Auteur:

Nep-virusscanner vermomt zich als Windows Update

  door

Oh, nee, niet nog een. Ik denk dat jij en ik (als je tenminste ook altijd de gelukkige bent om de virussen van anderen te verwijderen omdat de computer het niet meer doet) het weer druk krijgen de komende weken. Veel mensen klikken sowieso op alles waar “ok” bij staat (getuige het grote aantal virussen dat mensen oplopen), maar heb je eindelijk een gebruiker uitgelegd dat hij toch echt eerst even moet kijken waar hij mee akkoord gaat en wat hij download…krijg je dit. Een nep virusscanner (gewoon een virus dus) die lijkt op een update voor Windows. Daar gaan dus weer veel mensen intrappen.

Er is een nieuwe nep-virusscanner in omloop die zich voordoet als Windows Update…Het scherm laat gebruikers geloven dat ze de Antimalware security update voor Windows XP moeten installeren, gevolgd door een echt bestaand KB artikel.

Het scherm in kwestie downloadt een DLL-bestand dat allerlei waarschuwingen toont en gebruikers aanmoedigt tot het activeren van de software. Deze activatie, waarvoor slachtoffers 40 of 60 euro voor betalen, lijkt erg veel op het activeren van Windows. In het geval van de gebruikersovereenkomst verwijst de nep-virusscanner zelfs naar de website van Microsoft (bron).

‘Internetters zijn zich niet bewust van gevaren’

  door

Cybercriminaliteit neemt steeds grotere vormen aan. Hackers creeeren enorme netwerken die bestaan uit computers van nietsvermoedende gebruikers van over de hele wereld en zetten deze in om creditcardgegevens te verzamelen, spam te versturen en zelfs complete identiteiten te stelen, die vervolgens voor nog geen 5 euro worden doorverkocht. Volgens veiligheidsexpert Rik Ferguson zijn computergebruikers zich niet genoeg bewust van de gevaren die ze lopen (bron).

Jouw identiteit en al je gegevens zijn dus nog geen 5 euro waard. Per doelwit natuurlijk niet zoveel. Maar als je er vanuit gaat dat er (bij dit betreffende botnet) zo’n 13 miljoen gekaapte computers waren (65 miljoen in totaal) ja dan wordt het een ander verhaal.

Criminaliteit loont en een omzet van 65 miljoen, genoeg bedrijven die daar voor tekenen. En dan hebben we het nog maar over een botnet. Geen flauw idee hoeveel van die botnets er zijn maar ongetwijfeld meer dan een.

Schrikbarender wordt het als we nagaan wat de kopers van al die gegevens er mee doen. Helaas kan ik daar geen feiten over vinden. Maar ga er maar vanuit dat die schade post vele malen groter is. Met de gegevens worden creditcards aangevraagd, worden bankrekeningen geplunderd, worden mensen gechanteerd en worden gegevens vernietigd die wellicht nooit meer te herstellen zijn.

Privacy gewaarborgd bij bodyscanner op Schiphol

  door

Het was alweer een poos geleden, maar daar komt de bodyscanner weer eens voorbij.

Schiphol beschikt als enige luchthaven op de wereld over Security Scans voorzien van een screeningstechnologie waarbij de privacy is gewaarborgd aldus de luchthaven (bron).

Ehm, dus Schiphol is de enige in de wereld die de privacy goed heeft geregeld? Dat betekent dan dus dat alle andere luchthavens je gewoon te kijk zetten. Een lekkere gedachte toch? Probleem is natuurlijk wel dat je altijd minimaal 2 luchthavens nodig hebt om op je bestemming te komen. Kortom: iedere keer dat je gaat vliegen wordt je privacy geschonden, tenzij je een lokaal rondvluchtje boven Amsterdam wilt maken.

We zullen het altijd wel verliezen, er zal gekozen worden voor veiligheid boven onze privacy. Dat terwijl we allang weten dat terroristische organisaties over bodyscans beschikken om ze te doorgronden.

Als we er dan toch niets aan kunnen doen, kunnen ze de bodyscan dan niet combineren met zo’n total body scan? Scheelt ons een berg geld en dan horen we iedere keer dat we gaan vliegen tenminste of we nog gezond zijn.

