donderdag 29 maart 2018

Statistieken


Diverse grote bedrijven publiceren jaarlijks of soms zelfs ieder kwartaal rapporten waarin zij verslag doen van de beveiligingstoestand in de wereld.  Ik heb eens een paar van die rapporten naast elkaar gelegd en de belangrijkste bevindingen eruit geplukt om daar vervolgens een persoonlijke duiding aan te geven. Een soort alternatief paaseieren zoeken met een boodschap.

Een opmerkelijk gegeven is dat in 2017 in Europa twintig procent minder beveiligingsincidenten werden gemeld dat in het jaar ervoor. Noord- en Zuid-Amerika zagen samen juist een stijging van zesenveertig procent. Zuidoost-Azië duikelde dan weer achtenvijftig procent naar beneden, terwijl Oceanië weer met tweeënveertig procent steeg. Toegegeven, de verdeling van de wereld is wat grof en er ontbreken wat delen zoals de rest van Azië – inclusief Rusland – en heel Afrika. Maar zo’n rapportenschrijver put natuurlijk uit de gegevens die de producten van zijn bedrijf verzamelen en dat verklaart deze kleine wereld. Wat verder opvalt is dat de dalers in het laatste kwartaal flink stegen terwijl de stijgers in diezelfde periode juist scherp daalden. Kortom: het is een achtbaan; dit zijn cijfers die een leuk plaatje opleveren, maar verder geen houvast bieden voor toekomstige ontwikkelingen.

Een andere bevinding dan: ransomware wordt minder, coinminers worden meer. Cybercriminelen hebben een nieuwe manier ontdekt om gemakkelijker aan geld te komen. Bovendien doen coinminers minder pijn dan ransomware. Je hoeft geen weerloze burgers en bedrijven meer af te persen, je maakt alleen maar misbruik van hun computercapaciteit. In het vierde kwartaal van vorige jaar steeg het aantal aangetroffen coinminers met maar liefst acht-en-een-half duizend procent. En het aantal ransomware-varianten steeg weliswaar met bijna de helft, maar er ontstonden minder nieuwe ‘families’ van ransomware en bovendien daalde het geëiste losgeld met meer dan de helft naar gemiddeld 522 dollar.

Op welke manieren worden we zoal aangevallen? We worden gehackt, we krijgen malware binnen (voor tweederde via kwaadaardige bijlagen in e-mail en ook steeds vaker op Macs), de boeven maken gebruik van gestolen en/of zwakke wachtwoorden en ze doen aan social engineering. “Ze”, dat zijn in driekwart van de gevallen externe actoren – de dreiging komt dus in één kwart van de gevallen vanuit de eigen organisatie. Georganiseerde misdaad zit achter de helft van alle aanvallen terwijl staten verantwoordelijk zijn voor bij een vijfde van de aanvallen. Financiële organisaties zijn hun belangrijkste doelwit (een kwart van de aanvallen richt zich op hen). Geldelijk gewin blijft dus hun belangrijkste drijfveer (driekwart van de aanvallen), maar spionage is ook goed voor een vijfde deel van de aanvallen (dat matcht wonderwel met het percentage aanvallen door statelijke actoren). Uiteindelijk zit ook daar natuurlijk geld achter. Een ander rapport noemt de gezondheidszorg als belangrijk doelwit, met een stijging van het aantal aanvallen van ruim tweehonderd procent. Een gestolen medisch dossier brengt zo’n vijftig dollar op. Dat lijkt misschien wat magertjes, maar als je er maar genoeg hebt schiet het toch aardig op.

Nederlanders maken zich beduidend minder zorgen over hun online veiligheid dan de gemiddelde wereldburger: we scoren bijna dertig procent lager dan het gemiddelde van dertien onderzochte landen. Wij zijn sowieso het minst zorgelijk van al deze landen, al is onze score sinds 2014 wel met bijna negentig procent gestegen – waarmee we het hardst stijgen van allemaal. Voor de nationale veiligheid (lees: terrorisme) baart ons zorgen. In andere landen vreest men vooral identiteitsdiefstal en fraude met bankpasjes. Ik denk dat dat hier minder speelt omdat veel dingen in Nederland best goed geregeld zijn. Het onderzoek waar deze cijfers uit komen keek ook naar landen waarvan je op je klompen kunt aanvoelen dat je daar wat meer op jezelf bent aangewezen (ik noem de Filipijnen, Colombia en misschien toch ook maar de VS als voorbeeld).

