Categorie: Geen categorie

Het stereotype hacker

  door

Zodra de term hacker valt, denkt het merendeel van de mensen aan een puisterig jong ergens achter in zijn tienerjaren. Vooral in hokjes blijven denken zou ik zeggen, dan kun je tenminste de andere mensen op deze wereld gewoon blijven vertrouwen.

We kunnen hier ook de parallel trekken naar de analoge wereld. Een crimineel, een overvaller, een inbreker, we kunnen wel denken in stereotypen maar je kunt ze aan de blauwe (of bruine) ogen echt niet zomaar herkennen.

Hoewel het natuurlijk geen super technische hack is (de meeste hackers zullen hierom lachen en zullen vinden dat het een schande is voor hun kennis en hun naam), maar goed. Ook dit kunnen we als hack zien, blijkbaar:
In Amerika is een 19-jarige vrouw aangeklaagd wegens het hacken van een e-mailaccount en het stelen van naaktfoto’s. Leah Ayers zou hebben ingebroken op het account van Playboy playmate Brittany Binger en daar naaktfoto’s van haar vriend Grady Sizemore hebben gestolen. Sizemore is een Major League Baseball-ster die voor de Cleveland Indians speelt. Hij had met een mobiele telefoon foto’s van zichzelf gemaakt en naar Binger gemaild. Ayers zou de vijftien gestolen foto’s vervolgens via het internet hebben verspreid (bron).

Is dit het beeld dat u heeft van de typische hacker? Ik niet in ieder geval.

Website voor veilig internetten gehackt

  door

Een website van de Bahreinse telecomwaakhond die veilig internetten moet bevorderen, was gisteren het doelwit van hackers. Aanvallers wisten toegang tot de website safesurf.bh te krijgen en defaceden de pagina, waarop alleen een zwarte achtergrond met een doodshoofd en de tekst “[+] P4TI_hackers was were [+]. Indonesian hacker team” te zien was. Na een aantal uur was het probleem opgelost (bron).

Ai, dat is natuurlijk pijnlijk. Probeer je mensen er juist op te wijzen hoe ze veilig kunnen internetten, wordt je zelf het slachtoffer. Hoge bomen vangen veel wind zullen we maar zeggen. En natuurlijk kunnen we zeggen dat ze de beveiliging dan maar beter op orde hadden moeten hebben, maar is dat wel terecht?

Kan niet iedere website uiteindelijk platgelegd worden? Ik denk het wel. Helaas is het zo dat het voor dit soort sites dan nieuws wordt maar dat wil natuurlijk niet zeggen dat we geen initiatieven moeten nemen om mensen te wijzen op veilig internet. En laten we eerlijk zijn, is het nu echt zo erg als een dergelijke website een paar uur uit de lucht is?

Vergelijk het met de best bewaakte locatie, hoewel mensen daar niet binnen kunnen komen, kunnen we wel de bedrijfsvoering ontregelen. Ze kunnen de muren bekladden en blokkades opwerpen om te voorkomen dat mensen het gebouw kunnen betreden. Ja, dan kun je je beveiliging nog zo goed op orde hebben, maar echt tegenhouden kun je dit soort zaken niet.

Kortom: een beetje lullig is het wel, maar ik vind dat we er nu ook weer niet te zwaar aan moeten tillen. Opnieuw in de lucht brengen en weer vrolijk doordraaien…zal ongetwijfeld nog een keer gebeuren en dat moeten we dan maar accepteren.

100 naaktbeelden bodyscanner gelekt

  door

Het is alweer een poosje geleden dat we het hier over de bodyscanner hadden. Inmiddels heb ik er tijdens één van mijn bezoekjes aan Schiphol ook gebruik van gemaakt (of was het moeten maken?). En eerlijk gezegd viel het me reuze mee. De beelden die je ziet (want als je er eenmaal doorheen bent kun je nog even kijken naar degene die na je komt) verhullen alles en dat is maar goed ook. Toch weten we niet welke beelden er op een andere locatie uitgekeken worden en wat die beelden wel of niet laten zien. Misschien moeten we er niet teveel bij stil staan en het maar gewoon over ons heen laten komen: veel keus hebben we toch niet.

