vrijdag 25 mei 2018

Straf


Enkele middelbare scholieren hielden er een – door de ogen van een volwassene – vreemde hobby op na: ze schoten, tijdens de les, balpennen in de plafonds van hun klaslokalen (zelf zeiden ze overigens “in het dak”; kennelijk is dat onderscheid op die leeftijd nog niet evident). Speciaal voor dit doel kochten ze elastiekjes en goedkope balpennen. Ze konden hun hobby maandenlang ongestraft beoefenen. Hooguit verzocht af en toe een docent hen vriendelijk om de projectielen te verwijderen. Dat deden de scholieren graag: het leverde weer nieuwe munitie op.

Eén docent werd het op een gegeven moment te gortig. Hij eiste dat de daders zich zouden melden. Dat gebeurde natuurlijk niet en dus zette de docent een dwangmiddel in: zolang de dader niet bekend was mocht niemand meer naar muziek luisteren in zijn les. (Ja, toen ik dat hoorde dacht ik ook: “Huh? Naar muziek luisteren tijdens de les?!” Maar dat is een heel andere discussie.) In mijn militaire diensttijd gold een verbod op collectieve straffen, maar in het hedendaagse onderwijs kan dat kennelijk wél.

Om niet de hele klas de dupe van hun raketproeven te laten zijn, dichtte het dubieuze duo een mailtje aan de docent waarin zij hun daderschap opbiechtten. Ze vroegen ook om de muziekblokkade op te heffen en ze gaven aan dat ze de consequenties van hun daden dapper onder ogen zouden zien. Inmiddels mag de klas weer met oortjes in naar deze docent luisteren. Straf (en de rekening voor herstel) zijn tot op heden uitgebleven; maar misschien is het zwaard van Damocles, dat nu boven hun hoofden hangt, juist een heel effectieve straf.

Enkele medewerkers van een bedrijf houden er een – door de ogen van een informatiebeveiliger – vreemde gewoonte op na: ze vergrendelen hun werkplek niet als ze weglopen. Ze kunnen dit al jarenlang ongestraft doen. Hooguit wijst af en toe een collega hen op de verplichting om dat wel te doen. De medewerkers wuiven die informatie weg met de opmerking: “We kunnen hier toch zeker iedereen vertrouwen?”

Dat is slechts één voorbeeld van hoe je het gedrag van scholieren kunt plotten op het gedrag van medewerkers op het gebied van informatiebeveiliging. Er zijn talloze andere gedragingen die de beveiliging van de organisatie schaden maar die door de ogen van medewerkers volstrekt normaal zijn – zoals scholieren het lanceren van pennen kennelijk ook normaal vinden. Een paar voorbeelden: wachtwoorden delen, interne informatie naar buiten mailen en cloudtoepassingen zakelijk gebruiken (hoe erg dat is hangt natuurlijk af van de regels die in een organisatie gelden).

Toch loopt de vergelijking tussen scholieren en medewerkers mank. Het puberale gedrag komt voort uit baldadigheid, bravoure, nieuwsgierigheid, het aftasten van grenzen en de intense aandrang om lol te trappen. Dat zie ik allemaal niet zo gauw als drijfveren voor een medewerker die zich niet aan de beveiligingsregels houdt. Daar waar de scholier zich bewust onverantwoord gedraagt, daar doet de medewerker dat doorgaans onbewust – hij weet van de prins geen kwaad.

