Category Archives: IT Beveiliging

De ondergang van het Web zijn de gebruikers…

10 januari 2011

De vraag is of echte veiligheid in de IT een haalbaar verhaal is, of een volstrekte utopie. Denken we aan WikiLeaks, Stuxnet, en over de vraag of die beveiligingsdieptepunten van 2010 te voorkomen waren geweest. Nee, denk ik: hadden de betrokken partijen er voor gezorgd dat de nu gevolgde routes waren afgesneden, dan hadden zowel de makers van Stuxnet als de bronnen van Wikileaks wel een andere route gevonden. Stuxnet toont in feite aan dat als een partij het echt wil, er altijd wel ergens een gaatje te vinden is. Stuxnet was een bijzonder professionele aanval, en het is de vraag of daar ooit een kruid tegen gewassen is. Geen bank is honderd procent te beveiligen – de vraag is uitsluitend of de beveiliging goed genoeg is om het aantal overvallen op acceptabele hoogte te houden. Honderd procent veiligheid bestaat niet. Veel lastiger is de vraag die Wikileaks oproept: hoe gaan we om met de mens als zwakste schakel? Voor beveiliging zijn nog zulke prachtige oplossingen te bedenken, maar als de mens in de weg gaat zitten, vindt hij/zij er altijd wel een weg omheen. Iedereen kent het dilemma van de wachtwoorden: als je je gebruikers vaak genoeg dwingt ze te veranderen, gaan ze vanzelf simpele wachtwoorden gebruiken, anders onthouden ze ze niet meer. En als je ze dwingt ingewikkelde wachtwoorden te gebruiken, gaan ze ze opschrijven – anders onthouden ze ze niet meer.

Continue reading →

Cybercrime rapport snel de prullenbak in

29 december 2010

Wie zijn IP-adres verbergt heeft daar een reden voor en mogelijk is die ‘te relateren aan kinderporno’, stelt een onderzoek in opdracht van de overheid. De onderzoekers adviseren een vergaande aanpak van cybercrime. Het onderzoek richt zich op het samenstellen van gedragsprofielen van cybercriminelen, die kunnen worden ingezet tegen cybercrime. Sommige zaken kunnen duiden op verdacht gedrag, zo stelt het rapport. Mensen die zich schuldig maken aan het kijken of produceren van kinderporno hebben browserfavorieten die daar op kunnen duiden, zo stellen de onderzoekers van het onderzoeksbureau Faber in het rapport dat zij in opdracht van de ministeries van Economische Zaken en Veiligheid en Justitie uitvoerden. De onderzoekers komen ook tot de niet verrassende conclusie dat surfgedrag en gebruikte zoektermen licht kunnen werpen op iemands activiteiten. Volgens de Volkskrant concluderen de onderzoekers dat cybercrime alleen kan worden aangepakt als de politie ‘internationaal gaat samenwerken’ en ook ISP’s, banken en domeinregistreerders gegevens aan de politie leveren. Providers zouden kunnen inspecteren welke abonnees hun IP-adres verbergen, waarna de politie die gebruiker nader kan onderzoeken. Een van de onderzoekers, Wynsen Faber, geeft tegenover de krant toe dat deze potentiële maatregelen kunnen ‘schuren’ met de privacy. Dat is nogal positief geformuleerd voor een flagrante inbreuk op welke privacyregels dan ook die we in dit land hebben.

Continue reading →

Applications of modern Cryptography

18 december 2010

Er komen steeds meer diensten en applicaties online beschikbaar, ook draadloos. Dat is handig, maar het betekent vaak dat gebruikers tientallen accounts moeten aanmaken. Hun persoonlijke gegevens zijn dan ook op heel veel plaatsen bekend. Dit leidt gemakkelijk tot misbruik. SURFnet biedt autorisatie- en authenticatiediensten waarmee de privacy van de gebruiker is gewaarborgd en hij voldoende heeft aan alleen zijn instellingsaccount.De organisatie heeft een belangrijke publicatie uitgebracht over de toepassingen van cryptografie. Het wordt als volgt omschreven: ‘Cryptography is at the heart of a vast range of daily activities, such as electronic commerce, bankcard payments and electronic building access to name a few. It is one of the cornerstones of Internet security. It is of key importance for modern, connected organisations to have an understanding of cryptography and its applications. When used appropriately, cryptography can play an important role in securing online services. But incorrect applications of the technology can lead to a false sense of security and can ultimately lead to the loss or disclosure of sensitive data. This white paper aims to provide an introduction to cryptography and an overview of its real-world applications. To achieve this, the following subjects are addressed in this white paper:

A high-level introduction to cryptography
A discussion of cryptographic techniques and technologies
An overview of applications in which cryptography plays an important role
An introduction to policies and procedures that can play a role when cryptography is used
A set of product selection criteria for products that rely on cryptography
A short guide to further reading for in-depth information related to cryptography’

Deze publicatie verdient een breed lezerspubliek, gezien de fundamentele benadering van de problematiek.

Continue reading →

Onwetendheid over cryptografie levensgevaarlijk

3 november 2010

SURFnet heeft, onder de titel ‘Applications of Modern Cryptography’, een whitepaper (pdf) gepubliceerd over cryptografie. Met de brede beschrijving en toelichting van dit fenomeen wil SURFnet de juiste inzet van cryptografie stimuleren. Roland van Rijswijk, Technisch Product Manager bij SURFnet en auteur van de whitepaper: ‘Zonder cryptografie geen vertrouwde identiteit op internet. Bij goed gebruik kan cryptografie een belangrijke rol spelen in het beveiligen van online diensten. Maar het is geen Haarlemmerolie. Onjuiste toepassing van de technologie leidt tot een vals gevoel van veiligheid en kan uiteindelijk het verlies of openbaarmaking van gevoelige gegevens tot gevolg hebben. De whitepaper biedt handvatten om op een goede manier cryptografie toe te passen zodat veiligheid en vertrouwen worden gegarandeerd. … Een van de belangrijkste boodschappen van dit document is dat we niet moeten vertrouwen op ‘security by obscurity’. In het verleden is keer op keer gebleken dat het bedrijven niet lukt om geheime algoritmen echt geheim te houden. Dat komt omdat onderzoekers niet in een vroeg stadium betrokken worden in het opsporen van zwakke plekken in de algoritmen, waardoor ze te kraken zijn. Men kan het beste alleen algoritmen gebruiken, die in een open proces met de betrokkenheid van de wetenschap zijn ontwikkeld’.

Continue reading →

Authenticatiemethode maakt onderscheid tussen mens en bot

2 november 2010

Twee Amerikaanse wetenschappers hebben een nieuwe methode ontwikkeld om bots van mensen te onderscheiden. De methode is gebaseerd op de snelheid van de toetsaanslagen en is bedoeld voor authenticatieservers. Om aanvallen van bots op individuele computers tegen te gaan, hebben Danfeng Yao en Deian Stefan TUBA ontwikkeld. Deze nieuwe authenticatiemethode houdt rekening met de snelheid waarmee url’s, mailadressen en wachtwoorden wordt ingetikt. Danfeng Yao is assistant professor bij Viriginia Tech en Deian Stefan is PhD-student aan de computer science-afdeling van de Stanford University. Als hun nieuwe methode op een authenticatieserver wordt geïmplementeerd, bepaalt TUBA de snelheid van de gebruiker. Als TUBA genoeg gegevens heeft verzameld, verwerkt het de informatie in een profiel van de gebruiker. Nadat de trainingsfase is afgerond kan een verdachte handeling bij de authenticatie van een gebruiker worden gedetecteerd. De gebruiker moet dan van TUBA een aantal namen, url’s en e-mailadressen invoeren. De server genereert de gegevens die de gebruiker moet tikken aan de hand van informatie uit de trainingsfase. Als deze gegevens zijn ingevoerd, kan TUBA beoordelen of het door een menselijke gebruiker of door een bot is gedaan.

