Categorie: Geen categorie

Hacker onthult lekken in industriele systemen

  door

Een grote brand in Moerdijk en nog veel erger een groot ongeval in een kernreactor in Japan en zo kunnen we nog wel even doorgaan. Je zou toch zeggen dat we inmiddels wel aandacht voor de beveiliging daarvan zouden hebben?

Ehm, nou de organisaties zelf misschien niet, maar een beveiligingsonderzoeker “gelukkig” wel.

Een Italiaanse beveiligingsonderzoeker heeft tal van beveiligingslekken in industriële systemen onthuld, waardoor aanvallers op afstand belangrijke delen van de infrastructuur kunnen overnemen. De zogeheten SCADA-systemen (supervisory control and data acquisition) worden gebruikt in industriële omgevingen, zoals kernreactoren, raffinaderijen, gaspijplijnen en vliegvelden, die weer in verbinding met de publieke infrastructuur staan (bron).

Geeft niet echt een lekker gevoel, toch? Nou hopen maar dat andere, meer kwaadwillende, aanvallers niet op het idee worden gebracht en maar snel de patches doorvoeren om weer veilig te worden…oh, oeps, probleem: In 34 van de 35 lekken is het voor een aanvaller mogelijk om willekeurige code uit te voeren. Een probleem, want updates voor de kwetsbaarheden ontbreken.

Nou, dan maar snel de leverancier informeren zodat er alsnog met bloedspoed patches gemaakt kunnen worden…oh, oeps, nog een probleem: De makers van het Agora SCADA+ Pack laten weten dat SCADA-systemen lastig zijn te patchen, waardoor ook oude kwetsbaarheden nog relevant zijn.

Lijkt me toch een goed plan als dit soort bedrijven nog eens goed naar hun bedreigingen kijken, daarbij weten wij natuurlijk allang dat je 3 soorten bedreigingen kunt onderscheiden:
1) Bedreigingen van natuurlijke aard (als een aardbeving en Tsunami)
2) Bedreigingen van menselijke aard (bewust en onbewust handelen van mensen)
3) Bedreigingen van technologische aard (storingen, ontbreken van patches, etc.)
Maar weten dit soort bedrijven dat onderscheid ook te maken? En beter nog: kunnen ze ook met creatieve oplossingen komen (want die zijn er echt wel).

Misschien word ik paranoia maar het lijkt wel of we echt kunnen wachten op de volgende grote klap. Blijkbaar is Japan de ver-van-mijn-bed-show. Ik ga in ieder geval zorgen voor aluminium folie (zodat ik mijn ramen af kan plakken tegen straling) en een voorraadje water en blikvoer.

Pinnen met EMV-chip is ook te skimmen

  door

Pinnen, magneetstrip, EMV-chip, skimmen…voor degene buiten het vakgebied misschien abracadabra, maar ik zal het kort proberen toe te lichten.

Al jaren lang maken we gebruik van onze pinpas, we halen de pas door een sleuf aan de zijkant van een pinautomaat, typen de pincode in en hebben afgerekend. Daarbij hebben we jaren gebruik gemaakt van de magneetstrip (die zwarte strip op je pas) waarmee de betaling een feit was. Het grote nadeel van deze strip is dat hij gemakkelijk te kopiëren is. Dan hebben ze alleen je pincode nog nodig om jouw geld van de rekening af te halen. Kleine camera’s worden gebruikt of ze kijken simpelweg over je schouder mee.

Grote sommen geld zijn daarmee overgaan in handen van de criminelen. De banken hebben deze schade veelal voor hun rekening genomen en hebben er hard aan gewerkt om de kans op skimmen (het kopiëren) te verkleinen. Een van de maatregelen was de invoering van de EMV-chip. Hiermee hoeven we de pas niet meer door de sleuf te halen maar moeten we hem in een andere sleuf stoppen (zodat de betaling d.m.v. de chip tot stand kan komen). Een stuk veiliger, althans…dat is de bedoeling.

