Sticker beschermt laptop tegen webcam-hackers

De helft van de Amerikanen met een laptop weet niet dat iemand anders op afstand de webcam kan hacken en live kan meekijken, aldus onderzoek door een bedrijf dat speciale stickers aanbiedt om de webcam af te dekken. Met name vrouwen en ‘generatie Y’ zijn onbekend met de mogelijkheid om op afstand iemand te begluren (bron).

Ok, het is misschien een beetje: wij van WC-eend raden u WC-eend aan, maar goed. Blijkbaar bestaat er een bedrijf dat zijn geld moet zien te verdienen met het verkopen van speciale stickers om de webcam af te plakken. Geen flauw idee trouwens wat er zo speciaal is aan die sticker want je kunt je webcam natuurlijk gewoon afplakken met alles dat niet doorschijnend is, daar heb je geen speciale sticker voor nodig.

Toch is het goed om dit bericht hier te behandelen, want ze geven nog wat meer tips. Het advies dat laptopbezitters dan ook krijgen is het afdekken van de webcam, bekend raken met de potentiële risico’s, het in de gaten houden van het webcamlichtje en het gebruik van een virusscanner.

Uit sympathie zou je kunnen overwegen om bij dit bedrijf een sticker te kopen, maar je mag het wat mij betreft ook gewoon met een post-it of pleister doen. Je kijkt maar wat je doet. Feit is wel dat: “Ervaren hackers kunnen de webcam in minder dan een minuut hacken en zelfs het licht uitschakelen dat toont dat de webcam is ingeschakeld”, zegt Parham Eftekhari, oprichter van CamPatch Webcam Covers.

Nou ja, je doet er maar mee wat je wilt. Mijn webcam is in ieder geval (nog) niet afgeplakt en ik vertrouw voorlopig nog even op mijn up-to-date beveiligingssoftware als antivirus en firewall. Besluit jij om voor de zekerheid je webcam af te plakken vergeet dan niet dat men op dezelfde wijze ook je microfoon uit kan luisteren, dus misschien moet je 2 stickers plakken als je echt paranoia bent.

Facebook klaagt over gebrek aan hackers

Hoewel het natuurlijk een beetje een vreemde titel is, zit er wel een verhaal achter.

Facebook is blij met de hackers die op verantwoorde wijze op de sociale netwerksite proberen in breken, maar klaagt over het aantal mensen dat dit kan. Sinds enige tijd betaalt Facebook beveiligingsonderzoekers die problemen op de website vinden en die vervolgens direct rapporteren.

“Als je ons een redelijke tijd geeft om op je melding te reageren voordat je die publiek maakt, en de moeite doet om privacyschendingen, het vernietigen van gegevens of het belasten van de dienstverlening tijdens je onderzoek probeert te voorkomen, zullen we je niet aanklagen”, zegt Chief Security Officer (CSO) Joe Sullivan (bron).

Het gaat er met name om dat de hackers er verantwoord mee om moeten gaan. Daarbij willen ze dan wel graag een redelijke tijd hebben om het op te lossen en als je buiten hun boekje gaat dan komen ze je alsnog van je bed lichten maar dat is niet meer dan acceptabel. Sterker nog, ze willen je er graag voor betalen als je een gat vindt.

Lijkt me een mooie uitdaging voor alle hackers. Hier heb je in ieder geval te maken met een bedrijf of site waarvan je mag verwachten dat ze de beveiliging goed op orde hebben. Dit is niet zomaar een website van een kleine onderneming. Wat mij betreft dus prima, laat die websites van kleinere organisaties met rust en richt je op de grote jongens.

Maar ja, dan moet ik Facebook toch gelijk geven. Er zijn te weinig echte hackers en teveel scriptkiddies die alleen maar weten hoe de standaard tooltjes werken. Jammer dus voor de kleine organisaties want die zullen nog net zo hard aangevallen worden. Maar hier kunnen de mannen zich wel van de jongens onderscheiden en grote kans dat Facebook de echte mannen niet alleen betaald voor de informatie maar ze daarna ook nog een leuke job aanbiedt.