Continue reading →

Stuxnet toch voor kerncentrale bedoeld

27 september 2010

Stuxnet, volgens deskundigen mogelijk de meest complexe malware ooit gebouwd, heeft in Iran zeker 30.000 Windows-systemen besmet. Daaronder zijn PC’s die in nucleaire installaties draaien. Een schoonmaakoperatie zou op touw zijn gezet. Stuxnet, die systemen vooral besmet via USB-sticks, werd in juni op Iraanse Windows-computers ontdekt door het relatief onbekende antivirusbedrijf VirusBlokAda uit Wit-Rusland. Uit onderzoek door diverse beveiligingsfirma’s bleek dat de malware zich niet richt op het stelen van gebruikersgegevens of het versturen van spam, maar zich juist richt op het aanvallen van aanstuursoftware voor industriële systemen. Daarbij richt Stuxnet zich bovendien uitsluitend op Scada, software waarmee industriële systemen zijn aan te sturen. Scada-systemen worden onder andere gebruikt in de omstreden nucleaire installaties in Iran. Stuxnet richt zicht bovendien geheel op Scada-software die door Siemens wordt gemaakt. Inmiddels heeft de Iraanse overheid toegegeven dat de Stuxnet-worm op zeker 30.000 ip-adressen van bedrijfssystemen in Iran is aangetroffen.

Continue reading →

Worm specifiek voor kernreactor ?

23 september 2010

Een zeer geavanceerde worm, in juli 2010 ontdekt, is mogelijk op maat geschreven om de kernreactor in de Iraanse plaats Bushehr te saboteren. Dat zegt Ralph Langner, een expert op het gebied van de beveiliging van industriële systemen. De Stuxnet-worm werd ontdekt door een Wit-Russisch beveiligingsbedrijf, op de machines van een Iraanse fabriek. Daarna dook het ook op in onder meer Indiase en Indonesische fabrieken. Beveiligingsexperts zijn onder de indruk van de complexiteit van Stuxnet, dat misbruik maakt van (hoe origineel !) zwakheden binnen Windows, zoals het icoon-lek, en industriële beheersoftware van Siemens. Ze zijn het eens dat de worm moet zijn geschreven door een team van hoog gekwalificeerde experts. De gigantische hoeveelheid werk die Stuxnet verraadt, doet sommigen zelfs vermoeden dat de maker(s) steun kregen van een regering. Stuxnet heeft zelfs zoveel indruk gemaakt, dat experts bezorgd uitzien naar de volgende generatie malware. De angst bestaat dat kwaadwillenden zich massaal zullen laten inspireren door de intelligentie achter de computerworm.

Continue reading →

Vingerafdrukken in Franse handen ?

16 september 2010

De Tweede Kamer maakt zich zorgen om de bouw van een vingerafdrukdatabase door een Frans bedrijf. Kamerfracties willen de opslag niet in buitenlandse handen geven. Volgens de regering gaat het echter om een misverstand. In de zomer van 2009 werd wetgeving aangenomen waardoor de vingerafdrukken van alle Nederlanders die een nieuw paspoort aanvragen in een centrale database komen te staan. Demissionair minister Ernst Hirsch Ballin heeft gezegd dat deze database door een Frans bedrijf wordt gebouwd. De Tweede Kamer maakt zich daar ‘grote zorgen’ over. Zo reageerde PVV-Tweede Kamerlid Hero Brinkman ‘geschokt’. Volgens hem wordt het beheer van de vingerafdrukken aan een andere natie toevertrouwd, zonder dat de Franse minister van Binnenlandse Zaken bij problemen ter verantwoording kan worden geroepen. Volgens VVD-parlementariër Jeanine Hennis-Plasschaert wordt in het jaarverslag van inlichtingendienst AIVD juist expliciet gewaarschuwd voor het uitbesteden van databanken aan al dan niet buitenlandse private partijen. Dat zou risico’s van spionage met zich meebrengen. Ook de SP reageerde verontrust.

