Cybercrime vaker van binnenuit dan gedacht

Vooral de eigen collega’s maken zich schuldig aan ernstige vormen van computercriminaliteit. Een op de acht bedrijven heeft hier in 2009 mee te maken gehad. Steeds meer bedrijven zijn in zeer grote mate afhankelijk van ICT (83%). 42% van de ondervraagden ziet dat cybercrime in 2009 is toegenomen, tegenover 8% die een afname heeft gesignaleerd.

Bedrijven zien cybercrime vooral als externe dreiging, aldus 73 procent van de ondervraagden. Laten we de minder ernstige vormen van cybercrime (spam en virussen) buiten beschouwing dan blijkt uit dit onderzoek dat het vooral de eigen collega’s zijn die ernstige misdrijven kunnen begaan. Volgens de onderzoekers zegt twaalf procent last te hebben gehad van fraude met gegevens en tien procent van diefstal van gegevens. ‘De impact op een organisatie kan enorm zijn.’, aldus Monique Otten van Ernst & Young. ‘In deze tijden wordt intern gepleegde cybercrime juist versterkt door personele wijzigingen en omdat medewerkers onzeker zijn over hun toekomst’ (bron)

Binnen de securitywereld is al langer bekend dat de grootste bedreigingen niet van buiten komen maar juist van binnen. Raar eigenlijk dat de meeste beveiligingsmaatregelen zich nog steeds richten op de buitenwereld. Firewalls, anti-virus maatregelen, sloten op de deur en ga zo maar door. Allemaal bedoeld om bedreigingen van buiten tegen te houden. Medewerkers, met een inlog-account en een toegangspas hebben vrij toegang tot informatie en delen van het gebouw waar je ze liever niet wilt zien.

Een discussie die we al vaker gevoerd hebben: welke rechten heeft een beheerder bijvoorbeeld nodig om zijn werk goed te kunnen doen? Natuurlijk moet hij/zij back-ups kunnen maken en incidenten kunnen verhelpen, maar daarvoor hoeft hij nog steeds niet bij de inhoud van de informatie.

In tijden dat veel organisaties bezuinigen wordt het risico alleen maar groter. Beheerders die op zoek moeten naar een nieuwe baan vormen een groot risico, wat doen zij allemaal op het netwerk voordat ze de organisatie verlaten? Waarom laat je hen de rechten behouden tot de laatste dag? Beter is de rechten direct in te nemen zodra duidelijk is dat afscheid van hem of haar moet worden genomen.

Zelfde geldt natuurlijk voor de andere medewerkers. Zij kunnen op het netwerk en in de systemen bij allerlei bedrijfsvertrouwelijke informatie, weet je zeker dat ze deze informatie niet bewerken, verwijderen of kopieren voor eigen gebruik?

Bij bezuinigingen (die helaas vaak gepaard gaan met ontslagrondes) is beveiliging een belangrijk aspect, dat we nog maar zelden terug zien in de bezuinigingsplannen.

Kinderen gevaar voor bedrijfsnetwerk

Ouders en leraren hebben onvoldoende kennis om kinderen wegwijs op internet te maken, waardoor uiteindelijk de beveiliging van bedrijfsnetwerken in het geding komt…Uit onderzoek blijkt dat veel Britse kinderen de werk- of thuiscomputer van hun ouders gebruiken en huiswerk op onbeveiligde USB-sticks mee naar school nemen. Verder gebruikt de helft van de kinderen P2P-netwerken voor het downloaden van muziek, wat uiteindelijk tot het downloaden van malware kan leiden (bron).

Ja, dat is toch een puntje voor alle werkende ouders om bij stil te staan. Hoe ga jij op je werk uitleggen dat je laptop aan alle kanten uit zijn voegen barst door alle porno en illegale MP3-tjes die erop staan? Hoe ga je aan je baas uitleggen dat het je verschrikkelijk spijt dat door jouw laptop het hele netwerk geinfecteerd is geraakt met het nieuwste virus? Je collega’s zijn dan misschien blij met je (die krijgen een paar dagen onbetaald verlof omdat ze niet kunnen werken) maar jij plukt er de wrange vruchten van.

Dit is natuurlijk vrij simpel op te lossen…je koopt privé gewoon een laptop van een paar honderd euro daar laat je lekker je kinderen (en misschien ook nog wel je vrouw) op internetten. De troep die ze binnen halen kan jouw laptop niet beinvloeden (tenzij je je jouw laptop weer in het thuisnetwerk hangt zonder enige vorm van bescherming).

Het zal je toch gebeuren, de hele dag hard gewerkt aan de presentatie voor die nieuwe grote lead…een potentiele opdracht van miljoenen met een contract voor de komende jaren…zijn al jouw sheets vervangen door plaatjes met mensen in hun vleeskleurige pak.

