vrijdag 28 september 2018

Medische apps


Onze eerste huisarts was een wat norse man. Om zijn spreekuur te bezoeken moest je een lange trap op, van de stoep in de Bosstraat tot aan de voordeur van het statige pand. Ja, je moest goed ter been zijn als je dokter Van Wessum had. Als je die eerste horde had genomen, dan mocht je plaatsnemen in de altijd volle wachtkamer, want in die tijd kwam je nog niet op afspraak. Wanneer de volgende patiënt aan de beurt was, ging de zoemer. Klonk de zoemer lang, dan moest je er rekening mee houden dat de dokter minder goed gehumeurd was. Des dokters vulpen zweefde al boven het receptenblok voordat je een woord gesproken had, klaar om je pillen voor te schrijven ter genezing van welke kwaal dan ook. En als je dan zo’n briefje meekreeg, moest je maar hopen dat de apotheker kon ontcijferen wat daar stond.

Onze huidige huisarts meldt zich aan de telefoon met een vrolijk “met Sylvia”, komt je persoonlijk in de wachtkamer ophalen en zapt eventuele recepten direct door naar de apotheek. Op mijn telefoon draait een app waarmee ik herhaalrecepten kan aanvragen, een afspraak kan maken en zelfs kan chatten met Sylvia. Ik heb dat alles nog nooit geprobeerd, maar het kán.

Het ziekenhuis nabij ons kantoor maakt ook gebruik van een app. Daarmee kun je “direct in gesprek met uw arts of zorgverlener” en je kunt zelfs foto’s opsturen (“Kijk eens dokter, die knobbel hier, is dat normaal na die behandeling?”) Een collega toonde mij het bijbehorende foldertje. Daarin wordt diverse keren aangehaald dat de app veilig en betrouwbaar is en dat je privacy “uiteraard” gegarandeerd wordt. Dat maakt mij nieuwsgierig, want we hebben hier natuurlijk wel te maken met wat in de AVG ‘bijzondere persoonsgegevens’ heet. (Naast gegevens over je gezondheid gaat het daarbij ook om ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische en biometrische gegevens en gegevens met betrekking tot je seksueel gedrag of seksuele gerichtheid.) Die mag een organisatie alleen gebruiken als de wet daarvoor een uitzondering maakt. Als het in het belang van jouw gezondheid en “de samenleving als geheel” is, dan mag medische informatie wel verwerkt worden, staat in de AVG.

De eerste horde is dus genomen, het gebruik van zo’n app dient immers jouw gezondheid. Maar waaruit blijkt nou dat de app daadwerkelijk veilig en betrouwbaar is en dat je je geen zorgen over je privacy hoeft te maken? Op naar de website van BeterDichtbij, zoals de app heet. Ze passen “de meest uitgebreide technieken toe voor de veiligheid van de app en achterliggende systemen” en laten de systemen meerdere keren per jaar extern auditen, lees ik. De gegevens worden bewaard op “sterk beveiligde Europese servers”. Die locatie-aanduiding is van belang omdat persoonsgegevens van Europeanen niet zonder toestemming elders mogen worden opgeslagen. De app bewaart geen gegevens op je telefoon en voldoet aan “strengere dat de wettelijke eisen”, ronkt de website nog even door.

Tijdens de registratie ontvang je per sms een activatiecode, en aan het einde nog een bevestigingscode. In beveiligingskringen haalt men tegenwoordig de neus op voor sms als authenticatiekanaal, omdat sms-verkeer kan worden onderschept, je sim-kaart kan worden gekloond en personeel van je provider de sms’jes kan inzien. Maar, zo haast men zich daaraan toe te voegen, sms is beter dan niks, dus als dat de enige optie is, maak er dan vooral gebruik van. Bovendien kun je je afvragen welk belang een aanvaller zou kunnen hebben om de activatiecode voor een medische app te onderscheppen – bij de legitieme gebruiker zal de activatie falen en dan gaat hij aan de bel trekken. Nee, het afkeuren van sms richt zich vooral op twee-factor-authenticatie (2FA) voor het regulier ergens inloggen met behulp van iets wat je weet (wachtwoord, pincode) én iets wat je hebt (je telefoon of een token, waarop een code verschijnt).

