Tag Archives: Informatiebeveiliging

Applications of modern Cryptography

Leave a reply

18 december 2010

Er komen steeds meer diensten en applicaties online beschikbaar, ook draadloos. Dat is handig, maar het betekent vaak dat gebruikers tientallen accounts moeten aanmaken. Hun persoonlijke gegevens zijn dan ook op heel veel plaatsen bekend. Dit leidt gemakkelijk tot misbruik. SURFnet biedt autorisatie- en authenticatiediensten waarmee de privacy van de gebruiker is gewaarborgd en hij voldoende heeft aan alleen zijn instellingsaccount.De organisatie heeft een belangrijke publicatie uitgebracht over de toepassingen van cryptografie. Het wordt als volgt omschreven: ‘Cryptography is at the heart of a vast range of daily activities, such as electronic commerce, bankcard payments and electronic building access to name a few. It is one of the cornerstones of Internet security. It is of key importance for modern, connected organisations to have an understanding of cryptography and its applications. When used appropriately, cryptography can play an important role in securing online services. But incorrect applications of the technology can lead to a false sense of security and can ultimately lead to the loss or disclosure of sensitive data. This white paper aims to provide an introduction to cryptography and an overview of its real-world applications. To achieve this, the following subjects are addressed in this white paper:

  • A high-level introduction to cryptography
  • A discussion of cryptographic techniques and technologies
  • An overview of applications in which cryptography plays an important role
  • An introduction to policies and procedures that can play a role when cryptography is used
  • A set of product selection criteria for products that rely on cryptography
  • A short guide to further reading for in-depth information related to cryptography’

Deze publicatie verdient een breed lezerspubliek, gezien de fundamentele benadering van de problematiek.

Continue reading

Share This:

Onwetendheid over cryptografie levensgevaarlijk

Leave a reply

3 november 2010

SURFnet heeft, onder de titel ‘Applications of Modern Cryptography’, een whitepaper (pdf) gepubliceerd over cryptografie. Met de brede beschrijving en toelichting van dit fenomeen wil SURFnet de juiste inzet van cryptografie stimuleren. Roland van Rijswijk, Technisch Product Manager bij SURFnet en auteur van de whitepaper: ‘Zonder cryptografie geen vertrouwde identiteit op internet. Bij goed gebruik kan cryptografie een belangrijke rol spelen in het beveiligen van online diensten. Maar het is geen Haarlemmerolie. Onjuiste toepassing van de technologie leidt tot een vals gevoel van veiligheid en kan uiteindelijk het verlies of openbaarmaking van gevoelige gegevens tot gevolg hebben. De whitepaper biedt handvatten om op een goede manier cryptografie toe te passen zodat veiligheid en vertrouwen worden gegarandeerd. … Een van de belangrijkste boodschappen van dit document is dat we niet moeten vertrouwen op ‘security by obscurity’. In het verleden is keer op keer gebleken dat het bedrijven niet lukt om geheime algoritmen echt geheim te houden. Dat komt omdat onderzoekers niet in een vroeg stadium betrokken worden in het opsporen van zwakke plekken in de algoritmen, waardoor ze te kraken zijn. Men kan het beste alleen algoritmen gebruiken, die in een open proces met de betrokkenheid van de wetenschap zijn ontwikkeld’.

Continue reading

Share This:

DigiD: beveiliging is van later zorg

Leave a reply

22 oktober 2010

Er zijn nauwelijks beveiligingseisen voor het SMS-gedeelte van de DigiD-authenticatie, toch stelt BZK dat de garanties er wel zijn. Andere beveiliging is van later zorg. Dat bleek tijdens de rechtszitting, die aangespannen was door het bedrijf Golden Bytes BV tegen Binnenlandse Zaken (BZK). Deze onderneming levert nu de SMS-berichten van de overheid af en was een van de inschrijvers op de nieuwe aanbesteding, waaruit nu bijna alle beveiligingseisen zijn verdwenen. ‘Er is gekozen voor prijs en niet voor veiligheid’, concludeert Frederik van Nouhuys, advocaat van Golden Bytes. Zijn klant verloor de opdracht, omdat het bedrijf op een bedrag van ongeveer 900.000 euro een kleine 18.000 euro duurder was dan de winnaar. De prijs is alleen incompleet, omdat er nog veel beveiligingseisen aan de opdracht worden toegevoegd. Van Nouhuys vreest dat inbrengen van beveiliging in een later stadium wel eens een half miljoen kan gaan kosten en daarmee zoveel kosten zijn gemoeid dat de onderhandse opdracht wel erg groot is. Daarmee overtreedt de overheid de wet en zou de aanbesteding niet mogen doorgaan.

