Category Archives: IT Beveiliging

DigID fraude heeft grotere omvang dan gedacht

Ongeveer 2500 mensen zijn slachtoffer geworden van toeslagfraude via willekeurige DigID’s. Daarmee is de zwendel groter dan gedacht. Eerder zei minister Donner van Binnenlandse Zaken dat het hoogstens om ‘enkele gevallen’ ging. De fraude was mogelijk, omdat iedereen online na inloggen met DigID namens iedere Nederlander toeslagen kon aanvragen en op de eigen rekening kon laten storten. Inmiddels is deze mogelijkheid tot fraude niet meer mogelijk, schrijft staatssecretaris Weekers van Financiën. De Belastingdienst controleert nu voordat een toeslag wordt uitgekeerd of degene die de toeslag heeft aangevraagd ook degene is die met zijn DigID heeft ingelogd. Ook wordt een bevestiging per brief gestuurd als iemand zijn rekeningnummer wil wijzigen.

Terwijl Donner eerst nog sprak over enkele slachtoffers en de Belastingdienst zei dat er wellicht honderden slachtoffers waren, blijkt nu dat het om veel meer gevallen gaat: dit jaar zijn er tot dit moment al 2500 mensen slachtoffer geworden van deze online vorm van toeslagfraude. De fraude kwam vaak aan het licht als de Belastingdienst erachter kwam dat deze onterecht was uitgekeerd. De Belastingdienst probeerde de onterecht verstrekte toeslagen terug te halen bij degene die hem ogenschijnlijk had aangevraagd. Die hadden de onterecht aangevraagde toeslagen nooit ontvangen.

Continue reading

Share This:

We moeten af van certificaat autoriteiten, zegt Marlinspike

Moxie Marlinspike, een hacker en beveiligingsonderzoeker, pleitte in augustus 2011 tijdens de Black Hat beveiligingsconferentie voor een nieuwe manier om de echtheid van websites te garanderen. Het was een vervolg op een blogpost van hem in april 2011. Marlinspike vindt dat certificaat-autoriteiten (CA’s) niet langer gebruikt kunnen worden. Hij pleit voor een website-authenticatie-mechanisme waarbij sprake is van ‘trust agility’. Individuele gebruikers moeten volgens Marlinspike zelf hun authenticatie-leverancier kunnen kiezen, in plaats dat die hun wordt opgedrongen. Ook stelt hij een Firefox-plugin voor die die mogelijkheid biedt: Convergence.

Hèt probleem van het CA-systeem is volgens Marlinspike dat één eigenschap ontbreekt: trust agility. ‘At the moment, if I decide that I don’t trust VeriSign or Comodo or any other CA, what can I do? The very best I could do would be to remove the offending CA’s certificate from my trusted CA database, but then some large percentage of secure sites I visit would break. I could take an ideological stand to never visit any of those sites again, but in reality, there isn’t actually an appropriate response, and this is as true for browser vendors as it is for individuals like me’, schrijft hij in zijn blog. Zijn woorden bleken profetisch, zo bewijst de Diginotar-hack.

Continue reading

Share This:

Te verwachten DigID-fraude bij belastingdienst

Honderden (en misschien duizenden) mensen zijn het slachtoffer geworden van fraude met toeslagen door misbruik van het DigID. Het was (onvoorstelbaar) tot voor kort mogelijk om met een willekeurig DigID huur- en zorgtoeslagen aan te vragen. Fraudeurs gebruikten die mogelijkheid om toeslagen voor anderen aan te vragen en die op een eigen rekeningnummer te laten storten. Als de Belastingdienst constateerde dat de toeslagen te hoog waren of onterecht waren uitgekeerd, werden de persoonsgegevens van de gebruikte DigID ingezet om het geld terug te vorderen. Hierdoor kwamen mensen in de problemen terwijl ze de toeslagen nooit hadden ontvangen.

