vrijdag 29 september 2017

PvIB-lustrum

Donderdagavond waren een kleine vijfhonderd informatiebeveiligers bijeen in fort Voordorp om het tweede lustrum van het Platform voor Informatiebeveiliging te vieren. Niet dat we pas tien jaar een beroepsvereniging hebben; het PvIB ontstond destijds door de fusie van twee verenigingen die hetzelfde veld bespeelden.

Op dit informatiebeveiligingsfestival traden drie sprekers op, die het aanhoren stuk voor stuk waard waren. De eerste was Kees Verhoeven, lid van de Tweede Kamer voor D66 en – naar eigen en andermans zeggen – de enige in de Kamer die zich actief met IT bemoeit. Koning Eenoog in het land der blinden, zo noemt hij zichzelf, en dat terwijl hij niet eens een IT-achtergrond heeft. En als er dan al zo weinig IT-betrokkenheid en -kennis is, dan kun je wel raden hoe het is gesteld met kennis en aandacht voor informatiebeveiliging. Maar diezelfde Kamer moet wel beslissen over wetgeving op dat gebied, zoals de vernieuwde Wet op de inlichtingen- en veiligheidsdiensten, beter bekend onder de naam sleepnetwet. Die wet maakt het mogelijk dat de AIVD en de MIVD (de Algemene dan wel de Militaire Inlichtingen- en Veiligheidsdienst) massaal online communicatie mag afluisteren. Nederland was al kampioen telefoons aftappen, maar daarbij was steeds het uitgangspunt dat je ergens van werd verdacht. Met de sleepnetwet wordt het mogelijk dat ook burgers die nergens van worden verdacht worden afgeluisterd, bijvoorbeeld omdat ze in de buurt van een verdachte persoon wonen. Er loopt momenteel een initiatief om een raadgevend referendum over deze wet te organiseren. Maar dat zou dus allemaal niet nodig moeten zijn als er meer expertise – of op z’n minst interesse – voor deze materie bij politici zou zijn. Verhoeven: “Alexander Pechtold kijkt me nog steeds wat glazig aan als ik zeg dat er meer geld naar cybersecurity moet.”

De tweede spreker was Inge Philips-Bryan van adviesbureau Deloitte. Ook zij had niet veel goede woorden over voor politici. Maar Philips (oud-politietopvrouw) nam het wel op voor ruime digitale opsporingsbevoegdheden, met het argument dat je het ‘op afstand binnendringen’ in een computer veel en veel beter kunt controleren dan een fysieke huiszoeking. Dat klopt, maar dan moet dat natuurlijk wel ook zo ingericht worden. Dat betekent niet alleen dat alle handelingen gelogd worden, maar ook dat een onafhankelijke functionaris die logging stelselmatig onderzoekt en onregelmatigheden rapporteert, waardoor er ook een preventieve werking van uitgaat. Als logging in deze context slechts wordt bewaard voor het geval ooit ergens vragen over worden gesteld – dus zonder dat proactieve onderzoek – dan lopen we in mijn ogen teveel risico op misstanden. Als de politie dat nu al doet is dat prima, maar dan mogen ze er best wel wat ruchtbaarheid aan geven.

De laatste keynote werd verzorgd door een totaal ander slag spreker: Martijn Aslander, ‘stand-up filosoof’, ‘boardroom sparring partner’ en voorzien van een rappe tong. Aslander vertelde over onderzoek naar gegevensopslag in DNA dat geweldige mogelijkheden gaat bieden. Eén gram DNA zou voldoende zijn om er zo’n beetje alle informatie van de mensheid in op te slaan. Ons werk als informatiebeveiliger houdt dan op te bestaan, aldus Aslander, want “ik zou niet weten hoe je dat nog kunt beveiligen”. Beveiligen hoeft straks ook niet meer, want de meeste dingen worden toch bijna gratis: voor de iPhone hoef je misschien over een poosje niet meer te betalen als je via dat toestel anoniem medische gegevens beschikbaar stelt die voor onderzoeksdoeleinden kunnen worden gebruikt. De waarschuwing ‘als iets gratis is, dan bij jij het product’ wordt zo wel heel persoonlijk.

Een politicus die in de woestijn roept, een ex-politiechef die hem bijvalt maar tegelijkertijd ook voorstander van ruime opsporingsbevoegdheden is en een filosoof die met zoveel woorden zegt dat we ons straks nergens meer druk over hoeven te maken. Het was een interessante avond.