Vaders…hou je kinderen binnen.

Mobiele telefoons lekken fotolocatie

De foto’s die mensen via hun mobiele telefoon maken, bevatten vaak ook locatiegegevens. Inmiddels beschikken veel toestellen niet alleen over een camera’s, maar ook over een GPS, waarmee de locatie van de telefoon is vast te stellen. Samen met informatie over de afbeelding, belandt deze data vaak in de zogeheten EXIF tag. Twitpic dient als dumpsite voor afbeeldingen die Twitteraars in hun berichten opnemen. De telefoon maakt een foto, die de afbeelding vervolgens naar twitpic stuurt en een bericht op Twitter plaatst die hier naar wijst. De meeste Twitpic afbeeldingen staan open voor de hele wereld. (bron).

Een aantal maanden geleden hoorde ik dit al van een collega die zelf ook gebruik maakte van Twitpic. Je kunt dan wel je Twitter dichtzetten voor de buitenwereld maar via Twitpic zijn de foto’s die je bij je berichten zet wel gewoon te zien.

Omdat we inmiddels weten hoe Twitter omgaat met melders van lekken (die worden gewoon afgesloten, shoot the messenger) zijn we er maar niet actief achteraan gegaan.

Kijk zelf eens op Twitpicen ververs je scherm een paar keer. Onderin beeld zie je allerlei recente foto’s voorbij komen waarvan een groot deel van de uploaders zal denken dat ze veilig verborgen zitten.

AIVD lekt identiteit eigen personeel

De AIVD heeft een document online gezet waarin de dienst waarschuwt voor digitale spionage. De dienst beveiligt de identiteit van medewerkers zelf echter slecht. Henk van Ess, zoekmachine-expert en oprichter van Voelspriet.nl, ontdekte binnen twintig minuten de identiteit van vier medewerkers van de AIVD (bron).

Dit deed hij door documenten van de site van de AIVD te downloaden en de metadata te doorzoeken. Het gaat om e-mailadressen en namen van medewerkers maar ook bijvoorbeeld richtlijnen voor het opstellen van brieven…In een bijlage van een ander document staan volgens Van Ess vijf gebruikersnamen genoemd…Van Ess zocht de directory op waar de stukken staan van de AIVD, dat is ‘downloads’. Met de zoekopdracht “inurl:downloads site:aivd.nl”, vervolgens is Van Ess een aantal stukken doorgelopen. (bron)

Toch ook nog maar even snel gekeken op Hyves…daar is wel een groepshyve te vinden met de naam AIVD District Delft (met 19 leden) maar of het hier ook echt AIVD-leden betreft kan en wil ik niet weten. Opvallend is wel dat er ook nog een “MID AIVD” hyve is, maar daar is dan weer niemand lid van.

Ook nog LinkedIn er bij gepakt. Als ik zoek op AIVD kom ik 45 profielen tegen die die term in hun profiel verwerkt hebben. Op zich zie ik zo 1, 2, 3 geen functies die direct te herleiden zijn. Wel kom ik op de eerste pagina een medewerker van Europol tegen. Dus ook nog even gezocht op Europol en daar kom ik 570 profielen tegen. De eerste pagina laat functies zien als:

  • Project manager
  • Business Continuity Manager
  • ICT Security Teamleader
  • Intelligence Analyst
  • Payment Card Fraud
  • en meer.

Ach, we zullen het wel nooit weten, maar misschien is het wel gewoon toegestaan conform het beleid van Europol. En omdat ik geen zin heb om vannacht van mijn bed te worden gelicht stop ik hier met zoeken. Er zijn natuurlijk nog zat andere interessante organisaties om eens op te zoeken. Kan tot verrassende resultaten leiden…maar dat mogen jullie zelf doen (oh ja, ben uiteraard wel benieuwd naar jullie zoekresultaten).

75% bedrijven doelwit cyberaanvallen

Driekwart van de bedrijven is de afgelopen maanden doelwit van een cyberaanval geweest. 36 procent beschreef de aanval als enigszins tot zeer effectief. Verder meldde 29 procent van de bedrijven dat het aantal aanvallen de afgelopen twaalf maanden is toegenomen en raakt 43 procent vertrouwelijke of zakelijke informatie kwijt. Dergelijke aanvallen kosten bedrijven gemiddeld 1,5 miljoen euro per jaar. Daarnaast meldden bedrijven dat beveiliging steeds lastiger wordt, als gevolg van onderbezetting, nieuwe IT-initiatieven waarvoor extra beveiliging nodig is en het belang van toezicht op IT.