De Belastingdienst heeft inmiddels bevestigd dat er vele burgers door dit misbruik van DigID-gegevens zijn getroffen. Voor zeker 260 huishoudens uit Rotterdam is er een strafrechtelijk onderzoek naar mogelijke fraude gestart. Dat is aanzienlijk meer dan de ‘enkele gevallen’ waar minister Donner van Binnenlandse Zaken vorige maand over sprak. Volgens nrc.next gaat het mogelijk zelfs om duizenden fraudegevallen, maar precieze aantallen wil het ministerie van Financiën niet noemen. 

Continue reading

Share This:

Tot slot: Diginotar ‘definitief’ finito

Gisteren publiceerde de OPTA het navolgende persbericht: ‘Uit onderzoek van OPTA naar de uitgifte van gekwalificeerde certificaten door DigiNotar, blijkt dat de betrouwbaarheid van deze certificaten niet langer te garanderen is.

OPTA beëindigt daarom de registratie van DigiNotar.

Dit houdt in dat het bedrijf zijn uitgegeven gekwalificeerde certificaten in moet trekken en geen nieuwe gekwalificeerde certificaten meer mag uitgeven. Gekwalificeerde certificaten zijn certificaten waarmee elektronische handtekeningen kunnen worden gezet, vaak door middel van een pasje met chip.

OPTA heeft de wettelijke taak om toezicht te houden op de uitgifte van uitsluitend dit type certificaten. …

DigiNotar dient nu zijn klanten te informeren over de intrekking van de gekwalificeerde certificaten. OPTA houdt hier toezicht op. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft inmiddels het operationele beheer van de systemen voor certificering overgenomen van DigiNotar.

Omdat de gekwalificeerde certificaten niet meer te gebruiken zijn, dienen de gebruikers nieuwe gekwalificeerde certificaten bij geregistreerde aanbieders aan te vragen. Op de website van OPTA is een lijst te raadplegen van geregistreerde aanbieders’.

Continue reading

Share This:

Uw informatie ligt zo op straat !

Twee beveiligingsonderzoekers hebben aangetoond wat de gevolgen kunnen zijn van typosquatting. In een half jaar tijd ontving het duo via valse domeinnamen meer dan 120.000 mailtjes met daarin wachtwoorden en andere gevoelige zaken.

Voor het onderzoek hebben de twee onderzoekers, Peter Kim en Garrett Gee, dertig domeinnamen geregistreerd. Deze domeinnamen kwamen overeen met subdomeinen op webistes van Fortune 500-bedrijven, waarbij de punt tussen het subdomein en hoofddomein achterwege werd gelaten. De onderzoekers hanteerden hiermee een praktijk die bekendstaat als typosquatting, waarbij domeinnamen worden geregistreerd die erg veel lijken op een legitieme domeinnaam, maar net anders zijn geschreven.

In een periode van zes maanden ontvingen de onderzoekers van de Godai Group ruim 120.000 mailtjes, die eigenlijk bedoeld waren voor een ontvanger bij het echte bedrijf. Voor het onderzoek, dat vorige week werd gepresenteerd, hebben Kim en Gee een lijst van 151 grote bedrijven opgesteld waarvan zij meenden dat de domeinnamen zich goed leenden voor typosquatting. Hoewel het duo de dertig bedrijven uit hun onderzoek niet heeft bekendgemaakt, staan er op de lijst grote namen als Dell, Microsoft, IBM Oracle en Nike.

Continue reading

Share This:

Elke Certificatieautoriteit in gevaar ?

GlobalSign ondertekent tot nader order geen beveiligingscertificaten meer. De multinational wil eerst onderzoek uitvoeren en zal weer certificaten uitgeven als duidelijk is geworden dat het netwerk en infrastructuur van de certificaatautoriteit (CA) niet is gecompromitteerd.

Gisteren publiceerde de zogenaamde ‘Comodohacker’ verschillende nieuwe berichten op Pastebin. Hierin claimde hij, naast DigiNotar, nog vier andere certificaatautoriteiten (CA’s) te hebben gehackt, waaronder GlobalSign. Het concern onderzocht onmiddellijk de eigen logfiles en besloot een paar uur later voorlopig geen nieuwe certificaten uit te geven.

‘GlobalSign takes this claim very seriously and is currently investigating. As a responsible CA, we have decided to temporarily cease issuance of all Certificates until the investigation is complete. We will post updates as frequently as possible’, meldt het bedrijf. 

