Categorie: Geen categorie

Lezingen en lekken beste CV security professional

  door

We weten inmiddels dat we hackers, crackers en scriptkiddies niet met elkaar moeten verwarren (tenminste: dat is de mening van anderen, wat mij betreft gaat het nog steeds om de daad die gepleegd wordt, maar goed, dat terzijde).

De wereld van goede technische hackers en crackers is klein (scriptkiddies genoeg, dus die vallen buiten scope). Maar als je onderstaand bericht mag geloven dan zijn de beste hackers en crackers degene die inderdaad net wel of net niet over de schreef zijn gegaan.

Wie als security professional aan de slag wil kan het beste naar beveiligingslekken opzoek gaan en lezingen tijdens grote conferenties geven. Dat adviseert de bekende Mac-hacker Charlie Miller (bron).

Een oud gezegde is inderdaad: met boeven vang je boeven. Maar als we dat al te letterlijk gaan nemen dan moet iedere politieagent minimaal een strafblad hebben. Hoe kunnen ze anders boeven vangen? Nee, het gaat me toch wat te ver om mensen op te roepen om op zoek te gaan naar beveiligingslekken omdat dat het beste voor je CV is.

En nu komen ze weer in scope: de scriptkiddies. Met dit soort berichten roep je scriptkiddies op om maar vooral veel te testen, veel tooltjes te gebruiken en veel technische te pielen omdat dat de manier is om carrière te maken in de informatiebeveiligingswereld. Als we dat maar hard genoeg roepen dan zijn er genoeg scriptkiddies die van alles gaan proberen zonder te weten wat ze doen. Ze maken zo meer kapot dan ze lief is (hoewel ze zelf niet eens in de gaten zullen hebben wat ze doen).

Valt allemaal wel mee, toch? Nou, dat is maar te bezien. Veel scriptkiddies weten echt niet wat ze doen en als ze dat wel zouden weten dan zouden ze het wel laten (of in ieder geval een stuk slechter slapen ’s nachts). Stel dat een scriptkiddie weet in te breken in een systeem van een ziekenhuis. Voor hem misschien een leuke toevoeging aan zijn CV. Maar wat als hij zich er niet van bewust is dat hij ziektebeelden en patiëntgegevens per ongeluk door elkaar gooit?

Nee, om een goed CV als security professional te krijgen moet je een goede vooropleiding hebben en aantonen dat je de techniek door en door kent. Maar je hoeft mij niet uit te leggen welke inbraken je al allemaal gepleegd hebt. En natuurlijk wil je ook graag praktijkervaring opdoen, maar laten we daar dan goede testsystemen voor in het leven roepen en het security wereldje beter faciliteren.

Want waar gaat het anders heen met de wereld: moet een goede verslavingsdeskundige dan zelf verslaafd zijn geweest? Moet een psychiater zelf zo gek als een deur zijn? Moet een goede Gynaecoloog dan eerst zelf zwanger zijn geweest (helaas voor alle mannelijke Gynaecologen: jullie kunnen nooit goed zijn in je vak)? Moet een goede brandweerman dan eerst pyromaan zijn geweest? Nou ja, je begrijpt de strekking en kunt zelf vast ook nog wel wat voorbeelden verzinnen.

Webcam-hackers zetten slachtoffers op YouTube

  door

En wederom kunnen we de discussie van gisteren voortzetten met het onderwerp van vandaag.

Het is nog altijd een sport onder ‘scriptkiddies’ om slachtoffers van besmette computers via hun eigen webcam te begluren en opgenomen beelden op YouTube te plaatsen. Al in 2008 werden de reacties van slachtoffers op schokkende filmpjes opgenomen en later als leedvermaak online gezet. Symantec waarschuwt dat dit nog altijd gaande is (bron).

Nu noemen we het geen hackers of crackers meer maar noemen we het scriptkiddies. En eerlijk is eerlijk: een goed hacker/cracker wil zich niet vergelijken met een scriptkiddie omdat die laatste gewoon een standaard tooltje draait om zijn kunstjes te doen. Ook dat is een definitiekwestie, wat mij betreft.

En het mag inderdaad onschuldig lijken. Je besmet een computer en begluurt degene aan de andere kant. Kom je leuke beelden tegen, dan zet je die vrolijk op Youtube. Nu is het natuurlijk al niet netjes om iemand te begluren (jaja, ook daar kun je voor opgepakt worden) maar als je ook nog iemand besmet hebt dan ben je een stuk onschuldiger.

