Auteur:

De 5 soorten security professionals

  door

Het is altijd leuk om te kijken of we categorieën aan kunnen brengen en of we iemand in zo’n hokje kunnen stoppen. Daarom halen we vandaag maar eens een bericht aan dat ons, security professionals, allemaal in dezelfde hokjes probeert te duwen. Lees het en kijk maar of je jezelf erin herkent.

Security professionals heb je in alle soorten en maten, maar volgens Shoaib Yousuf zijn er vijf typen die het vaakst voorkomen (bron).

  1. No Master
  2. By-The-Book Preacher
  3. Dinosaurus
  4. Technology-Solves-It-All
  5. Paranoid

Als ik het lijstje zo lees dan beloofd het weinig goed voor de professionals in ons vakgebied. En natuurlijk ken ik inderdaad collega’s die in een hokje te plaatsen zijn, maar gelukkig ken ik er veel meer die niet in deze hokjes passen. Nee, ik ken er ook een hoop die inderdaad gewoon logisch nadenken en hun bijdrage aan de organisatie waar ze voor werken willen leveren.

Eerlijk is eerlijk, ik herken mezelf niet zo goed in de genoemde categorieën, mocht jij jezelf er wel in herkennen dan ga ik er toch vanuit dat je die keuze bewust gemaakt hebt. Dan ben ikzelf natuurlijk reuze benieuwd waarom je voor die categorie gekozen hebt.

Maar goed, eerst een korte toelichting op de categorieën zodat je een keuze kunt maken:

  1. De “No Master”, iemand die alle initiatieven en ideeën in de naam van security afschiet. Deze personen vormen eerder een obstakel dan dat ze iets bijdragen.
  2. De ‘By-The-Book Preacher’. Iemand die de regeltjes tot het laatste detail opvolgt. “Je vindt honderden IT-security professionals die zo zijn. Er wordt niet naar de context gekeken, er wordt geen risico in kaart gebracht, het moet gebeuren omdat het boek of het beleid dit zo stelt”
  3. De ‘Dinosaurus’. Personen die alles al hebben meegemaakt en altijd een ‘FUD-verhaal’ vertellen om hun stelling kracht bij te zetten. “De dinosaurus is lastig te bestrijden, omdat ze alles al weten.”
  4. De “Technology-Solves-It-All” professionals. Mensen die denken dat technologie alles oplost.
  5. De “Paranoid” security professional. Volgens hem de gevaarlijkste en meest onzekere van alle security professionals.

In ieder geval kunnen we stellen dat het beeld dat men heeft van de security professionals niet erg rooskleurig is. Tijd om daar, met zijn allen een draai aan te geven. Doe je best en bewijs aan je omgeving dat je niet in een hokje te plaatsen bent.

Fraude met afvalzakken in Maastricht

  door

Hadden we begin van de week nog het woord “billenfilmer” dat mee kon doen aan het woord van 2012, vandaag hebben we een woord dat zeker ook in aanmerking komt: afvalzakfraude (geen flauw idee hoeveel dat woord oplevert bij WordFeud trouwens).

Maastricht loopt jaarlijks ongeveer 400.000 euro mis door het massale gebruik van illegale afvalzakken, met name in de armere wijken. De fraude is al vijf jaar aan de gang, zegt privédetective Ben Zuidema die is ingehuurd door de gemeente (bron).

Na het lezen van de inleidende tekst bij het nieuwsbericht heb je nog geen flauw idee hoe de fraude nu eigenlijk gepleegd wordt. Je zou bijvoorbeeld kunnen denken dat buren vrolijk bij elkaar de vuilniszakken voor de deur zetten zodat er niet afgerekend hoeft te worden of dat mensen de vuilniszakken in grote containers gooien zonder het afval te scheiden, maar dat is niet het geval. Nee, de gemeente Maastricht vraagt er zelf ook wel een beetje om.

De gemeente verkoopt de vuilniszakken, de enige die officieel zijn toegestaan, voor 11 euro en dat is inclusief stortkosten. De illegale zakken kosten 5 euro.