In de privacyverklaring van BeterDichtbij staat dan hun servers voldoet aan de informatiebeveiligingsnorm ISO27001. Ai, daar heeft iemand iets niet goed begrepen: een apparaat, zoals een server, kán helemaal niet voldoen aan de ISO27001, want dat is een norm die (kort door de bocht) iets zegt over wat je in je organisatie allemaal moet inrichten om ervoor te zorgen dat het werk veilig gebeurt. Zo’n zin is dan toch een beetje een afknapper waardoor je je gaat afvragen of er nog meer missers in die verklaring staan. O ja, daar is er al eentje: in de inleiding refereren ze keurig aan de AVG, maar een stukje verderop noemen ze nog de oude wet, de Wbp. Slordigheidje.

Artsenorganisatie KNMG heeft een Medische App Checker, bedoeld om artsen te laten beoordelen of een bepaalde app geschikt is voor een bepaald doel. De checker bevat onder andere vragen over privacy en de beveiliging van persoonsgegevens. Zonder heldere privacymededeling valt een app sowieso af. Is die er wel, dan vraagt de checker nog even door. Over bijvoorbeeld toestemming vragen voor het verzamelen van gegevens en het gebruik daarvan. Als je twee of meer vragen met nee beantwoordt, dan wordt de app afgeraden. Het is natuurlijk prima dat zo’n tool er is, maar zou het niet beter zijn als dergelijke apps door een centrale instantie (de overheid?) getoetst zouden worden? Artsen hebben nou eenmaal een heel ander specialisme dan informatiebeveiliging en privacy. Schoenmaker, blijf bij je leest; dokter, blijf bij je stethoscoop.

En in de grote boze buitenwereld …


... is privacy veel te moeilijk voor de gewone burger.
https://decorrespondent.nl/8690/lees-of-luister-alleen-als-we-privacy-zien-als-iets-dat-ons-allen-aangaat-kunnen-we-de-techbedrijven-temmen/423176930-90d3591e

... wil het kabinet bijzondere persoonsgegevens vastleggen van mensen die een wapenvergunning aanvragen. (Ik denk dat echte terroristen geen wapenvergunning aanvragen.)
http://www.welingelichtekringen.nl/politiek/846810/kabinet-wil-ras-en-religie-weten-bij-aanvraag-wapenvergunning.html

... wedden we gelukkig niet op één paard als het om terrorismebestrijding gaat.
https://www.nctv.nl/actueel/nieuws/2018/nederlands-terroristen-detectiesysteem-naar-verenigde-naties.aspx

... denkt de Britse overheid alvast na over hoe het verder moet met gegevensbescherming na de Brexit. Vooral de overdracht van gegevens vanuit de EU naar het VK is een zorgpunt.
https://www.gov.uk/government/publications/data-protection-if-theres-no-brexit-deal/data-protection-if-theres-no-brexit-deal

... heeft het onderwijs een eigen privacywet.
https://www.security.nl/posting/578900/Tweede+Kamer+akkoord+met+nieuwe+privacywet+voor+onderwijs

... stapt Microsoft af van wachtwoorden.
https://arstechnica.com/gadgets/2018/09/microsoft-offers-completely-passwordless-authentication-for-online-apps/

... vormen usb-sticks nog steeds een belangrijke dreiging. Vooral in ontwikkelingslanden.
https://www.darkreading.com/threat-intelligence/usb-drives-remain-critical-cyberthreat/d/d-id/1332894

... lees je hier nog eens waarom en hoe je een VPN gebruikt.
https://www.mijnonlineidentiteit.nl/vpn-verbinding/

... lekte de VN wachtwoorden, interne documenten en technische details.
https://theintercept.com/2018/09/24/united-nations-trello-jira-google-docs-passwords/

... was er commotie over het automatisch aanloggen bij Google Chrome. Hier staat hoe je dat kunt omzeilen.
https://lifehacker.com/how-to-turn-off-the-auto-sign-in-link-in-gmail-and-chro-1828953840

