Auteur:

Kamer akkoord met mariniers op handelsschepen

  door

Wie het nieuws de afgelopen jaren een beetje gevolgd heeft, is inmiddels bekend met de problematiek van de piraterij op schepen. Het schip wordt geënterd, de piraten klimmen aan boord en gijzelen de bemanningsleden voor losgeld.

De Tweede Kamer is ook bekend met dit probleem en biedt nu een oplossing:
Een meerderheid van de Tweede Kamer steunt het besluit van Defensie om bewapende mariniers aan boord van enkele Nederlandse koopvaardijschepen te plaatsen om die te beschermen tegen piraten (bron).

Ik vind het een prima idee om reders de mogelijkheid te geven hun personeel (en vracht) beter te beschermen. Toch zou ik mezelf niet zijn als ik niet wat had aan te merken.

De inzet van Mariniers zou op een handje vol vrachten per jaar ingezet kunnen worden. Waarbij het in eerste instantie om twee operaties gaat.
De Kamer hikt nog wel aan tegen de kosten van de operatie en met name de verdeling ervan tussen Defensie en de reders. De twee transporten kosten nu samen 1 miljoen euro. Het ministerie van Defensie neemt het grootste deel (800.000 euro) voor z’n rekening. Het bedrag gaat vooral op aan het vervoer van de militairen met een militair transporttoestel. Een vlieguur kost 11.000 euro, rekende minister Hans Hillen (Defensie) voor. Het kabinet komt nog op de verdeling van de kosten terug.

Het grootste deel gaat op aan het vervoer van de militairen omdat een vlieguur 11.000 euro kost. Stel nu dat we voor die 2 operaties 2x heen en 2x terug moeten vliegen. Vliegen naar de betreffende regio zal zo’n 6 tot 8 uur kosten. Dan is de som snel gemaakt: 4 x 8 uur is 32 uur x € 11.000 = € 352.000,-
Hoewel dit heel veel geld is, blijft er dan nog minimaal € 448.000,- over om de piraten van ons dek af te houden.

Ik vind het nog steeds een uitstekend idee om onze schepen (en met name de bemanning) beter te beveiligen, toch is dit niet de oplossing voor het probleem. Nee, nu beschermen we met dergelijke kosten 2 transporten. Dat zijn er op jaarbasis een handjevol…maar dat is een druppel op de gloeiende plaat.

De echte oplossing zit hem in het aanpassen van de wet- en regelgeving op dit gebied. Andere landen laten bewapende bemanning toe aan boord zodat de reders zelf hun schepen kunnen beveiligen. Daar zijn de reders graag toe bereidt. Helaas behoort dat voor schepen varend onder de Nederlandse vlag nog niet tot de mogelijkheden.

We zijn het land van de doorvoerhavens en we mogen ons gelukkig prijzen dat er nog reders zijn die onder Nederlandse vlag willen varen (geloof me, het belastingklimaat voor het varen onder een andere vlag is erg aantrekkelijk). Willen we deze bedrijfstak niet ook aan het buitenland kwijt raken, dan moeten we zorgen dat de reders meer mogelijkheden krijgen.

Het inzetten van de Mariniers (bedankt jongens) is een typisch geval van het aanpakken van het gevolg (sorry, Minister Hillen) en niet het aanpakken van de daadwerkelijke oorzaak. Tijd om daar verandering in aan te brengen…even de wet aanpassen en bewapende bemanning toe laten…was het maar zo makkelijk.

Terreurdreiging Nederland blijft beperkt

  door

Zo, toch nog een beetje lekker kunnen slapen na het bericht van gisteren waaruit blijkt dat de vitale infrastructuur toch nog de nodige beveiligingsaandacht nodig heeft?

Wees gerust, vandaag zorg ik ervoor dat je vannacht weer gewoon lekker kunt slapen.

Het dreigingsniveau voor Nederland en Nederlandse belangen in het buitenland blijft ‘beperkt’, zo laat de Nationaal Coordinator Terrorismebestrijding (NCTb) weten. Dit betekent dat de kans op een aanslag relatief gering is, maar niet helemaal kan worden uitgesloten (bron).

Het lijkt er op dat we ons voorlopig nog niet echt zorgen hoeven te maken om een grootschalige terroristische aanslag gericht op Nederland (hoewel die natuurlijk nooit helemaal uitgesloten kan worden). Ben jij ook altijd zo benieuwd hoe dit soort conclusies tot stand komen? Waar halen ze toch de informatie vandaan om dit met enige mate van zekerheid te kunnen stellen? Geen idee en misschien maar goed om niet te weten. Je zou toch zeggen dat een beetje georganiseerde terroristische beweging er voor zorgt dat de communicatie geheim blijft. Het blijft waarschijnlijk altijd een kat en muis spel.

