vrijdag 20 december 2019

Doe het gewoon


De dagen zijn nu wel érg kort. In meerdere opzichten: we naderen met rasse schreden de kortste werkdag van de zon, en voor velen is het kerstvakantie. Ik vrees dan ook dat deze aflevering van de Security (b)log de leesstatistieken flink omlaaghaalt, althans de interne publicatie. De extern gepubliceerde blog maakt nog wel kans op een gewone opkomst, want jullie hebben nu ruim de tijd om mijn blog te lezen.

En dat is maar goed ook. We zijn namelijk een beetje geschrokken van een poll die we hebben gehouden. Die poll ging over een klassiek onderwerp: schermvergrendeling. Met tot nu toe tweeduizend stemmers geeft 72% van de collega’s aan dat ze hun scherm altijd vergrendelen als ze hun laptop onbeheerd achterlaten. Nog eens een vijfde deel van de respondenten vindt dit wel belangrijk, maar vergeet het nog wel eens. Vijf procent vindt het vergrendelen niet nodig omdat het kantoorpand voldoende bescherming biedt of omdat de collega’s de boel in de gaten houden. En de laatste drie procent vertrouwt op de automatische schermvergrendeling.

Nou hoor ik je denken: waar maakt’ie zich druk om? Negentig procent vergrendelt het scherm of begrijpt op z’n minst de noodzaak om dat te doen. Moet je die laatste 10% er ook nog uit persen? Nou, het gaat me niet zozeer om de cijfers, maar meer om de gedachten die daarachter schuilgaan. In een reactie laat een collega weten dat hij verschil maakt in werkomgeving. Heb je in een team veel personeelsverloop, ken je niet iedereen en zijn er al eens incidenten geweest waarbij iemand misbruik heeft gemaakt onbemande, openstaande werkplekken? Dan is het wel duidelijk. Werk je echter in een hecht team dat aan dezelfde zaken werkt en daar toch al regelmatig over overlegt, dan heb je geen geheimen meer voor elkaar, zo betoogt hij. En dan hoef je ook je scherm niet te locken. Iemand anders laat weten dat hij z’n collega’s vertrouwt en ook telefoon en portemonnee laat liggen als hij even wegloopt.

Er zijn ook collega’s die prima kunnen beargumenteren waarom schermvergrendeling een normale hygiëne-maatregel is. Bijvoorbeeld omdat je werkt met gegevens van klanten, die deze gegevens hebben afgestaan en er daardoor zelf geen controle meer over hebben. Of omdat we weliswaar in een kantoorpand zitten, maar de beveiliging daarvan niet per se waterdicht is.

Ook het onderwerp ‘vertrouwen’ wordt ter discussie gesteld. Het is menselijk dat we de meeste collega’s blindelings willen vertrouwen, maar mensen kunnen in de problemen komen zonder dat jij het weet. En die mensen kunnen er dan baat bij hebben om onder jouw identiteit iets te doen wat ze niet mogen doen. Misschien niet uit eigener beweging, maar omdat ze door de omstandigheden of door anderen min of meer gedwongen worden (denk aan gokschulden en afpersing). En dat kunnen ook collega’s zijn waarmee je al jarenlang tot volle tevredenheid samenwerkt. Zie het maar zo: we zijn met zovelen, dat we statistisch gezien recht hebben op een aantal zwarte schapen. En die zijn er dan ook – hetzij door aanleg, hetzij door omstandigheden. Een VOG helpt dan ook niet.

(Tussendoor even voor de duidelijkheid: ik sta hier niet individuele collega’s af te fakkelen vanwege hun reacties. Het is juist lovenswaardig dat zij hun zienswijze delen, want wij kunnen leren van hun drijfveren. Dank daarvoor!)

Er wordt in deze context ook vaak op gewezen dat we, als ambtenaren, toch allemaal de eed of belofte én een geheimhoudingsverklaring hebben afgelegd. Maar geloof je nou echt dat iemand, die op het punt staat over de schreef te gaan door onder jouw identiteit iets onoorbaars te doen, zich dáárdoor laat tegenhouden? Als je naar Amerika reist, dan moet je onder andere de vraag beantwoorden of je een terrorist bent. Niet omdat de autoriteiten verwachten dat je die vraag eerlijk beantwoordt, maar om je (mede) daarop te kunnen pakken als je er toch eentje blijkt te zijn: kijk, je hebt op dat formulier gelogen en dat is een federal crime! Nee, zo’n eed is een mooi gebaar, maar je mag er niet van uitgaan dat zij iemand tegenhoudt.

De mooiste zin uit de reacties vind ik deze: “Je scherm op slot doen is een van de minst ingrijpende handelingen die direct een risicoverminderend resultaat heeft.” Kijk, het zit zo. De organisatie vindt het belangrijk dat je dit doet. Het is heel gemakkelijk om te doen. Doe het gewoon. En vind je ctrl-alt-del <even wachten> enter/klik te omslachtig? Gebruik dan de combinatie Windowstoets-L (WL). Met de L van lock.

De komende twee weken moeten we het zonder verse Security (b)logs stellen.