... heeft Google zich de kritiek aangetrokken en kun je er in de volgende versie van hun browser iets aan doen.
https://www.blog.google/products/chrome/product-updates-based-your-feedback/amp/

... is reputatiemanagement ook voor jou van belang.
https://www.mijnonlineidentiteit.nl/reputatiemanagement/

... filtert deze app de beveiligingsadviezen van het NCSC voor jou.
https://www.security.nl/posting/579058/CyberAlerts-app+waarschuwt+voor+lekken+in+populaire+software

... heeft AV-Test weer virusscanners voor Windows getest. Tip: er zit al een goede virusscanner in Windows zelf... (Windows Defender).
https://www.av-test.org/en/antivirus/home-windows/


Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 21 september 2018

Windows support scam


Die ochtend zat ik nietsvermoedend thuis te werken toen de telefoon ging. De vaste. Het display verried dat een buitenlands nummer belde, dat ik niet zo snel thuis kon brengen: 00683. Later zou blijken dat dit nummer bij het Polynesische eiland Niue hoort. Zal wel zo’n telefoonscam zijn, dacht ik, waarbij ze hopen dat je terugbelt naar dat – zoals dan achteraf blijkt – peperdure nummer.

Maar nee. Er was echt iemand aan de lijn. Iemand die Engels sprak, met een onmiskenbaar Indiaas accent. Mijn hart ging sneller kloppen, want nog voordat die persoon zich had geïdentificeerd, wist ik al wie ik aan de lijn had: zogenaamd iemand van Microsoft Support, die mij ging vertellen dat mijn computer vergeven was van de virussen en dat hij me wel even zou helpen. En zo was het.

Ik speelde het spelletje mee. Daar had ik twee redenen voor. Ten eerste: ik heb natuurlijk vaak gehoord en gelezen over deze tech support scams, maar nu had ik eindelijk eens de kans om zelf te ervaren hoe ze te werk gaan. En ten tweede omdat ik die lui graag een tijdje aan de praat wilde houden – tijd waarin ze anders iemand zouden kunnen bellen die er wél in zou tuinen.

Het begon simpel. Of ik links onderaan mijn toetsenbord de toets met opschrift ‘ctrl’ zag. En welke toets daarnaast zat. Dat was om te checken of ik wel achter een Windows-pc zat. Of ik de computer wilde opstarten. O leuk, dacht ik: de computer staat al aan, maar hij brengt me op een ideetje dat extra tijd kost. Dat liet ik dus even duren. Tussendoor vroeg hij of ik de enige gebruiker van die computer was. Ik loog dat dat inderdaad het geval was, want anders zou hij waarschijnlijk afhaken omdat hij met gebruikers- en beheerdersaccounts te maken zou krijgen.

Om het echter te laten lijken, werd ik nu overgedragen aan de chief technician. Oei, dan moesten mijn problemen wel van zeer ernstige aard zijn. De hoofdtechneut gaf mij instructies waardoor een DOS-box werd geopend (zo’n zwart venster waarin je commando’s kunt intikken achter de prompt, ‘c:\Users\Patrick’). Vervolgens moest ik het commando ‘assoc’ intikken. Een indrukwekkende maar voor de leek onbegrijpelijke lijst verscheen. Ik moest naar de derde regel van onderen kijken, daar stond een code. Hij noemde die code feilloos op en dat was zogenaamd het bewijs dat hij inderdaad van Microsoft was en dat ik zijn hulp nodig had. (Iedere Windows-computer toont op die plek exact dezelfde code, maar dat hoorde ik natuurlijk niet te weten.)

Vervolgens liet hij me de Windows Event Viewer openen, een hulpprogramma waarmee een beheerder kan achterhalen wat er allemaal is gebeurd op die computer. Wederom verscheen een indrukwekkende lijst op mijn scherm. Sommige regels begonnen met ‘waarschuwing’ of ‘fout’. Nu moest het helemaal duidelijk zijn: mijn computer was een virologische speeltuin. Maar in werkelijkheid ging het natuurlijk om gewone systeemmeldingen over het functioneren van de ingewanden van de computer – doorgaans niet iets waar je je als gebruiker zorgen om hoefde te maken.

