donderdag 22 november 2018

Mijn fiets wil niet op slot


De volgende Security (b)log verschijnt op 7 december.

Daar ben je weer. Na de dagelijkse fietstocht aangekomen op kantoor.  Je zet je fiets in het rek en wilt hem op slot doen. Maar je ringslot stuit op een spaak. Je moet het wiel even een zetje geven om het slot te kunnen sluiten. Herken je dit? En zit je, net als ik, soms zachtjes te foeteren omdat dit best vaak gebeurt? Vooral als je het wiel nóg iets verder moet draaien omdat je alwéér op een spaak zit?

Ik had al langere tijd het gevoel dat dit mij vaker overkomt dan statistisch verantwoord is. En dus heb ik uiteindelijk maar eens een paar meetinstrumenten en wat eenvoudige wiskunde ter hand genomen om uit te rekenen hoe vaak het zou mogen gebeuren. Reken je even mee? De plek waar mijn slot door het wiel gaat ligt op 28 cm van de as. Een cirkel met deze straal heeft een omtrek van 175,9 cm (2πr). De spaken van mijn achterwiel zijn gemiddeld 2,4 mm dik en daarvan zitten er 36 in het wiel. Als je alle spaken recht naast elkaar zou leggen, dan zou het rijtje spaken 8,64 cm breed zijn. Van de denkbeeldige cirkel waarop het slot zit, wordt dus 8,64/175,9 bezet door spaken. Dat is vijf honderdste. De rest – 95% – is lucht!

Klopt mijn gevoel dat het niet klopt dan inderdaad? Hoho, we zijn er nog niet. Bovenstaand rekensommetje houdt namelijk nog geen rekening met de dikte van de sluitpal van het slot. Die moeten we echter wel degelijk meenemen, want hij stuit lang niet altijd precies met het midden op een spaak. Hij kan ook ‘een beetje’ op de spaak terechtkomen, of nét met de zijkant. De sluitpal is 8,5 mm dik. Daardoor krijg je een ‘virtuele spaakdikte’ van 19,4 mm – de dikte van de spaak plus tweemaal de dikte van de sluitpal (de sluitpal kan zowel links als rechts ‘een beetje’ op de spaak terechtkomen). Leg je vervolgens deze dikke spaken naast elkaar, dan is dat rijtje 69,84 breed. En daardoor krijgen we een heel andere uitkomst dan hierboven: de kans dat je een spaak raakt is maar liefst twee vijfde. Het is dus statistisch echt wel verantwoord dat je gemiddeld (!) op twee werkdagen per week wat extra moeite moet doen als je je fiets stalt.

Als je risicoanalyses uitvoert, dan maak je ook vaak inschattingen. Hoe groot is bijvoorbeeld de dreiging van DDoS-aanvallen? De Nationale Beheerorganisatie Internet Providers heeft vorig jaar 826 DDoS-aanvallen waargenomen in Nederland. Het NCSC, dat met name de overheid en de vitale sectoren bedient, heeft rond de dertig incidenten van dit type geregistreerd. Dit soort cijfers kunnen je helpen bij het inschatten van de ernst van een dreiging voor de organisatie. Je kunt ze echter niet zomaar overnemen – organisaties met een grote publieke zichtbaarheid hebben doorgaans meer last van DDoS-aanvallen. Denk maar terug aan het voorjaar, toen diverse banken en de Belastingdienst enkele keren werden aangevallen.

Nog een voorbeeld: phishing. Er bestaat een club die wereldwijd phishingcampagnes in beeld brengt, de Anti- Phishing Working Group. De APWG heeft in de eerste helft van dit jaar ruim een half miljoen unieke campagnes geregistreerd (als jij en ik dezelfde phishingmail ontvangen, dan is dat dezelfde campagne en tellen we samen, met alle andere ontvangers van die mail, één keer mee). Het NCSC heeft vorig jaar rond de negentig gevallen geregistreerd bij zijn achterban. Phishing is dus een redelijk grote dreiging. Maar er zijn twee smaken. ‘Gewone’ phishing, waar je privé regelmatig mee geconfronteerd wordt, is als schieten met hagel. Daarentegen richt spear phishing zich op uitverkoren individuen in bedrijven, bijvoorbeeld mensen met hoge computerrechten (beheerders) of medewerkers die bij de bankrekening kunnen.

Met risicoanalyses brengen we in beeld hoe kwetsbaar een systeem of dienst is voor bepaalde aanvallen. Kwalitatieve analyses drukken die kwetsbaarheid uit in de termen laag, midden en hoog (eventueel met ‘zeer’ opgerekt tot een vijfpuntsschaal). Omdat dat soms best lastig is, en omdat we ons gemakkelijk vergissen in de kans dat het fietsslot niet dicht wil, kan het geen kwaad om je ook bij kwantitatieve risicoanalyses te spiegelen aan beschikbare cijfers. Als je daar vervolgens met een goede reden van afwijkt, dan heb je een bewuste afweging gemaakt. En dat is precies waar risicomanagement om draait.

 
En in de grote boze buitenwereld …


... lekt data van Nederlandse ambtenaren via Microsoft Office naar de VS. Microsoft moet het product nu aanpassen.
https://www.nrc.nl/nieuws/2018/11/13/microsoft-lekt-data-nederlandse-ambtenaren-naar-vs-a2755066
https://www.rijksoverheid.nl/documenten/rapporten/2018/11/07/data-protection-impact-assessment-op-microsoft-office

... is niet de mens de zwakste schakel in cybersecurity, maar de infrastructuur.
https://motherboard.vice.com/en_us/article/d3bvgy/the-weakest-link-in-cybersecurity-isnt-human-its-the-infrastructure

... heb je niks aan geheime beveiligingsvragen als een fout antwoord ook goed wordt gerekend.
https://www.bbc.com/news/business-46274644

... zorgt een ‘slim voordeurslot’ ervoor dat de boodschappen in je koelkast worden gelegd terwijl je niet thuis bent. Ach, wat zou er fout kunnen gaan...?
https://tweakers.net/nieuws/146041/albert-heijn-test-thuislevering-met-slim-deurslot-bij-afwezigheid-van-bewoner.html

... stelt de Amerikaanse digitale-burgerrechtenbeweging EFF gratis het boek The end of trust ter beschikking, met essays over technologie, privacy en surveillance. Je hoeft geen gegevens in te vullen om het boek te downloaden.
https://www.eff.org/the-end-of-trust

... heeft ook Australië last van Chinese staatshackers.
https://www.nu.nl/internet/5581907/chinese-staatshackers-bespioneren-vaker-australische-bedrijven.html

... kun je natuurlijk ook het dark web hacken. (Met heldere uitleg over surface web, deep web, dark web en Tor.)
https://peterzinn.nl/2018/11/19/dark-web-hosting-daniels-hosting-gehackt/

... wordt hier het wachtwoordloze internet aangekondigd.
https://blog.vasco.com/authentication/fido2/

... kan falende beveiliging een ramp veroorzaken.
https://arstechnica.com/information-technology/2018/11/indonesia-737-crash-caused-by-safety-feature-change-pilots-werent-told-of/

... legt het Openbaar Ministerie uit hoe responsible disclosure werkt en wat de regels zijn.
https://www.om.nl/onderwerpen/cybercrime/fouten-ict-systemen/

... moet er dringend regelgeving voor IoT-spullen komen.
https://www.schneier.com/blog/archives/2018/11/new_iot_securit.html

... ging Google even op zwart nadat hun internetverkeer per abuis via China werd gerouteerd.
https://arstechnica.com/information-technology/2018/11/major-bgp-mishap-takes-down-google-as-traffic-improperly-travels-to-china/

... is het in bepaalde gevallen verdedigbaar dat een webwinkel om je geboortedatum vraagt.
https://blog.iusmentis.com/2018/11/13/mag-een-webwinkel-een-geboortedatum-vragen-of-moet-een-meerderjarigheidsvinkje-genoeg-zijn/

... moesten twee Pathé-directeuren het veld ruimen nadat zij zich voor negentien miljoen hadden laten oplichten met valse e-mails. Een mooi voorbeeld van de werking van CEO-fraude.
https://www.nu.nl/economie/5564843/nederlandse-directie-pathe-19-miljoen-euro-opgelicht-met-valse-e-mails.html


Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 9 november 2018

Mag ik op je telefoon?


We maken tegenwoordig allemaal gebruik van diverse computerapparatuur, zowel zakelijk als privé: desktops, laptops, tablets, smartphones, smartwatches en misschien nog wel meer. Als je dit lijstje van voren naar achteren leest, zoals je net hebt gedaan, dan denk ik dat ze in die volgorde steeds persoonlijker worden. Dat komt doordat ze letterlijk dichter tegen je aan zitten, maar misschien ook wel omdat je er persoonlijkere dingen mee doet.

Op kantoor hebben we geen desktops meer (al wil ik een enkel vergeten exemplaar niet uitsluiten). Thuis nog wel. Die staat boven, op wat wij de studeerkamer noemen. Elk gezinslid heeft een eigen account en ikzelf heb daarnaast toegang tot een beheerdersaccount. Beneden staat een laptop, waarop iedereen onder hetzelfde account toegang heeft. Dat is vooral de computer om snel even iets op te zoeken en dan werkt het niet handig om steeds eerst onder een eigen account in te moeten loggen. Gelukkig lopen we daardoor geen onacceptabele risico’s, vind ik.

Bij mij thuis staan de laptop en de desktop dus andersom in de pikorde. De zakelijke laptop is daarentegen voor de meesten van ons privédomein. Als je er geen gebruik van maakt is hij achter slot en grendel opgeborgen, gaat hij mee naar huis of ligt hij op z’n minst aan de ketting. Hoewel technisch mogelijk, is er geen noodzaak voor collega’s om jouw laptop te gebruiken – ze hebben er namelijk zelf eentje. (Dat ‘technisch mogelijk’ zit ‘m erin dat de laptop meerdere gebruikersaccounts zou kunnen hebben. Geen enkele collega kan jouw laptop onder jouw account gebruiken, want je wachtwoord houd je uiteraard voor jezelf.)

Mijn portable devices zijn (bijna) helemaal voor mijzelf. Tot mijn zakelijke iPad heeft niemand behalve ikzelf toegang, want tja, die is zakelijk. Verder gebruik ik een zelf aangeschafte dual SIM-smartphone, waar naast mijn privé-simkaart ook een zakelijke simkaart in zit. Die telefoon bevat geen zakelijke toepassingen. Omdat dat soms handig is, kan mijn vrouw deze telefoon ook ontgrendelen. De kinderen hebben geen toegang.

Hoe zit dat bij jou? Mogen de kinderen of andere huisgenoten spelletjes spelen op jouw zakelijke devices, bijvoorbeeld omdat ze er zelf nog geen hebben, omdat het geheugen vol zit of omdat hun batterij leeg is? Als het zakelijke toestellen betreft – die dus zakelijke gegevens en toepassingen bevatten – dan zou je deze vraag met nee moeten beantwoorden. Ook al is het niet hun bedoeling om die zakelijke zaken aan te raken, dan nog – het zou kunnen dat iemand per ongeluk iets doet. Een paar jaar geleden meldde een collega ontdaan dat zijn mailaccount moest zijn gehackt, want er waren vreemde mailtjes uit zijn naam verzonden. Na wat onderzoek en stevig doorvragen bleek dat zijn zoontje met de zakelijke iPad had gespeeld en daarbij per ongeluk in de mail was terechtgekomen. Dit soort dingen gebeuren gewoon, mensen. Je voorkomt ze door zakelijke apparatuur niet uit handen te geven.

Gamen de kinderen regelmatig hun telefoon leeg als jullie onderweg zijn? Een powerbank of autolaadsnoer doet wonderen en voorkomt dat ze jouw telefoon ‘nodig’ hebben. Geheugen vol en geen plek voor die nieuwe, vette game? Laat ze eens wat oude zooi opruimen. Ze hebben vast veel apps waar ze al lang niet meer naar hebben omgekeken, en misschien ook een enorme berg foto’s die echt niet bewaard hoeven te blijven (en anders kun je ze altijd nog overzetten naar een pc om ruimte op te telefoon te maken).

Het niet uit handen geven van je spullen behoedt je ook voor het installeren van software die schadelijk kan zijn voor je toestel of voor je gegevens. Er zijn genoeg apps die eropuit zijn om je te bespioneren, om maar eens iets te noemen. Als je zelf een app installeert, dan let je hopelijk goed op tot welke functies die app allemaal toegang wil. Geef je je device uit handen, dan verlies je daarmee deze controlemogelijkheid.

Op Android-devices kun je tegenwoordig ook met verschillende gebruikersprofielen werken. Elke gebruiker heeft zijn eigen startschermen, accounts, apps en instellingen, zonder dat gegevens (zoals bestanden, foto’s, sms’jes) worden gedeeld. Je kunt zelfs een gastprofiel maken, voor iemand die maar eventjes gebruik hoeft te maken van jouw telefoon. Ik heb zelf geen ervaring met het gebruik van deze profielen, maar als ik mijn telefoon zou willen delen, dan zou ik daar zeker verder naar kijken (hint…).