Alhoewel de beslissing aanleiding geeft tot wilde speculaties over een mogelijke cyberaanval op het bedrijf, prijzen verschillende experts de maatregel.

‘Major props to GlobalSign for taking hacking claims seriously’,  tweet HD Moore, secuitychef van Rapid7 en architect van hackertoolkit Metasploit. ‘Good call’,  vindt ook Mikko Hypponen, hoofdonderzoeker bij securityconcern F-Secure.  Volgens Netcraft geeft GlobalSign zo’n 200 tot 250 certificaten per dag uit.

Continue reading

Share This:

Diginotar juridisch aangepakt

Het Openbaar Ministerie begint een onderzoek naar DigiNotar. Daarbij kijkt het of de certificaatverstrekker formeel aangesproken kan worden of zelfs aansprakelijk valt te stellen. Deze kritische blik volgt op het feit dat het bedrijf de cyberinbraak lang stil heeft gehouden en heeft gebagatelliseerd. Het volgt op politieke geluiden dat DigiNotar aansprakelijk gesteld moet worden en strafrechtelijk vervolgd. Het bedrijf heeft niet alleen de overheid benadeeld (die nu op grote schaal in hoog tempo certificaten moet vervangen), maar heeft ook dissidenten in Iran in gevaar gebracht.

Een onderzoek van FoxIT stelt dat de cyberinbraak niet alleen begin juni al is gepleegd, maar dat DigiNotar het toen ook heeft ontdekt. Vervolgens zijn in juli de eerste frauduleuze certificaten aangemaakt, voor onder andere Google.com. Dat certificaat is eind juli voor het eerst actief gebruikt om beveiligd Gmail-verkeer vanuit Iran af te tappen.

Uiteindelijk is dit misbruik eind augustus gemeld aan GovCERT in Nederland door het Duitse CERT-BUND. Het IT-beveiligingsorgaan van de Nederlandse overheid heeft toen DigiNotar ingelicht. Dat bedrijf had in juli een eigen onderzoek ingesteld en daarna maatregelen genomen. Maar het heeft de hele zaak stilgehouden; betrokken sites, browsermakers, GovCERT en de Nederlandse overheid wisten nog van niets.

Continue reading

Share This:

Nogmaals Diginotar: willens en wetens fout ?

Er zijn sterke aanwijzingen dat TTP DigiNotar nog frauduleuze certificaten uitgaf na de ontdekking van de hack op zijn servers. Het gaat om zes certificaten, waarmee systemen zich als servers van het Tor-project konden voordoen.

De voorman van het Tor-project, Jacob Appelbaum, schrijft op het weblog van het project dat niet alleen een vals Google-certificaat is gegenereerd bij Diginotar; de hackers hebben ook twaalf nagemaakte certificaten voor de servers van Tor aangemaakt. Hoewel dat voor het gebruik van Tor zelf niet uitmaakt, omdat deze niet op certificatie is gebaseerd, zou iemand zich als de server van het Tor-project kunnen voordoen en (bijvoorbeeld) een valse versie van de Tor-software kunnen aanbieden. Die software is bedoeld om anoniem te kunnen surfen en wordt door journalisten en mensenrechtenactivisten in dictaturen gebruikt.

De makers van Tor hebben van DigiNotar beperkte informatie gekregen over de frauduleuze certificaten. Zo is bekend dat de helft van de valse Tor-certificaten op 18 juli is gegenereerd, en de andere helft op 20 juli. Dat laatste is verwonderlijk: de eigenaar van DigiNotar, Vasco Security, meldde eerder dat de hack op 19 juli is ontdekt. Als de informatie dus klopt, zijn er een dag na het ontdekken van de hack nog valse certificaten gegenereerd. Dat zou zeer kwalijk zijn.

Continue reading

Share This:

Diginotar finito ?

Diginotar is een soort digitale notaris, een Trusted Third Party. Wie zeker wil weten op het juiste domein op internet aan te landen, maakt via de webbrowser gebruik van een Trusted Third Party. Deze ‘vertrouwde’ partij is in dit geval Diginotar. Juist dat bedrijf adviseert nu gebruikers beveiligingsalarmen van de webbrowser te negeren en onvertrouwde certificaten te vertrouwen.