“Als er een onderwerp is dat IT-managers wakker houdt, dan is het security”. 42% van de respondenten beschouwt beveiliging als de belangrijkste prioriteit, gevolgd door traditionele criminaliteit (17%), brand (17%) en natuurrampen (14%). Over terrorisme maken bedrijven zich met tien procent het minst zorgen (bron).

Kun je nagaan: een dergelijke aanval kost bedrijven gemiddeld 1,5 miljoen euro per jaar. Voor veel bedrijven is het security budget niet eens 1,5 miljoen. Zaak dat we ons meer en meer gaan richten op de kosten/baten-analyse voor beveiliging.

Voor de duidelijkheid. Deze 1,5 miljoen betreft alleen de cyberaanvallen. Kun je nagaan wat andere incidenten kosten. Weten we niet allemaal dat de grootste dreiging van intern komt. Medewerkers hebben al toegang tot het gebouw en delen van de informatie en kunnen vele malen meer schade aanrichten dan het genoemde bedrag.

Hackers in actie tegen censuur van porno

Australische activisten tegen censuur op internet hebben woensdag een aantal websites van de overheid tijdelijk platgelegd. Een online beweging die zich Anonymous noemt, claimde in een e-mail de verantwoordelijkheid voor wat het ‘Operation Titstorm’ noemt. De aanval werd uitgevoerd vanwege pogingen van de regering van Australie om bepaalde online porno-video’s te weren met behulp van een internetfilter. Het gaat dan om filmpjes waarin vrouwen ejaculerend klaarkomen en om video’s waarin vrouwen met kleine borsten acteren (bron).

Nee dan pakken ze het in China toch harder aan:
Een Chinees heeft dertien jaar celstraf gekregen voor het beheren van een pornografische website (bron).

En als je denkt dat dit de enige is? Nee hoor:

Vorig jaar heeft China bijna 5400 inwoners aangehouden voor betrokkenheid bij online porno. Het land probeert zo meer grip te krijgen op wat op internet gebeurt. China heeft het strengste internetbeleid ter wereld.

Maar ach, met 1.338.612.968 inwoners valt het natuurlijk nog best mee als er maar 5400 betrokken zijn bij dit soort praktijken.

Slachtoffers uitgescholden via Facebook

Dertig pagina’s van het sociale netwerk Facebook zijn op last van de Britse minister van Justitie Jack Straw verwijderd, omdat gevangenen ze gebruikten om hun slachtoffers uit te schelden. Gevangenen gebruikten hun via het lichaam gesmokkelde telefoons om toegang te krijgen tot hun profielen op Facebook, waar ze familie en vrienden van de slachtoffers uitscholden en bang maakten.

Een woordvoerder van het ministerie van Justitie zei duidelijk te hebben gemaakt aan Facebook dat zulke pagina’s niet actief mogen zijn, omdat ze erg kwetsend zijn voor slachtoffers en hun naasten. Facebook heeft de pagina’s binnen 48 uur verwijderd (bron).

Ja, ja, dus de minister verzoekt Facebook om de pagina’s te verwijderen. Lijkt me toch zinvoller als hij ervoor gaat zorgen dat de “inmates” geen beschikking meer hebben over hun telefoon. Het feit dat er dergelijke pagina’s bestaan ligt toch echt aan het gebrek aan controle bij het gevangeniswezen…vooral lekker afschuiven naar een site als Facebook. Mogen ze trouwens nog niet klagen dat Facebook de pagina’s heeft verwijderd.

Wat kunnen de Britten eraan doen als Facebook niet zo welwillend is om samen te werken? Lastig gevalletje want internationale wetgeving is er volgens mij nog niet.

Oh ja, en voor iedereen die moeite heeft met de bodyscan…vooral geen gevangenen in de UK bezoeken want daar scannen ze je lichaam zelfs intern.

Om de telefoonsmokkel te bestrijden, worden bezoekers van gevangenissen verplicht op een stoel plaats te nemen die hun lichaam intern scant.

Ik zeg: combineren met de ziektekostenverzekering…kun je direct vragen of je van binnen nog gezond bent.

Subsidie voor beveiliging MKB…

Ondernemers in het mkb krijgen ineens veel minder subsidie voor de beveiliging van hun bedrijven nadat het ministerie van Economische Zaken de subsidie om kleine bedrijven beter te beveiligen plotseling heeft versoberd…Onlangs werd bekend dat het ministerie van Economische Zaken de subsidie ook in 2010 zal verstrekken. Het bedrag is nu echter ingesnoerd van tienduizend naar duizend euro. Een woordvoerder van staatsecretaris Frank Heemskerk bevestigt de ingreep in de Telegraaf. De toeloop bleek zo groot dat er besloten is het subsidieplafond te verdelen (bron).