Het intikken van al die commando’s ging natuurlijk niet zomaar. Ik werd verondersteld een ‘domme gebruiker’ te zijn en dus werden alle commando’s gespeld. “Type a for apple, type s for school, type s for school again, type a for apple, type c for carrot”, zo ongeveer. De telefoonverbinding was niet heel goed en op de achtergrond waren zijn collega’s ook druk met het bedriegen van mensen, dus zo af en toe verstond ik het niet goed; dat hoefde ik niet eens te spelen.  Ach, het kostte weer wat extra tijd hè.

Of ik Chrome had, vroeg hij. Soms reageerde ik helaas iets te snel. Ik had gemakkelijk kunnen vragen wat dat was en waar ik het moest zoeken. Maar goed, ja, ik had Chrome. Of ik dat wilde opstarten. “Tuurlijk (…) Dat duurt wel even hoor (…) Dat duurt eigenlijk best lang, komt dat door al die virussen?”, vroeg ik alsof mijn neus bloedde. Ik speelde zijn verwerpelijk spelletje nog braaf mee en wierp hem soms een snoepje toe.

Die browser had hij nodig om mij Ultraviewer te laten installeren. Met dat programma zou hij mijn computer kunnen overnemen, zoals je dat ook kent van de helpdesk. Toen vond ik het welletjes. Ik vertelde hem dat ik informatiebeveiliger ben en dat ik precies wist wat hij in zijn schild voerde. “Yes”, klonk het timide van de andere kant. Ik kon hem nog gauw aansporen om een eerlijke baan te zoeken voordat hij de hoorn op de haak gooide. Het gesprek had twintig minuten geduurd – hopelijk lang genoeg om iemands digitale leven te redden.

En in de grote boze buitenwereld …


... heeft onderzoeksjournalist Brian Krebs een steentje bijgedragen aan de veroordeling van de mensen die twee jaar geleden zijn website platgooiden.
https://krebsonsecurity.com/2018/09/mirai-botnet-authors-avoid-jail-time/

... heb je thuis toch echt een gastennetwerk nodig. Niet alleen voor je gasten, maar ook voor je IoT-devices.
https://www.kaspersky.com/blog/guest-wifi/23843/

... is de kwetsbaarheid van IoT-devices echt een belangrijk onderwerp.
https://www.bitdefender.com/box/blog/iot-news/peekaboo-zero-day-lets-hackers-view-alter-surveillance-camera-footage/

... betoogt deze auteur dat phishing een nóg belangrijkere bedreiging is.
https://businessinsights.bitdefender.com/your-business-should-be-more-afraid-of-phishing-than-malware#new_tab

... toont dit lijstje van Europol de belangrijkste trends en dreigingen op het gebied van cybercrime.
https://www.databreachtoday.com/cybercrime-15-top-threats-trends-a-11522

... kun je een aanval prima doorstaan als je een goed werkend calamiteitenplan hebt.
https://www.grahamcluley.com/bristol-airport-says-it-did-not-pay-any-ransom-to-recover-from-cyber-attack/

... gunt dit artikel ons een kijkje in de keuken van statelijke actoren.
https://worldview.stratfor.com/article/north-koreas-hackers-play-long-game

... kent cyberoorlog geen regels.
https://foreignpolicy.com/2018/09/12/in-cyberwar-there-are-no-rules-cybersecurity-war-defense/

... heeft iOS12 vijf belangrijke beveiligingsinstellingen.
https://techcrunch.com/2018/09/17/five-security-settings-in-ios-12-you-should-change-right-now/

... gaat een red team zo te werk.
https://www.darkreading.com/threat-intelligence/think-like-an-attacker-how-a-red-team-operates/d/d-id/1332861

... krijgt de AIVD miljoenen extra voor de bestrijding van digitale dreigingen.
https://www.security.nl/posting/577572/AIVD+krijgt+12+miljoen+extra+voor+aanpak+digitale+dreigingen

... heb je straks niks meer aan je dure EV-certificaten.
https://www.troyhunt.com/extended-validation-certificates-are-dead/

