donderdag 28 november 2019

Phishing 2.0


Beste mensen, het is tijd om het over phishing 2.0 te hebben. Er zijn namelijk nog veel gewiekstere methodes om je te misleiden dan waar de meesten van jullie tot nu toe van hebben gehoord. In deze Security (b)log ga ik het dus niet hebben over relatief eenvoudig te herkennen vormen van phishing waar je tegenwoordig ook in de algemene media over wordt bijgepraat. Nee, we gaan het hier over de hogeschool van het phishen hebben, met uitleg van het bijbehorende visserslatijn.

Bij de eerste truc komen nog geen moeilijke woorden kijken, en ik heb hem hier ook wel eerder genoemd. Vooruit, als opwarmertje: zie je verschil tussen google.nl en googIe.nl? Het verschil openbaart zich in een lettertype met schreven, zoals het goede oude Courier: dan staat er google.nl en googIe.nl. In een schreefloze letter zie je niet of nauwelijks het verschil tussen een kleine L en een grote i. En zo kan dus iemand, die dat tweede domein geregistreerd heeft, je naar zijn natuurgetrouw nagebouwde site lokken en je daar informatie ontfutselen of je besmetten met malware – dat zijn altijd de twee belangrijkste tussendoelen van phishers, op weg naar hun hoofddoel: rijkdom.

Homogliefen (ook wel homografen) heb ik ook al eens kort genoemd. Dat zijn letters uit andere schriftsoorten, die lijken op letters uit het ons zo vertrouwde Latijnse schrift. Zo lijkt de Cyrillische letter a als twee druppels water op zijn Latijnse collega. Maar omdat hij door computers anders gecodeerd wordt (U+0430 versus U+0061, met de U van Unicode), beland je toch ergens heel anders dan je verwacht. Als gebruiker sta je hier tamelijk machteloos tegenover; anders dan in het eerste trucje valt hier niets aan te zien. Maar er zijn ook homogliefen die alleen sterk op onze letters lijken, maar toch een beetje afwijken. Uit naam van een bekend sportmerk werd dit sms’je verzonden: “Adidas donne 2500 paire de chaussures gratuites pour célébrer son 69 anniversaire, obtenir vos chaussures gratuites à hxxp://www.adıdas.de/chaussures” (URL door mij onklaar gemaakt). Zie je het? Het puntje op de i ontbreekt. Die letter wordt in het Turkse alfabet gebruikt en heeft uiteraard een heel andere code dan de ‘gewone’ i. Ook het verschil tussen i, ì en í kun je gemakkelijk over het hoofd zien. Browserfabrikanten hebben maatregelen genomen om dit soort aanvallen te onderscheppen, maar die zijn nog niet volledig waterdicht. Daarnaast is er beleid dat het registreren van verdachte internetdomeinen verbiedt.

Het Engelse woord voor kraken (als in: een woning kraken) is to squat. En de typo kennen we allemaal: een typfout. Voeg die woorden samen en je krijgt typosquatting, het ‘kraken’ van websites. Dit is dan weer een truc die je gemakkelijk kunt detecteren – áls je je ogen maar openhoudt. Voorbeelden van typosquatting zijn belastingsdienst, belastindienst en belastingdiens. De typosquatter hoopt dat mensen een typfout maken en daardoor op zijn site terechtkomen in plaats van op de bedoelde site.

De laatste tijd sturen phishers graag mailtjes die niet uit tekst, maar uit een plaatje bestaan. Het plaatje ziet eruit als een gewoon mailtje – pas als je erop klikt zou je kunnen opvallen dat het hele mailtje ‘oplicht’. Door het plaatje omzeilen de boeven filters die op verdachte tekst scannen, al zijn de betere phishing-scanners inmiddels in staat om teksten in plaatjes te herkennen. Nadat iemand mij de tip gaf om mijn mailprogramma zo in te stellen dat plaatjes niet meer automatisch worden opgehaald, zijn dergelijke mailtjes radicaal uit mijn inbox verdreven.

Tegenwoordig worden ook bestanden in bijvoorbeeld Dropbox en Google Docs gebruikt om phishing-URL’s te verspreiden. Dat wekt minder wantrouwen, want met het mailtje, dat je naar zo’n bestand verwijst, is niets aan de hand, en ook is de plek waar het bestand staat voor veel mensen vertrouwd.

Misschien zie je deze trucjes nu nog niet in je mailbox. Maar net zoals spammers steeds iets nieuws verzinnen om hun reclame toch in jouw mailbox te krijgen, zo zullen criminelen nieuwe listen verzinnen als de oude niet meer voldoende vruchten afwerpen. Wees voorbereid en blijf alert. En gebruik tweefactorauthenticatie overal waar dat kan, zodat een gephisht wachtwoord niet genoeg is om in een account in te breken.

Heel soms is er ook een andere reden dan hebzucht om nepsites te bouwen en mensen erheen te lokken. In 2011 registreerde iemand een domein waarvan de naam leek op die van een Amerikaans tv-station. Bij wijze van 1-aprilgrap berichtte de nepsite over het voornemen van de gouverneur van Idaho om de verkoop van muziek van Justin Bieber te verbieden.