En in de grote boze buitenwereld …


... werd deze week bekend dat Deloitte maanden geleden gehackt is.
https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails

... zijn bij de Deloitte-hack álle beheerdersaccounts en de gehele interne e-mail gecompromitteerd.
https://krebsonsecurity.com/2017/09/source-deloitte-breach-affected-all-company-email-admin-accounts/

... werkt het spamfilter van KPN al een tijdje niet.
https://www.volkskrant.nl/media/klanten-kpn-verzuipen-in-ongevraagde-reclamemail-door-kapotte-spamfilters~a4519111/?hash=2d844cdd74087d933c1cca025d7d083ee45bdee3

... wordt driekwart van alle cybercrime in Nederland niet bij de politie gemeld.
http://www.telegraaf.nl/nieuws/373019/veel-cybercrime-niet-gemeld

... werd vorig jaar twintig procent van de Nederlandse bedrijven he slachtoffer van cyberaanvallen. Dit percentage lijkt me wat aan de lage kant, maar helaas wordt de term 'cyberaanval' niet gedefinieerd in dit artikel.
https://www.cbs.nl/nl-nl/nieuws/2017/39/een-op-vijf-bedrijven-slachtoffer-van-cyberaanval

... snappen de meeste mensen wel dat een public key gepubliceerd moet worden en dat je een private key geheim moet houden. Bij Adobe ging dat toch mis.
https://nakedsecurity.sophos.com/2017/09/23/adobe-security-team-posts-public-key-together-with-private-key/

... hebben Russische hackers een botnet gebruikt om de Duitse verkiezingen te beïnvloeden.
https://www.buzzfeed.com/henkvaness/russland-twitter-bot-fabrik-afd-wahl [Duits]

... vraagt deze 'ransomware' niet om geld maar om blootfoto's. Of je typt gewoon 12345 in.
https://www.bleepingcomputer.com/news/security/nransom-joke-locker-demands-nude-pics-as-payment-

... hebben onderzoekers van twee Amerikaanse universiteiten ontdekt dat het ontgrendelpatroon van  Android-toestellen gemakkelijk kan worden afgekeken. Kennelijk was er even geen zinniger onderzoeksdoel voorhanden.
https://www.security.nl/posting/532544/Ontgrendelpatroon+Android-toestellen+eenvoudig+af+te+kijken

... moeten banken nu toch echt iets gaan doen aan geldautomaten die nog op Windows XP draaien.
https://www.security.nl/posting/532718/Europol+waarschuwt+voor+geldautomaten+met+Windows+XP

... is de automatisering van je huis natuurlijk ook kwetsbaar.
https://www.security.nl/posting/532874/Lek+in+Fibaro-domoticasysteem+geeft+hacker+volledige+toegang


Gepost door op Geen opmerkingen:
Labels: , , , , , , ,

vrijdag 22 september 2017

De cloud is veilig

Op Leicester Square in Londen trad een Japanse acrobaat op. Hiroshi heette hij geloof ik. Hiroshi was een grappenmaker: naar schatting bestond 86% van zijn straatact uit dollen met het talrijke publiek en slechts 14% uit het daadwerkelijk vertonen van acrobatische toeren. En daar betrok hij het publiek dan ook weer bij: twee mannen moesten op een matje gaan liggen en Hiroshi kondigde aan dat hij “over hen heen” zou gaan lopen. Nu was Hiroshi gespierd doch klein en tenger, maar toch keken de beide kandidaten ietwat benauwd bij deze aankondiging. Na een hoop gepalaver kwam de aap uit de mouw. Hiroshi liep op zijn handen “over” de mannen heen, met de handen aan weerskanten van hun lichamen. Volstrekt pijnloos dus maar wel een hele prestatie.

Ik was in die contreien voor een ander rondreizend circus: de Security & Risk Summit van het Amerikaanse IT-onderzoeks- en adviesbureau Gartner. Dat is een conferentie met zo’n achthonderd deelnemers uit natuurlijk vooral het Verenigd Koninkrijk, maar ik heb ook de nodige Nederlanders, Fransen, Duitsers, Italianen, Spanjaarden en een enkele Japanner en Zwitser gespot – en op deelnemerslijst prijken nog heel wat andere nationaliteiten. En er waren veel Amerikanen, want verreweg de meeste sprekers waren Gartner-employees.