Maar ja, het was natuurlijk te verwachten…beelden die uitlekken op het internet:
In augustus werd bekend dat de Amerikaanse overheid 35.000 bodyscanner afbeeldingen had opgeslagen, waarvan een deel nu is geopenbaard. In eerste instantie liet het Ministerie van Homeland Security weten dat het geen afbeeldingen opsloeg. Het Electronic Privacy Information Center (EPIC) spande een rechtszaak tegen de United States Marshals Service aan en ontving honderd afbeeldingen…Weblog Gizmodo diende een WOB-verzoek in en ontving ook honderd afbeeldingen. Daarop zijn wel de identificerende eigenschappen verwijderd. Daarnaast was de bodyscanner op de “minst gênante” instelling ingesteld (bron).

Gelukkig slaan we hier, net als in Amerika, geen beelden op…ja, ja, geloof jij het? Als er geen beelden worden opgeslagen, hoe kunnen ze dan uitlekken? Juist. Dan komt het er dus op neer hoeveel vertrouwen we kunnen hebben in degene die de beelden maakt en opslaat. Eerlijk gezegd heb ik daar weinig vertrouwen in. Weten we inmiddels niet allemaal hoe het gesteld is met de beveiliging van DigiD, de OV-chip en het Elektronisch Patiënten Dossier (EPD)?

Ik ben benieuwd hoe lang het zal duren voordat we onszelf op internet tegen komen in een houding waarbij we de armen boven ons hoofd hebben en de benen gespreid. Privacy en veiligheid, het zal wel altijd een spanningsveld blijven.

Eigenaar videotheken failliet

  door

Hoewel we bij continuïteit vaak denken aan allerlei beveiligingsrisico’s die ons voortbestaan kunnen bedreigen zijn er daarnaast natuurlijk nog vele andere zaken die kunnen zorgen voor risico’s. Zo zul je een goede prijs/kwaliteitsverhouding moeten hebben, zul je aan marketing moeten doen, moet je voldoende personeel hebben en moet je natuurlijk voldoende klanten behouden. De nieuwe economie, beïnvloed door het internet, moet hierbij zeker niet uit het oog worden verloren.

Zo zag ik dit bericht op Nu.nl staan:
De Entertainment Retail Group (ERG), het bedrijf achter bekende videotheken als Movie Max en Videoland, is failliet. Het bedrijf hoopt in afgeslankte vorm een doorstart te kunnen maken, aldus directeur Ruud Bakker donderdag (bron).

Hier zie je typisch zo’n markt die sterk beïnvloed is door het internet en haar mogelijkheden. Laten we eerlijk zijn, wanneer ben jij voor het laatst naar de videotheek gelopen om een VHS-je te huren? Voor mij is dit al jaren geleden in ieder geval.

Nu kun je als organisatie je beveiliging op orde hebben en toch je continuïteit in gevaar zien komen. Dit toont de rol van beveiliging maar weer eens aan, het is ondersteunend aan je totale bedrijfsvoering. Zit je bedrijfsvoering niet goed in elkaar dan heeft het ook niet zoveel zin om je volledige aandacht te richten op je beveiliging. We zullen dit de komende tijd meer zien, hoewel beveiliging belangrijk wordt gevonden door het management hebben ze wel andere zaken aan hun hoofd: overleven.

Toch moet beveiliging niet uit het oog worden verloren. Nee, juist in economisch zware tijden moet je juist goed naar je beveiliging kijken. Waar kan ik verbeteringen aanbrengen die minder kosten dan de huidige situatie? Welke beveiligingsmaatregelen neem ik al jaren maar leveren eigenlijk alleen maar schijnveiligheid? Ik ben er van overtuigd dat je met een goede aanpak van beveiliging zomaar 10% tot 20% er op kunt besparen. Uiteraard gaan de kosten voor de baten uit, je zult dus eerst moeten investeren in het inzichtelijk krijgen van je beveiliging en met name in de kosten daarvan, maar daarna kun je redelijk eenvoudig flinke sommen geld besparen zonder dat je een toename in risico’s ziet.