De website heeft het certificaat als identificatiebewijs, waarbij de afkomst erg belangrijk is. Volgens Mark Bergman, zelfstandig beveiligingsexpert, maakt het nogal uit wie de uitgever is. Hij vergelijkt het met paspoorten. Het vertrouwen in een Nigeriaans paspoort zal minder zijn dan in een Nederlands paspoort.

Het technisch afdwingen van correct functioneren is belangrijk, maar is slechts de helft van het verhaal. Technisch klopte het certificaat van Google.com bij Diginotar helemaal. Het probleem is alleen dat het nooit bij dit bedrijf is aangevraagd en dat zij dus geen waarmerker horen te zijn. Qua cryptografie klopt alles perfect, maar procedureel niet.

Dat er nepcertificaten zijn uitgegeven is volgens Bergman een aanval op de uitgever. ‘Het probleem is dat als je een reeks Nederlandse paspoorten vals uitgeeft en je niet kunt zeggen dat ze als Nederlandse paspoort te gebruiken zijn. Ze staan dan allemaal ter discussie’, vertelt Bergman. ‘Je kunt niet roepen dat het goed zit. Dat zul je moeten bewijzen. Als je tien foute certificaten uitgeeft, kun je niet die terugtrekken en doen alsof er niets gebeurd is’.

Continue reading

Share This:

EInde van het wachtwoord ?

Mozilla experimenteert met een nieuwe inlog-methode, die het gebruik van wachtwoorden overbodig maakt: BrowserID. Een bezoeker van een website kan zich ‘met een druk op de knop’ legitimeren.’You can sign into any web site that supports BrowserID with just two clicks’.

Vertrekpunt van de techniek is het e-mailadres, ‘[a] system [that] is effectively a universal login system for most of the web; websites that have stronger login requirements are free to use them, and have a more secure way to federate their logins to other sites. It provides more control over the duration and scope of a user login than is currently available in browser-based systems’, zoals de MozillaWiki het stelt. Veel sites gebruiken dat e-mailadres ook al voor identificatiedoeleinden: als een gebruiker zijn wachtwoord vergeten is, kan hij het veelal resetten via een per e-mail toegestuurde link.

Dat kan slimmer, dacht Mozilla. Als websites er op vertrouwen dat een bezoeker via e-mail identificeerbaar is, kan die ook inloggen met een e-mailadres. Dat scheelt een gebruiker een hoop gedoe met de wachtwoorden-administratie. Voor de bouwers van sites is het ook simpeler.

Continue reading

Share This:

Extreem weer leidt tot gegevensverlies

De vraag naar hulp bij dataverlies neemt tijdens de zomer toe. Door extreme weersomstandigheden zoals onweer hapert de elektriciteit of valt de stroom uit. Bedrijven kloppen dan vaker aan voor hulp bij verlies van digitale gegevens. Dat concludeert dienstverlener Kroll Ontrack. Het bedrijf ziet de vraag naar hulp bij dataverlies in de zomermaanden toenemen.

‘We hebben nu al een stijging vastgesteld in het aantal opdrachten. Hoewel dit natuurlijk ook te maken kan hebben met de economie die zich herstelt, lijkt het grotendeels aan de zomer te liggen’, aldus Jaap Jan Visser, directeur van Kroll Ontrack Nederland.

De leverancier baseert aan de hand van gegevens van het jaar 2007 tot 2009 dat de vraag naar diensten voor dataherstel gemiddeld met 12 procent stijgen tijdens de maanden juni, juli en augustus  ‘Dat bevestigt dat het seizoen een invloed heeft op gegevensverlies’, aldus de leverancier.

Visser waarschuwt dat extreme hitte kan leiden tot het vroegtijdig crashen van harde schijven, terwijl een lage vochtigheidsgraad gecombineerd met stof in droge omstandigheden problemen met de statische elektriciteit en verschillende componenten kan bevorderen.