Continue reading →

Malware komt vooral via USB

27 augustus 2010

Een kwart van alle wormen infecteert computers via USB-sticks en apparaten die via USB worden aangesloten. Wormen op telefoons en camera’s worden nauwelijks opgemerkt. Het infectiepercentage via USB is geen toeval. Volgens PandaLabs, de onderzoekstak van Panda Security, is inmiddels 25 procent van alle wormen specifiek ontworpen om gebruik te maken van USB-apparaten. ‘Not only does it copy itself to these gadgets, but it also runs automatically when a USB device is connected to a computer, infecting the system practically transparently to the user. This has been the case with many infections we have seen this year, such as the distribution of the Mariposa and Vodafone botnets’, meldt Luis Corrons, technisch directeur bij PandaLabs. Uit een recent onderzoek van Panda onder ruim 10.000 kleine en middelgrote organisaties bleek dat 27 procent van alle malware-infecties rechtstreeks te herleiden was tot geïnfecteerde USB-hardware.

Continue reading →

Printergeluiden verraden de clou

17 augustus 2010

De Duitse onderzoekers Michael Backes, Markus Dürmuth, Sebastian Gerling, Manfred Pinkal en Caroline Sporleder van de Universität des Saarlandes zijn er in geslaagd om gevoelige gegevens van huisartsen en banken af te tappen door het geluid van de matrixprinter af te luisteren. Enige voorwaarde is dat er nog gebruik wordt gemaakt van een dotmatrix printer. In Duitsland gebruikt nog zo’n 60 procent van de huisartsen en 30 procent van de banken zo’n apparaat. De onderzoekers melden dat in landen als Zwitserland, Duitsland en Oostenrijk het bij wet nog verplicht is om via matrixprinters recepten uit te draaien. In Nederland is het gebruik van deze printers aanzienlijk lager, omdat de keuze hier veelal op inkt- en lasertechnologie is gebaseerd. Door middel van een zogenaamde side-channel attack kan een aanvaller op basis van de opgepikte akoestieke veranderingen software het geluid in woorden vertalen. Als de context van de tekst bekend is (bijvoorbeeld kennis van de woorden die in een recept voor kunnen komen), dan kan tot 95 procent van de geprinte pagina achterhaald worden. Wanneer de inhoud van de geprinte pagina niet bekend is, is het percentage maximaal 72 procent. Volgens de onderzoekers was ‘the attack, which so far works only on English text, … carried out under … realistic — and arguably even pessimistic – circumstances, in which there was no shielding from ambient noise such as that made by people chatting in a nearby waiting room’.

Continue reading →

Adobe beschermt software

21 juli 2010

Adobe isoleert zijn veelgeplaagde PDF-reader met sandbox-technologie. Die functionaliteit wordt bij de volgende versie uitgerold. De softwareproducent heeft samengewerkt met de ontwikkelteams van Microsoft's Office 2010 en Google's Chrome. Die producten hebben elk ook 'sandboxes' als isolatietechniek, legt Brad Arkin, hoofd security van Adobe, uit. De 'sandboxing' van Adobe Reader staat default aan en moet nagenoeg alle huidige exploits tegenhouden. 'The idea is to run Reader in a lower-privilege mode so that even if an attacker finds an exploit or vulnerability in Reader, it runs in lower rights mode, which should block the installation of [malware], deleting things on the system, or tampering with the [Windows] registry'. Indien er toch schrijfpermissie nodig is, dan gebeurt dat via een nieuwe tussenlaag. 'Reader still has to legitimately touch the underlying filesystem in order to save PDF files, but it will be configured to work through a separate Adobe 'broker process', such that any attempts by Reader to communicate directly with the operating system will fail', zo stelt Arkin. Arkin is niet bezorgd dat die broker een nieuwe zwakke plek wordt. Het zal waarschijnlijk wel een nieuw aanvalsdoelwit zijn. Maar eerder in de vorm van een linie die malwaremakers moeten veroveren nadat ze een gat in Adobe's PDF-software succesvol hebben misbruikt. Dat laatste is al gebeurd, merkt Arkin droogjes op.

