Categorie: Geen categorie

Android-gebruiker moet illegale apps mijden

  door

Uit eerdere berichten kwam al naar voren dat het risico op Iphones op dit moment minder acuut is dan op telefoons die draaien op Android. Daarom vandaag nog wat achtergrond informatie over risico’s voor het Android systeem.

Android-gebruikers moeten geen illegale of gekraakte apps gebruiken, aangezien ze dan het risico lopen om malware binnen te halen. “Installeer applicaties alleen van de officiële Android Marktplaats”, zegt Dinesh Venkatesan van Totale Defense. Hij merkt op dat er incidenten zijn geweest waarbij er ook kwaadaardige apps op de officiële Android Marktplaats zijn verschenen, “maar over het algemeen is het veilig.” (bron)

We kunnen het risico op een Adroid-toestel dus aanzienlijk verkleinen door alleen gebruik te maken van app’s van de officiële Android marktplaats. Toegegeven, er is een kleine kans dat er ook in app’s uit de officiële marktplaats een virus genesteld is, maar dat is al een stuk kleiner dan app’s vanaf allerlei andere platformen.

Maar als we nog iets verder kijken, dan blijkt dat we ook op andere wijze risico’s lopen:
Er zit een ernstig beveiligingslek in alle Android-telefoons, waardoor aanvallers automatisch malware kunnen installeren als slachtoffers een linkje openen…De aanval bestaat uit een sms-bericht met een linkje. Zodra het slachtoffer het linkje opent, wordt een Trojaans paard geïnstalleerd waarmee Alperovitch telefoongesprekken kan afluisteren, maar ook allerlei gegevens kan stelen. (bron)

Voordat ik er van beschuldigd wordt Android in een kwaaddaglicht te stellen: het risico voor Android lijkt groter dan dat voor Apple. Toch geloof ik niet dat we met een Iphone helemaal geen risico lopen. Het is wellicht minder kwetsbaar (op dit moment), maar kwetsbaar is dat natuurlijk ook. Bovenstaand lek is bijvoorbeeld zowel van toepassing op Android toestellen als op Iphones.

Aan de oplossing voor het probleem wordt gewerkt, maar Om het beveiligingslek op te lossen, zou een firmware update vereist zijn. Het kan echter weken of maanden duren voordat de verschillende fabrikanten de updates voor hun toestel gereed hebben.

We zijn dus gewaarschuwd en de snelheid waarmee we risico’s lopen lijkt te worden opgevoerd. Grote kans dat het dit jaar een enorme vlucht aan zal nemen. Jij bent in ieder geval op de hoogte en kan tijdig de juiste maatregelen nemen.

6.500 smartphones besmet

  door

Gisteren zijn we al ingegaan op de dreiging van virussen op smartphones. Daarbij lieten we zien dat het aantal soorten virussen nog gering is (vergeleken met virussen voor pc’s en laptops). Vandaag zoomen we nog even verder in.

Afgelopen december waren er 6.500 incidenten waarbij smartphones en tablets met malware besmet raakten, aldus het Russische anti-virusbedrijf Kaspersky Lab. Het aantal kwaadaardige apps dat specifiek voor Android is ontwikkeld, groeit volgens de virusbestrijder zienderogen. Deze apps zouden 65% van alle mobiele malware vertegenwoordigen en duiken soms ook in de officiële Android Marktplaats op (bron).

De anti-virusbedrijven die ook anti-virussoftware voor de mobiele telefoons maken, brengen dit soort gegevens natuurlijk niet voor niets naar buiten. En vanuit commercieel oogpunt hebben ze natuurlijk groot gelijk. Maar zij zien ook wel dat de markt er nog niet rijp voor is. We staan nog aan de vooravond van de mobiele virussen en het zal (hopelijk) nog even duren voordat we een echt grote uitbraak krijgen.

Zo’n uitbraak is helaas nodig om het bewustzijn te vergroten. De geschiedenis herhaalt zich. Op de eerste pc’s hadden we ook geen anti-virus software draaien. Het grootste risico liepen we met het kopiëren van files vanaf een floppy, hierdoor kon een virus zich maar langzaam verspreiden. Toen we allemaal aan de modem waren werd het al een groter probleem en nu halen we virussen op high speed binnen (als we niet uitkijken).