De voor mij meest opvallende uitspraak van een Gartner research director luidde: “Public clouds are secure”. Steve Riley betoogde dat grote cloud service providers (CSP’s; denk bijvoorbeeld aan Microsoft, Google en Amazon) de boel beter kunnen beveiligen dan jijzelf. En let wel, hij sprak niet voor een publiek van particulieren, maar voor vertegenwoordigers van middelgrote en grote organisaties (vooral de bankensector was flink vertegenwoordigd). Maar goed, de cloud zou dus veilig zijn. (Even voor wie minder bekend is met het fenomeen publieke cloud: dat is dat je je gegevens op de computer van iemand anders opslaat.) Eén van de argumenten waarmee Riley zijn stelling onderbouwde was dat er geen bewijs voor is dat CSP’s minder veilig zijn dan eindgebruikersorganisaties. Oei, een dubbele ontkenning, daar moet je altijd mee uitkijken. Riley voegde hier nog aan toe dat er nog geen cloud-leverancier in de gevangenis is beland. Ik vind dat een dubieuze redenering. Riley heeft zeker nog nooit een Nederlands reclamespotje gehoord dat eindigt met: “Resultaten uit het verleden bieden geen garantie voor de toekomst”.

Daarna werd het betoog gelukkig steekhoudender. Een belangrijk aspect van de cloud is multitenancy: meerdere klanten maken gebruik van dezelfde infrastructuur. Je wilt dan natuurlijk niet dat de buurman opeens in jouw gegevens zit te rommelen. De onderzoekers van Gartner hebben geen verschil aangetroffen tussen de veiligheid van private en publieke clouddiensten (en alle tussenliggende vormen). Maar ze maken daarbij wel de kanttekening dat multitenancy een belangrijke bron van zorg blijft.

Riley maakte nadrukkelijk verschil tussen tier 1, -2 en -3 CSP’s. Tier 1, dat zijn de vijftien beste jongetjes van de klas. Je mag er gerust van uitgaan dat die veilig en financieel stabiel zijn (dat laatste is van belang voor de beschikbaarheid van je data). In tier 3 wil je niet gezien worden, want je mag niet aannemen dat die veilig en financieel gezond zijn. Zet je daar toch iets neer, dan moet je je data strak beheren. De middenlaag, zo’n vijftienhonderd providers groot, is waar je volgens Riley je risicomanagement op moet concentreren. Die hebben niet altijd een stabiel businessmodel en ze worden wellicht niet door een onafhankelijke partij geëvalueerd. Kortom: als je daar zaken mee doet, dan moet je zelf goede afspraken maken over wie bijvoorbeeld de eigenaar van jouw gegevens is en wat de provider zoal (niet) mag doen met jouw gegevens.

Gartner verwacht dat ‘cloud security’ op den duur ‘gewoon security’ wordt, omdat je in 2020 bij de helft van alle organisaties goedkeuring zult moeten vragen om nieuwe systemen binnenshuis te mogen draaien in plaats van in de cloud. En twee jaar later gebruiken we de term ‘cloud computing’ niet meer maar praten we over ‘local computing’ om het dan minder gebruikelijke model aan te duiden. Als deze voorspellingen uitkomen, dat zullen heel wat mensen hun mindset drastisch moeten wijzigen. Beveiligingsbeleid zal moeten worden herschreven, want bij menige organisatie (waaronder de rijksoverheid) is opslag in de publieke cloud nu formeel verboden.

En Hiroshi? Die heeft zijn gegevens waarschijnlijk al jaren in de cloud staan. Als de wereld je toneel is (hij heeft al in 58 landen opgetreden) dan is het niet handig als je je hele digitale hebben en houden moet meezeulen. De kans is veel te groot dat je een USB-stick verliest of dat je harde schijf de steeds wisselende omstandigheden niet overleeft. Ja, voor Hiroshi is de cloud nu al een uitkomst.

En in de grote boze buitenwereld …


... gaan wifi en Bluetooth niet echt uit als je ze in iOS 11 in het Control Center uitzet.
https://motherboard.vice.com/en_us/article/evpz7a/turn-off-wi-fi-and-bluetooth-apple-ios-11

... probeert antivirusbedrijf McAfee een slaatje te slaan uit de problemen die rivaal Kaspersky in de VS heeft.
https://www.grahamcluley.com/mcafee-joins-anti-kaspersky-witch-hunt-shitty-attempt-sell-boxes/

... kunnen boeven je Mac of iPhone via "Find My" blokkeren als je iCloud-wachtwoord is uitgelekt.
https://lifehacker.com/disable-apples-find-my-device-to-stop-hackers-from-ra-1818618139

... zit de grootste ransomeware-dreiging misschien wel in je broekzak.
http://blog.trendmicro.com/the-biggest-ransomware-threat-could-be-in-your-pocket

... zijn zelfs sommige cybercriminelen tegen het gebruik van ransomware.
http://www.zdnet.com/article/too-noisy-low-level-and-unethical-why-some-cyber-criminals-hate-ransomware/

... is sms niet echt veilig voor tweefactorauthenticatie.
https://nakedsecurity.sophos.com/2017/09/20/why-sms-two-factor-authentication-puts-your-bitcoins-at-risk/

