vrijdag 19 april 2019

Oude wetten


Rare jongens, die Britten. Ze houden er eeuwenoude wetten op na die in onze moderne tijd volslagen anachronistisch aandoen, hetgeen voor onze westerburen echter zelden aanleiding is om ze af te schaffen. Zo is het bijvoorbeeld verboden om in het Britse parlementsgebouw te overlijden. Overigens zit hier wel een praktische – want financiële – reden achter: volgens weer andere regels moet iedereen, die daar overlijdt, een staatsbegrafenis krijgen. En dat kost natuurlijk een paar penny’s. Binnen de stadsmuren van York mag je dan wel weer vermoord worden, tenminste, als je een Schot bent én pijl en boog bij je hebt. Mocht je een aanslag op je leven overleefd hebben in veilig in Schotland teruggekeerd zijn, dan moet je vast nodig naar de wc. Geen probleem: iedereen is daar bij wet verplicht om je zijn toilet ter beschikking te stellen. Mocht je willen wildplassen, dan kan dat, mits je bij het achterwiel van je voertuig staat en dat met je rechterhand vasthoudt. Dat je die pijl en boog bij je had, is trouwens geen toeval: alle mannen vanaf veertien jaar waren tot 1960 verplicht om minimaal twee uur per dag te oefenen met boogschieten.

Als je daar bij de belastinginspecteur op het matje moet komen, dan ben je verplicht om hem dingen te vertellen waarvan je eigenlijk niet wilt dat hij ze weet. Dingen die hij gerust mag weten hoef je juist niet te delen. Plak je een postzegel waar de Queen op staat ondersteboven op een brief, dan pleeg je verraad. En mocht je tijdens het uitlaten van je hond diezelfde Queen tegenkomen met háár hond, houd de jouwe dan kort aangelijnd, want die twee mogen niet intiem worden. En zorg ervoor dat je sokken draagt bij zo’n ontmoeting, want dat moet van Edward VI. Vrouwen mogen in Liverpool niet topless rondlopen, behalve als ze in een winkel voor tropische vissen werken. En als je in Londen over de stoep loopt, dan mag je geen plank, ladder, wiel, hoepel en nog een paar dingen bij je dragen. En mocht je de pest hebben, dan is een taxi ook geen optie.

Tot zover deze bloemlezing van Britse wetgeving. Je komt trouwens overal zo’n beetje hetzelfde lijstje tegen, en één (Amerikaanse!) site nam de moeite om te checken of dat lijstje wel klopt. En wat blijkt? Niet álles wat je hierboven hebt gelezen is waar. Maar het blijft natuurlijk wel grappig. En er zit een duidelijke boodschap in: regels verouderen. Soms houdt de wethouder dan rekening mee. In de Nederlandse Wet Computercriminaliteit wordt bijvoorbeeld bewust gesproken van ‘een geautomatiseerd werk’ als een computer wordt bedoeld, zodat de wet ook van toepassing is op apparaten die we doorgaans niet computer noemen, zoals een smartphone.

Toch hebben we ook in de nog zo jonge computerwereld ook al achterhaalde regels. Ik noem twee voorbeelden. Het was een tijd lang gebruikelijk om te adviseren om enkele letters in je w@chtw0oRd te vervangen door cijfers en ‘rare tekens’. Dat trucje is inmiddels achterhaald, gewoon omdat het soort mensen dat je wachtwoord zou willen kraken het ook kent. Dat betekent overigens niet dat je dergelijke tekens niet meer moet gebruiken: hoe groter de gebruikte tekenset, hoe groter het aantal verschillende wachtwoorden dat je kunt maken – en dus hoe moeilijker te raden (ook voor computers: het doorrekenen van alle mogelijkheden duurt gewoon langer). De grootte van de gebruikte tekenset zet echter niet zoveel zoden aan de dijk. Wat vooral telt is lengte. Meestal wordt een minimale lengte van acht tekens geëist, maar je komt ook zes, vier of zelfs één (bij Wikipedia) tegen. Onderzoekers geven echter steeds vaker aan dat de minimale lengte twaalf zou moeten zijn om voldoende bestand te zijn tegen kraakpogingen. Als je slechts één wachtwoord hoeft te onthouden, omdat je een password manager gebruikt, dan is zo’n lang wachtwoord met kleine letters, hoofdletters, cijfers en tekens best te doen. Verzin een ezelsbruggetje, zoiets als: “Ik zag twee beren broodjes smeren”. Dat mag je voluit gebruiken, dan heb je een heuse pass phrase (wachtzin?). Omdat helaas nog lang niet overal zo’n lang wachtwoord wordt ondersteund, kun je dit ook verbouwen tot iets als: “iZ2be3rBr()()dS!” Wel belangrijk om te onthouden, dat wachtwoord van je password manager. Want als je dat kwijt bent, dan zul je alle wachtwoorden handmatig moeten resetten.