En in de grote boze buitenwereld …


... heeft een spelletjesmaker vele miljoenen slecht beveiligde wachtwoorden laten lekken. Dit is een periodieke herinnering dat je voor al je accounts een uniek wachtwoord moet kiezen, zodat een lek beperkt blijft tot dat ene account.
https://tweakers.net/nieuws/161382/172-miljoen-slecht-beveiligde-wachtwoorden-zijn-uitgelekt-bij-gamemaker-zynga.html

… kunnen cyberaanvallen ook schadelijk zijn voor de gezondheid.
https://www.nytimes.com/2019/12/16/us/strobe-attack-epilepsy.html

... zijn meerdere glasvezelkabels in Oost-Europa tegelijkertijd doorgesneden.
https://www.bbc.com/news/technology-50851420

... verstopt deze malware zich achter plaatjes van sterren.
https://nakedsecurity.sophos.com/2019/12/19/hiding-malware-downloads-in-taylor-swift-pics-new-sophoslabs-report/

... staan tienduizenden Duitse studenten in de rij om persoonlijk een nieuw e-mailwachtwoord in ontvangst te nemen.
https://www.bbc.com/news/technology-50838673

... verzamelt de Chinese overheid enorm veel gegevens over burgers, en beveiligt die amper.
https://www.nytimes.com/2019/12/17/technology/china-surveillance.html

... worden cyberverzekeringen normaal.
https://tweakers.net/reviews/7550/cyberverzekeringen-worden-normaal-bescherming-tegen-avg-boetes-en-losgeld.html

... is de speciale TPM-chip in je computer en telefoon, die beveiligingssleutels veilig moet bewaren, lek.
https://tpm.fail

... moeten IT-spelers eens eindelijk volwassen worden.
https://www.ictmagazine.nl/columns/weg-met-it-pubers/

... pleit de minister van Justitie niet voor zwakke encryptie. Ik herhaal: de minister pleit niet voor zwakke encryptie.
https://tweakers.net/nieuws/161246/minister-grapperhaus-ik-pleit-niet-voor-verzwakken-encryptie.html

... dreigen ransomware-criminelen tegenwoordig met de publicatie van buitgemaakte bedrijfsgegevens als je niet betaalt.
https://krebsonsecurity.com/2019/12/ransomware-gangs-now-outing-victim-businesses-that-dont-pay-up/

... lees je hier de ontstaansgeschiedenis van ransomware.
https://peterzinn.nl/2019/12/16/de-evolutie-van-ransomware/


Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 13 december 2019

Reality check


Een trouwe lezer van de Security (b)log, werkzaam bij organisatie X, heeft het boek Het is oorlog maar niemand die het ziet van Huib Modderkolk gelezen. Hij schrijft hierover: “Het leest als een spannende detective maar het opent wel je ogen. Er gebeurt blijkbaar dagelijks al véél meer dan we beseffen. Hoe één onachtzame medewerker of een niet uitermate goed beveiligd systeem tot zéér grote gevolgen kan leiden. Dat er dagelijks aanvallen zijn op datacenters waar buitenlandse mogendheden achter zitten, maar ook criminelen.”

Vervolgens heeft deze lezer zich afgevraagd hoe graag buitenstaanders nu eigenlijk informatie uit zijn eigen organisatie zouden willen hebben. En hoe goed is organisatie X nu écht daartegen beveiligd? De lezer is geen techneut maar beseft wel heel goed dat ook niet-technische gaten in de beveiliging kunnen leiden tot het lekken van gegevens. Zo ziet hij sleutelkastjes openstaan waar leidinggevenden schouderophalend langs lopen. Bij interne verhuizingen – uitgevoerd door externe verhuizers – worden dossiers met beursgevoelige informatie in open containers vervoerd. Managers geven toe dat dat ‘eigenlijk’ niet zo hoort, maar berusten er verder in.

Hé, daar komt mijn stokpaardje voorbij gehobbeld. Ik herhaal het maar nog eens: ‘eigenlijk’ is het meest misbruikte woord in de informatiebeveiliging. Telkens wanneer iemand zegt dat iets eigenlijk niet mag of dat het eigenlijk anders moet, weet je dat hij een voor zichzelf acceptabele smoes heeft bedacht om zich niet aan de een of andere regel te houden. Ik besef terdege dat het soms om argumenten gaat die hout snijden, maar ik zie ook vaak dat men zich er toch wel erg gemakkelijk van afmaakt. Ik wil dus dat jullie voortaan allemaal, als je het woord ‘eigenlijk’ gebruikt in relatie tot iets wat met beveiliging te maken heeft, even stilstaan bij wat je zegt en je afvraagt of je je met net iets meer moeite niet tóch aan die regel kunt houden die je dreigt te gaan omzeilen. En breid deze opdracht gerust uit tot het domein van de veiligheid: “Ik weet dat je hier eigenlijk niet mag inhalen, maar …”. Heb je nou écht zo’n haast dat je de analyse van de wegbeheerder aan je laars moet lappen?

