Feiten. Alternatieve feiten. Het niet met de feiten eens zijn, dat is het voorlopige dieptepunt dat we vanuit Amerika over ons heen kregen.
Hebben we in de informatiebeveiliging ook te maken met leugens? Jazeker. Nou ja, dat ligt natuurlijk genuanceerder. Je hebt hele leugens, halve leugens, leugens vanuit de overtuiging dat je de waarheid spreekt, leugens uit gemakzucht en dan is er ook nog zoiets als de onvolledige waarheid. Misschien mis ik nog wat gradaties, ik ben geen expert op dat gebied (echt waar).
Leveranciers hebben de neiging om hun producten zo rooskleurig mogelijk voor de dag te laten komen. Als je over de Infosecuritybeurs loopt, dan zie je daar uitsluitend geweldige producten aangeprezen worden. Maar net als voor ‘gewone’ ICT-producten geldt ook voor beveiligingsproducten dat ze complex en dus vaak moeilijk vooraf tot in alle finesses te doorgronden zijn. Die complexiteit, waar behalve de klant ook de verkoper mee te kampen heeft, maakt misschien dat die laatste soms een vraag met ja beantwoordt zonder zeker te weten of dat wel klopt. Daarnaast hebben we ook te maken met vapourware: een product of functionaliteit dat/die weliswaar in de glimmende folder staat, maar in het echt nog helemaal niet bestaat – en misschien alleen maar wordt gebouwd als blijkt dat er vraag naar is. Marktonderzoek per brochure.
De producten bevatten natuurlijk fouten, vooral als het software betreft. Dat staat niet in het mooie marketing-materiaal, maar in de kleine lettertjes staat ongetwijfeld een “daar-kunnen-wij-ook-niets-aan-doen”-clausule. De folders zelf bevatten dus niet de volledige waarheid. Extra zuur is het als er beveiligingsgerelateerde fouten in beveiligingsproducten zitten. Het is al vaker voorgekomen dat virusscanners een onderdeel van zichzelf als vijandig zien en daardoor de hele computer laten vastlopen. Volgens een actueel bericht hebben onderzoekers tweehonderd kwetsbaarheden gevonden in de producten van één beveiligingsleverancier*. Au.
De klanten van deze leveranciers liegen vooral zichzelf voor. “Dit product zal al onze problemen oplossen!” Waarop baseren ze zo’n hoopvolle uitspraak? Ze willen graag geloven wat de brochures en de verkopers zeggen, ze hebben een demo gezien en de account manager op bezoek gehad. Als het product geïnstalleerd en de rekening betaald is, dan komt die klant er soms achter dat het product toch niet zo naadloos op zijn infrastructuur aansluit, dat sommige functies misschien wat vreemd in elkaar zitten en nét niet aansluiten op de in zijn organisatie gehanteerde processen en terminologie.
Gebruikers zijn de grootste leugenaars. Dagelijks vinken zij aan dat ze de gebruiksvoorwaarden hebben gelezen en ermee instemmen. Het liegen gaat ze zo gemakkelijk af omdat ze niet tegen een mens liegen, maar tegen een scherm. Daar doe je niemand kwaad mee. Of misschien toch wel? Ja, namelijk jezelf. Je liegt dat je de voorwaarden hebt gelezen, maar je zet wél het vinkje dat je ermee akkoord gaat. Later kom je er misschien achter dat daar een bepaling in staat waar je het helemaal niet mee eens bent, bijvoorbeeld dat jouw gegevens in de cloud worden opgeslagen en vanaf dat moment eigendom zijn van de cloudleverancier. Je wordt verleid om te liegen omdat het doorgaans onmogelijke teksten zijn en het wordt je ook erg gemakkelijk gemaakt om te liegen. Een enkele leverancier wil nog wel een dappere doch halfbakken poging wagen om je aan het lezen te zetten door de OK-knop pas vrij te geven als je helemaal naar beneden hebt gescrold. Maar over het algemeen verdenk ik leveranciers ervan dat ze het expres onmogelijk en onwerkbaar maken om goed geïnformeerd in te stemmen met hun voorwaarden. Misschien moeten wij gebruikers er maar eens toe overgaan om onze eigen gebruiksvoorwaarden op te stellen, waar die leveranciers dan mee moeten instemmen als ze willen dat wij hun spullen gebruiken. Wee hun gebeente als we ze dan op leugens betrappen!
De verzuchting “We are out-Orwelling Orwell”, die je dezer dagen op social media tegenkomt als diskwalificatie van de termen uit de eerste alinea, is niet nieuw. Zij was bijvoorbeeld ook te horen toen het stadsbestuur van Philadelphia in 2006 aankondigde het niet-rokenbeleid streng te gaan handhaven. Wat wel nieuw is – denk ik – is dat Orwells boek 1984 door de uitvinding van de term ‘alternatieve feiten’ momenteel de bestsellerlijst van Amazon aanvoert.
