vrijdag 21 april 2017

Cybercrime

Over een paar weken mag ik een lezing geven voor een zaal vol Groningse accountancy-studenten. Het verzoek daartoe bereikte mij via het team dat bij ons onder andere contacten onderhoudt met de onderwijswereld. Of ze iemand wisten die een lezing over cybercrime zou kunnen geven.

Kijk, dat vind ik nou leuk om te doen: iets vertellen over het vak waar ik een kwart eeuw geleden aan begonnen ben. Volgens de organisatie moet ik ervan uitgaan dat de congresbezoekers weinig van het onderwerp afweten. Ik kan dus helemaal losgaan. Maar waar te beginnen? Wel, bij het woordenboek. Want wat is cybercrime nou eigenlijk? Toen ik met informatiebeveiliging begon bestond het nog niet, sterker: ‘cyber’ moest nog worden uitgevonden als voorvoegsel voor alles wat ons tegenwoordig aan onze online wereld doet denken. Het woord cybercrime staat dan ook pas sinds 2014 in de Dikke Van Dale (‘computercriminaliteit, internetcriminaliteit’).

Maar met zo’n woordenboekdefinitie kom je natuurlijk niet ver. Ik hanteer dan ook liever de definitie die de politie hanteert, die gaan immers over misdaadbestrijding. Zij zeggen: cybercrime is criminaliteit met ICT als middel én doelwit. Daarin zien ze ICT heel breed – binnen deze definitie vallen ook de chip op je bankpas, de boordcomputer van je auto en natuurlijk je smartphone. Na de definitie gooi ik er nog wat wetgeving tegenaan, maar daarna wil ik zo snel mogelijk naar de praktijk, want ik wil die studenten natuurlijk iets meegeven waar ze meteen al iets mee kunnen: zichzelf – en later hun bedrijf en hun klanten – beschermen.

We gaan het dus hebben over phishing, ransomware, identiteitsfraude en DDoS-aanvallen. Kortom, over populaire vormen van cybercrime. De eerste drie vallen wat mij betreft in de categorie “daar hebben ze meteen al iets aan”, de vierde is meer iets voor later, als ze ergens werken. Ik ga ze ook alvast iets vertellen wat ze dan kunnen tegenkomen, bijvoorbeeld een USB-stick die ze van een klant krijgen en die besmet blijkt te zijn. Of een klant die zijn gegevens kwijt is door toedoen van malware, of doordat ze in de cloud stonden en daar in lucht zijn opgegaan.

En dan is er natuurlijk nog een hoofdstuk over hoe je je beschermt tegen cybercrime. Regel nummer 1: scan je apparatuur! En dan bedoel ik niet alleen je pc, maar ook je tablet en je smartphone – voor zover dat kan tenminste, want in de wereld van mobiele Apple-apparatuur mogen virusscanners niet bestaan. Een andere tip is dat je je gegevens afschermt tegen shoulder surfing – het meekijken op je beeldscherm (bijvoorbeeld in de trein) of bij het intoetsen van je pincode. Dan is er nog een open deur die ik graag intrap: trap er niet in! Zo’n mailtje dat afkomstig lijkt te zijn van Albert Heijn waarin staat dat jij één van de vijf gelukkigen bent die een cadeaukaart van € 250 hebben gewonnen? Echt niet! Als iets te mooi lijkt om waar te zijn, dan is het dat meestal ook (in mijn presentatie heb ik daar een tegeltjeswijsheid van gemaakt).

Een vaak gehoorde opmerking is dat jongelui privacy niet belangrijk vinden. In het hol van de leeuw ga ik proberen erachter te komen of dat echt zo is, om ze er vervolgens op te wijzen dat ze wel degelijk iets te verbergen hebben – en waarom. Edward Snowden heeft hier een mooie uitspraak over gedaan: als je niets geeft om het recht op privacy omdat je niets te verbergen zou hebben, dan is dat alsof je niets geeft om het recht op vrije meningsuiting omdat je geen mening hebt.

Cybercrime kan iedereen treffen. Het is de meest democratische vorm van misdaad, want cybercrime maakt geen onderscheid tussen arm en rijk, geeft er niet om waar je woont of hoe je eruit ziet. Daarom is het belangrijk dat iederéén weerbaar is.

Onlangs gaf ik een presentatie in een heel andere setting: de Presidentenzaal bij De Nederlandsche Bank. Daar waren een aantal CIO’s, waaronder de onze, een middag verzameld voor een aantal presentaties, waaronder dus de mijne, die onder andere ging over ons Security Operations Center en allerlei samenwerkingsverbanden, onder andere met het NCSC. Het publiek zat dus, in vergelijking tot die studenten, tamelijk aan de andere kant van het spectrum. Maar juist omdat het zo leuk was om daar in Amsterdam te spreken, kijk ik alvast uit naar Groningen.