Continue reading →

Detectie van cyberaanvallen

8 juli 2010

De Amerikaanse overheid zou een programma zijn gestart dat cyberaanvallen op bedrijven en overheidsinstellingen vroegtijdig moet detecteren. Een eerste contract ter waarde van 100 miljoen dollar zou al zijn gesloten. Het detectiesysteem dat onder codenaam Perfect Citizen zou worden ontwikkeld, zou door de NSA moeten worden gecontroleerd. Op diverse strategische locaties in het netwerk moeten sensoren worden geplaatst om bij opvallende activiteiten alarm te kunnen slaan, zo meldt The Wall Street Journal. Vooral oude apparatuur zou betere beveiliging nodig hebben. De firma Raytheon Corp. zou al een contract ter waarde van 100 miljoen dollar hebben gesloten om het project te starten. Volgens een anonieme medewerker van Defensie zou Perfect Citizen de privacy niet meer schaden dan bewakingscamera's zouden doen en is het detectiesysteem nodig om belangrijke infrastructurele werken zoals het electriciteitsnetwerk beter tegen vijandelijke cyberaanvallen te beschermen.

Continue reading →

Aftappen niet zo simpel

15 april 2010

Het aftappen van de internetverbinding van burgers is voor opsporingsinstanties geen sinecure. Wie de juiste diensten inzet voor communicatie kan zich grotendeels aan de opsporing onttrekken. Deskundigen van Stratix Consultancy schreven op verzoek van Economische Zaken het rapport 'Grenzen aan de aftapbaarheid ?' Zij komen tot de conclusie dat het afluisteren onvoldoende is en dat het niet mogelijk is alle communicatie af te tappen. Het grootste probleem is dataverslueteling; gegevens zijn dus niet te interpreteren. Op zich is het mogelijk om e-mail bij de provider te tappen, maar internetters gebruiken steeds vaker webmaildiensten. In dat geval heeft de dienstverlener een server in Nederland om af te tappen. Vaak is dat niet zo. Berichten kunnen ook via diensten als Twitter, Hyves, Facebook of Linked-In uitgewisseld worden. Volgens de onderzoekers is het afluisteren van mobiele en traditionele telefonie goed geregeld. Datzelfde geldt voor internetbellen via telefonie- of internetproviders. Minder rooskleurig voor de opsporing is losse internettelefonie, die vaak vanuit het buitenland aangeboden worden. Veel diensten, zoals Skype, versleutelen het gesprek standaard van begin tot eind. Afluisteren is dan heel lastig.

Continue reading →

Nederlandsers zorgeloos over beveiliging

14 april 2010

Ondanks de recente politieke discussie rondom body scans op vliegvelden en de schending van privacy, komt uit de Unisys Security Index naar voren dat Nederlanders over het algemeen geen probleem hebben met deze extra elektronische veiligheidsmaatregelen. Praktisch alle ondervraagden (96 procent) geven aan dat zij hun privacy graag opgeven in ruil voor een veilige vlucht. Ze zijn bereid om één of meerdere elektronische veiligheidsmaatregelen te ondergaan voordat zij aan boord mogen van een vliegtuig. 81 Procent van alle ondervraagden heeft ook geen moeite met een volledige body scan. 'Hoewel er veel discussie is rondom privacy met betrekking tot de inzet van elektronische body scans op Schiphol, toont de Unisys Security Index aan dat de Nederlanders zich weinig zorgen maken over hun privacy wanneer zij hierdoor een veilige vlucht hebben', zegt Jan van der Sluis, Senior Manager, Identity & Credentialing Solutions over de uitkomst.

