is dus ook van belang. Verder geeft een VPN je de mogelijkheid om je virtueel te verplaatsen naar een ander land. Zo was ik op Prinsjesdag op een conferentie in Londen en in de pauze wilde ik even naar wat live tv-beelden kijken. Dat mocht niet van de NOS. Toen instrueerde ik mijn VPN-app om me naar Nederland te verplaatsen en voilà, ik kon live naar de balkonscène kijken. Ach ja, het was dat of de beursvloer op.

Maken dan veel mensen gebruik van een VPN? Een deel van mijn lezers bestaat uit vakgenoten. Die groep is van nature eerder geneigd om dergelijke tools te gebruiken. De vraag is dan alleen waarom ze zouden kiezen voor landen als Polen of Oekraïne als virtuele vestigingsplaats. Dat ligt niet voor de hand.

Misschien kiezen ze dat land helemaal niet zelf, bijvoorbeeld doordat ze gebruik maken van het Tor-netwerk. Als je met de Tor-browser het internet op gaat, dan ga je niet rechtstreeks vanuit jouw computer naar de website die je intikt. Je maakt een aantal tussenstappen via servers in andere landen. Op die manier wis je je sporen uit: aan de kant van de server is niet te achterhalen waar jij werkelijk zit. Tor kiest zelf een route – iedere keer een andere. Dat heeft niet als primair doel dat je content kunt ontsluiten waar je vanuit je feitelijke locatie niet bij mag, zoals Prinsjesdagbeelden. Nee, het gaan om het waarborgen van je anonimiteit. Een belangrijke doelgroep hiervoor zijn mensenrechtenactivisten in landen waar mensen onderdrukt worden. Veel mensen denken dat Tor één en al criminaliteit is. Het klopt dat criminelen dankbaar gebruikmaken van het dark web, maar dat moet je vergelijken met het oneigenlijke gebruik van dynamiet. Alfred Nobel had niet de bedoeling dat zijn uitvinding zou worden gebruikt om mensen op te blazen. Ook met een hamer kun je iemand doodslaan.

Je ziet het niet op het kaartje, maar het staat wel in de bijbehorende tabel: er zijn ook lezers op Curaçao. Het leuke daaraan is dat ik weet dat deze pageviews echt zijn en ik weet zelfs welke twee mensen dat zijn, want ik heb ze zelf op het bestaan van deze blog gewezen. Wees gegroet! Aan eventuele lezers die buiten het Nederlandse taalgebied wonen zou ik willen vragen: laat me even weten dat je écht een stip op mijn kaart bent.

*) securityblogpatrick.blogspot.nl

Dit is de laatste Security (b)log van dit jaar.

En in de grote boze buitenwereld …


... kunnen VPN-apps helaas ook fouten bevatten.
·         https://www.darkreading.com/mobile/man-in-the-middle-flaw-in-major-banking-vpn-apps-exposes-millions/d/d-id/1330586
·         https://www.security.nl/posting/543229/Fortinet+vpn-software+gebruikte+hardcoded+decryptiesleutel

... is de Tor-browser best wel populair.
https://www.security.nl/posting/543086/Tor+Browser+downloadt+dagelijks+2%2C1+terabyte+aan+updates

... is beveiligingsbedrijf Fox-IT gehackt.
·         https://www.security.nl/posting/543114/Securitybedrijf+Fox-IT+doelwit+van+man-in-the-middle-aanval
·         https://blog.fox-it.com/2017/12/14/lessons-learned-from-a-man-in-the-middle-attack/

... wist een hacker in te breken op het netwerk van een Australische luchthaven.
https://hotforsecurity.bitdefender.com/blog/australian-airport-hack-was-a-near-miss-says-governments-cybersecurity-expert-19326.html

... legt dit artikel uit hoe en door wie je online wordt gevolgd. En hoe je dat kunt inperken.
https://lifehacker.com/how-to-reclaim-your-digital-privacy-from-online-trackin-1820878546

... kun je een NAS beter niet via het internet benaderbaar maken.
https://www.kaspersky.com/blog/nas-security/20446/

