vrijdag 21 februari 2020

Privégebruik


Daan had net een potje Fortnite op de iPad uitgespeeld en zapte nu wat verveeld door de andere apps op het apparaat. Eigenlijk mocht dat niet van zijn vader, en bijster interessant was het ook niet: Daan begreep maar niets van al die moeilijke grotemensentaal die hij in die saaie apps zag staan. Zijn vingers gleden gedachteloos over het virtuele toetsenbord, tot het sein ‘bedtijd!’ werd gegeven.

Erik, de vader van Daan, moest de volgende ochtend bij zijn leidinggevende komen. Die had Karel, een collega uit een andere afdeling, briesend aan de telefoon gehad. Karel was woest op Erik, omdat die hem een mailtje had gestuurd waar achtereenvolgens – vergezeld door de nodige emoji’s – het weerbericht, de bitcoinkoersen en een stukje van een LinkedIn-profiel in stonden, in antwoord op een serieuze vraag van Karel over een bepaalde klant.

Als je het zo achter elkaar leest, dan snap je waarschijnlijk wel wat er gebeurd is: Daan had met de zakelijke iPad van zijn vader gespeeld en daarbij al knippend en plakkend een antwoord op Karels mail gedicht én verzonden. Op die manier was Erik behoorlijk in verlegenheid gebracht. Klinkt dit je onwaarschijnlijk in de oren? Dat had ik ook, toen ik een paar jaar geleden van een geschrokken collega een variant op de tweede alinea kreeg toegezonden met de opening: “Help, mijn mail is gehackt!” Pas na wat stevig doorvragen gaf Erik schoorvoetend toe dat z’n zoontje ‘wel eens’ op de iPad van de baas mocht spelen. Case closed. Niks geen hack.

In ons beleid staat dat je zakelijke apparatuur ‘beperkt’ privé mag gebruiken. Onlangs kwam ik er achter dat sommige mensen een wat brede uitleg geven aan de term privégebruik: privé, dat is thuis, en dus mag mijn apparaat thuis worden gebruikt. Door iedereen.

En dat klopt dus niet. Je moet namelijk niet uitgaan van het apparaat, maar van het account dat toegang geeft tot het apparaat. En dat account is persoonsgebonden, wat weer inhoudt dat je er niemand anders gebruik van mag laten maken – en dat staat ook in het beleid.

“Maar ik open mijn iPad toch gewoon met een pincode of een vingerafdruk?”, hoor ik je denken. Ja, dat klopt wel, maar los van het feit dat daar ook gewoon een account achter zit (ook al hoef je geen user-id in te typen), geeft het apparaat – als het eenmaal ontgrendeld is – ook toegang tot je zakelijke e-mail en misschien nog andere apps die aan jouw als persoon (werknemer!) gekoppeld zijn. Wie toegang heeft tot je iPad, heeft vaak automatisch ook toegang tot deze apps, en kan dus bijvoorbeeld uit jouw naam mail verzenden. En leg dan op het werk maar eens uit dat jij dat niet zelf hebt gedaan.

‘Beperkt privégebruik’ houdt bij ons dus per definitie in: privégebruik door jou, de medewerker aan wie het apparaat is verstrekt. En niet door bijvoorbeeld een collega of huisgenoot. “Ik ga vanavond thuis een moeilijk gesprek hebben”, verzuchtte onlangs een collega na mijn uitleg hierover. Hij was een Erik, die in alle oprechtheid dacht dat gamende kinderen onder het begrip privégebruik vielen. En omdat die collega mijn uitleg begreep en heel integer is, moest hij dus die avond aan z’n zoontje uitleggen dat het gedaan was met gamen op de iPad van papa.

Het spijt me voor dat jochie en voor al die andere kinderen, die – nu jij dit gelezen hebt – ook niet meer op de tablet, smartphone of laptop van pa of ma terecht kunnen. Maar hé, ik heb een organisatie te beschermen, en daar horen nu eenmaal spelregels bij. Het te allen tijde moeten kunnen herleiden van een handeling naar een persoon is er daar één van, vandaar dat je niemand anders onder jouw account mag laten werken – of spelen.

Volgende week komt er geen Security (b)log.