In Nederland wordt het nieuwe pinnen met de EMV-chip ingevoerd. Door de bankpas niet door de sleuf te halen maar bovenin het apparaat te steken wordt het skimmers moeilijker gemaakt en het elektronische betaalsysteem veiliger. Onderzoekers hebben echter al een gat in het nieuwe systeem ontdekt. Het skimmen van de EMV-chip gebeurt met een klein onopvallend apparaatje dat in de kaartgleuf wordt aangebracht (bron)

De geschiedenis herhaalt zich. Inmiddels zijn er vele maatregelen genomen om het skimmen van de magneetstrip tegen te gaan. Een groot aantal van deze maatregelen zal nu opnieuw tegen het licht moeten worden gehouden voor het tegen gaan van het skimmen van de EMV-chip.

Het zal altijd wel een wedloop blijven. Jammer dat dergelijke ontwikkelingen door de criminelen zo snel achterhaald kunnen worden. De vraag is natuurlijk wat de opvolger van de EMV-chip zal worden en wanneer die gekraakt wordt.

Bodyscanners…daar gaan we weer

  door

Het is alweer enige tijd geleden dat we in dit blog ingingen op de bodyscanners. Maar nu kan ik het toch niet meer aan me voorbij laten gaan. Op dezelfde dag twee berichten over de bodyscanner:

  • ChristenUnie wil bodyscanners in heel Europa
  • Straling bodyscanners hoger door rekenfout

Als het aan de ChristenUnie ligt krijgen luchtvaartreizigers straks niet meer de keus tussen de metaaldetector en bodyscanner. De partij wil dat alle metaaldetectors op Europese luchthavens door bodyscanners worden vervangen (bron).

De straling van Amerikaanse bodyscanners is door een rekenfout tien keer hoger dan verwacht, zo blijkt uit onderzoek (bron).

Gelukkig is de ChristenUnie zichzelf daar ook wel van bewust:
Daarbij moeten volgens hem alleen de meest geavanceerde security scanners worden gebruikt. “Er zijn ook security scanners op de markt die een bedreiging vormen voor de volksgezondheid en de privacy. Zo gebruiken oude systemen röntgenstraling in hun technologie, en dat is niet goed voor de gezondheid van de passagier, zeker wanneer een passagier meerdere keren per jaar door een dergelijke machine moet” laat Van Dalen weten.

Allemaal leuk en aardig natuurlijk, maar hoe weet ik, als reiziger nu met wat voor soort scanner ik te maken heb of krijg? Weigeren kan waarschijnlijk niet omdat je dan al direct als potentiële terrorist wordt gezien en je heel andere onderzoeken aan je broek krijgt (en dat kun je in dit geval letterlijk nemen).

Stel nu dat je vanaf Schiphol vertrekt en stel dat zij inderdaad veilige bodyscanners gebruiken. Je landt aan de andere kant van de wereld en komt tot de ontdekking dat de daar gebruikte scanners nog van het oude type zijn en je een overdosis aan straling geven. Wat moet je dan? Je wilt, zeer waarschijnlijk, toch ook weer een keer terug naar Nederland? Je zult je er dan aan over moeten geven.

De gevolgen op korte termijn zullen allemaal wel mee vallen en als je maar een paar keer in je leven vliegt is dat ook nog wel te overzien. Maar wat zijn de lange termijn effecten als je 2x per jaar op vakantie gaat met het vliegtuig (en dus 4x gescand wordt)? Wat zijn de gevolgen voor de piloten en de stewardessen? Moeten die inmiddels geen gevarengeld bijgeschreven krijgen op hun salaris?

Werken in de mijn was vroeger ook geheel veilig, totdat we erachter kwamen dat je er stoflongen van kreeg. Leuk, hoor dat je dan een claim in kunt dienen, maar de jaren aan het eind van je leven die je inlevert krijg je er niet mee terug.