... heeft een Russische hacker voor de rechter bekend dat hij de Amerikaanse Democratische Partij heeft gehackt. In opdracht van zijn geheime dienst.
https://www.volkskrant.nl/buitenland/russische-hacker-onthult-namens-geheime-dienst-clinton-te-hebben-gehackt-is-dit-de-smoking-gun~a4545064

... moet je je fidget spinner maar niet aan je telefoon koppelen. Want misschien belt hij anders naar huis.
https://www.hackread.com/this-fidget-spinner-app-is-sending-user-data-to-chinese-server

... trappen nog teveel mensen in valse e-mails.
https://www.rtlnieuws.nl/technieuws/40000-nederlanders-trappen-in-valse-e-mail-waarmee-bankgegevens-worden-gestolen

… houdt de Fraudehelpdesk een mooi overzicht van actuele phishingmails bij.
https://www.fraudehelpdesk.nl/sub-vragen/phishingmails/

... geeft deze infographic aardige tips met betrekking tot phishing.
https://digitalguardian.com/blog/dont-get-hooked-how-recognize-and-avoid-phishing-attacks-infographic 

... werkt phishing ook via Skype.
https://www.nixu.com/blog/how-own-company-skype-phishing-101

... blijven USB-sticks lastig voor organisaties.
https://www.helpnetsecurity.com/2017/12/12/enterprise-usb-security/

... bezorgt de snelle waardestijging van de bitcoin ransomewaremakers hoofdbrekens.
http://www.zdnet.com/article/ransomwares-bitcoin-problem-how-price-surge-means-a-headache-for-crooks/

... wil je niet gedoxt worden.
https://www.wired.com/story/what-do-to-if-you-are-being-doxed/

... heeft de sleepwet een prijs gewonnen.
https://nos.nl/artikel/2207112-prijs-grootste-privacyschending-naar-kabinet-wegens-aftapwet.html

... staat er alwéér een keylogger op HP-laptops.
https://www.grahamcluley.com/hps-second-laptop-keylogger-less-year/

... bespioneren de Chinezen de Duitsers via LinkedIn.
http://www.bbc.com/news/world-europe-42304297

... mogen bepaalde ‘slimme koffers’ niet meer in het vliegtuigruim. (Terwijl laptops daar juist in sommige gevallen in moeten...)
https://lifehacker.com/three-us-airlines-will-start-banning-some-smart-luggage-1821167556

... heeft de Twitter-employee die Trumps account blokkeerde gewoon de procedure gevolgd.
https://techcrunch.com/2017/11/29/meet-the-man-who-deactivated-trumps-twitter-account/

... geven EV-certificaten toch een beetje schijnveiligheid.
https://www.security.nl/posting/542799/Onderzoeker+demonstreert+probleem+met+EV+SSL-certificaten

... zijn ook gewone certificaten niet altijd veilig tegen een negentien jaar oude aanval.
https://www.security.nl/posting/542805/Variant+op+19+jaar+oude+aanval+maakt+ontsleutelen+TLS-verkeer+mogelijk

... adviseert de FBI over IoT-spullen.
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/fbi-tech-tuesday---building-a-digital-defense-against-the-internet-of-things-iot
Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 8 december 2017

Afrekening

Sinterklaas was dit jaar weer gul, meldde de radio. “De goedheiligman heeft dit jaar zeshonderd miljoen euro meer besteed dan vorig jaar. Dat is zeven procent extra”, aldus de nieuwslezer. Zo, dat is veel, mompelde ik voor mij uit, maar omdat ik aan het autorijden was luisterde ik met hooguit een half oor.

Het bericht bleef echter hangen. Toch maar eens even wat aan rekenen. Zeshonderd miljoen gedeeld door de Nederlandse bevolking, dat is vijfendertig euro per persoon – van zuigeling tot grijsaard. En die zeven procent, dat zou betekenen dat de totale uitgaven per persoon gemiddeld vijfhonderd euro bedragen. Omdat de allerkleinsten zelden cadeaus kopen, heb ik hetzelfde rekensommetje gemaakt voor mensen vanaf tien jaar. Dan bedraagt de stijging een kleine veertig euro en het totale bedrag is dan vijfhonderdzestig euro per persoon.