Vanwege vakantie verschijnt er de komende twee weken geen Security (b)log.

En in de grote boze buitenwereld …


... is de homograph attack een heel gemene phishing-truc.
http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html

... wordt ook LinkedIn gebruikt voor phishing-doeleinden.
https://hotforsecurity.bitdefender.com/blog/beware-bogus-emails-from-linkedin-asking-for-your-cv-17906.html

... betaalt ruim een derde van de particuliere ransomwareslachtoffers het losgeld.
http://virusguides.com/38-ransomware-attacks-private-users-result-payment

... blijven hotels populaire doelen voor creditcardfraudeurs.
https://hotforsecurity.bitdefender.com/blog/been-to-one-of-these-1170-ihg-hotels-your-credit-card-details-may-have-been-stolen-by-malware-17910.html

... hebben ze wéér iets bedacht om je je pincode te ontfutselen. Deze keer via de sensoren van je smartphone.
https://arstechnica.com/security/2017/04/meet-pinlogger-the-drive-by-exploit-that-steals-smartphone-pins/

... is één pixel genoeg om je in de gaten te houden.
https://www.grahamcluley.com/tracking-pixels-can-conduct-surveillance-targeted-attacks/

... komt er een nieuwe creditcard met een ingebouwde vingerafdrukscanner.
https://www.security.nl/posting/511753/Mastercard+onthult+creditcard+met+vingerafdrukscanner

... ontwikkelen onderzoekers een loper voor de vingerafdrukscanner van je smartphone (en creditcard...?).
http://www.popsci.com/computer-scientists-are-developing-master-fingerprint-that-could-unlock-your-phone

... heeft de hacker(sgroep) Shadow Brokers een hele verzameling door de NSA gebruikte exploits laten uitlekken.
https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

... oogst eindelijk een IoT-device (een lamp van Ikea) lof voor de beveiliging ervan (en niet alleen in dit artikel).
http://mjg59.dreamwidth.org/47803.html

... is het gastennetwerk van diverse types Linksys-routers kwetsbaar.
https://www.security.nl/posting/511781/Linksys+adviseert+uitschakelen+gastnetwerk+router+wegens+lek

... is een password manager ook maar software (en bevat dus fouten).
https://www.security.nl/posting/511872/LastPass+dicht+beveiligingslek+in+tweefactorauthenticatie


Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 7 april 2017

Werkvloer

Een prettige tinteling maakt zich van mij meester als ik merk dat collega’s, die zich niet zoals ik primair met informatiebeveiliging bezighouden, erg met beveiliging zijn begaan en hun best doen om te helpen bij het oplossen van een probleem waar ze in hun werk tegenaan zijn gelopen. In de afgelopen week mocht ik meerdere van deze tintelingen ervaren. Eentje daarvan wil ik met je delen.

Iedere medewerker heeft credentials om op systemen aan te loggen (‘geloofsbrief’ of ‘legitimatiebewijs’ zegt het woordenboek; ik bedoel user-id + wachtwoord). Maar er zijn ook computers die bij andere computers aanloggen en die hebben daarvoor ook credentials nodig. Maar wie beheert die credentials? Juist: mensen. En zoals we allemaal weten zijn nu juist mensen de zwakke schakel als het om wachtwoorden gaat.

Wachtwoorden beheren die niet van jezelf zijn betekent per definitie dat ze moeten worden opgeschreven. Zo’n briefje kun je in een kluis leggen, en dan schrijf je op de envelop wie er allemaal bij mag. Als je het beheer van de kluis goed hebt ingeregeld – functiescheiding, vier-ogenprincipe, fysieke toegang – dan is dat best wel een veilige werkwijze. Er kleven natuurlijk ook nadelen aan: je moet fysiek naar zo’n kluis toe, er moet fysieke identiteits-controle plaatsvinden en je hebt er een handjevol mensen voor nodig. Buiten kantoortijd zijn de te nemen hordes nog wat hoger. Dat maakt dat niet iedereen altijd even zorgvuldig de kluisprocedure volgt. En het grootste probleem is dan dat dat tamelijk onzichtbaar blijft. De kluisbeheerder ziet enveloppen komen en gaan, maar zoals de posterijen niet weten welke brieven je niet hebt verzonden of aan een koerier hebt meegegeven, zo weet de kluisbeheerder ook niet wat er zich buiten zijn welomschreven procedure afspeelt. En dat blijkt nogal wat te zijn.