... bestempelt de Europese privacywetgeving (AVG) biometrische data tot 'bijzondere persoonsgegevens'.
https://ictrecht.nl/2017/09/20/gebruikmaken-biometrische-gegevens-gevoelig-avg

... heeft het NCSC een factsheet over het opzetten van een Security Operations Center gepubliceerd.
https://www.ncsc.nl/actueel/factsheets/factsheet-soc-inrichten-begin-klein.html

... is CCleaner, het schoonmaakprogramma voor pc's, gehackt.
https://www.volkskrant.nl/media/populair-programma-voor-opschonen-pc-s-ccleaner-gehackt~a4517372

... is die hack ernstiger dan eerst werd gedacht.
https://arstechnica.com/information-technology/2017/09/ccleaner-malware-outbreak-is-much-worse-than-it-first-appeared/

... blijkt uit onderzoek dat Chrome veiliger is dan de browsers van Microsoft. Het onderzoek werd trouwens betaald door Google.
https://www.security.nl/posting/531754/Onderzoek%3A+Chrome+veiliger+dan+Edge+en+Internet+Explorer

... komen er geen extra maatregelen tegen de 'gluurcamera'.
https://www.security.nl/posting/531861/Minister%3A+Geen+extra+maatregelen+nodig+tegen+%27gluurcamera%27

... kun je een gehackte computer natuurlijk ook besturen via de airco van het slachtoffer.
https://www.security.nl/posting/531928/Onderzoekers+besturen+besmette+computers+via+gehackte+airco

... betoogt dit artikel dat je geen speciaal hoesje voor je betaalpas nodig hebt.
https://lifehacker.com/why-you-don-t-need-to-worry-about-rfid-shielding-1818626171


Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 15 september 2017

Goed genoeg

Een paar nachten geleden droomde ik een nieuw woord: jova. In mijn droom doorzocht ik tevergeefs alle woordenboeken van de wereld om erachter te komen wat dit woord betekende. En toch wist ik opeens wat de betekenis ervan was: ‘goed genoeg’. In termen van rapportcijfers betekende dat: geen zes, maar een zeven.

Honderd procent veiligheid bestaat niet, dat mag algemeen bekend zijn. Noch in het echte leven, noch in ons digitale bestaan zullen wij ooit helemaal veilig zijn voor mensen met serieus kwade bedoelingen (terroristen en cyber-criminelen) of voor mensen die stommiteiten begaan (verkeershufters en gebruikers die overal maar op klikken). Maar we kunnen er wél naar streven om ons ‘goed genoeg’ te beveiligen. Jova.

Laat ik bij mijn leest blijven en me beperken tot digitale veiligheid. Hoe doe je dat, goed genoeg beveiligen? ‘Goed genoeg’ houdt een beperking van twee kanten in: je wilt geen zes, maar het hoeft ook geen acht te zijn. Een zesje is niet effectief, een acht is vaak onhaalbaar bij gebrek aan middelen,  mens- en wilskracht. Dat we niet naar een acht streven kan een hele geruststelling zijn voor bijvoorbeeld project- en lijnmanagers die niet zo’n zin hebben in een boel extra werk dat schijnbaar niets oplevert (de gehate term ‘non-functionals’ ligt hier op de loer). Tegelijkertijd kan het hen helpen om in de meewerkstand te komen, omdat het allemaal wel meevalt.

Het inkaderen aan de bovenkant is dus vrij gemakkelijk. Nu moet je nog ervoor zorgen dat het resultaat niet ondermaats blijft en daardoor onvoldoende bijdraagt aan de beveiliging. In de techniek hebben we daar allemaal mooie spullen voor die, mits op de juiste wijze geconfigureerd en bediend, met gemak een zeven moeten kunnen scoren. Ik focus dan ook graag even op de hiervoor al genoemde mensen die stommiteiten begaan. Dat is overigens niet onaardig bedoeld (hoewel ik voor verkeershufters graag een uitzondering maak): als je bij Maslow in de leerfase ‘onbewust onbekwaam’ zit, dan kun je er immers ook niets aan doen. En laten we eerlijk zijn: iedereen begaat wel eens een stommiteit, zelfs als je ‘(on)bewust bekwaam’ bent.