Op zich natuurlijk best een leuk idee van de gemeente: de vervuiler betaald (als ze tenminste geen afvalstoffen belasting heffen). Alleen moet je er dan wel voor zorgen dat het gecontroleerd kan worden. Je zult er voor moeten zorgen dat je de uitgifte van vuilniszakken kunt controleren en je zult ervoor moeten zorgen dat de vuilniszakken van moeilijk na te maken echtheidskenmerken voorzien worden.

De illegale zakken blijken op grote schaal in China en Turkije te worden nagemaakt en als dergelijke berichten in het nieuws komen dan is de kans groot dat ze het in China en Turkije alleen nog maar drukker krijgen met het namaken en aan de man brengen van de zakken. In ieder geval zijn de namaak zakken nauwelijks van de echte te onderscheiden en helaas geeft het bericht ook geen inzage in de echtheidskenmerken die gebruikt worden.

Ik ben in ieder geval heel benieuwd hoe de gemeente dit probleem op gaat lossen. Nog meer echtheidskenmerken in de zakken (waardoor de zakken alleen maar duurder worden) of toch maar weer terug naar de afvalstoffen heffing, zoals die ook in andere gemeenten van kracht is? Wie het weet mag het zeggen.

Gijzelvirus vermomt zich als Windows Update

  door

Gisteren verzocht ik je nog om je pc up-to-date te houden als je veilig mijn blog wilt kunnen lezen en niet het risico wilt lopen om geïnfecteerd te raken. Want ja, met het lezen van blogs loop je meer risico dan bij het bekijken van pornosites (nou ja, op sommige gebieden loop je meer risico…maar goed, dat is een ander verhaal).

Maar toch wil ik je er ook voor waarschuwen dat je bij het ogenschijnlijk updaten van je pc goed op let.

In Duitsland is een nieuw gijzelvirus actief dat de computer kaapt en 50 euro losgeld vraagt. De ‘ransomware’ arriveert per e-mail en stelt dat de ontvanger zich voor een ‘Premium Mail’ account heeft aangemaakt. Daarbij zal er maandelijks zo’n 60 euro van de rekening worden afgeschreven. Voor meer informatie kan men de meegestuurde rechnung.zip openen (bron).

Een aantal weken geleden werden we ook al geconfronteerd met een virus dat de gegevens op je harde schijf gijzelt. Maar dit virus vermomd zichzelf als een Windows update. Ook dat is niet nieuw want een aantal jaar geleden waren er ook al virussen die zich vermomde als Windows update. Nu het storten van een bedrag kreeg je software om je pc weer virus vrij te maken. Flinke sommen geld zijn er toen naar de virusschrijvers overgemaakt want niemand zit te wachten op een virus en in alle wanhoop doe je er toch (bijna) alles aan om er weer vanaf te komen.

Voor zover ik me kan herinneren was dat vorige virus inderdaad een vervelend virus en de kans was dan ook groot dat je je pc beter kon formatteren dan dat je met allerlei tooltjes aan de slag moest gaan om het virus te verwijderen. Maar volgens mij was dat virus nog niet in staat om de gegevens op je harde schijf te gijzelen. Helaas, dit nieuwe virus kan dat wel.

Het is de komende tijd dus opletten geblazen en niet zomaar willekeurig op alle linkjes klikken. Ook niet als ze erg lijken op een Windows update. Nee, beter is om toch nog even uit te zoeken of het ook echt om een Windows update gaat. Maar goed, volgens mij ontvang je Windows updates niet via email maar gewoon omdat je pc met allerlei pop-ups komt. Een update via email kun je dus zeker als zeer verdacht aanmerken.

Nou, jullie zijn gewaarschuwd en ik wacht rustig tot jullie mij in alle wanhoop bellen omdat je niet meer bij je bestanden kunt. Misschien niet zo’n gek idee om toch maar even een extra backup te maken?

