Security (b)log: juni 2017

vrijdag 30 juni 2017

Popcorn

Op dinsdagmiddag 27 juni bereikten mij via Twitter de eerste berichten over massale ransomware-aanvallen in Oekraïne. Banken, elektriciteitsbedrijven, staatsbedrijven en de metro en het vliegveld van Kiev lagen plat. Vicepremier Rozenko stuurde via Facebook een screendump de wereld in waarop te zien was hoe CHKDSK (voor de jongeren: dat is een overblijfsel uit het tijdperk van MS-DOS – een vroege, karaktergeoriënteerde versie van Windows) trachtte de C:-schijf te herstellen.

Diezelfde middag werden de containerterminals van APM (een dochter van het Deense Maersk) in Rotterdam en elders ter wereld het slachtoffer van dezelfde ransomware-uitbraak. Ook organisaties in Rusland, India, Spanje, Frankrijk en eigenlijk de rest van de wereld hadden daar diezelfde middag last van. Een ware olievlek.

Het fascinerende aan deze uitbraak was dat hij op klaarlichte dag plaatsvond en daardoor goed te volgen was. Popcorn erbij, dat idee. Je zag hoe de analisten koortsachtig werkten om te achterhalen wat er toch aan de hand was en – belangrijker – hoe je ervoor kon zorgen dat je geen slachtoffer werd. Je zag dat er conclusies werden getrokken die achteraf voorbarig bleken te zijn. Zo werd op een bepaald moment geroepen dat de ransomware sterke overeenkomsten vertoonde met de Petya-ransomwarefamilie uit 2016. Later op de dag kwam het bericht dat er toch grote verschillen met Petya waren. Vanaf dat moment gingen de meeste tweets over de uitbraak vergezeld van twee hashtags: #petya en #notpetya. Best wel een koddig gezicht.

Later ontdekten de analisten dat de besmettingsbron waarschijnlijk het updatemechanisme van het boekhoud- annex belastingpakket M.E.Doc was. Iedereen die zaken in of met Oekraïne doet, schijnt verplicht te zijn om één van de twee goedgekeurde fiscale boekhoudprogramma’s te gebruiken. Dat verklaart de ligging van het epicentrum van de uitbraak. Getroffen bedrijven in andere landen zijn naar verluidt bedrijven die zaken doen met Oekraïne.

Intussen werd ook druk gespeculeerd over het doel van de malware. Er werd driehonderd dollar losgeld geëist en dat is vrij goedkoop. Dat voedde speculaties dat het misschien helemaal niet om het geld te doen was, maar om ontwrichting van Oekraïense bedrijven of misschien wel van de hele samenleving. En daar zou dan Rusland achter zitten. Die twee landen waren sowieso al verwikkeld in een cyberwar en het gebeurde op de dag vóór de Oekraïense dag van de constitutie, een symbolisch moment dus. Dat daarnaast zoveel andere landen werden getroffen duidt er volgens sommigen op dat de aanval uit de hand is gelopen.

De WannaCry-uitbraak in mei kon worden gestopt doordat er een killswitch aanwezig was, maar dat bleek nu niet het geval te zijn. Wel werd al vrij snel het e-mailadres geblokkeerd waarmee je contact moest opnemen over de betaling. Maar de schade kon sowieso niet ongedaan gemaakt worden, zo bleek uit onderzoek. Ook werd bekend dat je je computer kon ‘vaccineren’ door een read-only bestand met de naam perfc.dat in C:\Windows aan te maken. En als je je computer had uitgezet toen dat CHKDSK-scherm werd getoond, dan kon je hem weer aan de praat krijgen met behulp van een boot-CD (LiveCD). Op dat punt waren er namelijk nog helemaal geen bestanden versleuteld.

De uitbraak heeft nogal wat economische schade veroorzaakt. De containerterminals in Rotterdam liggen al voor de vierde dag plat en sommige reders zoeken inmiddels andere havens voor hun schepen. In Oekraïne konden veel mensen niet bij hun geld omdat hun bank plat lag. Niet dat ze veel hadden gekund met hun geld, want in supermarkten gingen de kassa’s op zwart. Het systeem waarmee de straling in Tsjernobyl (kernramp 1986) wordt gemonitord werd ook getroffen. Dat zijn maar een paar voorbeelden, er is nog veel meer schade aangericht.

Onze eigen organisatie had diezelfde middag te kampen met een forse storing. Dat bleek echter niets met de ransomware-aanval te maken te hebben. Door één kapot onderdeel werden nogal wat systemen onderuitgehaald. Had niet mogen gebeuren, kon eigenlijk ook helemaal niet gebeuren, is toch gebeurd en wordt uiteraard tot op de bodem uitgezocht. Maar het was dus geen beveiligingsincident. Deze keer dan.

De volgende keer klopt ransomware misschien ook bij jou aan. De belangrijkste maatregelen die je kunt treffen zijn backuppen en updaten. De kans dat dit je beschermt is groter dan de kans dat een software-update voor ellende zorgt, zoals deze week wél het geval was. En o ja, gebruik geen beheerdersaccount voor gewoon computergebruik. Ook thuis niet.

