vrijdag 24 april 2020

Boeken


Mijn blik dwaalde tijdens het werken af naar de Plank met Ongelezen Boeken. Daar staat een boek waarvan de titel in het huidige tijdsgewricht onmiddellijk de aandacht trekt: The new normal van de Nederlands-Belgische technoloog Peter Hinssen uit 2010. Wist deze veelgevraagde spreker tien jaar geleden al wat ons te wachten stond? Nee hoor, kijk maar naar de ondertitel van zijn boek: Explore the limits of the digital world. Voor hem is het nieuwe normaal niet de anderhalvemetersamenleving, maar de digitale samenleving. Maar deze beide ontwikkelingen gaan wel hand in hand: doordat we die digitale samenleving hebben, kunnen we thuis werken en vergaderen, en zo de 1,5msl ondersteunen.

Daar naast staat een boek waarvan de titel eveneens goed in de actuele tijdgeest past: De wereld breekt open uit 2011 van de Twentse futuroloog Wim de Ridder, met een eveneens intrigerende ondertitel: Strategisch inspelen op de nieuwe tijd. De achterflap belooft dat het boek ons leert om “de chaotische beelden die ons elke dag bereiken te analyseren met behulp van eenvoudige regels”. Daarbij volgt de auteur het motto van Picasso: “Ik zoek niet, ik vind.” En dat doet me weer denken aan de beroemde uitspraak van Michelangelo: het beeldhouwwerk zit al in de steen, ik hoef alleen maar nog het overtollige materiaal weg te halen.

Ik heb deze boeken omdat mijn werkgever vroeger evenementen organiseerde waarop thought leaders (of voor de jongeren onder ons: influencers) inspirerende lezingen gaven. Aan het einde van de dag mocht je een boek uitzoeken van de spreker die jou het meeste had, tja, aangesproken. Kennelijk hebben Hinssen en De Ridder destijds veel indruk op mij gemaakt.

Die boekenplank bevat nog meer boeken. Zoals bijvoorbeeld het standaardwerk voor mijn vakgebied van Paul Overbeek, Edo Roos Lindgreen en Marcel Spruit: Informatiebeveiliging onder controle. Dat boek heb ik overigens wél gelezen. Met Paul heb ik lang geleden samengewerkt aan projecten en Marcel heb ik ook al diverse keren ontmoet, dat schept toch een extra band met zo’n boek.

Zo’n extra band is er ook met Digitale stormvloed van Brenno de Winter, want mijn exemplaar van dat boek is gesigneerd én bevat een mooie opdracht. Ik ontving het boek uit handen van de auteur in de statige Presidentenzaal van De Nederlandsche Bank, waar wij drie jaar geleden allebei een presentatie mochten verzorgen op een middag voor CIO’s (Chief Information Officers) van diverse eerbiedwaardige instituten. Toch staat ook dit boek ongelezen op de plank, want de presentatie van Brenno was opgehangen aan de inhoud van dat boek – ik hoef het dus helemaal niet meer te lezen, houd ik mezelf voor, al zou ik het voor de nodige verdieping best willen. Maar daarover straks meer. Overigens zie ik net op de achterkant van het boek een aanbeveling van Willem Vermeend staan en dat is met de kennis van nu toch een minpuntje, want Vermeend heeft zich ingelaten met cybercharlatan Rian van Rijbroek. Maar daar kan Brenno ook niets aan doen – hij zat toevallig bij dezelfde uitgever als dat illustere duo.

Eveneens met nog ongebroken rug staat op die plank Helpende hackers van Chris van ’t Hof. Dit boek gaat over ethisch hacken, dat het tegenovergestelde is van waar je meestal aan denkt bij hacken: criminele activiteiten. Ethisch hacken houdt in dat je volgens bepaalde regels op zoek gaat naar beveiligingslekken om die vervolgens op verantwoorde wijze te melden. Dat boek moet ik toch echt eens gaan lezen, het schijnt geweldig te zijn.