Je bent gewaarschuwd: Weblogs gevaarlijker dan pornosites

  door

Wie met ongepatchte software op het internet surft kan beter weblogs vermijden dan pornosites. Dat blijkt uit het jaarrapport van anti-virusbedrijf Symantec. Twintig procent van alle gehackte websites met kwaadaardige code in 2011 waren weblogs, terwijl het aandeel van pornosites op 2,4% bleef steken (bron).

Hoewel ik er zelf natuurlijk alles aan doe om te voorkomen dat mijn lezers geïnfecteerd raken, moet je zelf ook de nodige voorzorgsmaatregelen treffen. Als je er voor zorgt dat jouw pc helemaal up-to-date is, dan loop je in ieder geval een stuk minder risico. Van mijn kant kan ik beloven dat ik de updates voor de weblog-software steeds zo snel mogelijk door zal voeren maar garanties kan ik je helaas ook niet geven.

Maar ik reken mijn blog dan ook niet tot de blogs met de grootste risico’s. Omdat verder bleek dat religieuze en ideologische websites meer malware per geïnfecteerde/gehackte site bevatten dan pornosites. Je kunt een hoop van mijn blog zeggen of vinden, maar echt religieus mogen we hem niet noemen. Ideologisch, misschien maar dan wel op een zeer beperkt gebied en mensen ronselen probeer ik nu toch ook weer niet te doen.

Zo zie je maar weer dat de risico’s vaak uit een heel andere hoek komen dan verwacht, want eerlijk is eerlijk: had je zelf ook niet verwacht dat je eerder geïnfecteerd zou raken via een pornosite? Toch blijf ik het zelf opmerkelijk vinden. Als ik in de tekst van mijn blog de term “porno” opneem dan heb ik op die dag ineens een flinke toename in aantal lezers (ben benieuwd of de blog van vandaag, waar de term toch ook weer een paar keer voorkomt, dit beeld bevestigd). Helaas voor alle “porno-klikkers” zo spannend is mijn blog nu ook weer niet.

Ik vraag me dan ook af of ik een flinke toename zou zien als ik allerlei religieuze of ideologische termen zou roepen op dit blog. En hoewel ik het niet ga proberen, ben ik toch echt in de veronderstelling dat daar op internet en via Google minder op gezocht wordt dan op andere termen. Nou je, we zullen zien of we vandaag meer bezoekers trekken dan de dagen ervoor en de dagen er na. Als je ook benieuwd bent wil ik de stijging in % best met je delen, je geeft maar een seintje.

Politie neemt geheugenkaart billenfilmer in beslag

  door

Het lijkt misschien een inzending voor het nieuwe woord van 2012: billenfilmer, maar niets is minder waar.

De Friese politie heeft tegen een 50-jarige inwoner uit Leeuwarden proces-verbaal opgemaakt. De man wordt ervan verdacht vrouwen te hebben bespied en van de achterzijde van hun billen filmopnames te hebben gemaakt. Een man meldde dat hij de verdachte had betrapt terwijl deze de billen van zijn vriendin filmde…Toen de agenten ter plekke kwamen zagen zij de verdachte achter twee vrouwen lopen, waarbij de man met zijn spiegelreflexcamera opnames maakte. De man werd aangesproken en tegen hem werd proces-verbaal opgemaakt (bron).

Er zijn tegenwoordig steeds kleinere camera’s op de markt en in (bijna) alle telefoons zit een camera waar ze 10 jaar geleden erg jaloers op zouden worden. Het is natuurlijk al erg genoeg dat iemand met een camera filmpjes maakt van niets vermoedende voorbijgangers, maar ja, wat niet weet wat niet deert, toch?

Grote kans dat jij ook al eens gefilmd bent in een van je gekke buien of als je struikelde over die losliggende stoeptegel. Maar om nu uitgebreid met een spiegelreflex camera filmpjes te maken gaat wel erg ver.

Het is natuurlijk best lollig en nog redelijk onschuldig, maar de vraag is wat je nu eigenlijk wel en niet mag filmen of fotograferen op straat. Natuurlijk is het netter om netjes aan iemand te vragen of je een filmpje van hem of haar mag maken maar in hoeverre ben je strafbaar als je dat niet aan iemand vraagt?