*) http://www.forbes.com/sites/thomasbrewster/2017/01/25/trend-micro-security-exposed-200-flaws-hacked/#616bad2455d6
En in de grote boze buitenwereld …
... zijn de wachtwoorden van diverse hoge Amerikaanse regeringsfunctionarissen, waaronder de cyberadviseur van de president, gelekt. (Ik ben benieuwd naar de alternatieve feiten in deze kwestie.)
https://www.scmagazineuk.com/giuliani-and-top-trump-white-house-officials-hacked-passwords-leaked/article/632532/
... steekt de crypto-achterdeurtjesbeweging alweer de kop op in de Amerikaanse regering.
https://www.security.nl/posting/501031/EFF+bezorgd+over+encryptiestandpunt+Trump-minister
... hebben de meeste grote bedrijven wel een SOC, maar laat de volwassenheid ervan vaak te wensen over.
http://www.darkreading.com/cloud/soc-maturity-by-the-numbers/d/d-id/1327969
... roept de Australische regering politieke partijen op om zich te wapenen tegen buitenlandse cyberaanvallen. Gelukkig heeft Australië de beste beveiligingsexperts ter wereld, zegt de premier.
http://www.abc.net.au/news/2017-01-24/federal-government-to-brief-political-parties-on-cyber-security/8205934
... maakt déze leverancier van internet of things-spullen zich wél druk om beveiliging. [Link dient alleen ter illustratie, is niet bedoeld als reclame.]
https://www.feenstra.com/zorgelooswonen/publicaties/maak-uw-smart-home-hackproof
... experimenteert Estland met cyberdienstplicht.
http://hosted.ap.org/dynamic/stories/E/EU_ESTONIA_CYBERCONSCRIPTION?SITE=AP&SECTION=HOME&TEMPLATE=DEFAULT
... bewaarde Dropbox bestanden die gebruikers hadden weggegooid. Dat kwam door een bug (zeggen ze).
https://www.security.nl/posting/501132/Dropbox+bewaarde+door+gebruikers+verwijderde+bestanden
... zit het de overheid toch niet lekker dat beveiligingsbedrijf Fox-IT in Britse handen is gekomen.
https://www.security.nl/posting/501165/Overheid+wil+invloed+op+beveiligingsbedrijf+Fox-IT+uitoefenen
... kan CEO-fraude veel geld kosten.
https://www.security.nl/posting/501199/Amerikaanse+gemeente+verliest+566_000+dollar+door+ceo-fraude
... zijn ook HR-medewerkers niet veilig voor gerichte aanvallen.
https://www.security.nl/posting/501311/Cyberspionnen+bouwen+relatie+op+met+hr-medewerkers
... adviseerde een Amerikaanse provider zijn klanten om de naam van hun favoriete footballclub als wachtwoord voor hun wifi-netwerk in te stellen. Leuke reactie onder het artikel: dan wijzigen ze tenminste het default wachtwoord.
https://www.security.nl/posting/501221/Provider+adviseert+klanten+footballclub+als+wifi-wachtwoord
... kun je op een vergrendelde Windows 10-computer het klembord benaderen.
https://www.security.nl/posting/501302/Vergrendelscherm+Windows+10+geeft+toegang+tot+klembord
... worden IT'ers vaak ontslagen vanwege een security-incident.
http://webwereld.nl/carriere/96468-security-incident-vaak-reden-ontslag-it-er
... kun je je Twitter-account met een simpele instelling iets minder hackgevoelig maken.
http://www.govinfosecurity.com/blogs/hacker-issues-twitter-security-fail-warning-to-trump-p-2378
… staat hier een krachtig pleidooi om WhatsApp vaarwel te zeggen en voortaan Signal als messaging app te gebruiken.
https://decorrespondent.nl/5967/stap-jij-ook-vandaag-over-van-whatsapp-naar-signal-privacyweek/333549512010-0938f486
vrijdag 27 januari 2017
vrijdag 20 januari 2017
Faal
Daar zat ik dan, thuis achter mijn bureau, gereed om een middagje thuis te werken. Laptop opgestart, verbinding met internet, verbinding met het bedrijfsnetwerk via de VPN-tool – o nee, dat laatste mislukte. Ongeldig servercertificaat, luidde de melding. Hé, wat vreemd. Gisteren deed ‘ie het nog en bovendien zou er bij een algemeen probleem allang een mailtje van gebruikersondersteuning zijn geweest. En toen ik de helpdesk belde was ik meteen aan de beurt, waardoor het steeds minder waarschijnlijk werd dat veel collega’s mijn lot deelden.
