Dit is nou wat ze slagwerend noemen…
Auteur:
Onveilige babyfoon laat buren meegluren
Een Amerikaanse man heeft fabrikant van babyfoons Summer Infant en Toys R Us aangeklaagd, omdat de buren via de babyfoon probleemloos konden meekijken en meeluisteren wat er in de babykamer gebeurde (bron).
Nou daar gaat je privacy, ben je net geboren en nog geheel onwetend word je al bespied door de buren. Het zijn natuurlijk Amerikaanse taferelen maar ze worden hier ook verkocht. Tenzij je iets heel erg prive’s doet in de babykamer (zou ik toch een andere kamer voor uitkiezen) is het misschien juist wel makkelijk. Heb je zelf even geen tijd om op te letten of ben je je huilbaby even zat dan kunnen je buren een oogje in het zeil houden voor je. Gaat het dan fout kun je altijd nog je buren aansprakelijk stellen.
Als hij niet wil dat de buren mee kunnen kijken dan had hij maar een duurder model moeten kopen (aldus de fabrikant). Ehm, ja eigenlijk hebben we een hoop van dit soort onveiligheden aan onszelf te danken. Wij willen het zo goedkoop mogelijk, dan moeten we niet verbaasd zijn dat de fabrikant de beveiliging achterwege laat.
Er zit een luchtje aan terrorisme
Britse wetenschappers werken aan een apparaat dat menselijke angst “ruikt” en zo terroristen kan detecteren die de geur in hun zweet afscheiden…Uit angst om ontdekt te worden, zouden terroristen en andere criminelen zich via hun eigen lichaam verraden (bron).
Het is niet te hopen dat je Hyperhidrose hebt. Loop je lekker rustig, niets strafbaars in gedachten, door de stad gaat ineens de terrorismedreiging omhoog. Hoe het trouwens zit met terroristen die Anhidrose hebben is nog niet bekend.
Waarom toegangsbeveiliging op deze manier niet werkt
Extra opletten bij geldautomaat
Na alle berichten over skimming en je niet af laten leiden bij de geldautomaat wil ik jullie deze toch niet onthouden.
De beste politiehond van de wereld
Je moet goed kijken, maar hij is super.
‘Overheid schiet tekort in aanpak cybercrime’
De overheid schiet tekort in de bestrijding van cybercrime. Sterker nog, de overheid werkt die ook nog eens deels zelf in de hand door ”geen paal en perk te stellen” aan de eigen informatiehonger en aan die van bedrijven. ”Mensen hebben geen idee wat er allemaal kan gebeuren met hun gegevens als criminelen er de hand op weten te leggen” (bron).
Een aantal leden van een relatiesite hebben zelf ondervonden wat de criminelen met de gegevens doen. Een 20-jarige man uit Arnhem en een 20-jarige vrouw uit Heteren zijn opgepakt op verdenking van afpersing via een relatiesite. De verdachten ontfutselden bezoekers van een relatiesite allerlei privegegevens en dreigden die informatie vervolgens openbaar te maken (bron).
Deze relatiezoekers zijn in ieder geval genaaid, maar of ze het ook lekker vonden?
Geldt overigens niet alleen voor relatiesites. Ook Loverboys maken gebruik van de kunst van het afpersen.
Loverboys lijken sociale netwerksites, jongerensites en chatboxen steeds vaker te gebruiken in hun zoektocht naar slachtoffers. Volgens de onderzoekers is er een grote overeenkomst tussen de manier waarop pedofielen en loverboys op het internet te werk gaan. Via zoekmachines zoeken ze hun slachtoffers op leeftijd, geslacht, woonplaats, hobby’s en eventueel opleidingsniveau uit (bron).
Vaders hou je dochters in de gaten. Voor je het weet gaat ze op kamers.
Webcam Google Hacks
Eerder deze week had ik het al over alle devices die open staan op internet. Ook verwees ik daarbij naar de site van Johnny I Hack Stuff.