De vakantietijd zit er weer aan te komen en de camera’s worden weer onder het stof vandaan gehaald. Besluit je dus eens lekker uit te gaan waaien op het strand dan loop je kans op de gevoelige plaat te worden vastgelegd. Ik vraag me alleen af of de politie ingrijpt als jij vindt dat iemand geen foto mag maken als jij in de buurt bent. Het antwoord laat zich raden: de politie denkt waarschijnlijk dat je niet helemaal goed bij je hoofd bent of dat je licht paranoia begint te worden…maar waar ligt de grens dan?

Wie het weet mag het zeggen. Deze man zal volgende keer wel beter uitkijken maar hoe lang hij er mee ophoudt en wat nu exact het strafbare feit is, zal nog wel even onduidelijk blijven.

Smartphones krijgen X-ray-functie

  door

Maakten we ons gisteren nog zorgen om de beveiliging binnen ziekenhuizen, dan zou dat binnen een aantal jaar wel eens helemaal overbodig zijn. Met het internet “dokteren” we al via Google, maar daar komt binnenkort een nieuwe mogelijkheid bij.

Het lijkt nu nog science fiction, maar de Universiteit van Texas in Dallas werkt momenteel aan een technologie waarmee je daadwerkelijk door muren kan kijken…Vanwege de privacy zal de apparatuur zodanig gebouwd worden dat de X-ray-functie pas gebruikt kan worden op een afstand van maximaal 4 inches. We zullen dus niet net als superman overal doorheen kunnen kijken. Wel kan de functie alsnog handig zijn om zo bijvoorbeeld leidingen in muren te ontdekken of om het binnenwerk van je pc nader te bestuderen (uitgaande van dat de straling je systeem niet beschadigd) (bron).

Hoewel binnenkort natuurlijk een rekbaar begrip is, zal het nog wel even duren voordat we een X-ray functie uit de App-store kunnen downloaden. Natuurlijk zijn er nu al X-ray Apps te downloaden, maar dat zijn in ieder geval nog allemaal gadgets om je vrienden mee voor de gek te houden (dat wist je toch, he? ze werken niet echt).

Maar denk je eens in: iedere smartphone heeft een X-ray functie in zich. Er zijn natuurlijk veel voordelen te verzinnen, maar de nadelen kunnen we ook al bedenken. Handig als je gevallen bent en pijn aan je knie hebt, hop, even je smartphone eroverheen en je weet of je je been gebroken hebt. Natuurlijk ook makkelijk om leidingen in de muren op te sporen zodat je daar in ieder geval geen gaatje meer in boort.

Makkelijk ook voor de politie die niet meer hoeft te fouilleren maar gewoon even op de telefoon kan zoeken of je geen wapentuig bij je draagt tijdens het uitgaan. Zo zijn er nog veel meer voordelen te verzinnen.

Maar elk voordeel heb ze nadeel, zullen we maar zeggen. Makkelijk voor een crimineel om bij het langslopen even te kijken wat er in je tas zit. En de kans is groot dat men ook bij het voorbij lopen dwars door je kleren heen kijkt. Ja, wen er maar vast aan want, als het bericht echt waar is, dan lopen we binnen een aantal jaren allemaal met een mobiele X-ray machine op zak.

Nu nog toekomst muziek, maar waar rook is, is vuur en met de huidige snelheid van ontwikkelen zou het me zomaar niets verbazen als de mobiele X-ray eerder beschikbaar is dan we nu denken. Voorbeelden genoeg te vinden via Google, maar om het nog enigszins netjes te houden op dit blog houden we het maar bij dit voorbeeld.

Utrechts ziekenhuis plakt wachtwoord op beeldscherm

  door

Bij informatiebeveiliging denken we nog veel aan allerlei technische maatregelen om ons netwerk goed beveiligd te houden. En, eerlijk is eerlijk: die technische maatregelen zijn vaak al ingewikkeld genoeg. Maar we vergeten nog wel eens dat deze maatregelen alleen werken als ook de organisatorische maatregelen erbij aansluiten.