Dat lijkt inderdaad veel hè? Eind november schreef het FD dat het doorsnee huishouden dat dit jaar Sinterklaas viert voor gemiddeld zevenenzeventig euro aan cadeaus koopt. Dat gaat dus over een heel huishouden, dat volgens deze krant een kleine veertien procent uitgeeft van wat het radiobericht ons per persoon wil laten uitgeven.

Integriteit van gegevens is één van de aspecten van informatiebeveiliging. Het betekent dat de gegevens juist en volledig moeten zijn. Vooral als het om geld gaat is dat erg belangrijk: het maakt nogal uit of de bank een tientje overmaakt of een miljoen, doordat iemands vinger op de nul bleef hangen. Nou valt zo’n verschil snel genoeg op: jij bent niet gewend aan dergelijke bedragen op je rekening en ik vermoed dat bij de bank ook ergens een belletje gaat rinkelen, nog voordat de boeking daadwerkelijk heeft plaatsgevonden.

Bij nieuwsvoorziening is dat anders. Kijk, als ze melden dat de bevolking dit jaar met een miljoen is gegroeid, dan ga je al snel vermoeden dat daar een nulletje teveel in staat. Je krijgt echter ook veel getallen voorgeschoteld waarbij je lang niet altijd een eigen referentiekader hebt, waardoor je moeilijk kunt beoordelen of het wel klopt. Maken we nu de sprong van een nieuwsbericht naar een database met daarin miljoenen getallen en andere gegevens, dan moge duidelijk zijn dat een mens niet in staat is om de integriteit van de database te bewaken.

Gelukkig zijn er wat mogelijkheden om dat technisch op te vangen. In programmatuur kun je waarschijnlijkheids-controles opnemen, die fouten eruit halen die veroorzaakt worden door op je toetsenbord te leunen. Het databasesysteem zelf beschikt over mechanismen die ‘omgevallen bitjes’ onderscheppen en deze fouten – tot op zekere hoogte – zelfs automatisch kunnen corrigeren. Dat is gewoon een kwestie van wiskunde.

Waar we ons veel moeilijker tegen kunnen beveiligen zijn opzettelijke fouten. Dan is niet alleen de technische integriteit in het geding, maar ook de persoonlijke. Maar er zijn wel wat mogelijkheden. Je kunt dat bijvoorbeeld voorkomen door voor belangrijke transacties het vierogenprincipe te hanteren, zodat nooit één persoon alleen zijn gang kan gaan. Je kunt sancties in het vooruitzicht stellen – strafontslag bijvoorbeeld, plus juridische stappen. Maar tegen medewerkers die kleine manipulaties plegen doe je denk ik niet zoveel. Ja, je hebt ze bij indiensttreding gescreend. Dat is een groot woord voor een VOG die bovendien tien jaar geleden werd afgegeven. Mensen veranderen, worden beïnvloed, misschien wel buiten hun wil om. Als je het motto ‘vertrouwen is goed, controle is beter’ serieus wilt toepassen, dan schiet zo’n eenmalige verklaring omtrent het gedrag te kort. Betrokken collega’s en managers zijn de eerste en misschien wel de belangrijkste verdediging tegen medewerkers die de fout in (dreigen) te gaan.

Deze blog heb je te danken aan mijn zoon, een havist met een kritisch gehoor. Hij was erbij toen dat bericht over de portemonnee van de Sint in het radionieuws zat en ook toen het de dag erna nog een keer te horen was. Beide keren riep hij spontaan dat die cijfers niet konden kloppen. En dat ik daar maar eens over moest bloggen. Ik beticht hem wel eens van pitbullgedrag, maar zijn vasthoudendheid heeft ook positieve kanten. Goed gedaan jongen.