Duitse overheid onthult gratis encryptiesoftware

  door

Er is een nieuwe versie van het gratis encryptieprogramma Gpg4win verschenen, dat voor het Bundesamt für Sicherheit in der Informationstechnik (BSI) is ontwikkeld (bron).

Oh, nee, hier gaan we. De overheid die gratis encryptiesoftware onthult. Hoe goed de intentie misschien ook is, de schijn heeft het in ieder geval tegen.

De discussie zal op gang komen. Als de overheid deze software promoot, dan moet er wel een backdoor inzitten waardoor zij in ieder geval bij de gegevens moeten kunnen. De vraag is of je als ontwikkelaar nu echt blij moet zijn als de overheid jouw product gaat promoten.

Normaal gesproken wel natuurlijk. Want weinig mooier dan de overheid als referentie kunnen gebruiken. Maar in dit geval toch op zijn minst twijfelachtig. Ik wacht nog even met het gebruik van deze gratis encryptiesoftware.

Een geluk bij een ongeluk: gisteren zagen we al dat het 40% niet lukt om de WiFi-verbinding te beveiligen. Deze mensen gaat het waarschijnlijk ook niet lukken om encryptiesoftware up-and-running te krijgen. Een gevaar op zich, want wordt het middel dan niet erger dan de kwaal? Als je al besluit om encryptiesoftware toe te passen, wees je er dan wel van bewust dat als je het wachtwoord kwijt raakt je ook echt niet meer bij de gegevens kan.

Encryptiesoftware voor thuisgebruik? Ehm, wees reëel, heb je dat echt nodig? Zijn jouw privé gegevens echt zo spannend? Ik zou er eerst maar eens voor zorgen dat je WiFi-verbinding beveiligd is, dat je een firewall hebt draaien en dat de anti-virus en anti-spam software up-to-date is. Grote kans dat de gelegenheidsdader jouw huisje dan voorbij rijdt en naar de buren gaat.

Oh ja, dat herinnert me eraan. Weet je het nog? Gisteren de test met de WiFi-verbinding? 7 beveiligd en 2 niet. Ik denk dat ik deze mensen binnenkort een bloemetje moet brengen omdat zij er mede voor zorgen dat mijn netwerkje veilig is.

40% consumenten kan WiFi-netwerk niet beveiligen

  door

Veertig procent van de Britse consumenten is niet in staat om de beveiligingsinstellingen van hun draadloze netwerk aan te passen, zo blijkt uit een online onderzoek dat de Information Commissioner’s Office (ICO) liet uitvoeren (bron).

De vraag die mij hierbij direct te binnen schiet is of het hier ook echt gaat om “niet kunnen” of “niet willen”. Dat lijkt misschien een klein verschil, maar voor de aanpak heeft dat wel degelijk grote effecten.

De ICO roept internetproviders, winkels en fabrikanten op om duidelijke handleidingen met hun apparatuur mee te leveren. Daar moeten niet alleen de juiste beveiligingsinstellingen in staan, maar ook wat de risico’s van een onbeveiligd netwerk zijn.

We kunnen wel duidelijke handleidingen maken (kom op, zo ingewikkeld zijn ze nu ook weer niet, zeker niet met al die screen shots), maar als de mensen het niet willen, dan gaan ze die handleidingen ook echt niet lezen.

De mensen kunnen wel hun computer aanzetten, ze kunnen de router in het netwerk hangen (wat echt veel moeilijker is dan het veilig instellen) maar zouden niet in staat zijn om de standaardinstellingen aan te passen? Ik geloof er helemaal niks van.

Het gaat hier (naar mijn gevoel) niet om het “niet kunnen”, maar echt om het “niet willen”. Een handleiding, hoe duidelijk ook, maakt dan echt geen verschil want niemand leest dat pak papier. Wat wel een oplossing zou kunnen zijn? Ehm, nou dat is niet zo heel ingewikkeld: gewoon automatisch af laten dwingen dat na installatie de gebruiker door een aantal pop-up schermen wordt geleid waarbij de beveiliging wordt afgedwongen en de wachtwoorden gewijzigd moeten worden.