Scholieren kun je met straf – of alleen al de dreiging, zie Damocles – tot de orde roepen. Dat werkt als iemand weet dat hij iets doet wat niet mag. Als je niet weet dat iets niet mag, dan voelt het – van beide kanten – niet goed om bij overtreding sancties op te leggen. Ja, je wordt geacht de wet en het beleid te kennen, maar de praktijk is weerbarstig. Wat in zo’n geval wél werkt is uitleggen dat een regel is overtreden en waarom dat erg is. Vaak schrikken mensen daarvan en schaamte is ook een veel voorkomende reactie. Zo’n persoonlijke bewustwordingsactie zet meer zoden aan de dijk dan een grote, brede campagne. Ja, die campagne is óók nodig, daar leg je de basis mee. Nu is het de kunst om de persoonlijke aanpak in te zetten vóórdat iemand de fout in gaat. Dat is geen taak voor informatiebeveiligers, maar voor leidinggevenden. Die zitten namelijk dicht op de medewerkers en weten hoe zij werken en wat ze ervoor nodig hebben. We moeten er dus voor zorgen dat managers de regels kennen en begrijpen, zodat zij ze in hun teams kunnen en willen uitdragen – en handhaven.

Ik heb de namen van de desbetreffende scholieren, docenten en zelfs de school maar niet genoemd op deze historische datum, die geheel in het teken van privacy staat.

En in de grote boze buitenwereld …


... vinden ook sommige hooggeplaatste functionarissen het “te ongemakkelijk” om zich aan de regels te houden.
https://www.politico.com/story/2018/05/21/trump-phone-security-risk-hackers-601903

... ontvang je momenteel veel onnodige mailtjes over de AVG.
https://ictrecht.nl/2018/05/23/moet-ik-per-mail-opnieuw-om-een-opt-in-voor-de-nieuwsbrief-vragen/

... mailen veel huisartsen en psychologen onveilig met hun patiënten.
https://eenvandaag.avrotros.nl/item/huisartsen-en-psychologen-maken-gebruik-van-onveilige-e-mailadressen/

... mag je ook na 24 mei nog gewoon fotograferen.
https://www.security.nl/posting/563068/Juridische+vraag%3A+Is+het+fotograferen+en+publiceren+van+foto%27s+nog+wel+toegestaan+vanaf+25+mei%3F

... lijkt bovenstaand artikel te algemeen te zijn: sportverenigingen moeten zich druk maken over het publiceren van evenementenfoto’s.
https://www.atletiekunie.nl/voor-clubs/bestuur/organisatie-en-bestuur/juridische-zaken/fotograferen

... verkopen Amerikaanse telecomproviders de locatiegegevens van hun klanten in real-time.
https://krebsonsecurity.com/2018/05/mobile-giants-please-dont-share-the-where/

... heeft Amazon een nieuw product: gezichtsherkenning.
https://www.aclunc.org/blog/amazon-teams-law-enforcement-deploy-dangerous-new-face-recognition-technology

... wordt een URL-verkorter ingezet als coinminer.
https://www.helpnetsecurity.com/2018/05/23/url-shortener-cryptojacking/

... zijn honderdduizenden netwerkapparaten in tientallen landen geïnfecteerd met malware.
https://blog.talosintelligence.com/2018/05/VPNFilter.html

... gok je in Las Vegas niet alleen met je geld, maar ook met je veiligheid.
https://www.darkreading.com/vulnerabilities---threats/las-vegas-most-insecure-cyber-city-in-us-st-louis-least-vulnerable/d/d-id/1331868

... is ook een BMW kwetsbaar.
https://www.securityweek.com/chinese-researchers-find-vulnerabilities-bmw-cars

... maakt Eurojust zich zorgen over de toegang tot de WHOIS-database ten gevolge van de AVG.
http://www.eurojust.europa.eu/press/News/News/Documents/2018-05-25_EJCN-statement_EN.pdf


Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 18 mei 2018

LinkedOut


Een collega vroeg mij: “Waarom heb ik dit contactverzoek via LinkedIn wel gehonoreerd en dat andere niet?” Je eerste reactie is waarschijnlijk dat hij dat zelf toch het beste zou moeten weten. Maar laat ik je wat meer context verschaffen. De collega kende geen van beide personen. Een gezonde basishouding is dan om een verzoek af te wijzen; social engineers grijpen ook graag dit soort bronnen aan om een aanval tegen jou – of tegen een van jou kennissen – op touw te zetten.