Om het concreet te maken, hier een paar simpele zoektermen voor Google waarmee openstaande webcams gevonden kunnen worden:
- WebcamXP – “powered by webcamXP” “Pro|Broadcast”, hier een voorbeeld.
- EvoCam – intitle:”EvoCam” inurl:”webcam.html”, hier een voorbeeld.
- Hier een die we zelfs kunnen bedienen: /home/homeJ.html, hier een voorbeeld.
Ach, jullie begrijpen wat ik bedoel en kunnen de rest vast zelf wel vinden.
Juridische vraag: Zijn logbestanden bedrijfsgeheim?
Een interessante juridische vraag die op security.nl gesteld wordt:
Wij zijn een klein hostingbedrijf en wilden onderzoek doen om de performance van de shared servers te verbeteren. De makkelijkste manier leek ons om simpelweg een top10 te maken met de grootste logfiles van de webserver logs, waaronder ook de error_logs met foutmeldingen. Bij een klant bleek die log wel erg groot (enkele gigabytes), en we hebben die doorgekeken om te zien waar dat door kwam. Het bleek een groot aantal (onschuldige) PHP foutmeldingen te zijn. We hebben de klant geinformeerd, met het verzoek om dit recht te zetten. De klant reageerde erg boos: die logfiles zouden bedrijfsgeheim zijn en wij hadden daar nooit in mogen kijken! (bron)
Samengevat is het antwoord:
Een bedrijf kan claimen dat bepaalde gegevens bedrijfsgeheim zijn, maar essentieel is dan wel dat zij kan bewijzen dat daarvoor geheimhouding wordt betracht. Er moet zeg maar een stempel “GEHEIM” op staan. Ook moeten mensen die met de informatie in contact komen, expliciet op geheimhouding zijn gewezen. Het is dan strafbaar (art. 273 Strafrecht) om die gegevens te verspreiden of publiceren…De systeembeheerder heeft echter een bijzondere positie. Vanuit zijn werk komt hij in aanraking met allerlei gegevens, en het kan goed gebeuren dat hij bestanden opent waarin bedrijfsgeheimen van klant en staan. Dat mag: art. 273d Strafrecht regelt dat je die mag inzien als het nodig is voor je werk als systeembeheerder. Wel heb je dan een zwijgplicht naar anderen toe.
Hier gaat het dan specifiek om de logfiles. Maar zo’n zelfde vraag speelt bij het uitbesteden van je informatievoorziening. Delen van systemen worden uitbesteed en de informatie staat dus bij een externe leverancier. Denk bijvoorbeeld aan databases, maar ook aan bijvoorbeeld Word-documenten. Een discussie die al jaren speelt (of je het nu intern of extern beheert maakt niet zoveel uit) is wat de beheerder mag zien en doen.
Een beheerder heeft graag alle rechten, onder het mom van: “anders kan ik mijn werk niet doen.” Vanuit beveiliging denken we daar natuurlijk anders over. Ja hij moet zijn werk kunnen doen (back-ups maken, autorisaties toekennen, etc.) maar hij hoeft geen toegang tot de gegevens te hebben. Anders gezegd: hij hoeft de content niet te kunnen zien.
Te vaak zien we dat de beheerder met zijn admin-account alle rechten op het systeem heeft, het management heeft daar geen besef van en ziet de risico’s niet. De beheerder kan dus bij alle financiele en vertrouwelijke gegevens. Toezicht (technisch of procedureel) daarop wordt nauwelijks uitgevoerd. Leuk hoor zo’n geheimhoudingsverklaring maar hoe gaan we dat controleren?
De vraag die het management zich moet stellen: welke rechten heeft de beheerder maximaal nodig om zijn werk goed te kunnen doen?
Door de rechten zoveel mogelijk te beperken voorkomen we niet alleen moedwillige acties maar ook simpele beheerdersfouten. Te vaak zien we dat de beheerder zijn reguliere werkzaamheden uitvoert met zijn beheerdersaccount terwijl hij daarvoor gewoon zijn gebruikersaccount kan gebruiken. Dit kan een hoop problemen voorkomen.