En in de grote boze buitenwereld …


... blijft de Belgische overheid wél de beveiligingsproducten van Kaspersky gebruiken. Een mooi bericht voor het Russische bedrijf, zo aan de vooravond van hun verhuizing van enkele bedrijfsonderdelen naar Zwitserland, die bedoeld is om de schijn van inmenging van de Russische regering in hun bedrijfsvoering weg te nemen.
https://www.computable.be/artikel/nieuws/security/6510593/5440850/belgische-overheid-houdt-vertrouwen-in-kaspersky.html

... is de versleuteling van sommige SSD-schijven lek.
https://m.slashdot.org/story/348028

... kunnen ook drones data lekken.
https://www.securityweek.com/dji-drone-vulnerability-exposed-customer-data-flight-logs-photos-and-videos

... informeert de overheid je via de campagne Webshop of nepshop? over de mogelijkheden die je als consument hebt om de betrouwbaarheid van een webwinkel te controleren.
https://www.consuwijzer.nl/webshop-of-nepshop

... blijft het hotelwezen een geliefd doelwit voor hackers.
https://www.grahamcluley.com/radisson-hotel-group-reveals-hack-of-rewards-site/

... bevat de nieuwste iOS-update een kwetsbaarheid waardoor iedereen toegang kan krijgen tot informatie over jouw contactpersonen, zonder dat hij het apparaat hoeft te unlocken.
https://gizmodo.com/iphone-lockscreen-exploit-discovered-in-apples-latest-i-1830149497

... kun je berichten verstoppen in valse vingerafdrukken.
https://boingboing.net/2018/11/05/data-fingerprinting.html

... heeft Facebook vlak voor de Amerikaanse verkiezingen tientallen accounts verwijderd. En we hebben er een geweldige nieuwe term bijgekregen: “coordinated inauthentic behavior”.
https://www.grahamcluley.com/facebook-blocks-accounts-election/

... hebben we er nog een nieuw woord bij: tikkiefraude.
https://www.rijnmond.nl/nieuws/174092/Nieuw-fenomeen-Tikkiefraude

... leert een bijtende hond je een lesje in crisismanagement.
https://www.securityweek.com/why-dog-bite-lesson-handling-cyberattacks

... brengt Google je huis in kaart. Met een stofzuiger.
https://www.theverge.com/2018/10/31/18041876/google-irobot-smart-home-spatial-data-mapping-collaboration

... betoogt hier iemand dat we verkeerd omgaan met wachtwoorden.
https://josephsteinberg.com/why-you-should-ignore-everything-that-you-have-been-told-about-passwords/

... verhult Signal voortaan de naam van de verzender van een bericht.
https://arstechnica.com/information-technology/2018/10/new-signal-privacy-feature-removes-sender-id-from-metadata/

... heeft de Autoriteit Persoonsgegevens een hoge dwangsom opgelegd aan het UWV.
https://ictrecht.nl/2018/10/30/autoriteit-persoonsgegevens-legt-hoge-dwangsom-op-aan-uwv/

... illustreert deze webpagina tot in detail hoe TLS werkt.
https://tls.ulfheim.net

... zijn bijna alle nieuwere Amerikaanse wapensystemen kwetsbaar voor cyberaanvallen.
https://edition.cnn.com/2018/10/09/politics/us-weapons-report-vulnerable-cyber-attacks/index.html

... steel je een Tesla met een tablet.
https://www.grahamcluley.com/watch-how-a-tesla-model-s-was-stolen-with-just-a-tablet/

... is ruim de helft van de (Amerikaanse) werknemers een bedreiging voor de gegevens van zijn bedrijf. En dat is meer dan een jaar geleden.
https://www.helpnetsecurity.com/2018/10/16/employee-knowledge-cybersecurity/

... kun je met deze nieuwe website niet alleen achterhalen welke van jouw accounts bij een hack betrokken waren, maar ook welke wachtwoorden daarbij gelekt zijn.
https://nos.nl/artikel/2255072-deze-hackers-kraken-jouw-wachtwoord-om-je-te-helpen.html

... doen afpersers alsof ze je e-mail gehackt hebben.
https://nakedsecurity.sophos.com/2018/10/15/beware-sextortionists-spoofing-your-own-email-address/


Gepost door op Geen opmerkingen:
Labels: , , , , , , ,
Abonneren op: Posts (Atom)