vrijdag 25 januari 2019

Zwaailichten


Er zijn brandweermannen onder mijn lezers, zegt LinkedIn. Gaaf! De politie en de Koninklijke Marechaussee waren ook al aan boord, dus als er nu nog iemand van de ambulance bij komt, dan heb ik de zwaailichtsector compleet. Nou en, hoor ik je denken. Welnu, als informatiebeveiligers hebben we weliswaar geen zwaailichten en sirenes, maar voor het overige hebben we veel gemeen met deze beroepsgroepen.

De link met de brandweer ligt misschien wel het meest voor de hand. In presentaties gebruik ik deze vergelijking als ik het over het SOC heb, het Security Operations Center. Zo van: als onze infrastructuur wordt aangevallen, bijvoorbeeld middels en DDoS-aanval, dan rukt het SOC uit om de aanval af te weren. En net als de echte brandweer doen ze ook veel aan preventie; ze monitoren systemen en grijpen waar mogelijk in vóórdat het mis gaat. Jaren geleden verwoordde iemand, die aan incidentmanagement deed, het zo mooi: we willen de brand blussen voordat hij uitbreekt. (Dat moet je vooral niet letterlijk nemen, want dan wordt het lastig: waar moet je het water heen spuiten?)

Dan de politie (al dan niet militair van aard). Bij beleid hoort handhaving, want een regel zonder controle is geen regel, zei een gepensioneerde collega altijd (dag Jaap!). En dus reageren we op signalen uit logging en monitoring en analyseren we of die binnen de lijntjes van het informatiebeveiligingsbeleid passen. Soms duiken er hacktools op in je infrastructuur, dan wil je wel dat de persoon in kwestie daarop wordt aangesproken. Ondanks dat dit vrijwel altijd onschuldige incidenten zijn, blijven we er toch alert op. Soms gebeurt er ook iets wat een iets andere aanpak vergt, bijvoorbeeld als een nieuwe medewerker in het enthousiasme van zijn eerste werkdag een tweet illustreert met een ontwerpschema. Niet iedereen voelt aan dat zoiets niet mag, maar gelukkig hebben we ogen en oren op social media, die dat wél snappen. En dan is het dus zaak om die twitteraar op te sporen en vervolgens aan te sporen om die plaat weg te halen. We leren hiervan dat het misschien handig is om een medewerker al op zijn eerste werkdag de verplichte online awarenesscursus te laten volgen. En niet pas als hij hier al een tijdje rondloopt.

Als ik vroeger met autootjes speelde, dan rukten ze altijd allemaal uit: de brandweer om te blussen, de politie om de weg af te zetten en de ambulance om de gewonden af te voeren (soms tot leedwezen van mijn vader, die het vanuit mijn kamer aanzwellende ge-tatuu-tataa na een lange werkdag niet altijd kon waarderen). Nu vallen er in de informatiebeveiliging zelden gewonden, maar sommige zaken moeten wel net zo multidisciplinair worden aangepakt als in mijn kinderkamer. Bovenstaande alinea bevat daar een mooi voorbeeld van: het incident werd gespot door webcare, gemeld aan het SOC, doorgemeld aan mij en nadat het was opgelost besproken tussen de medewerker in kwestie en zijn manager. En voor de verbeterstappen hebben we HR nodig.

Overigens kunnen cyberaanvallen wel degelijk gewonden en zelfs doden tot gevolg hebben. In 2010 viel de Stuxnet-worm doelbewust Iraanse uraniumverrijkingscentrifuges aan. Er is weinig fantasie voor nodig om te bedenken wat een virus allemaal zou kunnen aanrichten in een nucleaire installatie. En we hadden de NotPetya-ransomware, die in 2017 wereldwijd de containerterminals van Maersk platlegde. Het duurde lang voordat de zaak weer operationeel was: twee weken na de aanval kon Maersk eindelijk beginnen met de uitrol van nieuwe pc’s. De financiële schade – voornamelijk veroorzaakt door omzetverlies – bedroeg 250-300 miljoen dollar. Misschien bevatte een van de vele gestrande containers wel medische apparatuur die iemands leven had kunnen redden als zij eerder op plaats van bestemming was geweest. Laatste voorbeeld: de hack op DigiNotar in 2011, die het mogelijk maakte dat valse beveiligingscertificaten werden uitgegeven, heeft zeer waarschijnlijk daadwerkelijk levens gekost – van Iraanse dissidenten, van wie de identiteit opeens geen geheim meer was voor het regime.