En in de grote boze buitenwereld …


... werd ik op mijn wenken bediend met een voorbeeld van persoonlijke en technische integriteit.
https://www.omroepgelderland.nl/nieuws/2151331/Politiemedewerker-op-non-actief

... gaat de NAVO offensieve cyberwapens inzetten. Maar de lidstaten houden hun arsenaal wel geheim voor andere leden.
http://foreignpolicy.com/2017/12/07/natos-little-noticed-but-important-new-aggressive-stance-on-cyber-weapons/amp

... worden bitcoin-wallets een steeds aantrekkelijkere prooi voor hackers.
https://tweakers.net/nieuws/132631/miningplatform-nicehash-is-gehackt-en-bitcoinwallet-is-geleegd.html

... heb je verschillende opties om je bitcoins te beschermen.
https://lifehacker.com/how-to-store-your-bitcoin-as-securely-as-possible-1821051421

... blikt Ronald Prins terug op zijn leven bij Fox-IT.
https://cfo.nl/artikel/van-roepende-in-de-woestijn-naar-overbodig-zijn

... heeft McAfee een ransomware decryption framework ontwikkeld en stelt dat belangeloos ter beschikking aan de wereld.
https://securingtomorrow.mcafee.com/business/ransomware-decryption-framework-now-available/

... is een schermtoetsenbord soms veiliger dan een fysiek exemplaar.
http://lifehacking.nl/persoonlijk-tips/gebruik-schermtoetsenbord-op-openbare-computers/

... moet je op andere plaatsen toch ook weer uitkijken met softwarematige toetsenborden.
https://hotforsecurity.bitdefender.com/blog/oops-this-android-keyboard-app-accidentally-leaked-31-million-users-personal-details-19309.html

... is er een nieuwe, schattige password manager met een geinige naam op de markt.
https://lifehacker.com/remembear-is-a-good-password-manager-for-beginners-1820888270

... ligt het Privacy Shield onder vuur.
https://www.reuters.com/article/us-eu-dataprotection-usa/eu-regulators-threaten-court-challenge-to-eu-u-s-data-transfer-pact-idUSKBN1E01DP

... bereidt Duitsland een wet voor die achterdeurtjes in apparaten (waaronder auto’s, telefoons en computers) verplicht stelt.
https://www.bleepingcomputer.com/news/government/germany-preparing-law-for-backdoors-in-any-type-of-modern-device/

... helpt dit artikel je bij de uitoefening van je recht om vergeten te worden.
https://www.mijnonlineidentiteit.nl/zoekresultaten-verwijderen-uit-zoekmachines/

... gebeurt driekwart van de interne bedreigingen per ongeluk.
https://www.helpnetsecurity.com/2017/11/30/insider-breaches

... mag een school niet eisen dat je beelden van jezelf online zet.
https://blog.iusmentis.com/2017/11/30/mag-school-me-verplichten-video-online-zetten/

... is jouw drone misschien wel een Chinese spion.
https://www.inc.com/joseph-steinberg/popular-drone-maker-dji-may-be-sending-customer-videos-to-chinese-government.html

... moet slim speelgoed in Frankrijk beveiligd worden.
https://www.security.nl/posting/542090/Frankrijk+wil+dat+fabrikant+smart+speelgoedpop+gaat+beveiligen

... is de jacht op de illegale downloader geopend.
https://www.security.nl/posting/542267/Dutch+Filmworks+mag+ip-adressen+illegale+downloaders+verwerken


Gepost door op Geen opmerkingen:
Labels: , , , ,

donderdag 30 november 2017

Normen

Vroeger – laten we zeggen een jaar of tien geleden – wisten we wel op gevoel wat goed en fout was. Welke maatregelen je moest treffen om van fout naar goed te gaan kon je ook wel bedenken, of je liet dat over aan de techneuten. O ja, dit gaat over goed en fout in de ICT.