Ik houd nog een plekje op de plank vrij voor een boek dat ik eigenlijk onlangs op een congres had moet ontvangen: Het is oorlog maar niemand die het ziet van Volkskrantjournalist Huib Modderkolk, over de samenleving die zwaar op techniek leunt en daardoor kwetsbaar is. Wat staten daar allemaal uitspoken om burgers en bedrijven te controleren en te saboteren is net zo onzichtbaar als dat virus dat ervoor zorgde dat mijn blik kon afdwalen naar die ene boekenplank. Hopelijk kan dat lege plekje later dit jaar alsnog opgevuld worden.

Waarom ik die boeken nog niet heb gelezen? Tja, het past niet in mijn dagritme. Ik lees veel artikelen en dan blijft er weinig tijd over voor boeken. Die komen pas in bed aan de beurt, tien minuutjes voor het slapen gaan. Dan lees ik vanaf de e-reader, dat is zeker in een liggende houding zoveel makkelijker dan een papieren boek. En wat ik dan lees is fictie.

Soms maak ik op beide punten een uitzondering: laatst las ik een fysiek non-fictie boek over reizen naar Mars, dat ik cadeau had gekregen. Misschien moet ik maar wat vaker zo’n uitzondering maken, want zeker die boeken van De Winter en Van ’t Hof vragen er gewoon om om gelezen te worden. Maar die managementboeken uit de eerste beide alinea’s  zijn toch echt niet zo aan mij besteed – ik laat het maar bij de lezingen van de auteurs. Overigens had ik aan het begin van deze thuiswerkmarathon stiekem de stille hoop dat ik tijd over zou houden voor dingen waar ik anders nooit aan toekwam, zoals bijvoorbeeld eens zo’n boek lezen. Vooralsnog souperen het gewone werk en het extra corona-gerelateerde werk mijn veertig uur volledig op. Mocht jij wel tijd over hebben: bij deze heb je mijn leestips!

En in de grote boze buitenwereld …


… is je iPhone lek: via een mailtje dat je niet eens hoeft te openen heeft een aanvaller toegang tot je e-mail en mogelijk nog meer.
https://tweakers.net/nieuws/166270/lek-in-ios-geeft-toegang-tot-apparaat-via-ongeopende-mail.html

... ruziën Apple en de ontdekker van die kwetsbaarheid over de vraag of er al daadwerkelijk misbruik wordt gemaakt van de fout in de mail-app.
https://www.reuters.com/article/us-apple-cyber-idUSKCN2260F0

... trapt soms zelfs een door de wol geverfde informatiebeveiliger in een telefoon-scam.
https://krebsonsecurity.com/2020/04/when-in-doubt-hang-up-look-up-call-back/

... ontleedt dit artikel Bluetooth als vehikel voor corona-apps.
https://www.wired.com/story/apple-google-contact-tracing-strengths-weaknesses/

... hebben de veiligheidsdiensten naar de pers gelekt dat ze het veel te snel vinden gaan, met die corona-app.
https://nos.nl/artikel/2331107-veiligheidsdiensten-waarschuwden-ministerie-om-corona-app.html

... vindt de Autoriteit Persoonsgegevens het tot nu toe ook maar niks.
https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-privacy-corona-apps-niet-aangetoond

... sluiten Belgische wetenschappers aan in dit rijtje.
https://tweakers.net/nieuws/166098/belgische-wetenschappers-waarschuwen-in-open-brief-voor-gevaren-van-corona-apps.html

... kan een app tegenwoordig al data lekken als hij nog helemaal niet echt bestaat. Maar bovendien: waarom staan persoonsgegevens van tweeduizend mensen in broncode?
https://www.nu.nl/tech/6045744/binnen-24-uur-datalek-ontdekt-bij-een-van-de-mogelijke-corona-apps.html

... is dit een mooi inkijkje in hoe malware-schrijvers en -speurders te werk gaan.
https://tech.firstlook.media/reverse-engineering-obfuscated-excel-4-macro-malware

... roept minister Grapperhaus verzekeraars op om losgeld voor ransomware niet meer te vergoeden.
https://www.nu.nl/tech/6046484/grapperhaus-vraagt-verzekeraars-geen-losgeld-voor-ransomware-te-vergoeden.html