“Moeten die mensen hun beveiliging maar aanzetten”; dat is de reactie die je van een scriptkiddie mag verwachten. Waarschijnlijk zijn ze zich niet eens bewust van de wetten die ze overtreden. Waren ze dat wel en was de pakkans een stuk groter dan zouden ze het wel uit hun hoofd laten.

Toch maar weer terug naar de analoge wereld: een dergelijke scriptkiddie gaat ook niet met een filmcamera door het badkamerraam van de buren filmen omdat hij begrijpt dat dat nou niet echt sjiek is. Maar veilig en anoniem achter zijn laptop denkt hij daar niet eens aan. Nee, hij ziet ergens een grappig artikeltje met een linkje en een manier waarop zoiets mogelijk is en voor je het weet bekijkt hij je door je webcam.

Als het goed is doe je de gordijnen van je badkamer ook dicht als je inkijkt hebt, misschien moet je dat dan ook maar overwegen met je webcam. Gewoon een plakbandje eroverheen en je kunt een stuk rustiger allerlei vreemde capriolen uithalen voor je webcam: niemand die je immers ziet (tenzij je de gordijnen niet dicht hebt gedaan en er iemand door je raam staat te gluren).

Hacker betekent ook crimineel

  door

Er is nog altijd discussie over de betekenis van het woord ‘hacker’, maar de eerste bekende vermelding beschrijft een criminele daad. Hacker heeft zowel een negatieve als positieve lading, aldus Robert Graham van Errata Security. “Mensen blijven beweren dat hacker geen crimineel betekent en er daarom cracker moet worden gebruikt. Die claim valt niet te rechtvaardigen.” Het woord wordt zowel gebruikt om criminelen als “enthousiaste nerds” te omschrijven (bron).

Het is natuurlijk een definitiekwestie en of je nu hacker of cracker gebruikt maakt mij persoonlijk niet zoveel uit. Het gaat wat mij betreft om de daad die uitgevoerd wordt en dan wordt het in de digitale wereld ineens een stuk mistiger.

Sommige zaken vinden we digitaal heel normaal, terwijl we die in de analoge wereld niet zo snel zouden doen. Heb jij wel eens iemand aan alle voordeuren zien rammelen om te kijken of ze wel of niet op slot zijn?

Digitaal doen we dat dagelijks en als we merken dat er inderdaad een gaatje zit dan wordt het wel heel verleidelijk om daardoor naar binnen te glippen. Hoe goed je bedoeling misschien ook mag zijn, het blijft natuurlijk gewoon een misdadige daad die je normaal niet zo plegen.

Stel dat je wel aan de voordeur rammelde en dat daarbij de deur spontaan open springt. Zou jij dan midden in de nacht naar binnen gaan om te kijken wat er binnen allemaal te halen valt? Waarschijnlijk niet want je weet nooit of de bewoners een flinke waakhond in huis hebben.

Het blijft nog steeds vreemd dat we anders aan kijken tegen de digitale en analoge wereld en het blijft vreemd dat we (in al onze anonimiteit) in de digitale wereld bereid zijn om veel verder te gaan dan we normaal gesproken zouden doen.

Rammel jij dus weer eens aan een digitale of analoge voordeur, bedenk dan goed aan welke kant van de streep je blijft. Een digitale inbraak is ook een inbraak en die wil jij vast niet op je geweten hebben.

Diefstal hondje en auto-onderdelen

  door

De week van de diefstal zit er al weer bijna op, maar niet voordat we afsluiten met nog een opmerkelijke diefstal die nog niet zo lang geleden plaats vond.

Maandagnacht is een 40-jarige man uit Polen aangehouden omdat hij een hondje en auto-onderdelen gestolen zou hebben (bron).

Het zijn natuurlijk niet de auto-onderdelen die zo opmerkelijk zijn. Die zal hij ongetwijfeld in eigen land voor een leuk bedrag van de hand kunnen doen. Maar om nou een hondje te stelen gaat toch wel erg ver.