Toen betraden we het tijdperk van de normatiek. Normensets bestaan natuurlijk al veel langer, maar we deden er niet per se iets mee. Maar op enig moment riep er iemand: “We moeten ISO27001 doen!” Nou is dat hele ISO-verhaal niet een kwestie van alleen maar een lijstje met maatregelen waar je aan moet voldoen. Was het dat maar. Nee, de ISO27001 vertelt je hoe je een Information Security Management System (ISMS) moet optuigen. Ha, nee, fout! Er staat alleen in waar je ISMS aan moet voldoen. Het eindpunt is dus beschreven, de weg erheen niet (daar is weer een andere standaard voor, de 27003). Om toch te voldoen aan de honger naar lijstjes bevat de 27001 een bijlage, genaamd A. Of voluit: Bijlage A (normatief) Referentiebeheersdoelstellingen en -maatregelen. Dan denk je dat daar de maatregelen in staan die je moet treffen om aan de normen te voldoen. Fout! Er zit namelijk een heel rare vertaalkronkel in de Nederlandse versie van de ISO27001. Wat daar een beheersmaatregel heet, dat noemen we in normaal Nederlands een norm. Voor de échte maatregelen – wat moet ik doen om aan de norm te voldoen? – moet je in de ISO27002 zijn. En wat jij en ik in het dagelijks leven een maatregel noemen, dat heet daar een implementatierichtlijn. Terwijl ‘richtlijn’ volgens mijn taalgevoel meer op ‘norm’ lijkt dan op ‘maatregel’. Als je mij over normen hoort praten, dan bedoel ik die dingen die in de ISO-wereld beheersmaatregelen worden genoemd: de regels waaraan je moet voldoen. En als ik maatregelen tref, dan volg ik misschien een ISO-implementatierichtlijn, maar misschien ook niet, want je bent niet verplicht om het zó te doen. De ISO27002 is een best practices­-document.

Je moet dus eerst maar eens zien te begrijpen hoe die verschillende documenten georganiseerd zijn en hoe ze in elkaar grijpen. De ISO27k-serie bevat trouwens nog veel meer documenten – een kleine veertig in totaal. Vervolgens moet je de taal nog doorgronden. Soms pak ik de Engelse versie erbij omdat ik niet goed snap wat men eigenlijk wil. Zo heten die beheersmaatregelen en implementatierichtlijnen in het Engels respectievelijk controls en implementation guidances en dan snap ik ‘m weer. Maar ook inhoudelijk, in een willekeurig stukje tekst, brengt de Engelse versie vaak uitkomst.

De hoofdtekst van de ISO27001 gaat over inrichting – over de organisatie, leiderschap planning, verbetering; over dat soort onderwerpen. Vaak gebezigde uitdrukkingen zijn “de directie moet …”, de “organisatie moet …” en “medewerkers moeten …”. Als je deze moetjes allemaal op orde hebt, dan heb je kennelijk een werkend ISMS. Dan heb je ook een werkende Deming-circle, al zul je de ISO-mensen niet horen over plan-do-check-act (althans, niet in de huidige versie; in de 2005-versie stond het bekende PDCA-plaatje nog gewoon in hoofdstuk 0). Dat kun je allemaal op organisatieniveau inrichten.

Bijlage A – dan wel de ISO27002 – is een heel ander verhaal. Het begin valt nog wel mee, dat gaat over normen die voor de organisatie als geheel gelden. Daar staat bijvoorbeeld dat je beveiligingsbeleid moet hebben, dat je informatiebeveiliging moet organiseren en dat het personeel moet begrijpen waar het mee bezig is. Maar vanaf pagina 28 red je het niet meer op het niveau van de organisatie, dan zul je echt bij teams langs moeten. Het gaat dan bijvoorbeeld over eigenaarschap van bedrijfsmiddelen, over fysieke media, over autorisatiebeheer en zelfs over heel persoonlijke zaken als eisen aan de kwaliteit en geheimhouding van wachtwoorden. Ik ga niet alle onderwerpen opnoemen, maar zoveel is duidelijk: je moet de boer op met bijlage A.