Een flinke uitdaging voor veel organisaties omdat de kosten voor beveiliging veelal niet gespecificeerd zijn. Dat zal dus je eerste stap worden: specificeer de kosten van je beveiligingsmaatregelen. De volgende stap is de getroffen maatregelen nog eens goed tegen het licht houden en kijken waar besparingen mogelijk zijn.

Om terug te komen op en af te sluiten met het bericht waar we mee begonnen: we kunnen het internet natuurlijk als bedreiging zien en ons rustig naar het slachtbankje laten leiden, maar we kunnen er ook voor zorgen dat we het internet begrijpen en inbedden in onze bedrijfsvoering. Hadden de videotheken dat gedaan dan waren ze misschien met nieuwe diensten of andere afzetkanalen gekomen waardoor ze nu niet failliet waren gegaan. Veel organisaties zullen last krijgen van het internet als ze het als bedreiging blijven zien en als het ze niet lukt om goed in te bedden. We zullen dan ook nog behoorlijk wat faillissementen voorbij zien komen.

Willen we de continuïteit borgen dan moeten we dus niet alleen kijken naar onze beveiligingsrisico’s, nee we moeten juist kijken naar de mogelijkheden die de nieuwe economie ons biedt. En dat is makkelijker gezegd dan gedaan.

En een gratis advies voor de heer Bakker: een doorstart heeft alleen maar zin als je ook echt iets anders gaat doen. Het heeft geen zin om de videotheken in ongewijzigde vorm te laten doorstarten…dan steven je af op een nieuw faillissement in de nabije toekomst. Ik wil best met je meedenken…maar ja dan gaan de kosten voor de baten uit: it’s your choice.

Rolstoelheld pakt winkeldief

  door

Larry Skopnik, die tien jaar geleden zijn rug brak bij een ongeluk, schoot een vrouwelijke winkelbediende ter hulp toen deze bedreigd werd door een winkeldief. Hij verrichtte de heldendaad in de Food Store in Vancouver. Toen Skopnik zag dat de cassière een verdacht briefje van 50 dollar weigerde en de vrouw daarop werd belaagd, trok hij de dief op de grond en hield hem in een houdgreep (bron).

Ik hoef er verder niets over te schrijven, gewoon kijken.

Cameratoezicht in het centrum van Vlaardingen

  door

Je zult misschien denken, dit heeft toch geen nieuwswaarde. Maar toch ben ik het daar niet mee eens, natuurlijk is dit een lokale oplossing die al op vele plaatsen wordt toegepast. Maar voor mij, juist voor mij, heeft dit wel degelijk nieuwswaarde.

Oh ja, en voor degene die dat niet weten…Vlaardingen is de plaats waar mijn huis woont (of is deze uitspraak ook al niet modern genoeg meer?).

De gemeente Vlaardingen gaat camera’s plaatsen in het uitgaansgebied van de stad om een veilig uitgaansklimaat te bevorderen. De camera’s worden voor een periode van acht jaar geplaatst met een evaluatie na één jaar…De gemeente had al maatregelen genomen om een veilig uitgaansklimaat te garanderen zoals de invoering van het convenant veilig uitgaan als het opleggen van gebiedsverboden. Ondanks de inzet van deze maatregelen blijft het aantal incidenten in het uitgaansgebied hoog met name voor de delicten bedreiging, mishandeling, ruzie en zakkenrollerij (bron).

Ik ben benieuwd en ga binnenkort maar weer eens een rondje stad lopen om de voortgang in de gaten te houden. Binnenkort kunnen jullie me dus wellicht live op de webcam van de gemeente zien. Als ze hem overdag tenminste ook aanzetten want ’s nachts ben ik niet zo vaak in de stad te vinden.