... zijn de grenscontrolesystemen van de marechaussee op Schiphol slecht beveiligd.
https://tweakers.net/nieuws/166092/rekenkamer-grenscontrole-schiphol-is-slecht-beveiligd-tegen-cyberaanvallen.html

... omvat bescherming van persoonsgegevens meer dan alleen maar privacy.
https://blog.iusmentis.com/2020/04/20/inderdaad-bescherming-van-persoonsgegevens-gaat-over-veel-meer-dan-privacy/





Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 17 april 2020

Monitoring


Vroeger, toen we nog op kantoor werkten, doolde ik regelmatig door de gebouwen en zag dan  talloze collega’s min of meer ijverig aan het werk. Ik kwam ook wel eens langs een kamertje waarin op een van de beeldschermen soms iets te zien was wat je in deze omgeving niet zo snel verwacht: Candy Crush.

Voor wie Candy Crush niet kent: het is een computerspelletje, waarin je verschillende soorten snoepjes moet verschuiven om rijtjes van dezelfde snoepjes te maken om ze weg te spelen. Waarschijnlijk schiet ik tekort in deze omschrijving, maar ik heb er zelf geen ervaring mee en moest even spieken op Wikipedia.

Het gaf me een geruststellend gevoel als ik Candy Crush op dat scherm zag. De bijbehorende collega is namelijk een systeembeheerder. En als een beheerder tijd heeft om een spelletje te spelen, dan kan het niet anders dan dat op zijn systeem alle metertjes in het groen staan. Ook de beveiligingsmetertjes – vandaar mijn tevredenheid.

Uiteraard is dat gevoel gebaseerd op aannames. Bijvoorbeeld de aanname dat die beheerder een rol heeft in het monitoren van de metertjes. En dat hij, als zo’n metertje afwijkt van de gewenste stand, de hele zak snoepjes aan de kant gooit en in actie komt om dat metertje zo snel mogelijk weer in het groen te krijgen.

Waarschijnlijk schets ik een veel te romantisch – ouderwets? – beeld van hoe monitoring in z’n werk gaat. Daar hebben we namelijk al jarenlang event management voor, nietwaar? Een verregaand geautomatiseerd proces dat alles in de gaten houdt en vanzelf piept als een metertje in het rood staat. En zelfs dat is soms geautomatiseerd op te lossen. Mensen komen er alleen nog aan te pas als er écht iets aan de hand is wat alleen door mensen kan worden opgelost. En met die steeds slimmer wordende computers zal dat ook wel steeds minder worden.

Soms wordt er ook wat te gemakkelijk over monitoring gedacht. Dat merk je als je met beheerteams praat over eisen die aan logging worden gesteld. Dat gaat er dan over welke gegevens allemaal worden vastgelegd over een handeling: wie heeft waar en wanneer wat waarmee gedaan, en wat was daar het resultaat van – en vaak nog heel wat meer dingen. Dat hebben ze meestal wel goed voor mekaar. Het wordt al wat spannender als je vraagt hoe lang die gegevens worden bewaard. Meestal wordt dan verwezen naar de standaard bewaartermijn die in de SIEM-tool (Security Information and Event Management) is ingesteld.

Maar als je dan vraagt wat er met al die logging gedaan wordt, dan blijft het vaak stil. Vaak wordt logging gezien als iets wat je bewaart voor het geval dat je het misschien een keertje nodig hebt, bijvoorbeeld voor forensisch onderzoek. Daarbij wordt over het hoofd gezien dat zo’n SIEM geen domme vergaarbak is waar je zomaar alles in dumpt, maar een best wel intelligent systeem dat chocola kan maken van die brij aan gegevens.

Laat ik een eenvoudig voorbeeld geven. Als een login mislukt omdat de gebruiker een verkeerd wachtwoord invoert, dan wordt dat gelogd. Dat is verder niet spannend, we vergissen ons allemaal wel een keer. Maar wat als dit tien, honderd of vele malen meer achter elkaar gebeurt? Niet erg, zul je zeggen, dan wordt dat account in veel systemen geblokkeerd, omdat er sprake zou kunnen zijn van een hackpoging. Ja, dat klopt. Maar zou het niet ook handig zijn om te signaleren dat dit is gebeurd, zodat kan worden onderzocht wat er aan de hand is? Ik ken een geval waarin een gebruiker er daadwerkelijk in slaagde om tientallen keren een foutief wachtwoord te proberen, maar dat is toch echt de uitzondering. Doorgaans is er meer aan de hand als zoiets gebeurt. En dat wil je weten.