Eenzelfde lijn gaan we ook doorlopen met mobiele virussen. Nu valt het risico nog mee, maar hoe slimmer de smartphones worden hoe groter dat risico. Laten we eerlijk zijn, de meeste telefoons zijn helemaal geen telefoon meer. Nee, het zijn zakcomputers waar we toevallig ook mee kunnen bellen. Hoe meer functionaliteiten ze krijgen, hoe groter het risico wordt.

Natuurlijk is er ook een verschil met het begin van de virussen op pc’s en laptops. Dat verschil is dat het in dit geval allemaal veel sneller zal verlopen dan in het verleden. Het gaat echt geen jaren meer duren voordat dit een echt probleem wordt.

Laten we het nog even in perspectief zetten:
“We zagen tot november 1.500 unieke malware-exemplaren per jaar. In november detecteerden we alleen in die maand 1.500 exemplaren”, laat Eugene Kaspersky weten. Het aantal malware-varianten voor de computer bedroeg in 2011 25 miljoen. Dagelijks zouden er 75.000 exemplaren worden gevonden.

Het advies? Hou het nieuws in de gaten, wees je er van bewust en indien gewenst: neem alvast maatregelen (bijvoorbeeld door je smartphone een extra keer te backuppen en je alvast te verdiepen in anti-virus maatregelen voor je telefoon).

Slechts 178 mobiele virussen

  door

Met de smartphones, die steeds “smarter” worden, is het nog een onderschat probleem dat zich daar ook virussen op kunnen nestelen. Als het goed is hebben we allemaal minimaal een virusscanner draaien op onze pc’s en laptops omdat we daarvan al jaren weten dat we gegrepen kunnen worden.

Weinig aandacht is er echter nog voor virussen op mobiele telefoons. Daarom is het goed om hier vandaag ook eens aandacht aan te besteden.

Het aantal unieke dreigingen voor mobiele telefoons en tablets bedroeg vorig jaar slechts 178, minder dan in 2006 het geval was. Dat blijkt uit het jaaroverzicht van het Finse anti-virusbedrijf F-Secure. Sinds 2004 registreerde de virusbestrijder 710 unieke mobiele bedreigingen (bron).

Hoewel het aantal dreigingen nog laag te noemen is, moeten we er niet laconiek mee omspringen. Meer en meer ontvangen we mailtjes met een link op onze smartphone en meer en meer app’s installeren we zodat we nog meer leuke spelletjes kunnen doen. Het gevaar schuilt erin dat we met dat installeren ook mobiele virussen installeren.

Misschien denk je dat de risico’s niet zo hoog zijn en dat het allemaal wel mee zal vallen. Maar er zijn virussen bekend waarmee men op afstand je microfoon kan aan- en uitzetten zonder dat je daar als gebruiker iets van merkt. Zo wordt het dus mogelijk om op afstand al jouw gesprekken af te luisteren, of je die gesprekken nu via de telefoon voert of toch liever face-to-face doet er dan niet toe.

Daarnaast kan op afstand ook jouw mail worden uitgelezen, kan je agenda worden ingezien, kunnen je contacten gekopieerd worden, is men in staat om in je foto’s te kijken en kan men bellen op jouw kosten.
Hoewel er nog niet heel veel virussen ronddwalen en hoewel de kans dat jij target bent nog gering is, moeten we het niet al te lang meer onderschatten. Voorkomen is in dit geval wederom beter dan genezen.

Voor de cijferliefhebbers nog even de volgende opsomming:
Sinds 2010 schiet het aantal Android-malware omhoog. Van de 178 mobiele virussen die vorig jaar werden ontdekt, waren er 116 voor Google’s mobiele platform. Symbian is met 55 tweede, gevolgd door J2ME (5) en PocketPC (2). Voor Apple’s iPhone verscheen geen malware. Daarnaast werden er zo’n 3.500 kwaadaardige Android-apps vorig jaar ontdekt.

Wees je dus bewust van de risico’s en wees voorzichtig met het openen van links en het installeren van app’s. Vertrouw je de boel niet, dan kun je er maar beter niet op klikken.