En denk nu niet dat de deze week behandelde berichten de enige waren. Als je zelf eens Googled op diefstal dan kom je genoeg opmerkelijk zaken tegen waar mensen hun handen niet vanaf kunnen houden. Zomaar een paar opmerkelijke zaken die ook recent in het nieuws kwamen:

Nou ja, je snapt de strekking van dit verhaal en alles wat los zit (en soms zelfs zaken die vastzitten) kunnen voor een dief aanleiding zijn om ze te stelen. Kortom: let goed op je spullen en zet ze vast waar je maar kan. Maar tussen al het nieuws over diefstallen, staan ook berichten die geen nieuwswaarde hebben:
  • Diefstal lokfiets

Want is een lokfiets niet juist bedoeld om gestolen te worden?‚Äé Dan moet je ook niet klagen als hij ook echt gestolen wordt.

‚Äé

‚Äé
‚Äé

‚Äé

Man aangehouden voor diefstal politiejas

  door

De politie heeft maandagmiddag een 27-jarige man uit Haarsteeg aangehouden. Hij werd verdacht van het stelen van een politiejas uit een auto (bron).

Er komen deze week nog al opvallende zaken voorbij die gestolen worden. Na de wieldoppen, de scootmobiels en de Opel Kadett, is het vandaag de beurt aan de politiejas. Ook niet echt een item waar je onopvallend mee over straat kunt. Een beetje politieagent herkent zijn of haar collega’s en je valt al snel door de mand als je wel een politiejas hebt maar geen wapen of pet.

Je vraagt je dan toch af wat zo iemand met zo’n jas van plan is. En je moet er niet aan denken wat hij er mee zou kunnen doen. Nog niet zo lang geleden was er een overvallersbende die in politiekostuum overvallen pleegde. Ze stonden ineens voor je deur en goedgelovig als wij zijn laten we ze dan binnen. Waar ze je vervolgens vastbinden om je huis te doorzoeken.

Met dit in het achterhoofd is de boete die deze dief kreeg aan de lage kant: Na verhoor op het politiebureau heeft het Openbaar Ministerie de verdachte een transactievoorstel aangeboden van € 250,00.

Blijkbaar vindt de politie het niet erg genoeg als er een van hun eigendommen gestolen wordt. En dat is dan nog tot daaraan toe, maar zouden ze tijdens het verhoor ook zijn ingegaan op de plannen die de man had met de jas? Of was dat toch een te lastige opgaaf en moest het papierwerk voor het proces verbaal ingevuld worden?

De jas is in ieder geval weer terug en als die niet meer als bewijs hoeft te dienen dan kan de agent in kwestie hem weer terug krijgen. Maar meneer de agent (en het liefst een beetje op belerende toon): ook u moet in het vervolg gewoon uw auto op slot doen…sterker nog: als ik mijn auto open laat staan zijn het mijn eigendommen maar in uw geval zijn het ook nog eens de eigendommen van de staat (en dus ook een beetje van mij).

Hier de tip van vandaag (die nota bene door de politie zelf bedacht is):

Tilburger gepakt poging diefstal Opel Kadett

  door

Waren het gisteren nog scootmobiels die geliefd waren dan gaan we door met de poging tot diefstal van een Opel Kadett.

Nadat er aan de Burgemeester Rensstraat in Goirle een Opel Kadett was opengebroken, zijn twee mannen in de nacht van maandag op dinsdag om 4.30 uur opgepakt. Het duo sloeg op de vlucht maar kon door agenten achterhaald (bron).

Nu heb ik niet zoveel verstand van welke auto’s het makkelijkst te stelen zijn, maar graaf ik in mijn geheugen dan kan ik me herinneren dat een Opel Kadett vroeger al niet al te ingewikkeld was. Met de laatste technieken zou het me niet verbazen als je die met een paar minuten open en rijdend hebt.

Deze twee echter niet en het duo kon door de politie worden achterhaald. Het had trouwens niet zoveel uitgemaakt als ze met de Kadett op de vlucht waren geslagen want daar is de snelheid inmiddels toch ook wel een beetje uit.

Zoveel mooie auto’s op de wereld. Hoe haal je het dan in je hoofd om een Opel Kadett te stelen? Was er dan echt geen ander voertuig in de buurt dat net iets minder opvallend is? Zoveel Opels Kadett rijden er nu ook weer niet rond, dus je rijdt al snel in het vizier van de politie als je in een gestolen exemplaar voorbij komt.