Nu was de afgewezen persoon een man, strak in het pak, zwart haar en dito hangsnor en voorzien van een Verweggistaanse naam. Zijn nogal ruime functieomschrijving luidde “global trade and customs affairs”. Hij was al vriendjes met zes mensen die ook in de contactenlijst van de collega stonden. De ander was een vrouw, blond, jonger dan mijn collega en ze had een Nederlandse naam. Ze woonde echter in Australië en was “risk consultant of the year 2017”.

De vraag van mijn collega was in zoverre retorisch dat hij zelf ook wel wist dat uiterlijk en sexe hadden bepaald op welke knop hij klikte. Maar toch zit er meer achter. Waarom accepteren we nieuwe “vrienden” zonder hen te kennen? En natuurlijk de vraag: wat doet dat met onze veiligheid?

Eerst maar eens aan een van de gezamenlijke contacten van kandidaat nummer één gevraagd waar hij die meneer van kende. “Wie?”, reageerde hij naar verwachting. Hij begon zich wat ongemakkelijk te voelen, want beveiligers stellen dat soort vragen nooit zomaar. “O, eh, ja, die zal ik wel bij Gartner of een andere conferentie ontmoet hebben.” Oké, dat is op zich een geldige reden, al kwam het niet erg overtuigend over. In mijn eigen LinkedIn-profiel staat dat je mij eerst in het echt moet hebben ontmoet voordat je vriendjes mag worden. Een vluchtig gesprek tijdens een conferentie vind ik dan nog wat dunnetjes, zeker als de persoon in kwestie daar namens zijn werkgever op de bijbehorende beurs staat.

Als een contactverzoek wordt verzonden, dan is LinkedIn er als de kippen bij om te melden wie je als gemeenschappelijke vrienden hebt. Op die manier proberen ze om je over de streep te trekken, zo lijkt het wel. Zoals ze ook wildvreemden – of vermeende kennissen – voorstellen als contacten die je zou moeten willen hebben.

Vroeger was ik ook zo. Ha leuk, een connectieverzoek, goed voor de omvang van mijn netwerk! Zo kwam ook een of andere buitenlander in mijn netwerk terecht. Kort daarna begon hij met me aan te pappen. Hij vertelde dat hij een paar jaar geleden voor ons had gewerkt, aan dat-en-dat project. Hij was razend benieuwd hoe het daar nu mee ging. Of ik hem misschien wat informatie kon verschaffen? Nou, nee dus. Natuurlijk niet! Ik ga toch zeker geen informatie delen met wildvreemden? De truc is natuurlijk dat je zogenaamd geen vreemden voor elkaar bent, je bent immers via LinkedIn aan elkaar gekoppeld! Het aanvoeren van iets gemeenschappelijks (zoals voor jouw organisatie gewerkt hebben) is immers een van de standaardtrucs uit het repertoire van de social engineer. Misschien ben jij helemaal niet zelf zijn doelwit, maar iemand in jouw netwerk. Die krijgt vervolgens ook een connectieverzoek en ziet dan jij al vriendjes bent met die persoon. En dan zal het vast wel goed zijn...

Kortom, door Jan en alleman zomaar te accepteren kun je niet alleen jezelf en je werkgever schaden, maar ook je (echte) kennissen. Zelf hanteer ik daarom zoals gezegd de regel dat ik geen contacten accepteer die ik niet al in het echte leven ken. Ik maak nog wel een uitzondering voor collega’s, maar dan controleer ik wel altijd even of zo iemand ook écht bij ons werkt (een nep-account is op social media immers zó gemaakt). Soms is de verleiding groot om iemand toch te accepteren omdat hij een interessant profiel heeft. Of omdat ik denk dat iemand contact wil leggen om vooral geen blog te missen. Maar ach, ik weet mijn ego redelijk in bedwang te houden.

Je kunt nog altijd de straattest doen. Stel je voor dat zo’n persoon je op straat zou aanklampen. Zou je hem of haar dan ook vertellen wie je bent, wat je doet, wat je professionele en opleidingsachtergrond is en nog een heleboel meer? Voor mijn collega kom ik dan ook tot het onvermijdelijke advies: ontlink die knappe blondine.