Attracties van zwembad door hackers te beheren

  door

Ben je al klaar met het nadenken over 31 maart en de gevolgen die het platleggen van het internet allemaal kunnen hebben? Lees dan vooral nog even door.

Door een blunder van de Gemeente Stichtse Vecht kon iedereen een subtropisch zwembad beheren. Van glijbaan tot de temperatuur van het water, alles stond wijd open. Het lek is inmiddels gedicht (bron).

Zo zie je maar dat er meer gekoppeld is aan het internet dan je denkt.

Aanvankelijk dachten de onderzoekers dat ook de chloortoevoer kon worden geregeld. “Ik heb zelf kinderen en toen ik zag dat het ook om chloor ging, wilde ik dat er meteen iets gebeurde”, vertelt een van de onderzoekers tegen Webwereld. “Het is mijn nachtmerrie dat er iets met kinderen gebeurt omdat iemand in een of ander vreemd land een ‘grapje’ wil uithalen. Als je aan de kassa komt van een zwembad vraag je niet of er een SCADA-systeem in gebruik is.”

Achteraf bleek het gelukkig niet mogelijk te zijn om de chloortoevoer te kunnen regelen en de “onderzoekers” vonden het ook niet ethisch om dit uit te proberen. Je moet je niet indenken wat de gevolgen kunnen zijn van dergelijke SCADA-systemen die niet beveiligd zijn. Als je de chloortoevoer wel kunt beïnvloeden wordt het ineens een stuk serieuzer genomen door de maatschappij. Nu pikt een deel het berichtje op, heeft daar misschien zelfs een glimlach bij en gaat weer rustig verder.

Datzelfde gebeurde met het bericht over de sluizen en bruggen die niet/onvoldoende beveiligd zijn. Veel mensen zullen daar iets van hebben meegekregen, maar gaan vervolgens weer rustig verder met waar ze mee bezig zijn.

Zo langzamerhand wordt het toch echt tijd om de verantwoordelijken ter verantwoording te roepen. Daarmee moeten we niet wachten tot het een keer echt verkeerd gaat, want dan zijn we te laat. Nee, tijd dat er serieus sancties komen op het niet voldoen aan (minimale) beveiligingseisen voor dergelijke systemen.

Genoeg boeken geschreven over beveiliging die het in ieder geval een stukje lastiger maken. Laten we beginnen met een standaard of minimaal beveiligingsniveau dat we aanvullen met specifieke beveiligingsmaatregelen die we op basis van een goede risico analyse bepalen.

De term cyberwar lijkt inmiddels een beetje weggezakt uit de populariteit. Maar cyberwar is dichterbij dan we denken. Als er steeds meer berichten naar buiten komen over “beveiligingsonderzoekers” die met een paar klikken een heel systeem plat kunnen leggen dan moeten we ons serieus zorgen gaan maken. Niet zozeer voor die onderzoekers, die weten wat ze doen en willen het (hopelijk) alleen maar aantoonbaar maken. Nee, maak je meer zorgen om die scriptkiddies die het dus ook kunnen. Zij zullen de gevolgen niet inschatten voor ze ergens de verkeerde knop omzetten (en bijvoorbeeld het westen van Nederland hele natte voeten krijgt). Dan hebben we het nog niet eens over de vreemde mogendheden die hier natuurlijk al lang van op de hoogte zijn. Nee, die komen daarna wel weer een keer in beeld.

Aan de BV Nederland: neem je verantwoordelijkheid en zorg ervoor dat het basis beveiligingsniveau van Nederland, haar vitale en minder vitale infrastructuur op orde komt.

En ik wil je niet ongerust maken maar: SCADA systemen worden (samen met een DCS) onder andere ingezet voor:
Verkeersregeling
Attracties (bijvoorbeeld Vogel Rok Efteling)
Chemische industrie
Papierfabrieken
Klimaatregelsystemen
Sluizen, gemalen en bruggen
Parkeergarages
Aansturingen van productielijnen, b.v. in manufacturing execution systems (MES)
Supervisie en regeling van windturbines

Kan Anonymous het stroomnetwerk platleggen?

  door

Vandaag een bericht waar de virtuele en de digitale wereld bij elkaar komen, namelijk die van het stroomnetwerk dat gekoppeld is aan allerlei informatiesystemen.