Als je blauwe zwaailichten ziet, dan is er bijna altijd iets ergs aan de hand. Geef die voertuigen voorrang – een volgende keer rukken ze misschien uit om jou te helpen. Soms hebben informatiebeveiligers ook haast, maar we hebben geen zwaailichten. Gelukkig begrijpen collega’s meestal wel de urgentie en mogen we op snelle medewerking rekenen.


En in de grote boze buitenwereld …


... is fuzzing een geautomatiseerde brute force testmethode, gericht op het vinden van kwetsbaarheden in software.
https://labs.mwrinfosecurity.com/blog/what-the-fuzz/

... bevatte Tikkie een functie die was bedoeld om betalingen te doen op basis van telefoonnummers in plaats van
rekeningnummers, maar juist deze functie lekte onbedoeld het IBAN.
https://tweakers.net/nieuws/148290/abn-amro-haalt-tikkie-pay-offline-wegens-privacylek.html

... heeft Homeland Security een voor de hele federale overheid verplichte maatregel uitgevaardigd naar aanleiding van recente aanvallen op de DNS-infrastructuur. Amerika heeft wettelijk vastgelegd dat ze op deze strakke wijze centraal de regie kunnen voeren bij dit soort incidenten.
https://cyber.dhs.gov/ed/19-01/

... waarschuwt het NCSC ook voor deze DNS-aanval.
https://www.ncsc.nl/actueel/nieuwsberichten/wees-alert-dns-hijacking.html

... nemen vooral gamingbedrijven het niet zo nauw met de cookiewet.
https://www.nu.nl/games/5698322/websites-grote-gamebedrijven-schenden-massaal-privacywet-in-nederland.html

... heeft een Nederlandse arts, die op een informele zwarte lijst was beland, succesvol een beroep gedaan op het recht om vergeten te worden.
https://www.theguardian.com/technology/2019/jan/21/dutch-surgeon-wins-landmark-right-to-be-forgotten-case-google

... ligt het meestal aan de klant als er iets mis gaat in de public cloud, en niet aan de cloudleverancier.
https://www.cginederland.nl/nl/blog/de-cloud-is-net-zo-onveilig-als-de-inrichting-ervan

... beschuldigt de AIVD China van het hacken van Nederlandse bedrijven en overheidsinstanties.
https://www.rtlnieuws.nl/nieuws/nederland/artikel/4580046/aivd-chinese-geheime-dienst-betrokken-bij-hacken-nederland

... kan de Autoriteit Persoonsgegevens het vele werk niet aan.
https://www.platform-investico.nl/artikel/nederlandse-privacywaakhond-kan-toevloed-klachten-niet-aan/

... ondersteunen steeds meer Nederlandse domeinen veilige e-mail.
https://www.security.nl/posting/595254/Stijging+van+_nl-domeinen+die+veilig+e-mailen+ondersteunen

... zijn mailtjes, die beweren dat je voicemail hebt ontvangen, in werkelijkheid phishingmails.
https://www.security.nl/posting/595288/Zogenaamde+voicemailberichten+gebruikt+voor+phishingaanval

... waarschuwde een gehackte beveiligingscamera een Amerikaans gezin voor aanstormende raketten uit Noord-Korea.
https://www.bitdefender.com/box/blog/iot-news/8-year-old-scared-death-hacked-nest-security-camera-warns-missile-attack/

... kan een organisatie ook een responsible disclosure ontvangen als zij daar helemaal niet voor is ingericht. Dit Nieuw-Zeelandse artikel geeft tips over hoe daarmee om te gaan.
https://www.cert.govt.nz/businesses-and-individuals/guides/cyber-security-your-business/getting-a-vulnerability-report/