Ook het tweede voorbeeld van achterhaalde regels heeft met wachtwoorden te maken. Zo’n zestien jaar geleden bedacht het Amerikaanse National Institute of Standards and Technology dat wachtwoorden periodiek moeten worden gewijzigd. Twee jaar geleden kwamen ze tot het inzicht dat dit juist averechts werkt, omdat mensen dan al gauw met tellers gaan werken: wachtwoord01, wachtwoord02 enzovoorts. Of lente2019, zomer2019 – je kent ze wel. Het NIST adviseert nu juist het tegenovergestelde: geen periodieke wachtwoordwijzigingen meer afdwingen. Wachtwoorden hoor je voortaan alleen nog te wijzigen als je denkt of weet dat ze zijn uitgelekt. En naar verluidt heeft de NIST-medewerker, die destijds de oude regel verzon, daar nu spijt van.

Nieuwe regels en adviezen hebben tijd nodig om in te dalen. Verwacht dus niet dat je binnen afzienbare tijd af bent van dit periodieke ritueel. Sommige organisaties zullen er sowieso star aan willen vasthouden. Als je dan je password manager niet alleen gebruikt voor het onthouden van je wachtwoorden, maar ook voor het genereren ervan, dan voorkom je dat je jezelf kwetsbaar maakt door wachtwoorden met volgnummers.

De komende twee weken verschijnt er geen Security (b)log.

En in de grote boze buitenwereld …


... vind je hier een vrij uitgebreid onderzoek naar wat mensen met wachtwoorden doen. Ook leuk: de wachtwoorden van belangrijke mensen bij belangrijke bedrijven.
https://wpengine.com/unmasked/

... legt de rechter de term ‘computervredebreuk’ erg breed uit.
https://blog.iusmentis.com/2019/04/18/wijkagent-jan-trok-alles-en-iedereen-na-en-dat-is-computervredebreuk-wacht-wat/

... waren niet alleen Facebook-wachtwoorden onversleuteld opgeslagen, maar ook miljoenen Instagram-wachtwoorden.
https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/

... neemt het kabinet maatregelen tegen de dreiging die uitgaat van statelijke actoren. In het kader van afschrikking gaat Nederland onder andere vaker over tot publieke attributie van cyberaanvallen.
https://www.rijksoverheid.nl/actueel/nieuws/2019/04/18/kabinet-neemt-maatregelen-tegen-permanente-statelijke-dreiging
Security (b)log over attributie van 09-02-2018: https://securityblogpatrick.blogspot.com/2018/02/attributie.html

... zit de Belastingdienst met oude persoonsgegevens in z’n maag.
https://tweakers.net/nieuws/151770/belastingdienst-voldoet-na-jaar-nog-steeds-niet-aan-avg.html

... heeft een student tientallen computers van een Amerikaanse universiteit kapotgemaakt met een speciale USB-stick.
https://tweakers.net/nieuws/151758/student-vernielt-66-computers-van-amerikaanse-universiteit-met-usb-stick.html

... kun je een malware-besmetting oplopen door het downloaden van tv-series.
https://securelist.com/game-of-threats/90116/

... faalt uiteindelijk elke beveiligingstool wel een keer.
https://www.helpnetsecurity.com/2019/04/18/2019-global-endpoint-security-trends-report/

... wil een Amerikaanse presidentskandidaat een Ministerie van Cybersecurity.
https://www.johndelaney.com/2019/04/16/delaney-announces-plan-to-create-department-of-cybersecurity/