Continue reading

Share This:

Kwantumcryptografie in Nederland

Leave a reply

15 oktober 2010

Siemens IT Solutions and Services heeft met partners als eerste in Nederland een superveilige verbinding tussen zijn datacenters in Den Haag en Zoetermeer tot stand gebracht op basis van kwantumcryptografie. Het gaat om een proefopstelling. De met kwantumcryptografie beveiligde verbinding maakt gebruikt van ‘quantum key distribution’, waarbij continu nieuwe sleutels worden aangemaakt en uitgewisseld tussen zender en ontvanger. Door gebruik te maken van de principes van de kwantummechanica is het onmogelijk om een perfecte kopie van een sleutel te maken, omdat ze worden verstuurd in de vorm van afzonderlijke lichtdeeltjes, fotonen. Fotonen zijn maar één keer meetbaar, daarna veranderen ze op een willekeurige manier. Als de eigenschappen van de fotonen onderweg zijn veranderd, kunnen de legitieme gebruikers zien of de sleutel is ‘afgeluisterd’. De veiligheid van ‘quantum key distribution wordt gegarandeerd door fundamentele natuurwetten over het gedrag van materie en energie – kwantummechanica – in plaats van wiskundige aannames. Siemens ISS werkt in de proefopstelling samen met het Australische Senetas dat de conventionele cryptografie verzorgd, en het Zwitserse IDQ dat de kwantumcryptografie voor zijn rekeing nam. Het demoproject, dat samen met het Platform voor InformatieBeveiliging (PvIB) is georganiseerd, loopt tot het eind van het jaar.

Continue reading

Share This:

Beveiliging DigiD kalft af

Leave a reply

12 oktober 2010

De overheid ziet ervan af om de toegang tot DigiD afdoende te beveiligen. De problemen spelen bij de dienstverlening om SMS-berichten te sturen, die door de overheid recentelijk is aanbesteed. Daarbij is gekozen met één criterium: de prijs. Het gaat niet alleen over gewone SMS-berichten, maar ook over over de beveiligde codes voor het aanmelden met DigiD. Daarmee meldt een gebruiker zich aan voor het zaken doen met de overheid en tot voor kort werd ook serieus overwogen om hiermee de medische gegevens voor het Elektronisch Patiëntendossier (EPD) toegankelijk te maken. Die inzage struikelde juist op de gebrekkige beveiliging van SMS-authenticatie. Werd bij de vorige aanbesteding nog gevraagd dat alleen gescreend personeel mag worden ingezet, inmiddels is die eis vervallen. In theorie kan iedereen de beveiligde toegang beheren: van onkundig beheerder tot veroordeeld identiteitsfraudeur. Ook is de eis vervallen dat de systemen volgens voor de overheid gangbare procedure moeten worden beheerd. De nieuwe leverancier hoeft zich niet meer aan ITIL of andere methodologieën te houden, waardoor het onduidelijk is hoe het systeembeheer vorm krijgt. Eerdere eisen over hoe logboeken worden beheerd, de verplichting om verkeer tussen DigiD en de SMS Gateway te versleutelen en het houden van regelmatige Rijksaudits, zijn in die nieuwe aanbesteding niet meer te vinden.