Je kunt het ook elektronisch oplossen. En dan bedoel ik niet het beruchte bestand ‘wachtwoorden.xls’ – dat is echt niet veilig mensen. Ook niet als er een wachtwoord op dat bestand zit. Na verloop van tijd zijn er teveel mensen die dat wachtwoord kennen en zwerven er teveel kopieën van het bestand rond. Een veel betere oplossing is een elektronische password vault of wachtwoordkluis – op de consumentenmarkt vaak password manager genoemd. Misschien gebruik je er zelf eentje, bijvoorbeeld KeePass, Dashlane of LastPass. Die consumentenproducten zijn echter ook geschikt voor het beheer van niet-persoonsgebonden credentials in, laten we zeggen, een rekencentrum. Denk aan een uitpuilende database, niet ingericht zijn voor meerdere gebruikers en gebrek aan audit-mogelijkheden. Nee, je hebt een ander soort product nodig, eentje dat aan al dat soort bezwaren tegemoetkomt.

Maar in deze blog gaat het mij er niet om hoe we dit varkentje wassen. Waar het wel om gaat bij mijn tinteling is dat iemand zich los weet te maken uit de dagelijkse routine, afstand kan nemen van de manier waarop we dingen doen, en zich afvraagt of dat eigenlijk wel goed is. Ik heb, naar aanleiding van een incident, een actiepuntje liggen om te onderzoeken hoe een bepaald onderdeeltje van dat wachtwoordproces beter zou kunnen. In plaats van daar achter mijn bureau over na te denken en een fraaie policy te schrijven, zocht ik iemand op die er in zijn dagelijkse werk mee te maken heeft. Want zo iemand weet als geen ander waar de schoen precies wringt en welke oplossingen wel en niet kunnen werken. Doe je dat niet, dan kun je zomaar iets bedenken wat theoretisch helemaal klopt maar in de praktijk niet werkbaar is. Daar schiet niemand iets mee op, het zal eerder contraproductief werken.

Dus, vakbroeders, even in het algemeen: zoek de werkvloer op, leg er beide oren te luister, straal vertrouwen uit en hoor aan waar je de beveiliging van je organisatie écht een duwtje in de goede richting kunt geven. En ervaar de tinteling.

En in de grote boze buitenwereld …


... geeft ex-hacker Rickey Gevers wachtwoordtips.
http://www.volkskrant.nl/economie/zo-ontsnapt-u-uit-het-wachtwoorddoolhof~a4482929
[achter paywall, als je geluk hebt gratis te benaderen]

... gruwt de vader van het internet van het verkopen van browse-gegevens, zoals ze dat nu in Amerika gaan doen.
https://www.theguardian.com/technology/2017/apr/04/tim-berners-lee-online-privacy-interview-turing-award

... maken bedriegers al misbruik van deze Amerikaanse situatie door nepbeveiligingsdiensten aan te bieden.
https://motherboard.vice.com/en_us/article/phony-vpn-services-are-cashing-in-on-americas-war-on-privacy

... heeft de gemeente Rotterdam een paar beveiligingsprobleempjes.
https://www.nrc.nl/nieuws/2017/04/06/aboutaleb-loopt-risico-door-zwakke-ict-beveiliging-rotterdam-a1553421

... wordt momenteel malware verspreid via versleutelde Word-bestanden.
https://www.security.nl/posting/510254/Versleutelde+Word-documenten+verspreiden+keylogger

... zouden Britten zich veiliger voelen als er geen encryptie was.
https://www.infosecurity-magazine.com/news/most-brits-would-feel-safer

... moeten Britse en Amerikaanse vliegvelden en kerncentralen alert zijn op cyberaanvallen.
https://www.scmagazine.com/us-uk-warn-airports-nuclear-facilities-of-cyberattacks/article/648163/

... blijkt het nog knap lastig te zijn om biometrische herkenning goed(koop) te implementeren.
http://www.volkskrant.nl/tech/gezichtsherkenning-op-samsung-galaxy-s8-makkelijk-te-foppen-met-foto~a4482906/

... vormen ketenpartners niet zelden een zwakke schakel.
http://www.nu.nl/internet/4589616/gegevens-450000-loterijdeelnemers-inzichtelijk-beveiligingslek.html

... heeft iemand alvast de geschiedenis van ransomware (door de eeuwen heen ;-) opgeschreven.
https://digitalguardian.com/blog/history-ransomware-attacks-biggest-and-worst-ransomware-attacks-all-time

... kunnen autisten goede hackers worden.
http://nos.nl/nieuwsuur/artikel/2166085-hacken-data-en-cyber-precies-waar-deze-jongens-goed-in-zijn.html

... loopt de meest gezochte hacker nog steeds vrij rond.
https://www.nrc.nl/nieuws/2017/03/31/de-meest-gezochte-hacker-ter-wereld-loopt-nog-gewoon-vrij-rond-7795121-a1552743

... kan antivirussoftware hackers helpen om binnen te dringen.
http://www.volkskrant.nl/tech/zo-gebruiken-hackers-antivirussoftware-om-toegang-te-krijgen-tot-computers~a4481442/
[achter paywall, als je geluk hebt gratis te benaderen]


Gepost door op Geen opmerkingen:
Labels: , , , ,
Abonneren op: Posts (Atom)