Leuk dat we een erg ingewikkeld wachtwoordsysteem hebben ingevoerd, maar als de gebruikers niet weten hoe daar mee om te gaan dan draagt het erg weinig bij aan de beveiliging.

De inloggegevens van de computers voor spoedeisende hulp van het UMC Utrecht waren vorige week op televisie te zien. Tijdens een uitzending van het EO-programma Ingang Oost was te zien hoe gebruikersnaam en wachtwoord op het beeldscherm van één van de computers was geplakt (bron).

Nu kunnen we natuurlijk eenvoudig stellen dat de medewerkers zich aan het beleid moeten houden (en ik mag hopen dat er ergens in het beleid of de richtlijnen staat dat het wachtwoord geheim moet worden gehouden), maar dat zou te makkelijk zijn. Misschien vind je het logisch dat mensen een inlognaam en wachtwoord niet op de pc plakken. En ja, als je inderdaad gebruik maakt van je eigen inlognaam en wachtwoord dan zou je dat moeten kunnen onthouden.

Maar denk je eens in. Je staat inderdaad op de spoedeisende hulp van een ziekenhuis. Een patiënt wordt binnen gebracht en jij moet snel inloggen. Grote kans dat je daar niet beschikt over een eigen inlognaam en wachtwoord (ja ja, dat zou wel moeten, maar laten we het ook praktisch bekijken, het gebeurt gewoon niet). Als je het wachtwoord niet weet dan moet je de helpdesk bellen voor een password reset.

Zie je het voor je? Iemand in levensgevaar en jij ben als 4de aan de beurt bij de helpdesk (als je mazzel hebt, want anders is de helpdesk na 17.00 uur gewoon gesloten en zoek je het zelf maar uit). Nee, we kunnen natuurlijk onze kop in het zand blijven steken en we kunnen mooi in ons beleid schrijven dat iedereen een eigen inlognaam en wachtwoord heeft dat hij of zij geheim moet houden, maar zo werkt het in de praktijk niet voor alle functies.

Wat dan wel weer erg is, is het feit dat het hier om een uitzending van een jaar geleden ging. Het ziekenhuis loopt dus al ruim een jaar dit risico (sterker nog: waarschijnlijk lopen ze dit risico al jaren). Grote kans is dat ze nu vanuit het beleid de maatregelen gaan aanscherpen: het briefje wordt verwijderd en de mensen moeten weer gewoon met hun eigen inlognaam en wachtwoord inloggen.

Inmiddels weten we dat dat dus niet zal gaan werken en is het bijna wachten op het eerste echte slachtoffer. Nee, wil het ziekenhuis dit echt goed doen, dan gaan ze op zoek naar een andere manier van inloggen. Een manier die voor de medewerkers van de spoedeisende hulp ook werkt. Doen ze dat, dan begrijpen ze dat informatiebeveiliging ondersteunend is aan de dagelijkse gang van zaken. Doen ze dat niet, dan steken ze nog steeds hun kop in het zand en is het wachten op een volgend risico.

Politie wil dat iedereen MAC-adres noteert

  door

Gedupeerden van een inbraak weten te weinig belangrijke serienummers, zoals het IMEI-nummer en MAC-adres, aldus de politie. Die constateert dat dieven het regelmatig op laptops, tablets en mobiele telefoons gemunt hebben. In veel gevallen weet de gedupeerde niet wat de serienummers van de gestolen goederen zijn, terwijl die voor het onderzoek noodzakelijk zijn (bron).

Eigenlijk heel logisch, als je bovenstaand bericht leest. Ieder apparaat heeft wel een uniek nummer waarmee het traceerbaar is. Toch weten we niet wat de nummers van onze apparaten zijn waardoor het moeilijk wordt voor de politie om gevonden apparatuur bij de rechtmatige eigenaar terug te brengen.