... zijn de maildiensten van Microsoft (Hotmail, MSN, Outlook) gehackt.
https://motherboard.vice.com/en_us/article/ywyz3x/hackers-could-read-your-hotmail-msn-outlook-microsoft-customer-support

... moet je je niets aantrekken van afpersmailtjes.
https://www.grahamcluley.com/extortion-emails/

... gaat er heel wat geld om in ransomware.
https://www.coveware.com/blog/2019/4/15/ransom-amounts-rise-90-in-q1-as-ryuk-ransomware-increases

... is er ook deze week weer een issue met een verlopen internetdomein. Deze keer bij Microsoft.
https://www.zdnet.com/article/microsoft-loses-control-over-windows-tiles-subdomain/

... heeft de Europese Commissie geen gekke dingen aangetroffen in de software van Kaspersky.
https://www.securityweek.com/european-commission-no-evidence-issues-kaspersky-products


Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 12 april 2019

Je ziel verkopen


Sven: 43, getrouwd, 3 kinderen, academische opleiding, goed inkomen. Marte: 41, getrouwd, 2 kinderen, academische opleiding, goed inkomen. Vraag: moeten deze personen (die geen relatie met elkaar hebben maar dus wel veel op elkaar lijken) evenveel verzekeringspremies betalen?

Extra informatie: hij gaat iedere dag met de auto naar z’n werk, doet de gordel niet om en rijdt steevast te snel. Zij rijdt als een engel: niet te snel, niet te langzaam, keurig volgens de regels en bovendien alleen als ze ergens heen moet waar je niet gemakkelijk met het OV kunt komen. Opnieuw de vraag: laten we deze mensen evenveel betalen voor hun verzekeringen? Nog meer informatie: Sven sport zowat iedere dag, Marte heeft overgewicht en is na werktijd een couch potato. Wat doen we met de premies?

Deze case werd op het ISACA Risk Event geschetst door de Noor Magnus Solberg, werkzaam bij Storebrand (‘Stoerebrand’), de grootste in verzekeringen en pensioenen in Scandinavië. Hij voegde er nog aan toe dat de extra informatie over de verzekerden beschikbaar komt via “een kastje in de auto” en een activity tracker om de pols. Hij zei dit alles op serieuze toon, maar ik meende een goed gecamoufleerde spottende ondertoon te bespeuren. Je zou eigenlijk hopen dat die technische foefjes fictief zijn, maar dat kastje voor in de auto bestaat in Nederland ook al.

Ik zou het geen prettig idee vinden als een bedrijf dergelijke informatie over mij zou kunnen verzamelen. De rijstijlgegevens (zonder locatie) zijn nog tot daaraantoe, omdat ik toch altijd vrij netjes rijd. Maar de gegevens van een activity tracker? Waar ik wanneer ben, hoe snel ik mij beweeg, mijn polsslag? En dat alles bij elkaar in één dossier? Ik moet er niet aan denken. “U bent in een fastfoodrestaurant geweest, daarom betaalt u volgende maand vijf euro meer premie voor uw ziektekostenverzekering.” Of, met een positieve – zij het betuttelende – insteek: “U hebt al een poosje niet meer gesport. Wij sturen u een voucher voor de sportschool.”

Storebrand heeft een enquête gehouden onder duizend klanten. Die willen best graag informatie met de verzekering delen als dat tot lagere premies leidt, op voorwaarde dat het bedrijf honderd procent transparant is over wat het met klantgegevens doet. Voor mij voelt dat toch als het verkopen van je ziel. Maar Storebrand heeft het over de circle of trust: meer gegevens leiden tot beter inzicht, waardoor het bedrijf producten op maat kan aanbieden, waardoor de omzet stijgt. De volgende twee stappen in de cirkel van vertrouwen zijn control/security/transparantie en gestegen vertrouwen bij de klant. De pijl tussen die twee snap ik wel, en ook dat het daarna opnieuw begint met het afstaan van nog meer gegevens. Maar de link tussen omzetstijging en meer control/security/transparantie vind ik lastig. Ja, natuurlijk, als je meer geld verdient, dan kun je meer investeren, maar het hebben van adequate control, beveiliging en transparantie is toch sowieso een voorwaarde om verantwoord te kunnen werken?

