vrijdag 21 juli 2017

Check

Onderbroeken: check. Tandenborstels: check. Telefoonladers: check. Vakantietijd is voor ons de tijd van de checklist. We zijn bang dat we anders iets vergeten mee te nemen dat we in den vreemde nodig hebben of dat op z’n minst erg handig is om te hebben. We hebben dus een lange lijst en die groeit al jarenlang. Toen de kinderen de telefoongerechtigde leeftijd hadden bereikt, moest er een stekkerdoos mee, want we moesten meer apparaten opladen dan de gemiddelde hotelkamer aan stopcontacten ter beschikking stelt. Dit jaar gaat voor het eerst onze handzame elektrische barbecue mee. En dan moet er ook weer een verlengsnoer mee. Check.

Als informatiebeveiliger werk je ook met checklists. Die heten dan bijvoorbeeld ISO27001 en ISO27002, om er maar eens twee te noemen waar ikzelf erg druk mee ben. Het invullen daarvan is echter vele malen moeilijker dan het invullen van mijn vakantielijstje. Een simpel kruisje voldoet daar niet. Je tandenborstel is óf wel, óf niet ingepakt (tenzij je Schrödinger heet). Het voldoen aan een beveiligingsnorm is echter zelden een binaire kwestie. Dat wil nog wel lukken met een norm als “gij zult het gebruik van sterke wachtwoorden afdwingen”. Dat kan de beheerder gewoon instellen. Moet je alleen eerst even de discussie hebben gevoerd wat je verstaat onder een sterk wachtwoord. En je moet het op alle platformen van je organisatie hebben ingericht. Pas dan mag je de norm afvinken.

Maar er zijn dus nogal wat normen die veel moeilijker zijn dan deze. Hier heb ik er zo eentje: “Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging.” Tamelijk willekeurig uit de ISO27002 geplukt. Het begint er al mee dat deze norm veronderstelt dat je beleid voor toegangsbeveiliging hebt. Dat hoeft op zich niet zo moeilijk te zijn: je roept iets als “need to know” en “need to do” en je bent al een heel eind. Alleen blijken er in de praktijk verschillende interpretaties van dat woordje need te zijn. Dat zie je bijvoorbeeld in devops-teams, waar ontwikkeling (development) en exploitatie (operations) door hetzelfde team worden gedaan. De ontwikkelaar had vroeger geen toegang tot de productie-omgeving, maar heeft die nu opeens wel ‘nodig’ omdat de organisatie van zijn werk veranderd is. Als je beveiligingsbeleid alleen maar op de “need to’s” gebaseerd is, dan voldoe je er nog steeds aan, maar had je het ook zo bedoeld? En hoe voldoe je aan zo’n norm als veranderingen in je klantorganisatie ertoe leiden dat data-analisten toegang tot alle informatie moeten krijgen omdat ze vooraf niet weten wat ze nodig hebben? En als dat al complex klinkt, bedenk dan eens wat dit betekent voor een organisatie met vele informatiesystemen en een ICT-afdeling met veel teams. Het is dan een hele klus om zo’n norm op groen te krijgen.

Terugkeren van vakantie is makkelijker. Geen checklist nodig – gewoon alles inpakken wat van jou is. Je moet dan wel goed oppassen dat je ook écht alles meeneemt en niet ergens overheen kijkt. Vlak voor vertrek kijk ik altijd even onder de bedden en tussen de lakens. Er zal maar een knuffel achterblijven… (of – tegenwoordig bijna nog erger – een telefoonlader). Als beveiligers doen we ook wel dingen zonder checklist. Althans, zo lijkt het. Als we ergens over adviseren, dan doen we dat vanuit onze vakkennis, maar uiteindelijk kom je toch altijd bij vragen als “mag dit?” en “hoe kunnen we dit veilig doen?” Gaan we toch weer – al is het maar in gedachten – afvinken.

Je zou kunnen zeggen dat werken voor de informatiebeveiliger één lange vakantie is, want we zijn altijd wel iets aan het afvinken. En op vakantie kun je daar ook onverwacht aan worden herinnerd. Zo kocht ik ooit in Praag een T-shirt met als opschrift de woordgrap Czech mate. Check!

Dit is de laatste Security (b)log voor de zomervakantie.