Maar dat gaat niet vanzelf. Je moet je SIEM vertellen wat je eruit wilt krijgen. Dat kan je mooie rapportages en dashboards opleveren die het gemakkelijker maken om in control te zijn. Relevante gebeurtenissen definiëren, daar draait het om. En natuurlijk moet je organisatie er dan ook op zijn ingericht om de output van de SIEM-tool aan te nemen en erop te acteren. Dat lijkt in eerste instantie meer werk op te leveren, maar uiteindelijk kan het je werk – en ellende – besparen doordat je proactief werkt. En dan is er misschien tijd over voor een potje Candy Crush.

En in de grote boze buitenwereld …


... hebben de AIVD en de MIVD in het afgelopen jaar ruim honderd keer onrechtmatig toestemming gekregen om bijzondere bevoegdheden in het kader van Wet op de inlichtingen- en veiligheidsdiensten in te zetten.
https://www.tib-ivd.nl/actueel/nieuws/2020/04/16/verkort-jaarverslag-2019-2020

... is er ontzettend veel corona-gerelateerde phishing in omloop.
https://www.nu.nl/tech/6045322/gmail-blokkeert-dagelijks-18-miljoen-nepmails-over-het-coronavirus.html

... melden Nederlandse banken een verdubbeling van de schade door phishing in het afgelopen jaar.
https://www.security.nl/posting/652675/Nederlandse+banken+zien+schade+door+phishing+verdubbelen

... zitten vier personen achter slot en grendel op verdenking van smishing.
https://www.security.nl/posting/652630/Politie+houdt+vier+verdachten+aan+voor+betrokkenheid+bij+sms-phishing

... biedt de Autoriteit Persoonsgegevens hulp bij het kiezen van een videobel-app, uiteraard vanuit het oogpunt van privacy.
https://autoriteitpersoonsgegevens.nl/nl/nieuws/keuzehulp-privacy-bij-videobel-apps

... krijgen zowel iPhones als Android-toestellen ingebouwde corona-tracking.
https://www.technologyreview.com/2020/04/10/999213/apple-and-google-are-building-coronavirus-tracking-into-ios-and-android

... keren tientallen Nederlandse wetenschappers zich tegen een corona-app.
https://tweakers.net/nieuws/165836/wetenschappers-waarschuwen-in-brandbrief-voor-gevaren-van-corona-apps.html

... publiceert de overheid dit weekend de broncode van een aantal corona-apps, zodat iedereen er onderzoek naar kan doen.
https://www.security.nl/posting/652536/Overheid+maakt+komend+weekend+broncode+geselecteerde+%27corona-apps%27+openbaar

... worstelen ze aan de overkant van de Noordzee ook nog met hun corona-app.
https://www.theguardian.com/politics/2020/apr/12/uk-app-to-track-coronavirus-spread-to-be-launched?CMP=Share_AndroidApp_Tweet

... geeft deze Britse professor zijn mening over corona-apps.
https://www.lightbluetouchpaper.org/2020/04/12/contact-tracing-in-the-real-world/

... heeft de politie vijftien DDoS-‘dienstverleners’ ontmanteld.
https://www.darkreading.com/vulnerabilities---threats/dutch-police-shut-down-15-ddos-for-hire-services/d/d-id/1337551

... willen de Amerikanen erg graag weten wat Noord-Korea uitspookt op cybergebied.
https://www.security.nl/posting/652586/VS+looft+5+miljoen+dollar+uit+voor+informatie+over+Noord-Koreaanse+cyberoperaties







Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 10 april 2020

Corona-app


“Je geld of je leven!” Voor de meeste mensen zal dit nauwelijks een dilemma zijn – als de overvaller er ook maar een beetje overtuigend uitziet, dan trekken ze onmiddellijk hun portemonnee als deze klassieke zin wordt uitgesproken. Deze week leek zich een ander of-zinnetje aan te dienen: “Je privacy of je leven!”