Privacy is moeilijk. Iedereen heeft een heleboel dingen die hij wil verbergen (ook al beseffen sommige mensen dat nog niet). Locatie en gezondheid zijn bij uitstek gegevens waarvan veel mensen zélf van willen bepalen wie ze krijgt en wat ermee wordt gedaan. Heb je daarin nog een vrije keus als het je portemonnee beïnvloedt? Of wordt privacy een ding voor mensen die het zich kunnen veroorloven? En als je op een goede dag besluit dat je je ziel terug wilt kopen, kan dat dan nog? De AVG kent het recht om vergeten te worden, maar wat als een bedrijf, dat jouw gegevens mocht oogsten, een datalek heeft gehad? Dat scenario is bepaald niet denkbeeldig, zoals onlangs weer eens bleek (zie de GBBW).

Ik zie mogelijkheden voor een compromis. De kastjes in onze auto’s, om onze polsen en wat je in de toekomst nog meer kunt verzinnen, sturen niet allerlei meetgegevens naar de bedrijven waarmee we zaken doen, maar ze berekenen zelf een rapportcijfer. De bedrijven ontvangen alleen dat rapportcijfer, of misschien zelfs alleen maar een ‘+’ of een ‘-’, maar niet de onderliggende gegevens – die blijven in het kastje en worden gewist zodra het cijfer is berekend en doorgeseind. Dat zou toch ook een win-winsituatie moeten opleveren. De gedachte achter de vraagstelling aan het begin van deze blog was eigenlijk of het wel eerlijk is om iedereen evenveel premie te laten betalen, en het voor de hand liggende antwoord is nee. Een rechtvaardige premie die met een flinke inbreuk op mijn privacy moet worden betaald, gaat mij echter te ver. Mijn compromis maakt een eerlijkere premie mogelijk en geeft de verzekeraars tegelijkertijd iets meer inzicht – maar niet teveel.

En in de grote boze buitenwereld …


... zijn de dossiers van duizenden kwetsbare kinderen gelekt. Doordat de registratie van een internetdomein verlopen was.
https://www.rtlnieuws.nl/tech/artikel/4672826/jeugdzorg-datalek-dossiers-kinderen-utrecht-email

... heeft de functionaris gegevensbescherming heel wat vrienden nodig, waaronder de security officer.
https://ictrecht.nl/2019/04/09/security-officers-are-a-privacy-officers-best-friend/

... neemt de browser van een cybercrimineel gemakkelijk jouw identiteit aan, als die op het dark web te koop is. Je bent dan vijf tot tweehonderd dollar waard.
https://www.zdnet.com/article/cybercrime-market-selling-full-digital-fingerprints-of-over-60000-users/

... wordt er flink gebruikgemaakt van gestolen identiteiten.
https://www.darkreading.com/threat-intelligence/credential-stuffing-attacks-behind-30-billion-login-attempts-in-2018/d/d-id/1334371

... kan beveiligingsbeleid ook leuk worden opgeschreven.
https://medium.com/starting-up-security/starting-up-security-policy-104261d5438a

... zouden Siri, Google en Alexa eigenlijk moeten zeggen: “Alles wat je zegt wordt voor trainingsdoeleinden opgenomen en kan door menselijke medewerkers worden beluisterd.”
https://tweakers.net/nieuws/151420/amazon-medewerkers-luisteren-alexa-commandos-af-om-algoritme-te-trainen.html

... kun je (waarschijnlijk) voorkomen dat apps je afluisteren.
https://www.destentor.nl/tech/zo-voorkom-je-dat-apps-je-afluisteren~ac7be6d7/

... had een Ier, die zijn huis via Airbnb aanbod, een verborgen camera geïnstalleerd waarmee hij live-streamde wat er in zijn huis gebeurde.
https://edition.cnn.com/2019/04/05/europe/ireland-airbnb-hidden-camera-scli-intl/index.html

... blijft biometrie nog even moeilijk.
https://www.grahamcluley.com/the-samsung-galaxy-s10s-ultrasonic-fingerprint-scanner-is-hacked/

... hebben onderzoekers miljoenen e-mails onderzocht op phishing.
https://www.darkreading.com/cloud/25--of-phishing-emails-sneak-into-office-365-report/d/d-id/1334397

... heeft de zeer geavanceerde TajMahal-spyware zich vijf jaar lang weten te verbergen.
https://www.wired.com/story/tajmahal-swiss-army-spyware-apt/