Continue reading

Share This:

Kritiek lek in PDF

Leave a reply

9 september 2010

Adobe heeft in allerijl gewaarschuwd voor een beveiligingslek in PDF-software waarvoor nog geen patch beschikbaar is. Dinsdag vernam Adobe dat hackers inmiddels ‘in het wild’ misbruik maken van de kwetsbaarheid. Een aanval kan ertoe leiden dat de computer vastloopt en in potentie aanvallers toegang geven tot het systeem, aldus Adobe. Volgens Symantec, leverancier van IT-beveiligingsproducten, zit de fout in de manier waarop Reader en Acrobat PDF-bestanden met TIFF-foto’s  interpreteren. Het probleem schuilt in Adobe Reader 9.3.4 en oudere versies voor Windows, Macintosh en Unix, meldt Adobe in een adviesbulletin. Hetzelfde geldt voor Adobe Acrobat 9.3.4 en eerdere versies voor Windows en de Mac. Reader is een applicatie voor het bekijken van PDF-documenten terwijl Acrobat bedoeld is om dergelijke bestanden aan te maken.

Continue reading

Share This:

Printergeluiden verraden de clou

Leave a reply

17 augustus 2010

De Duitse onderzoekers Michael Backes, Markus Dürmuth, Sebastian Gerling, Manfred Pinkal en Caroline Sporleder van de Universität des Saarlandes zijn er in geslaagd om gevoelige gegevens van huisartsen en banken af te tappen door het geluid van de matrixprinter af te luisteren. Enige voorwaarde is dat er nog gebruik wordt gemaakt van een dotmatrix printer. In Duitsland gebruikt nog zo’n 60 procent van de huisartsen en 30 procent van de banken zo’n apparaat. De onderzoekers melden dat in landen als Zwitserland, Duitsland en Oostenrijk het bij wet nog verplicht is om via matrixprinters recepten uit te draaien. In Nederland is het gebruik van deze printers aanzienlijk lager, omdat de keuze hier veelal op inkt- en lasertechnologie is gebaseerd. Door middel van een zogenaamde side-channel attack kan een aanvaller op basis van de opgepikte akoestieke veranderingen software het geluid in woorden vertalen. Als de context van de tekst bekend is (bijvoorbeeld kennis van de woorden die in een recept voor kunnen komen), dan kan tot 95 procent van de geprinte pagina achterhaald worden. Wanneer de inhoud van de geprinte pagina niet bekend is, is het percentage maximaal 72 procent. Volgens de onderzoekers was ‘the attack, which so far works only on English text, … carried out under … realistic — and arguably even pessimistic – circumstances, in which there was no shielding from ambient noise such as that made by people chatting in a nearby waiting room’.

Continue reading

Share This:

Vingerafdrukken Europees gedeeld

Leave a reply

22 juli 2010

Vanaf eind 2011 worden vingerafdrukken, DNA-profielen en kentekeninformatie gedeeld met alle EU-lidstaten. Deze informatie is door criminaliteitsbestrijders dan automatisch opvraagbaar uit de verschillende databanken van de EU-landen. Mocht een buitenlandse instantie een crimineel in de kraag vatten, dan kunnen zijn DNA-profiel of vingerafdrukken, geautomatiseerd vergeleken worden met data uit verschillende landen. Is er een match tussen twee databases, dan kan verdere persoonsinformatie worden opgevraagd. Deze uitwisseling is vervat in Europese regelgheving, die in 2011 voor alle Europese lidstaten gaat gelden. De regeling is gebaseerd op het relatief onbekende verdrag van Prüm, dat integraal onderdeel is van het verdrag van Schengen. Schengen is in het leven geroepen om vrij verkeer van personen tussen aangesloten landen te bewerkstelligen. In 2008 is het verdrag van Prüm zonder stemming goedgekeurd door de Eerste Kamer. Sindsdien wisselt Nederland automatisch persoonlijke informatie uit met verschillende Europese landen. Er zijn op dit moment 10 Europese landen die onderling DNA-informatie uitwisselen, vijf landen wisselen vingerafdrukken uit en zeven landen doen hetzelfde met kentekeninformatie en chassisnummers. Nederland is een van de voorlopers op dit gebied.