Continue reading →

Chinese spionagenetwerken ontdekt

7 april 2010

Een aantal onderzoekers uit Canada en de VS heeft acht maanden lang een Chinees spionagenetwerk bestudeerd en de bevindingen in een rapport vastgelegd. Het 'Shadow Network' zou met name systemen in India hebben aangevallen. Het rapport, dat 'Shadows in the cloud' is getiteld, werd opgesteld door onderzoekers van de Munk School of Global Affairs, dat weer onderdeel uitmaakt van de University of Toronto. Uit het onderzoeksrapport blijkt onder andere dat systemen werden aangevallen die gebruikt werden door aanhangers van de Dalai Lama en de Verenigde Naties. Daarnaast richtte het netwerk zijn pijlen op servers van overheidsinstellingen, scholen en bedrijven in India. Ook zouden gegevens over NAVO-activiteiten in Afghanistan zijn buitgemaakt. In totaal werden 44 computers ontdekt die besmet waren met malware.

Continue reading →

EPD: wel of niet slecht beveiligd ?

1 april 2010

Het Elektronisch Patiëntendossier (EPD) is onvoldoende beveiligd. Daardoor kunnen vertrouwelijke patiëntgegevens in verkeerde handen komen, beweert Guido van ’t Noordende, onderzoeker aan de Universiteit van Amsterdam. Volgens het ministerie van Volksgezondheid, Welzijn en Sport (VWS) zijn de twijfels die de wetenschapper zaait ongegrond. Van ’t Noordende schreef vorige maand een brief naar de Eerste Kamer waarin hij de resultaten van zijn onderzoek naar de beveiliging van het EPD onder de aandacht brengt. Patiëntgegevens zijn decentraal opgeslagen bij de zorgaanbieders, maar via het Landelijk Schakelpunt (LSP) te raadplegen door geautoriseerde behandelaars. Door in te breken bij het LSP kunnen kwaadwillenden bij alle patiëntgegevens, want decentraal is niet vast te stellen of er een zorgverlener of een hacker achter de aanvraag zit. Maar ook de mandatering, waarmee artsen medewerkers toegang geven tot het EPD, is volgens de onderzoeker eenvoudig te misbruiken. Een derde probleem is dat gegevens die door de patiënt worden gewist, nooit helemaal uit het systeem verdwijnen, aldus VWS.

Continue reading →

Browser-perikelen

30 maart 2010

Hoe ga je als systeembeheerder om met kritische beveiligingsproblemen binnen browsers? Het installeren van meerdere browsers op één gebruikersdesktop is geen optie. 'Je kunt niet van je gebruikers verwachten dat ze op jouw aanraden tijdelijk een andere browser gebruiken', zegt beveiligingsarchitect Marco Plas van ING. 'Vaak zijn dan net niet de juiste plug-ins voorhanden om intranetapplicaties goed te kunnen draaien'. 'De frequentie van het ontdekken van lekken in de browsers is dusdanig groot, dat men eigenlijk wel dagelijks zou moeten schakelen', vult Orange-adviseur Marco Mulder aan. Beveiligingsadviseur John Rudolph van Wipro: 'Het wisselen van browser is geen optie. De gebruiker weet dan niet meer waar hij/zij aan toe is: wanneer moet je IE gebruiken, wanneer Firefox of Opera of Google Chrome?' 'De allereerste taak van een systeembeheerder is om de rust bewaren', zegt marketing manager Maurice Remmé van Getronics. 'Want voor een systeembeheerder zijn dit soort meldingen aan de orde van de dag. Als de beveiligingsomgeving goed is opgebouwd (verschillende beveiligingslagen), biedt dit over het algemeen afdoende bescherming voor organisaties.' Dat vindt ook Jan van der Sluis van Unisys: 'Een goede systeembeheerder heeft een security-draaiboek waarmee kan worden gehandeld conform de bedrijfsrichtlijnen.'