... publiceerde het grootste Zwitserse ICT-bedrijf een boekje over DevSecOps. https://www.swisscom.ch/content/dam/swisscom/en/about/company/portrait/network/security/documents/devsecops-dynamic-fast-effective-and-secure.pdf.dl.res/devsecops-dynamic-fast-effective-and-secure.pdf

... is het moeilijk om een echte expert te herkennen.
https://peterzinn.nl/2019/04/08/hoe-herken-je-een-expert-de-case-rian-van-rijbroek/


Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 5 april 2019

Ruimtepuin


De NASA is boos op India. Die hebben namelijk deze week een van hun eigen satellieten kapotgeschoten met een raket. Waarom zou je dat doen? Om te testen of je,  als de ‘noodzaak’ zich voordoet, ook andermans satellieten uit de ruimte kunt knallen natuurlijk. Oké, dan zou de regering boos moeten zijn, maar waarom de NASA? Vanwege de rommel die het geeft.

Er vliegt nogal wat ruimtepuin om de aarde. Het Amerikaanse Ruimtecommando volgt met radar en optische instrumenten zo’n 23 duizend objecten die groter zijn dan een decimeter. Dat doen ze – en nu komt de bron van de boosheid – omdat al die rommel een directe bedreiging vormt voor satellieten en ruimte-vaartuigen zoals het ruimtestation ISS. In de ruimte gebeurt alles op hoge snelheid: bij een frontale botsing hebben we het over relatieve snelheden tot zestien kilometer per seconde – dat is 57.600 kilometer per uur. Als je op de fiets wel eens een bromvlieg in je gezicht hebt gekregen, dan begrijp je dat zelfs een klein deeltje, zoals een afgebladderd stukje verf, schade kan veroorzaken. En als je al die kleine rommel ook meetelt, dan zijn er meer dan een half miljoen door de mens gemaakte stukken ruimteafval. Dat komt niet alleen van proeven met antisatellietraketten; het gaat bijvoorbeeld ook om restanten van raketten, gereedschap dat ruimtewandelende astronauten hebben laten ‘vallen’ en een tandenborstel. Als ik naar bovenstaand plaatje kijk, dan vermoed ik dat astronauten vaak moeten bukken om niet geraakt te worden. Als de kans op een botsing groter is dan één op tienduizend, dan maakt het ISS een uitwijkmanoeuvre.

Er wordt natuurlijk nagedacht over een grote schoonmaak. Maar wie werpt zich op als ’s werelds ruimtevuilnisman? Dat klusje is goedkoop noch gemakkelijk, en men verstopt zich graag achter juridische vraagstukken als eigenaarschap en mandaat.  We komen nu op het punt waar ik de link naar informatiebeveiliging kan leggen. Daar hebben we namelijk ook last van zooi die niet wordt opgeruimd. En ook daar spelen de genoemde smoezen om voorlopig niet te hoeven opruimen een rol. Het bekendste voorbeeld zijn natuurlijk autorisaties, die zich bij iedere functiewisseling blijven opstapelen. Ik begon mijn werkzaam leven in de vorige eeuw als technisch ontwerper/programmeur. Pas jaren na mijn overstap naar de informatiebeveiliging werd mij voorzichtig gevraagd of ik die autorisaties voor het mainframe nog wel nodig had. Ons beleid schrijft al jarenlang voor dat de manager bij wie een medewerker vertrekt verantwoordelijk is voor het intrekken van diens autorisaties, maar dat blijft toch een moeilijke zaak. En dat zal bij andere organisaties niet anders zijn, wat dan natuurlijk weer geen argument is om het niet beter te gaan doen.

Een firewall is bedoeld om legitiem verkeer door te laten en de rest te blokkeren. In de loop der jaren zijn heel veel verzoeken om een poortje open te zetten gehonoreerd. Maar met het verstrijken der jaren zijn veel van deze openingen waarschijnlijk helemaal niet meer nodig, bijvoorbeeld doordat het product, waarvoor dat poortje open stond, er niet meer is. Als er geen goede administratie is, dan blijft zo’n poortje echter tot in de eeuwigheid openstaan, omdat niemand meer weet van wie het poortje is en wat er zou kunnen gebeuren als je het sluit. Soms wordt geopperd om dan maar het knijp-piep-systeem toe te passen: knijp maar dicht en wacht af of er iemand gaat piepen.