Continue reading

Share This:

Waarom een vingerdrukkendatabase moet worden verboden

Leave a reply

7 mei 2010

Na een grondige voorbereiding is deze week de dagvaarding van Stichting Privacy First gepresenteerd. Een aantal burgers is al aangehaakt. Ze hebben reden tot klagen. De wetgeving om een centrale database te maken, is in de Tweede Kamer 'niet voldragen' genoemd. Er zijn geen harde regels rond de beveiliging en dat is onacceptabel voor een al werkend systeem dat dergelijke privacy-gegevens bevat. De gemeenten zelf hebben al databases in gebruik, waar de informatie is opgeslagen. Het is onduidelijk of die gegevens straks gebruikt worden, vernietigd worden of als schaduwbestand blijven bestaan. Er wordt nog gewerkt aan het centrale systeem, waarin straks alles moet worden opgenomen. In maart 2007 was het College Bescherming Persoonsgegevens (CBP) in een advies vernietigend over de centrale opslag van vingerafdrukken van alle burgers. Al ziet het CBP niets in het bewaren van vingerafdrukken, het adviseert desondanks om in dat geval te werken met decentrale opslag. Dat betekent dat gemeenten die informatie bewaren en dat vanuit een centraal systeem naar die informatie wordt verwezen. Zo'n verwijsindex is volgens de rijksoverheid te ingewikkeld, zo wordt in de toelichting op de Paspoortwet opgemerkt. Vreemd, want het ministerie van VWS kan zo'n index blijkbaar wel bouwen voor het (al net zo omstreden) EPD.

Continue reading

Share This:

Nederlandsers zorgeloos over beveiliging

Leave a reply

14 april 2010

Ondanks de recente politieke discussie rondom body scans op vliegvelden en de schending van privacy, komt uit de Unisys Security Index naar voren dat Nederlanders over het algemeen geen probleem hebben met deze extra elektronische veiligheidsmaatregelen. Praktisch alle ondervraagden (96 procent) geven aan dat zij hun privacy graag opgeven in ruil voor een veilige vlucht. Ze zijn bereid om één of meerdere elektronische veiligheidsmaatregelen te ondergaan voordat zij aan boord mogen van een vliegtuig. 81 Procent van alle ondervraagden heeft ook geen moeite met een volledige body scan. 'Hoewel er veel discussie is rondom privacy met betrekking tot de inzet van elektronische body scans op Schiphol, toont de Unisys Security Index aan dat de Nederlanders zich weinig zorgen maken over hun privacy wanneer zij hierdoor een veilige vlucht hebben', zegt Jan van der Sluis, Senior Manager, Identity & Credentialing Solutions over de uitkomst.

Continue reading

Share This:

EPD: wel of niet slecht beveiligd ?

Leave a reply

1 april 2010

Het Elektronisch Patiëntendossier (EPD) is onvoldoende beveiligd. Daardoor kunnen vertrouwelijke patiëntgegevens in verkeerde handen komen, beweert Guido van ’t Noordende, onderzoeker aan de Universiteit van Amsterdam. Volgens het ministerie van Volksgezondheid, Welzijn en Sport (VWS) zijn de twijfels die de wetenschapper zaait ongegrond. Van ’t Noordende schreef vorige maand een brief naar de Eerste Kamer waarin hij de resultaten van zijn onderzoek naar de beveiliging van het EPD onder de aandacht brengt. Patiëntgegevens zijn decentraal opgeslagen bij de zorgaanbieders, maar via het Landelijk Schakelpunt (LSP) te raadplegen door geautoriseerde behandelaars. Door in te breken bij het LSP kunnen kwaadwillenden bij alle patiëntgegevens, want decentraal is niet vast te stellen of er een zorgverlener of een hacker achter de aanvraag zit. Maar ook de mandatering, waarmee artsen medewerkers toegang geven tot het EPD, is volgens de onderzoeker eenvoudig te misbruiken. Een derde probleem is dat gegevens die door de patiënt worden gewist, nooit helemaal uit het systeem verdwijnen, aldus VWS.