Wees eerlijk, heb jij van ieder apparaat in je huis het serienummer opgeschreven? Heb jij de apparaten gemerkt (liefst met onzichtbare inkt of een DNA-spray)? Waarschijnlijk niet. Je bent daar wellicht ooit eens mee begonnen, maar inmiddels is dat lijstje ook alweer flink verouderd. Tijd dus om je lijstje te updaten of om aan een nieuw lijstje te beginnen.

Schrijf de serienummers op en bewaar ze op een veilige plaats. Misschien kun je er zelfs een foto bij doen en als je tijd hebt zou je de apparatuur kunnen merken. Dat lijstje moet je dan natuurlijk niet alleen digitaal op je laptop bewaren, want grote kans dat met de diefstal van je laptop je lijstje ook verdwenen is. Nee, liever een aantal geprinte versies die je door het huis heen verspreid. Natuurlijk kun je er ook een in de kluis bewaren, maar grote kans is dat die kluis na een serieuze inbraak ook verdwenen is.

Als je dan toch bezig bent, zul je waarschijnlijk versteld staan van alle apparatuur die je in de loop van de jaren verzameld hebt. Misschien een mooie kans om ook weer eens schoon schip te houden, want waarom heb je anders ooit “verwijderingsbijdrage” betaald? Grote kans dat je huis er ook weer een stuk opgeruimder van wordt en bijkomend voordeel is dat je minder stroom zult gaan betalen…want hoe lang ligt die apparatuur die je niet meer gebruikt eigenlijk al op de oplader? Zo is de “voorjaarsschoonmaak” toch nog ergens goed voor.

Politie waarschuwt voor vakantiemelding op Facebook

  door

Vandaag is het alweer 1 mei en we gaan langzaam richting de vakantietijd. Daarom kan een waarschuwing nooit kwaad.

De politie waarschuwt internetgebruikers om hun vakantie niet online te melden, aangezien inbrekers ook op sociale netwerksites actief zijn. “Inbrekers kijken niet alleen door het raam of bewoners thuis zijn. Nieuwe media zijn een belangrijke inspiratiebron om te checken wie er met vakantie is. Ook inbrekers zijn actief op internet”, aldus de Brabantse politie. Die adviseert internetgebruikers om niet op netwerken als Twitter, Hyves en Facebook te melden dat men met vakantie gaat (bron).

We zien het nog te vaak. Een berichtje op Facebook vanuit het buitenland met die fantastisch mooie zonsondergang op een exotisch eiland. Dat laatste Twitter bericht voordat je het vliegtuig in stapt. Je huis ligt er de komende weken verlaten bij. En misschien heb je zelfs de lampen aangesloten op een tijdschakelaar zodat het net lijkt of je thuis bent.

Helaas staan we er nog te weinig bij stil dat ook de inbrekers tegenwoordig gebruik maken van sociale media. Ze checken je Facebook en je Twitter en weten dat jij niet thuis bent.

Nu zou je natuurlijk in de veronderstelling kunnen zijn dat alleen je vrienden jouw berichten kunnen lezen en jouw vrienden zijn geen inbrekers, toch? Niets is minder waar. Als je bijvoorbeeld gaat naar Twitter.com en daar de term “vakantie” in de search balk typt dan krijg je meer dan genoeg berichten te zien van mensen die hun vakantie aankondigen. Echt, geloof me en als je me niet gelooft: probeer het dan zelf maar eens.

Nu je dit weet ga je hopelijk niet minder leuk op vakantie, maar wel iets minder opvallend. Schreeuw niet van de daken dat de inbrekers de komende weken rustig hun gang kunnen gaan. Het zou toch zuur zijn als je straks thuis komt en je hele huis overhoop is gehaald. Nee, gewoon gaan en de boel de boel laten. Dat betekent dan natuurlijk ook dat je “afwezigheidsassistent” je niet verraadt en ook je Voicemail hou je liever een beetje cryptisch.

Kun je het hiermee voorkomen? Waarschijnlijk niet, want als je echt “target” bent dan ben je aan de beurt, maar je kan hiermee wel voorkomen dat je een gemakkelijk slachtoffer wordt. Richt de spotlight dus niet op jezelf, dat kan een hoop leed voorkomen.