De National Security Agency van de Verenigde Staten vreest dat de hackersgroep Anonymous machtig genoeg is om het stroomnetwerk plat te leggen. In de krant Wall Street Journal staat dat generaal Keith Alexander daarvoor heeft gewaarschuwd in het Witte Huis. Andere officieren zijn ook bezorgd over de destructieve kracht van Anonymous, maar een deel verwacht dat de hackersgroep nog drie tot vijf jaar nodig heeft om zo`n grootschalige operatie op touw te zetten (bron).

Het antwoord op de titelvraag: Kan Anonymous het stroomnetwerk platleggen? Krijgt dus zeker geen eenduidig antwoord. De een waarschuwt ervoor, terwijl de ander denkt dat het nog zo’n 3 tot 5 jaar zal duren.

Laten we in dit geval dan uitgaan van het “best case scenario”. Stel dat het inderdaad 3 tot 5 jaar zal duren. Als we dat nu al weten, dan moeten we toch in staat zijn om daar in die tijd voldoende tegenmaatregelen tegen te nemen? Als dat zo is, wat zegt me 3 tot 5 jaar dan? Dan zou het zomaar 30 tot 50 jaar kunnen duren of misschien wel nooit gebeuren.

Hier blijkt maar weer uit dat we met samengeknepen billen naar dergelijke organisaties kijken. We geven niet langer aan dat het onmogelijk is maar verwachten dat we er binnen 3 tot 5 jaar een serieus probleem bij hebben.

De eerste grote test komt op 31 maart omdat de groep dan gedreigd heeft het internet plat te leggen. Ook hier zie je een tweestrijd: de een verwacht dat het internet die dag het inderdaad niet zal doen terwijl de ander aangeeft dat het wel haast onmogelijk is om dit te doen. We zullen zien, de 31ste maart, misschien een dag waarop we het een dag zonder internet moeten stellen.

Nu zou je natuurlijk kunnen stellen dat je het best een dag zonder internet kunt doen (heerlijk zelfs, een dag geen internet, Facebook of Twitter). Maar onderschat dat zeker niet, want veel van de basis infrastructuur verloopt tegenwoordig ook gewoon via internet. Kunnen we dan nog bellen bijvoorbeeld en wordt de stroom, gas en/of watervoorziening er niet door beïnvloed?

Feit is wel dat er steeds meer dreiging uitgaat van online zaken. De insiders weten dat natuurlijk al jaren en het is natuurlijk ook geen verrassing. Als we meer en meer gaan koppelen aan allerlei netwerken dan gaan we daar ook meer en meer risico’s lopen. Dan wordt het ook erg jammer dat beveiliging nog steeds niet of onvoldoende is meegenomen in al die nieuwe ontwikkelingen.

Willen we de beveiliging beter regelen de komende jaren dan staan ons twee dingen te wachten: we werken het achterstallig onderhoud (op beveiligingsgebied) weg en zorgen ervoor dat nieuwe ontwikkelingen pas operationeel gaan als ze veilig genoeg zijn. Simpel gezegd, lastig gerealiseerd. We zullen het zien de 31ste.

Zo heeft een audit natuurlijk geen zin…

  door

De titel triggerde mij om het blog van Roger A. Grimes te lezen, zoals dat op Computerwereld gepubliceerd werd.

Maar ook de inleiding van het blog gaf voldoende aanleiding om door te lezen:
Om de beveiliging van het bedrijfsnetwerk te verhogen, richten sommige IT-beveiligers zich op één aspect en vergeten ze de rest. Toch is dat meer dan de meeste organisaties doen (bron). Een eenvoudige zin, maar lees hem nog eens en laat hem op je inwerken.

Nu ga ik hier natuurlijk niet het hele blog herschrijven, want ik raad je gewoon aan dat blog ook eens te lezen, maar ik voel me wel zo vrij om daarop door te borduren.

Heel herkenbaar zoals het geschreven wordt. Er worden allerlei adviezen gegeven en toch lijkt het maar niet te lukken om de beveiliging ook echt op orde te krijgen. Niet door een top-down benadering maar ook niet door een bottom-up benadering. Sterker nog, hoe uitgebreider jouw advies, hoe kleiner de kans dat het opgevolgd wordt. Men ziet letterlijk door de bomen het bos niet meer en als men al komt tot prioritering dan is de kans groot dat na twee of drie maatregelen de managers hun interesse hebben verloren.