Continue reading

Share This:

Internettaps, taps en taps

Leave a reply

5 maart 2010

Een internettap lijkt op een telefoontap. 'Als je een telefoontap plaatst, krijgt de behoeftesteller ook niet een bepaald aantal woorden door, die krijgt het hele gesprek, zegt Alex Bik, voorzitter van de stichting Nationale Beheersorganisatie Internet Providers (NBIP). De stichting verzorgt internettaps voor 79 kleine en grotere providers', die zelf niet de middelen hebben om internettaps te plaatsen. Bij een internettap komt al het verkeer dat over de lijn gaat naar de provider terecht bij het Korps Landelijke Politiediensten (KLPD), de Algemene Inlichtingen- en Veiligheidsdient (AIVD) of de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Dit is inclusief VOIP-gesprekken, zodat de overheid internettelefonie kan monitoren. De internetverbinding wordt één op één doorgesluisd. Daarnaast bestaat er nog wel een e-mailtap, waarbij alleen het mailverkeer wordt getapt. Verschillende VOIP-diensten versleutelen de gegevens van de telefoongesprekken. De encryptie is vaak zo sterk dat die heel lastig te kraken valt. 'Je kunt natuurlijk niet direct de inhoud van het gesprek beoordelen. Maar je kan wel zien waar die packets heengaan'. In het geval van Skype is dat niet aan de orde; die dienst gebruikt naast encryptie ook peer-to-peer, waardoor de gesprekken via andere Skype-gebruikers lopen.

Continue reading

Share This:

Jongeren hebben lak aan beveiliging

Leave a reply

1 maart 2010

Jonge werknemers sluiten zonder toestemming externe apparatuur aan en installeren eigen applicaties. Volgens Accenture negeren jongere medewerkers de regelgeving, die bedrijven hun medewerkers opleggen bij het gebruik van IT-middelen, massaal. Jongeren tussen de 14 en 27 jaar geven niets om de veiligheidsregels van hun IT-afdeling. Accenture ondervroeg vijfduizend studenten en jonge medewerkers over de gehele wereld, waarvan 370 in Nederland, en verwerkte de uitkomsten in het rapport ‘Messages from the Millennials’. Ruim tweederde van de ondervraagden houdt zich niet aan het IT-beveiligingsbeleid van hun werkgever of opleider. Daarnaast weet 29 procent niet of hun bedrijf een IT-beleid heeft, geeft 17 procent aan dat hun werkgever zo’n beleid niet heeft bekendgemaakt en stelt 11 procent dat het gevoerde beleid te complex is om goed te begrijpen. De nieuwe generatie werknemers neemt het heft in eigen handen: externe apparaten als mp3-spelers en mobiele telefoons, die niet door de werkgever worden ondersteund, worden gewoon aangesloten (39 procent) en eigen applicaties geïnstalleerd (41 procent). Verder gebruikt 33 procent instant messaging op zijn werk en is 43 procent onder werktijd weleens op sociale netwerksites te vinden, ongeacht of dit is toegestaan. 'Hier op mijn ICT-opleiding gebruiken we de helft van de software die ons aangeboden wordt helemaal niet. We hebben een sterke voorkeur naar de programma’s waar wij thuis ook mee werken, dus dat gooien wij gewoon op onze externe schijf en werken er doodleuk mee op school', aldus een student Informatica. Hij vindt dat werknemers vrij moeten zijn in hun keuze aan software, ‘zolang ze hun werk gewoon kunnen doen en hun kwaliteit niet achteruitgaat’.

Continue reading

Share This:

Het Nieuwe Werken als beveiligingsramp

Leave a reply

19 februari 2010

Steeds meer bedrijven kijken naar het nieuwe werken. De opkomst ervan wordt vanuit leveranciers en overheden, gestimuleerd. Termen als 'efficiënter werken', 'beperken reiskosten' en 'terugdringen fileleed' worden te pas en te onpas gebruikt, maar IT-technisch hoor je niet zo veel. Hoe zit het met de beveiliging bij het nieuwe werken? Momenteel zijn we in de overgang van een informatietijdperk naar een netwerktijdperk. Toegevoegde waarde lever je door kennis te delen en bijdragen te leveren aan een collectief. Deze ontwikkeling zien we niet alleen in een web 2.0-fenomeen als Wikipedia, maar ook in het nieuwe werken, waarbij het kennisdelen en samenwerking belangrijke succesfactoren zijn. De integriteit van deze gedeelde kennis is daar een zorgpunt. We moeten er voor zorgen dat kennis gebaseerd is op betrouwbare bronnen en dat deze niet hopeloos verouderd of incompleet is. Dit betekent dat we technieken en methoden moeten ontwikkelen waarmee we de integriteit van gedeelde kennis kunnen vergroten.