Ik maak veel mensen mee die zich onbewust op het grensvlak tussen ‘bewust onbekwaam’ en ‘bewust bekwaam’ bevinden. Dat uit zich bijvoorbeeld in vragen als: ik denk dat dit mailtje niet deugt, klopt dat? Als ze zo’n vraag stellen dan weten ze eigenlijk al dat ze gelijk hebben, maar ze durven nog niet helemaal op hun eigen bekwaamheid te vertrouwen. Deze mensen geef ik altijd graag een steuntje in de rug door ze een pluim te geven voor hun oplettendheid. Dit zijn de mensen die we van een zes naar een zeven kunnen tillen. En iemand met een zeven kan andere ‘zesjes’ vervolgens ook weer op weg helpen. Je hoeft zeker geen informatiebeveiliger te zijn om bij te dragen aan de bewustwording bij het brede publiek. Als je het eenmaal zelf snapt: zegt het voort!

En dat allemaal onder het motto: laten we streven naar een zeven.

Natuurlijk heb ik, toen ik weer bij bewustzijn was, gegoogeld op jova. Ik vond een plaats in Servië met 21 inwoners (dat is drie keer zeven!), een kruidenier in Herstal en de padvinders van Gentbrugge. Wij zijn ook padvinders, in de letterlijke betekenis van het woord: we zoeken het pad naar beveiliging die jova is.

En in de grote boze buitenwereld …


... kun je Bluetooth nog steeds beter uitzetten op momenten dat je het niet gebruikt.
https://www.helpnetsecurity.com/2017/09/13/blueborne/
https://www.security.nl/posting/531031/Overheden+adviseren+Bluetooth+uit+te+zetten+bij+ontbreken+patch

... komt er extra geld voor cyberveiligheid (gelekt uit de miljoenennota).
https://www.nu.nl/politiek/4922630/kabinet-maakt-25-miljoen-euro-extra-vrij-cyberveiligheid.html

... heeft politievlogger Jan-Willem een klacht aan zijn broek gekregen voor het lekken van privacygevoelige politiegegevens.
https://www.volkskrant.nl/4516525

... blijft privégebruik van zakelijke spullen een lastig onderwerp.
https://blog.iusmentis.com/2017/09/13/oh-baas-mag-toch-meegluren-priveberichten-op-werk/

... zullen de opsporingsdiensten niet zo blij zijn met een paar nieuwe features in iOS 11.
https://nakedsecurity.sophos.com/2017/09/12/new-ios11-features-create-fresh-headaches-for-law-enforcement/

... mogen Amerikaanse overheidsdiensten geen producten meer gebruiken van het Russische beveiligingsbedrijf Kaspersky.
https://www.nrc.nl/nieuws/2017/09/14/cyberveiligheid-vs-verbieden-anti-virussoftware-kaspersky-voor-overheden-12994165-a1573399

... steekt de Duitse overheid ondertussen de loftrompet over Kaspersky.
http://www.focus.de/digital/computer/unternehmen-bsi-lobt-nach-us-vorwuerfen-vertrauensvolle-zusammenarbeit-mit-kaspersky_id_7593541.html [Duits]

 ... spreekt Mikko Hypponen over de stand van de beveiliging in 2038.
https://youtu.be/abJ3VoZMeBk

... kan kunstmatige intelligentie vaak nog niet uitleggen hoe haar beslissingen tot stand komen.
https://blog.iusmentis.com/2017/09/15/uitlegbaarheid-ai-uitspraken/

... is kunstmatige intelligentie ook handig voor hackers.
http://gizmodo.com/hackers-have-already-started-to-weaponize-artificial-in-1797688425

... heeft viervijfde van de jongeren zijn smartphone nog niet boefproof gemaakt.
https://corporate.kpn.com/kpn-actueel/nieuwsberichten-1/79-van-de-jongeren-heeft-smartphone-niet-beveiligd-tegen-diefstal.htm

... adviseert het NIST om het verplicht periodiek wijzigen van wachtwoorden af te schaffen.
https://www.darkreading.com/endpoint/why-relaxing-our-password-policies-might-actually-bolster-user-safety/a/d-id/1329826

... is het niet echt moeilijk om DMARC te implementeren en daarmee phishing tegen te werken.
https://martechtoday.com/email-marketers-top-level-guide-dmarc-best-anti-phishing-tool-203645

... word je aan de voordeur – jouw voordeur – opgelicht.
https://www.security.nl/posting/531249/Honderden+mensen+opgelicht+via+zogenaamde+betaal-apps


Gepost door op Geen opmerkingen:
Labels: , , , , , ,

vrijdag 8 september 2017

Taal

We kijken thuis wel eens naar het tv-programma Ik vertrek. Voice-over: “In Ik vertrek volgen we Nederlanders die op het punt staan te emigreren.” Je ziet mensen die naar Frankrijk, Spanje of Duitsland vertrekken, maar een enkele keer ook naar meer exotische oorden als Hongarije of Finland, om daar een B&B, hotel, café, restaurant, camping of andere droom te verwezenlijken. Vaak hebben ze een etablissement overgenomen dat in meer of mindere staat van verval verkeert. Er moet dus flink geklust worden en daar komen ook aannemers aan te pas. Daarnaast is soms de aankoop van het pand nog niet rond of moeten er nog vergunningen worden geregeld. En als er mee-emigrerende kinderen in het spel zijn, dan moeten die nog op een school worden ondergebracht.

De rode draad door zo’n beetje alle afleveringen is de taalkloof. Voor een vakantie van twee weken is het nog wel te doen, maar als je in een vreemd land gaat wonen en daar ook nog eens een bedrijf gaat opzetten, dan is het toch wel héél handig als je de taal van het land op z’n minst een beetje beheerst – en bij voorkeur heb je de gevorderden-cursus ook met goed gevolg afgelegd, lijkt mij. Ik weet niet of de deelnemers aan het programma erop geselecteerd worden, maar de meesten spreken nog geen drie woorden buitenlands. Ja, Engels, dat wel, maar ze vertrekken steevast naar een land waar de buurvrouw, de loodgieter en de gemeenteambtenaar die taal niet machtig zijn. Ik zit steeds weer met verbijstering naar dat programma te kijken. Waar beginnen die mensen aan?

Als informatiebeveiliger moet je ook je talen spreken. Om te beginnen de taal van de techneut. Sommige technici zijn zó goed thuis in hun vakgebied, dat een onvoorbereide toehoorder al na vijf minuten afhaakt als hij naar de enthousiaste uitleg van zijn collega zit te luisteren. Dat is niet handig, want de beveiliger is nogal afhankelijk van de techniek. Je moet in staat zijn om een technisch betoog te filteren, zodat datgene overblijft wat voor jou van belang is. Menige afkorting mag je meteen weer vergeten, maar van de wél relevante afkortingen en termen weet je maar beter wat ze betekenen. En als je het niet weet: durf te vragen! En zoek dingen op. Kom beslagen ten ijs. Je kunt het de techneut niet kwalijk nemen dat hij zijn jargon hanteert. En ik heb er nog nooit eentje meegemaakt die het niet leuk vindt als je doorvraagt. Behalve dat je er iets van opsteekt toon je interesse en daarmee investeer je in de relatie.

De volgende taal die je moet beheersen is die van de manager. Die wil iets van je, of jij wilt iets van hem. Hoe beter je in staat bent om aan een buitenlandse gemeenteambtenaar uit te leggen wat je wilt, en hoe beter je begrijpt welke voorwaarden hij daaraan stelt, hoe groter de kans van slagen. In gesprekken met managers is dat niet anders. Ik heb het niet over managementwoorden die thuishoren op de bullshitbingokaart, maar over termen die écht iets betekenen en de manager aanspreken, zoals PDCA, in control zijn en verantwoordelijkheid.

En dan is er nog de taal van de gebruikers. Dat is misschien wel de moeilijkste, omdat zij vele dialecten kent. Het kan soms lastig zijn om de echte betekenis van een mededeling van een gebruiker te ontrafelen, vooral als zo’n mededeling pseudojargon bevat. Als de gebruiker spreekt, dan moet je proberen te begrijpen wat hij precies bedoelt. En als de beveiliger spreekt, dan moet je het juiste dialect kiezen. Afhankelijk van wie er tegenover je zit kun je bepaalde termen en afkortingen wel of niet gebruiken. Als je iemand nog niet kent, dan is het altijd even aftasten. Vraag desnoods gewoon naar zijn kennisniveau op een bepaald onderwerp. En als de gebruiker het over spam heeft terwijl het in werkelijkheid phishing mail is, vergeef hem dat dan stilzwijgend en wees blij dat hij gesnapt heeft dat dat mailtje niet deugt.

Sinds de poging om in het oude Babel een hoge toren te bouwen is het moeilijker geworden om je in het buitenland te vestigen. In ons vak hebben we zelf in de hand of we het tot een spraakverwarring laten komen. Ik had de vorige Security (b)log – over het slotje in de browser – gemakkelijk zó kunnen schrijven dat alleen technisch geschoolde mensen hem hadden begrepen. Maar wie heeft er dan iets aan? Nobody.

 
En in de grote boze buitenwereld …


... zit een Chinees achter de tralies omdat hij VPN-software verkocht. VPN's zijn in China verboden omdat je daarmee the great firewall kunt omzeilen. Het artikel bevat een filmpje waarin eenvoudig wordt uitgelegd hoe een VPN werkt.
http://www.bbc.com/news/technology-41160383

... kijken reclameschermen op stations wie er naar ze kijkt. En daar gaat de Autoriteit Persoonsgegevens nu naar kijken.
https://blog.iusmentis.com/2017/09/06/ap-gaat-vragen-stellen-reclameschermen-cameras-op-stations

... staat Estland bekend als pionier op het gebied van digitale identiteiten, maar nu zit er een kwetsbaarheid in hun ID-kaart (inclusief de kaarten van hun buitenlandse "e-burgers").
https://www.helpnetsecurity.com/2017/09/06/estonian-id-cards-security-flaw/

... hebben hackers zich toegang weten te verschaffen tot de beheersystemen van eletriciteitsnetwerken.
https://www.wired.com/story/hackers-gain-switch-flipping-access-to-us-power-systems

... worstelt de overheid nog steeds met de Britse overname van Fox-IT.
https://www.nrc.nl/nieuws/2017/09/05/fox-it-houdt-zeggenschap-staat-af-12829864-a1572403

... legt dit artikel kort en helder uit hoe blockchains en bitcoins werken.
https://www.iodireland.ie/news-events/blog/bitcoins-and-blockchains-directors

... worden bijna een half miljoen pacemakers van een bepaalde fabrikant teruggeroepen omdat ze kunnen worden gehackt.
http://theconversation.com/three-reasons-why-pacemakers-are-vulnerable-to-hacking-83362


Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 1 september 2017

Slotje

Lezersvraag: “Zo'n slotje op een website, hoe belangrijk is dat? Laatst las ik iets over het belang daarvan, ook bij sites die je alleen raadpleegt.” Tja, dat slotje in de adresbalk van je browser is ‘best wel’ belangrijk. Het signaleert de werking van een aantal belangrijke beveiligingsfuncties en zorgt er daarmee voor dat je als gebruiker inzicht krijgt in je bescherming.

Achter het slotje gaat een digitaal certificaat schuil (andere benamingen die je daarvoor kunt tegenkomen zijn SSL-certificaat (oud) en TLS-certificaat (nieuw)). Zo’n certificaat kun je zien als het paspoort van de site die je bezoekt. Een echt paspoort wordt door de gemeente uitgegeven en overal ter wereld vertrouwen overheden erop dat die gemeente secuur te werk is gegaan. Zo werkt het ook met digitale certificaten, alleen worden die uitgegeven door bedrijven, die certification authority (CA), trusted third party (TTP) of trust service provider (TSP) worden genoemd. Dat ‘trust’ geeft goed aan waar het om draait: het is een instantie die het vertrouwen geniet van de partijen die veilig met elkaar willen communiceren.

De eerste functie van het certificaat is dan ook het identificeren van de site die je bezoekt. Dat is nodig omdat er veel slechteriken online zijn die proberen om je op namaaksites te krijgen, waar je bijvoorbeeld virusbesmettingen kunt oplopen. Als een internetcrimineel een certificaat probeert te kopen voor het domein microsoft.com of ing.nl, dan zal dat niet lukken omdat de certificatenleverancier controleert of de aanvrager ook de eigenaar van dat domein is. Zo niet, dan geeft hij geen certificaat af. Maar let op: als een crimineel het domein hierwordjebesmet.nl op zijn naam heeft staan, dan kan hij daar probleemloos een certificaat voor krijgen. Bij uitgifte wordt niet gekeken naar de aard van de inhoud van een site. Het slotje betekent dus niet dat de inhoud van een site veilig is!

Wat dan wel weer veilig is – ongeacht de aard van de inhoud – is de communicatie tussen jou en de site die je bezoekt. De verbinding wordt namelijk versleuteld. Dat doet je browser automatisch voor je. Dat is de tweede functie waarbij het certificaat een rol speelt. De versleuteling beschermt je tegen een man-in-the-middle attack, waarbij een aanvaller de verbinding tussen jou en de webserver probeert af te luisteren. Zonder deze beveiliging zou online bankieren kansloos zijn omdat onderweg allerlei gegevens zouden kunnen worden gewijzigd.

Certificaten zijn er in verschillende kwaliteiten, die gepaard gaan met verschillende prijskaartjes. Bij de eenvoudigste certificaten, die iedereen online voor zijn site kan bestellen, wordt alleen gecontroleerd of de aanvrager ook de houder van het domein is. Maar bij bijvoorbeeld certificaten van de Nederlandse overheid komt meer kijken; die vallen onder het stelsel van PKIoverheid (PKI = Public Key Infrastructure). Er zijn maar vier bedrijven die PKIoverheid-certificaten mogen leveren en die staan onder toezicht van de overheid. Om certificaten aan te kunnen vragen moet een overheidsorganisatie zich eerst als zodanig bij de leverancier registreren en vervolgens medewerkers aanwijzen die als certificaatbeheerder mogen optreden. Er vindt face-to-face-controle plaats om de identiteit van de certificaatbeheerders vast te stellen. Pas dan mogen zijn PKIoverheid-certificaten bestellen.

Bij veel sites zie je tegenwoordig dat (een deel van) de adresbalk in de browser groen is of dat de letters in die balk gedeeltelijk groen zijn. Dan is er een EV-certificaat gebruikt, waarbij EV staat voor extended validation. EV biedt de bezoeker net als PKIoverheid meer zekerheid omtrent de identiteit van degene die het certificaat heeft aangevraagd. Belangrijkste verschil is dat je door de kleur meteen ziet dat een EV-certificaat is toegepast.

Veel bedrijven willen controle hebben over het internetgedrag van hun medewerkers, bijvoorbeeld om te verhinderen dat malware binnenkomt door het bezoeken van besmette websites. Dat werkt echter niet als een website versleuteld is omdat de informatie pas in de browser van de gebruiker wordt ontsleuteld. Daarom passen bedrijven sessie-onderbreking toe. Als een medewerker contact zoekt met een beveiligde website, dan begint en eindigt die beveiliging niet in de browser, maar bij de ‘poort’ van het bedrijf. Het interne gedeelte (van poort tot browser) kan door een intern certificaat beveiligd zijn waardoor de gebruiker alsnog een slotje ziet. De verbinding is echter niet privé: het bedrijf kan meekijken.

Er gaat dus een hele wereld schuil achter het slotje. En ik heb nog niet eens alles verteld.

En in de grote boze buitenwereld …


... is de juridische status van mailen met de overheid niet echt helder.
https://blog.iusmentis.com/2017/08/30/hoe-rechtsgeldig-is-e-mail-communicatie-overheid/

... moet Nederland een cyberorgaan krijgen dat de verdediging tegen digitale aanvallen op ons land coördineert.
http://binnenland.eenvandaag.nl/tv-items/76301/nederland_onvoldoende_voorbereid_op_digitale_aanvallen

... zijn de meningen over het bovenstaande natuurlijk wel verdeeld.
https://www.volkskrant.nl/opinie/hoe-moeten-we-omgaan-met-digitale-dreiging-uit-china-of-rusland-we-vroegen-het-twee-experts~a4513787

... krijgt nu ook België een cyberleger.
http://www.tijd.be/politiek-economie/belgie-federaal/Belgie-krijgt-cyberleger-met-200-computerexperts/9926711?ckc=1&ts=1504266355

... is de cyberoorlog een asymmetrische oorlog, en dat wordt alleen maar erger als de criminelen gebruik gaan maken van kunstmatige intelligentie.
https://www.darkreading.com/vulnerabilities---threats/cybersecurity-an-asymmetrical-game-of-war/a/d-id/1329728?_mc=sm_dr&hootPostID=72d8373b1f2bc6168b00d436b29c7b48

... vinden drugsonderzoekers het geen goed idee als de politie de online drugshandel onderuithaalt.
https://www.nrc.nl/nieuws/2017/08/28/platleggen-drugshandel-op-internet-werkt-averechts-12710131-a1571426

... hebben een aantal tech-bedrijven de handen ineengeslagen om een groot Android-botnet uit de lucht te halen.
https://krebsonsecurity.com/2017/08/tech-firms-team-up-to-take-down-wirex-android-ddos-botnet/

... is er juridisch niets mis met het kroketten- c.q. vlaaiprotocol.
https://blog.iusmentis.com/2017/08/28/mag-collega-laptop-locken-en-word-aan-uitleggen-waarom/

... zijn zeven van de 27 cybersecurity-adviseurs van Trump opgestapt omdat ze niet serieus werden genomen.
http://fortune.com/2017/08/26/trump-cybersecurity-advisors-resign/

... vormt een nieuwe batterij of een nieuw beeldscherm voor je kapotte smartphone een potentiële ingang voor kwaadwillenden.
https://nakedsecurity.sophos.com/2017/08/25/touchscreens-at-risk-from-chip-in-the-middle-attack-warn-researchers/

... geeft een online geposte of weggegooide boarding pass veel informatie over de eigenaar – en zelfs de mogelijkheid om vluchtgegevens te manipuleren.
https://krebsonsecurity.com/2017/08/why-its-still-a-bad-idea-to-post-or-trash-your-airline-boarding-pass/


Gepost door op Geen opmerkingen:
Labels: , , , , , , , ,
Abonneren op: Posts (Atom)