Toevallig (toeval bestaat niet, maar toch) had ik hier kort geleden nog een interessant gesprek over bij een opdrachtgever. We hameren er vanuit onze visie op dat we niet moeten redeneren vanuit beveiligingsmaatregelen maar juist vanuit operationele risico’s (en het liefst nog vanuit “enterprise risks”).

Dat is nog steeds helemaal waar, maar het grote gat zit hem in het feit dat organisaties vergeten de combinatie te maken. Ofwel ze redeneren vanuit operationele risico’s en het lukt maar niet om daar de juiste maatregelen bij te treffen. Of ze redeneren steeds vanuit beveiligingsmaatregelen zonder die te koppelen aan de operationele risico’s.

Wat hier nu zo interessant aan is, zul je je afvragen. Nou, het was voor mij weer eens een bevestiging dat we ons verhaal en ons advies af moeten stemmen op onze doelgroep. Dat proberen we natuurlijk altijd, maar het is goed om daar weer eens aan herinnert te worden. We moeten er dus voor zorgen dat we de managers informeren over operationele risico’s maar we moeten er ook voor zorgen dat we degene die het uit moeten voeren (functioneel beheerders bijvoorbeeld) concreet aan de slag laten gaan met maatregelen.

Zij hoeven niet het denk werk te doen over het “wat”, nee, dat moeten wij voor ze doen. Laat hun aan de slag gaan met het “hoe” en we zijn “on speaking terms” Houden we dan ook nog in de gaten dat het advies geen 100 pagina’s dik mag zijn, dan zijn we weer een stukje verder. Wij weten dan misschien wat ze de komende 3 tot 7 jaar allemaal moeten doen om “in control” te raken, maar dat wil nog niet zeggen dat we ze al die informatie in een keer moeten geven.

We kunnen natuurlijk de schuld leggen bij de organisatie, want beveiliging is nu eenmaal een lijnverantwoordelijkheid, toch? Maar laten we de schuld eerst bij onszelf zoeken. Blijkbaar managen we vanuit security de boel nog niet goed. En dat is een constatering die ikzelf meermalen heb gedaan. We zijn wel druk bezig maar doen we ook de juiste dingen en doen we de dingen juist op basis van een meerjaren plan?

Lukt het ons om draagvlak te creëren bij het management? Rapporteren we met de juiste informatie aan het juiste niveau? Hebben wij de prioriteiten gesteld zodat de uitvoerders daar niet mee lastig worden gevallen en gewoon aan de slag kunnen? Communiceren wij met de juiste bewoording naar de personen? Het zijn zomaar een aantal vragen die we onszelf kunnen stellen.

“Zo heeft een audit natuurlijk geen zin…” kan ik alleen maar onderschrijven. Voordat we aan die audit beginnen moeten we het toch op de juiste manier gaan managen. We eten de olifant toch ook niet in een keer op? Waarom proberen we dat met die kudde olifanten, die we gemakshalve security zullen noemen, dan wel?

Nou, nog een mooie metafoor dan uit het blog:
Je vindt beveiliging prioriteit hebben, maar je acties geven anders te kennen. Je bent net zoals die kerel die, met zijn goede voornemens in gedachten, in januari een jaarabonnement bij de sportschool neemt en in maart stopt.

Ach, security, het is allemaal niet zo ingewikkeld, als we het maar op de juiste wijze managen en ook daadwerkelijk beginnen met de eerste stappen te zetten. De marathon wordt een stuk makkelijker als we niet nadenken hoever de finish wel niet is maar gewoon beginnen met rennen (althans, dat is me verteld, ik heb nog nooit een marathon gelopen…die finish is me echt te ver en ik begin liever die kudde olifanten op te peuzelen). En vergeet niet dat er genoeg mensen zijn die starten met de marathon om nooit de finish te halen.

Is dat erg? Nou, in ieder geval kunnen ze zeggen dat ze er aan zijn begonnen…en veel bedrijven kunnen dat op dit moment nog niet met droge ogen beweren.