En in de grote boze buitenwereld …


... neemt de schade door phishing nog steeds toe.
https://nos.nl/l/2312058

... geeft dit artikel maar liefst zeventien cybertips voor de reiziger.
https://josephsteinberg.com/17-things-you-must-do-before-traveling-if-you-want-to-avoid-a-cyber-disaster/

... vond de Autoriteit Persoonsgegevens het geen goed idee dat supermarktpersoneel een bijna-blootfoto moest opsturen om de maat voor hun bedrijfskleding te bepalen.
https://tweakers.net/nieuws/160360/albert-heijn-stopt-proef-waarbij-medewerkers-foto-in-ondergoed-moesten-opsturen.html

... besmette geavanceerde ransomware wereldwijd vele systemen, ook in Nederland.
https://nos.nl/l/2312363

... zijn ook beveiligingsbedrijven niet immuun voor dergelijke aanvallen.
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-forces-prosegur-security-firm-to-shut-down-network/

... blijft het moeilijk om DigiD te vervangen door iets beters – en niet omdat DigiD zo goed is.
https://www.cqure.nl/nl/kennisplatform//een-open-digitaal-eid-stelsel

... is deze cartoon een waardige opvolger van die met het bijschrift “On the internet, nobody knows you’re a dog”, die eveneens in The New Yorker stond (1993).
https://twitter.com/JosephSteinberg/status/1108386637162123270/photo/1

... maakt de vader van het world wide web zich ernstige zorgen over zijn kindje.
https://tweakers.net/nieuws/160368/tim-berners-lee-presenteert-plan-om-het-web-te-redden.html

... kun je ook als individu het reddingsplan voor het web ondertekenen.
https://contractfortheweb.org/action/

... wordt virtualisatieplatform Docker aangevallen.
https://www.zdnet.com/article/a-hacking-group-is-hijacking-docker-systems-with-exposed-api-endpoints/

... windt deze wiskunde-columniste zich op over de eisen die aan wachtwoorden worden gesteld.
https://www.volkskrant.nl/columns-opinie/waarom-mag-mijn-wachtwoord-in-vredesnaam-niet-langer-dan-dertien-tekens-zijn~bb99ed0d

... is juice jacking geen groot risico meer, zegt de bedenker ervan.
https://www.security.nl/posting/633158/Uitvinder+juice+jacking%3A+geen+groot+risico+meer%2C+maar+blijf+alert

... is het cruciaal om te weten waar je cyberuitdagingen liggen. Daar is nu een kompas voor.
https://www.ncsc.nl/actueel/nieuws/2019/november/27/aan-de-slag-met-het-cyberkompas

... is er weer een test van virusscanners voor Windows geweest. Er zijn veel winnaars.
https://www.av-test.org/en/antivirus/home-windows/

... plunderen digitale boeven je portemonnee.
https://www.security.nl/posting/632810/Almerenaar+krijgt+celstraf+voor+WhatsApp-+en+Tikkiefraude


Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 22 november 2019

Moeilijke woorden


“Dames en heren, wij verzoeken u om tijdens de start en de landing uw Bluetooth-apparatuur uit te schakelen,” sprak de purser ongeveer in zijn welkomstwoord. Schuin voor mij zat een jongedame naar muziek te luisteren via haar draadloze oortjes. En zij bleef dat doen, zich van geen kwaad bewust.

De meeste mensen weten weinig van techniek. Ze maken er volop gebruik van, zonder te beseffen hoe het onder de motorkap allemaal werkt. Dat hoeft ook helemaal niet; je hoeft alleen te weten hoe je het aanzet, wat je ermee kunt en wat je daarvoor moet doen. Veel van onze moderne technologie werkt heel intuïtief, wat het nog vanzelfsprekender maakt dat je je niet om de innerlijke werking bekommert.

En zo kan het dus gebeuren dat iemand dag in, dag uit via z’n Bluetooth-oortjes naar muziek of voorgelezen boeken en krantenartikelen luistert en er geen flauw benul van heeft hoe het geluid van de telefoon z’n oren bereikt. Als dan in een vliegtuig wordt omgeroepen dat Bluetooth uit moet, dan gaat dit verzoek volledig aan deze persoon voorbij – en niet alleen omdat hij het, vanwege die dopjes in de oren, helemaal niet hoort.

Als je over beveiliging communiceert, moet je dat doen in een taal die de doelgroep begrijpt en ze tot de juiste handelingen aanzet. Ze moeten zowel begrijpen wát er moet gebeuren als dát ze daadwerkelijk zelf iets moeten doen. Als je dat doel niet bereikt, dan verdwijnt je boodschap in het bittenbakje. Helaas gaat dat, door onze liefde voor jargon, nog vaak fout.