In de ruimtevaart wordt nagedacht over preventieve maatregelen. Als satellieten er na hun levensduur zelf voor zorgen dat ze in de atmosfeer verbranden, dan veroorzaken ze geen ruimterommel. Analoog hieraan zouden we aan bepaalde autorisaties en instellingen een houdbaarheidsdatum kunnen koppelen. De belanghebbende moet er dan zelf voor verlenging zorgen als dat nodig is. Doet hij dat niet, dan wordt zijn rommel netjes opgeruimd.

Tussen al die kosmische getallen wil ik nog even een bescheiden getal noemen. Je las net de driehonderdste Security (b)log (waarvan de laatste 107 afleveringen ook extern gepubliceerd zijn).

En in de grote boze buitenwereld …


... heeft de cybercharlatan weer toegeslagen.
https://www.volkskrant.nl/nieuws-achtergrond/cybercharlatan-van-rijbroek-stort-bedrijven-van-twentse-ondernemer-sanderink-in-bestuurlijke-chaos~b6541d3b

... zijn ook luchthavens kwetsbaar voor cyberaanvallen.
https://www.darkreading.com/vulnerabilities---threats/airports-and-operational-technology-4-attack-scenarios-/a/d-id/1334282

... arresteerde de Secret Service een Chinese vrouw die een karrenvracht aan malware bij zich had in het resort van president Trump.
https://www.nytimes.com/2019/04/03/us/politics/mar-a-lago-chinese-malware.html

... hadden de Chinezen ook een cyberaanval in petto voor een Duits farmaceutisch bedrijf. Althans, ze dénken dat het de Chinezen waren, want attributie is moeilijk.
https://www.reuters.com/article/us-bayer-cyber-idUSKCN1RG0NN

... toont ook nieuw onderzoek weer aan dat apps vaak te ruime permissies vragen. Dit artikel gaat over iOS, maar wees gerust: ook Android-apps kunnen er wat van.
https://www.wandera.com/mobile-security/ios-app-permissions/

... verkozen twee Amerikaanse huisartsen vervroegd pensioen boven het betalen van losgeld voor hun gegijzelde computers.
https://wwmt.com/news/local/west-michigan-doctors-office-hacked-doctors-held-for-ransom

... vormen homogliefen en homografen een serieuze bedreiging.
https://blog.blazeinfosec.com/what-you-see-is-not-what-you-get-when-homographs-attack/

... stipuleerde de baas van Facebook vier nieuwe regels voor het internet.
https://www.washingtonpost.com/opinions/mark-zuckerberg-the-internet-needs-new-rules-lets-start-in-these-four-areas/2019/03/29/9e6f0504-521a-11e9-a3f7-78b7525a8d5f_story.html?noredirect=on&utm_term=.25856083fed1

... reageerde de Britse privacy-toezichthouder heel ad rem op Zuckerbergs statement.
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/04/statement-on-mark-zuckerberg-opinion-piece/

... heeft de Amerikaanse digitale burgerrechtenbeweging EFF ook zo haar mening over het artikel van Zuckerberg.
https://www.eff.org/deeplinks/2019/04/mark-zuckerberg-does-not-speak-internet

... moet Facebook misschien toch maar eerst het eigen stoepje schoonvegen.
https://www.security.nl/posting/604005/Miljoenen+privégegevens+Facebookgebruikers+gelekt

... betekent de identificatieplicht niet dat iedereen zomaar om je paspoort mag vragen.
https://ictrecht.nl/2019/03/29/identificatieplicht-wat-mag-wel-en-wat-niet/

... staan jouw medische gegevens misschien in de cloud.
https://www.destentor.nl/binnenland/data-honderdduizenden-patienten-in-stilte-naar-google-verhuisd~af1950a9/

... wordt digitale spionage steeds complexer, zegt de AIVD.
https://www.security.nl/posting/603777/AIVD%3A+digitale+spionage+door+landen+steeds+complexer

Gepost door op Geen opmerkingen:
Labels: , , , , , ,
Abonneren op: Posts (Atom)