Gepost door op Geen opmerkingen:
Labels: , , , , , , ,

vrijdag 18 januari 2019

High tea


Op onze verdieping staan de beide automaten voor warme dranken in een meubel waar je aan de voorkant een kartonnen bekertje uit moet pakken, om het zelf op de juiste plaats in de automaat te zetten. Onder beide automaten zijn er zijn vier horizontale cilinders voor bekers en in iedere cilinder past zo’n hele slurf bekers. Als je ervoor staat, dan kijk je dus tegen de onderkant van vier bekertjes aan. Alleen het eerste bekertje van elke cilinder is zichtbaar. Zie je het voor je? Mooi, dan kan ik het nog iets ingewikkelder maken. Drie van de vier cilinders bevatten zwarte bekertjes met het opschrift Douwe Egberts. De meest linkse cilinder bevat echter groen-witte bekers met het opschrift Pickwick. De bedoeling is duidelijk: driemaal koffie, eenmaal thee. Chocolademelkdrinkers komen er bekaaid af. En water moet je maar zien als thee zonder smaakje.

Laatst bedachten we een amateurpsychologisch experiment met bovenstaande opstelling. Stel, je pakt bij één automaat drie theebekertjes en plaatst die over de zichtbare koffiebekertjes. Je ziet dan bij die automaat alleen maar theebekertjes. Onderzoeksvraag: hoe reageer je als dorstige, koffiedrinkende collega? In het eerste scenario sta je helemaal alleen bij de automaten. Kies je dan voor de automaat die wél koffiebekers toont? En wat doe je in het tweede scenario, waarbij de automaat-met-koffiebekers bezet is? Ga je dan: (a) wachten tot die automaat vrij is, (b) bij de vrije automaat koffie tappen in een theebekertje of (c) bij de vrije automaat koffie tappen in een koffiebekertje dat je ‘leent’ bij de bezette automaat? We hebben het experiment overigens niet daadwerkelijk uitgevoerd. We hebben wel wat anders te doen, nietwaar.

De vraag waar dit experiment om draait is de volgende: hoe reageer je op een situatie die afwijkt van hetgeen je normaal vindt? Daar zijn zonder enige twijfel massa’s echte onderzoeken naar gedaan. Ik ga die niet napluizen, maar ik wil deze materie wel projecteren op mijn eigen vakgebied. Stel dat de website van je bank er plotseling totaal anders uitziet. Ga je wel of niet inloggen om die belangrijke, spoedeisende overschrijving te doen? De eerste vraag die ik mezelf zou stellen is: hoe ben ik hier terechtgekomen? Via een link waarop ik geklikt heb? Dan zou ik nog eens héél goed naar die link kijken. Financiële sites benader je bij voorkeur niet via links in mailtjes of zo, maar vanuit je eigen browserbladwijzers. Overigens komt er vast nog wel eens malware die bladwijzers aanpast van mijn.bank.nl in bank.nl.boef.com en je zo naar de namaaksite van een cybercrimineel leidt. Ik heb nog even gegoogeld maar geen bestaande aanval die zoiets doet kunnen vinden. Wel is er malware zoals Calisto (macOS) en MobileOrder (Android) die je bladwijzers naar de aanvaller opstuurt. Dan kan die zich alvast inlezen.

Banken (althans de mijne) waarschuwen je ruim op tijd als ze hun site op de schop gooien. Als het goed is, dan zou er dus geen sprake kunnen zijn van een site die plotseling heel anders is. Maar goed, we zaten nog in dat experiment en je moet nog steeds met spoed geld overmaken. In het bekertjesexperiment wijk je misschien uit naar de andere automaat; in het bankexperiment zou je naar een andere computer kunnen uitwijken, in de hoop dat daarop alles bij het oude is. Of je gebruikt de mobiele app van je bank. En je zou nog bij de bank kunnen informeren hoe dat zit. Uiteraard niet via een link op die vreemd uitziende site…

En wat is je slechtste optie? Aannemen of hopen dat het allemaal wel zal kloppen. Ik heb het al vaker gezegd: “eigenlijk” is het meest misbruikte woord in de informatiebeveiliging. Als in: ik weet dat ik nu eigenlijk niet moet doorgaan op deze site, maar ik moet nu eenmaal dringend geld overmaken. Dat zou je weleens meer geld kunnen kosten dan de bedoeling was.