En in de grote boze buitenwereld …


… gaat dit artikel nog wat verder in op LinkedIn-bedrog.
http://josephsteinberg.com/how-to-avoid-dangerous-linkedin-scams/

... heeft Google een heel natuurlijk klinkende digitale stem ontwikkeld. En dat zou wel eens vervelende consequenties kunnen hebben.
https://www.nrc.nl/nieuws/2018/05/14/ehh-u-spreekt-met-google-a1602864

... weert de Nederlandse overheid voortaan de virusscanner van het Russische bedrijf Kaspersky, zoals de VS en het VK dat al eerder deden.
Artikel: https://www.nu.nl/internet/5265584/nederlandse-overheid-stopt-met-russische-antivirussoftware-kaspersky.html
Kamerbrief: https://www.rijksoverheid.nl/documenten/kamerstukken/2018/05/14/voorzorgsmaatregel-ten-aanzien-van-gebruik-kaspersky-antivirussoftware

... verplaatst Kaspersky – als reactie op de internationale druk – een deel van het bedrijf naar Zwitserland.
https://www.theregister.co.uk/2018/05/15/kaspersky_labs_announces_move_to_zurich_dutch_government_questions_firm/

... noemt Kaspersky dit zelf een “Transparency Center”.
https://www.kaspersky.com/blog/swiss-assembled-security/22378/

... ging het kaartverkoopsysteem van de Deense spoorwegen plat. Kennelijk bleek pas na onderzoek dat een DDoS-aanval daar de oorzaak van was.
https://www.thelocal.dk/20180514/cyber-attack-hits-danish-rail-network

... is versleutelde e-mail even niet meer zo veilig.
https://arstechnica.com/information-technology/2018/05/decade-old-efail-attack-can-decrypt-previously-obtained-encrypted-e-mails/

... is Efail nou ook weer niet zo’n grote ramp.
https://www.grahamcluley.com/despite-efail-the-sky-is-not-falling/

... somt dit artikel de gevolgen van de AVG voor burgers op.
https://www.nrc.nl/nieuws/2018/05/14/dit-verandert-er-door-de-nieuwe-privacywet-a1602861

... hebben de Nederlandse en Thaise politie samen een bulletproof hoster aangepakt.
https://www.politie.nl/nieuws/2018/mei/16/11-nederlandse-en-thaise-politie-pakken-bulletproof-hoster-aan.html

... blijkt het belang van betrouwbare webshopbouwers maar al te goed uit een actuele rechtszaak.
https://www.volkskrant.nl/nieuws-achtergrond/belangrijke-rechtszaak-over-digitale-fraude-het-klinkt-allemaal-heel-technisch-maar-komt-tegelijkertijd-erg-dichtbij~b331adff

... laten telefoons zich niet ontgrendelen met dode vingers.
https://nakedsecurity.sophos.com/2018/04/24/police-try-and-fail-to-unlock-phone-with-a-dead-mans-finger/

... gaat het groene slotje uit Chrome verdwijnen. De browser meldt straks alleen nog als een site niet veilig is.
https://www.security.nl/posting/562577/Google+gaat+%22Veilig%22+melding+bij+https-sites+in+Chrome+verwijderen

Gepost door op Geen opmerkingen:
Labels: , , , , , , , , ,

woensdag 9 mei 2018

Park & fly


Het parkeerbedrijf waar we in het verleden gebruik van maakten als onze vakantie op Schiphol begon, bestaat niet meer. Ik herinnerde mij echter dat op hun busjes ook nog een andere bedrijfsnaam stond, en dat bedrijf bleek nog steeds te bestaan. Ik herkende zelfs hun logo. En hun tarieven waren een stuk aantrekkelijker dan “parkeren bij Schiphol zélf”, zoals de luchthaven dit noemt. Ik meldde mij dus aan en dacht dat ik klaar was. Ik wist immers ook al waar ik naar toe moest rijden. O wacht, er kwam nog een melding op mijn scherm: ze zouden me twee dagen voor vertrek bellen over de locatie. Nou ja, dacht ik, we hebben al een keer eerder in een andere dan de vertrouwde parkeergarage in Aalsmeer gestaan. We zien wel.

Eén dag voor vertrek had ik nog niets gehoord. En toen ik opnieuw de website inspecteerde, viel me op dat daar geen adresgegevens of andere locatie-aanduidingen op stonden. Alleen een telefoonnummer. Dat ging ik dus maar eens bellen. Ik werd gerustgesteld: klanten werden altijd op de avond voor vertrek gebeld. U hoort nog van ons. En dat gebeurde een paar uur later inderdaad. Een vriendelijke meneer bood zelfs aan om voor hetzelfde bedrag gebruik te maken van valet parking. Je weet wel: je rijdt naar de vertrekhal, geeft je autosleutel af en zij regelen de rest. Als ik een heel oude rammelbak had gehad: misschien. In alle andere gevallen: kansloos.

Geen probleem. “Dan wil ik met u afspreken op de parkeerplaats van McDonald’s. U rijdt dan vijfhonderd meter achter mij aan naar de parkeerlocatie.” Huh? Waarom kreeg ik niet gewoon het adres? Omdat ze daar geen huisnummer hadden, legde de man geduldig uit. Oké, maar hoe zou ik hem dan herkennen? Voor mijn geestesoog verscheen het vertrouwde busje. Maar nee, het antwoord luidde: “Aan de blauwe Jaguar (…) Hallo, bent u daar nog?” Ik was even stilgevallen omdat ik erover nadacht of deze parkeermeneer mij in het ootje wilde nemen en daarna guitig zou zeggen: “We komen natuurlijk met een busje waar duidelijk onze bedrijfsnaam op staat.” Maar nee hoor, hij was bloedserieus. “Onze klanten vinden het leuk om met zo’n auto weggebracht te worden. We hebben ook nog een Bentley.” Ik sputterde dat we met z’n vieren zijn en dat daar een bepaalde hoeveelheid bagage bij hoort. “Geen probleem, dan zorg ik wel voor een extra auto.”

Die avond kon ik de slaap niet vatten. Wat was hier gaande? Eerst valet parking aanbieden voor een belachelijk lage prijs. Nee? Dan maar een ontmoeting op een parkeerplaats, gevolgd door een ritje in een luxe automobiel. En een tweede auto voor de koffers. Wat zou er allemaal met onze bagage kunnen gebeuren gedurende deze tijdelijke scheiding? “Misschien stoppen ze er wel drugs in!”, lag ik te malen. Zouden we zelf ooit wel op de luchthaven aankomen? En stond de auto daar wel veilig? Er hingen camera’s en het was er altijd druk, had die man gezegd. Dat helpt misschien tegen kwaadwillende derden, maar wat als dat bedrijf zelf malafide was?

Tegen middernacht stond ik op en vroeg Google om recensies. De jongste was enkele jaren oud, uit de tijd dat ik dat bedrijf nog kende als kompaan van een ander parkeerbedrijf. Er was geen recente beoordeling te vinden. De website van de politie had geen informatie over de website of het telefoonnummer – op zich een gunstig teken. Maar het voelde gewoon niet goed. Ik hakte de knoop door en mailde dat het niet doorging (je kon tot zes uur van tevoren gratis annuleren en je betaalde sowieso pas achteraf). Vervolgens reserveerde ik voor ruim drie tientjes meer een openluchtplek bij Schiphol zélf.

Ik krijg wel eens mailtjes doorgestuurd met de begeleidende vraag: ik vertrouw dit mailtje niet, wat vind jij ervan? In de meeste gevallen hebben die mensen gelijk. Ze zijn dan zo verstandig geweest om niet te denken dat het wel meevalt en “wat kan er nou helemaal gebeuren?” Net als in de echte wereld – bijvoorbeeld bij zoiets alledaags als het parkeren van je auto – loop je ook in de digitale wereld het risico dat je als een konijn in de koplampen van een snel naderende auto blijft staren. Onthoud daarom het volgende: als je als leek op beveiligingsgebied ergens geen goed gevoel bij hebt, dan heb je waarschijnlijk gelijk en doe je er verstandig aan om niet door te gaan met wat je aan het doen bent. Hetzelfde geldt trouwens voor professionals. Alleen gaan die daarna nog aantonen dat ze inderdaad gelijk hebben, desnoods met behulp van een ISO-norm.

Beste parkeermeneer, mocht u dit lezen en volledig te goeder trouw zijn, dan spijt het mij dat mijn risicoanalyse kennelijk een verkeerde uitslag gaf. Misschien kunt u toekomstige inkomstenderving vermijden door u wat meer in uw potentiële klanten te verplaatsen. De meesten willen maximale zekerheid, toeters noch bellen en een schappelijke prijs. Mocht u daarentegen criminele bedoelingen hebben gehad: lekker puh.

En in de grote boze buitenwereld …


... heeft de Fraudehelpdesk een aardige quiz over het herkennen van valse URL’s. Je kunt het beste eerst hun uitleg lezen.
Quiz: https://www.fraudehelpdesk.nl/nieuws/valse-urls-herkent-u-ze/
Uitleg: https://www.fraudehelpdesk.nl/nieuws/het-lijkt-zo-simpel-maar-hoe-lees-je-een-url-eigenlijk/

... zijn we nog lang niet af van DDoS-aanvallen.
https://www.darkreading.com/endpoint/privacy/why-ddos-just-wont-die/d/d-id/1331734

... heeft de DDoS-aanval op de site van Brian Krebs in 2016 ruim drie ton gekost. Die kosten waren voor de eigenaren van de onbeveiligde IoT-devices die in het botnet zaten.
https://krebsonsecurity.com/2018/05/study-attack-on-krebsonsecurity-cost-iot-device-owners-323k/

... zijn honderden websites wereldwijd besmet met dezelfde coinminer.
https://arstechnica.com/information-technology/2018/05/hundreds-of-big-name-sites-hacked-converted-into-drive-by-currency-miners/

... kan de ZooPark-malware zo’n beetje alle informatie uit je Android-telefoon halen. Voorlopig neemt zij alleen geselecteerde doelen in het Midden-Oosten op de korrel.
https://www.engadget.com/2018/05/07/zoopark-android-malware-exfiltration/

... liggen sommige wachtwoorden nogal voor de hand.
https://securingtomorrow.mcafee.com/business/passwords-revisited/

... werken de Nigeriaanse e-mailscams nog steeds verrassend goed.
https://www.wired.com/story/nigerian-email-scammers-more-effective-than-ever/

... kun je binnenkort met Gmail mailtjes versturen die zichzelf vernietigen.
https://www.helpnetsecurity.com/2018/04/26/gmail-self-destructing-emails/

... lijkt Kaspersky er een traditie van te maken om Star Wars in te zetten voor security awareness. Liefhebbers: let ook op de publicatiedatum van het artikel.
https://www.kaspersky.com/blog/rogue-one-analysis/22273/

... heeft de AVG nadelige gevolgen voor de bestrijding van cybercrime.
https://securityintelligence.com/whois-behind-cyberattacks-under-gdpr-we-may-not-know/

... krijgt Excel ondersteuning voor JavaScript. En dat is slecht nieuws.
https://www.grahamcluley.com/bad-guys-have-something-new-to-play-with-microsoft-excel-adds-support-for-javascript/

... hoor je je wachtwoord gewoon in wachtwoordvelden te kunnen plakken.
https://www.ncsc.gov.uk/blog-post/let-them-paste-passwords

... kun je natuurlijk ook je skilift aan internet koppelen.
https://www.bleepingcomputer.com/news/security/ski-lift-in-austria-left-control-panel-open-on-the-internet/




Gepost door op Geen opmerkingen:
Labels: , , , , , ,
Abonneren op: Posts (Atom)