Auteur:

Tapes met data 800.000 mensen verloren tijdens oefening

  door

In de Verenigde Staten zijn tijdens een “disaster recovery” oefening verschillende back-up tapes met de gegevens van 800.000 burgers kwijtgeraakt. Na de oefening door IBM werden de tapes naar Iron Mountain gestuurd, maar kwamen daar niet aan. Op de tapes stonden namen, adresgegevens, social security nummers, rijbewijs- of identificatienummers, zorgverzekering en informatie van de werkgever (bron).

Een opmerkelijk bericht, als je het mij vraagt. Is de basis van een oefening niet dat het wel eens verkeerd zou kunnen gaan en dat je juist oefent om in geval van echte nood over de juiste “disaster recovery” maatregelen te beschikken? We analyseren de oefening en trekken de “lessons learned” zodat we goed voorbereid zijn.

Een basis principe daarbij is dat je een dergelijke oefening nooit uitvoert met daadwerkelijke gegevens. Nee, voor de oefening maak je gebruik van fictieve gegevens (of op zijn minst zorg je ervoor dat de gegevens versleuteld zijn…hoewel dat zeker niet de voorkeur heeft, fictief is in dit geval toch echt beter).

Maar goed, de tapes zijn opgestuurd en onderweg kwijt geraakt. We kunnen in ieder geval de les trekken dat we dergelijke gegevens of tapes niet zomaar versturen. Ik stel me zo voor dat ze gewoon in een doosje zijn gestopt met een adressticker erop. Ja ja. Mooie “disaster recovery” strategie is dat. In geval van nood wil je toch zeker weten dat de gegevens op een andere plek nog voorhanden zijn. Verzending via een reguliere poststroom lijkt me dan niet de veiligste oplossing.

Al snel zullen we denken dat we natuurlijk ook gewoon lege tapes zouden kunnen versturen om helemaal geen risico te lopen. Maar dat werkt niet. Nee, we willen juist testen of we nog bij de gegevens kunnen na een incident. We willen dus wel degelijk dezelfde hoeveelheid gegevens hebben, maar dan wel gerandomiseerd (zie ook de opmerking daarover op Security.nl).

Een positief aspect is dat men in ieder geval oefent. Er zijn nog genoeg organisaties die de op papier geweldige “disaster recovery” strategie nooit in de praktijk testen en dan na een incident de deksel lelijk op de neus krijgen. Daarbij kunnen we dan weer onderscheid maken in organisaties die helemaal niet stil staan bij dat testen (ze weten het gewoon niet) of die organisaties die weten dat ze moeten testen maar daarvoor niet goed zijn ingericht.

Er wordt nog wel eens te makkelijk gedacht over de “disaster recovery”. Het proces staat op papier, de plannen staan in de kast en klaar zijn we. Helaas wijkt de test omgeving totaal af van de productie omgeving en echt testen kunnen we dus niet. Jammer, want er wordt veel geld aan uit gegeven zonder dat we enige zekerheid hebben.

Het is nu maar te hopen dat de gegevens van de 800.000 mensen ook echt verloren is geraakt en niet in verkeerde handen is gekomen. Op de tapes stonden immers namen, adresgegevens, social security nummers, rijbewijs- of identificatienummers, zorgverzekering en informatie van de werkgever. Gegevens waarmee identiteitsdiefstal een peulenschil wordt.

VNG wil gemeentelijke IT-beveiligingsdienst

  door

Gingen we gisteren nog in op het feit waarom niet iedere gemeente een eigen hacker in dienst hoeft te hebben, dan gaan we vandaag nog even door met een idee wat meer levensvatbaar is.

De Vereniging Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) vinden de tijd rijp voor een gemeentelijke IT-beveiligingsdienst. Deze dienst gaat incidenten bij gemeenten afhandelen en verzorgt de coördinatie bij beveiligingsproblemen…Daardoor hoeven niet alle gemeenten individueel aan de slag, maar kan dit gemeenschappelijke orgaan deze taak op zich nemen (bron).