Nee, laten we maar gewoon vertrouwen op de constateringen van het NCTb, dat geeft een gerust gevoel zodat we lekker kunnen slapen vannacht.

Het enige probleem hierbij is dat ik me kan voorstellen dat de plannen van georganiseerde terroristische bewegingen te monitoren zijn (door infiltratie, afluisteren en ga zo maar even door). Helaas wordt het al een stuk lastiger als een eenling spontaan een actie beraamt. Ondenkbaar, ehm, denk aan Koninginnedag in Apeldoorn, denk aan de theelichthouder gooier.

De terreurdreiging mag dan laag blijven, lunatics lopen er nog genoeg rond in Nederland en daarbuiten. De vraag is of we die ook op de een of andere manier beter in de gaten kunnen houden (persoonlijk denk ik van niet).

Nou, weer een beetje gerustgesteld? Lekker slapen dan vannacht…morgen zien we wel weer verder.

Hacker onthult lekken in industriele systemen

  door

Een grote brand in Moerdijk en nog veel erger een groot ongeval in een kernreactor in Japan en zo kunnen we nog wel even doorgaan. Je zou toch zeggen dat we inmiddels wel aandacht voor de beveiliging daarvan zouden hebben?

Ehm, nou de organisaties zelf misschien niet, maar een beveiligingsonderzoeker “gelukkig” wel.

Een Italiaanse beveiligingsonderzoeker heeft tal van beveiligingslekken in industriële systemen onthuld, waardoor aanvallers op afstand belangrijke delen van de infrastructuur kunnen overnemen. De zogeheten SCADA-systemen (supervisory control and data acquisition) worden gebruikt in industriële omgevingen, zoals kernreactoren, raffinaderijen, gaspijplijnen en vliegvelden, die weer in verbinding met de publieke infrastructuur staan (bron).

Geeft niet echt een lekker gevoel, toch? Nou hopen maar dat andere, meer kwaadwillende, aanvallers niet op het idee worden gebracht en maar snel de patches doorvoeren om weer veilig te worden…oh, oeps, probleem: In 34 van de 35 lekken is het voor een aanvaller mogelijk om willekeurige code uit te voeren. Een probleem, want updates voor de kwetsbaarheden ontbreken.

Nou, dan maar snel de leverancier informeren zodat er alsnog met bloedspoed patches gemaakt kunnen worden…oh, oeps, nog een probleem: De makers van het Agora SCADA+ Pack laten weten dat SCADA-systemen lastig zijn te patchen, waardoor ook oude kwetsbaarheden nog relevant zijn.

Lijkt me toch een goed plan als dit soort bedrijven nog eens goed naar hun bedreigingen kijken, daarbij weten wij natuurlijk allang dat je 3 soorten bedreigingen kunt onderscheiden:
1) Bedreigingen van natuurlijke aard (als een aardbeving en Tsunami)
2) Bedreigingen van menselijke aard (bewust en onbewust handelen van mensen)
3) Bedreigingen van technologische aard (storingen, ontbreken van patches, etc.)
Maar weten dit soort bedrijven dat onderscheid ook te maken? En beter nog: kunnen ze ook met creatieve oplossingen komen (want die zijn er echt wel).

Misschien word ik paranoia maar het lijkt wel of we echt kunnen wachten op de volgende grote klap. Blijkbaar is Japan de ver-van-mijn-bed-show. Ik ga in ieder geval zorgen voor aluminium folie (zodat ik mijn ramen af kan plakken tegen straling) en een voorraadje water en blikvoer.

Pinnen met EMV-chip is ook te skimmen

  door

Pinnen, magneetstrip, EMV-chip, skimmen…voor degene buiten het vakgebied misschien abracadabra, maar ik zal het kort proberen toe te lichten.

Al jaren lang maken we gebruik van onze pinpas, we halen de pas door een sleuf aan de zijkant van een pinautomaat, typen de pincode in en hebben afgerekend. Daarbij hebben we jaren gebruik gemaakt van de magneetstrip (die zwarte strip op je pas) waarmee de betaling een feit was. Het grote nadeel van deze strip is dat hij gemakkelijk te kopiëren is. Dan hebben ze alleen je pincode nog nodig om jouw geld van de rekening af te halen. Kleine camera’s worden gebruikt of ze kijken simpelweg over je schouder mee.