Continue reading

Share This:

LulzSec lekt politiebestanden

Hackerscollectief LulzSec heeft in samenwerking met Anonymous een berg met geheime documenten, NAW-gegevens en wachtwoorden van de politie van Arizona gedumpt op The Pirate Bay. Nu de hackers van LulzSec samenwerken met Anonymous onder de vlag van AntiSec zijn de doelen weer duidelijk politiek gemotiveerd. Dit nadat LulzSec ook gamebedrijven en een boekenclub had gehackt.

Vorige week donderdag bemachtigden de hackers talloze interne documenten, adresgegevens en wachtwoorden van honderden agenten van de grenspolitie van Arizona. De wetten van die staat, en de politiedienst die ze uitvoert, zijn zeer omstreden vanwege het ‘jagen’ op illegale immigranten die vanuit Mexico de Verenigde Staten in komen.

Op torrentsite The Pirate Bay staat een link naar een bestand van ruim 400 MB. Die ‘buit’, zoals LulzSec het noemt, heeft de titel ‘Chinga La Migra’ (fuck de grenspolitie). De politie van Arizona bevestigt dat het gaat om authentieke bestanden. Behalve NAW-gegevens van honderden agenten staan er ook wachtwoorden bij, maar het is onduidelijk voor welke applicaties of systemen die zijn.

Continue reading

Share This:

Mozilla wil geen PDF-plug-in meer

Mozilla wil af van de plug-in die nodig is voor het openen van PDF-documenten in de browser. Het bestaan van het project is op de website van Andreas Gal, een onderzoeker bij Mozilla, bekend gemaakt. Gal en collega Chris Jones reageren met een blog op geruchten die al de ronde deden. De onderzoekers maken bij hun project gebruik van de mogelijkheden van HTML 5 en JavaScript.Ook Jones heeft een blog-entry gemaakt over dit project.

Veiligheid is een van de belangrijkste voordelen van het direct openen van PDF-bestanden in de browser, stelt Gal. Een plug-in vormt een nieuwe ingang voor hackers waarvan ze de robuustheid kunnen beproeven. Adobe heeft zijn patchproces inmiddels goed op orde – binnenkort gaat het zijn Reader zelfs automatisch patchen, tenzij men dit uitdrukkelijk afwijst – maar dat geldt niet voor alle leveranciers van PDF-lezers. Bovendien blijft er altijd een kans bestaan op code-injectie via een plug-in. Een HTML 5-gebaseerde implementatie is volledig immuun voor dat soort aanvallen, stelt Gal.

Een belangrijk voordeel is ook dat de websurfer niet langer met een andere interface wordt geconfronteerd, als hij een PDF’je opent. En het wordt ook mogelijk webfunctionaliteit ‘in te bakken’ in een PDF. Het lijkt ook een stuk sneller te werken dan een losse lezer, als een demo waar Gal en Jones naar verwijzen maatgevend is voor wat komt.

Continue reading

Share This:

Elatik en Stadsdeel Oost krijgen er weer van langs

Stadsdeel Oost van de gemeente Amsterdam heeft aangifte gedaan van diefstal of verduistering van vertrouwelijke informatie. Op Geenstijl.nl is zaterdag een deel van deze informatie gepubliceerd. Het gaat om verslagen van niet openbare vergaderingen, officiële raadsstukken en andere interne bestuursinformatie waartoe via een inlogcode toegang is gekregen.

De stukken gaan onder meer over het muziekcentrum MuzyQ, waarover al langere tijd onrust bestaat. Het stadsdeel stond garant voor het centrum, maar kreeg hierbij een miljoenenstrop te verwerken. Dit project kost zo veel geld dat de reserves van het stadsdeel tot onder de verplichte reservenorm slinken. Om deze weer aan te vullen moet er bezuinigd worden.

Diefstal van gegevens lijkt echter niet aan de orde: de inlog- en wachtwoordgegevens waren open en bloot te vinden op de publiek toegankelijke website van het stadsdeel.

Continue reading

Share This:

Sex en Cybercrime eigenlijk hetzelfde

Onderzoeken naar sexuele relaties en naar cybercrime vertonen grote gelijkenis, zeggen twee onderzoekers van Microsoft in het rapport Sex, Lies and Cyber-crime Surveys. Dit rapport wordt  volgende week gepresenteerd op de Workshop over Economics of Information Security (WEIS 2011) op de George Mason University.