Maar je vraagt je toch af of de eigenaar van de Opel Kadett het erg vindt of niet? Misschien had hij er nog een mooie vergoeding van de verzekeringsmaatschappij aan over kunnen houden. Ach en voor alle liefhebbers sluiten we dit blog af met een mooie foto van de aloude Opel Kadett.

Vier verdachten aangehouden voor diefstal scootmobiels

  door

Na de wieldopdiefstal van gisteren gaan we het deze week maar eens over diefstal hebben en we laten een aantal zaken de revue passeren die waarschijnlijk niet bovenaan het lijstje van de meeste dieven staan.

Daarom vandaag: Vier verdachten aangehouden voor diefstal scootmobiels
Vier jongens, tussen de 17 en 18 jaar uit Zaandam en Koog aan de Zaan zijn aangehouden omdat de politie melding kreeg dat de jongens bezig waren een scootmobiel te stelen (bron).

Ja, je moet er maar op komen en je moet het maar kunnen. Een scootmobiel is toch een beetje het verlengde van een bejaarde die nog graag wat frisse lucht wil krijgen op zijn tijd (althand, dat was in mijn tijd zo, nu wil iedere jongere er wel een hebben). En ach, een kwajongens streek als het er om een gaat. Maar deze jongens waren waarschijnlijk van plan binnenkort een scootmobiel race te houden, want ze hadden er al meer in hun bezit.

Een van de jongens liet een rode scootmobiel achter op het fietspad en vluchtte te voet. Een andere scootmobiel, een grijze, kon worden aangehouden. Hieruit vluchtte een aantal jongens. Ook zij werden aangehouden. De eigenaar van dit laatste voertuig heeft zich nog niet gemeld bij de politie.

En het is natuurlijk niet zo verwonderlijk dat de eigenaar van het laatste voertuig zich nog niet heeft gemeld bij de politie. Hoe moet hij of zij op het politiebureau komen nu er geen vervoer meer voor de deur staat?

Blijkbaar is er een handel in scootmobiels en wilde je daar vroeger als jongere niet in gezien worden, dan is het vandaag de dag rage om er in een te rijden. Je bent gewaarschuwd: zet je scootmobiel goed op slot, anders moet je lopen.

Misdaad loont (niet)

  door

Er zijn natuurlijk vele manieren waarop misdaad loont…tot je tegen de lamp loopt. Veel criminelen gebruiken dezelfde werkwijze en vallen daardoor vanzelf door de mand. Deze crimineel kun je in ieder geval zijn creativiteit niet ontzeggen.

In een woning in de Zwolse wijk Stadshagen is een 49-jarige bewoner aangehouden wegens diefstal en heling van wieldoppen. De politie trof in zijn huis naar schatting 800 exemplaren aan (bron).

Nu heb ik al vele illegale handeltjes gezien en ook vele misdaden voorbij laten komen waar men flink geld aan heeft verdient. Deze was me echter ontschoten en kan ik nu ook aan het rijtje toevoegen.

Creatief: ja, echt snugger: nee: Onlangs zag een van de gedupeerden zijn eigen wieldoppen terug op Marktplaats, meldt de Stentor. Hij herkende die aan speciale kenmerken, waarop hij de politie informeerde.

Het is natuurlijk kinderlijk eenvoudig om wieldoppen te stelen (en er zijn inderdaad ergere criminele activiteiten die je kunt ontplooien). Maar wat moet je met 800 wieldoppen? Misdaad loont pas als je er ook daadwerkelijk iets mee kunt verdienen. Maar om daar nou Marktplaats voor te gebruiken is toch wel een beetje erg eenvoudig.

Ben je zelf laatst nog een wieldop kwijt geraakt dan zou je het beste even met de politie contact op kunnen nemen, wie weet zit die van jou er ook tussen.

CFO’s bang voor reputatieschade door cybercrime

  door

Na het bericht over het aanstellen van CISO’s in grote bedrijven en het feit dat wij, als informatiebeveiligers, ons best moeten doen om aansluiting te vinden bij het top management van de organisatie gaan we daar vandaag verder op in.

Nederlandse CFO’s geven de computerbeveiliging van hun bedrijf gemiddeld een 6,8. Dat blijkt uit onderzoek van Deloitte. CFO’s zijn vooral bang voor reputatieschade, als hun bedrijf ten prooi valt aan cybercrime (bron).