Beveiliging radioactief afval in Vlaamse Kempen niet in orde

  door

Na het geval waarbij een koffer met informatie over spionage vliegtuigjes gestolen werd, gaan we nog even verder met voorbeelden van hetgeen er allemaal in de analoge wereld gebeurt.

De beveiliging van de gebouwen waarin Belgoprocess in Dessel, over de grens bij Reusel, radioactief afval opslaat is niet in orde. Dat blijkt uit een inspectie van het Federaal Agentschap voor Nucleaire Controle (FANC). De inspecteurs stelden een reeks mankementen vast. Dat schrijft Het Belang van Limburg (hBvL) (bron).

Ja, zegt u het maar. Wat is er nu eigenlijk erger? Dat er email-adressen van 100.000+ klanten op internet gezet worden na een hack of dat we grote risico’s lopen met radioactief afval? Het antwoord hangt er natuurlijk vanaf in hoeverre het ons als persoon treft.

Stel dat je in Amerika woont en je email-adres is op straat gekomen. Dan vind jij dat als individu zeer waarschijnlijk een stuk erger dan dat er radio actief afval in verkeerde handen kan komen. Andersom: je zal in de buurt van Belgoprocess wonen. Dan maak jij je waarschijnlijk niet zo druk om dat email-adres van die Amerikaan.

Simpelweg kunnen we dus niet zomaar stellen dat het een erger is dan het ander. Dat hangt er helemaal vanaf aan wie je het vraagt. Feit is wel dat we naar de mogelijke gevolgen moeten kijken. Wat ik hiermee wil zeggen is dat we dergelijke informatie ook kunnen gebruiken bij het uitvoeren van onze risico analyses. We moeten dus altijd met gezond verstand kijken naar de inschatting van de kans en de impact die we van mensen ontvangen.

Raakt een risico een manager in een bedrijf bijvoorbeeld niet dan zal hij zich daar weinig zorgen over maken. Mocht zijn bonus er direct door in gevaar komen dan is het wellicht in eens een zeer belangrijk risico dat we moeten zien te beheersen. Daarom willen we bij het uitvoeren van een risico analyse ook meer mensen betrekken en de verschillende antwoorden combineren. Zo kunnen we zien welke risico’s voor onze organisatie nu echt belangrijk zijn.

Voor Belgoprocess zouden we in ieder geval aan het standaard risico lijstje toe kunnen voegen de risico’s op diefstal van radio actief materiaal, maar natuurlijk ook het op straat raken van de email-adressen. Welke kans en impact daarbij horen mogen ze dan zelf bepalen.

Lijkt vrij logisch, toch? Dat ze dergelijke issues meenemen in hun risico analyse? Ja, dat zou je inderdaad mogen verwachten, maar: Een jaar geleden tikte FANC het bedrijf al eens op de vingers vanwege ontoereikend management.

Als dergelijke organisaties het al niet in de klauw hebben, dan maak ik mij grote zorgen over andere organisaties. Stel dat bedrijven die de bruggen en sluizen van Nederland bewaken er ook zo slecht mee om gaan…oh, wacht, dat is ook al een feit gebleken de afgelopen weken. We houden het nieuws weer in de gaten en als je weer ergens voor gewaarschuwd moet worden, dan lees je dat hier.

Koffer met plannen spionagevliegtuigjes gestolen

  door

Genoeg van al die technische hacks en kwetsbaarheden in informatiesystemen? Bedenk dan dat er in de analoge wereld ook nog genoeg plaats vindt.

Een koffer met documenten over een Frans-Brits project voor onbemande Defensievliegtuigen is op een treinstation in Parijs gestolen. In een tijdperk van Trojaanse paarden en spear phishing-aanvallen blijkt ook het ‘oude vertrouwde’ handwerk nog steeds prima te werken. Een topman van Dassault Aviation kocht op het Gare du Nord station een kaartje, toen zijn vrouwelijke collega door een belager werd lastiggevallen (bron).

Hierbij zien we maar weer dat het niet altijd aan de systemen ligt (sterker nog: meestal ligt het ook niet aan de systemen maar aan de wijze waarop wij met de systemen omgaan). In dit specifieke geval zal er ongetwijfeld ergens in het beleid staan dat vertrouwelijke gegevens nooit uit het oog mogen worden verloren. Dus ook niet als we even snel een treinkaartje gaan kopen.