Het probleem van beide typen onderzoek is dat de betrokkenen rapporteren zonder dat hun beweri ngen worden gecontroleerd, waardoor schattingen gedaan door een klein deel van de ondervraagden, grote invloed hebben op de uitkomsten.

Dinei Florencio and Cormac Herley, de auteurs, stellen dat weinig waarde moet worden gehecht aan deze onderzoeken.

In het geval van onderzoek naar het aantal sexuele partners, blijken mannen te ‘overschatten’, terwijl vrouwen geneigd zijn een kleiner aantal op te geven. Mannen hebben de gewoonte flagtrante leugens te vertellen over hun sexuele prestaties. Als gevolg daarvan duwen zij de gemiddelden in de uitkomst van deze onderzoeken omhoog.

Continue reading

Share This:

Oppassen voor Anonymous

7 februari 2011

De hackersgroep Anonymous heeft een beveiligingsbedrijfje aangevallen omdat het de identiteit van leden wilde onthullen. Anonymous richt zijn pijlen niet enkel op tegenstanders van de klokkenluiderssite Wikileaks, maar ook op bedrijven of instellingen die de beweging schade willen berokkenen. Dit weekend was het Amerikaanse beveiligingsbedrijf HBGary Federal het doelwit. Op zondagavond, net voor de aanvang van de footballfinale Super Bowl, haalden vijf Anonymousleden de website van het bedrijfje offline. Daarna hackten ze het Twitteraccount van directeur Aaron Barr en tweetten ze in zijn naam schunnigheden. De reden voor de aanval hoeft niet ver gezocht te worden. Barr vertelde aan The Financial Times dat hij twee spilfiguren van Anonymous en enkele belangrijke medestanders uit onder meer het Verenigd Koninkrijk, Duitsland en Nederland had ontmaskerd. Dat was hem gelukt door e-mailverkeer te analyseren en contact te leggen via Facebook en IRC. Eind vorige maand werden al verschillende personen gearresteerd op verdenking van betrokkenheid bij de DDoS-aanvallen op de websites van Mastercard en Visa. Zowel in het Verenigd Koninkrijk als in Nederland werden arrestaties verricht, en in de VS voerde de FBI een veertigtal huiszoekingen uit.

Continue reading

Share This:

Onkraakbaar besturingssysteem bedacht

4 februari 2011

Australische onderzoekers hebben software ontwikkeld die computers beschermt tegen falen of aanvallen van buitenaf. De seL4 microkernel is een klein besturingssysteem dat de toegang regelt tot de hardware van een computer. SeL4 kan onderscheid maken tussen betrouwbare en onbetrouwbare software. De software is de afgelopen zeven jaar ontwikkeld door National ICT Australia (NICTA) samen met Open Kernel Labs (OK Labs). De software is nu beschikbaar voor fabrikanten en onderzoekers om te testen. Volgens onderzoeker Gerwin Klein werd vorig jaar door de University of New South Wales (UNSW) voor het eerst bewezen dat een ‘general-purpose operating system kernel’ mogelijk was, de seL4. ‘Our seL4 microkernel is the subject of last year’s proof’, aldus Klein in een verklaring. ‘It is the only operating system kernel in existence whose source code has been mathematically proven to implement its specification correctly. Under the assumptions of the proof, the seL4 kernel for ARM11 will always do precisely what its specification says it will do’. Hierdoor kan de software niet falen, aldus de onderzoekers. Al sinds de jaren ’70 is er gezocht naar zulke software. ‘Verification of operating-system kernels has been attempted since the 1970s – we pulled it off !’, aldus Gernot Heiser, oprichter van OK Labs.