Op deze wijze kunnen we de krachten bundelen en de gemeenten helpen met het beter beveiligen van de gemeentelijke informatievoorziening. Overigens hoeven ze daar, volgens mij, geen nieuwe dienst voor op te zetten maar kunnen ze gewoon aansluiten bij het Nationaal Cyber Security Centrum (NCSC). Deze moet dan wellicht iets anders ingericht worden en moet dan misschien qua capaciteit uitgebreid worden, maar het hele kader ligt er al en dat doet gewoon goed werk.

Maar goed, als er inderdaad een idee is om een gemeentelijke IT-beveiligingsdienst op te zetten. Waarom zou dit idee dan niet breder getrokken kunnen worden? Misschien te beginnen bij een gemeentelijke IT-dienst zodat niet iedere gemeente zelf meer over een IT-dienst hoeft te beschikken?

Misschien een gemeentelijke plantsoenendienst zodat die centraal aangestuurd kunnen worden en voor meer gemeenten hun werkzaamheden uit kunnen voeren? Een gemeentelijke brandweerdienst is er voor een aantal gemeenten (die niet meer over een eigen brandweer) beschikken ook al, dus die kan dan best nog wat uitgebreider worden ingezet, wat overigens ook geldt voor de Ambulance en Politie natuurlijk.

Zijn dit proefballonnen om te kijken of we meer en meer centraal kunnen gaan regelen? Voor iedere inwoner dezelfde aanslagen, dezelfde kosten om een paspoort te krijgen (ook een mogelijke gemeentelijke paspoortdienst kunnen we overwegen). Ehm, waar rook is, is vuur en als ik een burgemeester was dan zou ik nog even nagaan welke strategie de centrale overheid, met alle bezuinigingen, de komende jaren gaat voeren.

Binnen een aantal jaren een echte BV Nederland maar dan zonder dochterondernemingen in de vorm van gemeenten (en provincies)? Wie weet, ik ben benieuwd (en weet nog niet of ik daar heel blij van ga worden).

Elke gemeente moet eigen hacker krijgen

  door

Elke Nederlandse gemeente zou eigen hackers in dienst moeten nemen, aldus burgemeester Han Polman, tevens bestuurslid van de Vereniging Nederlandse Gemeenten (VNG). De DigiNotar-affaire en Lektober liggen bij veel gemeenten nog vers in het geheugen. Ook de beveiliging van SCADA, de systemen die kritieke infrastructuur zoals dijken en sluizen besturen, zou op veel locaties te wensen overlaten (bron).

Op het eerste gezicht misschien een erg positief bericht voor “onze” branche, maar als we er wat dieper op ingaan dan kunnen we toch wat vraagtekens zetten bij deze uitlating. Ik kan natuurlijk afsluiten met de conclusie, maar ik haal hem voor vandaag naar voren en zal dan aangeven waarom ik deze conclusie trek:
Niet iedere gemeente moet zijn eigen hacker krijgen, nee, iedere gemeente moet zijn verantwoordelijkheid nemen en de informatiebeveiliging op orde hebben. Hoe ze dat doen is een andere vraag.

Ok, hier gaan we. Op 1 januari 2012 telde Nederland 415 gemeenten. Dat is al een eerste reden dat niet iedere gemeente een eigen hacker moet krijgen. Ik vraag me af of er zoveel (goed opgeleide) hackers (met goede bedoelingen) in Nederland te vinden zijn. Overigens is de kleinste gemeente de gemeente Schiermonnikoog met 950 inwoners, knappe jongen als je daar een serieuze hacker weet te vinden.

Een tweede reden ligt misschien erg voor de hand, maar ook niet iedere gemeente heeft een gemeentelijke inbreker om te controleren of alle gebouwen en huizen in deze gemeente wel inbrekersproof zijn. Sterker nog, niet iedere gemeente heeft een Security Manager of Officer. Wie moet die hacker dan aan gaan sturen en volgens welk beveiligingsbeleid moet hij of zij dan gaan werken? Dan is dan ook direct de derde reden: het ontbreken van een goed beveiligingsbeleid.