Het zal een stuk veiliger worden in het pittoreske Vlaardingen, als ik dit bericht mag geloven, nog veiliger (want was het zo onveilig dan? volgens mij viel het wel mee). Iedereen kan weer met een gerust hart hierheen komen, hier zal je niks gebeuren. De vraag is natuurlijk wat je hier als buitenstaander moet doen, maar dat moet je zelf dan maar ontdekken. Ik ben immers het VVV niet (die kun je bereiken via: 010-434 66 66)

Wordt vast vervolgd en laat even weten als je onze stad bezocht hebt.

Politie zet YouTube in voor opsporen criminelen

  door

De politie in Brabant gaat beginnen met een proef om filmpjes van overvallen en andere misdrijven op YouTube te zetten. Ook Google Maps wordt ingezet met een kaart van de meest recente overvallen (bron).

Een goede ontwikkeling als je het mij vraagt. De politie die mee gaat met zijn tijd en nieuwe media inzet om criminelen op te kunnen pakken. “Opsporing verzocht” is er maar één keer per week en hoewel dat veel resultaten op kan leveren loopt dat toch altijd een beetje achter de feiten aan. En nee, geen kwaad woord over Anniko van Santen en Sipke Jan Bousema, want ze doen het wat mij betreft prima. Nee, het ligt gewoon aan het inflexibele karakter van uitzendingen via de TV.

Nu kan iedereen via YouTube de films bekijken en hopelijk snel een bijdrage leveren. Uiteraard moet de politie dit nog even combineren met andere nieuwe media als Hyves, Twitter, etc., maar dat gaat ongetwijfeld gedaan worden.

De proef beperkt zich voorlopig tot Midden- en West-Brabant. Bij succesvolle resultaten zal het experiment snel landelijke navolging krijgen.

Hopelijk wordt deze proef een succes zodat de andere korpsen snel aan kunnen sluiten en Nederland weer een stukje veiliger wordt.

Veel Nederlandse websites onvoldoende beveiligd

  door

Veel Nederlandse websites die gebruik maken van het HTTPS-protocol, zoals DigiD, websites van banken, overheidsinstellingen en webwinkels, hanteren verkeerde instellingen en zijn daarom niet voldoende beveiligd…De beveiligingsexpert (Teus Hagen) verbaast zich over de gebrekkige SSL- en TLS-beveiliging van bijvoorbeeld de websites van banken. “Het is vreemd om te zien dat Facebook, Twitter en LinkedIn beter beveiligd zijn dan alle Nederlandse banken” (bron).

Je kunt je afvragen hoe het gesteld is met de beveiliging van websites van minder grote organisaties. Waarschijnlijk net zo erg of misschien nog wel erger. Als de grote jongens het al niet voor elkaar krijgen dan de kleintjes toch zeker niet? Een ideale wereld voor de criminelen, toch? Even wat gegevens achterhalen en we kunnen vrijelijk van alles doen en kopen op andermans naam.

We horen relatief weinig over fraudes die op deze manier gepleegd worden. De schade zal aanzienlijk zijn, maar niemand wil daarmee te koop lopen.

Het lijkt misschien gek, maar je kunt fraude voor een deel ook gewoon als geaccepteerd risico zien. Kijk maar wat er gebeurt met creditcard fraude. De schade daarvan is relatief zo klein (ik geloof nog geen 1%) dat het nemen van echt goede maatregelen daar niet tegenop weegt. De absolute getallen mogen dan hoog zijn en het is enorm lullig als het jou als individu treft, maar voor de organisatie is het gewoon een business beslissing.