En in de grote boze buitenwereld …


... heeft de Nederlandse politie (in samenwerking met diverse andere landen) de zwarte markten op internet een forse klap toegebracht.
Het indrukwekkende verhaal:
https://www.volkskrant.nl/tech/politie-beheert-wekenlang-drugsmarktplaats-op-dark-web-zonder-dat-het-opvalt~a4507394
Het trotse bericht van Europol, met daarin dertien keer het woord "Dutch" en vier keer "Netherlands": https://www.europol.europa.eu/newsroom/news/massive-blow-to-criminal-dark-web-activities-after-globally-coordinated-operation
Interview met de teamleider van de politie:
https://krebsonsecurity.com/2017/07/exclusive-dutch-cops-on-alphabay-refugees/

... weten phishers tegenwoordig ook je naam.
https://www.fraudehelpdesk.nl/alerts/wees-alert-op-persoonsgerichte-nepmail-ing/

... kan ook virtueel geld gestolen worden.
https://tweakers.net/nieuws/127401/criminelen-stelen-voor-27-miljoen-euro-aan-ether-door-lek-in-wallet.html

... vind je hier handige handleidingen voor de privacy-instellingen van zowat alle social media.
https://www.mijnonlineidentiteit.nl/social-media-privacy-instellingen/

... waarschuwt de FBI voor IoT-speelgoed.
https://www.bleepingcomputer.com/news/government/fbi-issues-warning-and-recommendations-on-internet-connected-toys/

... zorgt een fout in een open source software library ervoor dat vee IoT-spullen kwetsbaar zijn.
https://www.bitdefender.com/box/blog/iot-news/millions-iot-devices-hacking-risk-due-flaw-open-source-software-library/

... kan je hoverboard natuurlijk ook gehackt worden.
https://www.wired.com/story/segway-minipro-hack

... publiceerde AV-TEST zijn Security Report 2016/2017.
https://www.av-test.org/en/news/news-single-view/the-it-security-status-at-a-glance-the-av-test-security-report-20162017/

... helpt dit filmpje van Europol om duidelijk te maken wat sextortion is.
https://www.youtube.com/watch?v=5ttHYODhenY

... heeft weer eens iemand een EULA-grapje uitgehaald.

https://purple.ai/purple-community-service/
Gepost door op Geen opmerkingen:
Labels: , , , , , ,

vrijdag 14 juli 2017

Auto's

Naast de luchtvaart is ook de auto-industrie een sector van de transportwereld waarin veiligheid een prominente rol speelt. Dat begon ooit met de veiligheidsgordels (introductie in 1956, in Nederland voorin verplicht sinds 1976). In 1959 werd de kreukelzone voor het eerst toegepast en vervolgens (1973) kwamen de airbags. Sinds 1992 dragen we de autogordel ook achterin. Het moderne antiblokkeersysteem, dat ervoor zorgt dat je maximaal kunt remmen zonder te slippen, stamt uit 1978.

Naar mijn idee – maar ik ben geen autofanaat – heeft het toen een tijdje stilgestaan, althans in de categorie betaalbare auto’s. Maar toen kwam de elektronica. En die maakt dingen mogelijk waarvan je als doorsnee automobilist nog helemaal niet had bedacht dat je er behoefte aan had, maar die plotseling onmisbaar lijken zodra je er eenmaal van hebt gehoord. Wat te denken van een systeem dat je waarschuwt als er een auto in je dode hoek zit. Of een systeem dat je waarschuwt als er auto’s achter je langs rijden terwijl je uit een parkeervak wilt. Of camera’s die een beeld op je scherm toveren alsof er een camera boven je auto zweeft, waardoor je perfect kun inparkeren. En dan is er nog cruise control die niet zomaar de ingestelde snelheid handhaaft, maar met radar de afstand tot een eventuele voorganger meet en de eigen snelheid daaraan aanpast. Dreig je uit je rijbaan te driften? Piep piep piep! Voetgangers of een andere auto te dichtbij? Jouw auto remt automatisch af. Uit de bocht vliegen is er ook al bijna niet meer bij. Geef je teveel gas terwijl je vlak voor een muur staat? De computer grijpt in. En dan zijn er nog van die kleine dingen, zoals een automatisch dimmende binnenspiegel – voor als er iemand met groot licht of scheel kijkende koplampen achter je rijdt – of een slimme rem die je de hellingproef uit handen neemt. Dat alles uiteraard met ronkende Engelse benamingen als lane departure warning en Ultrasonic Misaccelaration Mitigation.