Overigens beweer ik ook niet dat iedere gemeente een Security Manager zou moeten hebben. Voor de kleinere (en misschien zelfs middelgrote) gemeenten is dat niet nodig. De taken kunnen we gemakkelijk bij iemand beleggen, de daadwerkelijke invulling kunnen we best uitbesteden. We willen immers niet dat die Security Manager en die hacker zich te pletter gaan vervelen want dan vormen ze wellicht een groter risico dan een beveiligingsmaatregel. Nog een reden dus: is er wel genoeg werk voor die hacker? En overleeft hij de volgende reorganisatie dan wel?

Dan is er nog een reden om terughoudend te zijn met het aannemen van hackers. Dat is misschien een definitie kwestie, maar wel een die we in het aanname beleid goed moeten controleren. Er zijn zogenaamde white hat hackers en black hat hackers (ook wel crackers). Die laatste categorie wordt gedreven uit crimineel, ideologisch of vernielzuchtig oogpunt. Het lijkt me dus verstandig even na te gaan tot welke categorie de sollicitant zich rekent en misschien kan een Verklaring Omtrent het Gedrag ook geen kwaad (waarbij we er natuurlijk rekening mee houden dat een VOG alleen maar aangeeft dat iemand in het verleden nooit voor dit soort vergrijpen is opgepakt…het zegt niet automatisch dat hij nooit de wet heeft overtreden).

Hoewel we vast nog veel meer redenen kunnen bedenken, sluiten we af met deze: wie controleert de controleur? Wie kan er toezicht houden op de hacker en zijn of haar activiteiten? We kunnen wel allerlei protocollen en richtlijnen afspreken (hoewel die voor veel gemeenten ontbreken op dit moment), maar hoe weten we zeker dat de hacker zich daar aan houdt? Hoe weten we zeker dat hij genoegen neemt met zijn ambtenaren salaris en toch niet een beetje bij wil verdienen? Het grootste gevaar is nog altijd een intern gevaar en zeker als het om dergelijke techneuten gaat kan dat grote risico’s opleveren voor de gemeente.

Nee, het lijkt een leuke uitspraak en grotere gemeenten kunnen het wellicht overwegen, maar de rest moet gewoon de kaders stellen en de expertise van buiten halen (en natuurlijk mag je me daar altijd even voor bellen, ik weet nog wel een paar goede white hat hackers).

Wachtwoordgedrag werknemers zeer risicovol

  door

Werknemers en systeemfouten zijn de voornaamste oorzaken dat er datalekken plaatsvinden, zo beweert het Ponemon Instituut…Daarbij worden het niet regelmatig wijzigen van wachtwoorden, het hergebruik van gebruikersnamen en wachtwoorden en het onbeheerd achterlaten van de computer als het meest risicovolle gedrag omschreven (bron).

We kunnen natuurlijk naar de medewerkers blijven wijzen en we kunnen ze de zwakste schakel blijven noemen, maar geef ze eens ongelijk. Welk mens kan er 10 inlognamen met 10 verschillende wachtwoorden (bestaande uit cijfers, letters en leestekens) onthouden? Dan resten er voor de medewerkers een aantal opties:

  1. Men schrijft de inlognamen en wachtwoorden op
  2. Men hergebruikt de inlognamen en wachtwoorden
  3. Men gebruikt voor ieder systeem een andere inlognaam/wachtwoord combinatie en moet ieder dag de helpdesk bellen

Inmiddels zijn veel bedrijven al serieus bezig met single sign on en bij de een lukt dat beter dan bij de ander. Maar het is in ieder geval een stap vooruit. We blijven ons als bedrijf echter verbazen over het feit dat de medewerker zijn inlognaam/wachtwoord maar niet lijkt te kunnen onthouden. Wat we daarbij echter vergeten is dat die medewerker zeer waarschijnlijk nog vele andere inlognamen en wachtwoorden te onthouden heeft die we als bedrijf niet op het netvlies hebben.

Naast de zakelijke werkplek (waar we al snel 5 of meer inlognamen hebben) heeft de medewerker waarschijnlijk ook nog wel een eigen emailadres (met inlognaam en wachtwoord), misschien heeft hij nog een LinkedIn account (met inlognaam en wachtwoord). Zit de medewerker niet toevallig op Facebook en Hyves (bieden met hun eigen inlognaam en wachtwoord) en Twittert hij niet zo af en toe (met inlognaam en wachtwoord).

Oh wacht, daar komt een aanslag van het Energiebedrijf. Of we even de meterstanden digitaal in willen vullen (met inlognaam en wachtwoord). De Belastingaangifte hebben we gelukkig net achter de rug dus kunnen we even buiten beschouwing laten. Oh ja, UPC (of Ziggo of een van de andere partijen) heeft gebeld, de nieuwe factuur staat online (met inlognaam en wachtwoord). Nou ja, inmiddels snap je de strekking van het verhaal.

Maar naast accounts met een inlognaam en wachtwoord moeten we ons ook nog identificeren bij de bank (met een pincode) en is je telefoon ook nog beveiligd (met een pincode). Heb je meerdere bankrekeningen en/of telefoons dan heb je natuurlijk ook meerdere pincodes. Maar goed, ook hier begrijp je de strekking van het verhaal.

Je moet inmiddels wel een hoogbegaafd iemand met een fotografisch geheugen zijn als je echt voor ieder systeem een aparte inlognaam, wachtwoord of pincode wilt bedenken en onthouden. Voor een enkeling is dat misschien weggelegd, maar voor het merendeel zulle we toch terug vallen op optie 1 of 2 en eerlijk gezegd kan ik het je ook niet echt kwalijk nemen.

We gaan nog even verder met fraude internetbankieren

  door

Hoopten we gisteren nog dat het aantal fraudes met internetbankieren zou afnemen omdat het met 300% gestegen is. Dan gaan we vandaag nog even verder met wat informatie over internetbankieren.

Vorig jaar werd er bij 8.000 Nederlanders door malware of phishing geld van de bankrekening gehaald…De totale schade door aanvallen op internetbankieren bedroeg vorig jaar 35 miljoen euro, wat neerkomt op zo’n 4.400 euro per slachtoffer. Het aantal slachtoffers nam wel toe, van 1.383 in 2010 naar 8.000 in 2011 (bron).

Of wat te denken van onderstaande gegevens.

De internetfraude steeg van bijna tien miljoen euro in 2010 naar 35 miljoen euro vorig jaar. De fraude door skimming (het kopiëren) van betaalpassen steeg van 19,7 miljoen euro in 2010 naar 38,9 miljoen euro vorig jaar (bron).

Dat zegt ons allemaal een stuk meer dan een stijging van 300%. Het krijgt nu vorm en we zien het aantal Euro’s en slachtoffers dat er mee gemoeid is.

Misschien is dit allemaal nog wat te abstract. We zien geen gezicht bij het slachtoffer en kunnen ons er dus maar moeilijk mee identificeren. Na onderstaand bericht lukt ons dat nog een stuk beter.

Een 80-jarige man uit Purmerend is slachtoffer geworden van een virus dat duizenden euro’s van zijn rekening haalde. De man kreeg tijdens het internetbankieren plots een melding te zien, zo laat de politievoorlichter van de regio Zaanstreek-Waterland tegenover Security.nl weten (bron).

Ach, die arme, oude stakker, het zou zomaar jouw opa kunnen zijn. Denk je nu misschien. Maar geloof me, bij die 8.000 slachtoffers zijn mensen uit alle lagen van de samenleving. Denk dus niet dat het jou niet kan gebeuren want voor je het weet ben jij aan de beurt.

Weet je nog dat we het eerder deze week hadden over de Online Periodieke Keuring van Microsoft of de software scan van Secunia? Daar deden we toen wat luchtig over en ik schat de kans groot dat je toen bent vergeten om jouw eigen pc even te scannen. Maar misschien werpen de cijfers over fraude met internetbankieren daar nu ineens een ander licht op. Sterker nog: stel dat jouw opa wel zo slim was om zijn pc te scannen en jij nu slachtoffer bent geworden…dan sta jij toch mooi met je broek op je enkels.

Wat je ook doet en of je nu wel of niet jouw software scant. Je weet nu in ieder geval dat het niet geheel ongevaarlijk is om op een pc met verouderde software te internetbankieren. Wil je dit jaar niet worden toegevoegd aan de lijst met slachtoffers dan kun je daar nu in ieder geval je steentje aan bijdragen. En als je dat dan toch doet moet je het je opa misschien ook even voordoen (en nee, niet omdat jij nu zonodig je erfenis veilig moet stellen, maar omdat je ze misschien wel een groot plezier doet…en dat is toch ook wat waard?).

Banken hopen dat fraude internetbankieren afneemt

  door

Het lijkt een beetje vroeg voor komkommertijd…maar blijkbaar valt die tijd vroeg dit jaar.

Banken hopen dat fraude internetbankieren afneemt (bron)

Ja, zo lust ik er nog een paar:
– Politie hoopt op minder inbraken dit jaar
– Inbrekers hopen op minder heterdaadjes dit jaar
– Spaarders hopen op een hogere rente dit jaar
– Fietswinkels hopen op meer lekke banden dit jaar
Nou ja, je begrijpt de strekking.

Maar goed, waar gaat dit bericht nu over?

Hoewel het aantal fraudegevallen met internetbankieren met 300% steeg, doen de banken voorkomen dat alles onder controle is. Ja, dan zou ik ook hopen op minder fraude met internetbankieren. Maar laten we dit bericht koppelen aan een ander bericht dat hierover ging.

De meningen over een eigen risico voor internetbankieren zijn verdeeld onder technische internetgebruikers, zo blijkt uit een poll die SpicyLemon op Tweakers.net en Security.nl organiseerde. 55% van de deelnemers vindt dat er voor geen enkele gebruiker van internetbankieren een eigen risico moet gelden. 42% geeft aan dat een eigen risico mag worden ingesteld voor de gebruiker die advies van de bank negeert, 3% wil voor iedereen een eigen risico (bron).

45% van de techneuten mogen dan vinden dat er best een vorm van eigen risico mag zijn voor gebruikers van internetbankieren, maar ik denk dat de gemiddelde consument daar toch een heel andere mening over heeft.

En wat we er ook van vinden, het hangt er natuurlijk sterk vanaf op welke wijze de fraude plaats vindt. Natuurlijk moeten de gebruikers opletten en niet zomaar op iedere link klikken. Maar er zijn ook nog genoeg aanvalsmethodes die bij de gemiddelde consument niet tussen de oren zitten. Sterker nog, er worden nog iedere dag nieuwe aanvalsmethoden ontwikkeld en je bent wel erg oplettend als je ze allemaal weet af te weren.

Met een stijging van 300% zullen we voorlopig niet veel meer kunnen doen dan hopen dat het aantal fraude gevallen afneemt. Wie weet helpt het als we er allemaal een kaarsje voor branden…tot die tijd blijft het voor iedereen extra goed opletten. Vertrouw je het niet dan is het wellicht verstandig om dat ene linkje toch maar niet aan te klikken. Heb je er toch op geklikt? Houd dan goed je rekeningafschriften in de gaten…maar zit nu niet juist daar een deel van het probleem?

Laten we eerlijk zijn. Vroeger (wow, wat klinkt dat antiek) kreeg je na iedere transactie een bankafschrift. Later werd dat iedere week en nog later iedere maand. Tot het tijdstip was aangebroken waarop we helemaal geen bankafschriften meer kregen (tenzij we er voor wilden betalen). Het kostte een paar tellen om je afschrift te checken en als je niets vreemds zag dan kon je het direct opbergen. Nu moet je inloggen om je afschriften te bekijken en dat doen we nu eenmaal niet iedere dag, week of maand. Binnenkort worden er met Finbox ook meer en meer rekeningen vervangen door een digitaal exemplaar. Grote kans dat je nu dus je rekeningen ook niet meer ziet en je vergeet je afschriften te checken.

We kunnen natuurlijk discussies voeren of we de Gulden weer terug moeten nemen, maar wat is die Gulden of Euro nog waard? Het zijn bits en bytes geworden en dat zal alleen maar toenemen de komende jaren waardoor we nog minder grip krijgen op ons banksaldo. Dan kunnen we blijven hopen dat fraude afneemt maar als we eerlijk zijn weten wij ook wel dat het alleen maar toe zal nemen.

1,2 miljoen Nederlanders met verouderde software

  door

Deze titel belooft ons een artikel waar ikzelf in ieder geval helemaal niets van geloof.

Stel je voor dat er maar 1,2 miljoen Nederlanders zijn met verouderde software, dan zou er voor de virusschrijvers bijna geen lol meer aan zijn. Nee, ik geloof er helemaal niets van en geloof dat het er meer zijn, veel meer zelfs. Maar goed, nu eerst de kern van het originele bericht.

Ruim 1,2 miljoen Nederlanders gebruiken verouderde software en lopen daardoor groter risico op virussen, zo waarschuwt Microsoft (bron).

Oh, het verhaal wordt al een stuk duidelijker. Er zijn 1,2 miljoen Nederlanders met een verouderde Windows versie. Dat lijkt er al een stuk meer op en zou misschien best het geval kunnen zijn. Maar waarom brengt Microsoft een dergelijk bericht naar buiten? We lezen nog even verder zodat we daar ook conclusies aan kunnen verbinden.

Microsoft waarschuwt gebruikers van Windows XP en Vista die niet de laatste update hebben geïnstalleerd, ook geen nieuwe beveiligingsupdates meer krijgen…”Omdat we vinden dat iedereen veilig online moet kunnen zijn, hebben we de Online Periodieke Keuring ontwikkeld.”

Een beetje tegenstrijdig natuurlijk: we willen dat iedereen veilig online is, maar geven je niet de laatste update als je er een keer een gemist hebt. Oh wacht, er is een Online Periodieke Keuring ontwikkeld. Kan natuurlijk best handig zijn, maar is een dergelijk bericht dan niet gewoon een verkapte reclame? En waarom heeft Microsoft een dergelijke reclame nodig? Ze kunnen toch alles pushen naar jouw pc? Gewoon een popup de volgende keer dat je inlogt en daar kun je alleen maar voor “ok” kiezen. Moet jij eens opletten hoe snel dit probleem is opgelost.

Een leuke poging van Microsoft en je bent natuurlijk geheel vrij om het te proberen, maar er is al jaren Secunia die ook scant of je software up-to-date is. Deze kijkt niet alleen naar Microsoft producten maar heeft een nog iets bredere blik en neemt ook niet-Microsoft software onder de loep.

Nou ja, wat je ook gebruikt, het is altijd goed om periodiek te checken of je software nog up-to-date is en je hebt nu in ieder geval twee mogelijkheden om het eens te proberen. En je moet het ze natuurlijk nageven: het is inderdaad waar dat de meeste problemen op je pc (als het om virussen gaat) komen door verouderde software…dat gebeurt jou vanaf vandaag niet meer en als je dan ook nog zorgt dat je anti-virus software actueel is, ben jij vandaag alweer een stukje veiliger geworden.

China heeft elk groot Amerikaans bedrijf gehackt

  door

Maakten we ons gisteren nog zorgen om onze smartphones die gekraakt kunnen worden. Dan zijn we vandaag weer met onze beide voetjes op de aarde (en zijn we daarnaast blij dat we geen groot Amerikaans bedrijf zijn).

Alle grote Amerikaanse bedrijven zijn inmiddels door China gehackt, zo waarschuwt Richard Clarke, de voormalig terrorisme-adviseur van Bill Clinton en George W. Bush…De Amerikaanse overheid is volgens hem betrokken bij het bespioneren van andere landen. “Maar er is een groot verschil tussen het soort cyberspionage van de Amerikaanse overheid en van China. De Amerikaanse overheid hackt Airbus niet om vervolgens de geheimen van Airbus aan Boeing te geven.” In een interview stelt Clarke dat de VS buitenlandse regeringen hackt en informatie van hun netwerken verzamelt. (bron).

Gelukkig, de Amerikanen verkopen de informatie in ieder geval niet aan commerciële organisaties, zij bemoeien zich niet met de concurrentiestrijd. Volgens hen doen de Chinezen dat wel. De vraag is natuurlijk wat we erger vinden en waar we meer last van zouden kunnen ondervinden bij een op handen zijnde “cyberwar”.

Feit is wel dat er ruiterlijk wordt toegegeven dat ook de Amerikaanse overheid druk bezig is met het bespioneren van andere landen. Nu kunnen we daar natuurlijk moeilijk over doen, maar ieder land is daar mee bezig en ieder land probeert andere landen te bespioneren (en blijkbaar zijn de Chinezen daar al erg ver mee). Dat heeft overigens niets met internet te maken, want dat gebeurt al jaren. Nu worden alleen de middelen anders dan in het verleden.

De hedendaagse spion zal niet met een gleufhoed achter zijn pc zitten. Het zullen ook niet meer de “special agents” zijn zoals we ze voor ogen hebben. Nee, het zijn techneuten die maar al te goed weten hoe ze netwerken kunnen binnendringen. En als het de Chinezen is gelukt om veel grote Amerikaanse bedrijven binnen te dringen dan hoeven we ons er natuurlijk ook niet over te verbazen dat ze ook al bij veel overheden ver zijn binnen gedrongen…om het over de grote Nederlandse bedrijven nog maar niet te hebben.

Wat je van ver haalt is lekker…dat gezegde krijgt nu toch een andere betekenis. De Chinezen hoeven miljarden minder uit te geven aan (product)ontwikkeling en kopiëren er vrolijk op los om zo de concurrentiepositie onder druk te zetten. Maar ach, hoe nieuw is dit nu eigenlijk? Was er honderden jaren geleden al niet Delfsblauw porselein dat in China vakkundig werd nagemaakt? We kunnen daar natuurlijk de Chinezen de schuld van geven, maar misschien moeten we ons ook intern herorganiseren (jaja, ik noem het bewust niet reorganiseren want dan vallen er weer ontslagen). Nee, we moeten kijken hoe we onze kennisvoorsprong (voor zover die er nog is) kunnen beschermen om onze concurrentiepositie te behouden. Een interessante uitdaging voor innovatieve bedrijven, lijkt me.

Hoe politiediensten de iPhone pincode kraken

  door

Tegenwoordig heeft natuurlijk iedereen een pincode op zijn of haar smartphone. Er staan teveel gegevens in om dat niet te hebben. Lekker alles achter die 4 cijfertjes en veilig zijn we. Toch?

Niets is minder waar: De toegangscode van iPhone en Android smartphones biedt nauwelijks bescherming tegen opsporingsdiensten met de juiste tools. Het Zweedse bedrijf Micro Systemation levert het programma XRY waarmee justitie de informatie van smartphones kan leegtrekken. De tool kan razendsnel iOS of Android passcodes kraken, de gegevens van de telefoon naar een computer kopiëren en informatie over de gebruiker, zoals GPS-locatie, bestanden, gesprekslogbestanden, sms-berichten en zelfs toetsaanslagen weergeven.


(het filmpje lijkt inmiddels van internet verdwenen…wie hem nog kan vinden kan me de nieuwe link sturen)

Een geruststellend idee is dat het bedrijf de software alleen levert aan politiediensten (jaja, met geld is veel te koop). Dat scheelt want de politie zal een dergelijke tool niet zomaar inzetten. Dan heb je waarschijnlijk iets op je kerfstok. Hoewel er best gevallen te bedenken zijn dat je ook niet wilt dat de politie bij de informatie kan, valt dat voor de meeste mensen nog te overzien.

Maar het duurt natuurlijk niet lang (als het er al niet is) dat dergelijke tools ook beschikbaar komen voor anderen. Hop, even de telefoon door de software trekken en open en bloot ligt je informatie. Of nee, even de telefoon door die software…de telefoon leeg gooien en op de zwarte markt weer verkopen.

Allemaal leuk en aardig, maar wat kun je als gebruiker hier nu mee. Is het slot op je voordeur niet helemaal veilig meer dan plaats je er gewoon nog een slot bij. Grote jongen die binnen komt. Op je telefoon is dat een ander verhaal. Natuurlijk zijn er wel tools beschikbaar en natuurlijk kun je je telefoon versleutelen, maar hoe gebruiksvriendelijk is hij dan nog?

De veiligste oplossing is misschien nog wel geen vertrouwelijke informatie (of compromitterende foto’s) op je telefoon zetten. Daarmee kun je al wat ellende voorkomen. Natuurlijk kunnen ze hem dan nog steeds voor € 25 verkopen, maar dan in ieder geval zonder jouw informatie (die misschien wel meer waard is dan de economische waarde van je telefoon).