Even snel de proef op de som genomen: in mijn directe omgeving bevinden zich nu 9 WiFi-netwerken, daarvan zijn er 7 beveiligd en 2 dus niet. Een kleine 30%, dus…maar hoe betrouwbaar die statistieken zijn met dergelijke kleine aantallen blijft de vraag…zelfs daarover kun je hele blogs maken.

Het nieuwe storten voor de MKB-er

  door

Een aantal dagen geleden plaatste ik een bericht over het feit dat de MKB’er zich niet veilig voelt bij het storten van contant geld. Daarop ontving ik een reactie waarbij ik verwezen werd naar: www.hetnieuwestorten.nl. Hoewel ik normaal niet in ga op commerciële uitingen (omdat ik graag onafhankelijk blijf), verdient deze toch wel een vermelding.

In het bericht ging ik in op de bezwaren die een MKB-er kan hebben tegen het afvoeren van geld via een waardetransporteur. Met het nieuwe storten worden een aantal van die bezwaren voor een groot deel ongedaan gemaakt. Een goede ontwikkeling, lijkt me. Hiermee wordt het veilig afstorten voor de MKB-er een stuk dichterbij gehaald. De kans op overvallen neemt af en de medewerkers worden aan minder gevaren blootgesteld.

En wie ben ik dan om er niet even een berichtje over te schrijven? Dergelijke ontwikkelingen verdienen de aandacht (los van wie de dienst dan ook aan biedt en als er 1 schaap over de dam is volgen er meer) en hoe meer ruchtbaarheid er aan wordt gegeven, hoe groter de kans dat de MKB-er ook daadwerkelijk veiliger gaat afstorten.

Waren tot voor kort de tarieven voor waardetransport nog duister en niet inzichtelijk, daar is nu ook een einde aan gekomen. Voor €14,50 per keer haalt Safe Express uw bankbiljetten op en wordt het geteld en bijgeschreven op uw rekening.

Het is nog steeds niet gratis en dat is logisch, want iedereen moet een boterham verdienen. De MKB-er weet dat beter dan wie ook. Maar met dergelijke tarieven is het nu in ieder geval een stuk toegankelijker geworden. De eerste keer is het zelfs helemaal gratis, dus ik moedig iedere MKB-er aan om dit toch serieus in overweging te nemen.

Online striptease voor sterke wachtwoorden

  door

De meeste internetgebruikers kiezen zwakke wachtwoorden, reden voor een Zuid-Afrikaans bedrijf om sterke wachtwoorden met een striptease te belonen. “Naked Password” is een programma dat websites kunnen gebruiken om gebruikers een sterker wachtwoord te laten kiezen. Bij het invullen van een wachtwoord verschijnt er een dame, die naarmate het wachtwoord sterker wordt, meer kleding uittrekt (bron).

Voor dat jullie allemaal massaal de tool gaan gebruiken eerst even een waarschuwing: ik sta niet in voor de resultaten…niet voor de resultaten van het beeldje dat je te zien krijgt, maar zeker ook niet voor de eventuele gevolgen. Het zou zomaar kunnen zijn dat we over een aantal maanden lezen dat iedereen die de tool gebruikt heeft een virus heeft opgelopen…en geloof me: een SOA-test zal in dat geval niets uitwijzen.

Toch vind ik dit soort initiatieven te prijzen. En, nee, niet omdat het hier om een striptease gaat, maar omdat er creatief gedacht wordt over mogelijkheden om de wereld beter te beveiligen. Beveiliging blijft vaak exotisch, zwaar, technisch, moeilijk en ga zo maar even door. Een echt positief imago kleeft er nog niet aan, maar met dit soort initiatieven zou dat best eens kunnen veranderen.