En in de grote boze buitenwereld …

... geeft Europol meer tips voor degenen die besmet zijn en voor degenen die niet besmet zijn.

https://www.europol.europa.eu/publications-documents/petya-ransomware-what-can-you-do

... had de politie het deze week óók zwaar.

http://nos.nl/artikel/2180387-politie-kampt-met-internetstoring-alleen-nog-handmatige-boetes-mogelijk.html

... zorgen boeken en andere papierwaren ook al voor problemen bij de controle voor je handbagage.

[Bij dit artikel moet je wel een beetje door het gemopper heen lezen.]

https://www.techdirt.com/articles/20170625/08200737661/to-keep-skies-safe-tsa-wants-to-know-what-youre-reading.shtml

... lees je hier hoe je je laptop zo veilig mogelijk in het ruim van het vliegtuig kunt vervoeren.

http://lifehacker.com/what-to-do-before-packing-your-laptop-in-a-checked-bag-1796454806

... lijken de Amerikaanse luchtvaartautoriteiten nu toch een andere weg te kiezen dan het 'laptopverbod'.

https://tweakers.net/nieuws/126535/vs-verplicht-luchthavens-en-maatschappijen-om-laptops-strenger-te-controleren.html

... kregen Kaspersky-employees de FBI op huisbezoek.

http://www.nbcnews.com/news/us-news/fbi-interviews-employees-russia-linked-cyber-security-firm-kaspersky-lab-n777571

... feliciteert dat bedrijf zichzelf desondanks met z'n twintigste verjaardag.

https://eugene.kaspersky.com/2017/06/26/happy-birthday-to-us-20-years-old-to-the-day/

... gaat messaging-app Telegram gebruikersinformatie op Russische servers opslaan.

http://www.darkreading.com/threat-intelligence/telegram-agrees-to-register-messaging-app-with-russia-/d/d-id/1329245

... doet nu zelfs de Linda aan awareness, in de vorm van een interview met de bekeerde hacker Rickey Gevers.

http://www.lindanieuws.nl/stop-online-shaming/zo-houd-je-jouw-gegevens-prive-5-tips-van-een-hacker/

... zet CERN kunstmatige intelligentie in om hackers op te sporen.

https://www.scientificamerican.com/article/worlds-most-powerful-particle-collider-taps-ai-to-expose-hack-attacks

... was er deze week niet zoveel ander nieuws. Google zelf maar op ‘Petya’ als je wilt verdrinken in berichtgeving over dat onderwerp.

vrijdag 23 juni 2017

Vliegen

Ik heb wel eens de veiligheid in de luchtvaart ten voorbeeld gesteld aan informatiebeveiliging. In de burgerluchtvaart gaat het bij iedere vlucht om veel mensenlevens en kostbare vliegtuigen. Dat zijn twee redenen die ieder voor zich al genoeg gewicht in de schaal leggen om zwaar in te zetten op beveiliging, zowel in het vliegtuig zelf als in de ondersteuning op de grond. En ook de klanten – de passagiers – begrijpen het belang van veiligheid maar al te goed. Safety zit in de genen van iedereen die met luchtvaart te maken heeft. Informatiebeveiliging is nog niet zo ver.

Maar nu is er iets vreemds gaande in de luchtvaart. Zowel de Amerikaanse als de Britse luchtvaartautoriteiten hebben een verbod ingesteld op het meenemen van elektronica in de cabine van het vliegtuig als je vanuit bepaalde landen in het Midden-Oosten naar de VS of het VK vliegt. Uitbreiding van het verbod voor vluchten van en naar heel Europa is in door de Amerikanen de ijskast gezet – uitdrukkelijk voorlopig. Het gaat daarbij om elektronica groter dan een smartphone, en niet meenemen in de cabine betekent niet meenemen in de handbagage. Je mag die apparatuur wel in het ruim vervoeren – in je ingecheckte koffer dus. Want, zo is de gedachte, ruimbagage wordt veel strenger gecontroleerd dan handbagage waardoor de kans groter is dat een eventuele bom gevonden wordt. Maar je kunt je apparaat ook afgeven bij de gate, waarna alle daar ingezamelde apparaten in een doos gaan die in het ruim wordt gezet, op dezelfde manier waarop ook buggy’s en rolstoelen, die je tot het laatste moment wilt gebruiken, worden ingeladen. En dan geldt het voordeel van de strengere scan dus niet.

Safety reageert op incidenten. Sinds Richard Read in 2001 probeerde American Airlines vlucht 63 van Parijs naar Miami met explosieven in zijn schoenen neer te halen, sta je vaak op je sokken in de rij voor de veiligheidscontrole. En nadat in 2006 een plot werd ontdekt om diverse vliegtuigen te laten neerstorten met behulp van vloeibare explosieven, werden alle flesjes groter dan honderd milliliter uit de cabine verbannen. En nu is men dus bang voor bommen in laptops, tablets en zelfs e-readers.