Misschien moeten we allemaal spontaan katholiek worden. De paus vindt de bodyscan ook te naakt:
Tijdens een ontmoeting met luchthavenspecialisten liet de paus weten tegen de bodyscanners te zijn. Niet alleen de terroristische dreiging, maar vooral de persoonlijke integriteit moet veilig worden gesteld, volgens Benedictus XVI. Het hoogste goed dat we in een persoon moeten beschermen, is zijn of haar integriteit, meent de paus (bron).

Providers woedend over tapvergoeding overheid

  door

Providers krijgen van de overheid een vergoeding van 13,13 euro per internettap. Het plaatsen van een tap kost echter zo’n 1.300 euro. De isp’s zijn woedend.

De kosten voor het plaatsen van internettaps komen wettelijk gezien voor de rekening van de providers. Zij zijn namelijk verplicht om taps te plaatsen voor Justitie en de AIVD. De investeringen die providers moeten doen om tappen mogelijk te maken, moeten zij doorberekenen aan eindgebruikers (bron).

Daar gaat je business case als je ISP wilde worden. Het enthousiaste tappen van de overheid kost je gewoon de kop. Hoe meer zij willen tappen hoe meer verlies je bij kunt boeken op de winst- en verlies rekening. Inmiddels zijn er al vaker berichten verschenen waaruit blijkt dat tappen en afluisteren binnen Nederland de gewoonste zaak is. In 2009 waren het al zo’n 3350 internettaps en in 2008 luisterden ze dagelijks al 1681 telefoontjes af.

Nederland is internationaal ‘koploper telefoontaps’. In de Verenigde Staten worden er jaarlijks in totaal 2.208 gesprekken afgeluisterd. De politie heeft in totaal bij 12.491 telefoonnummers getapt. Het grootste deel van de taps, 84 procent, had plaats bij mobiele nummers (bron).

NS start proef met spuugkit

  door

Wat mij betreft weer een reden om maar niet met het openbaar vervoer te gaan.

De Nederlandse Spoorwegen beginnen een proef met zogeheten spuugkits. Deze kits zullen de komende maanden ingezet worden om dna-materiaal te verzamelen van reizigers die spoorwegpersoneel bespugen (bron).

Niet dat ik van plan was om een conducteur te gaan bespugen, maar als ze hier al maatregelen voor moeten verzinnen dan wordt er blijkbaar nogal wat afgespuugd in het OV. Kans dat je als niets vermoedende treinreiziger door een medepassagier bespuugd wordt vind ik niet echt een aanlokkelijk idee.

Het speeksel van de zich misdragende passagier dat daarmee kan worden verzameld gaat daarna naar het Nederlands Forensisch Instituut voor dna-onderzoek.

Dus het bewijsmateriaal gaat naar het NFI en daar gaan ze dan ook echt onderzoek doen naar dit DNA? Klinkt mij ongeloofwaardig in de oren. Hoeveel tijd kost zo’n test wel niet en wat zou dan de straf zijn die de spuger krijgt?

Nee, volgens mij moeten we hier het verhaal omdraaien. Volgens mij wordt het aan ons verkocht onder het mom van de spuger oppakken, maar is het juist de bedoeling om de DNA-database te vullen.

Avast de beste gratis virusscanner

  door

Voor iedereen die zijn pc wel eens kreunend en steunend bij me gebracht heeft omdat ze per “ongeluk” de verkeerde site hadden bekeken of dat leuke mailtje hadden geopend de volgende tip: Avast is de beste gratis virusscanner.

Internetgebruikers die een gratis virusscanner zoeken, zijn volgens de Franse beveiligingsexpert Malekal Morte het beste uit met Avast. De test bestond uit het herkennen van kwaadaardige websites die drive-by download exploits bevatten of geinfecteerde codecs en nep-virusscanners aanbieden. Avira, Microsoft Security Essentials, AVG, Panda Cloud en Avast werden getest (bron).

Knoop het goed in je oren, dat scheelt mij een hoop herstel werk…en het is nog gratis ook.

Security managers krijgen nog niet genoeg beloning

  door

Security managers worden nog niet genoeg beloond voor hun werkzaamheden. Dat blijkt uit het Salarisonderzoek 2009/2010 van Security Management dat in het voorjaar van 2009 is verricht. Het onderzoek toont onder meer aan dat security voor veel bedrijven geen `main issue` is…De meeste managers moeten bovendien ook nog rapporteren aan de facility manager. Daarmee is de functie van de security manager in de praktijk niet toereikend genoeg om risico`s echt te handhaven. Door de lage positionering kan de security manager minder goed sturing geven aan risicobeheersing en de continuiteit van het bedrijf minder goed veilig stellen (bron).

Ja, dit blijft natuurlijk een beetje een kip en ei probleem. We zien steeds allerlei berichten voorbij komen waarbij we de conclusie kunnen trekken dat het met het niveau van de beveiliging nog niet zo goed gesteld is, maar ja wat wil je als je er de juiste beloning niet tegenover zet?

Een goede security manager moet ervaring hebben op vele gebieden, moet de organisatie door en door kennen en moet een gesprekspartner zijn voor de directie. Alleen op deze manier kan hij de risico’s voor de organisatie beheersen.

Stoppen we de security manager ergens onder de facility manager dan moeten we echt bij onszelf te raden gaan. Willen we beveiliging juist op de kaart zetten dan hebben we nog een hoop te doen.

Veilig internetten geen prioriteit bij studenten

  door

Een onderzoek van SURFnet in samenwerking met een aantal hoger onderwijs- en onderzoeksinstellingen naar het beveiligingsbewustzijn van studenten en medewerkers, laat zien dat de aandacht voor internetbeveiliging onder studenten laag is (bron).

Ai, dit is een pijnlijk probleem voor de toekomst. De jeugd heeft de toekomst maar als de jeugd onvoldoende beveiligingsbewust is dan hebben we nog een hoop werk te doen. De studenten van nu zijn de directeuren van de toekomst. Als ze zich nu al geen raad weten met de beveiliging hoe moet dat dan voor de bedrijven die ze gaan leiden in de toekomst? Wordt het dan leiden of lijden?

Jammer is dat het onderzoek niet heeft geprobeerd te achterhalen wat de oorzaken zijn. Dat is wat ons nu juist moet interesseren. Niet alleen voor de studenten maar juist ook voor het bedrijfsleven. Kennen we de oorzaken niet dan kunnen we alleen aan symptoombestrijding doen.

Probeer bij een beveiligingsprobleem of incident in je praktijksituatie eens te achterhalen wat de oorzaak is en dan bedoel ik de echte oorzaak, dus niet het sociaal wenselijke antwoord dat we krijgen. Nee, vraag nog even door. Wat bedoel ik hier nu weer mee? Ik zal het kort proberen toe te lichten: een medewerker veroorzaakt een incident. Is dan de medewerker de oorzaak (zo ja dan moeten we daar dus wat aan doen), maar is dat wel echt zo? In veel gevallen is de medewerker niet de oorzaak, ja hij veroorzaakt het probleem, maar waarom? Doorvragen dus. Wist hij niet dat hetgeen hij deed een risico vormde? Was er voor hem geen andere mogelijkheid om zijn werk uit te voeren? En ga zo nog maar even door.

Als hij niet wist dat het een risico vormde wat hij deed dan moeten we ons dat zelf kwalijk nemen. Blijkbaar is het ons niet gelukt om onze kennis voldoende bij hem over te brengen (zijn wij nu ineens de oorzaak? En moeten we daar dan niets aan doen?). Had de medewerker wel de middelen om het veilig te doen?

Neem als voorbeeld maar eens het gebruik van (privé) webmail binnen organisaties. De medewerker stuurt via webmail documenten naar zijn privé adres om er thuis verder aan te kunnen werken. “Strafbaar” feit omdat we in ons beleid hebben opgenomen dat dat niet mag? Of is dit de enige manier voor de medewerker om zijn deadline te halen? Moeten we er bijvoorbeeld niet voor zorgen dat hij een veilige thuiswerkplek heeft of moeten we hem niet een veilige USB-stick geven? Dat zouden we kunnen doen, maar waar we ook eens naar moeten kijken is de werkdruk die we hem hebben opgelegd.

Te vaak zien we nog dat managers opdrachten accepteren van de directie zonder daarbij met de medewerkers af te stemmen. De manager zegt dat het morgen af is (commitment aan de directie) en schuift het probleem door naar de medewerker. De medewerker op zijn beurt wil zijn manager niet teleurstellen (of is bang dat hij zijn bonus niet haalt) en gaat tegen beter weten in de opdracht aan. Hij mailt de nodige informatie naar zijn huisadres, maakt een typefout en het staat morgen in de krant.

Mogen jullie drie keer raden wie hier voor opdraait? De directie, de manager of de medewerker?
Al snel zullen we wijzen naar de medewerker, toch? Natuurlijk had de medewerker nooit de informatie over een onbeveiligde lijn moeten versturen, maar waarom deed hij dat? Om zijn manager niet teleur te stellen. De manager gaf hem niet genoeg tijd om zijn werk goed te kunnen doen, is de manager dan niet schuldig aan dit incident? De directie heeft onvoldoende budget ter beschikking gesteld en vindt veilige thuiswerkplekken een te dure oplossing. Is de directie niet schuldig dan?

Zo zie je maar, we zien ogenschijnlijk een beveiligingsincident maar eigenlijk is dat slechts het gevolg van een managementprobleem. Ga voor jezelf nog eens wat actuele beveiligingsincidenten na, was dat echt de schuld van de medewerker of hebben we die als symptoombestrijding de schuld gegeven en was daarmee de kous af?

Deze medewerker zal in de toekomst een dergelijk incident (hopelijk) niet meer veroorzaken maar hoeveel medewerkers kunnen dat nog wel doen? Moeten we niet de echte oorzaken (welke dat ook mogen zijn) proberen weg te nemen door bijvoorbeeld de werkdruk af te stemmen of de juiste middelen ter beschikking te stellen?

Online beveiligingswereld is een elitaire wereld

  door

In navolging op het bericht van gisteren waarbij we als beveiligingsexperts minder arrogant moeten worden hierbij volgens mij nog een aanvullend (en misschien wel veel groter) probleem: ons taalgebruik en onze communicatieve vaardigheden.

Het gebruik van computerjargon en weinig verbeeldingrijke reclame weerhouden internetgebruikers ervan om te onderzoeken hoe ze zichzelf online zouden moeten beveiligen. Dat is de conclusie van een aantal cyberexperts die hoe computergebruikers beter zouden kunnen beschermd worden tegen het groeiende probleem van online diefstallen, fraude, vandalisme, misbruik en spionage (bron).

Beveiligingsexperts moeten (althans als ik de berichten mag geloven) echt beter leren communiceren. Niet alleen het “wat” (communicatie) maar juist ook het “hoe” moeten we eens goed onder de loep nemen. Onder het “hoe” versta ik bijvoorbeeld onze woordkeuze en onze “tone-of-voice”. Oftewel de juiste dingen op de juiste manier zeggen.

Het jargon moeten we loslaten en we moeten ons meer verdiepen in de taal die de ontvanger spreekt. Nee, ik bedoel niet per definitie dat we Jip en Janneke taal moeten gaan spreken (dat zou in veel gevallen te arrogant zijn, zie het bericht van gisteren) maar wel dat we moeten proberen onze communicatie af te stemmen op de ander.

Een financieel expert moet anders benaderd worden dan een marketingmanager. De marketingmanager gebruikt weer andere woorden dan de algemeen directeur die vervolgens een andere taal spreekt dan de IT-manager.

Bepaal voor jezelf “wie je aan de lijn hebt”, wie je doelgroep is voor een bepaalde communicatieuiting. Willen we bijvoorbeeld de medewerkers ergens over informeren dan is het misschien een goed idee om eens met de communicatieafdeling door te spreken wat de beste communicatie is.

We nemen te vaak aan dat ze ons wel zullen begrijpen, we zijn zo met onszelf bezig dat we de vragende blikken niet eens opmerken. Voor ons zijn de begrippen misschien bekend en relevant maar denken we nu echt dat een medewerker het verschil weet tussen hacking en cracking? En beter nog: zou het hem moeten interesseren? Hij moet zijn werk kunnen doen en of zijn netwerk er nu uit ligt vanwege een hacker, een virus of een simpele storing maakt voor hem niet uit, hij wil gewoon zijn deadline halen en het moet gewoon werken.

Juist door in jargon te blijven praten creëren we een enorme mist en plaatsen we ons in een lastige situatie. Als we mazzel hebben willen ze best naar ons luisteren…maar horen ze ons ook en begrijpen ze wat we bedoelen? Vaak is jargon helemaal niet nodig, die bewaar je maar voor de indruk die je achter wilt laten bij je mede beveiligingsexperts.

Beveiliging is helemaal niet zo exotisch en moeilijk als we soms willen doen geloven. Sterker nog het moeilijkste aspect van beveiliging is gewoon de communicatie.

Beveiliging mag minder arrogant

  door

Beveiliging mag minder arrogant, zo zegt de titel maar volgens mij mogen we dit direct vervangen door: beveiliging moet minder arrogant (of is dat dan weer arrogant als ik het zo stel?).

Overal werken klanten het liefst samen met vriendelijke, dienstbare en geduldige mensen. Jammer genoeg is deze omschrijving niet van toepassing op veel securitydeskundigen, behalve wanneer zij in gesprek zijn met andere securityprofessionals (bron).

Als beveiligingsdeskundige hebben we nog steeds een groot imagoprobleem. Natuurlijk zijn er nog steeds “experts” met weinig inlevingsvermogen die alles het liefst willen verbieden. Toch denk ik dat er meer en meer experts opstaan die in het vizier hebben dat beveiliging (in welke vorm dan ook) altijd ondersteunend is aan de business. Met het primaire bedrijfsproces verdient de organisatie haar geld, beveiligingsmaatregelen kosten ogenschijnlijk alleen maar.

De kunst voor ons als beveiligingsexperts is om die maatregelen te vinden die een meerwaarde hebben voor de nieuwe ontwikkeling. In de praktijk merken we nog steeds dat het gemakkelijker is om beveiligingsmaatregelen te adviseren (die van alles verbieden, die het werk onmogelijk maken, etc) dan om mee te denken om de risico’s af te dekken. Oh ja, een risico accepteren kan ook een hele goede maatregel zijn (vanuit de business gezien), als de risico-acceptatie op het juiste niveau binnen de organisatie plaatsvindt dan kan ik daar uitstekend mee leven.

Bij iedere maatregel die uiteindelijk geadviseerd wordt moeten we ons afvragen of de business daar nu echt mee geholpen is en of we nu ook echt een reëel risico afdekken voor de organisatie. Daarbij moeten we steeds bedenken dat maatregelen bestaan uit de combinatie van: technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.

Trekken we de parallel met fysieke beveiliging dan verbaast het mij dat er nog maar zo weinig wordt gedaan aan esthetisch verantwoorde systemen. Wat bedoel ik daarmee? Waarom zijn er bijvoorbeeld geen mooi weergegeven ruimtedetectoren? Laten we eerlijk zijn, wie wil er nu een lelijke detector aan de muur hebben? Waarom kan die niet mooi zijn? Volgens mij is het een kleine kunst om een rookdetector te verwerken in een plafonnière. Een combinatie die mij over zou halen om er serieus over na te denken. Nu moet ik twee dingen aan mijn plafond hangen, een detector en een lamp…combineren we dat dan biedt dat vele voordelen.

Oh ja, de rookdetector is hier natuurlijk slechts een simpel voorbeeld. Ik ben er van overtuigd dat we op alle gebieden maatregelen kunnen bedenken (die dus ook echt risico’s afdekken) die het het werk voor de medewerkers makkelijker maakt of die er esthetisch mooi uitzien. Kunst voor ons als beveiligingsexperts is om verder te kijken dan onze neus en juist die adviezen te geven waar de business echt mee geholpen is.

Om er dan nog maar een (fysiek) voorbeeldje bij te halen. Het gebruik maken van camerasystemen is van oudsher een beveiligingsissue. Toch zijn er al jaren systemen die ook het aantal bezoekers en bezoeksgedrag kunnen monitoren, daarmee kun je op marketinggebied hele interessante gegevens achterhalen. Een combinatie dus waarmee je de beveiligingsmaatregelen inzet om de business te helpen verbeteren.

Gooien we er toch maar weer eens een van mijn motto’s in: alles kan, maar wel zo veilig mogelijk.