De vraag is dan: wanneer ben je klaar? Is het voldoende als iedere norm érgens geïmplementeerd is, zodat op iedere rij in je spreadsheet minimaal één vinkje staat? Dat klinkt verleidelijk, maar helaas. Je moet natuurlijk op álle plaatsen waar een norm relevant is eraan voldoen. Anders is het bij wijze van spreken voldoende als één medewerker een sterk wachtwoord heeft en mag de rest gewoon ‘welkom01’ blijven gebruiken. De implementatie van bijlage A is dus nogal een klus, waar je de hele organisatie bij nodig hebt. Al die partijen willen daar wel iets voor terugzien. Gelukkig krijgen ze dat ook. Ook voordat iemand bij ze langskwam met een ISO-lijstje waren ze al verantwoordelijk voor de beveiliging van hun toko. Door dat aan de hand van formele normatiek te doen, wordt het beter zichtbaar en aantoonbaar gemaakt. “Ben jij in control voor wat betreft beveiliging?” “Ja, kijk maar.”

We weten nog steeds op gevoel wat goed en fout is. Het verschil met vroeger is dat het gevoel nu kan worden onderbouwd met teksten waar slimme mensen lang aan hebben gesleuteld. Nu nog graag een betere vertaling.

En in de grote boze buitenwereld …


... bevat Mac OS X een ernstige, best wel domme kwetsbaarheid: je kunt inloggen zonder wachtwoord.
https://veiliginternetten.nl/nieuws/mac-os-x-high-sierra-heeft-een-beheeraccount-zonde/

... gaat Apple naar aanleiding van dit akkefietje het ontwikkelproces onder de loep nemen.
https://www.security.nl/posting/541360/Apple+gaat+ontwikkelproces+auditen+na+lek+in+macOS

... heeft het oplossen van een vertrouwelijkheidsincident een beschikbaarheidsincident veroorzaakt.
https://www.security.nl/posting/541397/Update+macOS+High+Sierra+zorgt+voor+problemen+bij+bestandsdeling

... heeft Trend Micro onderzocht in welke mate tien Europese hoofdsteden hun cyber assets blootgeven. Amsterdam krijgt een slecht rapport.
https://documents.trendmicro.com/assets/wp/wp-western-europe-cities-exposed.pdf

... is er alweer een nieuwe masker-aanval op Apple’s Face ID.
https://www.youtube.com/watch?v=rhiSBc061JU

... kunnen we maar beter niet alles ‘geavanceerd’ noemen maar het simpel houden.
https://www.helpnetsecurity.com/2017/11/27/sophisticated-threat/

... moeten ook kleine bedrijven investeren in cybersecurity.
https://www.lorankloeze.nl/2017/11/22/cybersecurity-en-de-euros-van-de-kleine-mkber/

... verwacht je toch dat de NSA en het Amerikaanse leger hun gegevens beter beveiligen.
https://tweakers.net/nieuws/132349/onderzoeker-vindt-publiek-toegankelijke-server-met-geheime-nsa-bestanden.html

... leg je je autosleutels thuis het beste in een metalen kistje.
https://west-midlands.police.uk/news/4544/watch-police-release-footage-relay-crime

... horen mensen niet graag hoe slecht ze het doen. Honing smeren werkt beter.
https://www.security.nl/posting/540788/%22Vertel+mensen+niet+dat+ze+een+slecht+wachtwoord+hebben%22

... wil CDA-leider Buma een internetpolitie, ook al noemt hij het zelf niet zo.
https://www.parool.nl/binnenland/buma-wil-meer-transparantie-op-internet-tijd-voor-surveillance~a4541481/

... kun je in deze tijd van het jaar maar beter dubbel oppassen bij het internetshoppen.
https://www.security.nl/posting/541344/Honderden+Nederlanders+opgelicht+via+malafide+webshops

... maakt een crimineel ook wel eens een fout.
https://www.security.nl/posting/541382/Criminelen+onthullen+per+ongeluk+doelwitten+door+e-mailblunder

... kan jouw werkgever je niet aansprakelijk stellen voor datalekken.
https://www.security.nl/posting/541141/Juridische+vraag%3A+Mag+mijn+werkgever+mij+persoonlijk+aansprakelijk+stellen+voor+datalekken+en+niet-naleving+van+de+AVG%3F




Gepost door op Geen opmerkingen:
Labels: , , , , , , ,

donderdag 23 november 2017

Vijf apen en een banaan

Wellicht ken je het experiment met de vijf apen en een banaan. Blijf dan toch maar even lezen, ik heb straks een verrassing voor je.