En in de grote boze buitenwereld …


... is de uitvinder van knippen/plakken overleden.
https://www.bright.nl/nieuws/artikel/5028186/uitvinder-copy-paste-larry-tesler-overleden-apple-xerox-pionier

... is de uitvinder van knippen/plakken overleden.
https://www.bright.nl/nieuws/artikel/5028186/uitvinder-copy-paste-larry-tesler-overleden-apple-xerox-pionier

... valt er weinig te gamen als de cloud uitvalt.
https://tweakers.net/nieuws/163598/storing-bij-ea-treft-multiplayergames-en-origin-dienst.html

... worden we steeds vaker aangevallen vanuit de publieke cloud.
https://www.helpnetsecurity.com/2020/02/21/high-risk-vulnerabilities-rise/

... wordt er in de cloud nogal wat verkeerd geconfigureerd.
https://www.helpnetsecurity.com/2020/02/20/cloud-misconfigurations/

... weet je niet of cloud-apps wel veilig met jouw bestanden omgaan.
https://www.darkreading.com/mobile/popular-mobile-document-management-apps-put-data-at-risk-/d/d-id/1337110

... kun je een echte kaars aansteken met je telefoon. Hoe veilig zou dat zijn?
https://www.schneier.com/blog/archives/2020/02/internet_of_thi.html

… mag je hopen dat de servers van jouw VPN wél goed beveiligd zijn.
https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/

... zegt Google dat de ToTok-app spyware bevat. Vervolgens zeggen de makers van de app tegen hun gebruikers dat ze de waarschuwing van Google maar moeten negeren.
https://www.grahamcluley.com/totok-chat-app-spyware/

... stellen CEO’s tegenwoordig moeilijkere vragen aan CISO’s dan alleen maar: “Zijn we goed beveiligd?”
https://www.darkreading.com/edge/theedge/10-tough-questions-ceos-are-asking-cisos-/b/d-id/1337083

... kan een ‘1’ je een heel ongemakkelijk gevoel geven.
https://tweakers.net/nieuws/163670/samsung-gebruikers-ontvangen-pushmelding-1-via-zoek-mijn-mobiel-app.html

... vertelt deze app je welke IoT-devices er in de buurt zijn en wat ze met jouw data doen.
https://cylab.cmu.edu/news/2020/02/19-privacy-assistant.html

... heeft het onderwijs in Limburg het de laatste tijd zwaar te verduren.
https://www.security.nl/posting/644875/Limburgs+Voortgezet+Onderwijs+getroffen+door+ransomware

... is het niet zo handig om de kantoorautomatisering van een gasfabriek aan de besturing van die fabriek te koppelen.
https://www.theregister.co.uk/2020/02/19/dhs_confirms_ransomware_attack/

... blijven hotels dankbare doelwitten voor hackers.
https://www.zdnet.com/article/exclusive-details-of-10-6-million-of-mgm-hotel-guests-posted-on-a-hacking-forum

... is social engineering ook dat je tienermeisjes inzet om soldaten van de vijand ertoe te verleiden om spyware op hun telefoon te installeren.
https://www.grahamcluley.com/teenage-girls-israeli-soldiers-malware/

... zijn vorig jaar alleen al in Nederland ruim vierduizend frauduleuze webwinkels offline gehaald.
https://tweakers.net/nieuws/163546/sidn-en-nl-registrars-haalden-vorig-jaar-4340-frauduleuze-webwinkels-offline.html


Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 14 februari 2020

Heel Holland


Heel Holland bakt rust op drie pijlers: receptuur, vakmanschap en jurering. De thuisbakkers tonen in de tent hoe goed ze in de eerste twee zijn; voor de derde zijn ze volledig afhankelijk van de smaak van de tweehoofdige jury.

Ik herken mijn eigen vak hierin (anders was ik er niet over begonnen). Een recept bestaat uit twee delen: de lijst van ingrediënten en de bereidingswijze. Onze ingrediënten zijn virusscanners, firewalls, authenticatie- en autorisatiesystemen, wet- en regelgeving, normenkaders en gedragsregels – en nog een heleboel meer dingen. De bereidingswijze geeft aan hoe je deze ingrediënten samen moet verwerken om tot het beste resultaat te komen. Zoals de bakker per recept bepaalt hoe hard zijn mixer moet draaien, zo moeten een virusscanner en een firewall geconfigureerd worden, zodat je in de gegeven omstandigheden tot het gewenste resultaat komt.