Maar ja, probeer jij tegenwoordig nog maar eens een treinkaartje te kopen terwijl je een koffer in je hand hebt. Met twee lege handen lukt het je al bijna niet om die ingewikkelde kaartautomaten te bedienen. En dan moet je ook nog eens extra goed opletten dat men met de zogenaamde “tientjes-truc” niet je pinpas afhandig maakt.

Voor degene die hem niet kennen: bij de tientjes-truc gaat er iemand achter je staan die je tijdens het kopen van een kaartje op de rug tikt. “of dat briefje van 10 euro van jou is.” Natuurlijk kijk je om en gretig als we zijn bukken we snel om dat tientje op te pakken (ook al is die helemaal niet van ons). We bedanken degene die ons waarschuwde nog even vriendelijk en hebben de dag van ons leven. Totdat we de pinpas nog een keer nodig hebben en erachter komen dat we pas die in onze portemonnee zit helemaal niet onze pas is. Juist, de pas is gewisseld en je pincode is afgekeken. Die crimineel heeft van zijn tientje heel wat meer geld kunnen maken als jij daar niet snel genoeg achter komt.

Gelukkig hoeven we ons niet al teveel zorgen te maken:“De politie zou geen moeite moeten hebben om de dieven te vinden, aangezien het gebied gefilmd werd.” Ja, het is maar welke beveiligingsprincipe je aanhangt…in mijn optiek is voorkomen nog altijd beter dan genezen.

Dan sta je mooi voor paal…

  door

Niet alleen de grote en meer bekende organisaties staan in “the picture” als het gaat om beveiligingslekken maar ook komen er steeds meer berichten naar buiten van websites die gehackt zijn…nou ja, gehackt: ook hierbij zien we weer dat er niet heel veel technische kennis nodig was om achter de gegevens te komen.

Maar ja, als gebruiker en geregistreerde van deze websites sta je dan mooi voor paal:
De pornosite Videosz.com heeft de privégegevens van honderdduizenden klanten gelekt. Een lezer van het Duitse Heise ontdekte een IP-adres waar een onbeveiligde phpMyAdmin installatie op draaide. Zodoende kreeg hij zonder enige authenticatie toegang tot de database, met daarin adresgegevens, wachtwoorden, creditcardgegevens en welke pornofilms gebruikers hadden gedownload (bron).

Of wat denk je van deze?

YouPorn, de populairste pornosite op het internet, heeft de gegevens van meer dan een miljoen geregistreerde gebruikers gelekt. Het gaat om wachtwoorden en e-mailadressen. “Deze informatie is te gebruiken om pornoverbruikers te identificeren, maar voor sommige gebruikers staat er meer dan alleen de reputatie op het spel”, zegt beveiligingsonderzoeker Anders Nilsson (bron).

Gelukkig volgde er op het tweede bericht al snel een update:
Volgens YouPorn gaat het niet om gebruikers van de videosite, maar om gebruikers van dating/chatsite YP Chat. Dit zou een gescheiden dienst zijn die vanaf YouPorn.com werd gelinkt. De chatdienst werd door een derde partij beheerd en zou niet met YouPorn.com geassocieerd zijn. Ook zou YP Chat niet op YouPorn-servers gehost zijn.

YP Chat zou zomaar een afkorting van YouPorn Chat kunnen zijn. Het bedrijf mag dan aangeven dat een dergelijke dienst is uitbesteed en dat zij daar niet mee geassocieerd kunnen worden. Maar ja, het imago heeft inmiddels al een flinke deuk opgelopen. Voor de gebruiker doet het er ook helemaal niet toe of het nu wel of niet formeel geassocieerd mag worden met elkaar. Nee, ook hier gaat het weer gewoon om perceptie.

Denkt of ervaart de klant dat YP Chat onderdeel is van YouPorn dan is het YorPorn die de klappen krijgt. Niet zo gek natuurlijk. We haalden het in het verleden ook al aan, maar al die terugroep acties van Toyota hebben de leveranciers van dat merk minder imago schade opgeleverd dan Toyota. Natuurlijk kun je hard roepen dat alles is uitbesteed, maar was de keten niet zo zwak als de zwakste schakel? Juist.