... moet de politie een boete betalen. Aan de Autoriteit Persoonsgegevens.
https://autoriteitpersoonsgegevens.nl/nl/nieuws/nationale-politie-moet-politiegegevens-beter-beschermen

... kun je hier kijken of jouw Android-smartphone recente updates aangeboden heeft gekregen.
https://security.googleblog.com/2018/09/android-and-google-play-security_20.html



Gepost door op Geen opmerkingen:
Labels: , , , , , ,

vrijdag 14 september 2018

Beroepsdeformatie

Voor Benno

 In mijn privéleven heb ik wel eens last van mijn vak. Of eigenlijk: van mijn beroepsdeformatie. Hebben de kinderen net iets spannends bedacht, smoor ik hun enthousiasme in de kiem door erop te wijzen dat hun plannetje te gevaarlijk is en dus niet doorgaat. Op sommige plannen zou iedere ouder zo reageren, maar ik vrees toch dat ik er wat vaker dan anderen een instant-risicoanalyse tegenaan gooi.

Zoals deze zomer, toen we op weg van Zuid-Frankrijk naar huis nog een dagje Trier deden. Daar ligt in de Gartenfeldstraβe een bescheiden brug over het spoor (zie Google Maps). Aan weerskanten heeft de brug een betonnen, ongeveer een meter brede boog met daarnaast nog een stoep. Zoonlief rende een klein stukje tegen zo’n boog omhoog. Prima, niks mis mee. Toen bedacht hij dat hij ook helemaal naar boven zou kunnen lopen. Ik twijfel er niet aan dat hij daarin zou slagen, hij doet wel meer freerunning-dingetjes. Maar ik zag teveel beren op de weg om mijn fiat te geven: hij zou zich kunnen verstappen, een plotselinge windvlaag  zou hem van de brug kunnen blazen – en dan natuurlijk naar de kant van het wegdek, waar net een vrachtauto zou langskomen. Of hij zou wel naar boven, maar niet meer naar beneden durven te lopen, of toch en dan uitglijden op het steile traject. En dat dan ook nog eens ver van huis… Kortom: het sommetje kans x impact, waarmee je het risico berekent, pakte voor mij zodanig uit dat van risico-acceptatie geen sprake kon zijn. En aangezien het ook niet mogelijk was om compenserende maatregelen te treffen en de verzekering slechts de materiële ongemakken zou dekken, bleef er maar één behandelwijze voor dit risico over: vermijden. Ofwel: nee jongen, niet doen. (Een dag later passeerden wij deze brug weer en toen stond er een flesje frisdrank bovenop. Iemand anders heeft daar dus wél gelopen – of een zéér strakke bottle flip uitgevoerd).

We hebben de kinderen op vakantie wel losgelaten in een klimbos. Daar kan ook wel het een en ander misgaan, maar een klimbos is toch een speeltuin die is ingericht voor activiteiten op hoogte, voorzien van allerlei beveiligingsmaatregelen en scherp in de gaten gehouden door kundig personeel. De valbeveiliging is dubbel uitgevoerd waardoor je, als je moet ‘overstappen’ op een andere veiligheidslijn, nooit los in een boom staat; je hangt óf aan de ene, óf aan de andere lijn. Het geheel gaf mij voldoende vertrouwen om mijn kinderen een leuk avontuur te laten beleven.

Bij mijn dochter in de klas doen drie jongetjes een challenge: zo lang mogelijk in korte broek naar school gaan. Vanochtend zag ik er zo eentje: bij tien graden in korte broek en T-shirt, zonder jas. Zou ik deelname aan deze challenge toestaan? Dat is gelukkig een hypothetische vraag, want mijn dochter vindt het zelf ook stom. En anders zou ik het in ieder geval ernstig ontraden.

Nog eentje dan. De Arbowet stelt allerlei eisen aan de beveiliging van mensen die op hoogte werken, en toch zie je regelmatig dakdekkers, zonnepaneleninstallateurs en andere beroepsacrobaten los en zonder valbeveiliging over schuine daken lopen. Zo’n tuigje zal wel lastig zijn en een valbeveiliging/steiger opbouwen kost moeite en geld en ach, het zijn ervaren daklopers. Laatst moest iemand bij ons thuis iets aan een dakkapel doen en dat bleek niet van binnenuit te kunnen. Hij zei meteen dat hij niet met de ladder het dak op zou gaan omdat dat te gevaarlijk was. Er moest een steiger aan te pas komen. Anders dan menige andere klant zou hebben gedaan prees ik hem en nam op de koop toe dat de reparatie twee weken uitgesteld zou worden. Overigens was deze man door schade en schande wijs geworden: hij was al twee keer van een dak gevallen.

Thuis heb ik (of eigenlijk: onze kinderen) dus wel eens last van mijn beroepsdeformatie. Op het werk word ik echter betaald om doem te denken, zeg ik altijd (taalkundig fout, maar het klinkt zo aardig). En alsof mijn eigen doemdenken nog niet genoeg is, steekt zo af en toe een collega het hoofd om de hoek en vertelt dat hij iets heeft gezien wat volgens hem vanuit beveiligingsoptiek niet in orde is. Dat soort collega’s hebben we hard nodig, want we kunnen niet alles zelf zien. Het komt ook wel eens voor dat iemand spoken ziet, maar ik heb liever dat ik tien spoken moet ontzenuwen dan dat we één terechte melding missen. Ik koester collega’s die de moeite nemen om hun verhaal te komen doen. Tot mijn grote spijt moeten we voortaan een zo’n bevlogen persoon missen.

En in de grote boze buitenwereld …


... is het tóch mogelijk om gegevens te stelen die op een versleutelde harde schijf staan.
https://techcrunch.com/2018/09/12/security-flaw-in-nearly-all-modern-pcs-and-macs-leaks-encrypted-data/

... is functionaris gegevensbescherming een pittige functie waar de Autoriteit Persoonsgegevens stevige eisen aan stelt.
https://ictrecht.nl/2018/09/11/de-fg-functionaris-gegevensbescherming-vereisten-en-werkzaamheden/

... is online bankieren veilig, zeggen de banken. Maar kijk uit voor CEO-fraude.
https://www.alertonline.nl/experts/veilig-bankieren

... levert CEO-fraude de crimineel veel geld op.
https://nos.nl/artikel/2250066-criminelen-verdienen-steeds-meer-geld-aan-ceo-fraude.html

... belandt af en toe ook wel eens een CEO-fraudeur in de gevangenis. (De in het artikel gehanteerde term business email compromise is een synoniem voor CEO-fraude.)
https://www.justice.gov/usao-sdny/pr/nigerian-man-sentenced-5-years-prison-participating-business-email-compromise-scams

 ... trekt de regering in de nieuwe begroting dertig miljoen extra uit voor het aanpakken van cybercrime.
https://nos.nl/artikel/2250003-extra-geld-voor-aanpak-cybercrime.html

... moeten bedrijven jou vertellen wat ze over je weten als je daarom vraagt. In de praktijk verloopt zo’n inzageverzoek lang niet altijd soepel.
Noot: dit is een Amerikaans artikel, hoewel het ook ingaat op de Europese wetgeving (AVG).
https://www.engadget.com/2018/09/04/who-controls-your-data/

... was het nog nooit zo gemakkelijk om een auto te stelen.
https://www.wired.com/story/hackers-steal-tesla-model-s-seconds-key-fob/

... voelt een privacy-maatregel soms als een 1-aprilgrap.
https://www.security.nl/posting/576603/DierenPark+Amersfoort+geeft+bezoekers+dinomasker+voor+privacy

... kun je Bluetooth maar het beste uitzetten op momenten dat je het niet gebruikt.
https://www.security.nl/posting/577114/Onderzoek%3A+2+miljard+apparaten+kwetsbaar+voor+BlueBorne-aanval


Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 7 september 2018

Mijn privacy en het universum


Ik had gedoe met mijn provider. Aan het begin van onze buitenlandse vakantie kreeg ik bericht dat mijn mailaccount geblokkeerd was omdat hij gehackt zou zijn. Dat hebben ze opgemaakt uit het feit dat ik in korte tijd vanaf veel verschillende IP-adressen had ingelogd (dat is jouw adres in het netwerk waarop je op dat moment bent ingelogd). Ja, logisch: we gingen naar Zuid-Frankrijk en we wilden het rustig aan doen, met twee hotelovernachtingen tussendoor. Dan kom je inderdaad via de nodige vreemde IP-adressen binnen bij je provider, zeker als je ook nog een VPN gebruikt – een Virtual Private Network, wat concreet inhoudt dat op mijn smartphone een app draait die al mijn internetverkeer versleutelt, zodat niemand op die onveilige hotelwifinetwerken kan meekijken. Dat levert ook weer andere IP-adressen op, namelijk van de VPN-provider.