Afgelopen dinsdag maakte minister De Jonge bekend dat de overheid erover denkt om een app te introduceren die moet helpen om de verspreiding van corona verder in te dammen. Het komt er in het kort op neer dat jouw telefoon onthoudt welke andere telefoons hij heeft ontmoet. Als je iemand bent tegengekomen die corona heeft, dan waarschuwt de app je en kun je maatregelen treffen.

Dat roept onmiddellijk privacyvragen op. Want hoe gaan ze dat doen? Ik heb in de afgelopen week heel wat berichten en artikelen hierover gelezen en om maar meteen al de conclusie weg te geven: het lijkt mee te vallen. Want wat we hier sowieso niet gaan doen is wat ze in China wel doen: als je geen groen scherm in de corona-app kunt tonen, dan kom je je wijk niet uit – zonder dat je te horen krijgt waarom je een oranje of rood scherm hebt. In dat land was de overheid toch al dol op mass surveillance, en het virus geeft ze een legitiem doel daarvoor. Hier te lande meldde de Autoriteit Persoonsgegevens al strijdlustig dat de corona-app eerst langs hen moet.

Er kwamen allerlei spontane ideeën langs. De meer exotische suggesties gingen uit van het inbouwen van een speciale traceringsfunctie in Android en iOS, of van een speciale versie van Pokémon GO. Ook verstrekking van locatiegegevens door telecomproviders is een optie – die weten immers via hun gsm-masten vrij precies welke telefoon zich waar bevindt. De race wordt echter op dit moment geleid door bluetooth, de technologie die je normaliter gebruikt om je telefoon aan je draadloze oortjes of smartwatch te koppelen. In het kort: de app zendt de unieke, anonieme bluetoothcode van jouw telefoon uit en andere telefoons pikken die op (de reikwijdte van bluetooth is zo’n tien meter). De app slaat alle opgevangen codes op de telefoon zelf op – daarvoor is geen centrale database nodig. Als iemand in zijn app aangeeft dat hij corona heeft, dan wordt zijn bluetoothcode via een centrale computer kenbaar gemaakt aan alle andere gebruikers. De app op hun toestel kijkt vervolgens of de gepubliceerde code in hun eigen lijstje voorkomt. Zo ja, dan waarschuwt de app je dat je in de buurt van een coronapatiënt bent geweest. Die centrale computer bevat geen gevoelige informatie, alleen een lijstje met anonieme bluetoothcodes. Je krijgt dus ook niet te horen wanneer en waar je de patiënt tegenkwam en al helemaal niet wie het was.

Een dergelijk systeem is niet feilloos. Er kunnen bijvoorbeeld false positives ontstaan: jij zit achter de geraniums en buiten loopt iemand langs die besmet is. Bluetooth gaat door het raam en registreert het contact, maar het virus blijft netjes buiten. Andersom kunnen ook false negatives voorkomen: je pakt een deurklink beet waar een minuut geleden een besmet persoon aan heeft gezeten. Die persoon is al lang weg – en dus ook zijn bluetooth-signaal – maar ondertussen raak jij via die klink wel besmet. En wat als iemand ‘voor de grap’ in de app aangeeft dat hij besmet is? Dat soort idioten zijn er altijd. Je zou dit probleem kunnen ondervangen door de ik-ben-besmet-status alleen te kunnen activeren met een code van de GGD, zo wordt geopperd.

Wat mij wel zorgen baarde, was de reactie van De Jonge op de vraag van een journalist of de app verplicht wordt. Ik had een fel en onomwonden “Nee, natuurlijk niet, dit is Nederland!” verwacht, maar dat bleef uit. In plaats daarvan legde hij uit dat het belangrijk is dat zoveel mogelijk mensen de app gaan gebruiken, en dat nog wordt onderzocht hoe dat kan worden bewerkstelligd. Volgens een enquête van De Stentor hoeft hij zich hierover geen zorgen te maken, want driekwart van de vijfduizend respondenten gaf aan concessies te willen doen als ze moeten kiezen tussen “dood of minder privacy”. Je mag verwachten dat nog veel meer mensen de app willen installeren als onafhankelijke deskundigen kunnen betuigen dat de uiteindelijke app geen enkele inbreuk op je privacy maakt. Volgens Brits onderzoek kan een app effectief werken als minimaal zestig procent van de bevolking hem gebruikt.

Stel even dat de app wél verplicht wordt gesteld. Hoe moet ik dat dan voor me zien? Mag je alleen de straat op als je de app hebt? Hoe moet dat met digibeten, of met mensen waarvan het telefoongeheugen chronisch voor 99% vol is? En hoe moet ik de handhaving voor me zien? Een agent of BOA op iedere straathoek? Nee, verplichting is een onzalig en onhaalbaar idee dat niet in de Nederlandse cultuur past.

Als die app er dan komt, dan is dat een aanvulling op de bestaande maatregelen – je weet wel, anderhalve meter en zo. Ik ben een beetje bang dat mensen de app als vervanging van die maatregelen gaan zien, waardoor schijnveiligheid ontstaat. Zoals bij alle beveiligingsmaatregelen geldt ook hier dat goede communicatie van het grootste belang is. Dat wordt trouwens een flinke uitdaging: iedereen moet kunnen begrijpen hoe de app werkt. Je kunt dus geen technisch verhaal ophangen, terwijl je dat wel zou willen doen om aan te tonen dat de app geen bedreiging voor de privacy is. Ik pleitte al eerder voor vertrouwen in onze deskundigen, en dat is ook hier weer op z’n plaats. Mocht er een app uit de bus komen die niet deugt, dan horen we dat óók. Dit is Nederland.

En in de grote boze buitenwereld …


... heeft een gelegenheidscoalitie van wetenschappers, belangenverenigingen en betrokken individuen tien heldere regels geformuleerd waaraan de corona-app vanuit privacyperspectief moet voldoen.
https://www.veiligtegencorona.nl

... slaapt de voorzitter van de Autoriteit Persoonsgegevens slecht van alle mogelijkheden die een corona-app zou kunnen bieden.
https://www.security.nl/posting/651634/AP-voorzitter%3A+oppassen+dat+coronabestrijding+geen+Trojaans+paard+wordt

... hield de minister in de Tweede Kamer nog even een slag om de arm toen het ging over het verplichten van de corona-app. Intussen gaan de reaguurders flink los onder dit artikel: “Als ze het verplichten gooi ik mijn smartphone weg.” Ik zeg: bluf.
https://www.security.nl/posting/651478/Minister+wil+dat+60+procent+van+de+bevolking+contact-tracing+app+installeert

... is deze Nederlander in Singapore wel blij dat daar zo’n app bestaat, al is die een stuk minder privacyvriendelijk dan wat we hier verwachten.
https://www.dvhn.nl/drenthe/In-Singapore-gebruiken-ze-al-een-corona-app.-Deze-Drent-woont-er-Als-je-een-melding-negeert-staat-daar-een-dikke-boete-of-celstraf-op-25544017.html

... mogen de huisartsenpost en de spoedeisende hulp jouw medische gegevens momenteel ook inzien als je daar niet expliciet toestemming voor hebt gegeven.
https://www.volgjezorg.nl/corona-opt

... kostte deze ransomware-aanval ruim twee miljoen euro.
https://www.nu.nl/tech/6043861/gwk-travelex-betaalde-23-miljoen-dollar-losgeld-na-digitale-gijzeling.html

... trekt WhatsApp ten strijde tegen de verspreiding van kettingbrieven.
https://blog.whatsapp.com/Keeping-WhatsApp-Personal-and-Private

... houdt Zoom de gemoederen nog steeds bezig.
https://www.wired.com/story/zoom-backlash-zero-days/

... kun je Zoom ook weer niet van alles de schuld geven. Voor sommige dingen is de gebruiker gewoon zelf verantwoordelijk.
https://www.security.nl/posting/651180/Duizenden+opgenomen+Zoom-meetings+onbeveiligd+door+gebruikers+opgeslagen

… is het een uitdaging om thuiswerken veilig te houden.
https://nos.nl/artikel/2329405-iedereen-thuis-aan-het-werk-computerbeveiligers-krijgen-er-nachtmerries-van.html

... bepleit de internetjurist het gebruik van Europese videovergadersoftware.
https://blog.iusmentis.com/2020/04/07/misschien-is-nu-het-moment-om-gewoon-alleen-nog-europese-videovergadersoftware-te-gebruiken/

... kun je de vingerafdrukscanner van je telefoon, tablet of laptop maar beter uitschakelen als je rekening moet houden met statelijke of criminele actoren.
https://www.security.nl/posting/651415/Onderzoekers+omzeilen+vingerafdrukscanners+met+nagemaakte+vingerafdrukken

... moet je soms een domeinnaam kopen om de wereld te beschermen.
https://www.security.nl/posting/650996/Microsoft+koopt+domein+Corp_com+om+klanten+te+beschermen


Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 3 april 2020

Probeer te begrijpen


“Ach, stel je toch niet zo aan!” Je kunt het je bijna niet voorstellen, maar er zijn dus mensen die dat tegen je zeggen als je ze in de supermarkt maant om afstand te houden. Die nog steeds de urgentie van de ons opgelegde maatregelen niet snappen, of ‘gewoon’ zo recalcitrant zijn dat ze er zich per definitie niet aan houden. Deze mensen waren vroeger waarschijnlijk de klier van hun klas. Overigens gedragen ook sommige ouderen zich zo. Kunnen zij het niet verkroppen dat ze extra kwetsbaar zijn voor het virus?

In de informatiebeveiliging spreken we van een kwetsbaarheid als een systeem een fout bevat, die misbruikt zou kunnen worden om dat systeem aan te vallen. De gangbare Engelse term hiervoor is vulnerability. Als iemand zo’n kwetsbaarheid heeft ontdekt, dan kan hij op zoek gaan naar een manier om die kwetsbaarheid uit te buiten; heeft hij daar eenmaal een programma voor gemaakt, dan is er sprake van een exploit (spreek uit: eksploit). En als de aanvaller sneller een exploit heeft dan dat de ontwikkelaar/fabrikant van het systeem een oplossing (een patch) voor de kwetsbaarheid heeft, dan is er sprake van een zero-day exploit. ‘Dag nul’ staat hierin voor de dag waarop de ontwikkelaar kennisneemt van de kwetsbaarheid, bijvoorbeeld doordat een ethische hacker hem erop wijst.

De mens blijkt kwetsbaar te zijn voor het COVID-19-virus. De natuur (ik gebruik deze term bij gebrek aan iets beters) heeft een exploit ontwikkeld en voert nu een 0-day-aanval op ons uit – we hebben immers nog geen medicijn of vaccin ertegen. De parallellen tussen mijn vak en het echte leven zijn soms stuitend.

Maar daar wilde ik het helemaal niet over hebben. Ik werd alleen even getriggerd door het woord ‘kwetsbaar’ in de eerste alinea.

Als mensen zich niet aan regels houden omdat ze ze niet begrijpen, dan moet degene, die de regel wenst te handhaven, ze beter uitleggen. Ik zou overigens niet zo een-twee-drie weten hoe je het belang van anderhalve meter afstand houden nóg beter kunt uitleggen dan de premier en het RIVM het al doen. Als je het nu nog niet begrijpt, dan begrijp ik jou niet meer.

Je wilt dat mensen de regels snappen, waardoor ze zich als het ware verplicht voelen om zich eraan te houden. Op sommige delen van de Duitse snelwegen geldt ’s nachts een snelheidsbeperking. Op een onderbord staan de tijden en de aanduiding ‘Lärmschutz’. Vooral het woord ‘Schutz’ hierin is sterk: het betekent bescherming (en ‘Lärm’ is lawaai). Er wordt dus geappelleerd aan het empathisch vermogen van de voortrazende automobilist: joh, we moeten de mensen die hier wonen beschermen tegen teveel herrie, ook zij willen rustig kunnen slapen.

Mij bereiken wel eens signalen van de werkvloer over het laconiek omgaan met regelgeving. Zo van: ik ben niet overtuigd van nut & noodzaak van deze regel en dus houd ik mij er niet aan. Deze mensen, die wel op de hoogte zijn van de regels, maar er niet aan wíllen voldoen, zijn het moeilijkst te bereiken. Ook de groep weet niet & wil niet is lastig. Daarom wordt wel eens bepleit om deze groepen links te laten liggen en je aandacht te richten op hen die welwillend zijn maar de regels nog niet kennen – daar kun je de grootste winst behalen, dat is het laaghangende fruit. Ik heb echter de ambitie om iedereen binnenboord te brengen en te houden. Dat ik daar niet volledig in zal slagen weet ik ook wel, maar ik laat me daardoor niet tegenhouden – ik wil niemand opgeven.

Iemand, die een bepaalde regel niet begrijpt, kan natuurlijk ook zelf op onderzoek uitgaan. Moeite doen om de regel wél te begrijpen. Je hebt ook een zekere haalplicht, ter aanvulling van de brengplicht van de deskundigen. Bekijk bijvoorbeeld eens wat satellietfoto’s om te zien hoe dicht die mensen wel niet bij de snelweg wonen. Of vraag aan een deskundige waarom het verstandig om die ene spreadsheet met zeer gevoelige informatie, ondanks dat zij veilig in je datacenter is opgeslagen, tóch extra te beveiligen met een wachtwoord.

Voor mij ben je niet dom als je niet weet in welk jaar de Slag bij Nieuwpoort plaatsvond, of als je Novosibirsk niet op de kaart kunt aanwijzen. Maar als je lak hebt aan zeer urgente maatregelen, die echt van levensbelang zijn en ook nog eens uitstekend worden uitgelegd, dan behoud ik mij het recht voor om je dom te vinden. 

En in de grote boze buitenwereld …


... ontdekte onlangs iemand een zero-day vulnerability in de Safari-browser: een aanvaller kon je camera aanzetten. Hij meldde dit netjes aan Apple en verdiende er een bom duiten mee.
https://www.ryanpickren.com/webcam-hacking-overview

... waarschuwt de politie voor coronacybercriminaliteit.
https://www.politie.nl/nieuws/2020/maart/31/cybercriminelen-spelen-in-op-coronavirus.html

... regende het deze week berichten over Zoom. Veel daarvan gingen over de krakkemikkige beveiliging van de videovergaderapp, andere zijn voorzichtig positief over de maatregelen die nu worden getroffen. Dit artikel belicht beide kanten.
https://www.theguardian.com/technology/2020/apr/02/zoom-says-engineers-will-focus-on-security-and-safety-issues

hebben we er een nieuw woord bij: Zoom-bombing.
https://www.security.nl/posting/650085/FBI+waarschuwt+organisaties+voor+%22Zoom-bombing%22

... moet je ook nog eens oppassen voor vervalste versies van de Zoom-app.
https://www.securityweek.com/trojanized-zoom-apps-target-work-home-android-users

... is er bij een andere videobelapp waarschijnlijk juist sprake van een onterechte beschuldiging van vervalsing.
https://www.rtlnieuws.nl/tech/artikel/5075536/houseparty-gehackt-geruchten-lastercampagne-miljoen-dollar  

... wordt de Wereldgezondheidsorganisatie aangevallen door een statelijke actor.
https://www.reuters.com/article/us-health-coronavirus-cyber-iran-exclusi/exclusive-hackers-linked-to-iran-target-who-staff-emails-during-coronavirus-sources-idUSKBN21K1RC

... helpt de TU Delft de FIOD bij het opsporen van digitale criminaliteit.
https://www.tudelft.nl/2020/tu-delft/samenwerking-fiod-en-tu-delft-op-het-gebied-van-opsporing-digitale-en-financiele-criminaliteit/

... voelen hackers zich thuis bij deze hotelketen.
https://www.nu.nl/tech/6041632/hotelketen-marriott-getroffen-door-datalek-dat-52-miljoen-gasten-raakt.html

... zijn veel servicedesks, die Jira gebruiken, van buitenaf benaderbaar.
https://www.security.nl/posting/650497/Honderden+interne+servicedesks+door+configuratiefout+openbaar



Gepost door op 1 opmerking:
Labels: , , , ,
Abonneren op: Posts (Atom)