Nou, als ik een echte hacker zou zijn, dan zou ik het wel weten. Zelfs als ik een scriptkiddie zou zijn dan zou ik het wel weten, dan zorgde ik er namelijk voor dat ik me tot de echte hackers mocht gaan rekenen zodat ik er ook nog flink voor betaald werd. Maar helaas, ik ben geen techneut en ik ben geen hacker. Facebook hoeft dus voorlopig aan mij geen geld over te maken, jammer want volgens mij weten ze van gekkigheid niet meer wat ze met al die dollars moeten.

Attracties van zwembad door hackers te beheren

Ben je al klaar met het nadenken over 31 maart en de gevolgen die het platleggen van het internet allemaal kunnen hebben? Lees dan vooral nog even door.

Door een blunder van de Gemeente Stichtse Vecht kon iedereen een subtropisch zwembad beheren. Van glijbaan tot de temperatuur van het water, alles stond wijd open. Het lek is inmiddels gedicht (bron).

Zo zie je maar dat er meer gekoppeld is aan het internet dan je denkt.

Aanvankelijk dachten de onderzoekers dat ook de chloortoevoer kon worden geregeld. “Ik heb zelf kinderen en toen ik zag dat het ook om chloor ging, wilde ik dat er meteen iets gebeurde”, vertelt een van de onderzoekers tegen Webwereld. “Het is mijn nachtmerrie dat er iets met kinderen gebeurt omdat iemand in een of ander vreemd land een ‘grapje’ wil uithalen. Als je aan de kassa komt van een zwembad vraag je niet of er een SCADA-systeem in gebruik is.”

Achteraf bleek het gelukkig niet mogelijk te zijn om de chloortoevoer te kunnen regelen en de “onderzoekers” vonden het ook niet ethisch om dit uit te proberen. Je moet je niet indenken wat de gevolgen kunnen zijn van dergelijke SCADA-systemen die niet beveiligd zijn. Als je de chloortoevoer wel kunt beïnvloeden wordt het ineens een stuk serieuzer genomen door de maatschappij. Nu pikt een deel het berichtje op, heeft daar misschien zelfs een glimlach bij en gaat weer rustig verder.

Datzelfde gebeurde met het bericht over de sluizen en bruggen die niet/onvoldoende beveiligd zijn. Veel mensen zullen daar iets van hebben meegekregen, maar gaan vervolgens weer rustig verder met waar ze mee bezig zijn.

Zo langzamerhand wordt het toch echt tijd om de verantwoordelijken ter verantwoording te roepen. Daarmee moeten we niet wachten tot het een keer echt verkeerd gaat, want dan zijn we te laat. Nee, tijd dat er serieus sancties komen op het niet voldoen aan (minimale) beveiligingseisen voor dergelijke systemen.

Genoeg boeken geschreven over beveiliging die het in ieder geval een stukje lastiger maken. Laten we beginnen met een standaard of minimaal beveiligingsniveau dat we aanvullen met specifieke beveiligingsmaatregelen die we op basis van een goede risico analyse bepalen.

De term cyberwar lijkt inmiddels een beetje weggezakt uit de populariteit. Maar cyberwar is dichterbij dan we denken. Als er steeds meer berichten naar buiten komen over “beveiligingsonderzoekers” die met een paar klikken een heel systeem plat kunnen leggen dan moeten we ons serieus zorgen gaan maken. Niet zozeer voor die onderzoekers, die weten wat ze doen en willen het (hopelijk) alleen maar aantoonbaar maken. Nee, maak je meer zorgen om die scriptkiddies die het dus ook kunnen. Zij zullen de gevolgen niet inschatten voor ze ergens de verkeerde knop omzetten (en bijvoorbeeld het westen van Nederland hele natte voeten krijgt). Dan hebben we het nog niet eens over de vreemde mogendheden die hier natuurlijk al lang van op de hoogte zijn. Nee, die komen daarna wel weer een keer in beeld.

Aan de BV Nederland: neem je verantwoordelijkheid en zorg ervoor dat het basis beveiligingsniveau van Nederland, haar vitale en minder vitale infrastructuur op orde komt.