Toch kun je je afvragen of een goed beveiligde verbinding nu zo enorm prijzig is. Dat denk ik dan weer niet, zeker niet voor de grote organisaties. Aan de kosten kan het volgens mij niet liggen. Waar ligt het dan wel aan? Aan de kennis van de interne beveiligingsmedewerkers? Nou vast niet, deze organisaties hebben genoeg knappe koppen in dienst om een dergelijk probleem aan te kunnen pakken. Nee, ik persoonlijk denk dat het ligt aan het bewustzijn binnen de organisatie.

Met name het bewustzijn bij het top management moeten we de komende jaren maar eens op gaan pakken. En nee, ik geef zeker het top management niet de schuld. Uiteindelijk ligt het toch bij ons als beveiligingsexperts. Wij zijn onvoldoende in staat om het management de goede dingen te vertellen.

We denken nog te vaak dat het top management geïnteresseerd is in allerlei technische maatregelen, zoals een beveiligde verbinding. Nou geloof me, dat zijn ze niet. In enkele organisaties zie je al dat we gaan denken in operationele risico’s, zoals fraude, inbraak en men in the middle attacks. Maar ook daar is het top management niet echt in geïnteresseerd. Nee, we moeten leren praten in termen als omzet en kosten. Het management gaat het om hun (of hun aandeelhouders) return on investment.

Willen we dit soort dreigingen aanpakken, dan zullen we dus met een goede business case moeten komen waarin we de kosten en baten inzichtelijk maken. Als het ons lukt om de beveiligingskosten lager te houden dan de omzetderving dan is er geen manager die niet zijn akkoord geeft.

Kortom: we staan als beveiligers voor een uitdaging, namelijk het denken in business cases waarin de kosten en baten duidelijk zijn. Als een manager € 1.000 moet investeren om € 10.000 te kunnen besparen en hij doet dat niet dan is het een slechte manager.

Dataverlies vooral door menselijke fouten

  door

Niet virussen, of een storing in hardware, maar menselijke fouten zijn vaak de oorzaak van dataverlies bij consumenten…Dat blijkt uit onderzoek van Kroll Ontrack, een aanbieder van dataherstelsoftware, onder ruim tweeduizend mensen. Van de ondervraagden gaf 40 procent aan dat een menselijk fout waarschijnlijk de oorzaak was van het dataverlies. Daarbij gaat het bijvoorbeeld om het verliezen van foto’s of andere belangrijke bestanden die opgeslagen staan op een computer (bron).

Hoewel het goed is dat hier continu onderzoek naar wordt gedaan is het niets nieuws onder de zon. Althans niet voor de mensen in het vakgebied. Bedrijfsprocessen (waar het uiteindelijk allemaal om draait, want daar verdienen we ons geld mee) worden ondersteund door systemen en mensen. Juist die mensen zijn een belangrijke schakel omdat die er dan ook weer voor zorgen dat de systemen werken.

Beveiligingsbewustzijn is een nog vaak onderschat aspect. Als organisaties er al aan doen dan houdt het al snel op na een poster aan de muur of een flashy e-learning omgeving. Natuurlijk zijn deze van belang om het kennisniveau van de medewerkers te verhogen, maar een echte significante bijdrage leveren ze niet. Nee naast kennis gaat het juist om houding én gedrag. En die zijn een stuk moeilijker te beïnvloeden. Er moet een beveiligingscultuur ontstaan, mensen moeten opgeleid worden en mensen moeten weten waarom ze sommige dingen wel en andere dingen juist niet moeten doen.

Natuurlijk weet iedereen dat, alleen staan we er te weinig bij stil. Te vaak al mooie posters gezien maar een slechte beveiligingscultuur. Ik zal het nog even duidelijker maken: ik kan het beste boek lezen over hoe je moet skiën, theoretisch weet ik dan hoe ik moet remmen en waar ik op moet letten. Toch breek ik ieder botje in mijn lichaam als ik met alleen die kennis bovenaan de berg ga staan. Kennis alleen is dus blijkbaar niet genoeg om goed te kunnen skiën (of in mijn geval te overleven).

