Security (b)log: december 2017

vrijdag 15 december 2017

Waar ben je?

Sinds anderhalf jaar publiceer ik de Security (b)log ook extern*. Dat doe ik bij Blogger en Blogger is van Google. En omdat Google een gegevensfabriek is, fabriceren ze gegevens over alles wat los en vast zit. Zo ook over mijn blog. En ze zijn niet te beroerd om die gegevens te delen met de veroorzaker ervan.

Dit kaartje wordt getoond op de pagina ‘Statistieken’ onder het kopje ‘Publiek’. De titel van het kaartje is ‘Pageviews per land’. De meeste lezers komen natuurlijk uit Nederland (dat kun je amper zien, maar geloof me nou maar). Frankrijk en Polen doen het ook goed en de VS, Oekraïne, België en Duitsland zijn ook ingekleurd. Soms hebben ook Rusland, India, Brazilië of andere landen een kleurtje op deze dynamische kaart.

Wow, zie ik je denken, een Nederlandstalige blog met zo’n internationaal bereik? Dat zou wel leuk zijn, maar het kan eigenlijk niet kloppen. Alleen al vanwege de taal. En daarnaast krijg ik hits uit landen waarin weinig en vermoedelijk zelfs geen mensen weten dat ik besta, laat staan dat ik schrijf.

Maar hoe komen die hits dan op de kaart? Waarschijnlijk doordat mensen VPN’s gebruiken: virtual private networks. Die doen twee dingen. Om te beginnen beveiligen ze je internetverkeer door een privétunnel onder de digitale snelweg voor je aan te leggen, zodat jouw internetverkeer beveiligd is tegen inzage door derden. Daar hoort wel een fikse kanttekening bij: je internetprovider kan jouw verkeer nu ook niet meer inzien, maar je VPN-provider wel (het gebruik van encryptie – bijvoorbeeld middels certificaten – laat ik hier even buiten beschouwing). De keus wie van die twee je het meest vertrouwt is dus ook van belang. Verder geeft een VPN je de mogelijkheid om je virtueel te verplaatsen naar een ander land. Zo was ik op Prinsjesdag op een conferentie in Londen en in de pauze wilde ik even naar wat live tv-beelden kijken. Dat mocht niet van de NOS. Toen instrueerde ik mijn VPN-app om me naar Nederland te verplaatsen en voilà, ik kon live naar de balkonscène kijken. Ach ja, het was dat of de beursvloer op.

Maken dan veel mensen gebruik van een VPN? Een deel van mijn lezers bestaat uit vakgenoten. Die groep is van nature eerder geneigd om dergelijke tools te gebruiken. De vraag is dan alleen waarom ze zouden kiezen voor landen als Polen of Oekraïne als virtuele vestigingsplaats. Dat ligt niet voor de hand.

Misschien kiezen ze dat land helemaal niet zelf, bijvoorbeeld doordat ze gebruik maken van het Tor-netwerk. Als je met de Tor-browser het internet op gaat, dan ga je niet rechtstreeks vanuit jouw computer naar de website die je intikt. Je maakt een aantal tussenstappen via servers in andere landen. Op die manier wis je je sporen uit: aan de kant van de server is niet te achterhalen waar jij werkelijk zit. Tor kiest zelf een route – iedere keer een andere. Dat heeft niet als primair doel dat je content kunt ontsluiten waar je vanuit je feitelijke locatie niet bij mag, zoals Prinsjesdagbeelden. Nee, het gaan om het waarborgen van je anonimiteit. Een belangrijke doelgroep hiervoor zijn mensenrechtenactivisten in landen waar mensen onderdrukt worden. Veel mensen denken dat Tor één en al criminaliteit is. Het klopt dat criminelen dankbaar gebruikmaken van het dark web, maar dat moet je vergelijken met het oneigenlijke gebruik van dynamiet. Alfred Nobel had niet de bedoeling dat zijn uitvinding zou worden gebruikt om mensen op te blazen. Ook met een hamer kun je iemand doodslaan.

Je ziet het niet op het kaartje, maar het staat wel in de bijbehorende tabel: er zijn ook lezers op Curaçao. Het leuke daaraan is dat ik weet dat deze pageviews echt zijn en ik weet zelfs welke twee mensen dat zijn, want ik heb ze zelf op het bestaan van deze blog gewezen. Wees gegroet! Aan eventuele lezers die buiten het Nederlandse taalgebied wonen zou ik willen vragen: laat me even weten dat je écht een stip op mijn kaart bent.

*) securityblogpatrick.blogspot.nl

Dit is de laatste Security (b)log van dit jaar.

En in de grote boze buitenwereld …

... kunnen VPN-apps helaas ook fouten bevatten.

· https://www.darkreading.com/mobile/man-in-the-middle-flaw-in-major-banking-vpn-apps-exposes-millions/d/d-id/1330586

· https://www.security.nl/posting/543229/Fortinet+vpn-software+gebruikte+hardcoded+decryptiesleutel

... is de Tor-browser best wel populair.

https://www.security.nl/posting/543086/Tor+Browser+downloadt+dagelijks+2%2C1+terabyte+aan+updates

... is beveiligingsbedrijf Fox-IT gehackt.

· https://www.security.nl/posting/543114/Securitybedrijf+Fox-IT+doelwit+van+man-in-the-middle-aanval

· https://blog.fox-it.com/2017/12/14/lessons-learned-from-a-man-in-the-middle-attack/

... wist een hacker in te breken op het netwerk van een Australische luchthaven.

https://hotforsecurity.bitdefender.com/blog/australian-airport-hack-was-a-near-miss-says-governments-cybersecurity-expert-19326.html

... legt dit artikel uit hoe en door wie je online wordt gevolgd. En hoe je dat kunt inperken.

https://lifehacker.com/how-to-reclaim-your-digital-privacy-from-online-trackin-1820878546

... kun je een NAS beter niet via het internet benaderbaar maken.

https://www.kaspersky.com/blog/nas-security/20446/

... heeft een Russische hacker voor de rechter bekend dat hij de Amerikaanse Democratische Partij heeft gehackt. In opdracht van zijn geheime dienst.

https://www.volkskrant.nl/buitenland/russische-hacker-onthult-namens-geheime-dienst-clinton-te-hebben-gehackt-is-dit-de-smoking-gun~a4545064

... moet je je fidget spinner maar niet aan je telefoon koppelen. Want misschien belt hij anders naar huis.

https://www.hackread.com/this-fidget-spinner-app-is-sending-user-data-to-chinese-server

... trappen nog teveel mensen in valse e-mails.

https://www.rtlnieuws.nl/technieuws/40000-nederlanders-trappen-in-valse-e-mail-waarmee-bankgegevens-worden-gestolen

… houdt de Fraudehelpdesk een mooi overzicht van actuele phishingmails bij.

https://www.fraudehelpdesk.nl/sub-vragen/phishingmails/

... geeft deze infographic aardige tips met betrekking tot phishing.

https://digitalguardian.com/blog/dont-get-hooked-how-recognize-and-avoid-phishing-attacks-infographic

... werkt phishing ook via Skype.

https://www.nixu.com/blog/how-own-company-skype-phishing-101

... blijven USB-sticks lastig voor organisaties.

https://www.helpnetsecurity.com/2017/12/12/enterprise-usb-security/

... bezorgt de snelle waardestijging van de bitcoin ransomewaremakers hoofdbrekens.

http://www.zdnet.com/article/ransomwares-bitcoin-problem-how-price-surge-means-a-headache-for-crooks/

... wil je niet gedoxt worden.

https://www.wired.com/story/what-do-to-if-you-are-being-doxed/

... heeft de sleepwet een prijs gewonnen.

https://nos.nl/artikel/2207112-prijs-grootste-privacyschending-naar-kabinet-wegens-aftapwet.html

... staat er alwéér een keylogger op HP-laptops.

https://www.grahamcluley.com/hps-second-laptop-keylogger-less-year/

... bespioneren de Chinezen de Duitsers via LinkedIn.

http://www.bbc.com/news/world-europe-42304297

... mogen bepaalde ‘slimme koffers’ niet meer in het vliegtuigruim. (Terwijl laptops daar juist in sommige gevallen in moeten...)

https://lifehacker.com/three-us-airlines-will-start-banning-some-smart-luggage-1821167556

... heeft de Twitter-employee die Trumps account blokkeerde gewoon de procedure gevolgd.

https://techcrunch.com/2017/11/29/meet-the-man-who-deactivated-trumps-twitter-account/

... geven EV-certificaten toch een beetje schijnveiligheid.

https://www.security.nl/posting/542799/Onderzoeker+demonstreert+probleem+met+EV+SSL-certificaten

... zijn ook gewone certificaten niet altijd veilig tegen een negentien jaar oude aanval.

https://www.security.nl/posting/542805/Variant+op+19+jaar+oude+aanval+maakt+ontsleutelen+TLS-verkeer+mogelijk

... adviseert de FBI over IoT-spullen.

https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/fbi-tech-tuesday---building-a-digital-defense-against-the-internet-of-things-iot

vrijdag 8 december 2017

Afrekening

Sinterklaas was dit jaar weer gul, meldde de radio. “De goedheiligman heeft dit jaar zeshonderd miljoen euro meer besteed dan vorig jaar. Dat is zeven procent extra”, aldus de nieuwslezer. Zo, dat is veel, mompelde ik voor mij uit, maar omdat ik aan het autorijden was luisterde ik met hooguit een half oor.

Het bericht bleef echter hangen. Toch maar eens even wat aan rekenen. Zeshonderd miljoen gedeeld door de Nederlandse bevolking, dat is vijfendertig euro per persoon – van zuigeling tot grijsaard. En die zeven procent, dat zou betekenen dat de totale uitgaven per persoon gemiddeld vijfhonderd euro bedragen. Omdat de allerkleinsten zelden cadeaus kopen, heb ik hetzelfde rekensommetje gemaakt voor mensen vanaf tien jaar. Dan bedraagt de stijging een kleine veertig euro en het totale bedrag is dan vijfhonderdzestig euro per persoon.

Dat lijkt inderdaad veel hè? Eind november schreef het FD dat het doorsnee huishouden dat dit jaar Sinterklaas viert voor gemiddeld zevenenzeventig euro aan cadeaus koopt. Dat gaat dus over een heel huishouden, dat volgens deze krant een kleine veertien procent uitgeeft van wat het radiobericht ons per persoon wil laten uitgeven.

Integriteit van gegevens is één van de aspecten van informatiebeveiliging. Het betekent dat de gegevens juist en volledig moeten zijn. Vooral als het om geld gaat is dat erg belangrijk: het maakt nogal uit of de bank een tientje overmaakt of een miljoen, doordat iemands vinger op de nul bleef hangen. Nou valt zo’n verschil snel genoeg op: jij bent niet gewend aan dergelijke bedragen op je rekening en ik vermoed dat bij de bank ook ergens een belletje gaat rinkelen, nog voordat de boeking daadwerkelijk heeft plaatsgevonden.

Bij nieuwsvoorziening is dat anders. Kijk, als ze melden dat de bevolking dit jaar met een miljoen is gegroeid, dan ga je al snel vermoeden dat daar een nulletje teveel in staat. Je krijgt echter ook veel getallen voorgeschoteld waarbij je lang niet altijd een eigen referentiekader hebt, waardoor je moeilijk kunt beoordelen of het wel klopt. Maken we nu de sprong van een nieuwsbericht naar een database met daarin miljoenen getallen en andere gegevens, dan moge duidelijk zijn dat een mens niet in staat is om de integriteit van de database te bewaken.

Gelukkig zijn er wat mogelijkheden om dat technisch op te vangen. In programmatuur kun je waarschijnlijkheids-controles opnemen, die fouten eruit halen die veroorzaakt worden door op je toetsenbord te leunen. Het databasesysteem zelf beschikt over mechanismen die ‘omgevallen bitjes’ onderscheppen en deze fouten – tot op zekere hoogte – zelfs automatisch kunnen corrigeren. Dat is gewoon een kwestie van wiskunde.

Waar we ons veel moeilijker tegen kunnen beveiligen zijn opzettelijke fouten. Dan is niet alleen de technische integriteit in het geding, maar ook de persoonlijke. Maar er zijn wel wat mogelijkheden. Je kunt dat bijvoorbeeld voorkomen door voor belangrijke transacties het vierogenprincipe te hanteren, zodat nooit één persoon alleen zijn gang kan gaan. Je kunt sancties in het vooruitzicht stellen – strafontslag bijvoorbeeld, plus juridische stappen. Maar tegen medewerkers die kleine manipulaties plegen doe je denk ik niet zoveel. Ja, je hebt ze bij indiensttreding gescreend. Dat is een groot woord voor een VOG die bovendien tien jaar geleden werd afgegeven. Mensen veranderen, worden beïnvloed, misschien wel buiten hun wil om. Als je het motto ‘vertrouwen is goed, controle is beter’ serieus wilt toepassen, dan schiet zo’n eenmalige verklaring omtrent het gedrag te kort. Betrokken collega’s en managers zijn de eerste en misschien wel de belangrijkste verdediging tegen medewerkers die de fout in (dreigen) te gaan.

Deze blog heb je te danken aan mijn zoon, een havist met een kritisch gehoor. Hij was erbij toen dat bericht over de portemonnee van de Sint in het radionieuws zat en ook toen het de dag erna nog een keer te horen was. Beide keren riep hij spontaan dat die cijfers niet konden kloppen. En dat ik daar maar eens over moest bloggen. Ik beticht hem wel eens van pitbullgedrag, maar zijn vasthoudendheid heeft ook positieve kanten. Goed gedaan jongen.