Dit bericht bevestigd waar we het al vaker, veel vaker, over hebben gehad. Het gaat het management helemaal niet om de technische of de informatiebeveiligingsrisico’s. Nee, het gaat het top management om kosten, omzet en imago. Blijkbaar worden de CFO’s met name getriggerd door het imago van de organisatie.

Bij onze volgende risico analyse moeten we dus extra aandacht besteden aan het risico voor ons imago. Prima dat we duidelijk willen maken dat onze firewall echt niet meer kan en dat we daarmee grote risico’s lopen. Maar leg dan ook uit dat we het risico lopen dat klantgegevens op grote schaal op straat komen. De CFO kan dan zelf wel bedenken dat hij dit een onacceptabel risico voor de organisatie vindt.

Bekijken het we zo en houden we in ons achterhoofd dat veel organisaties geen CISO hebben, dan moeten er misschien voor zorgen dat de CFO onze grootste sponsor wordt. Een 6,8 klinkt als een voldoende maar is dat misschien voor jouw organisatie helemaal niet. En ja, dat cijfer is arbitrair maar kan ons ook helpen om daadwerkelijk meer aan beveiliging te gaan doen.

Maar laten we dan ook terug vallen op het feit dat het niet alleen gaat om technische maatregelen. Nee, we maken duidelijk welke risico’s we lopen (voor het imago) maar we geven ook duidelijk aan met welke combinatie van technische, organisatorische en procedurele maatregelen we dat risico naar een acceptabel niveau kunnen brengen.

De komende jaren hebben we echt de kans om informatiebeveiliging naar de volgende volwassenheidsfase te laten groeien. Aan ons de keus of we die kans voorbij laten gaan of met beide handen aanpakken.

CISO’s in opmars

  door

Een kwart van de grote organisaties heeft inmiddels een CISO (Chief Information Security Officer) in dienst; een teken dat er op directieniveau meer aandacht is voor IT-beveiliging. Dat blijkt uit een rapport van IBM, dat hiervoor met ruim 130 beveiligingsmedewerkers van diverse niveaus in 7 landen sprak (bron).

Nu kunnen we natuurlijk heel blij zijn met het feit dat een kwart van de bedrijven inmiddels een CISO heeft aangesteld. Maar dat betekent dat nog steeds 75% van de grote organisaties nog geen CISO hebben en dan moeten we niet uit het oog verliezen dat het hier specifiek gaat om grote organisaties. De middelgrote en kleine organisaties zijn buiten scope en ik vrees dat de cijfers daar nog erger zijn.

Maar laten we nog even verder gaan. Ook heeft 75 procent niet genoeg budget en daadkracht voor een degelijk IT-beveiligingsbeleid, zo concluderen de onderzoekers van IBM. Wel denkt twee derde dat de budgetten hiervoor de komende 2 jaar zullen stijgen.

Nu kun je informatie zo sturen als je wilt, maar wat mij betreft bevestigd dit het beeld dat ik al jaren over de bühne probeer te brengen. Het is nog slecht gesteld met de aandacht voor informatiebeveiliging.

En nu zou ik daarover kunnen klagen maar dat doen we natuurlijk niet. Nee, het komt ook door hoe wij informatiebeveiliging aan het management willen “verkopen”. Wij slagen er nog te weinig in om de beveiligingsrisico’s te koppelen aan de “enterprise risks”. We vallen het management nog te veel lastig met allerlei technische beveiligingsmaatregelen en projecten. Het management begrijpt er niets van en wij kunnen het niet goed genoeg uitleggen.

Positief punt is dat men verwacht dat er de komende 2 jaar extra budgetten beschikbaar komen. Nu maar hopen dat we die budgetten ook daadwerkelijk in kunnen zetten om risico’s af te dekken. Doen we dit verkeerd dan houden we de huidige cyclische manier van werken: geen budget, toename risico’s => te veel risico’s dan meer budget, we zetten dat budget verkeerd in en leggen te weinig verantwoording af aan het management => het management moet bezuinigen en komt als eerste het beveiligingsbudget opeisen.

Kortom: we hebben de komende jaren een kans als informatiebeveiligers. Laten we die kans met beide handen aangrijpen en ervoor zorgen dat informatiebeveiliging een volgende volwassenheidsfase bereikt…daar zijn we gezamenlijk verantwoordelijk voor.