En ik wil je niet ongerust maken maar: SCADA systemen worden (samen met een DCS) onder andere ingezet voor:
Verkeersregeling
Attracties (bijvoorbeeld Vogel Rok Efteling)
Chemische industrie
Papierfabrieken
Klimaatregelsystemen
Sluizen, gemalen en bruggen
Parkeergarages
Aansturingen van productielijnen, b.v. in manufacturing execution systems (MES)
Supervisie en regeling van windturbines

Vijf hackers typen te onderscheiden

In de fysieke beveiligingswereld is het al lang heel normaal om uit te gaan van bepaalde dadertypen en daderprofielen. Op basis daarvan worden keuzes gemaakt waartegen een bedrijf zich wil beschermen. Zo wil (bijna) iedereen zich wel beschermen tegen gelegenheidsdaders of amateurs. Hebben we het over terroristen dan wordt het al een ander verhaal.

In onderstaand artikel is een interessante typering gegeven van vijf hackers typen. Voor informatiebeveiliging kunnen we die gaan gebruiken om onze aanpak in te richten. Willen we ons beveiligen tegen script kiddies en insiders of ook tegen hackers die inbreken in opdracht van naties? Het is een keuze, maar wel een belangrijk vertrekpunt om de beveiliging in te richten.

De typen die worden onderscheiden zijn:

  • Ten eerste de script kiddies. Dat zijn vaak nog pubers, die uit nieuwsgierigheid op zoek gaan naar gaten in onlinesystemen. Als ze lekken vinden, melden ze dat ook vaak aan de bedrijven.
  • Dan zijn er de insiders. Hackers die uit rancune, bijvoorbeeld na ontslag, op zoek gaan naar zwakke plekken in ict-systemen. Omdat ze de bedrijven goed kennen, is de schade vaak groot.
  • De georganiseerde misdaad hackt ook. Zij probeert bijvoorbeeld via phishing-mails (mails met het verzoek persoonsgegevens op te sturen) de geadresseerden creditcardgegevens te ontfutselen.
  • Hackgroeperingen, zoals Anonymous, hacken vanuit een politieke overtuiging. Door schade aan bijvoorbeeld bedrijven toe te brengen willen deze activisten hun standpunt kracht bijzetten.
  • Tot slot zijn er hackers die inbreken in opdracht van naties: om te spioneren of systemen plat te leggen. De hack die de centrifuges van een Iraanse kerncentrale platlegde, is een voorbeeld van deze cyberwarfare. (bron)

Aangezien we als organisatie niet alles in een keer aan kunnen pakken, lijkt het wijs er eerst eens voor te kiezen om de script kiddies en insiders in de gaten te houden. We zouden ons basis beveiligingsniveau daarop in kunnen richten en ons minimaal tegen deze dreiging kunnen beveiligen. Voor die processen en systemen waarvan we bepaald hebben dat ze kritisch zijn voor onze organisatie zouden we nog een stap verder kunnen gaan. We zouden er voor kunnen kiezen deze ook tegen de georganiseerde misdaad en hachersgroepen te beveiligen. Daar zal dan veelal veel technische kennis bij nodig zijn. Hebben we die zelf niet in huis dan schakelen we daar een extern expert voor in.

Voor veel organisaties zal het lastig zijn zich te wapenen tegen hackers die inbreken namens naties. Eerlijk is eerlijk, voor veel bedrijven is dit ook helemaal niet nodig. De vreemde natie is helemaal niet in jouw organisatie geïnteresseerd. Kijken we echter naar de infrastructuur die voor Nederland als vitaal is aangemerkt en kijken we naar de overheidsinstellingen dan wordt het een ander verhaal. Deze kunnen wel degelijk doelwit zijn en zullen deze dadertypering dus ook in overweging moeten nemen. Maar zolang sluizen en bruggen nog voor scriptkiddies open staan lijkt dat voor nu (voor sommige organisaties) nog een brug te ver.

 

Websites apothekers slecht beveiligd

Persoonlijke gegevens van patiënten waren tot voor kort kinderlijk eenvoudig van de websites van apotheken te halen. De beveiliging deugde van geen kant, constateerde het College Bescherming Persoonsgegevens (CBP) na onderzoek. (bron)

Er worden behoorlijk wat spotlights op beveiliging gezet (en dat is maar goed ook, gezien de stand van zaken) en ook de apothekers ontkomen daar niet aan. Over het Elektronisch Patiënten Dossier is veel gezegd en geschreven de afgelopen jaren en die lijkt nu van de baan (ja lijkt, want er zijn nog steeds initiatieven en als we niet goed opletten dan bestaat het straks toch ineens).