Om de communicatie over informatiebeveiliging een stapje verder te helpen, zal ik een aantal veelgehoorde maar wellicht onvolledig begrepen termen uitleggen.
Bluetooth Techniek om gegevens draadloos over korte afstand (tot zo’n tien meter) te transporteren. Wordt gebruikt voor onder andere draadloze muizen en toetsenborden (van je pc, maar ook van je iPad), sporthorloges/activity trackers, luidsprekers. Je herkent Bluetooth aan die hoekige hoofdletter B. Nederlandse uitvinding onder Zweedse vlag en vernoemd naar de Deense koning Blauwtand uit de tiende eeuw.
Vliegtuigstand Instelling op een elektronisch apparaat die alle zenders van dat toestel uitschakelt, zodat je vliegtuig niet neerstort. Je kunt dan niet meer bellen, sms’en, internetten of Bluetooth gebruiken. Kortom: alle functies, die een verbinding naar buiten het apparaat nodig hebben, doen het niet meer. Ook handig als je gewoon thuis zit maar niet wilt worden gestoord tijdens het gamen of zo.
Password manager Programma om al je wachtwoorden veilig in op te slaan. Je hebt dit nodig omdat je uiteraard voor al je accounts (mail, bank, website a, website b, ...) een uniek, sterk wachtwoord hebt. De hoeveelheid wachtwoorden en de lengte en complexiteit ervan maken dat je geheugen tekortschiet en daar zijn die programma’s dus voor. Als je een site bezoekt waarop je moet inloggen, dan vullen ze automatisch je gebruikersnaam en wachtwoord voor je in. Je moet nog wel het wachtwoord onthouden waarmee de password manager zelf beveiligd is. Als je dat kwijt bent, dan ben je wel even zoet met diverse ‘wachtwoord vergeten’-procedures.
Lijstje Elektronisch of papieren alternatief voor als je een password manager toch te ingewikkeld vindt. Denk er wel goed over na waar je het lijstje bewaart.
Authenticatie Het proces waarin wordt gecontroleerd of je ook echt bent wie je zegt te zijn. Eerst identificeer je jezelf (met je gebruikersnaam en wachtwoord), daarna word je geauthentiseerd. In veel gevallen is dat proces beperkt tot het controleren of je wachtwoord bij de opgegeven gebruikersnaam hoort.
Tweefactorauthenticatie (2FA) Omdat wachtwoorden voortdurend uitlekken of geraden kunnen worden, voldoen ze niet meer als authenticatiemiddel. Ter versterking wordt een ‘tweede factor’ gebruikt, bijvoorbeeld een code die naar je telefoon wordt ge-sms’t. Hoewel sms-berichten kunnen worden onderschept, is 2FA middels sms nog altijd een stuk veiliger dan alleen een wachtwoord. Dus: als je bij een account 2FA kunt aanzetten, doe het dan!
Multifactorauthenticatie (MFA) Hier wordt het wat rommelig. De één gebruikt het als synoniem voor 2FA, de ander zegt dat MFA tenminste één factor meer gebruikt dan 2FA, zoals een biometrisch kenmerk – bijvoorbeeld een vingerafdruk of gezichtsherkenning. Ik ga het liefst met deze uitleg mee: ‘multi’ betekent meer dan één, dus 2FA is ook al MFA. Maar niet alle MFA is 2FA, want er kunnen dus ook meer dan twee factoren worden gebruikt. Doorgaans praten we over iets wat je weet (je wachtwoord), iets wat je hebt (de telefoon waarop het sms’je binnenkomt, of je pinpas) en iets wat je bent (je vingerafdruk, je gezicht, je iris; er zijn nog veel meer biometrische kenmerken).
Bittenbakje De Bermudadriehoek van de ICT. Hierin is alles van je pc, mail, telefoon en tablet verdwenen wat je onverklaarbaar kwijt bent. Zolang het maar digitaal is (en dus uit bits bestaat, vandaar de naam). In de was verdwenen sokken zijn een heel ander verhaal.

Als je in een modern vliegtuig zit hoef je je trouwens – net als de piloten – niet ongerust te maken als je ziet dat iemand zijn apparaat niet in de vliegtuigstand zet. De regel, dat alles uit moet, stamt uit de tijd van de analoge navigatiesystemen, die het vliegtuig door interferentie (radiogolven die andere radiogolven beïnvloeden) naar een plekje náást de landingsbaan zouden kunnen dirigeren in plaats van erop. Overigens ben je in een vliegtuig wel altijd verplicht om aanwijzingen van de bemanning op te volgen.