En geef het maar toe, je hebt de site even bekeken en het uitgeprobeerd. Oké, het beeldje is inderdaad nog niet echt schokkend en kan veel beter. Het doet mij denken aan de tijd van de Commodore 64 (ik zie wat jongere mensen nu afhaken en vragend kijken, ja, dat moeten jullie dan maar even Googlen). Die goede oude tijd waarbij een balletje nog gewoon vierkant was en je nog je fantasie kon gebruiken (met dank aan Pong).

De mooiste beveiligingsoplossingen zijn die oplossingen die helemaal geen beveiligingsmaatregel zijn of lijken. Een mooie volzin, maat wat bedoel ik? Ik zal het met een concreet voorbeeld toelichten: een mooie oplossing vind ik persoonlijk altijd de bloemenbakken met geurende kleurige bloemen voor een bankgebouw. Een onverschillige bezoeker loopt er langs en ruikt de heerlijke geur van bloemen in de lente. Niet wetende dat die bloembak er eigenlijk staat om ramkraken te voorkomen (de criminelen weten dat overigens wel, bloemen houden van mensen, maar criminelen houden niet van bloemen). Twee vliegen in een klap: ramkraken worden voorkomen en de omgeving wordt opgefleurd.

Willen we beveiliging beter op de kaart zetten, dan moeten we leren “out-of-the-box” te denken en die oplossingen te verzinnen die de mensen blij stemt. Makkelijker gezegd dan gedaan, maar daar ligt wel de uitdaging.

Nalatigheid is belangrijkste oorzaak verlies persoonsgegevens

  door

Nalatigheid en slordigheid bij medewerkers van bedrijven of partnerbedrijven zijn nog steeds de voornaamste oorzaken van het uitlekken van persoonsgegevens. In 41 procent van de onderzochte gevallen zou nalatigheid of slordigheid binnen een organisatie of bij een partnerbedrijf de oorzaak zijn geweest. Aanvallen van buitenaf door cybercriminelen zijn (met 31%) echter sterk in opkomst (bron).

Wederom een bevestiging van een feit dat binnen de beveiligingswereld al jaren bekend is. De grootste dreiging komt (nog) niet van buitenaf maar zit gewoon lekker achter zijn of haar buro en ontvangt er maandelijks nog een goed salaris voor ook. In dit geval wordt gesproken over nalatigheid en slordigheid, beide gevallen van onbewust handelen van de medewerker. Daarnaast moeten we ook zeker die medewerkers niet onderschatten die bewust informatie lekken, daar zit een veel grotere uitdaging.

Aangegeven wordt dat een van de oplossingen is om de medewerkers beter te trainen in de richtlijnen. Op zich natuurlijk een goed punt, daarmee kunnen we (als we het ook echt goed doen) nalatigheid en slordigheid deels voorkomen. Feit is wel dat we degene die het moedwillig en doelbewust doen hier niet mee tegen houden. Deze categorie is vele malen moeilijker in toom te houden. Hoe we dat dan wel kunnen doen? Ja, dat is een vraag die we zo 1, 2, 3 niet kunnen beantwoorden in concrete bewoording. We kunnen natuurlijk eens starten met een goed basis beveiligingsniveau. Veel organisaties besteden tonnen zo niet miljoenen aan beveiligingsmaatregelen zonder dat ze weten hoe goed ze nu eigenlijk beveiligd zijn. Is daar dan geen oplossing voor? Natuurlijk wel, sterker nog, ik heb hem in de vorm van een maturity scan gewoon voor je “op de plank” liggen. Een investering voor organisaties die snel is terug verdiend.

Gaan we even door op het terugverdienen van de investering dan komen de volgende onderzoeksgegevens goed van pas:
Volgens de onderzoekers kost een zaak waarbij persoonsgegevens worden buitgemaakt gemiddeld 7,2 miljoen dollar voor een Amerikaans bedrijf. Per gebruikersrecord zouden de kosten 214 dollar bedragen, tegenover 204 dollar een jaar daarvoor.