Het experiment gaat als volgt. Vijf apen zitten in een kooi waarin een banaan is opgehangen. Onder de banaan staat een ladder. Omdat apen nu eenmaal van bananen houden, gaat er al gauw eentje op weg naar boven. Op dat moment worden echter alle apen natgespoten. Als ze van de schrik bekomen zijn, probeert een andere waaghals het. Gevolg: weer een nat pak. Als nummer drie aanstalten maakt om naar de banaan te klimmen, wordt hij daarvan hardhandig weerhouden door de anderen.

In de volgende stap wordt een van de apen vervangen door een verse, die nergens van afweet. Hij ziet de banaan, denkt: “Ha, lekker!” en voor hij het weet wordt hij door zijn collega’s in elkaar gerost. Dit herhaalt zich als andere apen uit de eerste lichting worden vervangen – en de nieuwkomers timmeren er vrolijk mee op los. Op een gegeven moment zijn er geen apen meer die weten waarom ze die ladder niet op mogen, maar niemand haalt het nog in z’n hoofd om de banaan te begeren. Moraal van het verhaal: ook al weet je niet altijd waarom iets niet mag of waarom het op een bepaalde manier moet, soms conformeer je je aan het gedrag van anderen. Waarom? “Dat doen wij hier niet, jongeman!”

De vraag is nu: kunnen we dit mechanisme gebruiken om mensen veilig gedrag te laten na-apen? Niet dat ik met de brandslang door de gangen wil gaan lopen hoor. Ik zou dit op een gebruikersvriendelijke manier willen implementeren. Is de moderne mens nog wel geschikt voor een dat-hoort-nu-eenmaal-zo-aanpak? We zijn veel mondiger geworden, de vraag “Waar staat dat?” ligt menigeen op te lippen bestorven. En als het kan, dan mag het toch ook? Dat wordt nog wel eens gedacht, maar in omgevingen waarin medewerkers over veel verschillende puzzelstukjes moeten kunnen beschikken om hun werk te kunnen doen is het niet altijd mogelijk om autorisaties zo strak af te stellen dat ze niet méér kunnen dan ze mogen.

In de meeste gevallen verkies ik uitleg boven autoriteit. Als ik kan uitleggen waarom iets zó moet of juist niet mag, dan geef ik de ander de kans om het te begrijpen, om te voelen dat hij het zelf ook zo zou hebben bedacht. Een aap wint er niets bij als je hem zou kunnen uitleggen waarom het verstandig is om die banaan te negeren, maar bij mensen ligt dat toch anders. Op zo’n moment doen die paar procent verschil tussen het DNA van mens en aap er toe.

Autoriteit – maar liever: gezag ­– moet je in bepaalde situaties wél doen gelden. Bijvoorbeeld bij acute problemen waarbij het adagium “eerst schieten, dan vragen stellen” van toepassing is. Of bij een dreigende, ernstige overtreding van regels die grote schade zou kunnen veroorzaken. Maar ook bijvoorbeeld bij regels die gebaseerd zijn op wetgeving. Want ik ben dan wel geen jurist, maar ik denk niet dat wetgeving het principe ‘pas-toe-of-leg-uit’ een goed idee vindt.

Kortom: de informatiebeveiliger zal doorgaans niet met een brandslang werken en evenmin als een drilmeester bevelen blaffen. Met goed overleg tussen gelijkwaardige partijen kom je in Nederland in de meeste gevallen het verst. Ja, hier kleeft inderdaad ook een cultuuraspect aan. Polderen werkt niet in alle culturen en bij kinderen en bij het gros van de cyberbejaarden kun je maar beter gewoon zeggen hoe ze hun digitale leven te beveiligen hebben, zonder al teveel uit te weiden over malware, spoofing, ip-adressen, phishing en vulnerabilities.