En in de grote boze buitenwereld …


... herkent je deurbel straks wie er voor de deur staat.
https://tweakers.net/nieuws/160186/ring-denkt-na-over-integratie-gezichtsherkenning-in-deurbel.html

... gaat de politie geen gebruik maken van geautomatiseerde gezichtsherkenning.
https://tweakers.net/nieuws/160160/grapperhaus-wil-geen-realtime-gezichtsherkenning-door-nederlandse-politie.html

... stond je Android-camera misschien zelfs open terwijl je toestel vergrendeld was.
https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera

... mogen Belgische belastingambtenaren je computer leegtrekken.
https://tweakers.net/nieuws/160136/belgische-fiscus-mag-zonder-toestemming-van-belastingplichtige-data-kopieren.html

... baalt de AIVD van de toezichthouder voor tappen, hacken en afluisteren.
https://www.volkskrant.nl/nieuws-achtergrond/aivd-ontevreden-over-nieuwe-toezichthouder-die-oordeelt-over-tappen-hacken-en-afluisteren~bb811c76

... zijn al duizenden accounts van de nieuwe streaming-dienst van Disney gekaapt. Ze worden doorverkocht voor prijzen die soms hoger liggen dan een legaal abonnement.
https://www.wired.com/story/disney-plus-hacks-credential-stuffing/#

... hebben cryptovalutasites een grote aantrekkingskracht op criminelen.
https://www.zdnet.com/article/official-monero-website-compromised-with-malware-that-steals-funds/

... mag je sollicitanten niet zomaar door kunstmatige intelligentie laten screenen.
https://blog.iusmentis.com/2019/11/20/mogen-wij-een-ai-onze-sollicitanten-laten-prescreenen/

... is je smartphone minder waterdicht dan je uit menige reclame zou opmaken.
https://tweakers.net/reviews/7264/waterdichtheid-bij-smartphones-hoe-werkt-het-en-heb-je-garantie.html

... is het niet eenvoudig om het effect van bewustwordingscampagnes te meten.
https://www.alertonline.nl/nieuws/2019/security-awareness-binnen-de-organisatie-hoe-meet-je-dat

... kan de beveiliging van de Oostenrijkse inlichtingendienst een stuk beter.
https://3secretfingers.blogspot.com/2019/11/oostenrijkse-veiligheidsdienst-bvt-zo.html

... beschermt de overheid zich nog onvoldoende tegen e-mailspoofing.
https://www.security.nl/posting/632307/Helft+overheidsdomeinen+kwetsbaar+voor+e-mailspoofing

... toont deze site van een heleboel IoT-apparaten hoe ‘eng’ ze zijn.
https://foundation.mozilla.org/en/privacynotincluded/

... kan een kortingsbon soms ook malware opleveren.
https://www.security.nl/posting/632154/Nepkortingsbonnen+McDonalds+leiden+naar+bankmalware




Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 15 november 2019

Kedeng kedeng


Er loopt een spoorlijn door de Siciliaanse plaats Fiumefreddo (“Koude Rivier”). Aan weerskanten van die spoorlijn lopen twee wegen: aan de ene kant een drukke provinciale weg, aan de andere kant een rustige lokale. Italië is ingericht voor auto’s, niet voor fietsers of voetgangers. Als je met de auto rijdt, dan heb je weinig last van zo’n spoorlijn. Maar voor langzaam verkeer kan het een uitdaging zijn om zonder een al te grote omweg aan de overkant van het spoor te komen.

Als we op vakantie gaan, dan stippel ik van tevoren een hardlooproute uit. Daar waar de kaart onduidelijk wordt, schakel ik over op satellietbeelden. Op die manier kom ik er meestal wel uit. De beelden toonden, vlakbij het hotel, een voetgangersbrug over het spoor. Nog geen vijftig meter verderop stond er nog eentje. Verder was noch in noordelijke, noch in zuidelijke richting een dergelijke constructie te ontwaren binnen een straal van kilometers. Vreemd.

Ter plaatse liep ik richting brug nummer één. Het weggetje erheen was afgesloten met een ketting. Nou, dan ga ik wel naar brug nummer twee, dacht ik. De brug was gemaakt met van die metalen roosters. Door de opening van de onderste treden groeide onkruid. Ach ja, Italianen zijn geen voetgangers, realiseerde ik me. Maar mij bracht die brug keurig naar de overkant. Ik kwam uit op een betegeld plateautje. Maar waar ik een pad naar de provinciale weg verwachtte, lag slechts een brede greppel. Een hek en dichte begroeiing weerhield me ervan die kant op te lopen. Waarheen dan? Ah, ik zag een totaal overwoekerd pad richting brug nummer één. Misschien kon ik daarvandaan wél de weg bereiken. Voorzichtig mijn voeten plaatsend, uitkijkend voor doorns, bereikte ik zo’n zelfde tegelplateau. Met zo’n zelfde hekwerk en eveneens zonder pad naar de weg. Beteuterd beklom ik de brug om terug te keren naar ‘mijn’ kant van het spoor. Daar was ook weer zo’n plateau, op het eerste oog zonder uitweg. Gelukkig zag ik een olifantenpaadje door het dichte struikgewas, dat mij op een geasfalteerde weg bracht – aan de andere kant van die ketting. Daar ben ik toen maar overheen gestapt en ik ben die lokale weg op en neer gaan rennen. Die route naar de overkant van de spoorlijn was overigens ook al tweede keus. Toen ik de route, die thuis had voorbereid, met de auto ging verkennen, stuitte ik op een hoog hekwerk dat de hele weg afsloot. Dat kan daar kennelijk zo maar.

Dan ben je dus goed voorbereid, blijkt de werkelijk iets anders voor je in petto te hebben. Een collega had zo’n zelfde situatie meegemaakt, maar dan ICT-gerelateerd. Hij had een nieuwe iPad gekregen, en daarbij de keuze of hij hem zelf ging inrichten of met begeleiding. Hij koos voor dat laatste en zag de werkelijkheid al meteen op pagina twee afwijken van de installatiehandleiding. Had hij gekozen voor doe-het-zelven, dan was hij op dat punt waarschijnlijk met z’n handen in het haar komen te zitten. De installateur kon de klus – dankzij inhoudelijke kennis en met de nodige improvisatie – afmaken.

Informatiebeveiligers houden van nature niet zo van improviseren. Improviseren betekent namelijk zelf nadenken, aannames doen en niet meer omkijken als het eenmaal werkt. Terwijl “hij doet het!” niet per se hetzelfde hoeft te zijn als “hij doet het en het is veilig”. Maar ja, je werkt improvisatie natuurlijk wel in de hand als de handleiding niet klopt met wat je in het echt voor je ziet. Ik moest met mijn hardlooproute ook improviseren, maar het voelde niet heel fijn om langs een weg zonder stoep te lopen, waar de Italianen al bellend met veel te hoge snelheid overheen jakkeren.

Zeker bij improvisatie geldt: wees je ervan bewust dat je je buiten de gebaande paden begeeft en wees extra alert. Als je merkt dat er vreemde dingen gebeuren, staak die activiteit dan en roep deskundige hulp in. Iedereen kan fouten maken, maar als je bij geconstateerde problemen geen actie onderneemt, dan ben je nalatig – en dat is verwijtbaar.

Hoe zit het nou met die bruggen? Ik heb een theorietje. Een bouwbedrijf heeft steekpenningen aan het gemeentebestuur betaald om opdracht te geven voor de bouw van die twee onzinnige bruggen. Het bedrijf heeft die opdracht natuurlijk binnengehaald en daar lekker aan verdiend. En ach, dat de bouwwerken nergens toe dienen, daar ligt in dat land waarschijnlijk niemand van wakker.

En in de grote boze buitenwereld …


... keek Facebook met je mee – via je camera.
https://www.security.nl/posting/631425/Facebook-app+schakelde+camera+in+bij+bekijken+van+foto%27s

... heet 5G veiliger te zijn dan 4G, maar er zijn (natuurlijk) toch alweer nieuwe kwetsbaarheden gevonden (die dan deels ook nog eens ‘backwards compatible’ blijken te zijn).
https://techcrunch.com/2019/11/12/5g-flaws-locations-spoof-alerts/

... waarschuwen de autoriteiten in Los Angeles voor juice jacking: het besmetten van je telefoon via een openbaar oplaadpunt. De waarschuwing is overigens net zo goed van toepassing op Nederland en de rest van de wereld.
https://www.zdnet.com/article/officials-warn-about-the-dangers-of-using-public-usb-charging-stations/

... mag je fabrikanten niet op hun blauwe ogen geloven dat ze een kwetsbaarheid hebben verholpen, ontdekte de Vrije Universiteit.
https://www.nytimes.com/2019/11/12/technology/intel-chip-fix.html

... heeft diezelfde fabrikant met nog een andere gepubliceerde kwetsbaarheid te kampen.
https://tweakers.net/nieuws/159906/onderzoekers-kunnen-sleutels-uit-trusted-platform-module-in-intel-chips-aflezen.html

... heeft een Amerikaanse digitale rechtengroepering een gezichtsherkenningsactie gehouden om op een verbod op gezichtsherkenning voor surveillance-doeleinden aan te dringen.
https://medium.com/@fightfortheftr/we-scanned-thousands-of-faces-in-dc-today-to-show-why-facial-recognition-surveillance-should-be-3360958a76f1

... is de Tweede Kamer ten prooi gevallen aan een phishing-test. Een makkelijke prooi, vrees ik.
https://opgelicht.avrotros.nl/uitzending/gemist/item/opgelicht-stuurt-de-tweede-kamer-een-phishingmail/  

... is publiek-private samenwerking de sleutel tot het wereldwijd bestrijden van cybercrime.
https://www.weforum.org/agenda/2019/11/why-public-private-partnerships-are-critical-for-global-cybersecurity

... lanceerde de overheid deze week de Basisscan Cyberweerbaarheid voor ondernemers.
https://www.rijksoverheid.nl/actueel/nieuws/2019/11/14/digital-trust-center-helpt-ondernemers-met-basisscan-cyberweerbaarheid

 ... verzamelt Google medische gegevens van miljoenen Amerikanen.
https://tweakers.net/nieuws/159760/google-vergaart-medische-data-miljoenen-amerikanen-zonder-hen-in-te-lichten.html

... is het verzamelen van data het echte probleem, niet de bescherming ervan.
https://blog.iusmentis.com/2019/11/13/het-probleem-is-niet-databescherming-maar-dataverzameling/

... kun je een uur vullen met een presentatie over alleen maar wachtwoorden. Wel een aanrader!
https://youtu.be/dM72LqTb5jA

... vraagt een Italiaanse bank geld voor het wijzigen van je wachtwoord en geeft daarbij ook nog heel slechte adviezen.
https://www.security.nl/posting/631320/Italiaanse+bank+rekent+geld+voor+het+wijzigen+van+wachtwoorden


Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 8 november 2019

Vliegtuigkaping


“En kijk, dan stel je hier code 7500 in, en dan draai je deze knop op ‘zenden’, en dan weet de luchtverkeersleiding dat we gekaapt zijn.” Oeps. De piloot van Air Europa vlucht UAX1094 van Amsterdam naar Madrid, die een lesje hoe gebruik ik de transponder aan een piloot in opleiding gaf, was even vergeten dat het apparaat nog aan stond, aldus de berichtgeving in de media. Die transponder zendt normaliter een code uit die het vliegtuig identificeert; de luchtverkeersleider ziet dan niet alleen een vliegtuig op zijn radarscherm, maar ook wélk vliegtuig het is. Maar je kunt die transponder dus kennelijk ook gebruiken om stiekem een noodsignaal uit te zenden. Tot afgelopen woensdag dan, want vanaf nu weten alle kapers in spé dit ook en zullen ze erop toezien dat de piloten met hun tengels van de transponder afblijven.

Gelukkig was het loos alarm en konden we rustig gaan slapen. En we hebben er een goede oefening aan overgehouden die heeft laten zien hoe snel alle diensten – en dan waren er nogal wat – in de benen kwamen om de ontstane situatie het hoofd te bieden. Never waste a good crisis, zeggen we dan: doe er je voordeel mee, dan heb je er tenminste nog wat aan.

Maar wás het wel echt een fout van de piloot? Het zou mij niet verbazen als dit een in het grootste geheim voorbereide oefening was. Die gedachte kwam bij me op toen ik op het journaal zag hoe in een vliegtuigsimulator het instellen van de transponder gedemonstreerd werd. De code werd ingesteld met behulp van draaiknoppen. Eerder had ik gelezen dat Benno Baksteen, nog steeds het boegbeeld van de Nederlandse verkeersvliegerij, uitlegde dat je bij het intoetsen van de code gemakkelijk een dikke-vinger-fout kunt maken. Hé, hoezo intoetsen? Ik heb foto’s opgezocht van de transponder in de Airbus A330. En wat denk je? Google toont twee verschillende types, de een met draaiknoppen en de ander met een toetsenbord. Dat helpt me niet echt verder. Als ik echter specifiek zoek op foto’s van de cockpit van de A330 van Air Europa en daarop probeer de transponder de vinden, dan herken ik wel zo’n ding met druktoetsen. De theorie van meneer Baksteen zou dus kunnen kloppen. Maar dan nog. De piloot komt er ook heel gemakkelijk mee weg. Terwijl hij in het vliegtuig zijn excuses heeft gemaakt voor het activeren van het kapingsalarm, meldt zijn werkgever dat het om een technisch probleem ging en dat verder onderzoek niet nodig is. Misschien zaten de captain en zijn baas gewoon in het complot (in ruil tegen korting op de landingsrechten of zo).

Je kunt de mooiste draaiboeken voor rampscenario’s schrijven, maar als je de daadwerkelijke uitvoering ervan nooit oefent, dan blijven het toch papieren tijgers. Je kunt op twee manieren oefenen: met en zonder medeweten van de betrokkenen. Die laatste manier is het meest realistisch en natuurlijk ook het heftigst voor de uitvoerenden.

Er was eens een rekencentrum dat een crisisoefening hield. Het scenario – een bommelding – was slechts bij een kleine groep bekend, het management wist van niets. Ondertussen was het wel een groots opgezette oefening, waar ook de politie en de Explosieven Opruimingsdienst aan te pas kwamen. Voor één van de EOD’ers was deze oefening zelfs het eindexamen. De politie oefende in het opsporen van explosieven in een voor hen onbekende omgeving. Het betrokken rekencentrum hield er een ontruimingsoefening onder realistisch ogende omstandigheden aan over, plus natuurlijk de crisisoefening voor het management, waar het allemaal om was begonnen.

Tijdens deze oefening trad ook een echte prio-1-verstoring in de ICT op. Alle medewerkers waren echter naar huis gestuurd vanwege die bommelding. Desondanks werd de verstoring netjes afgehandeld – thuis bij de betrokken medewerkers. We vinden het tegenwoordig heel normaal om thuis te werken, en dit geval toont aan dat ook de organisatie er belang bij heeft dat dit mogelijk is. En dan heb ik het niet over het bezuinigen op vierkante meters hè. In feite was die echte verstoring een (ongeplande) oefening in een oefening. Hoe mooi wil je het hebben?

De captain van vlucht UAX1094 sloot zijn excuusbericht af met: “Thank you very much for choosing Air Europa.” Kennelijk is het er bij luchtvaartpersoneel zodanig ingeramd dat ze altijd met zo’n zin moeten eindigen (wie kent ‘m niet?), dat ze dat zelfs doen in een situatie waarin het misschien wat minder handig is om de naam van de maatschappij nog eens te benadrukken.

En in de grote boze buitenwereld …


... zijn er ook software-updates voor vliegtuigen.
https://twitter.com/TheKenMunroShow/status/1192413561802371077

... zijn vliegtuigbouwers erg begaan met vliegveiligheid, maar valt er nog wel wat te winnen op het gebied van informatiebeveiliging.
https://www.csoonline.com/article/3451585/boeings-poor-information-security-posture-threatens-passenger-safety-national-security-researcher-s.html

... is het internet verrijkt met een excuusgenerator voor als je bedrijf gehackt is.
https://www.vice.com/en_us/article/xwe3m4/this-website-has-solved-cybersecurity

... kan Facebook daar meteen al gebruik van maken.
https://www.security.nl/posting/630457/Facebook+meldt+nieuw+datalek+met+gebruikersgegevens

... kun je je klanten natuurlijk ook serieus informeren over een incident, zoals dit beveiligingsbedrijf dat deed nadat de activiteiten van een rotte medewerker werden ontdekt.
https://blog.trendmicro.com/trend-micro-discloses-insider-threat-impacting-some-of-its-consumer-customers/

... is de vensterbank niet zo’n handige plek voor je slimme speaker.
https://www.wired.com/story/lasers-hack-amazon-echo-google-home/

... betekent het uitzetten van alle Office-macro’s op de Mac nog niet dat er helemaal geen macro’s meer draaien.
https://www.theregister.co.uk/2019/11/05/office_mac_macro_bug/

... verraadt je deurbel je wachtwoord.
https://www.security.nl/posting/630604/Ring-videodeurbel+lekte+wifi-wachtwoord+tijdens+het+instellen

... kan CEO-fraude behoorlijk in de papieren lopen.
https://www.security.nl/posting/630154/Ceo-fraude+kost+Japans+mediaconcern+Nikkei+26%2C4+miljoen+euro

... ziet de minister van BZK geen problemen in het kunnen uitlezen van de paspoortchip.
https://www.security.nl/posting/630145/Knops%3A+geen+nieuwe+risico%27s+door+apps+die+paspoortchip+uitlezen

Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 1 november 2019

Griezelig


Halloween is net achter de rug, maar mijn gezin had een week eerder al een dosis griezelige ervaringen. We waren op vakantie op Sicilië, waar we in het gezellige plaatsje Taormina langs een kousenwinkel liepen. Nou trekt een dergelijke winkel zelden mijn aandacht, maar deze viel op omdat in de etalage een levensgrote beeltenis stond van iemand die we kenden, maar we konden niet zo snel op haar naam komen. Toen we er op de terugweg weer langs liepen, schoot hij me te binnen: het was Julia Roberts. Nu zijn er ergere dingen om te zien dan mevrouw Roberts, maar het werd een beetje griezelig toen we even later op de autoradio tussen al het Italiaanse gekwek zomaar ‘Julia Roberts’ hoorden. Ach ja, grappig toeval, denk je dan.

Een dag later liepen we in de havenstad Messina langs het gloednieuwe, gigantische cruiseschip MSC Bellissima. Geïmponeerd door de afmetingen van dit varende megahotel zochten we later wat gegevens erover op. Er stond ook bij dat het schip in maart van dit jaar was gedoopt door de (inmiddels bejaarde) actrice Sophia Loren. Een dag later wandelden we andermaal door Taormina, want, zoals gezegd, het was daar gezellig. We keken in de etalage van de een of andere winkel en van wie hing daar een kleine, ingelijste foto? Juist ja, van de peettante van die boot.

Onze dochter heeft, zoals vrijwel alle schoolmeisjes, lang haar en dat draagt ze meestal in een staart of vlecht. Al wandelend had ze er uit de losse hand een wat langwerpig knotje van gemaakt. Ik zei: “Goh, je lijkt wel op Isabel Allende.” Wie? De vrouw van wijlen de Chileense president Salvador Allende, beweerde ik, maar ik vergiste me: ik bedoelde Evita Peron, echtgenote van de Argentijnse president. Die zag je vaak met zo’n langgerekt knotje. Even later liepen we langs een boekwinkel. In de etalage stond prominent een boek van... Isabel Allende. Zij is schrijfster en een nicht van die president.

Er volgde nog een ‘hoe dan?’-momentje. Wandelend door Catania maakte onze zoon een grapje over de dood zoals alleen tieners dat kunnen. In de volgende zijstraat was een begrafenisondernemer gevestigd. Daarmee hebben we onze reeks Siciliaanse griezeligheden op gepaste wijze afgesloten.

In de informatiebeveiliging zien we ook wel eens spoken. Zo dacht een collega jaren geleden dat zijn mail was gehackt, want er waren vreemde mailtjes vanuit zijn zakelijk account verzonden. Na wat doorvragen kwam de aap uit de mouw: het zoontje van de collega had op diens iPad gegamed en daardoor waren – via knippen en plakken – wat vreemde extra’s terechtgekomen in mailtjes die de collega zelf had verzonden. Leerpunt: ga niet meteen uit van de ergste complottheorieën, maar zoek het in eerste instantie – letterlijk – dicht bij huis.

Er wordt sowieso best vaak moord en brand geschreeuwd, terwijl het achteraf een storm in een glas water blijkt te zijn. Met dat glaasje water kun je het brandje vaak prima blussen. Vanuit gebruikersperspectief begrijp ik die geschrokken reactie overigens wel. Je ziet een onwerkelijke situatie en zoekt de oorzaak daarvan buiten jezelf. Professionals daarentegen horen kalm te blijven en eerst eens naar een ‘gemakkelijke’ oorzaak te zoeken, een plausibele verklaring.

Overigens kan achter een plausibele verklaring toch nog een spookje schuilgaan. Was het bijvoorbeeld wel zo verstandig om dat zoontje toegang tot de zakelijke iPad te geven? ‘Verstandig’ als in: mag dat wel? Als je zakelijk en privé goed van elkaar scheidt, dan vermijd je verrassingen. Scheelt ook een hoop geld, want ik denk dat het scenario er ongeveer als volgt uitziet. Je constateert iets, laat het aan je collega’s zien, die heel behulpzaam met je gaan meedenken, en als ze er met z’n allen niet uitkomen wordt de hulp van deskundigen ingeroepen. In het voorbeeld liep dat niet via de helpdesk (zoals het hoort), maar kwam het rechtstreeks bij mij terecht. “Ik ken wel iemand die je kan helpen”, zal iemand gezegd hebben – een neveneffect van naamsbekendheid als blogger. Tegenwoordig stuur ik mensen sneller door naar de helpdesk, maar zo’n incident ertussendoor heeft ook wel z’n charme. Met het gevolg dat ik het er ook weer met collega’s over heb. Voor je het weet heb je dus een heel treintje collega’s aan het werk voor wat terug te voeren is op het niet naleven van het beleid. En die collega’s kosten allemaal geld.

Kijk maar uit, voor je het weet kijk ik je streng aan vanaf een foto die je toevallig ergens tegenkomt.

En in de grote boze buitenwereld …


... voelden twee journalisten Huawei stevig aan de tand over de vermeende spionagepraktijken.
https://www.volkskrant.nl/nieuws-achtergrond/huawei-topman-over-angst-voor-spionage-het-is-een-bekrompen-idee-dat-huawei-een-risico-is~b0accee5/

... was het netwerk van een Indiase kerncentrale besmet met malware uit Noord-Korea.
https://www.zdnet.com/article/confirmed-north-korean-malware-found-on-indian-nuclear-plants-network/

... mag een werkgever niet aan zijn zieke medewerker vragen wat hij heeft.
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-en-uitkering/mijn-zieke-werknemer#wat-mag-ik-niet-vragen-en-registreren-als-mijn-werknemer-zich-ziek-meldt-7459

... sleept WhatsApp een Israëlisch bedrijf voor de rechter wegens hulp aan overheden bij het kraken van telefoons van burgers.
https://www.reuters.com/article/us-facebook-cyber-whatsapp-nsogroup-idUSKBN1X82BE

... bepaal je voortaan zelf wat er gebeurt met geluidsfragmenten die je slimme assistent opneemt.
https://www.wired.com/story/keep-siri-alexa-google-assistant-recordings-private/

... wil Australië gezichtsherkenning gebruiken om te toetsen of iemand oud genoeg is om naar online porno te kijken.
https://www.nytimes.com/2019/10/29/world/australia/pornography-facial-recognition.html

... legt Edward Snowden op indringende wijze uit hoe jouw smartphone jou bespioneert.
https://www.androidauthority.com/watch-edward-snowden-phones-spying-1045817/

... kun je natuurlijk ook een heel land hacken.
https://www.zdnet.com/article/largest-cyber-attack-in-georgias-history-linked-to-hacked-web-hosting-provider/

... is niet alles waar wat je over VPN’s hoort.
https://youtu.be/WVDQEoe6ZWY

... hebben je nabestaanden toegang tot jouw accounts nodig. Deze blog beschrijft hoe je dat kunt organiseren.
https://johnopdenakker.com/make-sure-loved-ones-can-access-your-accounts/

... hoor je steeds vaker dat het einde van het wachtwoord nabij is.
https://www.bbc.com/news/business-49877317

... heb je nog één dag de tijd om je iPhone 5 in leven te houden.
https://hotforsecurity.bitdefender.com/blog/update-your-iphone-5-before-november-3-2019-or-lose-its-internet-access-21689.html

... is het misschien toch niet zo handig om de rechtbank te hacken.
https://www.securityweek.com/texas-man-gets-145-months-prison-hacking-la-superior-court

... wordt ransomware een steeds groter probleem voor de samenleving.
https://nos.nl/artikel/2307980-vaker-gijzelsoftware-betalen-is-goedkoper-dan-bedrijf-stil-laten-liggen.html

Gepost door op Geen opmerkingen:
Labels:
Abonneren op: Posts (Atom)