Uiteindelijk gaat het voor organisaties maar om drie hoofdpunten: omzet (verlies), kosten (verhoging) en imago (schade). Als we nu eens in die termen leren denken, dan wordt ineens duidelijk waarom we aan beveiliging zouden moeten doen en wat dat dan jaarlijks mag kosten. Ingewikkeld? Ehm, best wel, maar als we een aantal aannames doen dan kunnen we al een heel eind komen.

Geïnteresseerd? Mooi, dan hebben we er weer een volgeling bij. Laat het me weten en binnenkort leg ik het je uit tijdens een goede bak koffie.

Doorsnee website 270 dagen per jaar lek

  door

De gemiddelde website heeft 270 dagen per jaar met een ernstig beveiligingslek te maken, zo blijkt uit onderzoek onder meer dan drieduizend websites. 64% van de geteste websites had met “information leakage” te maken, net iets meer dan cross-site scripting dat voorheen altijd op de eerste plek stond (bron).

Op zich een opmerkelijk bericht, hoewel je bij statistieken natuurlijk altijd de eigenlijke bron moet onderzoeken. Nou, helaas, die bron ga ik in ieder geval niet onderzoeken en we nemen de gegevens maar even voor waar aan.

64% van de websites lekt informatie. Jammer genoeg staat er niet bij om wat voor soort informatie het gaat. Websites zijn juist bedoeld om informatie te verstrekken, maar over die informatie hebben ze het vast niet. Nee, ze zullen het meer hebben over gevoelige informatie. Wat dan gevoelige informatie is, wordt helaas niet duidelijk. Is het bijvoorbeeld mogelijk om het achterliggende besturingssysteem te zien of is het mogelijk om via de betreffende websites op de netwerken van de organisaties te komen. Nogal een verschil lijkt me.

Maar goed, laten we weer even realistisch worden. Stel nu dat we het hier inderdaad hebben over de besturingssystemen, wachtwoorden en andere gegevens van de website. Met andere woorden: de website is inderdaad uit de lucht te gooien of te compromitteren. Dan moeten we ons de vraag stellen hoe ernstig dat voor het merendeel van de bedrijven nu echt is. De website van de bakker om de hoek mag er best een aantal dagen uit liggen, niemand die daar een grote zaak van maakt. Voor bedrijven die veel online verkopen realiseren wordt dat al een heel ander verhaal.

Toch moeten we oppassen met dit soort (en andere soorten) berichten over allerlei lekken en mogelijke beveiligingsincidenten. We moeten wel de koppeling blijven leggen met de ernst van de zaak. Of in andere, meer concrete woorden, hoeveel omzet lopen we mis en hoeveel imagoschade lopen we op?

In veel gevallen zullen we dan zien dat de kosten/baten-analyse helemaal scheef is. Willen we de website inderdaad beter beveiligen dan moeten we kosten maken (want de kennis hebben we zelf vaak niet in huis). Deze kosten wegen niet op tegen het uit de lucht zijn van een website voor een dag.

Hoe leuk en leerzaam dit soort onderzoeken en berichten ook zijn: gebruik je gezond boeren verstand en wees realistisch in wat je als organisatie wilt bereiken. Wellicht (en ik weet het bijna wel zeker) heb je belangrijker zaken aan je hoofd op beveiligingsgebied.

Maar goed, wil je je website toch een beetje veilig houden? Test de website eens en kijk wat de resultaten zijn. Wijzig dan niet meer al teveel aan de structuur en zorg dat patches op tijd worden doorgevoerd. Met een goed en veilig ingericht CMS kun je de content dan gewoon aan blijven passen aan de laatste stand van zaken, zonder dat je echte risico’s loopt. En geloof me, wil een echte hacker je site doelbewust platleggen dan lukt dat toch wel, probeer eerst de scriptkiddies maar eens buiten de deur te houden.