Nu blijkt misschien wel dat het EPD niet eens zo’n slecht idee was, hiermee zouden we tenminste nog grip kunnen krijgen op de beveiliging van de aangesloten apothekers (ja ja, mits we natuurlijk niet overal op zouden bezuinigen, want dan wordt het al snel een OV-chip verhaal). Apothekers lijken er in ieder geval flink op los te hebben gehobbyd met hun websites.

De patiënt gegevens waren gemakkelijk in te zien en de inlognamen en wachtwoorden waren gemakkelijk te onderscheppen. En het is natuurlijk al erg genoeg dat zo privacy gevoelige gegevens op straat terecht komen, maar hoe is het dan gesteld met het bestellen van medicijnen? Zouden de hackers ook in staat zijn geweest om medicijnen onder andermans naam te bestellen? Medicijnen die normaliter alleen op recept verkrijgbaar zijn maar die in het zwarte circuit ook gretig aftrek vinden?

En als we de gegevens van de patiënten al kunnen onderscheppen. Kunnen we dan ook niet toevallig de gegevens van de artsen onderscheppen? Zo kun je een aardige zakcent bijverdienen. Je onderschept de inlog-gegevens van een huisarts en schrijft voor zijn of haar patiënten recepten uit. Deze worden door de apotheek netjes klaargezet en meegegeven aan de eerste die ze komt halen.

Veel van deze medicijnen zullen vergoed worden door de verzekeraars en daar betalen wij dan dus allemaal aan mee. En wat als een hacker het recept voor een zwaar zieke patiënt weet te wijzigen? Mag jij de gevolgen daarvan zelf invullen…ik moet er niet aan denken.

Ik zeg overigens niet dat het zo gegaan is, want daar heb ik simpelweg de bewijzen niet voor. Maar uitsluiten kan ik het ook niet. Misschien goed om toch een keer te checken wat jouw verzekeraar allemaal heeft moeten vergoeden vorig jaar? En hoeveel daarvan is inderdaad aan jou besteed?

Agent bespioneert dochter met spyware

Een Duitse agent heeft spyware op de computer van zijn dochter geïnstalleerd om haar surfgedrag te monitoren. Haar vriend, die uit de hackerscene komt, ontdekte de malware. Om de vader terug te pakken hackte de jongen de computer van de politieagent. Daar ontdekte hij dat de vader zijn officiële politie e-mail naar een privé e-mailadres doorstuurde. Ook wist de jongen toegang tot het politienetwerk te krijgen, waarop een belangrijke politieserver moest worden uitgeschakeld (bron).

Een typisch voorbeeldje van iemand die wel een tooltje heeft maar die geen flauw idee heeft hoe de beveiliging eigenlijk werkt. Een “fool with a tool is stille a fool”, zullen we maar zeggen. Overigens ook een gevalletje machtsmisbruik want het zou hier ook kunnen gaan op een “federaal trojaans paard”. Tools die door de overheid worden ingezet…en ja een politieagent mogen we tot de overheid rekenen, maar dat betekent nog niet dat hij zulke tools met willekeur in mag zetten.

Een beetje dom natuurlijk dat de agent vergeten was dat de vriend van zijn dochter een stuk slimmer is met computers dan hij is. Eerlijk is eerlijk, het doorsturen van vertrouwelijke mail naar een privémailadres is niet netjes en het valt nog mee dat de “hacker” hier melding van gemaakt heeft. Had hij het daarbij gelaten dan was er weinig aan de hand, maar ja, deze jongen moest zo nodig het politienetwerk platleggen.

De vraag is nu wie er harder gestraft zal worden: de agent vanwege misbruik van middelen en macht of de vriend van zijn dochter vanwege een inbraak op het politie netwerk.

In ieder geval zit er iets stevig verkeerd in de vader-dochter-schoonzoon relatie. En als je het mij vraagt mag de agent nog niet klagen want de hacker had ook hele andere files op de pc van de agent achter kunnen laten en voor je het weet staat de politie in een kwaad daglicht vanwege een onwetende agent die zo graag zijn dochter wil monitoren.

‘Internetters zijn zich niet bewust van gevaren’

Cybercriminaliteit neemt steeds grotere vormen aan. Hackers creeeren enorme netwerken die bestaan uit computers van nietsvermoedende gebruikers van over de hele wereld en zetten deze in om creditcardgegevens te verzamelen, spam te versturen en zelfs complete identiteiten te stelen, die vervolgens voor nog geen 5 euro worden doorverkocht. Volgens veiligheidsexpert Rik Ferguson zijn computergebruikers zich niet genoeg bewust van de gevaren die ze lopen (bron).

Jouw identiteit en al je gegevens zijn dus nog geen 5 euro waard. Per doelwit natuurlijk niet zoveel. Maar als je er vanuit gaat dat er (bij dit betreffende botnet) zo’n 13 miljoen gekaapte computers waren (65 miljoen in totaal) ja dan wordt het een ander verhaal.

Criminaliteit loont en een omzet van 65 miljoen, genoeg bedrijven die daar voor tekenen. En dan hebben we het nog maar over een botnet. Geen flauw idee hoeveel van die botnets er zijn maar ongetwijfeld meer dan een.

Schrikbarender wordt het als we nagaan wat de kopers van al die gegevens er mee doen. Helaas kan ik daar geen feiten over vinden. Maar ga er maar vanuit dat die schade post vele malen groter is. Met de gegevens worden creditcards aangevraagd, worden bankrekeningen geplunderd, worden mensen gechanteerd en worden gegevens vernietigd die wellicht nooit meer te herstellen zijn.

Hackers in actie tegen censuur van porno

Australische activisten tegen censuur op internet hebben woensdag een aantal websites van de overheid tijdelijk platgelegd. Een online beweging die zich Anonymous noemt, claimde in een e-mail de verantwoordelijkheid voor wat het ‘Operation Titstorm’ noemt. De aanval werd uitgevoerd vanwege pogingen van de regering van Australie om bepaalde online porno-video’s te weren met behulp van een internetfilter. Het gaat dan om filmpjes waarin vrouwen ejaculerend klaarkomen en om video’s waarin vrouwen met kleine borsten acteren (bron).

Nee dan pakken ze het in China toch harder aan:
Een Chinees heeft dertien jaar celstraf gekregen voor het beheren van een pornografische website (bron).

En als je denkt dat dit de enige is? Nee hoor:

Vorig jaar heeft China bijna 5400 inwoners aangehouden voor betrokkenheid bij online porno. Het land probeert zo meer grip te krijgen op wat op internet gebeurt. China heeft het strengste internetbeleid ter wereld.

Maar ach, met 1.338.612.968 inwoners valt het natuurlijk nog best mee als er maar 5400 betrokken zijn bij dit soort praktijken.

Hackers tonen porno op levensgrote billboards

Russische hackers hebben in Moskou voor een verkeersopstopping gezorgd door porno op twee gigantische billboards te tonen. Volgens het bedrijf dat de billboards beheert wisten de hackers op nog onbekende wijze toegang tot de computers te krijgen. De billboards stonden op een van de drukste verkeerspunten in de stad opgesteld…De pornofilm, die zo’n twintig minuten duurde, zorgde ervoor dat het verkeer tot stilstand kwam. Talloze automobilisten bekeken de beelden (bron).

Dat is natuurlijk altijd nog beter dan het verkeersinfarct van een paar weken geleden in Nederland. Daar kon je buiten de sneeuwvlokken alleen maar naar de achterlichten van je voorganger kijken. Een ideaal moment om reclame te maken via de billboards op de weg, de bestuurders hebben toch niets anders te doen. Maak van de matrixborden boven de weg gewoon grote reclameborden die aan kunnen in de file, daar kun je de schatkist weer een beetje mee vullen.

En waren billboards niet eerder al gebruikt zoals ze bedoeld waren? Ach, gelukkig zijn er in Moskou geen ongelukken gebeurd.