Dan nu de verrassing die ik had beloofd. Dat experiment met die apen? Dat is er nooit geweest. Het is weliswaar in 1996 beschreven door Hamel en Prahalad, maar zonder bronvermelding. En dan bestaat het niet. Het apen-experiment is dus een broodje aap. Of een soort van selffulfilling prophecy: het verhaal dat beschrijft hoe apen gedrag vertonen waarvoor ze zelf de reden niet kennen, wordt al jaren doorverteld door mensen die enthousiast over dit experiment vertellen zonder het zelf gezien te hebben – ikzelf incluis.

En in de grote boze buitenwereld …


... hebben ‘Microsoft-bellers’ weer een nieuw trucje verzonnen.
https://blogs.technet.microsoft.com/mmpc/2017/11/20/new-tech-support-scam-launches-communication-or-phone-call-app/

... mag het dan misschien verleidelijk zijn om een hack in de doofpot te stoppen, verstandig is het allerminst.
https://dewinter.com/2017/11/22/uber-belemmert-innovatie-met-geheimzinnigheid-datalek/

... blijkt uit onderzoek dat Nederlanders zich weinig zorgen maken over cybersecurity.
http://www.consultancy.nl/nieuws/14895/nederlanders-maken-zich-opvallend-weinig-zorgen-over-cybersecurity

... laat een ander onderzoek zien dat vooral jongeren onbekommerd gebruik maken van onveilige wifi-netwerken.
https://www.cbs.nl/nl-nl/nieuws/2017/24/jongeren-onvoorzichtiger-op-onbeveiligde-wifi-netwerken

... trekt Mozilla de betrouwbaarheid van PKIoverheid niet langer in twijfel.
https://tweakers.net/nieuws/132027/mozilla-trekt-vertrouwen-in-certificaatautoriteit-staat-der-nederlanden-niet-in.html

... mag een werkgever niet zomaar in de mail van zijn werknemers kijken. En als de e-mail extern gehost wordt, dan mag het hostingbedrijf die mail ook niet zomaar vrijgeven.
https://blog.iusmentis.com/2017/11/22/wanneer-mogen-mailbox-werknemer-klant-openen/

... heeft de Duitse overheid smartwatches voor kinderen verboden omdat kinderen ermee kunnen worden bespioneerd.
https://www.helpnetsecurity.com/2017/11/20/germany-kids-smartwatches-ban/

... toont dit animatiefilmpje voor- en nadelen van big data.
https://www.youtube.com/watch?v=qsqcyaJbzUI&t=10s

... is het bijna gedaan met de SOC-analist op instapniveau.
https://www.darkreading.com/analytics/death-of-the-tier-1-soc-analyst/d/d-id/1330446

... beschermt deze nieuwe, gratis DNS-service je tegen kwaadaardige websites.
https://www.cyberscoop.com/quad9-dns-service-global-cyber-alliance/

... slaan veel websites jouw toetsaanslagen en muisbewegingen op om ze te kunnen analyseren.
https://www.security.nl/posting/539830/Honderden+populaire+websites+sturen+toetsaanslagen+door

... is ‘uit’ niet altijd ‘echt uit’.
https://qz.com/1131515/google-collects-android-users-locations-even-when-location-services-are-disabled/

... hadden sommige HP-printers een ernstig beveiligingslek. Dat is nu gedicht, aldus dit artikel. Maar wanneer heb jij jouw printer voor het laatst gepatcht...?
https://www.security.nl/posting/540115/HP+dicht+ernstig+beveiligingslek+in+LaserJet-printers

... gaat Firefox je waarschuwen bij datalekken.
https://www.security.nl/posting/540233/Firefox+gaat+gebruikers+waarschuwen+voor+datalekken



Gepost door op 1 opmerking:
Labels: , , , , , ,
Abonneren op: Posts (Atom)