Continue reading

Share This:

Toegang tot EPD is een ramp

Leave a reply

3 februari 2010

Er zijn veel mensen die toegang krijgen tot het medische dossier. Wie geen bezwaar heeft gemaakt, opent het dossier voor veel mensen in de zorg. Maar ook vakgenoten, die om advies wordt gevraagd, co-assistenten, medisch studenten, biochemici, fysici, paramedici, diëtisten, spelbegeleiders, secretaressen, functionarissen belast met het feitelijk beheer van het patiëntendossier, functionarissen belast met de financiële afwikkeling en mensen die rechtstreeks betrokken zijn bij de medische behandeling. En daar bovenop nog de vervangers van al deze mensen en automatiseringsmedewerkers die UZI-passen krijgen. En laten we niet vergeten dat ook in bijzondere gevallen opsporingsambtenaren of een geheime dienst de gegevens vordert. Dat wordt duidelijk na het bestuderen van documenten over de privacy van het Elektronisch Patiëntendossier (EPD).

Continue reading

Share This:

Klink onder vuur over beveiliging EPD

Leave a reply

14 januari 2010

Minister Klink houdt voor de beveilging van het Elektronisch Patiënten Dossier (EPD) vast aan het gebruik van DigiD, zoals dat nu ook door de Belastingdienst wordt gebruikt, zo stelt hij in antwoord op kamervragen over de beveiliging. Hij is hierdoor onder vuur komen te liggen van de VVD. VVD-kamerlid Zijlstra heeft verklaard: 'Dit is in strijd met de hele belangrijke afspraak met de Kamer, dat er namelijk het veiligste systeem voorhanden wordt gebruikt'. De VVD pleit dan ook voor het gebruik van Public Key Infrastructure (PKI), een systeem van elektronische certificaten dat veel veiliger wordt geacht dan het voorgestelde DigiD. Het argument van de minister dat PKI nog niet voldoende ontwikkeld is en de uitrol voor burgers nog jaren op zich laat wachten, acht men niet geloofwaardig. Gedreigd wordt dan ook de steun voor het EPD in te trekken. Het EPD dat toch al zwaar bekritiseerd wordt moet de komende tijd nog verder worden uitgewerkt in verschillende Algemene Maatregelen van Bestuur (AmvB). Normaal is voor een AmvB geen stemming in het parlement nodig, maar in de EPD-Wet is vastgelegd dat ook alle AmvB's eerst door de Kamer moeten. Zijlstra: 'De minister zal bij de behandeling daarvan ons moeten overtuigen. Anders heeft hij een probleem op dat gebied en daarmee met het hele EPD'.

Continue reading

Share This:

Thunderbird 3.0.: met dank aan het Franse leger

Leave a reply

11 december 2009

Een deel van de code voor Thunderbird 3 is gemaakt door het Franse leger. De Fransen wilden zelf mailextensies ontwikkelen, dat is in Outlook niet mogelijk. Twee jaar geleden besloot het Franse leger over te stappen op Thunderbird om eigen security-extensies te bouwen. Op basis daarvan bouwden de militairen zelfs een eigen veilige variant op Thunderbird: Trustedbird, voorheen bekend als Milimail. Code van TrustedBird is terechtgekomen in de deze week verschenen versie 3.0 van Thunderbird. De belangrijkste aanpassing aan de originele software is een systeem waarmee gemonitord wordt of een mail wel of niet gelezen is. ‘The primary changes (the military) have made allow them to know for sure when messages have been read, which is critical in a command-and-control organization’, zegt David Ascher van Mozilla Messaging. ‘The French military is helping build an ecosystem of specialists around the world that provide specialized add-ons, leveraging our platform to help meet customer needs’, zo vervolgt Ascher. De overstap naar Trustedbird had wel de nodige voeten in aarde. ‘It is never completely free’, zo zei kolonel Bruno Poirier-Coutansais van de IT-afdeling van de Gendarmerie Nationale. ‘There was initial reluctance to embrace Thunderbird because it is less reassuring than to have a renowned company that can bring quality support’.