Of je nu uitbesteedt of niet, dat maakt voor de klant helemaal niets uit. Sterker nog: degene die uitbesteedt moet gewoon haar verantwoordelijkheid nemen. Heeft je leverancier het niet goed in de klauw dan moet je daar betere eisen aan stellen, je moet ze helpen en dat doe je niet door de contracten nog verder te onderhandelen want daarmee schiet je alleen jezelf maar in je voet.

Maar goed, ben je nog op zoek naar een interessant chat-maatje dan weetje nu dat je genoeg email-adressen kunt vinden door nog even goed te zoeken. Ik wens je hele leuke gesprekken, maar houd het alsjeblieft wel een beetje discreet want voor je het weet ligt jouw hele chat-geschiedenis ook op straat.

Vijf hackers typen te onderscheiden

  door

In de fysieke beveiligingswereld is het al lang heel normaal om uit te gaan van bepaalde dadertypen en daderprofielen. Op basis daarvan worden keuzes gemaakt waartegen een bedrijf zich wil beschermen. Zo wil (bijna) iedereen zich wel beschermen tegen gelegenheidsdaders of amateurs. Hebben we het over terroristen dan wordt het al een ander verhaal.

In onderstaand artikel is een interessante typering gegeven van vijf hackers typen. Voor informatiebeveiliging kunnen we die gaan gebruiken om onze aanpak in te richten. Willen we ons beveiligen tegen script kiddies en insiders of ook tegen hackers die inbreken in opdracht van naties? Het is een keuze, maar wel een belangrijk vertrekpunt om de beveiliging in te richten.

De typen die worden onderscheiden zijn:

  • Ten eerste de script kiddies. Dat zijn vaak nog pubers, die uit nieuwsgierigheid op zoek gaan naar gaten in onlinesystemen. Als ze lekken vinden, melden ze dat ook vaak aan de bedrijven.
  • Dan zijn er de insiders. Hackers die uit rancune, bijvoorbeeld na ontslag, op zoek gaan naar zwakke plekken in ict-systemen. Omdat ze de bedrijven goed kennen, is de schade vaak groot.
  • De georganiseerde misdaad hackt ook. Zij probeert bijvoorbeeld via phishing-mails (mails met het verzoek persoonsgegevens op te sturen) de geadresseerden creditcardgegevens te ontfutselen.
  • Hackgroeperingen, zoals Anonymous, hacken vanuit een politieke overtuiging. Door schade aan bijvoorbeeld bedrijven toe te brengen willen deze activisten hun standpunt kracht bijzetten.
  • Tot slot zijn er hackers die inbreken in opdracht van naties: om te spioneren of systemen plat te leggen. De hack die de centrifuges van een Iraanse kerncentrale platlegde, is een voorbeeld van deze cyberwarfare. (bron)

Aangezien we als organisatie niet alles in een keer aan kunnen pakken, lijkt het wijs er eerst eens voor te kiezen om de script kiddies en insiders in de gaten te houden. We zouden ons basis beveiligingsniveau daarop in kunnen richten en ons minimaal tegen deze dreiging kunnen beveiligen. Voor die processen en systemen waarvan we bepaald hebben dat ze kritisch zijn voor onze organisatie zouden we nog een stap verder kunnen gaan. We zouden er voor kunnen kiezen deze ook tegen de georganiseerde misdaad en hachersgroepen te beveiligen. Daar zal dan veelal veel technische kennis bij nodig zijn. Hebben we die zelf niet in huis dan schakelen we daar een extern expert voor in.

Voor veel organisaties zal het lastig zijn zich te wapenen tegen hackers die inbreken namens naties. Eerlijk is eerlijk, voor veel bedrijven is dit ook helemaal niet nodig. De vreemde natie is helemaal niet in jouw organisatie geïnteresseerd. Kijken we echter naar de infrastructuur die voor Nederland als vitaal is aangemerkt en kijken we naar de overheidsinstellingen dan wordt het een ander verhaal. Deze kunnen wel degelijk doelwit zijn en zullen deze dadertypering dus ook in overweging moeten nemen. Maar zolang sluizen en bruggen nog voor scriptkiddies open staan lijkt dat voor nu (voor sommige organisaties) nog een brug te ver.