Nu weten we dus waar we onze energie op moeten richten. Het onderscheppen van malware (waaronder ransomware en coinminers) blijft belangrijk, want het kost geld en is een belangrijke aanvalsvector – de malware niet als doel, maar als middel. Verder moeten we weten door wie we worden aangevallen en onze verdediging daarop aanpassen. De statistieken impliceren dat Nederland zich niet echt druk maakt om cybercriminaliteit, maar we hebben wereldwijd gezien wel de crème de la crème van de digitale speurders in huis. En ik geloof ook dat we, internationaal gezien, vaak al een goede uitgangssituatie hebben. Dan hoef je je vanzelf minder druk te maken.

Bronnen:
Unisys Security Index|McAfee Threats Report|Symantec Internet Security Threat Report|Verizon Data Breach Investigations Report

En in de grote boze buitenwereld …


... verzamelt Facebook gegevens over telefoongesprekken en sms-berichten van Android-gebruikers.
https://slate.com/technology/2018/03/facebook-acknowledges-it-kept-records-of-calls-and-texts-from-android-users.html

... is het misschien toch niet zo slim om elders in te loggen via Facebook.
https://www.nrc.nl/nieuws/2018/03/26/is-het-wel-verstandig-om-in-te-loggen-via-facebook-a1597104

... is Facebook bepaald niet het enige bedrijf dat ons bespioneert.
https://edition.cnn.com/2018/03/26/opinions/data-company-spying-opinion-schneier/index.html

... was de alarmcentrale van Baltimore besmet met ransomware, waardoor de centralisten moesten overstappen op handmatige procedures.
http://www.baltimoresun.com/news/maryland/crime/bs-md-ci-911-hacked-20180327-story.html

... heeft Amerika ook opeens een soort sleepwet.
https://cointelegraph.com/news/us-cloud-act-passes-giving-govts-easier-access-to-private-data-stored-by-us-tech-companies

... kan de QR-code-scanner op je iPhone je naar een heel andere plek brengen dan je dacht.
https://tweakers.net/nieuws/136673/apple-negeert-ios-bug-die-andere-url-toont-bij-gescande-qr-code.html

... arresteerde de Spaanse politie de leider van de cyberbende achter de Karbanak- en Cobalt-malware, waarmee wereldwijd honderd financiële instellingen zijn aangevallen en samen ruim een miljard euro lichter werden gemaakt.
https://www.europol.europa.eu/newsroom/news/mastermind-behind-eur-1-billion-cyber-bank-robbery-arrested-in-spain

... zijn er vorig jaar tienduizend datalekken gemeld bij de Autoriteit Persoonsgegevens.
https://autoriteitpersoonsgegevens.nl/nl/nieuws/10000-datalekken-gemeld-2017


Gepost door op Geen opmerkingen:
Labels: , , , , , , ,

vrijdag 23 maart 2018

Facebook onder vuur


Er is iets ingewikkelds aan de hand met Facebook. Dat kreeg ik in de gaten toen het journaal er voor het eerst melding van maakte en ik niet goed snapte wat er precies aan de hand was. Ook latere berichtgeving was complex, en dat kwam onder andere doordat er zoveel partijen bij betrokken zijn en de affaire zich deels afspeelt in de domeinen van spionnen, wetenschappers en politici. Ik ben in artikelen en filmpjes gedoken in een poging een helder beeld te kunnen schetsen van wat er nu echt van belang is voor de doorsnee Facebook-gebruiker. De spionnen laat ik voor nu buiten beschouwing omdat dat gedeelte van het verhaal niet direct betrekking heeft op het privacy-aspect van het verhaal.