Waarom is dat niet alleen ontzettend vervelend voor de passagiers, maar ook vreemd? Omdat al die apparaten reeds potentiële explosieven bevatten, namelijk de accu. De lithium-ion-batterijen die tegenwoordig worden toegepast kunnen spontaan ontbranden en exploderen door interne kortsluiting. Een laagje isolerend materiaal van slechts 24 micrometer moet dat voorkomen, maar dat gaat dus wel eens mis. Er zijn genoeg verhalen bekend van spontaan in de fik vliegende smartphones en laptops.

En nu komt het: als zoiets in de cabine van een vliegtuig gebeurt, “dan gooit de stewardess dat apparaat in een emmer water”(citaat van een piloot). Water is een effectief middel om een kleine lithiumbrand te doven. Maar als zo’n brand in het vrachtruim ontstaat, dan kan niemand erbij om de brand te blussen. En als er dan zo’n hele doos lithiumhoudende apparaten staat die elkaar letterlijk kunnen aansteken, dan kan dat gemakkelijk uitlopen op een allesverwoestende brand. Dat betekent dat deze beveiligingsmaatregel een nieuw risico introduceert. En dat nieuwe risico zou wel eens groter kunnen zijn dan het risico dat men wil bestrijden. Terwijl je ook nog eens vraagtekens moet zetten bij de effectiviteit van de getroffen maatregel.

Wat we ook vinden van deze maatregel, we zullen er vanuit de informatiebeveiliging op moeten inspelen. Kernpunt daarbij is voor ons dat je op vliegreis de fysieke controle over je zakelijke apparatuur verliest. Die apparatuur zou kunnen verdwijnen of ze zou ingezien of zelfs gemanipuleerd kunnen worden. Over die laatste twee hoeven wij ons gelukkig niet zo druk te maken omdat onze apparatuur afdoende beveiligd is. Die beveiliging staat of valt wel met het gedrag van de gebruiker. Een wachtwoordbriefje in je laptoptas was altijd al een dom idee en als je je apparatuur moet afgeven blijft het een dom idee. Overigens kan het je nog wel overkomen dat je na aankomst op je bestemming bij de grenscontrole wordt gevraagd om je apparaat te ontgrendelen. Daar kun je weinig tegen doen: als je weigert, dan wordt je afgevoerd naar een eenzaam kamertje en uiteindelijk geef je je wachtwoord toch wel prijs.

Ondertussen stelt luchtvaartmaatschappij Emirates tablets beschikbaar aan haar passagiers. En daar mag je je eigen USB-stick in steken zodat je toch aan die belangrijke zakelijke documenten kunt werken. Sympathiek, maar vanuit beveiligingsoptiek is het een slecht idee om daar gebruik van te maken. Je weet niet wat zo’n apparaat met je bestanden en met je stick doet. Leun achterover en kijk wat het in-flight entertaiment system te bieden heeft.

En in de grote boze buitenwereld …

... heeft Europol vijftig (!) tips gepubliceerd die je helpen te voorkomen dat je het slachtoffer wordt van fraude bij online winkelen.

https://www.europol.europa.eu/activities-services/public-awareness-and-prevention-guides/e-commerce-tips-and-advice-to-avoid-becoming-fraud-victim

... moet je even opletten als je gratis wifi aanbiedt.

https://ictrecht.nl/2017/06/13/moet-op-letten-aanbieden-gratis-wi-fi

... lees je in het Cybersecuritybeeld Nederland 2017 wat de stand van het land is.

https://www.ncsc.nl/actueel/nieuwsberichten/cybersecuritybeeld-nederland-2017-digitale-weerbaarheid-nederland-blijft-achter-op-groeiende-dreiging.html

... staat met deze app òf je fiets, òf je telefoon op slot.

http://nos.nl/artikel/2179208-vvn-en-kpn-komen-met-fietsslot-dat-appen-op-de-fiets-onmogelijk-maakt.html

... kun je je Functionaris Gegevensbescherming van binnen of van buiten de eigen organisatie halen. Aan beide opties kleven voor- en nadelen.

https://ictrecht.nl/2017/06/20/voordelen-nadelen-interne-externe-functionaris-gegevensbescherming

... moest Honda een autofabriek sluiten vanwege een ransomware-besmetting.

http://www.reuters.com/article/us-honda-cyberattack-idUSKBN19C0EI

... kan ransomware knap duur uitpakken.

https://tweakers.net/nieuws/126135/zuid-koreaans-hostingbedrijf-betaalt-bijna-1-miljoen-euro-door-ransomware.html

... vindt de Britse politie dat je een potentiële terrorist bent als jet het dark web bezoekt. Wat de auteur hier niet noemt (waarschijnlijk omdat hij het bij zijn publiek bekend veronderstelt) is dat netwerken zoals het Tor-netwerk van oorsprong heel nobele doelen dient, zoals bescherming van mensenrechtenactivisten in landen waar mensenrechten niet vanzelfsprekend zijn.