Ook het op de juiste wijze toepassen van wet- en regelgeving, normenkaders en gedragsregels hoort bij de bereidingswijze, maar dan zijn we inmiddels bij de tweede pijler aanbeland: vakmanschap. Tweehonderd gram bakmeel, boter en suiker afwegen lukt iedereen nog wel. Maar wat is de juiste manier om deze te mengen, en wanneer moeten de eieren erbij? En moet dat dan één voor één of allemaal tegelijk? Maakt het überhaupt iets uit? Het toepassen van onze beveiligingsregels werkt net zo. Als je een systeem beheert, dan moet je begrijpen wat zo’n regel in jouw context betekent, en hoe je haar naar dat systeem vertaalt. Als je eindgebruiker bent – en dat zijn we allemaal – dan moet je al die regels zien toe te passen op het gebruik van je laptop, tablet en telefoon. Hoe beter ons aller vakmanschap, hoe beter het resultaat wordt.

Een cake moet er niet alleen maar mooi uitzien, hij moet ook eetbaar (en bij voorkeur lekker) zijn. Als je er een dikke laag glazuur overheen gooit, dat ziet dat er misschien wel strak uit, maar het ding wordt er ook mierzoet van. Evenzo streven we niet naar maximale beveiliging, maar naar optimale beveiliging: je moet in de eerste plaats met een systeem kunnen werken, en dan op zo’n manier dat je beschermd bent tegen de specifieke dreigingen waar je mee te maken hebt. In de cake-analogie zou de bakker vanuit gebruiksgemak kunnen denken dat het handig is om de oven in de hoogste stand te zetten, omdat de cake dan lekker snel klaar is. Daardoor zal hij echter aan de buitenkant verbranden en binnenin niet gaar worden. De bakker kiest dus de optimale temperatuur, zodanig dat de binnenkant gaar is wanneer de buitenkant lekker bruin is.

In onze organisatie heb je vrije toegang tot het internet; we blokkeren alleen sites met een beveiligingsrisico en sites die in een categorie vallen die van hogerhand ongewenst is verklaard (gokken, porno, softwaredownloads, cloudopslag en zo). Je mag dus overal bij, tenzij het op de blacklist staat. Ben je echter bijvoorbeeld data-analist, waardoor je bij ‘veel’ gegevens kunt, dan is het omgedraaid: je mag alleen naar sites die op een whitelist staan, en de inhoud van die whitelist wordt getoetst. Andersom kan ook: in bepaalde functies moet je zelfs naar sites kunnen waar gewone medewerkers niets te zoeken hebben. En ook dat is mogelijk, maar dan verlangen we meer alertheid van de medewerker. Zo gaan technische en organisatorische maatregelen hand in hand.

In het tv-programma zie je dat de juryleden regelmatig al tijdens het bakken tips geven en soms zelfs in een pannetje staan te roeren, als een kandidaat even handen tekort komt. Voor de beveiligingsadviseur is dat de kern van zijn werk. We roepen niet achteraf als een jurylid bij een talentenjacht wat je allemaal fout hebt gedaan, maar we helpen je waar we kunnen om een goed resultaat te halen. Daarbij blijf jij wel baas in eigen keuken, of in organisatietaal: beveiliging is een lijnverantwoordelijkheid. Wij helpen je waar nodig aan ingrediënten en we verbreden en verdiepen waar nodig je vakmanschap met onze inzichten, bijvoorbeeld als het gaat om het interpreteren van regelgeving.

Is er dan geen jury die oordeelt over je prestaties op beveiligingsgebied? Maar wel degelijk: het management. Daar moesten ze in het begin nog wel aan wennen. Maar dat besef moet zo langzaamaan toch in iedere zichzelf respecterende organisatie zijn doorgedrongen. En anders helpen we ook op dát gebied graag een handje.

Neem nog een cookie.

En in de grote boze buitenwereld …


... draagt ook de ouderenbond een steentje bij in de bestrijding van WhatsApp-fraude.
https://www.anbo.nl/nieuws/anbo-wapent-ouderen-tegen-whatsapp-fraude

... maakt prof. Robbert Dijkgraaf zich zorgen over de manier waarop we met onze privacy omgaan.
https://twitter.com/Nieuwsuur/status/1225892293892362240

... konden de Duitse en Amerikaanse inlichtingendiensten decennialang wereldwijd inlichtingen verzamelen bij zowel vriend als vijand, dankzij afgezwakte crypto-algoritmes. Ook Nederland speelde hierin een rol.
·  Nederlands artikel: https://www.vpro.nl/argos/lees/nieuws/2020/cryptoleaks-geheime-evaluatierapporten-CIA-en-BND-uitgelekt.html#
·  Amerikaans artikel: https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage/

... moet je Emotet niet onderschatten.
https://www.helpnetsecurity.com/2020/02/12/emotet-malware/

... vormt ransomware een kostbaar probleem.
https://blog.emsisoft.com/en/35583/report-the-cost-of-ransomware-in-2020-a-country-by-country-analysis/

... gebruiken bedrijven andere beveiligingsproducten dan consumenten. AV-TEST testte vijftien corporate solutions.
https://www.av-test.org/en/news/15-corporate-solutions-put-to-an-endurance-test/

... verkoopt iemand openlijk ‘kastjes’ waarmee je auto’s kunt stelen. Heb je zo’n auto met keyless entry, berg dan thuis je sleutels (beide!) op in een gesloten blikje. Dat werkt als een kooi van Faraday, die geen radiostraling doorlaat.
https://www.vice.com/en_us/article/7kz48x/guy-selling-relay-attack-keyless-repeaters-to-steal-cars

... lees je hier de laatste DDoS-trends.
https://www.darkreading.com/threat-intelligence/ddos-attacks-nearly-double-between-q4-2018-and-q4-2019/d/d-id/1337052

... worden veel mensen digitaal gestalkt door hun (ex)partner.
https://www.rtlnieuws.nl/tech/artikel/5016606/stalkerware-duizenden-nederlanders-slachtoffer-bespioneerd-telefoon

... overleeft deze Android-malware zelfs een factory reset.
https://arstechnica.com/information-technology/2020/02/researcher-says-nasty-android-infection-survived-a-factory-reset/

... krijgt de verkoop van gebruikersgegevens door beveiligingsbedrijf Avast nog een staartje.
https://tweakers.net/nieuws/163422/tsjechische-privacyautoriteit-onderzoekt-verkoop-gebruikersdata-avast.html

... moest een sleutelceremonie voor digitale certificaten worden uitgesteld omdat een fysieke kluis, waarin wachtwoorden worden bewaard, niet kon worden geopend (boze tongen beweren dat de sleutel zoek is). Dit overkwam ICANN, de hoeder van het internet.
https://mm.icann.org/pipermail/root-dnssec-announce/2020/000121.html

... proberen nepwebshops je op te lichten. Tip uit dit artikel: betaal liever met een creditcard dan met iDeal, want dan kun je je geld terugvragen als het misgaat.
https://www.fraudehelpdesk.nl/fraude/voorkom-dat-u-opgelicht-wordt-door-een-webshop/

... misbruiken criminelen het coronavirus voor phishing-doeleinden.
https://www.grahamcluley.com/coronavirus-phishing-attack-cdc/

... gaat het Nederlands Security Meldpunt je benaderen als je een gehackt IoT-device hebt.
https://www.security.nl/posting/643279/Meldpunt+gaat+Nederlandse+slachtoffers+Mirai-botnet+informeren

... heeft zelfs Facebook een Twitter-account, en dat werd gehackt.
https://www.grahamcluley.com/facebooks-twitter-account-is-hijacked-by-notorious-ourmine-hacking-group/

Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 7 februari 2020

WhatsApp-fraude


Theo is ouder van een middelbare scholier. Samen met zijn collega-ouders zit Theo in een WhatsApp-groep, waarin op ouderlijk niveau het reilen en zeilen in de klas wordt besproken. Een van die ouders liet onlangs weten dat de groepsleden alle WhatsApp-berichten, die van haar account afkomstig waren, dienden te negeren. Haar account was namelijk gehackt.

“Hoe dan?!”, is de kreet die de jeugd in dergelijke situaties bezigt. Wel, er bestaat een vernuftige, doortrapte manier om WhatsApp-accounts te hacken. Onderstaande beschrijving is uiteraard niet bedoeld als recept, maar om je inzicht te geven in de manier waarop criminelen denken en handelen.

Om jouw account over te kunnen nemen moet de hacker om te beginnen jouw telefoonnummer weten. Dat kan niet al te moeilijk zijn. Vervolgens installeert hij WhatsApp op z’n eigen telefoon en vult daar jouw telefoonnummer in. Hij doet dus eigenlijk alsof jij de app op een nieuwe telefoon installeert. Omdat WhatsApp ook niet gek is, werken ze met een verificatiecode, die ze naar het opgegeven nummer appen. Dat sms’je komt natuurlijk niet bij de boef aan, maar bij jou, want in jouw eigen toestel zit de simkaart die aan dat telefoonnummer is gekoppeld. Hoe komt de hacker nu aan die code?

Als je WhatsApp installeert, kun je aangeven dat het sms’je met de code niet aankomt, en dat WhatsApp de code moet doorbellen. Je wordt dan door een computer gebeld die de code voorleest. Als je niet opneemt, dan wordt de code op je voicemail ingesproken. De hacker pleegt zijn coup op een moment dat jij de telefoon niet opneemt, bijvoorbeeld ’s nachts, zodat de gesproken code dus in jouw voicemail terechtkomt. Die voicemail kun je vanaf een ander toestel uitluisteren, maar daar heb je wel een pincode bij nodig. En de hacker weet dat die pincode vaak een standaardwaarde heeft (bijvoorbeeld 0000 of 1234) en dat veel mensen niet de moeite nemen om die te wijzigen. Als hij jouw voicemail belt en de juiste code raadt, dan krijgt hij de code voor het installeren van WhatsApp in handen en kaapt daarmee jouw account. Vervolgens stelt hij ook nog tweefactorauthenticatie (2FA) in, zodat jij je account niet terug kunt krijgen. (2FA zorgt ervoor dat je, om toegang te krijgen, niet kunt volstaan met een pincode of wachtwoord, maar ook nog iets in je bezit moet hebben – in het geval van sms is dat het toestel waarop het sms’je binnenkomt).

Maar waarom zou iemand dat willen? Omdat er geld in jouw account zit. Stel je voor: de hacker kan zich als jou voordoen én hij heeft toegang tot jouw WhatsApp-contacten. Die contacten kunnen dan een bericht als dit verwachten: “Hoi, ik zit in het buitenland in de problemen en ik heb dringend geld nodig dat ik niet op mijn eigen rekening heb staan. Zou jij me asjeblieft uit de brand kunnen helpen? Je krijgt het geld natuurlijk meteen terug als ik weer thuis ben. Mijn rekeningnummer is (…) Ik zal je eeuwig dankbaar zijn!” En zo proberen criminelen – want dat zijn het – onder dekking van jouw identiteit aan geld te komen. Vorig jaar heeft deze fraude in Nederland ruim een miljoen euro opgeleverd. Een tweede inkomstenbron is trouwens het terugverkopen van accounts aan slachtoffers.

Om jezelf tegen deze aanval te beschermen moet je vier dingen doen: 
  1. Stel zélf 2FA in op je WhatsApp-account (Instellingen à Account à Verificatie in twee stappen).
  2. Voorzie je voicemail van een fatsoenlijke pincode. Oók als je nooit gebruik maakt van je voicemail.
  3. Vraagt iemand om geld via een appje, sms’je of mailtje? Neem dan altijd eerst langs een andere weg contact op, bijvoorbeeld door die persoon te bellen.
  4. Nooit ingaan op verzoeken om een ‘per ongeluk naar jou gestuurde code’ door te geven. Dat is namelijk de simpele methode om hetzelfde te bereiken als met het kraken van je voicemail.

De laatste tijd is er overigens wat commotie over sms als middel voor 2FA, vooral sinds in de VS iemand heeft geroepen dat je sms-2FA moet uitschakelen omdat het niet veilig is. Het klopt dat sms niet volledig veilig is: sms kan worden afgeluisterd. Maar ook al is het niet waterdicht, het is wel degelijk een extra barrière die lang niet iedere aanvaller weet te slechten. 2FA op basis van sms is altijd veiliger dan geen 2FA. En als je toch bezig bent, stel dan 2FA meteen in voor alle accounts waarbij dat mogelijk is, dus niet alleen bij WhatsApp.

En in de grote boze buitenwereld …


... kon je telefoonnummer door een fout bij Twitter uitlekken.
https://www.grahamcluley.com/twitter-security-hole-allowed-state-sponsored-hackers-to-match-phone-numbers-to-usernames/

... praat deze blog je bij over business email compromise.
https://peterzinn.nl/2020/02/03/business-email-compromise-wie-is-nou-het-slachtoffer/

... kan de vorige eigenaar van jouw auto jou misschien nog volgen en de auto bedienen.
https://krebsonsecurity.com/2020/02/when-your-used-car-is-a-little-too-mobile/

... zijn er natuurlijk nog veel meer IoT-apparaten die niet afdoende beveiligd zijn.
https://www.bleepingcomputer.com/news/security/bug-in-philips-smart-light-allows-hopping-to-devices-on-the-network/

... voert de overheid een campagne om IoT-veiligheid te verbeteren met de slogan ‘even je updates checken, voordat ze je hacken’. Ik ben alleen bang dat weinig mensen iets kunnen met de gegeven aanwijzingen.
https://veiliginternetten.nl/doejeupdates/

... vragen een aantal Android-apps van Chinese makelij om veel te uitgebreide permissies. Wil je controleren welke permissies een app heeft? Druk dan lang op het icoontje, kies App-info en vervolgens Machtigingen. Of bekijk per machtiging aan welke apps die is verleend via Instellingen à Apps en meldingen à App-machtigingen.
https://www.darkreading.com/threat-intelligence/researchers-find-24-dangerous-android-apps-with-382m-installs/d/d-id/1336949

... verzetten kinderorganisaties zich tegen het voornemen van Facebook om berichtendiensten te versleutelen. (De in het artikel gebruikte term ‘e2e-versleuteling’ staat voor ‘end-to-end versleuteling’. Hiermee wordt bedoeld dat berichten op het volledige pad tussen verzender en ontvanger versleuteld zijn, waardoor niemand kan meelezen.)
https://tweakers.net/nieuws/163210/kinderorganisaties-vragen-facebook-berichten-niet-e2e-te-versleutelen.html

... steeg het aantal datalekmeldingen vorig jaar spectaculair.
https://www.nu.nl/tech/6028787/autoriteit-persoonsgegevens-29-procent-meer-datalekmeldingen-in-2019.html

... zorgde één medewerker er met één muisklik voor dat de Universiteit Maastricht een woelige kerst beleefde.
https://nos.nl/artikel/2321749-hoe-een-phishingmail-in-oktober-met-kerst-de-universiteit-platlegde.html

... heeft de Universiteit Maastricht het rapport van Fox-IT over de ransomware-aanval gepubliceerd, voorzien van een eigen reactie.
https://www.maastrichtuniversity.nl/file/49723/download?token=jixVttSt

... stuurde Google persoonlijke video’s naar de verkeerde personen.
https://tweakers.net/nieuws/163074/google-stuurde-videos-uit-fotos-app-bij-exporteren-naar-verkeerde-gebruikers.html

... kun je op Google Maps je eigen file creëren (stilstaande auto’s, niet het Engelse woord voor ‘bestand’). Heb je wel flink wat telefoons voor nodig.
https://www.wired.com/story/99-phones-fake-google-maps-traffic-jam/

... rotzooit deze ransomware ook nog eens met kritieke infrastructuur.
https://arstechnica.com/information-technology/2020/02/new-ransomware-intentionally-meddles-with-critical-infrastructure


Gepost door op Geen opmerkingen:
Labels: , , , , ,
Abonneren op: Posts (Atom)