Verder bleek dat de helft van alle bedrijven om de twee jaar met dataverlies te maken krijgt. Bij bedrijven is in 23 procent van de gevallen een menselijke fout de oorzaak. 77 procent van de problemen bij bedrijven wordt veroorzaakt door fysieke schade zoals het crashen van de harde schijf of elektronische storingen…Van deze storingen is dan weer 30 procent het gevolg van een menselijke fout. Het totale percentage menselijke fouten komt daarmee op 46 procent.

De eerste die echt een goede campagne gezien heeft, waarbij dus ook echt de cultuur verandert, mag me mailen. Ik leer graag van die organisaties die het wel goed voor elkaar hebben. Voor alle anderen: ja ook jullie mogen me mailen want ik help jullie graag verder met het ontwikkelen van een beveiligingscultuur…en dat vergt meer inspanning dan een eenmalige poster aan de wand.

Geldgebrek houdt F16’s aan de grond

  door

Vandaag maar eens een raadsel: hoe kun je zien dat 9/11 alweer te lang geleden is?

Juist: door alle bezuinigingen die we doorvoeren in onze beveiligingsmaatregelen. De overheid doet daar gezellig aan mee.
Door aanhoudende bezuinigingen op het Defensiebudget staan steeds meer toestellen van de Nederlandse F16-vloot aan de grond. De straaljagers zijn defect en geld voor vervangende onderdelen en reparatie is er niet (bron).

Overigens is bezuinigen op beveiliging niet specifiek voor de overheid, veel andere organisaties snijden ook in die kosten omdat er nu eenmaal bezuinigd moet worden. Op zich geen probleem want ik ben er van overtuigd dat je met een goede, integrale, beveiligingsaanpak een berg geld kunt besparen terwijl je toch een stuk veiliger wordt. Geloof me er worden bergen geld uitgegeven aan schijnveiligheidsmaatregelen. Zouden we die budgetten efficiënter inzetten dan zouden we er nu een stuk beter/veiliger voor staan.

Juist door te bezuinigen op beveiliging voordat je het goed hebt ingericht ga je meer risico’s lopen. De formule is niet zo ingewikkeld: door nu te bezuinigen op proactieve beveiligingsmaatregelen ga je ze straks dubbel en dwars terug betalen met de repressieve en correctieve maatregelen. Hopelijk bezuinig je niet zoveel dat repressieve of correctieve maatregelen straks niet meer nodig zijn omdat je na het incident de deuren hebt kunnen sluiten.

Organisaties zijn na een incident bereid om te investeren in beveiliging, maar dan moet je als beveiliger wel snel je slag slaan. Na een maand of 3 is iedereen het incident weer vergeten en worden alle budgetten weer bevroren. Toch zie je dat na die drie maanden de dreiging niet is afgenomen.

Ook hier kunnen we een parallel trekken naar 9/11. Is de terroristische dreiging zodanig afgenomen dat we het ons kunnen veroorloven om de F16’s aan de grond te houden? Persoonlijk denk ik van niet. De dreiging is nog steeds aanwezig en wellicht zelfs iets verhoogd met ons nieuwe kabinet. De bombrieven vliegen ons om de oren, de Russen vliegen vrolijk over ons grondgebied om te kijken hoe waakzaam we nog zijn. Een tip voor de Russen: denk nu niet dat we jullie niet zien als er geen F16 opstijgt, nee we hebben gewoon even F16-pech.

Ben benieuwd wat de huidige status van de Joint Strike Fighter is. Heb het nieuws op dat vlak al een poos niet gevolgd maar ben benieuwd. Kopen we straks JSF-en om ze ook aan de grond te zetten? Waarschijnlijk zullen die machines best wat vlieguren kunnen maken voordat ze in onderhoud gaan, maar onderhoud hoort er wel bij en dan het liefst al vanaf het begin.

Het verzoek aan alle vreemde naties is om ons de komende jaren maar even met rust te laten…we zijn vleugellam en hopen op een beetje respijt.