https://motherboard.vice.com/en_us/article/pay4gz/uk-cops-say-visiting-the-dark-web-is-a-potential-sign-of-terrorism

... wis je op deze manier een Android-toestel voordat je het weg doet.

https://www.inc.com/joseph-steinberg/how-to-wipe-an-android-smartphone-or-tablet-before-selling-it-or-trading-it-in.html

... wil het Europees Parlement dat cryptografie voor iedereen veilig blijft.

https://tweakers.net/nieuws/126105/europarlement-wil-bescherming-tegen-backdoors-in-encryptie.html

... toont deze wereldbol live virusbesmettingen.

http://globe.f-secure.com

... beschrijft dit artikel hoe je "alle" online-accounts kunt voorzien van tweefactor-authenticatie.

https://www.theverge.com/2017/6/17/15772142/how-to-set-up-two-factor-authentication

vrijdag 16 juni 2017

Like a pro

Met de titel van deze blog hengel ik niet naar duimpjes of knuffels voor informatiebeveiligers. Nee, "like" is hier geen gebiedende wijs, maar een voorzetsel. Want de moderne mens moet een bepaalde vaardigheid hebben om en beetje ongeschonden door zijn online dagen te komen: hij moet, zo lang we niet in staat zijn om e-mailen veilig te maken, phishing kunnen herkennen als een professional. Daarom laat ik je in deze blog zien hoe ik met mijn mail omga. En daarbij maak ik geen onderscheid tussen werk en privé – het enige verschil is dat het thuis een veel vettere vangst oplevert.

Bij een nieuw mailtje kijk ik allereerst naar de afzender: welke naam staat daar en welk mailadres staat erbij. Als daar staat "Albert Heijn <albertheijn@supermarket.ru>", dan is hij meteen al af. Kijk, iedereen kan "Albert Heijn" in z'n mailprogramma invullen als naam. Dat zegt helemaal niets. En "albertheijn" vóór het apenstaartje is ook niet zo moeilijk. Tot zover is er dus nog geen indicatie of het een goed of een fout mailtje is. Maar dan komt het. Kijk even naar de achterkant van het e-mailadres: ".ru". Het laatste stukje van een adres geeft het zogenaamde top level domain (TLD) aan. Vaak is dat de aanduiding van een land, zoals .nl, .be of .ru. Je kent natuurlijk ook adressen die eindigen op .com, .org enzovoorts. Dat zijn generieke TLD's. Maar .ru is de TLD van Rusland. Nu snap je waarom ik het adres meteen diskwalificeerde. Dat zou ik trouwens ook wel gedaan hebben als het adres op .com geëindigd was. Want in een echt mailtje van een bedrijf verwacht je dat de bedrijfsnaam áchter het apenstaartje staat, als in klantenservice@albertheijn.nl (geen idee of dit adres echt bestaat; de supermarkt doet hier dienst als willekeurig voorbeeld). Er zijn overigens wel bedrijven die tegen deze 'regel' zondigen, bijvoorbeeld doordat ze hun mailings door een derde partij laten verzorgen. Daar ben ik nooit zo blij mee. Ik heb wel eens via Twitter bij een bedrijf nagevraagd of een mailtje – waarvan de inhoud op zich plausibel was – echt bij hen vandaan kwam. Dat werd beaamd en men begreep mijn achterdocht niet. Het awarenessprogramma had hun klantenservice kennelijk nog niet bereikt.

Dan het onderwerp van de mail. Als daarin prijzen worden aangekondigd van loterijen waaraan ik nooit heb deelgenomen, of als een naar eigen zeggen lieftallige dame spontaan een relatie met mij wil, dan weet ik het ook wel: foute boel. De onderwerpregel kan veel verklappen over de bedoelingen van de verzender. Dat gezegd hebbende: een uitgekiend onderwerp kan je natuurlijk ook op het verkeerde been zetten. "Uw verbruik" is een logisch onderwerp voor een mailtje dat zogenaamd van je energieleverancier komt. Met andere woorden: gebruik het onderwerp alleen om mail eventueel af te keuren, nooit om goed te keuren.

Als de mail het tot hier heeft overleefd, dan is het tijd om haar te openen. In de meeste gevallen ben ik dan al niet meer bang iets engs aan te treffen, simpelweg omdat het meestal mail is van bekenden. Denk dus niet dat ik ieder mailtje met de grootst mogelijke achterdocht benader. De vorige twee stappen, de check op afzender en onderwerp, kosten slechts een ogenblik en zijn zeer bepalend voor de uitslag. Anders gezegd: het moet gek lopen als een mailtje dat die toets doorstaat alsnog tot fronsende wenkbrauwen leidt door de inhoud. Maar het kán wel. Een mailtje van een vriend die op vakantie is gestrand en om geld vraagt? Een bedrijf waarmee je al zaken doet dat om persoonlijke gegevens vraagt? Wees dan alert. Bedrijven die je al kennen gaan niet nog een keer om dezelfde informatie vragen. En die vriend in geldnood, daar zou ik dan eerst eens op een andere manier contact mee willen leggen, bijvoorbeeld telefonisch of via een appje – alles behalve mail. De kans is groot dat hij gewoon thuis op de bank zit en nog niet wist dat zijn mailaccount gehackt is.

Foute mailtjes bevatten meestal links. ‘Ze’ willen immers iets van je en één van de manieren om dat te bereiken is dat ze je naar hun website lokken. Voor die websites geldt doorgaans hetzelfde als voor e-mailadressen: ze passen niet bij de zogenaamde afzender. Een collega ontving een mailtje "van" Ziggo met daarin een link naar wordpress.glerfilmur.is. Je moet even een klein trucje kennen om daar achter te komen, want in de mail staat natuurlijk dat de link naar Mijn Ziggo gaat. Breng de muiscursor naar de link, maar klik er niet op – laat de cursor slechts erboven zweven. Onderin je browser, in de statusbalk, verschijnt dan het ware adres waar de link naar verwijst. Op een mobiel apparaat, waar je geen muiscursor hebt, tik je lang op de link, waarna een pop-up met het adres verschijnt (een keertje oefenen met een vertrouwde link). Pas als je op die pop-up klikt ga je daadwerkelijk naar de aangegeven site. En dat doe je natuurlijk niet als het foute boel is.

Als foute mailtjes geen link bevatten, dan zit er een bijlage bij. En die bijlage gaat jouw computer besmetten, want er zit een virus in. Net zoals je je kinderen vertelt dat ze geen snoepjes van vreemden mogen aannemen, zo mag je ook geen bestanden van vreemden aannemen.

We doen een voorbeeld. Eerder dit jaar ontving ik een mailtje van Albert Heijn (ja, sorry, nu is het geen willekeurig voorbeeld) met het onderwerp: "Jouw AH bonuskaart met nummer NL-AH24-1209 is vandaag gekozen!" Nu weet ik al uit ervaring dat veel scams (zwendels) zo beginnen. Maar ook het formaat van het kaartnummer trok mijn aandacht omdat het wat kinderlijk aandoet (onderbuikgevoel mag je gerust mee laten wegen). En inderdaad: mijn

echte bonuskaart heeft een dertiencijferig nummer. Ik had dus al twee indicaties dat het niet klopt. Maar omdat ik ook nog wilde weten hoe het verhaaltje verder ging, opende ik de mail en las het volgende: "Geachte AH Klant," – aha, ze kennen mijn naam niet. Een bedrijf dat mij wél kent zou mij met mijn naam begroeten. Verder: "Over enkele weken is het weer Pasen, wat zijn uw plannen? Zoals elk jaar verrassen wij weer enkele vaste AH-klanten met een leuke prijs. Dit jaar hebben wij 5 AH Cadeaukaarten t.w.v. € 250,- klaar liggen." En ik had er dus zogenaamd eentje gewonnen. Alleen: mijn vrouw had precies hetzelfde mailtje ontvangen. En je hoeft geen statistiekknobbel te hebben om te begrijpen dat het wel zeer toevallig zou zijn als we allebei deze prijs zouden winnen (terwijl wij nooit wat winnen, maar dat is een ander verhaal).

Zo eenvoudig is catch a phish like a pro dus: let op de afzender en het onderwerp, wees kritisch op de inhoud en check de link. En het mooie hiervan is dat het zowel zakelijk als privé werkt. O ja, nog een laatste opmerking. Als je een mailtje wantrouwt, ga het dan niet rondsturen met de vraag wat anderen ervan vinden. Voor je het weet heb je op die manier je familie, je vrienden of je bedrijf in problemen gebracht. Want niet iedereen leest deze blog hè.

En in de grote boze buitenwereld …

... kan een niet herkend fout mailtje je duur komen te staan.

https://www.tripwire.com/state-of-security/security-data-protection/single-email-stole-1-9-million-southern-oregon-university/

... hebben criminelen weer een nieuw trucje om URL's te verbergen.

https://info.phishlabs.com/blog/the-mobile-phishing-threat-youll-see-very-soon-url-padding

(Het eigenlijke artikel begint onder het kopje URL Padding.)

... moet je ook bij apps altijd goed opletten waar je "ja" tegen zegt.

https://hotforsecurity.bitdefender.com/blog/watch-out-scammers-are-making-a-fortune-in-the-ios-app-store-18188.html

... onderzoekt de Autoriteit Persoonsgegevens of de privacywetgeving zich niet verzet tegen het gebruik van het BSN in het btw-nummer van zzp'ers.

https://tweakers.net/nieuws/125937/autoriteit-persoonsgegevens-onderzoekt-verwerking-bsn-in-btw-nummers-zzpers.html

... doet dit filmpje een indringend beroep op fabrikanten van IoT-devices om hun producten goed te beveiligen.

https://www.youtube.com/watch?v=R_I8zEWZo2w&feature=share

... moesten we maar eens ophouden met dat soort negatieve geluiden, vindt de spreker in het volgende filmpje.

https://www.youtube.com/watch?v=amEczve2rPk

... wordt het belang van goede beveiliging voor industriële systemen nog vaak onderschat. De hier beschreven malware kan hele elektriciteitsnetten platleggen.

https://www.wired.com/story/crash-override-malware

... heeft bovenstaand bericht inmiddels ook de Haagse politiek bereikt.

https://www.security.nl/posting/519616/PvdA+stelt+Kamervragen+over+Industroyer-malware

... zou de Amerikaanse overheid geprobeerd hebben om ontwikkelaars van Telegram om te kopen, zodat er een achterdeurtje in deze messaging-app zou komen.

https://www.security.nl/posting/519635/Telegram-topman%3A+VS+probeerde+ontwikkelaars+om+te+kopen

... kan de CIA jouw wifi-router hacken.

https://www.security.nl/posting/519720/WikiLeaks+onthult+CIA-tool+voor+hacken+van+wifi-routers

... stuur je natuurlijk nooit zomaar een foto van je paspoort op.

https://www.security.nl/posting/519734/PayPal-phishingsite+vraagt+om+selfie+met+identiteitskaart

... moeten ook eigenaren van een Raspberry Pi uitkijken voor malware.

http://webwereld.nl/security/99282-raspberry-pi-gebruikers--wijzig-je-wachtwoord

... is uitgerekend de Chinese versie van Windows 10 ontdaan van Microsoft-spyware (die is namelijk vervangen door spyware van de Chinese overheid).

http://computerworld.nl/software/99297-wil-je-privacy-gebruik-dan-de-chinese-windows-10

vrijdag 9 juni 2017

Slikken of stikken

Er moest worden vastgesteld dat ik ook echt ik ben. Want ik mag namens mijn organisatie digitale certificaten bestellen. Die digitale certificaten, die zorgen voor dat slotje in de browser, ze maken een veilige verbinding tussen een website en een bezoeker mogelijk. Zie zo'n certificaat maar als het paspoort van een website, met daarin een visum dat alleen geldig is voor jouw computer. Het paspoort identificeert de website, het visum beveiligt de verbinding. Onze certificaten vallen onder het regime van PKIoverheid en er gelden strenge regels voor het mogen aanvragen van certificaten voor deze speciale Public Key Infrastructure. Vandaar dat de bedrijven die digitale certificaten mogen leveren die onder de vlag van de Staat der Nederlanden vallen zeker willen – nee, moeten – weten wie ik ben en of ik daar ook echt werk.

Deze leverancier had ervoor gekozen om een gespecialiseerd bedrijf in te schakelen. Dan komt er iemand naar je toe die je diep in de ogen kijkt, je id-bewijs besnuffelt en het vervolgens in een magisch kastje stopt dat op elektronische wijze allerlei echtheidscontroles uitvoert en je id-bewijs inscant. Daarna geven ze aan hun opdrachtgever, in dit geval dus de certificaatverstrekker, door dat de identificatie geslaagd is en dat ze ervan uit mogen gaan dat ik ik ben.

Die identificatie werkt een beetje twee kanten op. Ik kreeg vooraf een mailtje van het id-bedrijf waarin een foto zat van degene die mij zou komen opzoeken. Er stond ook bij dat hij Hans heette, en er was nog een pincode die ik hem kon vragen als ik aan zijn identiteit zou twijfelen. Dat voelde een beetje alsof ik in een thriller zat, waarbij de kans bestond dat Hans zou worden uitgeschakeld en dat een namaak-Hans mijn id-bewijs zou komen inscannen, hetgeen dan jammerlijk zou mislukken omdat namaak-Hans niet de juiste code zou weten.

In eerste instantie kwam Hans niet verder dan onze poort. Hij mocht niet naar binnen, want hij was niet aangemeld. Ja, ook wij zijn streng! Hans moest zijn achternaam prijsgeven zodat ik hem alsnog kon aanmelden. Ik heb geen idee of hij zijn echte naam noemde, sterker nog: ik weet niet eens of Hans echt Hans heet. Maar dat hoeft ook niet, want de cirkel was al rond: het certificatenbedrijf vertelde me dat ze het bedrijf van Hans op me af zouden sturen, het bedrijf van Hans vertelde me dat ze Hans zouden sturen en door de foto wist ik dat daadwerkelijk Hans voor mijn neus stond. Bovendien toonde Hans zijn bedrijfspas. En als Hans dan eigenlijk Piet heet maakt dat niets uit.

Het magische kastje van Hans scande dus mijn rijbewijs. Eerst de voorkant, daarna de achterkant. Hé, de achterkant? Daar staat alleen waar ik allemaal mee mag rijden – en mijn BSN. Help, mijn BSN! De overheid drukt ons op het hart dat we die moeten afschermen als we onze id-bewijzen laten scannen of kopiëren. Hoe zit dat, Hans? Hans haalde zijn schouders op: hij had “gewoon” opdracht gekregen om dit zo te doen. En ik kon hem wel vertrouwen hoor! Hij zou immers zijn baan verliezen als zou uitkomen dat hij met de verkregen informatie rotzooide. Ik wees hem erop dat het niet aan hem hoefde te liggen, maar dat bijvoorbeeld ook zijn bedrijf zou kunnen worden gehackt waardoor mijn informatie op straat zou komen te liggen. Daar had Hans nog niet aan gedacht. Maar het veranderde uiteraard niets aan het feit dat mijn BSN nu in zijn kastje zat. Ter geruststelling legde Hans nog uit dat alle informatie uit zijn kastje werd gewist na overdracht aan zijn bedrijf en de opdrachtgever. Lieve help, waar gaat mijn informatie overal naar toe?

Dat is een privacy-dingetje waar je vaak tegenaan loopt. Je krijgt allerlei goede adviezen, maar als je die in praktijk wilt brengen, dan stuit je op onbegrip, starre procedures en ‘het moet van de computer’. Bijvoorbeeld bij buitenlandse hotelrecepties. In Italië krijg je te horen dat ze een kopie voor de politie moeten maken, die dagelijks het gastenboek komt checken. Als je geluk hebt, dan willen ze je de kopie en een pen overhandigen zodat je even wat dingen kunt wegkrassen. Je moet sterk in je schoenen staan als je meer dan dat wilt, terwijl de receptionist niet begrijpt waar je je druk om maakt en zorgelijk naar de wachtende buslading toeristen achter jou kijkt.

Dat is net zoiets dat als je in een taal die je niet machtig bent naar de weg vraagt met zo’n "Hoe zeg ik het in het Buitenlands"-boekje in de hand. De vraag stellen zal nog wel lukken, maar wat moet je met het antwoord? Dat versta je niet. En als jij ergens komt waar ze een kopietje nodig hebben en jij doet – in hun ogen – moeilijk, dat heb jij een probleem. Dan is het slikken of stikken. Ja, privacybescherming is in principe een mooi ding. Nu de praktijk nog.

En in de grote boze buitenwereld …

... heeft iedereen wel iets te verbergen. Echt.

https://www.youtube.com/watch?v=YNPI6B-BUW4

... lijkt OneLogin op dit moment niet zo'n goede keus als password manager. En als je hem al gebruikt, dan moet je snel al je wachtwoorden wijzigen, want OneLogin is gehackt.

http://thehackernews.com/2017/06/onelogin-password-manager.html?m=1

... is een social media-testament echt iets om over na te denken.

https://blog.iusmentis.com/2017/06/07/duitse-rechter-ontzegt-ouders-toegang-tot-facebook-overleden-tiener

... zal iOS 11 een stoor-me-niet-want-ik-bestuur-een-auto-functie bevatten.

http://www.ad.nl/binnenland/nieuw-iphone-besturingssysteem-blokkeert-berichten-tijdens-rijden~a4be259d

... heeft een inhuurkracht van de NSA geheime documenten naar de pers gelekt. Ze werd snel opgepakt.

http://www.volkskrant.nl/buitenland/arrestatie-medewerker-inlichtingendienst-is-nieuwe-episode-in-rusland-thriller-vs~a4499149

... is de herkomst van printjes te achterhalen aan de hand van een vrijwel onzichtbaar puntjespatroon. Dat weet die NSA-inhuurkracht nu ook.

http://blog.erratasec.com/2017/06/how-intercept-outed-reality-winner.html

... moeten visumplichtige reizigers naar de VS informatie over hun sociale media prijsgeven.

http://thehill.com/homenews/administration/336042-white-house-approves-social-media-checks-for-visa-applicants-report

... legt dit filmpje in eenvoudige taal uit wat blockchain is en hoe het werkt.

https://mobile.twitter.com/volkskrant/status/872472946949976064/video/1

... is een project ter voorkoming van crimineel gebruik van blockchaintechnologie gestart.

https://www.interpol.int/News-and-media/News/2017/N2017-069

... is een zwevende cursor ook al niet meer veilig.

https://www.security.nl/posting/518382/PowerPoint-malware+geactiveerd+door+met+muis+te+zweven

... werden vorig jaar duizenden DigiD-accounts misbruikt.

https://www.security.nl/posting/518541/Bijna+9_000+DigiD-accounts+verwijderd+wegens+misbruik

... ligt een motie in de Tweede Kamer voor om het NCSC mandaat te geven bij situaties zoals de WannaCry-uitbraak.

https://www.security.nl/posting/518561/Kamerleden+willen+na+WannaCry-uitbraak+mandaat+voor+NCSC

... denken ze bij Microsoft dat ze een Windows-versie kunnen maken waar ransomware geen vat op krijgt.

https://www.security.nl/posting/518829/Microsoft%3A+Windows+10+S+immuun+voor+bekende+ransomware

vrijdag 2 juni 2017

Alternatieve woorden

Het kan je bijna niet ontgaan zijn: president Trump heeft onzin uitgekraamd op Twitter. En deze keer gaat het niet om een mening of een statement waarvan een deel van de wereldbevolking vindt dat het onzin is. Nee, je kunt objectief vaststellen dat de tweet daadwerkelijk onzin is. Toch geen idee waar ik het over heb? Google dan even ‘covfefe’. Maar niet te lang blijven hangen hè, snel hier terugkomen!

Als wij gewone mensen een typefout maken of iets geks opschrijven, dan haalt dat zelden – zeer zelden – de wereldpers. Doet de Amerikaanse president dat, dan is dat nieuws van kosmische proporties, zeker als er ruimte wordt geboden om het niet als typefout te zien, maar als iets anders. Want, zo zei Trumps woordvoerder Sean Spicer op een persconferentie: “De president en een kleine groep mensen weten precies wat hij bedoelde”. Oei. Was covfefe misschien het codewoord voor “val Noord-Korea aan”? Was het de beruchte nuclear launch code? Voorlopig lijkt het daar niet op. Maar wat dan wel? Geen idee.

Hoe zou de beveiliging van de first smartphone geregeld zijn? Enerzijds kan ik mij voorstellen dat de Secret Service er bovenop zit, anderzijds zou het beheer ervan ook wel eens in handen van Barron kunnen liggen, Trumps elfjarige zoon die “zoveel over computers weet” (ik citeer Trump). Je verwacht – hoopt? – toch in ieder geval dat er iemand is die toezicht houdt op die telefoon en de accounts die erop aanwezig zijn. En dat iemand zo nodig kan ingrijpen. Maar nee, het duurde gewoon tot de volgende ochtend tot de tweet werd verwijderd. Dat impliceert dat de president bij het krieken van de dag vernam wat er aan de hand was en toen, waarschijnlijk nog in pyjama, eigenhandig actie ondernam.

In de Amerikaanse media werd rondom de inauguratie van Trump gespeculeerd over het type smartphone dat de president gebruikt. Hij hád in ieder geval een Android-toestel, vermoedelijk een Samsung Galaxy S3. Dat is een type uit 2012 dat zijn laatste software-update in 2015 heeft gekregen (Android 4.3). Dat maakt het toestel tamelijk ongeschikt voor hooggeplaatste functionarissen. Alle computerprogramma’s (en dus ook besturingssystemen zoals Android) bevatten fouten, en hoe ouder die programma’s zijn, hoe meer tijd er is geweest om die fouten op te sporen en uit te buiten. Als het om beveiliging gaat spreken we over vulnerabilities (de fouten) en exploits (de uitbuitingen daarvan). Maar goed, er wordt ook gezegd dat Trump zijn toestel mokkend heeft verruild (“surrendered”) voor een door de Secret Service dichtgetimmerd toestel van onbekende makelij. Andere berichten stellen weer dat er geen sprake was van omruilen en dat Trump nu twee toestellen tot zijn beschikking heeft – het ene veilig, het andere onveilig.

Er schijnt toch iemand te zijn die over Trumps schouder meekijkt. Tijdens de verkiezingscampagne heeft een data scientist na onderzoek geconcludeerd dat Trump zelf vanaf een Android-toestel twitterde en dat de milder gestemde tweets afkomstig moesten zijn van een handler, die een iPhone gebruikte. Algemeen wordt aangenomen dat de presidentiële staf ook nu toegang heeft tot zowel @realDonaldTrump als @POTUS. De staf twittert neutraal, de baas geeft zijn onverbloemde mening, al dan niet vanaf zijn oude S3. Vanuit beveiligingsoptiek is ook van belang dat alle partijen begrijpen dat iedere uiting op sociale media voor de eeuwigheid is en dat dergelijke openbare kanalen niet geschikt zijn voor het overbrengen van vertrouwelijke boodschappen. Woordvoerder Spicer suggereerde dat er wel degelijk een (voor sommigen) begrijpelijke boodschap in de tweet zat. Als dat echt waar is, dan diskwalificeert dat Trump als houder van zijn eigen Twitter-account. Maar Spicers uitlating zal wel een alternatief feit zijn.

Rest de vraag: heeft Trump zijn autocorrect uitgezet? Mijn eigen autocorrect geeft twee alternatieven voor covfefe:

‘coverage’ en ‘confederate’. Het tweede woord geeft een spannende, historisch beladen lading aan de onvoltooide tweet. Ik wil niet stoken, maar misschien had het iets moeten worden als: “Despite the negative press confederate leaders firmly stand by my decision to withdraw from the Paris Agreement”. Mwah.

Wikipedia bevat artikelen in vier talen over covfefe: Engels, Tsjechisch, Duits en Nederlands. Boven het Duitse artikel prijkt een voorstel om het te verwijderen omdat het om een irrelevante typefout zou gaan. De nabije geschiedenis zal leren of dat inderdaad zo is. Tot die tijd: waak over je social media accounts en update je apparatuur.