Terug naar mijn lezer. Die vraagt zich af of het veel moeite zou kosten om in zijn organisatie te infiltreren, of om gevoelige informatie te bemachtigen middels omkoping of afpersing. De onderliggende vraag luidt: wegen de kosten en inspanningen voor criminelen en statelijke actoren op tegen de voordelen die ze uit X bv kunnen halen? Dat deze vraag voor allerlei organisaties met ja wordt beantwoord, wordt door nieuwsberichten bevestigd. Politiemensen die informatie doorsluizen naar criminelen. Douaniers die een oogje dichtknijpen bij containers met smokkelwaar. Diefstal van intellectueel eigendom bij hightech bedrijven. Het komt gelukkig – voor zover bekend – in Nederland maar sporadisch voor. Corruptie is hier nog groot nieuws. Of economische spionage hier te lande ook zo klein is, durf ik niet te zeggen.

Nog even over die openstaande sleutelkastjes bij X bv. Van de week vroeg iemand zich af waarom die kastjes, waarin belangrijke sleutels van zeer degelijke sloten worden bewaard, zelf toch zo vaak zijn voorzien van een uiterst knullig slotje. Als op een deur of kast een gecertificeerd slot zit, dan wil je kennelijk datgene wat zich achter dat slot bevindt, goed beveiligen. Als je vervolgens de sleutel van dat slot zowat onder de deurmat legt, dan introduceer je daarmee een wel heel zwakke schakel in de beveiliging van je spullen.

“Hoeveel beter zijn onze veiligheidsscenario's dan de genoemde voorbeelden in het boek?”, vraagt de lezer zich af. Kijk, aan de ene kant heb je scenario’s, beleid, intentie en risk appetite. Aan de andere kant heb je de medewerkers van een organisatie, die daar dagelijks mee moeten omgaan. Als die beide kanten niet netjes op elkaar aansluiten – bijvoorbeeld doordat de ene kant tot onwerkbare situaties leidt of doordat de andere kant te laks is – dan ziet het er op papier allemaal hartstikke goed uit, maar heb je, als organisatie, in werkelijkheid een probleem waarvan je waarschijnlijk niet eens weet dat je het hebt. En als een kritische medewerker naar aanleiding van eenvoudige constateringen te verstaan krijgt dat hij wel héél kritisch is, dan maak ik me zorgen over de beveiligingscultuur bij X. Maar eigenlijk zou de baas van die organisatie zich daar druk over moeten maken.

X bv is natuurlijk een gefingeerde naam. De medewerker van X kent de Security (b)log via securityblogpatrick.blogspot.nl.

En in de grote boze buitenwereld …


... vragen veel websites niet op de juiste manier of je hun cookies lust.
https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-veel-websites-vragen-op-onjuiste-wijze-toestemming-voor-plaatsen-tracking-cookies

... geeft jouw auto straks informatie door aan Rijkswaterstaat.
https://tweakers.net/nieuws/161136/rijkswaterstaat-verwacht-in-2020-veiligheidsdata-van-500000-autos-te-ontvangen.html

... zijn de laadpassen van elektrische auto’s gemakkelijk te klonen.
https://nos.nl/l/2314365

... loop je bij het online kopen van namaakartikelen de kans dat je creditcardgegevens worden gestolen.
https://blog.malwarebytes.com/threat-analysis/2019/12/hundreds-of-counterfeit-online-shoe-stores-injected-with-credit-card-skimmer/

... zijn IoT-devices nu eenmaal erg kwetsbaar, zeker als de handleiding niet wordt gelezen – of als die handleiding te vrijblijvend is. Enkele gezinnen met jonge kinderen kwamen daar op een heel vervelende manier achter.
·         https://www.washingtonpost.com/nation/2019/12/12/she-installed-ring-camera-her-childrens-room-peace-mind-hacker-accessed-it-harassed-her-year-old-daughter/
·         https://www.wired.com/story/ring-hacks-exemplify-iot-security-crisis/

... willen consumenten veilige IoT-devices.
https://www.helpnetsecurity.com/2019/12/12/consumers-iot-security/

... heeft een robot ruim duizend cybersecurityvoorspellingen gelezen en vervolgens zijn eigen voorspellingen gemaakt. Garbage in, garbage out...
https://www.cyberscoop.com/2020-cyber-predictions-kelly-shortridge/

... kunnen tools om de beveiliging te testen natuurlijk ook door aanvallers worden gebruikt.
https://www.scmagazineuk.com/penetration-testing-tools-infosecuritys-jekyll-hyde/article/1668571

... zijn op hardware gebaseerde wachtwoordkluizen ook niet per definitie veilig.
https://www.securityweek.com/hardware-based-password-managers-store-credentials-plaintext

... krijgen we nieuwe verkiezingssoftware.
https://www.security.nl/posting/635164/Overheid+laat+volledig+nieuwe+verkiezingssoftware+ontwikkelen

... helpt Microsoft beheerders van Office 365 in de strijd tegen phishing.
https://www.cso.com.au/article/669570/microsoft-actually-it-admins-also-blame-phishing-attacks-working-against-users/

... helpt Amazon beheerders van S3-buckets in de strijd tegen datalekken.
https://businessinsights.bitdefender.com/amazon-battles-leaky-s3-buckets-with-a-new-security-tool

... hebben onderzoekers een nieuw record gehaald voor het kraken van encryptiesleutels.
https://www.darkreading.com/vulnerabilities---threats/scientists-break-largest-encryption-key-yet-with-brute-force/d/d-id/1336560

... werden Afrikaanse IP-adressen onder de toonbank verhandeld.
https://krebsonsecurity.com/2019/12/the-great-50m-african-ip-address-heist/



Gepost door op Geen opmerkingen:
Labels: , , ,

vrijdag 6 december 2019

Awareness officer


Soms hoor je een term waarbij je denkt: bestaat dit echt of nemen ze me in het ootje? Dat had ik deze week toen de term ‘certified awareness officer’ viel. Dat leek me toch wel een bijzondere specialisatie, want in mijn optiek hoort het kweken van security awareness – bewustzijn op het gebied van informatiebeveiliging – tot de kerntaken van iedere informatiebeveiliger.

De zoekmachine leverde dus wel degelijk hits voor deze zoektermen, al was ‘certified’ net iets te hoog gegrepen. Ik vond in Nederland een instituut dat je in één dag meent te kunnen opleiden tot Security Awareness Officer – geen speciale voorkennis vereist. Lijkt me een erg ambitieuze onderneming. Een ander instituut doet er drie dagen over om je voor deze rol op te leiden, en dan ben je in staat om je management te overtuigen van de noodzaak om aan bewustwording, gedragsbeïnvloeding en communicatie rondom informatiebeveiliging te werken, om passende maatregelen en activiteiten in te voeren én de effectiviteit van die maatregelen aan te tonen.

Het aantonen van de effectiviteit is lastig. Medewerkers vóór en na een campagne vragen stellen om hun bewustzijn te peilen levert een vertekend beeld op doordat je altijd een deel sociaal wenselijke antwoorden krijgt. Je zou kunnen kijken naar het aantal beveiligingsincidenten ervoor en erna, maar ook dat is in de praktijk moeilijk. De statistieken over bijvoorbeeld onderschepte malware zijn van zichzelf al zo wispelturig dat je daar geen bewustwordingseffect in zult herkennen. Je zou kunnen kijken naar het aantal mensen dat in foute mails op linkjes of bijlagen klikt, maar het aantal dergelijke mails dat nog weet door te dringen tot onze mailboxen is zo gering, dat dat ook geen representatief beeld zal opleveren. 

Ik ben een verklaard tegenstander van het versturen van lokmails naar medewerkers. Veel bedrijven doen dat wel: zelf een phishingmail in elkaar zetten, die naar medewerkers sturen en als ze dan ergens op klikken roepen: ha, dat had je nou niet moeten doen! Dat zou niet in onze bedrijfscultuur passen, vind ik. Door uitlokking loop je het risico dat medewerkers zich tegen de informatiebeveiligers gaan keren. Wellicht zou ik hier anders tegenaan kijken als ik in een andere organisatie zou werken. Waarmee ik maar wil zeggen: awareness is maatwerk. In een meer hiërarchische organisatie, met medewerkers die wellicht wat minder assertief zijn, kan dit juist een heel goed middel zijn.

Zelf ben ik meer van het faciliteren: wat kan ik doen om het voor jou gemakkelijker te maken om je netjes te gedragen? Ik ben bijvoorbeeld erg gecharmeerd van programma’s die je de mogelijkheid geven om met één druk op te knop te melden dat je een binnengekomen mailtje niet vertrouwt, waarna deskundigen in de organisatie kunnen onderzoeken of jouw gevoel juist was.

Het Amerikaanse SANS, naar eigen zeggen veruit het grootste instituut voor informatiebeveiligingsopleidingen ter wereld, spreekt liever van een security awareness & communications officer. In een functieomschrijving uit 2014 constateerde de auteur dat hij het woord communicatie wel erg vaak had gebruikt, veel vaker dan het woord security, en dat moet volgens hem toch wel betekenen dat communicatie een erg belangrijk onderdeel van awareness is. Tja, logisch, want hoe anders dan via communicatie kun je iemand bewust maken?

Graag had ik hier willen noteren dat in de gevonden omschrijvingen de toevoeging ‘cyber’ niet voorkwam, maar datzelfde SANS steekt daar helaas een stokje voor. In hun framework, waarin ze de cybersecurity workforce beschrijven, noteren ze drie cyberrollen: de Cyber Instructional Curriculum Developer, de Cyber Instructor en de Cyber Workforce Developer and Manager.

In feite ben ik ongemerkt al minstens acht jaar lang security awareness officer, want zo lang bestaat de Security (b)log. Iedere week probeer ik jullie aandacht te trekken voor informatiebeveiliging, en gisteren is daar een nieuwe mijlpaal aan toegevoegd, toen Sinterklaas aan honderden collega’s het Security (b)logboek uitreikte – een bloemlezing uit de honderden wekelijkse afleveringen. Bij de uitreiking van het eerste exemplaar heeft onze directeur de hoop uitgesproken dat ik nog heel lang doorga met de blog en dat is een onmisbaar steuntje in de rug. Uit lezersreacties en -aantallen  valt op te maken dat de formule aanslaat, en ik kan alleen maar hopen dat zij daarnaast ook het gewenste effect heeft, want dat is ook hierbij amper te meten. Alleen wanneer zo af en toe iemand een bedankje stuurt omdat ik hem of haar een handigheidje of weetje heb aangereikt, weet ik met zekerheid dat het schrijven van die blog de moeite waard was. In alle andere gevallen rest de awareness officer slechts hoop.