Zoals je hopelijk weet, weet Facebook heel veel van jou (zelfs als je, zoals ik, geen actieve gebruiker bent). Facebook begon ooit als een sociaal platform. Het probleem was echter dat daar geen droog brood mee te verdienen valt. Kijk maar naar het Nederlandse alternatief Hyves: dat zette geen vervolgstap en ging ten onder. Facebook transformeerde echter van een sociaal platform in een datafabriek. En net zoals Schiphol meer verdient aan de winkels dan aan het vliegen, zo is de handel in gegevens nu de core business van Facebook en het sociale platform slechts het vehikel dat dit mogelijk maakt.

Het kon niet uitblijven dat anderen daarop afkwamen als motten op het licht. Eén van die mensen was onderzoeker Aleksandr Kogan. Hij bouwde in 2014 een app waarmee Facebook-gebruikers – in het kader van wetenschappelijk onderzoek – een persoonlijkheidstest konden doen. Wat je niet wist als je meedeed, was dat de app behalve jouw informatie ook informatie over jouw Facebook-vrienden oogstte. Dit leverde gegevens over ruim vijftig miljoen mensen op. Tegen de regels van Facebook in overhandigde Kogan deze gegevens aan het Britse bedrijf Cambridge Analytica. Facebook voelt zich bedrogen, terwijl Kogan roept dat hij slechts de zondebok is.

Een week geleden wist je waarschijnlijk nog niet dat bedrijven als Cambridge Analytica überhaupt bestaan. Ze leveren een merkwaardige dienst: het beïnvloeden van mensen. Dat doen ze bijvoorbeeld door eerst gedetailleerde informatie over de doelgroep te verzamelen en vervolgens heel gerichte informatie naar die mensen toe te sturen. Ze spelen daarbij bijvoorbeeld in op angsten die mensen hebben. Ben je bang voor geluidshinder? Dan krijg jij informatie voorgeschoteld waaruit blijkt dat de politieke tegenstander van de partij die Cambridge Analytica heeft ingehuurd de maximumsnelheid op de drukke weg bij jou in de buurt wil verhogen. Zie je het aantal woninginbraken in jouw woonplaats stijgen en ben je bang dat jij ook aan de beurt komt? Facebook toont je een filmpje waarop te zien is dat een bepaalde politieke partij (natuurlijk een klant van Cambridge Analytica) meer blauw op straat wil. Micro-targeting noemt zo’n bedrijf dat: ze maken geen algemeen verkiezingsspotje waar iedereen het mee moet doen, maar ze verzorgen heel specifieke, persoonlijke communicatie (en dat zeggen ze er niet bij). Of, zoals klokkenluider Christopher Wylie het zegt: vroeger stond de politicus op een zeepkist zijn verhaal te vertellen. Tegenwoordig fluistert hij iets in je oor. En in het oor van degene die naast je staat, maar dat kan een compleet ander verhaal zijn. Op die manier heeft Cambridge Analytica verkiezingen in diverse landen, waaronder de VS, beïnvloed. Met de app van Kogan waren ze zelfs in staat om privéberichten te oogsten (al laat Wylie in het midden of dat ook echt gebeurd is).

Oogsten is hier het sleutelwoord. Vorige week schreef ik dat privacy gaat over de controle die je hebt over wat een ander over jou te weten kan komen. Als je iets op een sociaal medium plaatst, dan doe je dat omdat je iets wilt delen met individuen; je denkt er niet bij na dat er een bedrijf is dat jouw en andermans berichten oogst en te gelde maakt of de verkregen informatie zelfs op geraffineerde wijze tegen jou gaat gebruiken. Maar in werkelijkheid vormt alles wat je doet gewoon een product dat een marktwaarde vertegenwoordigt.

Sommigen roepen dat er sprake is geweest van een datalek bij Facebook. Dat is echter niet het geval. Facebook is niet gehackt en ze hebben geen gebruikersgegevens op een vrij toegankelijke plek neergezet. Kogan maakte handig gebruik van de mogelijkheden die Facebook destijds bood – ook al kun je dat verwerpelijk noemen.

Wellicht sta je nu voor een dilemma: moet ik weg bij Facebook nu ik dit allemaal weet? Maar wat moet ik dan, hoor ik je denken – het is zo leuk en handig, iedereen gebruikt het! Je kunt wel overstappen naar alternatieven als Diaspora of Google+, maar zitten je vrienden daar ook? Krijg je ze mee? Waarschijnlijk niet, want ze denken allemaal: iedereen zit op Facebook en ik wil mijn vrienden niet uit het oog verliezen. Net zoals je ook je privé-contacten niet zover krijgt om WhatsApp te verruilen voor het privacy-vriendelijkere Signal. Als een platform eenmaal een overweldigend marktaandeel heeft, dan moet je sterk in je schoenen staan om het de rug toe te keren.
Je zou het een verslaving kunnen noemen. En Facebook en consorten zijn de dealers die in je behoeften voorzien. Als je blijft, zorg er dan wel voor dat je het platform zoveel mogelijk naar je hand zet. Hier onder vind je meer informatie over wat je zelf kunt doen en wat Facebook voor je doet. Ja, je leest het goed: Facebook doet ook iets. Ze willen namelijk je vertrouwen terugwinnen door krachtige maatregelen af te kondigen – en door uit te leggen dat ze zelf eigenlijk ook maar slachtoffer zijn.

En in de grote boze buitenwereld …


... kun je je Facebook-instellingen zodanig aanpassen dat jouw gegevens niet aan andere apps worden doorgegeven.
https://www.eff.org/deeplinks/2018/03/how-change-your-facebook-settings-opt-out-platform-api-sharing

... heeft Marc Zuckerberg maatregelen aangekondigd om herhaling te voorkomen. In zijn reactie op de gebeurtenissen schetst hij ook een compacte tijdslijn.
https://www.facebook.com/zuck/posts/10104712037900071

... bemoeit de politiek zich natuurlijk ook met de Facebook-affaire.
·  https://www.security.nl/posting/555217/Kamervragen+over+inzet+Facebook+voor+overheidscommunicatie
·  https://www.security.nl/posting/555066/Britse+minister%3A+Aanpassingen+Facebook+gaan+niet+ver+genoeg

... steekt de Realistic Facebook Security Simulator de draak met de privacy-instellingen van Facebook.
https://www.grahamcluley.com/facebook-security-simulator/

... zijn jongeren kritisch over de nieuwe inlichtingenwet.
https://www.trouw.nl/democratie/hoe-jonger-hoe-kritischer-over-de-nieuwe-inlichtingenwet-~a5c125b8

... lekt Siri privéberichten.
https://nakedsecurity.sophos.com/2018/03/22/how-siri-leaks-your-private-iphone-messages-and-how-to-stop-her/

... hoor je in een SOC bepaalde zinnen die je op scherp moeten zetten.
https://www.darkreading.com/operations/soc-in-translation-4-common-phrases-and-why-they-raise-flags/a/d-id/1331295

... geeft dit artikel een geactualiseerd overzicht van favoriete password-managers.
https://lifehacker.com/5529133/five-best-password-managers

... gaat Nederland de strijd aan met helpdeskfraudeurs (‘Microsoftbellers’).
https://tweakers.net/nieuws/136577/nederlandse-politie-om-en-techbedrijven-gaan-samen-helpdeskfraude-bestrijden.html

... kun je de Bitcoin-blockchain ook handig gebruiken om er bestanden in te verstoppen. Kinderporno bijvoorbeeld, waardoor je opeens strafbaar bent wanneer je die blockchain op je computer hebt staan.
https://fc18.ifca.ai/preproceedings/6.pdf

... kunnen fysieke crypto-wallets (voor het veilig opslaan van je bitcoins) natuurlijk ook fouten bevatten.
https://krebsonsecurity.com/2018/03/15-year-old-finds-flaw-in-ledger-crypto-wallet/

... gaat Nederland cyberaanvallen vergelden.
https://www.telegraaf.nl/nieuws/1808921/op-digitaal-oorlogspad

... kan minister Blok daar meteen mee aan de slag.
https://tweakers.net/nieuws/136421/staatshackers-voerden-phishingaanval-uit-op-nederlandse-vredesorganisatie.html

Gepost door op Geen opmerkingen:
Labels: , , , , , ,

vrijdag 16 maart 2018

Privacy en het individu


Een poosje geleden las ik een citaat uit het boek De correcties van de Amerikaanse schrijver Jonathan Franzen: “Zonder privacy was het zinloos om een indivu te zijn” (eigen vertaling; originele tekst: “Without privacy there was no point in being an individual”). Ik heb dat citaat opgeslagen en een tijdje laten liggen. Het moest als het ware rijpen voordat ik er iets mee kon. Ik ken alleen die ene zin uit het boek, de context is mij onbekend. Wel weet ik inmiddels dat het boek helemaal niet over privacy gaat maar een ‘satirisch familidrama’ is (zegt Wikipedia).

Wat is een individu? Met woordenboek- en encyclopediedefinities als “een enkele persoon in het bijzonder” raak je niet de kern van hetgeen Franzen moet hebben bedoeld. Ik vermoed dat hij meer iets bedoelt als: “een persoon met al zijn karaktereigenschappen, gedragingen, geheimen, verlangens, verwachtingen, plannen, emoties, eigenaardigheden, medische en geestelijke gezondheidsperikelen, financiële omstandigheden, fantasiën, consumentengedragingen, seksuele voorkeuren, geloofsovertuigingen enzovoorts” (enige overlap is niet uitgesloten). Kortom: een mens zoals hij is en zoals hij in talloze administraties is vastgelegd met telkens slechts een deel van de genoemde elementen: in zijn ziekenhuisdossier zal zelden iets staan over zijn verlangens, terwijl die in zijn profiel bij een datingsite juist een prominente plaats innemen.

Privacy wordt gedefinieerd door de mate waarin je zelf de controle hebt over het bij anderen bekend zijn van de elementen die jou tot individu maken, vind ik (ik heb dat verder niet opgezocht want ik kan me wel voorstellen wat er gebeurt als je ‘privacy’ intikt bij Google: je krijgt heel veel over je heen, zeker zo vlak voordat de Algemene verordening gegevensbescherming volledig in werking treedt). Het betekent echter ook dat je ná het verstrekken van informatie aan een bepaalde partij controle houdt over die informatie – bijvoorbeeld door de afspraak dat die partij jouw informatie niet verder mag verspreiden en dat ze de informatie vernietigen als jij daarom vraagt.

Mensen die beweren dat ze niets te verbergen hebben, kennen zichzelf niet goed of hebben nog nooit goed hierover nagedacht. Lees bovenstaand lijstje van individu-definiërende elementen maar nog eens door. Is daar niet minstens één element bij waarvan je niet zou willen dat de krant erover zou schrijven? Of iets anders om over na te denken: momenteel waart een ranzig mailtje rond waarin ene Michael beweert dat hij met jouw gehackte webcam een filmpje van je heeft gemaakt terwijl je online naar porno zat te kijken en zelf ook niet stilzat. Als je niet binnen drie dagen vijfhonderd euro betaalt, dan zal hij dat filmpje naar al je contacten sturen. Dat gebeurt ook als je aangifte doet of het mailtje met anderen deelt. Ook al héb je niet eens een webcam, of er zit een stickertje overheen, je gaat je toch wat ongemakkelijk voelen van zo’n mailtje, waar of niet? Stel bijvoorbeeld dat iemand anders weet dat jij dat mailtje hebt ontvangen – wat zal die wel niet van jou denken? Het kan tot pijnlijke situaties leiden. Soms wil je zelfs iets verbergen wat helemaal niet waar is.