Continue reading →

Papieren encryptiesleutel

11 maart 2010

De Amsterdamse backupdienst Safeberg werkt met een 'Offline Private Key Protocol', waarbij de decryptiesleutel niet op de computer staat, maar op papier. Het gaat om een 4k-RSA-sleutel, die bestaat uit 800 tekens. Safeberg heeft de papieren sleutel leesbaar voor computers gemaakt door hem te laten afdrukken in een grote 2D-Datamatrix-streepjescode. Middels een foto of scan is hij te gebruiken. Volgens Safeberg is de online backup met de 'offline sleutel' behalve voor particulieren ook bedoeld voor professionals met gevoelige klantgegevens, zoals artsen, notarissen en advocaten. De backupdienst start begin mei. Onderzoekers van de Nijmeegse Radboud Universiteit testen momenteel onder meer de veiligheid van de clientsoftware en de communicatie met de servers. 'Ze zijn net klaar met testen en we zijn de laatste verbeterpunten aan het doorvoeren', aldus SafeBerg-oprichter Stefan Hoevenaar.

Continue reading →

Internettaps, taps en taps

5 maart 2010

Een internettap lijkt op een telefoontap. 'Als je een telefoontap plaatst, krijgt de behoeftesteller ook niet een bepaald aantal woorden door, die krijgt het hele gesprek, zegt Alex Bik, voorzitter van de stichting Nationale Beheersorganisatie Internet Providers (NBIP). De stichting verzorgt internettaps voor 79 kleine en grotere providers', die zelf niet de middelen hebben om internettaps te plaatsen. Bij een internettap komt al het verkeer dat over de lijn gaat naar de provider terecht bij het Korps Landelijke Politiediensten (KLPD), de Algemene Inlichtingen- en Veiligheidsdient (AIVD) of de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Dit is inclusief VOIP-gesprekken, zodat de overheid internettelefonie kan monitoren. De internetverbinding wordt één op één doorgesluisd. Daarnaast bestaat er nog wel een e-mailtap, waarbij alleen het mailverkeer wordt getapt. Verschillende VOIP-diensten versleutelen de gegevens van de telefoongesprekken. De encryptie is vaak zo sterk dat die heel lastig te kraken valt. 'Je kunt natuurlijk niet direct de inhoud van het gesprek beoordelen. Maar je kan wel zien waar die packets heengaan'. In het geval van Skype is dat niet aan de orde; die dienst gebruikt naast encryptie ook peer-to-peer, waardoor de gesprekken via andere Skype-gebruikers lopen.

Continue reading →

Jongeren hebben lak aan beveiliging

1 maart 2010

Jonge werknemers sluiten zonder toestemming externe apparatuur aan en installeren eigen applicaties. Volgens Accenture negeren jongere medewerkers de regelgeving, die bedrijven hun medewerkers opleggen bij het gebruik van IT-middelen, massaal. Jongeren tussen de 14 en 27 jaar geven niets om de veiligheidsregels van hun IT-afdeling. Accenture ondervroeg vijfduizend studenten en jonge medewerkers over de gehele wereld, waarvan 370 in Nederland, en verwerkte de uitkomsten in het rapport ‘Messages from the Millennials’. Ruim tweederde van de ondervraagden houdt zich niet aan het IT-beveiligingsbeleid van hun werkgever of opleider. Daarnaast weet 29 procent niet of hun bedrijf een IT-beleid heeft, geeft 17 procent aan dat hun werkgever zo’n beleid niet heeft bekendgemaakt en stelt 11 procent dat het gevoerde beleid te complex is om goed te begrijpen. De nieuwe generatie werknemers neemt het heft in eigen handen: externe apparaten als mp3-spelers en mobiele telefoons, die niet door de werkgever worden ondersteund, worden gewoon aangesloten (39 procent) en eigen applicaties geïnstalleerd (41 procent). Verder gebruikt 33 procent instant messaging op zijn werk en is 43 procent onder werktijd weleens op sociale netwerksites te vinden, ongeacht of dit is toegestaan. 'Hier op mijn ICT-opleiding gebruiken we de helft van de software die ons aangeboden wordt helemaal niet. We hebben een sterke voorkeur naar de programma’s waar wij thuis ook mee werken, dus dat gooien wij gewoon op onze externe schijf en werken er doodleuk mee op school', aldus een student Informatica. Hij vindt dat werknemers vrij moeten zijn in hun keuze aan software, ‘zolang ze hun werk gewoon kunnen doen en hun kwaliteit niet achteruitgaat’.

Continue reading →