En in de grote boze buitenwereld …


... houdt de Amerikaanse belastingdienst een nationale security awareness week voor klanten en professionals.
https://www.us-cert.gov/ncas/current-activity/2019/11/19/national-tax-security-awareness-week-december-2-6

... zijn notitie-apps niet alleen handig voor de gebruiker, maar soms ook voor anderen. Opslaan in de cloud = opslaan op de computer van iemand anders.
https://www.vice.com/en_us/article/j5yyxp/evernote-search-warrant-gave-data-to-us-government

... is cryptojacking vaak een symptoom van gaten in de beveiliging.
https://www.helpnetsecurity.com/2019/12/06/cryptojacking-attacks/

... versleutelen tegenwoordig de meeste Android-apps hun netwerkverkeer.
https://www.securityweek.com/google-80-android-apps-encrypt-traffic-default

... kunnen Android-apps de permissies van andere apps jatten. Dat is slecht nieuws voor gebruikers van tweefactorauthenticatie – voor ons allemaal dus.
https://tweakers.net/nieuws/160654/onderzoekers-vinden-kwetsbaarheid-om-android-permissies-over-te-nemen.html

... stelt dit artikel ons een wachtwoordloze toekomst in het vooruitzicht.
https://securelink.net/nl-nl/insights/passwordless-authenticatie-veiliger-eenvoudiger-en-sneller/

... kun je je Apple-horloge maar beter op slot houden.
https://www.destentor.nl/tech/gebruiker-apple-pay-te-beroven-via-horloge~a5f6237f/

... komt resilience in beeld als security faalt.
https://josephsteinberg.com/cyber-resilience-vs-cyber-security-business-leaders-must-understand-the-difference 

... doen de inlichtingendiensten hun naam alle eer aan.
https://tweakers.net/nieuws/160664/inlichtingendiensten-bewaren-te-veel-data-om-aan-wiv-te-kunnen-voldoen.html

... verplaatst Twitter niet-Europese gebruikers van Dublin naar San Francisco om te kunnen experimenteren zonder met de AVG te botsen.
https://www.reuters.com/article/us-twitter-privacy/twitter-makes-global-changes-to-comply-with-privacy-laws-idUSKBN1Y622J

... vormen slimme apparaten een factor van betekenis bij huiselijk geweld.
https://blog.avast.com/erica-olsen-of-nnedv-on-iot

... staan sms’jes ook maar gewoon in een database. En die kan dus uitlekken.
https://techcrunch.com/2019/12/01/millions-sms-messages-exposed/

... is het hergebruiken van wachtwoorden helemaal niet zo’n slecht idee. Huh?
https://johnopdenakker.com/why-password-reuse-is-bad/


Gepost door op Geen opmerkingen:
Labels: , , , ,

donderdag 28 november 2019

Phishing 2.0


Beste mensen, het is tijd om het over phishing 2.0 te hebben. Er zijn namelijk nog veel gewiekstere methodes om je te misleiden dan waar de meesten van jullie tot nu toe van hebben gehoord. In deze Security (b)log ga ik het dus niet hebben over relatief eenvoudig te herkennen vormen van phishing waar je tegenwoordig ook in de algemene media over wordt bijgepraat. Nee, we gaan het hier over de hogeschool van het phishen hebben, met uitleg van het bijbehorende visserslatijn.

Bij de eerste truc komen nog geen moeilijke woorden kijken, en ik heb hem hier ook wel eerder genoemd. Vooruit, als opwarmertje: zie je verschil tussen google.nl en googIe.nl? Het verschil openbaart zich in een lettertype met schreven, zoals het goede oude Courier: dan staat er google.nl en googIe.nl. In een schreefloze letter zie je niet of nauwelijks het verschil tussen een kleine L en een grote i. En zo kan dus iemand, die dat tweede domein geregistreerd heeft, je naar zijn natuurgetrouw nagebouwde site lokken en je daar informatie ontfutselen of je besmetten met malware – dat zijn altijd de twee belangrijkste tussendoelen van phishers, op weg naar hun hoofddoel: rijkdom.

Homogliefen (ook wel homografen) heb ik ook al eens kort genoemd. Dat zijn letters uit andere schriftsoorten, die lijken op letters uit het ons zo vertrouwde Latijnse schrift. Zo lijkt de Cyrillische letter a als twee druppels water op zijn Latijnse collega. Maar omdat hij door computers anders gecodeerd wordt (U+0430 versus U+0061, met de U van Unicode), beland je toch ergens heel anders dan je verwacht. Als gebruiker sta je hier tamelijk machteloos tegenover; anders dan in het eerste trucje valt hier niets aan te zien. Maar er zijn ook homogliefen die alleen sterk op onze letters lijken, maar toch een beetje afwijken. Uit naam van een bekend sportmerk werd dit sms’je verzonden: “Adidas donne 2500 paire de chaussures gratuites pour célébrer son 69 anniversaire, obtenir vos chaussures gratuites à hxxp://www.adıdas.de/chaussures” (URL door mij onklaar gemaakt). Zie je het? Het puntje op de i ontbreekt. Die letter wordt in het Turkse alfabet gebruikt en heeft uiteraard een heel andere code dan de ‘gewone’ i. Ook het verschil tussen i, ì en í kun je gemakkelijk over het hoofd zien. Browserfabrikanten hebben maatregelen genomen om dit soort aanvallen te onderscheppen, maar die zijn nog niet volledig waterdicht. Daarnaast is er beleid dat het registreren van verdachte internetdomeinen verbiedt.

Het Engelse woord voor kraken (als in: een woning kraken) is to squat. En de typo kennen we allemaal: een typfout. Voeg die woorden samen en je krijgt typosquatting, het ‘kraken’ van websites. Dit is dan weer een truc die je gemakkelijk kunt detecteren – áls je je ogen maar openhoudt. Voorbeelden van typosquatting zijn belastingsdienst, belastindienst en belastingdiens. De typosquatter hoopt dat mensen een typfout maken en daardoor op zijn site terechtkomen in plaats van op de bedoelde site.

De laatste tijd sturen phishers graag mailtjes die niet uit tekst, maar uit een plaatje bestaan. Het plaatje ziet eruit als een gewoon mailtje – pas als je erop klikt zou je kunnen opvallen dat het hele mailtje ‘oplicht’. Door het plaatje omzeilen de boeven filters die op verdachte tekst scannen, al zijn de betere phishing-scanners inmiddels in staat om teksten in plaatjes te herkennen. Nadat iemand mij de tip gaf om mijn mailprogramma zo in te stellen dat plaatjes niet meer automatisch worden opgehaald, zijn dergelijke mailtjes radicaal uit mijn inbox verdreven.

Tegenwoordig worden ook bestanden in bijvoorbeeld Dropbox en Google Docs gebruikt om phishing-URL’s te verspreiden. Dat wekt minder wantrouwen, want met het mailtje, dat je naar zo’n bestand verwijst, is niets aan de hand, en ook is de plek waar het bestand staat voor veel mensen vertrouwd.

Misschien zie je deze trucjes nu nog niet in je mailbox. Maar net zoals spammers steeds iets nieuws verzinnen om hun reclame toch in jouw mailbox te krijgen, zo zullen criminelen nieuwe listen verzinnen als de oude niet meer voldoende vruchten afwerpen. Wees voorbereid en blijf alert. En gebruik tweefactorauthenticatie overal waar dat kan, zodat een gephisht wachtwoord niet genoeg is om in een account in te breken.

Heel soms is er ook een andere reden dan hebzucht om nepsites te bouwen en mensen erheen te lokken. In 2011 registreerde iemand een domein waarvan de naam leek op die van een Amerikaans tv-station. Bij wijze van 1-aprilgrap berichtte de nepsite over het voornemen van de gouverneur van Idaho om de verkoop van muziek van Justin Bieber te verbieden.

En in de grote boze buitenwereld …


... neemt de schade door phishing nog steeds toe.
https://nos.nl/l/2312058

... geeft dit artikel maar liefst zeventien cybertips voor de reiziger.
https://josephsteinberg.com/17-things-you-must-do-before-traveling-if-you-want-to-avoid-a-cyber-disaster/

... vond de Autoriteit Persoonsgegevens het geen goed idee dat supermarktpersoneel een bijna-blootfoto moest opsturen om de maat voor hun bedrijfskleding te bepalen.
https://tweakers.net/nieuws/160360/albert-heijn-stopt-proef-waarbij-medewerkers-foto-in-ondergoed-moesten-opsturen.html

... besmette geavanceerde ransomware wereldwijd vele systemen, ook in Nederland.
https://nos.nl/l/2312363

... zijn ook beveiligingsbedrijven niet immuun voor dergelijke aanvallen.
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-forces-prosegur-security-firm-to-shut-down-network/

... blijft het moeilijk om DigiD te vervangen door iets beters – en niet omdat DigiD zo goed is.
https://www.cqure.nl/nl/kennisplatform//een-open-digitaal-eid-stelsel

... is deze cartoon een waardige opvolger van die met het bijschrift “On the internet, nobody knows you’re a dog”, die eveneens in The New Yorker stond (1993).
https://twitter.com/JosephSteinberg/status/1108386637162123270/photo/1

... maakt de vader van het world wide web zich ernstige zorgen over zijn kindje.
https://tweakers.net/nieuws/160368/tim-berners-lee-presenteert-plan-om-het-web-te-redden.html

... kun je ook als individu het reddingsplan voor het web ondertekenen.
https://contractfortheweb.org/action/

... wordt virtualisatieplatform Docker aangevallen.
https://www.zdnet.com/article/a-hacking-group-is-hijacking-docker-systems-with-exposed-api-endpoints/

... windt deze wiskunde-columniste zich op over de eisen die aan wachtwoorden worden gesteld.
https://www.volkskrant.nl/columns-opinie/waarom-mag-mijn-wachtwoord-in-vredesnaam-niet-langer-dan-dertien-tekens-zijn~bb99ed0d

... is juice jacking geen groot risico meer, zegt de bedenker ervan.
https://www.security.nl/posting/633158/Uitvinder+juice+jacking%3A+geen+groot+risico+meer%2C+maar+blijf+alert

... is het cruciaal om te weten waar je cyberuitdagingen liggen. Daar is nu een kompas voor.
https://www.ncsc.nl/actueel/nieuws/2019/november/27/aan-de-slag-met-het-cyberkompas

... is er weer een test van virusscanners voor Windows geweest. Er zijn veel winnaars.
https://www.av-test.org/en/antivirus/home-windows/

... plunderen digitale boeven je portemonnee.
https://www.security.nl/posting/632810/Almerenaar+krijgt+celstraf+voor+WhatsApp-+en+Tikkiefraude


Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 22 november 2019

Moeilijke woorden


“Dames en heren, wij verzoeken u om tijdens de start en de landing uw Bluetooth-apparatuur uit te schakelen,” sprak de purser ongeveer in zijn welkomstwoord. Schuin voor mij zat een jongedame naar muziek te luisteren via haar draadloze oortjes. En zij bleef dat doen, zich van geen kwaad bewust.

De meeste mensen weten weinig van techniek. Ze maken er volop gebruik van, zonder te beseffen hoe het onder de motorkap allemaal werkt. Dat hoeft ook helemaal niet; je hoeft alleen te weten hoe je het aanzet, wat je ermee kunt en wat je daarvoor moet doen. Veel van onze moderne technologie werkt heel intuïtief, wat het nog vanzelfsprekender maakt dat je je niet om de innerlijke werking bekommert.

En zo kan het dus gebeuren dat iemand dag in, dag uit via z’n Bluetooth-oortjes naar muziek of voorgelezen boeken en krantenartikelen luistert en er geen flauw benul van heeft hoe het geluid van de telefoon z’n oren bereikt. Als dan in een vliegtuig wordt omgeroepen dat Bluetooth uit moet, dan gaat dit verzoek volledig aan deze persoon voorbij – en niet alleen omdat hij het, vanwege die dopjes in de oren, helemaal niet hoort.

Als je over beveiliging communiceert, moet je dat doen in een taal die de doelgroep begrijpt en ze tot de juiste handelingen aanzet. Ze moeten zowel begrijpen wát er moet gebeuren als dát ze daadwerkelijk zelf iets moeten doen. Als je dat doel niet bereikt, dan verdwijnt je boodschap in het bittenbakje. Helaas gaat dat, door onze liefde voor jargon, nog vaak fout.

Om de communicatie over informatiebeveiliging een stapje verder te helpen, zal ik een aantal veelgehoorde maar wellicht onvolledig begrepen termen uitleggen.
Bluetooth Techniek om gegevens draadloos over korte afstand (tot zo’n tien meter) te transporteren. Wordt gebruikt voor onder andere draadloze muizen en toetsenborden (van je pc, maar ook van je iPad), sporthorloges/activity trackers, luidsprekers. Je herkent Bluetooth aan die hoekige hoofdletter B. Nederlandse uitvinding onder Zweedse vlag en vernoemd naar de Deense koning Blauwtand uit de tiende eeuw.
Vliegtuigstand Instelling op een elektronisch apparaat die alle zenders van dat toestel uitschakelt, zodat je vliegtuig niet neerstort. Je kunt dan niet meer bellen, sms’en, internetten of Bluetooth gebruiken. Kortom: alle functies, die een verbinding naar buiten het apparaat nodig hebben, doen het niet meer. Ook handig als je gewoon thuis zit maar niet wilt worden gestoord tijdens het gamen of zo.
Password manager Programma om al je wachtwoorden veilig in op te slaan. Je hebt dit nodig omdat je uiteraard voor al je accounts (mail, bank, website a, website b, ...) een uniek, sterk wachtwoord hebt. De hoeveelheid wachtwoorden en de lengte en complexiteit ervan maken dat je geheugen tekortschiet en daar zijn die programma’s dus voor. Als je een site bezoekt waarop je moet inloggen, dan vullen ze automatisch je gebruikersnaam en wachtwoord voor je in. Je moet nog wel het wachtwoord onthouden waarmee de password manager zelf beveiligd is. Als je dat kwijt bent, dan ben je wel even zoet met diverse ‘wachtwoord vergeten’-procedures.
Lijstje Elektronisch of papieren alternatief voor als je een password manager toch te ingewikkeld vindt. Denk er wel goed over na waar je het lijstje bewaart.
Authenticatie Het proces waarin wordt gecontroleerd of je ook echt bent wie je zegt te zijn. Eerst identificeer je jezelf (met je gebruikersnaam en wachtwoord), daarna word je geauthentiseerd. In veel gevallen is dat proces beperkt tot het controleren of je wachtwoord bij de opgegeven gebruikersnaam hoort.
Tweefactorauthenticatie (2FA) Omdat wachtwoorden voortdurend uitlekken of geraden kunnen worden, voldoen ze niet meer als authenticatiemiddel. Ter versterking wordt een ‘tweede factor’ gebruikt, bijvoorbeeld een code die naar je telefoon wordt ge-sms’t. Hoewel sms-berichten kunnen worden onderschept, is 2FA middels sms nog altijd een stuk veiliger dan alleen een wachtwoord. Dus: als je bij een account 2FA kunt aanzetten, doe het dan!
Multifactorauthenticatie (MFA) Hier wordt het wat rommelig. De één gebruikt het als synoniem voor 2FA, de ander zegt dat MFA tenminste één factor meer gebruikt dan 2FA, zoals een biometrisch kenmerk – bijvoorbeeld een vingerafdruk of gezichtsherkenning. Ik ga het liefst met deze uitleg mee: ‘multi’ betekent meer dan één, dus 2FA is ook al MFA. Maar niet alle MFA is 2FA, want er kunnen dus ook meer dan twee factoren worden gebruikt. Doorgaans praten we over iets wat je weet (je wachtwoord), iets wat je hebt (de telefoon waarop het sms’je binnenkomt, of je pinpas) en iets wat je bent (je vingerafdruk, je gezicht, je iris; er zijn nog veel meer biometrische kenmerken).
Bittenbakje De Bermudadriehoek van de ICT. Hierin is alles van je pc, mail, telefoon en tablet verdwenen wat je onverklaarbaar kwijt bent. Zolang het maar digitaal is (en dus uit bits bestaat, vandaar de naam). In de was verdwenen sokken zijn een heel ander verhaal.

Als je in een modern vliegtuig zit hoef je je trouwens – net als de piloten – niet ongerust te maken als je ziet dat iemand zijn apparaat niet in de vliegtuigstand zet. De regel, dat alles uit moet, stamt uit de tijd van de analoge navigatiesystemen, die het vliegtuig door interferentie (radiogolven die andere radiogolven beïnvloeden) naar een plekje náást de landingsbaan zouden kunnen dirigeren in plaats van erop. Overigens ben je in een vliegtuig wel altijd verplicht om aanwijzingen van de bemanning op te volgen.

En in de grote boze buitenwereld …


... herkent je deurbel straks wie er voor de deur staat.
https://tweakers.net/nieuws/160186/ring-denkt-na-over-integratie-gezichtsherkenning-in-deurbel.html

... gaat de politie geen gebruik maken van geautomatiseerde gezichtsherkenning.
https://tweakers.net/nieuws/160160/grapperhaus-wil-geen-realtime-gezichtsherkenning-door-nederlandse-politie.html

... stond je Android-camera misschien zelfs open terwijl je toestel vergrendeld was.
https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera

... mogen Belgische belastingambtenaren je computer leegtrekken.
https://tweakers.net/nieuws/160136/belgische-fiscus-mag-zonder-toestemming-van-belastingplichtige-data-kopieren.html

... baalt de AIVD van de toezichthouder voor tappen, hacken en afluisteren.
https://www.volkskrant.nl/nieuws-achtergrond/aivd-ontevreden-over-nieuwe-toezichthouder-die-oordeelt-over-tappen-hacken-en-afluisteren~bb811c76

... zijn al duizenden accounts van de nieuwe streaming-dienst van Disney gekaapt. Ze worden doorverkocht voor prijzen die soms hoger liggen dan een legaal abonnement.
https://www.wired.com/story/disney-plus-hacks-credential-stuffing/#

... hebben cryptovalutasites een grote aantrekkingskracht op criminelen.
https://www.zdnet.com/article/official-monero-website-compromised-with-malware-that-steals-funds/

... mag je sollicitanten niet zomaar door kunstmatige intelligentie laten screenen.
https://blog.iusmentis.com/2019/11/20/mogen-wij-een-ai-onze-sollicitanten-laten-prescreenen/

... is je smartphone minder waterdicht dan je uit menige reclame zou opmaken.
https://tweakers.net/reviews/7264/waterdichtheid-bij-smartphones-hoe-werkt-het-en-heb-je-garantie.html

... is het niet eenvoudig om het effect van bewustwordingscampagnes te meten.
https://www.alertonline.nl/nieuws/2019/security-awareness-binnen-de-organisatie-hoe-meet-je-dat

... kan de beveiliging van de Oostenrijkse inlichtingendienst een stuk beter.
https://3secretfingers.blogspot.com/2019/11/oostenrijkse-veiligheidsdienst-bvt-zo.html

... beschermt de overheid zich nog onvoldoende tegen e-mailspoofing.
https://www.security.nl/posting/632307/Helft+overheidsdomeinen+kwetsbaar+voor+e-mailspoofing

... toont deze site van een heleboel IoT-apparaten hoe ‘eng’ ze zijn.
https://foundation.mozilla.org/en/privacynotincluded/

... kan een kortingsbon soms ook malware opleveren.
https://www.security.nl/posting/632154/Nepkortingsbonnen+McDonalds+leiden+naar+bankmalware




Gepost door op Geen opmerkingen:
Labels: , , , , ,
Abonneren op: Posts (Atom)