Dit is er allemaal gekomen omdat het, zoals ik in de Security (b)log van 23 juni voor de luchtvaartsector beschreef, om mensenlevens en kostbare machines gaat. Sommige van die maatregelen wil je als automobilist ook zelf graag hebben, andere – zoals de gordel en ABS – zijn door de wetgever voorgeschreven. Maar de laatste jaren komt er een categorie features en gimmicks bij die de veiligheid juist kunnen schaden. We staan inmiddels op het kruispunt van de auto en het internet.

De connected car – de auto die aan het internet hangt en daarmee onderdeel wordt van het internet der dingen, the internet of things (IoT) – heeft zijn intrede gedaan. Waarom zou je dat willen? De ANWB, die vindt dat het er juist veiliger door wordt, heeft een hele waslijst aan voordelen op zijn site staan. Ik noem er een paar: inzicht in je rijgedrag (doordat allerlei gegevens naar een platform wordt geüpload en daar verwerkt worden), je auto makkelijk terugvinden en auto’s die elkaar waarschuwen als ze plotseling remmen of een gladde weg detecteren. Klinkt goed, maar voor bijna alle huidige IoT-implementaties (met een Ikea-lamp als gunstige uitzondering) geldt dat beveiliging nog niet wordt mee-ontworpen. En zelfs als dat wél gebeurt is dat nog geen garantie dat het product veilig is en blijft. Software bevat altijd fouten en die fouten kunnen uitgebuit worden. Je auto zal dus regelmatige updates nodig hebben. Je krijgt hier dezelfde wedloop als in de wereld van computers zonder wielen: de veiligheidsupdates worden uitgebracht nadat kwetsbaarheden worden ontdekt. Als niet de fabrikant, maar een hacker zo’n kwetsbaarheid ontdekt, wat doet hij daar dan mee? Hoe lang wordt jouw auto ondersteund? En hoe snel is de fabrikant met het herstellen van de fout en het verspreiden van de update? En hoe verspreidt hij die update eigenlijk? Eigenaren van een Jeep ontvingen in 2015 – na een hack – via de post een USB-stick die ze in de auto moesten prikken om een update te installeren. Wat kan er allemaal misgaan als iemand met kwade bedoelingen zich voordoet als autofabrikant en jou zo’n stick toestuurt?

Onderzoekers hebben al aangetoond dat slimme auto’s gehackt kunnen worden en dat de hacker tijdens de rit live kan ingrijpen in vitale functies, zoals de remmen. Het gijzelen van auto’s en het afpersen van fabrikanten ligt ook op de loer. “We hebben uw auto geblokkeerd. Betaal € 300 om weer te kunnen rijden” of “Wij laten alle auto’s van jullie merk een noodstop maken als jullie niet vóór 12 uur drie miljoen overmaken”. Over twintig jaar rijden alle beveiligings-minded automobilisten in een oldtimer.

En in de grote boze buitenwereld …


... kan ook een Tesla gestolen worden.
https://www.nrc.nl/nieuws/2017/07/13/de-tesla-kan-toch-gestolen-worden-12017282-a1566595

... dreigt LeakerLocker vertrouwelijke informatie die op je Android-toestel staat naar al je contacten te sturen als je geen losgeld betaalt.
https://amp.thehackernews.com/thn/2017/07/leakerlocker-android-ransomware.html

... is CEO-fraude ook in Duitsland een kostbare aangelegenheid.
http://mobile.reuters.com/article/amp/idUSKBN19V1XJ

... heeft nu ook de Eerste Kamer ingestemd met de 'aftapwet'.
https://www.volkskrant.nl/binnenland/eerste-kamer-akkoord-met-omstreden-aftapwet-maar-sp-d66-gl-en-pvdd-blijven-tegen~a4505808

... had APM zijn beveiliging niet op orde, waardoor het op de Maasvlakte een paar dagen erg stil werd.
https://www.volkskrant.nl/tech/hoe-een-cyberaanval-een-gebrekkig-beveiligd-rotterdams-containerbedrijf-platlegde~a4505194 [achter betaalmuur]

... zijn NotPetya-slachtoffers soms nog te redden.
https://tweakers.net/nieuws/126963/door-notpetya-getroffen-systeem-is-onder-voorwaarden-handmatig-te-ontsleutelen.html