 

Continue reading

Share This:

Windows-encryptie gekraakt, maar ministerie maakt zich geen zorgen

Leave a reply

7 december 2009

Onderzoekers van het Fraunhofer Instituut hebben manieren ontdekt om de BitLocker-encryptie in Windows te omzeilen. De aanvallers achterhalen de sleutel door gebruik te maken van de manier waarop TPM wordt ingezet. TPM (Trusted Platform Module) zou het stelen van de sleutel moeten tegengaan. De aanvallers hebben voor een succesvolle aanval twee keer fysieke toegang nodig tot de computer. Ze installeren een nieuwe BitLocker bootloader, die net als het origineel om de sleutel vraagt. Alleen wordt de sleutel nu opgeslagen, zodat de aanvallers hem achteraf kunnen komen ophalen. De moeilijkheid daarbij is dat de computer moet worden uitgeschakeld zonder dat de gebruiker argwaan krijgt. Gelukkig voor de aanvallers worden de gebruiker door BitLocker niet lastiggevallen met details. Bij het Fraunhofer Instituut heeft men verschillende strategieën ontwikkeld die aanvallers kunnen gebruiken. Bij een daarvan wordt zelfs de hele computer van de gebruiker vervangen door een identiek apparaat. De conclusie van het rapport is dat het gebruik van TPM maar een beperkte bescherming oplevert. Volgens de onderzoekers is het niet helemaal nutteloos, maar men zou nog eens goed moeten evalueren hoe het moet worden ingezet. De onderzoekers hebben een video gemaakt die duidelijker maakt hoe de aanval precies werkt.

 

Continue reading

Share This:

Informatiebeveiliging

Leave a reply

Informatiebeveiliging

Beveiliging van informatiesystemen en van daarin opgenomen gegevens en documenten is een hot item. Er is zelfs een al weer herziene Code voor Informatiebeveiliging, waarop ook extern kan worden getoetst ! Die belangstelling is niet ten onrechte, want er gaat regelmatig het een en ander mis. Nog niet zozeer omdat wij allemaal onvoorzichtig omgaan met onze procedures, onze wachtwoorden en zo, maar ook omdat leveranciers van systeem- en toepassingssoftware het niet voor elkaar krijgen om deze zonder ‘lekken’ te leveren.

Continue reading

Share This:

E-mail grootste lek binnen bedrijven

Leave a reply

17 december 2005

Zes procent van de werknemers geeft toe dat zij wel eens vertrouwelijke informatie vanuit het bedrijf naar iemand hebben gemaild die daartoe geen toegang zou mogen hebben. Dat blijkt uit een onderzoek (Corporate e-mail user habits) uitgevoerd door de Radicati Group in samenwerking met Mirapoint. ‘While 6 percent may seem like a small number, in a 10,000-user organization, it translates to 600 employees leaking intellectual property’, zo stelt Sara Radicati, oprichtster en directeur van Radicati. ‘It only takes one e-mail to leak critical trade secrets that can cripple an organization’s business strategy. Companies should take a hard look at educating their workforce on its official email policy, and put in place outbound filtering and monitoring technology that can block confidential or sensitive emails before they leave the corporate network, as well as report violations’. Andere resultaten van het onderzoek wijzen op een andere zeer verontrustende trend: de meerderheid van de werknemers omzeilen de e-mailcontroles van hun bedrijf door voor zakelijke e-mail gebruik te maken van prive e-mail-accounts. 25 % van de respondenten gaf toe zeer regelmatig zakelijke e-mailberichten door te sturen naar hun prive mailbus. Dit kan het bedrijf aanzienlijke compliance-problemen opleveren, aangezien er dus mail is die buiten haar controle kan worden bewaard en waarvan het gebruik dus niet te controleren is.


Continue reading

Share This: