donderdag 30 november 2017

Normen

Vroeger – laten we zeggen een jaar of tien geleden – wisten we wel op gevoel wat goed en fout was. Welke maatregelen je moest treffen om van fout naar goed te gaan kon je ook wel bedenken, of je liet dat over aan de techneuten. O ja, dit gaat over goed en fout in de ICT.

Toen betraden we het tijdperk van de normatiek. Normensets bestaan natuurlijk al veel langer, maar we deden er niet per se iets mee. Maar op enig moment riep er iemand: “We moeten ISO27001 doen!” Nou is dat hele ISO-verhaal niet een kwestie van alleen maar een lijstje met maatregelen waar je aan moet voldoen. Was het dat maar. Nee, de ISO27001 vertelt je hoe je een Information Security Management System (ISMS) moet optuigen. Ha, nee, fout! Er staat alleen in waar je ISMS aan moet voldoen. Het eindpunt is dus beschreven, de weg erheen niet (daar is weer een andere standaard voor, de 27003). Om toch te voldoen aan de honger naar lijstjes bevat de 27001 een bijlage, genaamd A. Of voluit: Bijlage A (normatief) Referentiebeheersdoelstellingen en -maatregelen. Dan denk je dat daar de maatregelen in staan die je moet treffen om aan de normen te voldoen. Fout! Er zit namelijk een heel rare vertaalkronkel in de Nederlandse versie van de ISO27001. Wat daar een beheersmaatregel heet, dat noemen we in normaal Nederlands een norm. Voor de échte maatregelen – wat moet ik doen om aan de norm te voldoen? – moet je in de ISO27002 zijn. En wat jij en ik in het dagelijks leven een maatregel noemen, dat heet daar een implementatierichtlijn. Terwijl ‘richtlijn’ volgens mijn taalgevoel meer op ‘norm’ lijkt dan op ‘maatregel’. Als je mij over normen hoort praten, dan bedoel ik die dingen die in de ISO-wereld beheersmaatregelen worden genoemd: de regels waaraan je moet voldoen. En als ik maatregelen tref, dan volg ik misschien een ISO-implementatierichtlijn, maar misschien ook niet, want je bent niet verplicht om het zó te doen. De ISO27002 is een best practices­-document.

Je moet dus eerst maar eens zien te begrijpen hoe die verschillende documenten georganiseerd zijn en hoe ze in elkaar grijpen. De ISO27k-serie bevat trouwens nog veel meer documenten – een kleine veertig in totaal. Vervolgens moet je de taal nog doorgronden. Soms pak ik de Engelse versie erbij omdat ik niet goed snap wat men eigenlijk wil. Zo heten die beheersmaatregelen en implementatierichtlijnen in het Engels respectievelijk controls en implementation guidances en dan snap ik ‘m weer. Maar ook inhoudelijk, in een willekeurig stukje tekst, brengt de Engelse versie vaak uitkomst.

De hoofdtekst van de ISO27001 gaat over inrichting – over de organisatie, leiderschap planning, verbetering; over dat soort onderwerpen. Vaak gebezigde uitdrukkingen zijn “de directie moet …”, de “organisatie moet …” en “medewerkers moeten …”. Als je deze moetjes allemaal op orde hebt, dan heb je kennelijk een werkend ISMS. Dan heb je ook een werkende Deming-circle, al zul je de ISO-mensen niet horen over plan-do-check-act (althans, niet in de huidige versie; in de 2005-versie stond het bekende PDCA-plaatje nog gewoon in hoofdstuk 0). Dat kun je allemaal op organisatieniveau inrichten.

Bijlage A – dan wel de ISO27002 – is een heel ander verhaal. Het begin valt nog wel mee, dat gaat over normen die voor de organisatie als geheel gelden. Daar staat bijvoorbeeld dat je beveiligingsbeleid moet hebben, dat je informatiebeveiliging moet organiseren en dat het personeel moet begrijpen waar het mee bezig is. Maar vanaf pagina 28 red je het niet meer op het niveau van de organisatie, dan zul je echt bij teams langs moeten. Het gaat dan bijvoorbeeld over eigenaarschap van bedrijfsmiddelen, over fysieke media, over autorisatiebeheer en zelfs over heel persoonlijke zaken als eisen aan de kwaliteit en geheimhouding van wachtwoorden. Ik ga niet alle onderwerpen opnoemen, maar zoveel is duidelijk: je moet de boer op met bijlage A.

De vraag is dan: wanneer ben je klaar? Is het voldoende als iedere norm érgens geïmplementeerd is, zodat op iedere rij in je spreadsheet minimaal één vinkje staat? Dat klinkt verleidelijk, maar helaas. Je moet natuurlijk op álle plaatsen waar een norm relevant is eraan voldoen. Anders is het bij wijze van spreken voldoende als één medewerker een sterk wachtwoord heeft en mag de rest gewoon ‘welkom01’ blijven gebruiken. De implementatie van bijlage A is dus nogal een klus, waar je de hele organisatie bij nodig hebt. Al die partijen willen daar wel iets voor terugzien. Gelukkig krijgen ze dat ook. Ook voordat iemand bij ze langskwam met een ISO-lijstje waren ze al verantwoordelijk voor de beveiliging van hun toko. Door dat aan de hand van formele normatiek te doen, wordt het beter zichtbaar en aantoonbaar gemaakt. “Ben jij in control voor wat betreft beveiliging?” “Ja, kijk maar.”

We weten nog steeds op gevoel wat goed en fout is. Het verschil met vroeger is dat het gevoel nu kan worden onderbouwd met teksten waar slimme mensen lang aan hebben gesleuteld. Nu nog graag een betere vertaling.

En in de grote boze buitenwereld …


... bevat Mac OS X een ernstige, best wel domme kwetsbaarheid: je kunt inloggen zonder wachtwoord.
https://veiliginternetten.nl/nieuws/mac-os-x-high-sierra-heeft-een-beheeraccount-zonde/

... gaat Apple naar aanleiding van dit akkefietje het ontwikkelproces onder de loep nemen.
https://www.security.nl/posting/541360/Apple+gaat+ontwikkelproces+auditen+na+lek+in+macOS

... heeft het oplossen van een vertrouwelijkheidsincident een beschikbaarheidsincident veroorzaakt.
https://www.security.nl/posting/541397/Update+macOS+High+Sierra+zorgt+voor+problemen+bij+bestandsdeling

... heeft Trend Micro onderzocht in welke mate tien Europese hoofdsteden hun cyber assets blootgeven. Amsterdam krijgt een slecht rapport.
https://documents.trendmicro.com/assets/wp/wp-western-europe-cities-exposed.pdf

... is er alweer een nieuwe masker-aanval op Apple’s Face ID.
https://www.youtube.com/watch?v=rhiSBc061JU

... kunnen we maar beter niet alles ‘geavanceerd’ noemen maar het simpel houden.
https://www.helpnetsecurity.com/2017/11/27/sophisticated-threat/

... moeten ook kleine bedrijven investeren in cybersecurity.
https://www.lorankloeze.nl/2017/11/22/cybersecurity-en-de-euros-van-de-kleine-mkber/

... verwacht je toch dat de NSA en het Amerikaanse leger hun gegevens beter beveiligen.
https://tweakers.net/nieuws/132349/onderzoeker-vindt-publiek-toegankelijke-server-met-geheime-nsa-bestanden.html

... leg je je autosleutels thuis het beste in een metalen kistje.
https://west-midlands.police.uk/news/4544/watch-police-release-footage-relay-crime

... horen mensen niet graag hoe slecht ze het doen. Honing smeren werkt beter.
https://www.security.nl/posting/540788/%22Vertel+mensen+niet+dat+ze+een+slecht+wachtwoord+hebben%22

... wil CDA-leider Buma een internetpolitie, ook al noemt hij het zelf niet zo.
https://www.parool.nl/binnenland/buma-wil-meer-transparantie-op-internet-tijd-voor-surveillance~a4541481/

... kun je in deze tijd van het jaar maar beter dubbel oppassen bij het internetshoppen.
https://www.security.nl/posting/541344/Honderden+Nederlanders+opgelicht+via+malafide+webshops

... maakt een crimineel ook wel eens een fout.
https://www.security.nl/posting/541382/Criminelen+onthullen+per+ongeluk+doelwitten+door+e-mailblunder

... kan jouw werkgever je niet aansprakelijk stellen voor datalekken.
https://www.security.nl/posting/541141/Juridische+vraag%3A+Mag+mijn+werkgever+mij+persoonlijk+aansprakelijk+stellen+voor+datalekken+en+niet-naleving+van+de+AVG%3F




Gepost door op Geen opmerkingen:
Labels: , , , , , , ,

donderdag 23 november 2017

Vijf apen en een banaan

Wellicht ken je het experiment met de vijf apen en een banaan. Blijf dan toch maar even lezen, ik heb straks een verrassing voor je.

Het experiment gaat als volgt. Vijf apen zitten in een kooi waarin een banaan is opgehangen. Onder de banaan staat een ladder. Omdat apen nu eenmaal van bananen houden, gaat er al gauw eentje op weg naar boven. Op dat moment worden echter alle apen natgespoten. Als ze van de schrik bekomen zijn, probeert een andere waaghals het. Gevolg: weer een nat pak. Als nummer drie aanstalten maakt om naar de banaan te klimmen, wordt hij daarvan hardhandig weerhouden door de anderen.

In de volgende stap wordt een van de apen vervangen door een verse, die nergens van afweet. Hij ziet de banaan, denkt: “Ha, lekker!” en voor hij het weet wordt hij door zijn collega’s in elkaar gerost. Dit herhaalt zich als andere apen uit de eerste lichting worden vervangen – en de nieuwkomers timmeren er vrolijk mee op los. Op een gegeven moment zijn er geen apen meer die weten waarom ze die ladder niet op mogen, maar niemand haalt het nog in z’n hoofd om de banaan te begeren. Moraal van het verhaal: ook al weet je niet altijd waarom iets niet mag of waarom het op een bepaalde manier moet, soms conformeer je je aan het gedrag van anderen. Waarom? “Dat doen wij hier niet, jongeman!”

De vraag is nu: kunnen we dit mechanisme gebruiken om mensen veilig gedrag te laten na-apen? Niet dat ik met de brandslang door de gangen wil gaan lopen hoor. Ik zou dit op een gebruikersvriendelijke manier willen implementeren. Is de moderne mens nog wel geschikt voor een dat-hoort-nu-eenmaal-zo-aanpak? We zijn veel mondiger geworden, de vraag “Waar staat dat?” ligt menigeen op te lippen bestorven. En als het kan, dan mag het toch ook? Dat wordt nog wel eens gedacht, maar in omgevingen waarin medewerkers over veel verschillende puzzelstukjes moeten kunnen beschikken om hun werk te kunnen doen is het niet altijd mogelijk om autorisaties zo strak af te stellen dat ze niet méér kunnen dan ze mogen.

In de meeste gevallen verkies ik uitleg boven autoriteit. Als ik kan uitleggen waarom iets zó moet of juist niet mag, dan geef ik de ander de kans om het te begrijpen, om te voelen dat hij het zelf ook zo zou hebben bedacht. Een aap wint er niets bij als je hem zou kunnen uitleggen waarom het verstandig is om die banaan te negeren, maar bij mensen ligt dat toch anders. Op zo’n moment doen die paar procent verschil tussen het DNA van mens en aap er toe.

Autoriteit – maar liever: gezag ­– moet je in bepaalde situaties wél doen gelden. Bijvoorbeeld bij acute problemen waarbij het adagium “eerst schieten, dan vragen stellen” van toepassing is. Of bij een dreigende, ernstige overtreding van regels die grote schade zou kunnen veroorzaken. Maar ook bijvoorbeeld bij regels die gebaseerd zijn op wetgeving. Want ik ben dan wel geen jurist, maar ik denk niet dat wetgeving het principe ‘pas-toe-of-leg-uit’ een goed idee vindt.

Kortom: de informatiebeveiliger zal doorgaans niet met een brandslang werken en evenmin als een drilmeester bevelen blaffen. Met goed overleg tussen gelijkwaardige partijen kom je in Nederland in de meeste gevallen het verst. Ja, hier kleeft inderdaad ook een cultuuraspect aan. Polderen werkt niet in alle culturen en bij kinderen en bij het gros van de cyberbejaarden kun je maar beter gewoon zeggen hoe ze hun digitale leven te beveiligen hebben, zonder al teveel uit te weiden over malware, spoofing, ip-adressen, phishing en vulnerabilities.

Dan nu de verrassing die ik had beloofd. Dat experiment met die apen? Dat is er nooit geweest. Het is weliswaar in 1996 beschreven door Hamel en Prahalad, maar zonder bronvermelding. En dan bestaat het niet. Het apen-experiment is dus een broodje aap. Of een soort van selffulfilling prophecy: het verhaal dat beschrijft hoe apen gedrag vertonen waarvoor ze zelf de reden niet kennen, wordt al jaren doorverteld door mensen die enthousiast over dit experiment vertellen zonder het zelf gezien te hebben – ikzelf incluis.

En in de grote boze buitenwereld …


... hebben ‘Microsoft-bellers’ weer een nieuw trucje verzonnen.
https://blogs.technet.microsoft.com/mmpc/2017/11/20/new-tech-support-scam-launches-communication-or-phone-call-app/

... mag het dan misschien verleidelijk zijn om een hack in de doofpot te stoppen, verstandig is het allerminst.
https://dewinter.com/2017/11/22/uber-belemmert-innovatie-met-geheimzinnigheid-datalek/

... blijkt uit onderzoek dat Nederlanders zich weinig zorgen maken over cybersecurity.
http://www.consultancy.nl/nieuws/14895/nederlanders-maken-zich-opvallend-weinig-zorgen-over-cybersecurity

... laat een ander onderzoek zien dat vooral jongeren onbekommerd gebruik maken van onveilige wifi-netwerken.
https://www.cbs.nl/nl-nl/nieuws/2017/24/jongeren-onvoorzichtiger-op-onbeveiligde-wifi-netwerken

... trekt Mozilla de betrouwbaarheid van PKIoverheid niet langer in twijfel.
https://tweakers.net/nieuws/132027/mozilla-trekt-vertrouwen-in-certificaatautoriteit-staat-der-nederlanden-niet-in.html

... mag een werkgever niet zomaar in de mail van zijn werknemers kijken. En als de e-mail extern gehost wordt, dan mag het hostingbedrijf die mail ook niet zomaar vrijgeven.
https://blog.iusmentis.com/2017/11/22/wanneer-mogen-mailbox-werknemer-klant-openen/

... heeft de Duitse overheid smartwatches voor kinderen verboden omdat kinderen ermee kunnen worden bespioneerd.
https://www.helpnetsecurity.com/2017/11/20/germany-kids-smartwatches-ban/

... toont dit animatiefilmpje voor- en nadelen van big data.
https://www.youtube.com/watch?v=qsqcyaJbzUI&t=10s

... is het bijna gedaan met de SOC-analist op instapniveau.
https://www.darkreading.com/analytics/death-of-the-tier-1-soc-analyst/d/d-id/1330446

... beschermt deze nieuwe, gratis DNS-service je tegen kwaadaardige websites.
https://www.cyberscoop.com/quad9-dns-service-global-cyber-alliance/

... slaan veel websites jouw toetsaanslagen en muisbewegingen op om ze te kunnen analyseren.
https://www.security.nl/posting/539830/Honderden+populaire+websites+sturen+toetsaanslagen+door

... is ‘uit’ niet altijd ‘echt uit’.
https://qz.com/1131515/google-collects-android-users-locations-even-when-location-services-are-disabled/

... hadden sommige HP-printers een ernstig beveiligingslek. Dat is nu gedicht, aldus dit artikel. Maar wanneer heb jij jouw printer voor het laatst gepatcht...?
https://www.security.nl/posting/540115/HP+dicht+ernstig+beveiligingslek+in+LaserJet-printers

... gaat Firefox je waarschuwen bij datalekken.
https://www.security.nl/posting/540233/Firefox+gaat+gebruikers+waarschuwen+voor+datalekken



Gepost door op 1 opmerking:
Labels: , , , , , ,

vrijdag 17 november 2017

Trojaans ei

Een kippenhoudende collega griste ’s ochtends nog gauw twee eieren mee uit het mandje in de keuken. Zijn vrouw had de dag ervoor gezegd dat ze de oogst van de afgelopen dagen ging koken. Zo’n hardgekookte eitje bij de lunch vindt die collega wel lekker. Groot was dan ook zijn teleurstelling toen hij op kantoor zijn broodtrommel opende en ontdekte dat niet alleen de schaal van een ei was gebroken, maar dat ook de rauwe inhoud ervan was uitgelopen. Hierdoor was hij niet alleen veroordeeld tot een eierloze lunch; ook een deel van zijn boterhammen moest hij weggooien omdat ze besmeurd waren met rauw ei. Daar zou je zomaar ziek van kunnen worden (als het ei besmet is met de salmonellabacterie).

Paarden leggen weliswaar geen eieren, maar ik wil hier toch even een brug slaan naar het paard van Troje – zo groot is die stap namelijk niet. In het mythologische Trojaanse paard zat ook iets anders dan de inwoners van Troje hadden verwacht. Van oudsher gebruiken we in de informatiebeveiliging de aanduiding ‘Trojaans paard’ voor een virus dat verborgen zit in een programma dat zich voordoet als een bonafide, vaak ‘gratis’ aangeboden programma. Maar ik ga het hier niet over virussen hebben. Met de bacterie van hierboven zijn ziekteverwekkers al voldoende aan bod geweest.

Welbeschouwd wemelt het van de niet-virale Trojaanse paarden. Neem nou een phishing-mailtje: dat is er in feite ook zo eentje. Er staat een belofte of een dreigement in, in ieder geval iets om je te verleiden tot een handeling waar je achteraf spijt van krijgt. Net als destijds van het binnenhalen van het paard van Troje.
 
Van de week hadden we thuis een andere vorm van een Trojaans paard. Een zogenaamde Microsoft-beller. “You have a problem with your computer!”, klonk het met een vet Indiaas accent. Nu is mijn hele gezin natuurlijk op de hoogte van deze zwendelpraktijken, dus mijn vrouw antwoordde keurig: “Oh noooo!” Ze weten thuis namelijk allemaal dat je moet proberen om die lui zo lang mogelijk aan het lijntje te houden, want in die tijd kunnen ze geen schade aanrichten bij mensen die dit misselijke verschijnsel nog niet kennen – in de eerste helft van dit jaar zijn zo’n achthonderd Nederlanders er ingetrapt, zegt de politie. In werkelijkheid zullen het er nog meer zijn; mensen die zich kapot schamen zullen zich doorgaans niet melden. Het gesprek kabbelde voort. “Wat ziet u op uw computer?” “Ik zie een zwart scherm.” (Hij stond zogenaamd uit, haha.) Toen het lang genoeg had geduurd, kreeg de beller uit India de wind van voren. Hij repliceerde snoeihard: “Go to hell!” Maar mijn vrouw had het laatste woord: “After you.” Jammer dat ik nooit thuis ben als ze bellen (dit was al de vijfde keer of zo).

Waarom ik dit een Trojaans paard noem? Omdat ze je willen doen geloven dat ze je gaan helpen. De melding dat je een probleem hebt en de geruststelling dat ze je kunnen helpen is het paard. En dat ze juist zelf een probleem veroorzaken, dat is de onverwachte inhoud. Doordat ze je ertoe verleiden hen de controle over je computer te geven, kunnen ze alles doen wat ze willen. Ze vragen geld voor hun ‘diensten’ en er zijn gevallen bekend waarin ze, als je het bedrag via internetbankieren gaat overmaken, het bedrag gauw nog even verhogen. Eén Nederlander was na zo’n telefoontje 70 duizend euro armer. Of ze laten je een programma installeren dat stiekeme dingen doet zoals het verzamelen van bankgegevens om je nog een keer een poot uit te kunnen draaien. Ransomware kan natuurlijk ook. Soms laten ze je een website bezoeken waarop je een creditcardnummer moet achterlaten of andere dingen in hun voordeel moet doen. Wat het ook is, het draait altijd om geld. Jouw geld.

Nog even terug naar die eieren. Er is een simpele test om erachter te komen of een ei rauw of gekookt is. Gewoon een flinke zwieper geven zodat het om z’n as gaat tollen. Komt het ei snel tot stilstand, dan is het rauw. Een gekookt ei blijft een poosje ronddraaien. Maar ja, die test doe je natuurlijk alleen als je twijfelt aan de staat van het ei.

En in de grote boze buitenwereld …


... bevat The Motherboard Guide to Not Getting Hacked veel goede tips.
https://motherboard.vice.com/en_us/article/d3devm/motherboard-guide-to-not-getting-hacked-online-safety-guide

... zijn kassasystemen geliefde doelwitten voor hackers.
https://www.ciodive.com/news/pos-consumer-data-breach-credit-card/510701/

... klopt het Witte Huis zich op de borst over de openheid van de Amerikaanse regering ten aanzien van vulnerabilities (maar ze bepalen wel per geval of ze de kwetsbaarheid niet liever geheim houden).
https://www.whitehouse.gov/blog/2017/11/15/improving-and-making-vulnerability-equities-process-transparent-right-thing-do
http://www.zdnet.com/article/trump-administration-releases-secret-rules-on-disclosing-security-flaws/

... pleit deze columnist voor fatsoensregels in plaats van privacyregels.
https://www.computable.nl/artikel/columns/security/6245970/1509086/spoelstra-spreekt-privacy-lek.html

... hebben onderzoekers een vliegtuig gehackt via radiocommunicatiekanalen. Wát ze precies hebben gehackt is niet bekendgemaakt.
https://www.theregister.co.uk/AMP/2017/11/15/airplanes_vulnerable_rf_hacking/

... is er veel vraag naar gestolen iPhones. En dus hebben hackers een manier bedacht om ze te kunnen ontgrendelen.
http://blog.trendmicro.com/trendlabs-security-intelligence/physical-theft-meets-cybercrime-illicit-business-selling-stolen-apple-devices

... kunnen goed gelijkende familieleden jouw met Face ID beveiligde iPhone X ontgrendelen.
https://www.wired.com/story/10-year-old-face-id-unlocks-mothers-iphone-x/

... beweren Vietnamese onderzoekers dat ze Apple Face ID om te tuin kunnen leiden met een masker. De auteur van dit artikel is sceptisch.
https://arstechnica.com/information-technology/2017/11/hackers-say-they-broke-apples-face-id-heres-why-were-not-convinced/

... wordt zweet misschien het volgende biometrische authenticatiemiddel. Wasmanden op slot!
http://www.news18.com/news/tech/your-sweat-may-be-more-secure-password-to-your-smartphone-1575163.html

... kun je crypto-geld niet alleen kopen, je kunt het ook genereren. Als iemand anders dat stiekem met behulp van jouw computer doet, dan heet dat cryptojacking.
https://nos.nl/artikel/2202729-hoe-websites-jouw-computer-gebruiken-om-crypto-geld-te-verdienen.html

... vind je hier de meest hackbare cadeaus voor de feestdagen.
https://www.helpnetsecurity.com/2017/11/14/hackable-holiday-gifts-2017/

... kun je proberen om uit het adresboek van Facebook te blijven.
https://www.nrc.nl/nieuws/2017/11/13/hoe-ontsnap-je-aan-facebooks-superadresboek-14003394-a1580985

... mag de politie vluchtende boeven niet stoppen door hun auto te hacken.
https://www.security.nl/posting/539294/Minister%3A+Politie+mag+computersysteem+auto+niet+binnendringen



Gepost door op Geen opmerkingen:
Labels: , , , , , ,

vrijdag 10 november 2017

Geheime maatregelen

Eens in de zoveel tijd steken wij de zaterdagse grens over en gaan we boodschappen doen in Duitsland. In de plaatselijke megasupermarkt vindt dan altijd een bijzonder ritueel plaats. Als je bij de kassa eindelijk aan de beurt bent, dan staat de caissière even op om een nummer af te lezen van een plaatje dat onderaan elk winkelwagentje is bevestigd. Dat nummer toetst ze vervolgens in op de kassa.

Het officiële verhaal is dat op deze manier het gebruik van de wagentjes wordt gemonitord – dus hoe vaak elk wagentje aan de beurt is. Ik geloof dat niet. Dat hoef je namelijk helemaal niet te monitoren. Daar zijn wiskundige modellen voor. Simulaties. Je hebt n wagentjes die buiten in m rijen staan opgesteld. Je kunt dan prima uitrekenen hoeveel wagentjes er bij een bepaalde drukte (aantal klanten per uur) in gebruik zijn en of er een evenredige verdeling over alle wagentjes is. Daarmee bespaar je tijd en de caissière hoeft die gymoefening niet meer te doen.

Maar wat is dan de echte reden voor het aanbrengen van nummerplaatjes en de bijbehorende personeelsinstructie? Mijn theorie: door naar de onderkant van het wagentje te kijken ziet de caissière automatisch of je niet ‘vergeten’ bent een artikel op de band te leggen. Ze hebben daar namelijk geen hulpmiddelen voor als spiegels of fresnel-lenzen (dat zijn die geribbelde schijfjes die in auto’s vaak worden gebruikt als stoplichtkijker of als achteruitrijhulp voor bestelauto’s en die je elders ook wel bij supermarktkassa’s ziet; je kunt er als het ware een beetje mee om de hoek kijken). Zonder op te staan kunnen ze in die supermarkt niet in je wagentje kijken.

Als mijn theorie klopt, dan is er sprake van een geheime beveiligingsmaatregel. De klant weet niet dat het een controlemaatregel is, maar – en dat is bijzonder – de controleur weet óók niet dat hij deze controlemaatregel uitvoert. De maatregel moet ergens in de hogere echelons van de organisatie bedacht zijn, compleet met de smoes. Waarschijnlijk weet ook de filiaalmanager het niet eens maar is het een vondst van het hoofdkantoor.

Hebben we in de informatiebeveiliging ook zulke kafkaëske maatregelen? Laten wij ergens taak A uitvoeren met de bedoeling dat daardoor ongemerkt taak B wordt uitgevoerd? Ik zit daar nu al een tijdje over na te denken, maar ik weet geen voorbeelden waarbij het management een maatregel heeft bedacht waarvan de uitvoerenden de ware reden niet kennen. Maar misschien hebben ze het mij ook niet verteld.

Wat we wél hebben is wat je bijvangst zou kunnen noemen. De virusscanner ziet al lang niet meer alleen virussen, maar álle malware. Bij wijze van opfrisser: malware = malicious software (en dus is de uitspraak ‘melwèr’, niet het vaak gehoorde ‘môlwèr’), ofwel kwaadaardige programmatuur. De betekenis van ‘kwaadaardig’ hangt af van de context. Zoals een collega onlangs zo mooi mailde: bepaalde tools noemen we hacktool als ze in handen zijn van een kwaadwillende, maar het heet een security assessment tool als een beveiliger ermee werkt. Als iemand in de logging van de malwarescanner opduikt met een password cracker of een network sniffer, om maar eens iets te noemen, dan zie ik dat als een mogelijk beveiligingsincident en maak er werk van. Leg maar eens uit waarom je die spullen hebt.

Een andere vorm van bijvangst vindt regelmatig plaats bij het scannen van mail. Een content scanner ziet erop toe dat we geen mail naar buiten sturen die malware of andere ongewenste inhoud bevat. In bepaalde gevallen kun je er via de content scanner achter komen dat iemand probeert om iets naar buiten te mailen waarvan je je moet afvragen of dat wel verstandig is. Ook dat middel geeft dus handvatten om medewerkers aan te spreken op gedrag dat mogelijk in strijd is met de regels, terwijl dat niet per se de reden is geweest voor de aanschaf van dat middel.

Omdat we slechts zo af en toe naar die Duitse supermarkt gaan, slaan we veel boodschappen in. Daar zitten ook volumineuze zaken als wc-papier en keukenrollen bij. Daarom rijden we niet met één, maar met twee wagentjes door de winkel. Maar we leggen wel alles in één keer op de band. Leidt dat tot stress bij de caissières omdat ze ongetwijfeld slechts één invoerveld voor het nummer van het wagentje hebben? Nee hoor, ze knipperen niet eens met hun ogen, ondanks dat je nog wel eens hoort dat Duitsers gewoonlijk vrij strak in de uitvoering van regels zitten. Voor mij des te meer indicatie dat hier iets anders aan de hand is dan ze ons willen doen geloven.