Als privacy niet bestond, dan zou individualiteit zinloos zijn, schreef Franzen. Het zou betekenen dat je geen controle hebt over de verspreiding van informatie over jou, dat al die elementen die jou tot individu maken voor iedereen – of in ieder geval voor degenen onder wiens gezag je valt, bijvoorbeeld de staat – vrij toegankelijk zijn. Daardoor wordt  individualiteit niet zozeer zinloos, maar iets wat geleidelijk aan uitdooft. Als je eigenschappen wilt verbergen maar dat kan niet, dan ga je die eigenschappen onderdrukken, zeker als je voor de gevolgen moet vrezen. Dat kan er op zijn beurt voor zorgen dat mensen erg op elkaar gaan lijken. Weg individu!

Ik draai Franzens citaat om: als je het belangrijk vindt om een individu te zijn, met alle elementen die die daarbij horen, dan is privacy voor jou belangrijk. Zo, nu weet je wat je van privacy vindt.

En in de grote boze buitenwereld …


... kunnen deze min of meer neutrale artikelen je helpen bij de keuze die je maakt bij het referendum over de Wet op de inlichtingen- en veiligheidsdiensten.
·         https://tweakers.net/reviews/6095/referendum-over-de-sleepwet-vijf-redenen-voor-en-tegen.html
·         https://decorrespondent.nl/8032/sleepwet-vier-cruciale-inzichten-over-de-wet-voor-de-geheime-diensten/247032192-19e2cff3

... zijn de tapstatistieken van de AIVD en de MIVD geplubliceerd.
https://www.security.nl/posting/553632/Tapstatistieken+AIVD+en+MIVD+openbaar+gemaakt

... ontvangen honderden bedrijven gebruikersdata van PayPal.
https://www.security.nl/posting/553820/PayPal+deelt+data+gebruikers+met+meer+dan+600+bedrijven

... lekt zelfs de Autoriteit Persoonsgegevens wel eens persoonsgegevens.
https://www.nfir.nl/2018/03/16/nfir-constateert-dat-autoriteit-persoonsgegevens-namen-medewerkers-lekte/

... wil het Verbond van Verzekeraars een zwarte doos in elke auto.
https://www.verzekeraars.nl/publicaties/actueel/verzekeraars-willen-ongevalsdatarecorder-in-elk-voertuig

... heeft de Vrije Universiteit diverse kwetsbaarheden gevonden in de software die de aanstaande verkiezingen gaat ondersteunen. En het is sowieso een rommeltje.
https://www.vusec.net/security-analysis-elections-software/

... vindt de Kiesraad ook dat de software moet worden vervangen, al vindt hij de conclusies van de VU wat ongenuanceerd.
https://www.security.nl/posting/553626/Kiesraad%3A+Huidige+verkiezingssoftware+moet+vervangen+worden

... moet topmanagement zich druk maken over de veiligheid van mobiele apparaten.
https://www.darkreading.com/mobile/whats-the-c-suite-doing-about-mobile-security/a/d-id/1331216

... onderzoeken twee Noorse studenten de mogelijkheid om emoji’s te gebruiken voor authenticatiedoeleinden. Deze link leidt naar een korte enquête die hen moet helpen bij hun onderzoek.
https://emojistory.site

... betekent de nieuwste Android-versie vooruitgang op het gebied van beveiliging en privacy.
https://www.tripwire.com/state-of-security/featured/android-p-security-privacy-features/

... draaien veel Android-toestellen met verouderde beveiligingsupdates.
https://www.nu.nl/mobiel/5172566/ruim-derde-smartphones-heeft-zeer-oude-veiligheidsupdates.html

... gaat het goed met de ontwikkeling van SOC’s, maar nog niet overal.
https://www.helpnetsecurity.com/2018/03/12/global-soc-maturity/

... lees je tegenwoordig gewoon in de krant hoe je DDoS-aanvallen kunt afslaan.
https://www.volkskrant.nl/tech/hoe-bedrijven-ddos-aanvallen-kunnen-afslaan~a4579203

... onthult het Team High Tech Crime van de Nederlandse politie hoe de spraakmakende overname van een marktplaats op het dark web in z’n werk ging.
https://www.wired.com/story/hansa-dutch-police-sting-operation




Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 9 maart 2018

Tijd


Was jij vanochtend wel op tijd wakker? Of heb je misschien je bus of trein gemist en stond je je toen verdwaasd af te vragen hoe dat kon? Je hebt immers een vaste ochtendroutine waarmee je op de automatische piloot door de badkamer via de kleerkast aan de ontbijttafel belandt en na het tandenpoetsen op straat terechtkomt. Nee, er is geen OV-staking. Jouw wekker loopt achter. Zes minuten maar liefst. Vergelijk maar met je telefoon, die loopt wél goed.

Hoe ik weet dat jouw wekker achterloopt? Heel veel Europese huishoudens, het mijne incluis, hebben dit probleem momenteel. Het speelt bij alle klokken die op het stopcontact zijn aangesloten. Die meten de tijd aan de hand van de frequentie van de wisselspanning, die gewoonlijk vijftig Hertz is. Je wekker, oven en magnetron volgen allemaal het ritme van het stopcontact. Maar dat is nu vestoord door een ruzie tussen Servië en Kosovo, waardoor er minder stroom aan het Europese hoogspanningsnetwerk wordt geleverd. En dat heeft dus kennelijk gevolgen voor de frequentie.

Als we het in de informatiebeveiliging hebben over de integriteit van gegevens en processen, dan houden we zelden rekening met de gevolgen van politieke conflicten aan de andere kant van Europa. Integer betekent in deze context: juist en volledig. Onze klokken geven niet meer de juiste tijd weer, de integriteit van onze tijdmeting is dus aangetast. Waardoor je bijvoorbeeld je trein mist – en op het station tot je verbazing constateert dat het later is dan je dacht.

Het is altijd vervelend om er achter te komen dat je in je risicoanalyses totaal geen rekening hebt gehouden met gebeurtenissen die in de praktijk tóch van invloed op je operatie kunnen zijn. Gisteren hield Michel van Eeten van de TU Delft zijn gehoor op het Security Bootcamp (een conferentie voor informatiebeveiligers) voor dat je weliswaar probeert om risico’s te berekenen uit de kans op een gebeurtenis en de schade die ontstaat als zo’n gebeurtenis zich voordoet, maar dat je vaak eigenlijk niet weet hoe groot die kans en die potentiële schade zijn. Dat ben ik slechts ten dele met hem eens. Vaak maken we slechts een inschatting, zonder dat we proberen om kans en impact in getallen uit te drukken. We doen dan geen kwantitatieve, maar een kwalitatieve risicoanalyse. En dan baseren we ons op historische gegevens zoals die bijvoorbeeld worden weergegeven in het jaarlijkse Cybersecuritybeeld Nederland. En die historische gegevens bieden toch echt wel enige houvast bij het bepalen van welke dreigingen meer aandacht behoeven dan andere.

De Delftse professor wil dat we ons meer richten op de “achterkant”: we moeten meten welke maatregelen goed werken en dáárin investeren. Middelen die niet werken moet je aan de kant schuiven. Hij vergelijkt deze met homeopathische middelen, waarvan wetenschappelijk is bewezen dat ze niet werken. Klopt, denk ik dan, maar soms hebben die middelen wel een placebowerking, waardoor patiënten er toch baat bij hebben. Ik denk dat we in de informatiebeveiliging ook wel de nodige homeopathie toepassen. Je weet wel, van die maatregelen waarvan we elkaar wijsmaken dat ze een nuttig effect op de beveiliging hebben. Zoals het periodiek wijzigen van je wachtwoorden. Laten we de placebo’s onder de beveiligingsmaatregelen koesteren en de rest uitbannen.

Die foute tijd heeft trouwens geen directe gevolgen voor onze computers. Die synchroniseren hun klok niet aan de hand van de netspanningsfrequentie, maar met speciaal voor dit doel ingerichte tijdservers, die volgens het Network Time Protocol (NTP) werken. Een dergelijke koppeling met een atoomklok is niet alleen weggelegd voor computers in een rekencentrum. Jouw pc kan dat ook (en waarschijnlijk doet hij dat al). Tijd is een belangrijke factor voor informatiesystemen, bijvoorbeeld vanwege de gewenste volgorde waarin processen zich afspelen of omdat je exact wilt kunnen vaststellen wanneer een bepaalde mutatie heeft plaatsgevonden.

Indirecte gevolgen die te langzaam lopende klokken op informatiesystemen hebben kan ik zo een-twee-drie niet bedenken, of het zou moeten zijn dat iemand die een tijdgevoelig proces moet opstarten door zijn achterlopende wekker te laat op zijn werk arriveert. Maar welke tijdgevoelige processen worden er tegenwoordig nog handmatig gestart? Overigens ging afgelopen maandag wel op sommige plaatsen de maandelijkse sirenetest de mist in door dit akkefietje. Ik heb helaas nog niet kunnen achterhalen hoe dat precies in elkaar zit en waarom sommige sirenes het wel deden, maar waarschijnlijk hebben we verschillend ingerichte centrales en is er handmatig ingegrepen.

En in de grote boze buitenwereld …


... zijn hackers nu ook geïnteresseerd in Telegram-accounts.
https://www.kaspersky.com/blog/telegram-accounts-stealing/21447/

... meldt de AIVD een toename van digitale dreigingen.
https://www.aivd.nl/actueel/nieuws/2018/03/06/jaarverslag-aivd-‘klassieke’-dreigingen-steeds-meer-digitaal

... leert de overheid ons op laagdrempelig niveau dat we het ze niet te makkelijk moeten maken op het gebied van internetten, woninginbraak, heling en het gebruik van gestolen smartphones.
https://www.maakhetzeniettemakkelijk.nl

... gingen recente DDoS-aanvallen gepaard met ingebouwde afpersboodschappen.
https://mashable.com/2018/03/03/monero-ddos-attacks-ransom-note/#0Q7BA9sKBiqX

... belicht dit artikel de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (de “sleepwet”) van alle kanten. Maar aan het einde weet je nog niet hoe het nu precies zit.
https://nos.nl/artikel/2220332-dit-zijn-de-voors-en-tegens-van-de-inlichtingenwet.html

... bestaan er wetenschappers die zich druk maken over de mogelijkheid dat buitenaardse wezens ons malware toesturen.
https://www.schneier.com/blog/archives/2018/03/malware_from_sp.html

... kunnen we natuurlijk ook terughacken richting ruimte.
https://peterzinn.nl/2018/02/28/apollo-14-langste-afstand-hack/

... adviseert Apple zijn gebruikers over het herkennen van Apple-gerelateerde phishing.
https://hotforsecurity.bitdefender.com/blog/apple-issues-advice-on-how-to-spot-app-store-and-itunes-phishing-scams-19645.html

... is de wijze waarop je gebruikers vertelt dat ze een zwak wachtwoord hebben gekozen belangrijk.
https://nakedsecurity.sophos.com/2018/03/02/can-emojis-save-you-from-a-terrible-password/

... gaan niet alle gebruikers van de Amazon-cloud handig om met de beveiligingsinstellingen.
https://businessinsights.bitdefender.com/amazon-buckets-writable-data-disaster

... heeft de Amerikaanse rechter lange gevangenisstraffen opgelegd aan twee Russen voor hack-aanvallen op de financiële wereld.
https://www.hackread.com/hackers-who-stole-300-million-hacked-citibank-nasdaq-jailed

... vind je hier een handige waslijst met tips om je cryptovaluta te beschermen.
http://josephsteinberg.com/18-tips-help-secure-cryptocurrency

... wil de Britse privacywaakhond dat winkels geen onveilige IoT-apparaten verkopen. Kansloos, helaas.
https://www.security.nl/posting/552876/ICO%3A+Winkels+moeten+geen+onveilige+IoT-apparaten+verkopen

... krijgt Windows 10 een extra veilige (maar ook erg beperkte) versie.
https://www.security.nl/posting/552965/Alle+Windows+10-versies+krijgen+Windows+10+S-modus


Gepost door op Geen opmerkingen:
Labels: , , , , , , ,
Abonneren op: Posts (Atom)