Grote sommen geld zijn daarmee overgaan in handen van de criminelen. De banken hebben deze schade veelal voor hun rekening genomen en hebben er hard aan gewerkt om de kans op skimmen (het kopiëren) te verkleinen. Een van de maatregelen was de invoering van de EMV-chip. Hiermee hoeven we de pas niet meer door de sleuf te halen maar moeten we hem in een andere sleuf stoppen (zodat de betaling d.m.v. de chip tot stand kan komen). Een stuk veiliger, althans…dat is de bedoeling.

In Nederland wordt het nieuwe pinnen met de EMV-chip ingevoerd. Door de bankpas niet door de sleuf te halen maar bovenin het apparaat te steken wordt het skimmers moeilijker gemaakt en het elektronische betaalsysteem veiliger. Onderzoekers hebben echter al een gat in het nieuwe systeem ontdekt. Het skimmen van de EMV-chip gebeurt met een klein onopvallend apparaatje dat in de kaartgleuf wordt aangebracht (bron)

De geschiedenis herhaalt zich. Inmiddels zijn er vele maatregelen genomen om het skimmen van de magneetstrip tegen te gaan. Een groot aantal van deze maatregelen zal nu opnieuw tegen het licht moeten worden gehouden voor het tegen gaan van het skimmen van de EMV-chip.

Het zal altijd wel een wedloop blijven. Jammer dat dergelijke ontwikkelingen door de criminelen zo snel achterhaald kunnen worden. De vraag is natuurlijk wat de opvolger van de EMV-chip zal worden en wanneer die gekraakt wordt.

Bodyscanners…daar gaan we weer

  door

Het is alweer enige tijd geleden dat we in dit blog ingingen op de bodyscanners. Maar nu kan ik het toch niet meer aan me voorbij laten gaan. Op dezelfde dag twee berichten over de bodyscanner:

  • ChristenUnie wil bodyscanners in heel Europa
  • Straling bodyscanners hoger door rekenfout

Als het aan de ChristenUnie ligt krijgen luchtvaartreizigers straks niet meer de keus tussen de metaaldetector en bodyscanner. De partij wil dat alle metaaldetectors op Europese luchthavens door bodyscanners worden vervangen (bron).

De straling van Amerikaanse bodyscanners is door een rekenfout tien keer hoger dan verwacht, zo blijkt uit onderzoek (bron).

Gelukkig is de ChristenUnie zichzelf daar ook wel van bewust:
Daarbij moeten volgens hem alleen de meest geavanceerde security scanners worden gebruikt. “Er zijn ook security scanners op de markt die een bedreiging vormen voor de volksgezondheid en de privacy. Zo gebruiken oude systemen röntgenstraling in hun technologie, en dat is niet goed voor de gezondheid van de passagier, zeker wanneer een passagier meerdere keren per jaar door een dergelijke machine moet” laat Van Dalen weten.

Allemaal leuk en aardig natuurlijk, maar hoe weet ik, als reiziger nu met wat voor soort scanner ik te maken heb of krijg? Weigeren kan waarschijnlijk niet omdat je dan al direct als potentiële terrorist wordt gezien en je heel andere onderzoeken aan je broek krijgt (en dat kun je in dit geval letterlijk nemen).

Stel nu dat je vanaf Schiphol vertrekt en stel dat zij inderdaad veilige bodyscanners gebruiken. Je landt aan de andere kant van de wereld en komt tot de ontdekking dat de daar gebruikte scanners nog van het oude type zijn en je een overdosis aan straling geven. Wat moet je dan? Je wilt, zeer waarschijnlijk, toch ook weer een keer terug naar Nederland? Je zult je er dan aan over moeten geven.

De gevolgen op korte termijn zullen allemaal wel mee vallen en als je maar een paar keer in je leven vliegt is dat ook nog wel te overzien. Maar wat zijn de lange termijn effecten als je 2x per jaar op vakantie gaat met het vliegtuig (en dus 4x gescand wordt)? Wat zijn de gevolgen voor de piloten en de stewardessen? Moeten die inmiddels geen gevarengeld bijgeschreven krijgen op hun salaris?

Werken in de mijn was vroeger ook geheel veilig, totdat we erachter kwamen dat je er stoflongen van kreeg. Leuk, hoor dat je dan een claim in kunt dienen, maar de jaren aan het eind van je leven die je inlevert krijg je er niet mee terug.

Duitse overheid onthult gratis encryptiesoftware

  door

Er is een nieuwe versie van het gratis encryptieprogramma Gpg4win verschenen, dat voor het Bundesamt für Sicherheit in der Informationstechnik (BSI) is ontwikkeld (bron).

Oh, nee, hier gaan we. De overheid die gratis encryptiesoftware onthult. Hoe goed de intentie misschien ook is, de schijn heeft het in ieder geval tegen.

De discussie zal op gang komen. Als de overheid deze software promoot, dan moet er wel een backdoor inzitten waardoor zij in ieder geval bij de gegevens moeten kunnen. De vraag is of je als ontwikkelaar nu echt blij moet zijn als de overheid jouw product gaat promoten.

Normaal gesproken wel natuurlijk. Want weinig mooier dan de overheid als referentie kunnen gebruiken. Maar in dit geval toch op zijn minst twijfelachtig. Ik wacht nog even met het gebruik van deze gratis encryptiesoftware.

Een geluk bij een ongeluk: gisteren zagen we al dat het 40% niet lukt om de WiFi-verbinding te beveiligen. Deze mensen gaat het waarschijnlijk ook niet lukken om encryptiesoftware up-and-running te krijgen. Een gevaar op zich, want wordt het middel dan niet erger dan de kwaal? Als je al besluit om encryptiesoftware toe te passen, wees je er dan wel van bewust dat als je het wachtwoord kwijt raakt je ook echt niet meer bij de gegevens kan.

Encryptiesoftware voor thuisgebruik? Ehm, wees reëel, heb je dat echt nodig? Zijn jouw privé gegevens echt zo spannend? Ik zou er eerst maar eens voor zorgen dat je WiFi-verbinding beveiligd is, dat je een firewall hebt draaien en dat de anti-virus en anti-spam software up-to-date is. Grote kans dat de gelegenheidsdader jouw huisje dan voorbij rijdt en naar de buren gaat.

Oh ja, dat herinnert me eraan. Weet je het nog? Gisteren de test met de WiFi-verbinding? 7 beveiligd en 2 niet. Ik denk dat ik deze mensen binnenkort een bloemetje moet brengen omdat zij er mede voor zorgen dat mijn netwerkje veilig is.

40% consumenten kan WiFi-netwerk niet beveiligen

  door

Veertig procent van de Britse consumenten is niet in staat om de beveiligingsinstellingen van hun draadloze netwerk aan te passen, zo blijkt uit een online onderzoek dat de Information Commissioner’s Office (ICO) liet uitvoeren (bron).

De vraag die mij hierbij direct te binnen schiet is of het hier ook echt gaat om “niet kunnen” of “niet willen”. Dat lijkt misschien een klein verschil, maar voor de aanpak heeft dat wel degelijk grote effecten.

De ICO roept internetproviders, winkels en fabrikanten op om duidelijke handleidingen met hun apparatuur mee te leveren. Daar moeten niet alleen de juiste beveiligingsinstellingen in staan, maar ook wat de risico’s van een onbeveiligd netwerk zijn.

We kunnen wel duidelijke handleidingen maken (kom op, zo ingewikkeld zijn ze nu ook weer niet, zeker niet met al die screen shots), maar als de mensen het niet willen, dan gaan ze die handleidingen ook echt niet lezen.

De mensen kunnen wel hun computer aanzetten, ze kunnen de router in het netwerk hangen (wat echt veel moeilijker is dan het veilig instellen) maar zouden niet in staat zijn om de standaardinstellingen aan te passen? Ik geloof er helemaal niks van.

Het gaat hier (naar mijn gevoel) niet om het “niet kunnen”, maar echt om het “niet willen”. Een handleiding, hoe duidelijk ook, maakt dan echt geen verschil want niemand leest dat pak papier. Wat wel een oplossing zou kunnen zijn? Ehm, nou dat is niet zo heel ingewikkeld: gewoon automatisch af laten dwingen dat na installatie de gebruiker door een aantal pop-up schermen wordt geleid waarbij de beveiliging wordt afgedwongen en de wachtwoorden gewijzigd moeten worden.

Even snel de proef op de som genomen: in mijn directe omgeving bevinden zich nu 9 WiFi-netwerken, daarvan zijn er 7 beveiligd en 2 dus niet. Een kleine 30%, dus…maar hoe betrouwbaar die statistieken zijn met dergelijke kleine aantallen blijft de vraag…zelfs daarover kun je hele blogs maken.

Het nieuwe storten voor de MKB-er

  door

Een aantal dagen geleden plaatste ik een bericht over het feit dat de MKB’er zich niet veilig voelt bij het storten van contant geld. Daarop ontving ik een reactie waarbij ik verwezen werd naar: www.hetnieuwestorten.nl. Hoewel ik normaal niet in ga op commerciële uitingen (omdat ik graag onafhankelijk blijf), verdient deze toch wel een vermelding.

In het bericht ging ik in op de bezwaren die een MKB-er kan hebben tegen het afvoeren van geld via een waardetransporteur. Met het nieuwe storten worden een aantal van die bezwaren voor een groot deel ongedaan gemaakt. Een goede ontwikkeling, lijkt me. Hiermee wordt het veilig afstorten voor de MKB-er een stuk dichterbij gehaald. De kans op overvallen neemt af en de medewerkers worden aan minder gevaren blootgesteld.

En wie ben ik dan om er niet even een berichtje over te schrijven? Dergelijke ontwikkelingen verdienen de aandacht (los van wie de dienst dan ook aan biedt en als er 1 schaap over de dam is volgen er meer) en hoe meer ruchtbaarheid er aan wordt gegeven, hoe groter de kans dat de MKB-er ook daadwerkelijk veiliger gaat afstorten.

Waren tot voor kort de tarieven voor waardetransport nog duister en niet inzichtelijk, daar is nu ook een einde aan gekomen. Voor €14,50 per keer haalt Safe Express uw bankbiljetten op en wordt het geteld en bijgeschreven op uw rekening.

Het is nog steeds niet gratis en dat is logisch, want iedereen moet een boterham verdienen. De MKB-er weet dat beter dan wie ook. Maar met dergelijke tarieven is het nu in ieder geval een stuk toegankelijker geworden. De eerste keer is het zelfs helemaal gratis, dus ik moedig iedere MKB-er aan om dit toch serieus in overweging te nemen.

Online striptease voor sterke wachtwoorden

  door

De meeste internetgebruikers kiezen zwakke wachtwoorden, reden voor een Zuid-Afrikaans bedrijf om sterke wachtwoorden met een striptease te belonen. “Naked Password” is een programma dat websites kunnen gebruiken om gebruikers een sterker wachtwoord te laten kiezen. Bij het invullen van een wachtwoord verschijnt er een dame, die naarmate het wachtwoord sterker wordt, meer kleding uittrekt (bron).

Voor dat jullie allemaal massaal de tool gaan gebruiken eerst even een waarschuwing: ik sta niet in voor de resultaten…niet voor de resultaten van het beeldje dat je te zien krijgt, maar zeker ook niet voor de eventuele gevolgen. Het zou zomaar kunnen zijn dat we over een aantal maanden lezen dat iedereen die de tool gebruikt heeft een virus heeft opgelopen…en geloof me: een SOA-test zal in dat geval niets uitwijzen.

Toch vind ik dit soort initiatieven te prijzen. En, nee, niet omdat het hier om een striptease gaat, maar omdat er creatief gedacht wordt over mogelijkheden om de wereld beter te beveiligen. Beveiliging blijft vaak exotisch, zwaar, technisch, moeilijk en ga zo maar even door. Een echt positief imago kleeft er nog niet aan, maar met dit soort initiatieven zou dat best eens kunnen veranderen.

En geef het maar toe, je hebt de site even bekeken en het uitgeprobeerd. Oké, het beeldje is inderdaad nog niet echt schokkend en kan veel beter. Het doet mij denken aan de tijd van de Commodore 64 (ik zie wat jongere mensen nu afhaken en vragend kijken, ja, dat moeten jullie dan maar even Googlen). Die goede oude tijd waarbij een balletje nog gewoon vierkant was en je nog je fantasie kon gebruiken (met dank aan Pong).

De mooiste beveiligingsoplossingen zijn die oplossingen die helemaal geen beveiligingsmaatregel zijn of lijken. Een mooie volzin, maat wat bedoel ik? Ik zal het met een concreet voorbeeld toelichten: een mooie oplossing vind ik persoonlijk altijd de bloemenbakken met geurende kleurige bloemen voor een bankgebouw. Een onverschillige bezoeker loopt er langs en ruikt de heerlijke geur van bloemen in de lente. Niet wetende dat die bloembak er eigenlijk staat om ramkraken te voorkomen (de criminelen weten dat overigens wel, bloemen houden van mensen, maar criminelen houden niet van bloemen). Twee vliegen in een klap: ramkraken worden voorkomen en de omgeving wordt opgefleurd.

Willen we beveiliging beter op de kaart zetten, dan moeten we leren “out-of-the-box” te denken en die oplossingen te verzinnen die de mensen blij stemt. Makkelijker gezegd dan gedaan, maar daar ligt wel de uitdaging.