Goed werk van het Ministerie (not). Hebben ze eindelijk de MKB-ers zover dat ze aan beveiliging gaan doen korten ze de beschikbare budgetten. En niet een beetje, nee gewoon rigoureus. Denkt het Ministerie dat je een MKB-bedrijf met 1.000 euro kunt beveiligen? Of vinden ze dat de MKB-ers zelf maar geld bij moeten leggen?

Nou, het was een leuk initiatief van de overheid…voor zolang het duurde dan.

Nu maar hopen dat het Ministerie haar eigen beveiligingsbudgetten niet op dezelfde manier kort…want dan liggen binnenkort de gegevens op straat en kan de minister zich verantwoorden in de kamer.

Draadloos netwerk beter beveiligd

Draadloze thuisnetwerken worden veelal gezien als onveilig. Uit onderzoek blijkt echter dat in Nederland 89 procent van de bezitters van een draadloos thuisnetwerk de beveiliging heeft ingeschakeld. In Duitsland en Groot-Brittannie liggen deze percentages met respectievelijk 96 procent en 92 procent nog hoger (bron).

Dat is voorwaar geen slechte score…89% heeft een vorm van beveiliging aangezet. Even een steekproefje: bij mij in de buurt vind ik 10 draadloze netwerken, daarvan zijn er 7 met WPA2 beveiligd, 1 beveiligd met WEP en 2 zijn er onbeveiligd. Dat lijkt dus aardig in de buurt te komen zeker met zo’n kleine steekproef. Blijkbaar woon ik in een representatieve wijk.

Het bericht gaat verder:
In alle landen blijkt dat de jongste groep respondenten (18-24) het hoogste percentage van veilige draadloze netwerken heeft en het laagste percentage ingeschakelde beveiliging wordt gevonden bij de 55-plussers.

Blijkbaar kunnen de ouwetjes in dit geval nog wat van de jonkies leren. Op zich niet zo vreemd natuurlijk. De jongeren zijn opgegroeid met computers en de meeste zijn waarschijnlijk nog met DOS en Windows 3.1 begonnen (of nog eerder natuurlijk). De jongeren waren duidelijk de early adopters in dit geval terwijl de 55-plussers op afstand volgden.

Extra beveiliging politie voor geldlopers

De politie in Amsterdam gaat geldlopers extra beveiligen…Bij de overvallen wordt steeds vaker flink geweld gebruikt. De geldwagens krijgen nu begeleiding van politieauto’s en/of motoren. Eerder al zette de politie helikopters in en waren agenten op straat extra alert. Tot wanneer de maatregelen van kracht zijn, is niet bekend. (ANP)

Een goede, maar zeer kostbare zaak. Deze maatregel wordt voorlopig alleen in de regio Amsterdam toegepast, want daar rommelt het nogal. Mogen jullie drie keer raden wat er gaat gebeuren…
1) Dat zal de overvallers wel afschrikken;
2) Het aantal overvallen zal afnemen;
3) De overvallen verplaatsen zich naar een andere regio.

Hoe spijtig ook maar ik gok op de derde optie.

Het aantal overvallen moet dit jaar met duizend worden verminderd ten opzichte van vorig jaar. Toen waren het er 2.898. Sinds 2007 is het aantal overvallen flink toegenomen. Een onacceptabele stijging die vraagt om een snoeiharde aanpak, zei burgemeester Aboutaleb van Rotterdam, tevens voorzitter van de taskforce (bron).

Het aantal overvallen en de agressie die gebruikt wordt nemen toe. De ene branche neemt maatregelen waarna de criminelen doodleuk aan een andere branch beginnen. Zodra alle bedrijven maatregelen hebben genomen zijn wij, doodgewone burgers, aan de beurt. Het aantal woningovervallen is al sterk toegenomen (even uit mijn hoofd, ik geloof met 27%) en het aantal straatroven zal ook niet mals zijn.

Goed dat deze vorm van criminaliteit de aandacht krijgt die het verdient…nu nog zorgen dat de criminelen ook de straf krijgen die ze verdienen (en nee de huidige straffen zijn vaak niet goed genoeg). Hoe dan wel? Ach dat is moeilijk te zeggen, ik weet het ook niet. Ik weet dat gevangenisstraf vaak niet helpt, maar wat moeten we dan? Laten we dan toch maar eens beginnen met de straffen te vermenigvuldigen met het aantal delicten dat iemand op zijn naam heeft. Een straf van 2 jaar terwijl je al 7 delicten op je naam hebt? Dat wordt dan automatisch 14 jaar (en nee niet na 2/3 van je straf alweer op straat, maar gewoon uitzitten op water en brood). De slachtoffers zijn de daad na 2 jaar echt nog niet vergeten…zij hebben vaak levenslang.