Nogmaals: banken zullen zo’n rigoureuze wijziging niet onaangekondigd doorvoeren. Het gaat hier om mijn gedragsexperiment. Wees je ervan bewust dat een onverwachte wijziging – ook al is zij maar klein – een signaal kán zijn dat er iets mis is. Dit beperkt zich niet tot banken maar is universeel toepasbaar, bijvoorbeeld op webshops.

In werkelijkheid zijn de koffiebekertjes nooit het probleem, maar komt het wel eens voor dat de theebekertjes op zijn. Wat ik dan doe, als theedrinker? Ik tap in een koffiebekertje. Die zijn namelijk, afgezien van kleur en opdruk, identiek aan de theebekertjes. Er bestaan helemaal geen koffie- en theebekertjes. Er zijn alleen maar bekertjes. De suggestie dat er verschillende bekertjes voor verschillende dranken zijn is gewoon een sterk staaltje suggestie.

En in de grote boze buitenwereld …


... word je soms dubbel genaaid.
https://www.scmagazine.com/home/security-news/ransomware/ransomware-attack-comes-with-malicious-ransom-note/

... kun je een bom duiten en een auto winnen door die auto te hacken.
https://www.helpnetsecurity.com/2019/01/15/hack-tesla-model-3/

... kwamen oude WhatsApp-berichten onbedoeld terecht bij de nieuwe eigenaar van een telefoonnummer.
https://nakedsecurity.sophos.com/2019/01/16/whatsapp-messages-may-not-be-for-you-just-ask-this-software-engineer/

... zijn er weer virusscanners voor Android-toestellen getest. De link staat hier niet zozeer vanwege de vergelijking, maar meer als periodieke herinnering aan de noodzaak van een dergelijke app op je toestel.
https://www.csoonline.com/article/3234769/mobile-security/best-android-antivirus-the-top-13-tools.html

... heeft een verzameling van miljoenen e-mailadressen met bijbehorende wachtwoorden online gestaan.
https://tweakers.net/nieuws/148056/verzameling-met-773-miljoen-e-mailadressen-stond-openbaar-online.html

... hoef je ook weer niet helemaal in paniek te raken over die gelekte wachtwoorden.
https://motherboard.vice.com/en_us/article/evegxw/collection-one-data-breach-password-hack-what-to-do

... kun je ook systemen, die niet op een computer lijken, hacken.
https://www.darkreading.com/vulnerabilities---threats/7-non-computer-hacks-that-should-never-happen/d/d-id/1333194?image_number=1

... heeft een hacktivist, die een Amerikaans ziekenhuis DDoS’te, over zee naar Cuba wilde vluchten en door een Disney-boot werd gered, een lange gevangenisstraf gekregen.
https://hotforsecurity.bitdefender.com/blog/the-ddos-attacker-rescued-by-a-disney-cruise-ship-is-sentenced-to-over-10-years-in-prison-20730.html

... werkt de overheid aan een online ID voor iedereen.
https://www.security.nl/posting/594134/Kabinet+komt+met+visie+over+online+ID+voor+elke+Nederlander

... krijgt de politie bevoegdheden die ze niet zomaar zal gebruiken.
https://www.security.nl/posting/594526/Minister%3A+politie+zal+computers+niet+zomaar+binnendringen

... wordt deze slimme mobiele malware alleen actief als de gebruiker beweegt.
https://www.security.nl/posting/594529/Android-malware+besmet+alleen+bewegende+gebruikers

... worden cryptominers ook steeds brutaler.
https://www.security.nl/posting/594594/Cryptominer+verwijdert+beveiligingssoftware+van+Linux-servers



Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 11 januari 2019

Mijn muis doet raar


Mijn muis deed raar. Heel raar. Als ik met links klikte, deed hij alsof ik rechts klikte: er verscheen bijvoorbeeld een contextmenu. Klikte ik dan met rechts, dan deed hij ook echt rechts. Ik had net een nieuwe laptop gekregen en dacht even dat ik was vergeten om de muisknoppen om te zetten. Ik ben namelijk linkshandig en wat voor de meesten van jullie links is, moet voor mij rechts gebeuren (maar omdat er een soort van universele afspraak schijnt te zijn wat links- dan wel rechts-klikken is, ga ik daar op deze plek maar in mee). Die instelling was echter goed. De klachten werden daarentegen erger: als ik een hand op mijn bureau – náást de muis – legde, dan was dat ook al een rechts-klik. Op een gegeven moment kon ik met een paar zachte vuistslagen op het bureaublad alle tabbladen in een applicatie sluiten.

Ik probeerde een andere muis en een andere USB-poort, maar daar lag het niet aan. Kamergenoten opperden diverse mogelijke oorzaken, maar niets hielp. En toen  kwam het verlossende woord (dankjewel Edwin). Er was geen draadje los – noch bij de muis, noch bij mij – en mijn muis was ook niet door kwade geesten bezeten. Van een computervirus was evenmin sprake. Nee, het was allemaal heel banaal.

Onder het toetsenbord van de laptop zit een touchpad, en daar weer onder zitten muisknoppen. In het deksel, boven het beeldscherm, zit een webcam. Daar heb ik zo’n plastic schuifje, een webcamcover, overheen geplakt. Nog wel eentje met de naam van onze eigen organisatie erop. Om het beeldscherm op de soms hobbelige fietstocht tussen thuis en kantoor te beschermen (ik ben door schade en schande wijs geworden), heb ik, in gesloten toestand, zo’n dun matje tussen toetsenbord en scherm liggen, je kent ze wel. En, niet onbelangrijk in dit verhaal: ik werk altijd met een dichtgeklapte laptop, omdat ik die aansluit op een externe monitor.

Welnu, uit nader onderzoek bleek dat de webcamcover, bij gesloten klep, door het matje heen, een beetje druk uitoefende op de rechter muisknop. En als je dan met de losse muis klikte of de tafel een lichte trilling bezorgde, dan was dat voldoende om de computer in de war te maken.

De oplossing was simpel: ik heb ter hoogte van de muisknoppen een inham in het matje geknipt. Maar stel nu eens dat we de oplossing niet zelf hadden gevonden. Dan zou ik uiteindelijk en ten einde raad toch de helpdesk hebben gebeld: “Mijn muis doet raar, als ik een hand op het bureau leg dan klikt’ie.” Ongeloof en hilariteit zouden dan om voorrang hebben gestreden, stel ik mij zo voor. Uiteindelijk zou er misschien iemand worden langsgestuurd om mijn laptop na te kijken. Die collega zou de laptop openklappen en allerlei dingetjes testen. Maar ja, bij een opengeklapte laptop zou het probleem zich nooit voordoen. De laptop zou omgeruild worden, maar de nieuwe zou dezelfde kuren vertonen. Het zou dus best wel eens een heel lang verhaal kunnen worden.

Als je een probleem analyseert, dan moet je uitgangspunt exact gelijk zijn aan de situatie waarin het probleem zich voordoet. Bij forensisch onderzoek bijvoorbeeld wordt een kopie gemaakt van een gegevensdrager. Daar wordt wéér een kopie van gemaakt en dat is dan het exemplaar dat onder de loep wordt genomen. Daardoor kun je altijd terug naar de oorspronkelijke situatie. Dat kan nodig zijn omdat het te onderzoeken object door het onderzoek kan worden beïnvloed: als je ergens een thermometer in steekt, dan verandert de temperatuur van het te meten object door de temperatuur van de thermometer. Overigens heeft het maken van die kopieën nog een reden: je moet kunnen aantonen dat je niet met de gegevens hebt gerommeld. Zou je de originele gegevensdrager onderzoeken, dan zou dat ongewenste veranderingen in de gegevens tot gevolg kunnen hebben.