En in de grote boze buitenwereld …


... zit je altijd een beetje op Facebook, ook al heb je geen account. Met dank aan je vrienden.
https://www.grahamcluley.com/you-cant-quit-facebook/

... loopt Estland voorop met de digitale samenleving, maar nu hebben ze toch even een fors probleem. En er is een link met een Nederlands bedrijf.
https://arstechnica.com/information-technology/2017/11/flaw-crippling-millions-of-crypto-keys-is-worse-than-first-disclosed/?amp=1

... moet je even je beveiligings- en pricacy-instellingen in iOS 11 checken.
https://www.wired.com/story/ios-11-privacy-security-settings/

... kun je je naaktfoto’s naar Facebook sturen als je bang bent dat ze uitlekken.
https://www.rtlnieuws.nl/technieuws/bang-dat-je-naaktfotos-lekken-stuur-ze-dan-naar-facebook

... maken phishers graag gebruik van homografen.
https://www.grahamcluley.com/whatsapp-voucher-scam/

... heeft een Twitter-employee op zijn laatste werkdag het account van Donald Trump uitgezet.
https://blog.iusmentis.com/2017/11/07/dikke-problemen-grappenmaker-trump-twitter-haalde/

... raakte nog iemand een social media-account kwijt, maar dan door phishing.
https://www.volkskrant.nl/tech/hans-smits-verloor-zijn-instagram-account-met-215-000-volgers-door-een-verkeerde-klik~a4533039

... is phishing volgens Google de belangrijkste route om accounts te kapen.
https://www.security.nl/posting/538499/Google%3A+Phishing+voornaamste+oorzaak+gekaapte+accounts

... geeft de wet niets om data.
https://blog.iusmentis.com/2017/11/03/data-bestaat-juridisch-betekent-praktijk/

... hoor je niet zoveel over kwetsbaarheden in Linux, maar nu is er toch iets aan de hand met USB-sticks.
https://www.security.nl/posting/538300/Linux+kwetsbaar+voor+aanvallen+via+kwaadaardige+usb-sticks

... waarschuwt de politie voor malafide webshops die willen profiteren van de feestdagen.
https://www.politie.nl/nieuws/2016/december/2/04-voorkom-dat-je-slachtoffer-wordt-van-malafide-webshops-in-december.html

... willen de Amerikaanse luchtvaartautoriteiten meer biometrische gegevens van reizigers verzamelen.
https://www.security.nl/posting/538538/TSA+wil+meer+biometrische+data+van+passagiers+verzamelen

... krijgt ‘Hollandse wolkenlucht’ langzaam een heel andere betekenis.
https://www.cbs.nl/nl-nl/nieuws/2017/45/steeds-meer-nederlanders-in-de-cloud

Gepost door op Geen opmerkingen:
Labels: , , , , , , ,

vrijdag 3 november 2017

Beveiliging voor eerlijke mensen

“Security for the honest people.” Deze uitdrukking hoorde ik een poos geleden op een conferentie. Ik herinner me nog dat er besmuikt werd gelachen in de zaal, de lach der herkenning. Het ging over beveiligingsmaatregelen die “lief” zijn, die zich richten op – of zo je wilt: tegen – gebruikers die de beste bedoelingen hebben maar soms de fout in gaan. Deze maatregelen werken zoals de aai over de bol van een kind met de liefdevol uitgesproken vermaning: “De volgende keer beter opletten hè.”

Eerlijke mensen verdienen goede beveiliging. We proberen ze aan alle kanten ruim in bubbeltjesplastic in de pakken om ze te beschermen tegen de ruwe buitenwereld die het internet soms kan zijn. “Soms kan zijn”, want laten we wel wezen: ook het internet is meestal lief en eerlijk. Anders was het nooit geworden wat het al jaren is: je beste vriend, een alwetende vraagbaak en een winkel die het voorstellingsvermogen van je grootouders ver te boven gaat. Maar er zijn dus ook van die momenten dat het internet zich van je afkeert. Je hebt geshopt bij de firma List & Bedrog, je hebt een virus opgepikt of iemand is met jouw identiteit aan de haal gegaan. Dat zijn slechts voorbeelden, want er kan nog veel meer misgaan.

Veel bedrijven verdienen een goede boterham aan beveiliging voor eerlijke mensen. Ze verkopen virusscanners, VPN-software of houden de reputatie van webwinkels in de gaten. Dat zijn stuk voor stuk zinvolle toepassingen. Soms wordt bij de marketing ervan ook een aardige dosis FUD ingezet: fear, uncertainty & doubt – ze maken je bang en onzeker, waardoor je gaat twijfelen aan je veiligheid en vervolgens hun producten koopt. Ik gebruik thuis een gratis virusscanner van een respectabele fabrikant. Maar omdat gratis nu eenmaal niet bestaat, serveert dat programma regelmatig pop-ups die roepen dat het één of ander niet veilig is. En laat dat bedrijf daar nu nét een handig product voor hebben. Nee, niet gratis. Het is voor de leek moeilijk om te doorgronden of hij inderdaad hals over kop dat product moet aanschaffen of dat het bangmakerij is.

Jarenlang riepen informatiebeveiligers in koor dat de grootste bedreiging van binnenuit komt. Medewerkers die te weinig beveiligingsbewustzijn hadden vormden een groot gevaar, evenals beheerders die misbruik zouden kunnen maken van hun verregaande autorisaties. Dit geroep is met de introductie van het voorvoegsel cyber verstomd – onze aandacht is verlegd naar externe dreigers, van cybercrimineel tot aan statelijke actoren aan toe. Gevolg: we zijn tegenwoordig vooral bezig met security against the dishonest people. Althans, daar ligt de focus, dat gebied staat in de schijnwerpers.

We mogen de hardwerkende, goedbedoelende medewerker niet uit het oog verliezen, want het zijn natuurlijk de eerlijke mensen die last hebben van de oneerlijke mensen. Dat geldt niet alleen in de informatiebeveiliging, maar ook voor de rest van het leven. Lieve maatregelen die op de gebruiker zijn gericht, zoals het in quarantaine zetten van besmette bestanden, zijn daarvoor niet voldoende. Er zijn ook agressievere maatregelen nodig: malafide sites uit de lucht laten halen, aangifte doen bij geconstateerde misstanden, maar vooral: intensief samenwerken. Door informatie met elkaar te delen staan bedrijven en overheden sterker in hun schoenen. Gebeurt dat ook nog eens op mondiale basis, zoals bijvoorbeeld het NCSC dat voor ons doet, dan moet het toch mogelijk zijn om flinke klappen uit te delen. Ik heb echter niet de illusie dat we alle ellende kunnen uitbannen. De politie bestaat al heel lang maar er wordt nog steeds gemoord en gestolen. Waar wel beduidend minder dan wanneer ze er niet zouden zijn.

En in de grote boze buitenwereld …


... onderbouwt de statistiek toch nog steeds de stelling dat de meeste bedreigingen van binnenuit komen.
https://www.cbs.nl/nl-nl/nieuws/2017/39/een-op-vijf-bedrijven-slachtoffer-van-cyberaanval

... onthoudt je trui straks je wachtwoord.
https://nakedsecurity.sophos.com/2017/11/02/how-to-wear-your-password-on-your-sleeve-literally/

... legt de AIVD uit hoe het nou écht zit met de sleepwet. Volgens hen dan.
https://www.aivd.nl/onderwerpen/nieuwe-wet-op-de-inlichtingen--en-veiligheidsdiensten

... wil Mozilla de certificaten van PKIoverheid niet meer vertrouwen. En dat komt door de sleepwet.
https://www.bleepingcomputer.com/news/security/mozilla-wants-to-distrust-dutch-https-provider-because-of-local-dystopian-law/

... heeft de buitenlandse pers ons gestuntel met de e-mailbeveiliging van politici opgepikt.
http://www.computerweekly.com/news/450429084/Spoofing-of-Dutch-politicians-causes-heated-debate

... lag in Londen een USB-stick op straat met daarop heel veel informatie over de beveiliging van luchthaven Heathrow.
http://www.bbc.com/news/uk-41792995

... keert je autoverzekering niet uit als je brokken maakt met een zelfrijdende auto die je niet hebt gepatcht.
https://www.theregister.co.uk/2017/10/19/uk_automated_vehicles_bill

... heeft de politiek opeens (na een tv-uitzending) aandacht voor gehackte IoT-devices.
https://www.security.nl/posting/537532/PvdA+wil+cijfers+over+aangiftes+van+gehackte+IoT-apparaten

... kan de DigiD-app je paspoort uitlezen.
https://www.security.nl/posting/537651/DigiD-app+voor+Android+kan+nu+identiteitsbewijs+controleren

... kon iedereen jouw energieverbruik inzien.
https://www.security.nl/posting/537719/Energiemaatschappij+lekte+energieverbruik+Nederlandse+huishoudens

... zitten er gaten in de emmers van de Amazon-cloud, waardoor gegevens van Australiërs uitlekten.
https://www.security.nl/posting/537753/Privédata+50_000+Australiërs+via+open+Amazon+S3-bucket+gelekt

... was de Google-cloud juist te strak ingesteld, waardoor bestanden niet meer toegankelijk waren.
https://www.security.nl/posting/537834/Google+blokkeert+door+fout+toegang+tot+bestanden+in+Google+Drive

... moet je nooit vertrouwen op wat je op andermans scherm ziet als het om geld gaat.
https://www.security.nl/posting/537841/Politie+waarschuwt+voor+oplichting+via+betaalapp+ABN+Amro



Gepost door op Geen opmerkingen:
Labels: , , , , ,
Abonneren op: Posts (Atom)