... wilde Trump samen met de Russen een cybersecurity-unit opzetten. Of nee, doe toch maar niet.
https://tweakers.net/nieuws/126947/trump-gezamenlijke-cyber-security-eenheid-met-rusland-kan-er-niet-komen.html

... kleven er risico's aan het opslaan van gegevens – of in dit geval foto's – bij een publieke clouddienst.
https://lifehacker.com/back-up-your-photos-so-companies-like-photobucket-cant-1796726043

... heeft het NCSC advies uitgebracht voor het gebruik van messaging apps in een zakelijke omgeving.
https://www.ncsc.nl/actueel/factsheets/factsheet-kies-een-berichtenapp-voor-uw-organisatie.html

... mag de Amerikaanse Douane niet zomaar jouw cloudopslag doorzoeken.
https://www.security.nl/posting/524086/Amerikaanse+douane+mag+geen+cloudgegevens+doorzoeken


Gepost door op Geen opmerkingen:
Labels: , , , , , ,

vrijdag 7 juli 2017

Lek

Er zijn twee soorten datalekken: lek door hack en lek door insider. We kunnen ons relatief goed beschermen tegen hackers, en dus ook tegen hackers die data stelen. Dat is een kwestie van de deur stijf gesloten houden voor iedereen zonder autorisatie. De tweede soort valt ook weer in tweeën uiteen: medewerkers die opzettelijk data naar buiten brengen en medewerkers die dat per ongeluk doen. Ik ben ervan overtuigd dat verreweg de meeste datalekken door die laatste groep worden veroorzaakt.

Het opzettelijk lekken door een medewerker is nauwelijks tegen te gaan. Natuurlijk, je kunt heel veel dichtzetten: je verstrekt autorisaties alleen aan wie ze echt nodig heeft (need to know), schrijfrechten op externe media (zoals USB-sticks) geef je alleen aan medewerkers waarvan de hoogste baas vindt dat ze anders hun werk niet fatsoenlijk kunnen uitvoeren, dat soort dingen. Maar kun je ook externe mailen dichtzetten en de printer afvoeren? Ik betwijfel of een organisatie dan nog effectief kan functioneren, laat staan efficiënt.

Maar zoals gezegd, de meeste datalekken worden per ongeluk veroorzaakt door eigen medewerkers. Bijvoorbeeld door een USB-stick die in de trein uit je broekzak glijdt, door een stapeltje documenten dat ergens blijft liggen of door bestanden die iemand naar zijn privé-adres mailt om er thuis aan verder te werken. Ook dergelijke onopzettelijke lekken kun je maar tot op zekere hoogte technisch dichten. Je kunt ervoor zorgen dat USB-sticks altijd automatisch versleuteld zijn en dat zo min mogelijk medewerkers überhaupt iets met externe media kunnen doen. Net als bij de bestrijding van opzettelijk lekken geldt echter ook hier dat er grenzen zijn aan de maatregelen die je kunt treffen zonder het functioneren van de organisatie aan te tasten.

Wat ons dan nog rest is het vergroten van het risicobewustzijn van medewerkers. Die doen bepaalde dingen met de beste bedoelingen, zonder zich te realiseren dat die in strijd zijn met het beveiligingsbeleid – het beleid dat beschrijft hoe we de beschikbaarheid, integriteit en vertrouwelijkheid van onze data borgen, en dat dus ook regels bevat die het lekken van data moeten voorkomen.

Neem nou het ‘naar huis mailen’ van bestanden. Het gaat al mis bij deze zegswijze. Je mailt namelijk helemaal niet ‘naar huis’. Je mailt vanuit de mailserver van je organisatie naar een mailserver in de buitenwereld, en vanaf die mailserver gaat het mailtje naar een volgende mailserver, tot dat het uiteindelijk op de mailserver van jouw provider of e-maildienst terechtkomt, waar jij het ten slotte ophaalt. Al deze tussenstappen maken van jouw mailtje het elektronische equivalent van een briefkaart, waardoor andere mensen, als ze daar wat moeite voor doen, jouw mailtje kunnen lezen. Er zijn weliswaar initiatieven die uiteindelijk moeten leiden tot beveiliging van e-mail waar je als gebruiker geen omkijken naar hebt, maar het duurt nog wel even voordat we daarvan kunnen genieten. Daar komt nog bij dat bepaalde e-maildiensten – zoals Gmail, Outlook en Yahoo – buiten Europa draaien. De privacywetgeving staat niet toe dat persoonsgegevens (van bijvoorbeeld klanten of personeel) wordt opgeslagen buiten de Europese Economische Ruimte (EU + Noorwegen, IJsland en Liechtenstein). Binnen alle regels thuis werken kan slechts op één manier: met je goed beveiligde zakelijke laptop.

Met e-mail loop je ook nog het risico dat je naar het verkeerde adres mailt. Als je de naam van de geadresseerde begint te typen, dan wordt die vaak automatisch aangevuld. Maar is het adres dat er nu staat werkelijk het adres dat je bedoelde? Het is een kleine moeite om daar een keer extra naar te kijken, zeker bij mail naar een extern adres.

Je kunt ook zonder het te beseffen intern gegevens lekken. Maak je wel eens een afspraak voor een overleg in de agenda en stop je daar voor het gemak de vergaderstukken als bijlage bij? Dan kan iedereen die de agenda van een deelnemer kan inzien óók die bestanden inzien. Foute boel dus als het om vertrouwelijke informatie gaat, zeker in een organisatie waar het gebruikelijk is dat iedereen je agenda mag inzien. Degene die de vergadering inplant is ervoor verantwoordelijk dat hij geen vertrouwelijke stukken in de uitnodiging stopt.

Zonder alerte medewerkers is een organisatie zo lek als een mandje.

En in de grote boze buitenwereld …


... verbiedt ook de nieuwe privacywetgeving dat iedereen zomaar het BSN gaat gebruiken.
https://blog.iusmentis.com/2017/07/03/eh-nee-bsn-blijft-gewoon-verboden-nummer-privacyverordening/

... maken Britse scholen zich zorgen over de nieuwe feature van Snapchat waarmee je de exacte locatie van je ‘vrienden’ kunt zien – en zij die van jou.
http://www.bbc.com/news/technology-40509281

 ... keert het beschermen van data tegen inzage door grenscontroleurs zich mogelijk tegen je.
https://www.wired.com/2017/05/clever-new-way-protect-data-border-also-add-risk

... vragen niet alleen Amerikaanse en Britse grenscontroleurs om je wachtwoord, maar ook bijvoorbeeld Nieuw-Zeelandse.
https://www.tvnz.co.nz/one-news/new-zealand/digital-strip-searches-nz-airports-force-hundreds-kiwis-surrender-mobile-and-laptop-passwords-each-year

... heeft de Oekraïense politie servers in beslag genomen bij het bedrijf dat de M.E.Doc-software maakt, die verantwoordelijk wordt gehouden voor het verspreiden van de ransomware NotPetya. Het bedrijf ontkende, maar heeft inmiddels bevestigd dat er toch iets mis is.
http://www.volkskrant.nl/4504341
https://www.security.nl/posting/522829/Ontwikkelaar+M_E_Doc+bevestigt+backdoor+in+update

... zeggen deze onderzoekers zelfs dat er nog meer malware via M.E.Doc is verspreid.
https://securelist.com/in-expetrpetyas-shadow-fakecry-ransomware-wave-hits-ukraine/78973/

... zouden de aanvallers het wachtwoord van een systeembeheerder hebben misbruikt om M.E.Doc te besmetten.
https://www.security.nl/posting/522955/Gestolen+wachtwoord+systeembeheerder+gebruikt+voor+Petya-aanval

... hebben de hackers achter NotPetya inmiddels hun bitcoin-portemonnee geleegd.
https://motherboard.vice.com/en_us/article/8xagk4/hackers-connected-to-notpetya-ransomware-surface-online-empty-bitcoin-wallet

... gaat Windows 10 ons beter beschermen tegen ransomware.
https://www.helpnetsecurity.com/2017/07/03/windows-10-protect-ransomware/

... is het Russische antivirusbedrijf Kaspersky bereid om zijn broncode door de wantrouwende Amerikaanse overheid te laten onderzoeken.
https://apnews.com/37f7f26c48ec4c31bd01ed24704aaba6

... zijn miljoenen Android-toestellen geroot door het installeren van apps via onofficiële marktplaatsen.
https://www.security.nl/posting/523123/Check+Point%3A+Adware+heeft+miljoenen+Androidtoestellen+geroot



Gepost door op Geen opmerkingen:
Labels: , , , , ,
Abonneren op: Posts (Atom)