Kortom: als je reist, dan laat je een bont spoor van IP-adressen achter. Dat is niet bijzonder. Stel je voor dat de bank je pinpas en je creditcard blokkeert zodra je ze in het buitenland gebruikt. Banken hebben zeer verfijnde mechanismen om fraude te detecteren. Ik mocht dat zelf tweemaal ondervinden. De ene keer was vals alarm (maar wel begrijpelijk), de andere keer was een schot in de roos. Na mijn bevestiging dat het om fraude ging, regelde de bank alles zelf: pas blokkeren, nieuwe pas verstrekken en ervoor zorgen dat ik er financieel niets van zou merken.

Zo niet mijn internetprovider. Die gooide de boel op slot en liet mij weten (dat dan gelukkig nog wel) dat ik de wachtwoorden van het ‘mijn’-account en van het mailaccount moest wijzigen. De blokkade zou dan automatisch binnen een uur worden opgeheven. Nu is het inloggen en wijzigen van die wachtwoorden best wel een gedoe als je dat allemaal op een smartphoneschermpje moet doen, zeker als je op een niet al te stabiele verbinding zit. Uiteindelijk lukte het en kon ik de rest van mijn vakantie weer gewoon mailen. De VPN-app heb ik maar uitgezet.

Toen ik weer thuis was, lag daar een brief van de provider waar nog een keer in stond dat mijn account geblokkeerd was. Deze keer werd echter als reden opgegeven dat mijn account was gebruikt voor het versturen van spam. Er stond zelfs nog een opgeheven vingertje in de brief voor het geval ik die spam willens en wetens zelf had verstuurd.

Ik wilde wel eens weten wat er nou echt aan de hand was, want volgens mij was er helemaal niets aan de hand. Bij de helpdesk van de provider was het te druk (altijd een veeg teken), daarom ging ik maar met ze chatten. Ik werd te woord gestaan door ene Elisabeth, die guitig informeerde ‘wat mij hier bracht’. Elisabeth was blij voor mij dat de problemen ‘met sneeuw voor de zon’ (sic) waren verdwenen. En verder: “Je hebt helemaal gelijk waardoor dit komt, wanneer je op vakantie bent of zakenreis gebruik je vaak de gekste locaties en hierdoor wordt er uit voorzorg een blokkade geplaatste om problemen te voorkomen.” Automatisch en onontkoombaar.

Mijn mail-app kreeg de schuld. Die moest ik ook niet gebruiken, dat gaf alleen maar problemen. Als ik weer eens naar het buitenland ging, dan moest ik maar hun webmail gebruiken. Dat zou afsluiting in negen van de tien keer voorkomen. Dat ik dat omslachtig vond was jammer maar helaas. Ik vroeg of ze mijn klacht aan de desbetreffende afdeling kon doorgeven, want ik was vast niet de enige en dan konden ze er nog eens naar kijken. Hier nam de chat een bizarre wending.

Elizabeth typte dat dat niet mogelijk was, “want dit is gewoon hoe het verloopt i.v.m. privacy etc.” Die opmerking schoot mij in het verkeerde keelgat. Privacy wordt wel vaker als drogreden genoemd om iets niet te doen, maar hier gebeurde dat wel erg opzichtig. Ik vroeg dan ook wat privacy ermee te maken had. Elisabeths antwoord luidde: “Alles, maar dit is een automatisch proces. Privacy voor de landen etc. dit is moeilijk uit te leggen. Meer een soort bescherming voor jou, jij ziet dit niet zo wat ik wel begrijp.” Mijn tegenwerping dat ik juist aardig wat van privacywetgeving af weet werd gepareerd met een verwijzing naar mijn eigen privacy en dat het allemaal niets te maken had met de nieuwe wetgeving. Omdat dit allemaal kant noch wal raakte heb ik Elisabeth maar gauw bedankt voor haar tijd en de chat beëindigd.

Een paar dagen later heb ik via Twitter geklaagd over zowel de behandeling van mijn probleem als het gebruik van privacy als argument voor alles. Het webcare-team was het volledig met mij eens en ik kon mijn verhaal uiteraard nog eens per mail voorleggen. De reactie die ik daarop kreeg was kort en bondig: ik had ingelogd vanaf een IP-adres waarvan bekend was dat het bij een botnet hoorde (dat is een netwerk van computers die zonder medeweten van de eigenaren ervan in de macht van criminelen is). Daarvandaan konden allerlei criminele activiteiten worden uitgevoerd. “Er kan echter nog veel meer gedaan worden waar wij niet vanaf weten. Denk bijvoorbeeld aan uw internet privacy.” En daarmee was de kous af. Reeds vóór de AVG werd privacy wel eens als dooddoener opgevoerd en helaas is mijn voorspelling uitgekomen: als het P-woord valt, dan houdt alles op. Om uw privacy te waarborgen zijn wij helaas genoodzaakt om het universum stop te zetten.

En in de grote boze buitenwereld …


... kunnen ook koelkasten en andere IoT-devices onderdeel uitmaken van een botnet.
https://securingtomorrow.mcafee.com/consumer/mobile-security/top-trending-iot-malware-attacks-of-2018/

... moet je je afvragen of al die browser-uitbreidingen het risico wel waard zijn.
https://krebsonsecurity.com/2018/09/browser-extensions-are-they-worth-the-risk/

... lopen 3D-printers ook al gevaar.
https://www.theregister.co.uk/2018/09/04/3d_printers_hackable/

... werd de cloud een donkere onweerswolk toen het te heet werd in het datacenter.
https://tweakers.net/nieuws/142981/hitteprobleem-in-datacentrum-microsoft-azure-veroorzaakt-storingen.html

... lekken nogal wat websites hun broncode.
https://www.theregister.co.uk/2018/09/04/web_site_source_code_disclosure/

... hangt tegenwoordig ook fysieke beveiliging van (kwetsbare) software aan elkaar.
https://tweakers.net/nieuws/142939/medewerker-vindt-lekken-in-software-beveiligingsleverancier-van-google-kantoor.html

... liet een DDoS-afperser zich interviewen.
https://www.deepdotweb.com/2018/09/03/interview-with-a-professional-ddos-extortionist/

... vechten cryptominers een wrede oorlog uit op jouw computer.
https://www.grahamcluley.com/cryptomininers-killing-cryptominers-to-squeeze-more-out-of-your-cpu/

... maken die cryptominers je computer traag.
https://webwereld.nl/security/106467-malafide-cryptominers-maken-massaal-onze-pc-s-traag

... is blockchaintechnologie ook handig voor criminelen.
https://www.securityweek.com/how-cybercriminals-are-using-blockchain-their-advantage

... voldoen overheidsorganisaties inmiddels keurig aan de eis dat ze een functionaris gegevensbescherming moeten hebben.
https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-rondt-controle-af-op-functionaris-gegevensbescherming-overheid

... heeft de Electronic Frontier Foundation diceware-lijsten gemaakt voor liefhebbers van Star Trek, Harry Potter, Game of Thrones en Star Wars. Met deze lijsten en een dobbelsteen genereer je willekeurige passphrases.
https://www.security.nl/posting/575602/EFF+komt+met+Star+Trek-woordenlijst+voor+passphrases

... weert Google voortaan advertenties van malafide helpdesks.
https://www.blog.google/products/ads/restricting-ads-third-party-tech-support-services/

... bestaat ‘onhackbaar’ niet.
https://webwereld.nl/security/106503-onhackbare-hardware-wallet-opnieuw-gehackt


Gepost door op Geen opmerkingen:
Labels: , , , , , ,
Abonneren op: Posts (Atom)