Als je onderzoeksopstelling afwijkt van de originele situatie, dan onderzoek je waarschijnlijk iets anders dan het oorspronkelijke probleem, waardoor je óf helemaal geen oplossing vindt, óf misschien een oplossing voor een ander probleem. Ik heb in de loop der jaren geleerd om door te vragen. Vertel me niet welke oplossing je wilt, maar welk probleem je hebt. Deze mantra kun je overal op toepassen, van nukkige laptops tot beveiligingsvraagstukken. En, nu ik er zo over denk: misschien hebben de Brexit-onderhandelaars er ook nog wat aan. You’re welcome.

En in de grote boze buitenwereld …


... heeft de Amerikaanse government shutdown ook gevolgen voor de beveiliging van overheidswebsites, doordat al ruim tachtig beveiligingscertificaten verlopen zijn en er niemand is om ze te vervangen.
https://www.zdnet.com/article/government-shutdown-tls-certificates-not-renewed-many-websites-are-down/

... omzeilt deze geautomatiseerde phishing-aanval de bescherming die tweefactorauthenticatie nomaliter biedt.
https://www.grahamcluley.com/automated-phishing-attack-tool-bypasses-2fa-protection/

... vindt phishing ook plaats via valse betaalverzoeken.
https://opsporingverzocht.avrotros.nl/zaken/zaak/online-verkoopster-slachtoffer-van-betaalverzoekfraude/

... werkt phishing via sms trouwens ook heel goed.
https://nakedsecurity.sophos.com/2019/01/08/sms-phishing-is-alive-and-well-and-simply-believable/

... is phishing via de telefoon gewoon nóg een andere variant op het thema.
https://krebsonsecurity.com/2019/01/apple-phone-phishing-scams-getting-better/

... sturen nogal wat Android-apps zonder te vragen informatie naar Facebook.
https://privacyinternational.org/campaigns/investigating-apps-interactions-facebook-android

... verkopen Amerikaanse telecomproviders locatiegegevens van klanten aan premiejagers.
https://motherboard.vice.com/amp/en_us/article/nepxbz/i-gave-a-bounty-hunter-300-dollars-located-phone-microbilt-zumigo-tmobile

... wordt het tijd om ook security te automatiseren.
https://www.helpnetsecurity.com/2019/01/09/modern-ciso-challenges/

... werden in Alaska de typmachines afgestoft na een cyberaanval die een hele gemeente platlegde.
http://www.bbc.com/future/story/20190108-the-cyber-attack-that-sent-an-alaskan-community-back-in-time

... is ook de blockchain niet helemaal veilig.
https://josephsteinberg.com/ethereum-classic-blockchain-likely-hacked-with-51-attack-raising-questions-about-the-cryptocurrencys-security/

... is een hele stoet vooraanstaande Duitsers gedoxt (hun persoonlijke bestanden zijn online gezet).
https://www.zdnet.com/article/massive-german-hack-20-year-old-admits-mass-doxing-politicians-journalists-celebs/

... hadden nogal wat webwinkels in de kerstvakantie last van verveelde scholieren, die hen gingen DDoS’en. Commentaar op Twitter hierbij van beveiligingsexpert Floor Terra: “Regelmatig komt bij discussies over het inschatten van dreigingen de vraag naar voren "welk voordeel heeft de aanvaller erbij?". Teveel focus op die vraag zorgt dat je risico's onderschat. Soms is het genoeg dat een verveelde puber het kan doen.”
https://amp.nos.nl/artikel/2266370-flink-meer-ddos-aanvallen-webwinkels-in-december-massaal-de-dupe.html

... is je smart-tv helemaal geen tv, maar een computer.
https://josephsteinberg.com/received-a-smart-television-for-christmas-be-sure-to-understand-the-privacy-and-security-implications/

... zit een vergrendelde smartphone niet zo dicht als je denkt.
https://nakedsecurity.sophos.com/2019/01/07/no-android-passcode-no-problem-skype-unlocked-it-for-you/





Gepost door op Geen opmerkingen:
Labels: , , , , , , ,
Abonneren op: Posts (Atom)