De helpdesk legde me uit dat dat certificaat op mijn pc staat en dat daar iets mee aan de hand moest zijn. En dat ze me alleen verder konden helpen als de pc in het bedrijfsnetwerk hing… Oef, dat werd dus offline werken. Gelukkig staat de hele homedirectory ook lokaal op de harde schijf, waardoor ik bij mijn bestanden kon. Ik kon alleen niet alles doen wat ik me had voorgenomen omdat ik daarvoor ook het intranet nodig had. Ik moest mijn planning dus omgooien. Gelukkig moest ik sowieso nog wat mensen bellen, daar ging ook aardig wat tijd in zitten.
We zijn ‘best wel’ afhankelijk geworden van digitale certificaten. Ze garanderen veilige verbindingen tussen computers en geven ons daarnaast het vertrouwen dat we met de juiste computer verbonden zijn. Ze maken dus dingen mogelijk die anders niet zouden kunnen. Wie zou er nu willen internetbankieren zonder deze garanties? Het grote succes van online winkelen drijft ook op het vertrouwen in certificaten en zo zijn er nog meer voorbeelden.
Aan die afhankelijkheid zijn dus wel consequenties verbonden als het een keertje niet werkt. Zo kon ik thuis niet het netwerk op omdat de veilige VPN-tunnel niet kon worden opgebouwd. Met andere woorden: als een beveiligingscomponent stuk is, dan werkt het hele systeem niet. Dat is natuurlijk een prettig uitgangspunt. De pneumatische rem van vrachtauto’s en treinen werkt ook zo: luchtdruk zorgt ervoor dat de remmen losgaan en je kunt rijden. Valt de luchtdruk weg (doordat je remt of door een lek), dan slaan de remmen aan.
Onlangs zagen we ook zo’n storing met grote gevolgen. DigiD deed het niet en daardoor werkten allerlei overheidssites waar je met DigiD moet inloggen niet. Een soort single point of failure dus. Dat is vervelend, maar altijd nog te verkiezen boven een systeem waarbij alle deuren opengaan zodra de beveiliging uitvalt. Zoals ik jaren geleden eens tegenkwam in de specificaties van een product dat moest beoordelen welke bestanden mocht worden doorgelaten. Als het om een zip-bestand ging, dan werd dat uitgepakt om de inhoud te controleren. Zip-bestanden kun je nesten, maar daar wist dat product wel raad mee: het volgende niveau zou ook netjes uitgepakt worden en het volgende desnoods ook. Dat ging dan zo nog een tijdje door, maar er zat een limiet op: na een x aantal niveaus stopte het product met uitpakken. EN LIET DAT BESTAND DAN DOOR! Nu vraag ik je: is tig niveaus nesten niet een best wel sterke aanwijzing dat iemand heel misschien iets wil verbergen?
En zo was er ook eens iemand die steeds maar virusmeldingen kreeg als hij een bepaalde USB-stick probeerde in te lezen. Om dat te ‘verhelpen’ schakelde hij de virusscanner uit… Een mooi gevalletje symptoombestrijding waardoor je alleen maar dieper in de ellende wegzakt. Ik begrijp eerlijk gezegd de gedachtegang van zo iemand niet.
Mijn probleem was verholpen nadat ik een keer via de VPN-client op het bedrijfsnetwerk had ingelogd. Door de synchronisatie die dan plaatsvindt, was ook het certificaat op mijn werkplek weer in de orde. Als ik de volgende keer thuis wil werken kan ik dus weer gewoon de dingen doen die ik me had voorgenomen.
En in de grote boze buitenwereld …
... richt een effectieve phishingcampagne zich op Gmail-gebruikers.
https://tweakers.net/nieuws/120091/beveiligingsbedrijf-waarschuwt-voor-effectieve-gmail-phishingcampagne.html
... is Windows 10 tegenwoordig in staat om zero-day-aanvallen te blokkeren.
http://www.securityweek.com/windows-10-blocks-zero-days-patches-arrive-microsoft
... gunt Google ons een blik op hun beveiligingsinfrastructuur.
http://www.securityweek.com/google-shares-details-its-security-infrastructure
... moeten drieduizend nieuwe Amerikaanse mariniers het korps slagkracht op het digitale slagveld geven.
http://www.theregister.co.uk/2017/01/14/us_marines_seek_more_than_a_few_good_men_for_cyber_warfare
... bepalen sommige sites dat je je wachtwoord zelf in hun wachtwoordveld moet typen in plaats van het erin te plakken, en dat is niet verstandig.
https://www.ncsc.gov.uk/blog-post/let-them-paste-passwords
... roept de nieuwe gratis-wifi-vinder van Facebook privacyvragen op.
https://www.grahamcluley.com/facebooks-new-public-wi-fi-locator-raising-privacy-concerns/
... zou ransomware eigenlijk vrij gemakkelijk te stoppen moeten zijn.
http://www.darkreading.com/endpoint/ransomware-how-a-security-inconvenience-became-the-industrys-most-feared-vulnerability/a/d-id/1327873
... ontvingen mogelijke slachtoffers van een cybercrimineel een mailtje van de politie.
http://www.telegraaf.nl/digitaal/27440331/__Slachtoffers_cybercrime_krijgen_mail_politie__.html
... hebben criminelen daar vervolgens misbruik van gemaakt met een phish gebaseerd op dat verhaal.
http://webwereld.nl/security/96339-phishers-springen-direct-op-e-mail-politie
... is er onenigheid of een bepaalde WhatsApp-feature niet eigenlijk een kwetsbaarheid is.
https://www.theguardian.com/technology/2017/jan/13/whatsapp-encryption-backdoor-snooping-signal
... kun je in ieder geval een seintje van de app krijgen als WhatsApp jouw cryptosleutels wijzigt.
http://webwereld.nl/security/96288-zo-zie-je-wanneer-whatsapp-jouw-encryptiesleutel-wijzigt
... kunnen eigenaren met een iPhone of iPad die een bankrekening bij de ING hebben spraakgestuurd betaalopdrachten geven. Wat zou er zoal mis kunnen gaan...?
https://www.security.nl/posting/500172/ING+voegt+spraakassistent+Siri+toe+aan+mobiel+bankieren+app
... wil de minister van BZK verplichte beveiliging voor alle overheidswebsites.
http://www.nu.nl/internet/4399254/plasterk-wil-toch-beveiligde-verbinding-verplichten-alle-overheidssites.html
... kunnen slechte wachtwoorden zeer snel gekraakt worden (daarom zijn het ook slechte wachtwoorden hè).
http://webwereld.nl/security/96378-25-supersnel-gekraakte-wachtwoorden
De helpdesk legde me uit dat dat certificaat op mijn pc staat en dat daar iets mee aan de hand moest zijn. En dat ze me alleen verder konden helpen als de pc in het bedrijfsnetwerk hing… Oef, dat werd dus offline werken. Gelukkig staat de hele homedirectory ook lokaal op de harde schijf, waardoor ik bij mijn bestanden kon. Ik kon alleen niet alles doen wat ik me had voorgenomen omdat ik daarvoor ook het intranet nodig had. Ik moest mijn planning dus omgooien. Gelukkig moest ik sowieso nog wat mensen bellen, daar ging ook aardig wat tijd in zitten.
We zijn ‘best wel’ afhankelijk geworden van digitale certificaten. Ze garanderen veilige verbindingen tussen computers en geven ons daarnaast het vertrouwen dat we met de juiste computer verbonden zijn. Ze maken dus dingen mogelijk die anders niet zouden kunnen. Wie zou er nu willen internetbankieren zonder deze garanties? Het grote succes van online winkelen drijft ook op het vertrouwen in certificaten en zo zijn er nog meer voorbeelden.
Aan die afhankelijkheid zijn dus wel consequenties verbonden als het een keertje niet werkt. Zo kon ik thuis niet het netwerk op omdat de veilige VPN-tunnel niet kon worden opgebouwd. Met andere woorden: als een beveiligingscomponent stuk is, dan werkt het hele systeem niet. Dat is natuurlijk een prettig uitgangspunt. De pneumatische rem van vrachtauto’s en treinen werkt ook zo: luchtdruk zorgt ervoor dat de remmen losgaan en je kunt rijden. Valt de luchtdruk weg (doordat je remt of door een lek), dan slaan de remmen aan.
Onlangs zagen we ook zo’n storing met grote gevolgen. DigiD deed het niet en daardoor werkten allerlei overheidssites waar je met DigiD moet inloggen niet. Een soort single point of failure dus. Dat is vervelend, maar altijd nog te verkiezen boven een systeem waarbij alle deuren opengaan zodra de beveiliging uitvalt. Zoals ik jaren geleden eens tegenkwam in de specificaties van een product dat moest beoordelen welke bestanden mocht worden doorgelaten. Als het om een zip-bestand ging, dan werd dat uitgepakt om de inhoud te controleren. Zip-bestanden kun je nesten, maar daar wist dat product wel raad mee: het volgende niveau zou ook netjes uitgepakt worden en het volgende desnoods ook. Dat ging dan zo nog een tijdje door, maar er zat een limiet op: na een x aantal niveaus stopte het product met uitpakken. EN LIET DAT BESTAND DAN DOOR! Nu vraag ik je: is tig niveaus nesten niet een best wel sterke aanwijzing dat iemand heel misschien iets wil verbergen?
En zo was er ook eens iemand die steeds maar virusmeldingen kreeg als hij een bepaalde USB-stick probeerde in te lezen. Om dat te ‘verhelpen’ schakelde hij de virusscanner uit… Een mooi gevalletje symptoombestrijding waardoor je alleen maar dieper in de ellende wegzakt. Ik begrijp eerlijk gezegd de gedachtegang van zo iemand niet.
Mijn probleem was verholpen nadat ik een keer via de VPN-client op het bedrijfsnetwerk had ingelogd. Door de synchronisatie die dan plaatsvindt, was ook het certificaat op mijn werkplek weer in de orde. Als ik de volgende keer thuis wil werken kan ik dus weer gewoon de dingen doen die ik me had voorgenomen.
En in de grote boze buitenwereld …
... richt een effectieve phishingcampagne zich op Gmail-gebruikers.
https://tweakers.net/nieuws/120091/beveiligingsbedrijf-waarschuwt-voor-effectieve-gmail-phishingcampagne.html
... is Windows 10 tegenwoordig in staat om zero-day-aanvallen te blokkeren.
http://www.securityweek.com/windows-10-blocks-zero-days-patches-arrive-microsoft
... gunt Google ons een blik op hun beveiligingsinfrastructuur.
http://www.securityweek.com/google-shares-details-its-security-infrastructure
... moeten drieduizend nieuwe Amerikaanse mariniers het korps slagkracht op het digitale slagveld geven.
http://www.theregister.co.uk/2017/01/14/us_marines_seek_more_than_a_few_good_men_for_cyber_warfare
... bepalen sommige sites dat je je wachtwoord zelf in hun wachtwoordveld moet typen in plaats van het erin te plakken, en dat is niet verstandig.
https://www.ncsc.gov.uk/blog-post/let-them-paste-passwords
... roept de nieuwe gratis-wifi-vinder van Facebook privacyvragen op.
https://www.grahamcluley.com/facebooks-new-public-wi-fi-locator-raising-privacy-concerns/
... zou ransomware eigenlijk vrij gemakkelijk te stoppen moeten zijn.
http://www.darkreading.com/endpoint/ransomware-how-a-security-inconvenience-became-the-industrys-most-feared-vulnerability/a/d-id/1327873
... ontvingen mogelijke slachtoffers van een cybercrimineel een mailtje van de politie.
http://www.telegraaf.nl/digitaal/27440331/__Slachtoffers_cybercrime_krijgen_mail_politie__.html
... hebben criminelen daar vervolgens misbruik van gemaakt met een phish gebaseerd op dat verhaal.
http://webwereld.nl/security/96339-phishers-springen-direct-op-e-mail-politie
... is er onenigheid of een bepaalde WhatsApp-feature niet eigenlijk een kwetsbaarheid is.
https://www.theguardian.com/technology/2017/jan/13/whatsapp-encryption-backdoor-snooping-signal
... kun je in ieder geval een seintje van de app krijgen als WhatsApp jouw cryptosleutels wijzigt.
http://webwereld.nl/security/96288-zo-zie-je-wanneer-whatsapp-jouw-encryptiesleutel-wijzigt
... kunnen eigenaren met een iPhone of iPad die een bankrekening bij de ING hebben spraakgestuurd betaalopdrachten geven. Wat zou er zoal mis kunnen gaan...?
https://www.security.nl/posting/500172/ING+voegt+spraakassistent+Siri+toe+aan+mobiel+bankieren+app
... wil de minister van BZK verplichte beveiliging voor alle overheidswebsites.
http://www.nu.nl/internet/4399254/plasterk-wil-toch-beveiligde-verbinding-verplichten-alle-overheidssites.html
... kunnen slechte wachtwoorden zeer snel gekraakt worden (daarom zijn het ook slechte wachtwoorden hè).
http://webwereld.nl/security/96378-25-supersnel-gekraakte-wachtwoorden
vrijdag 13 januari 2017
Onderschat
In de laatste dagen van zijn presidentschap heeft Barack Obama toegegeven dat hij de invloed van desinformatie, hacking en wat dies meer zij heeft onderschat (1). Hij had het over de cyber influence op onze open maatschappij in het nieuwe informatietijdperk en daarmee doelde hij niet alleen op de Russische beïnvloeding van de Amerikaanse verkiezingen, maar ook op voorbije en aanstaande verkiezingen in Europa, die daar net zo goed aan ten prooi zouden kunnen (zijn) (ge)vallen. Nu zelfs Donald Trump schoorvoetend toegeeft dat het aannemelijk is dat de Russen dat soort dingen doen, moeten we toch langzaam inzien dat we een hoge prijs betalen voor onze zo gekoesterde informatievrijheid, zoals Obama aangeeft.
Journalisten hebben van oudsher de taak om informatie te vergaren, te verifiëren en te filteren. Het eerste betekent dat je op zoek gaat naar informatie, het tweede dat je controleert of het ook echt waar is en het derde moet ons behoeden voor een overdaad aan nieuws. Vroeger lazen we de krant, luisterden we naar de radio en keken we naar het journaal. Het nieuwsbulletin op de radio duurt vaak slechts twee minuten en het journaal op tv is ook al heel lang even lang, maar de krant werd steeds dikker, waardoor het al moeilijker werd om alles te verhapstukken.
En toen kwamen de nieuwe media. Tegenwoordig kan iedereen zelf informatie vergaren, maar die is dan vaak – als je buiten de traditionele media shopt – geverifieerd noch gefilterd. Plat gezegd: je krijgt ontzettend veel shit over je heen en weet vaak niet wat je moet geloven. En met dat laatste doe ik nog de aanname dat je kritisch bent. Er zijn echter ook mensen die minder goed in staat zijn om informatie en bronnen op hun waarde te beoordelen. Iedereen kan je van alles wijsmaken. Meer dan ooit is de beroemde “On the internet, nobody knows you’re a dog”-cartoon (2) een waarschuwing die we ons ter harte moeten nemen.
Als zelfs een Amerikaanse president, met al zijn topadviseurs en inlichtingenapparaat aan het einde van zijn termijn verzucht dat hij het een en ander heeft onderschat, wat kunnen jij en ik dan nog doen om niet in dezelfde valkuil te stappen? Meer dan je denkt, want als normale burger hoef je je niet tegen statelijke actoren (zeg maar buitenlandse inlichtingendiensten) te beschermen. Je krijgt in het ergste geval te maken met criminelen, bijvoorbeeld door een besmetting met ransomware of doordat een bedrijf wordt gehackt waardoor jouw gegevens op straat liggen. Helaas worden die criminelen wel steeds ‘beter’ en daarmee de dreiging die ervan uitgaat ernstiger.
Maar goed, zoals ik al zei: je kunt meer doen dan je denkt. Je belangrijkste wapen is je gezond verstand. Wees achterdochtig. Als informatie er vreemd uitziet, of ze nu de vorm heeft van een nieuwsbericht, een mailtje of een Facebook-post, besef dan dat jouw onderbuik wel eens gelijk zou kunnen hebben. “Het staat op internet, dus het is waar” is niet waar. “Waar rook is, is vuur” is een beter uitgangspunt. Maar dan moet je die rook wel willen zien. Natuurlijk schuilt daar het risico in dat je ook wel eens ten onrechte boe roept. Als je twijfelt over een bericht dat voor jou van belang zou kunnen zijn, dan kun je het vast wel via een ander kanaal checken. Kijk of je een nieuwsbericht ook op een goed aangeschreven site vindt, en wat zij ervan vinden. Kies je bronnen zorgvuldig. Dubieus mailtje ontvangen van een bekende? Bel hem of haar op of stuur een sms’je/appje en vraag of het bericht klopt. Simpelweg negeren zou op den duur slecht kunnen zijn voor je sociale of professionele contacten en bovendien kan die ander ook belang hebben bij een melding dat er iets geks aan de hand is.
Een nieuw tijdperk is aangebroken. Een tijdperk waarin staatshoofden op televisie over cybersecurity praten. Petje af voor degenen onder hen die deze voor hen ongetwijfeld abstracte materie durven te adresseren. Maar ik houd eerlijk gezegd mijn hart vast als er ooit, bijvoorbeeld over precies een week, een eigenwijs iemand zo’n hoog ambt gaat bekleden en dan vanuit de onderbuik gaat regeren. Voor ons gewone stervelingen betoogde ik hierboven dat die onderbuik een goede indicator is, maar op regeringsniveau zie ik toch graag een flinke dosis professionaliteit. Overigens heeft Trump vandaag New Yorks voormalige burgemeester Rudy Guiliani (72), die eigenlijk minister van Buitenlandse Zaken had willen worden, aangesteld als coördinator voor cybersecurity (3).
(1) http://www.washingtontimes.com/news/2017/jan/8/president-obama-i-underestimated-cyber-influence-i/
(2) https://en.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you're_a_dog
(3) http://arstechnica.com/tech-policy/2017/01/rudy-giuliani-says-hes-brokering-industry-talk-on-the-cyber-for-trump/
En in de grote boze buitenwereld …
... gaan journalisten soms ver (te ver?) om iets aan de kaak te stellen.
http://www.nu.nl/internet/4383240/rtl-nieuws-hackt-accounts-politici-met-gelekte-wachtwoorden.html
... krijgt de Tweede Kamer pas nu een team om dergelijke hacks te voorkomen.
http://www.volkskrant.nl/tech/tweede-kamer-krijgt-team-om-hacks-te-voorkomen~a4447318
... blijken ook andere politici kwetsbaar te zijn.
http://www.rtlnieuws.nl/nederland/politiek/ook-partijdirecteuren-en-wethouders-kwetsbaar-voor-hackers
... geeft Youtuber Dylan Haegens handige tips tegen internetoplichting (als je Dylan niet kent: vraag maar aan je kinderen).
https://m.youtube.com/watch?v=i4N8dMH0Lpg
... is automatisch stemgestuurd bestellen misschien toch niet zo'n handige optie.
http://www.theregister.co.uk/2017/01/07/tv_anchor_says_alexa_buy_me_a_dollhouse_and_she_does
... waarschuwt dit filmpje voor 'honden op het internet’. Op zéér indringende wijze.
https://twitter.com/leicspolice/status/816207497329446912/video/1
... heeft het Britse NCSC een mooi overzicht van een aantal termen en hun betekenis gemaakt.
https://twitter.com/ncsc/status/816605096209448960/photo/1
... leidde onbeschikbaarheid van Douane-systemen tot chaos op Amerikaanse vliegvelden.
http://www.usatoday.com/story/news/nation/2017/01/02/customs-outage-causes-chaos-backups-airports/96093562/
... werd een vlucht vertraagd omdat een passagier een niet zo handige naam voor zijn netwerk had ingesteld.
http://www.bbc.com/news/technology-38404711
... verbetert Microsoft de privacy-instellingen van Windows 10.
https://blogs.windows.com/windowsexperience/2017/01/10/continuing-commitment-privacy-windows-10/#8C10suuC87Z5CuPv.97
... is er weer een gevalletje 'hack de hacker' opgedoken.
https://www.security.nl/posting/499750/Klantgegevens+forensisch+softwarebedrijf+Cellebrite+gestolen
... gaat Windows Goodbye je pc vergrendelen als je bent weggelopen. Helaas is nog niet bekend hoe intelligent die functie is.
http://www.windowscentral.com/dynamic-lock-aims-keep-your-pc-secure-locking-your-pc-when-youre-no-longer-present
… mag je nu ook al geen V-teken meer maken op foto’s omdat ze daar je vingerafdrukken uit kunnen reconstrueren. Dus: handen in de zakken! (En ogen dicht.)
http://www.telegraaf.nl/digitaal/27400556/___Pas_op_met_peace-teken_selfie___.html
… is er weer gedoe rond hackbare pacemakers.
https://tweakers.net/nieuws/119875/amerikaanse-fda-waarschuwt-voor-kwetsbaarheden-in-pacemakers.html
Journalisten hebben van oudsher de taak om informatie te vergaren, te verifiëren en te filteren. Het eerste betekent dat je op zoek gaat naar informatie, het tweede dat je controleert of het ook echt waar is en het derde moet ons behoeden voor een overdaad aan nieuws. Vroeger lazen we de krant, luisterden we naar de radio en keken we naar het journaal. Het nieuwsbulletin op de radio duurt vaak slechts twee minuten en het journaal op tv is ook al heel lang even lang, maar de krant werd steeds dikker, waardoor het al moeilijker werd om alles te verhapstukken.
En toen kwamen de nieuwe media. Tegenwoordig kan iedereen zelf informatie vergaren, maar die is dan vaak – als je buiten de traditionele media shopt – geverifieerd noch gefilterd. Plat gezegd: je krijgt ontzettend veel shit over je heen en weet vaak niet wat je moet geloven. En met dat laatste doe ik nog de aanname dat je kritisch bent. Er zijn echter ook mensen die minder goed in staat zijn om informatie en bronnen op hun waarde te beoordelen. Iedereen kan je van alles wijsmaken. Meer dan ooit is de beroemde “On the internet, nobody knows you’re a dog”-cartoon (2) een waarschuwing die we ons ter harte moeten nemen.
Als zelfs een Amerikaanse president, met al zijn topadviseurs en inlichtingenapparaat aan het einde van zijn termijn verzucht dat hij het een en ander heeft onderschat, wat kunnen jij en ik dan nog doen om niet in dezelfde valkuil te stappen? Meer dan je denkt, want als normale burger hoef je je niet tegen statelijke actoren (zeg maar buitenlandse inlichtingendiensten) te beschermen. Je krijgt in het ergste geval te maken met criminelen, bijvoorbeeld door een besmetting met ransomware of doordat een bedrijf wordt gehackt waardoor jouw gegevens op straat liggen. Helaas worden die criminelen wel steeds ‘beter’ en daarmee de dreiging die ervan uitgaat ernstiger.
Maar goed, zoals ik al zei: je kunt meer doen dan je denkt. Je belangrijkste wapen is je gezond verstand. Wees achterdochtig. Als informatie er vreemd uitziet, of ze nu de vorm heeft van een nieuwsbericht, een mailtje of een Facebook-post, besef dan dat jouw onderbuik wel eens gelijk zou kunnen hebben. “Het staat op internet, dus het is waar” is niet waar. “Waar rook is, is vuur” is een beter uitgangspunt. Maar dan moet je die rook wel willen zien. Natuurlijk schuilt daar het risico in dat je ook wel eens ten onrechte boe roept. Als je twijfelt over een bericht dat voor jou van belang zou kunnen zijn, dan kun je het vast wel via een ander kanaal checken. Kijk of je een nieuwsbericht ook op een goed aangeschreven site vindt, en wat zij ervan vinden. Kies je bronnen zorgvuldig. Dubieus mailtje ontvangen van een bekende? Bel hem of haar op of stuur een sms’je/appje en vraag of het bericht klopt. Simpelweg negeren zou op den duur slecht kunnen zijn voor je sociale of professionele contacten en bovendien kan die ander ook belang hebben bij een melding dat er iets geks aan de hand is.
Een nieuw tijdperk is aangebroken. Een tijdperk waarin staatshoofden op televisie over cybersecurity praten. Petje af voor degenen onder hen die deze voor hen ongetwijfeld abstracte materie durven te adresseren. Maar ik houd eerlijk gezegd mijn hart vast als er ooit, bijvoorbeeld over precies een week, een eigenwijs iemand zo’n hoog ambt gaat bekleden en dan vanuit de onderbuik gaat regeren. Voor ons gewone stervelingen betoogde ik hierboven dat die onderbuik een goede indicator is, maar op regeringsniveau zie ik toch graag een flinke dosis professionaliteit. Overigens heeft Trump vandaag New Yorks voormalige burgemeester Rudy Guiliani (72), die eigenlijk minister van Buitenlandse Zaken had willen worden, aangesteld als coördinator voor cybersecurity (3).
(1) http://www.washingtontimes.com/news/2017/jan/8/president-obama-i-underestimated-cyber-influence-i/
(2) https://en.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you're_a_dog
(3) http://arstechnica.com/tech-policy/2017/01/rudy-giuliani-says-hes-brokering-industry-talk-on-the-cyber-for-trump/
En in de grote boze buitenwereld …
... gaan journalisten soms ver (te ver?) om iets aan de kaak te stellen.
http://www.nu.nl/internet/4383240/rtl-nieuws-hackt-accounts-politici-met-gelekte-wachtwoorden.html
... krijgt de Tweede Kamer pas nu een team om dergelijke hacks te voorkomen.
http://www.volkskrant.nl/tech/tweede-kamer-krijgt-team-om-hacks-te-voorkomen~a4447318
... blijken ook andere politici kwetsbaar te zijn.
http://www.rtlnieuws.nl/nederland/politiek/ook-partijdirecteuren-en-wethouders-kwetsbaar-voor-hackers
... geeft Youtuber Dylan Haegens handige tips tegen internetoplichting (als je Dylan niet kent: vraag maar aan je kinderen).
https://m.youtube.com/watch?v=i4N8dMH0Lpg
... is automatisch stemgestuurd bestellen misschien toch niet zo'n handige optie.
http://www.theregister.co.uk/2017/01/07/tv_anchor_says_alexa_buy_me_a_dollhouse_and_she_does
... waarschuwt dit filmpje voor 'honden op het internet’. Op zéér indringende wijze.
https://twitter.com/leicspolice/status/816207497329446912/video/1
... heeft het Britse NCSC een mooi overzicht van een aantal termen en hun betekenis gemaakt.
https://twitter.com/ncsc/status/816605096209448960/photo/1
... leidde onbeschikbaarheid van Douane-systemen tot chaos op Amerikaanse vliegvelden.
http://www.usatoday.com/story/news/nation/2017/01/02/customs-outage-causes-chaos-backups-airports/96093562/
... werd een vlucht vertraagd omdat een passagier een niet zo handige naam voor zijn netwerk had ingesteld.
http://www.bbc.com/news/technology-38404711
... verbetert Microsoft de privacy-instellingen van Windows 10.
https://blogs.windows.com/windowsexperience/2017/01/10/continuing-commitment-privacy-windows-10/#8C10suuC87Z5CuPv.97
... is er weer een gevalletje 'hack de hacker' opgedoken.
https://www.security.nl/posting/499750/Klantgegevens+forensisch+softwarebedrijf+Cellebrite+gestolen
... gaat Windows Goodbye je pc vergrendelen als je bent weggelopen. Helaas is nog niet bekend hoe intelligent die functie is.
http://www.windowscentral.com/dynamic-lock-aims-keep-your-pc-secure-locking-your-pc-when-youre-no-longer-present
… mag je nu ook al geen V-teken meer maken op foto’s omdat ze daar je vingerafdrukken uit kunnen reconstrueren. Dus: handen in de zakken! (En ogen dicht.)
http://www.telegraaf.nl/digitaal/27400556/___Pas_op_met_peace-teken_selfie___.html
… is er weer gedoe rond hackbare pacemakers.
https://tweakers.net/nieuws/119875/amerikaanse-fda-waarschuwt-voor-kwetsbaarheden-in-pacemakers.html
Abonneren op:
Posts (Atom)