Continue reading

Share This:

Social Engineering trucs

21 januari 2011

Fraudeurs kunnen beveiligingsmaatregelen heel simpel omzeilen door zich voor te doen als betrouwbare partners. Ieder weldenkend mens weet dat het onverstandig is om in te gaan op voorstellen waarbij je een vorstelijke vergoeding opstrijkt als je de nalatenschap van prins Usman Bello Mustapha II op je zakenrekening parkeert. Fraudeurs zitten echter niet stil. Mede dankzij de opkomst van sociale media zijn er tal van nieuwe manieren bedacht waarmee criminelen je bedrijfswinst weten af te romen of op slinkse wijze uit je privévermogen graaien. ‘Social engineering’ is een begrip uit de beveiligingsindustrie. Het slaat op activiteiten die een specifieke vorm van oplichting tot doel hebben. Social engineers bewegen nietsvermoedende mensen – waaronder ook IT’ers en CIO’s – er middels valse voorwendselen toe bepaalde acties te ondernemen of persoonlijke informatie prijs te geven.

Continue reading

Share This:

De ondergang van het Web zijn de gebruikers…

10 januari 2011

De vraag is of echte veiligheid in de IT een haalbaar verhaal is, of een volstrekte utopie. Denken we aan WikiLeaks, Stuxnet, en over de vraag of die beveiligingsdieptepunten van 2010 te voorkomen waren geweest. Nee, denk ik: hadden de betrokken partijen er voor gezorgd dat de nu gevolgde routes waren afgesneden, dan hadden zowel de makers van Stuxnet als de bronnen van Wikileaks wel een andere route gevonden. Stuxnet toont in feite aan dat als een partij het echt wil, er altijd wel ergens een gaatje te vinden is. Stuxnet was een bijzonder professionele aanval, en het is de vraag of daar ooit een kruid tegen gewassen is. Geen bank is honderd procent te beveiligen – de vraag is uitsluitend of de beveiliging goed genoeg is om het aantal overvallen op acceptabele hoogte te houden. Honderd procent veiligheid bestaat niet. Veel lastiger is de vraag die Wikileaks oproept: hoe gaan we om met de mens als zwakste schakel? Voor beveiliging zijn nog zulke prachtige oplossingen te bedenken, maar als de mens in de weg gaat zitten, vindt hij/zij er altijd wel een weg omheen. Iedereen kent het dilemma van de wachtwoorden: als je je gebruikers vaak genoeg dwingt ze te veranderen, gaan ze vanzelf simpele wachtwoorden gebruiken, anders onthouden ze ze niet meer. En als je ze dwingt ingewikkelde wachtwoorden te gebruiken, gaan ze ze opschrijven – anders onthouden ze ze niet meer.

Continue reading

Share This:

Cybercrime rapport snel de prullenbak in

29 december 2010

Wie zijn IP-adres verbergt heeft daar een reden voor en mogelijk is die ‘te relateren aan kinderporno’, stelt een onderzoek in opdracht van de overheid. De onderzoekers adviseren een vergaande aanpak van cybercrime. Het onderzoek richt zich op het samenstellen van gedragsprofielen van cybercriminelen, die kunnen worden ingezet tegen cybercrime. Sommige zaken kunnen duiden op verdacht gedrag, zo stelt het rapport. Mensen die zich schuldig maken aan het kijken of produceren van kinderporno hebben browserfavorieten die daar op kunnen duiden, zo stellen de onderzoekers van het onderzoeksbureau Faber in het rapport dat zij in opdracht van de ministeries van Economische Zaken en Veiligheid en Justitie uitvoerden. De onderzoekers komen ook tot de niet verrassende conclusie dat surfgedrag en gebruikte zoektermen licht kunnen werpen op iemands activiteiten. Volgens de Volkskrant concluderen de onderzoekers dat cybercrime alleen kan worden aangepakt als de politie ‘internationaal gaat samenwerken’ en ook ISP’s, banken en domeinregistreerders gegevens aan de politie leveren. Providers zouden kunnen inspecteren welke abonnees hun IP-adres verbergen, waarna de politie die gebruiker nader kan onderzoeken. Een van de onderzoekers, Wynsen Faber, geeft tegenover de krant toe dat deze potentiële maatregelen kunnen ‘schuren’ met de privacy. Dat is nogal positief geformuleerd voor een flagrante inbreuk op welke privacyregels dan ook die we in dit land hebben.

Continue reading

Share This: