Waar bemoeien ze zich mee!

Overheden lijken zich steeds meer te willen bemoeien met al onze online activiteiten. Dit gaat soms zo ver dat we onze mening ook niet meer met anderen mogen delen wanneer dit over de gang van zaken bij verkiezingen gaat.

Zo ook in Rusland, waar vele jongeren zich via twitter negatief uitlieten(En dit nog steeds doen) over de verkiezingsuitslagen. De ingezette hashtags werden door een aantal zogenaamde twitter bots volledig weggedrukt zodat er onderling slecht te communiceren was. Er is een groot vermoeden dat deze bots zijn aangestuurd door de overheid.

Het bovenstaande lijkt in grote lijnen op wat er eerder dit jaar in verschillende Arabische landen plaats heeft gevonden. Waar de overheid probeert publieke opinie de kop in te drukken door zeer drastische maatregelen te nemen, zoals het “uitzetten” van het internet om demonstraties te voorkomen, en zo de macht in handen te kunnen houden. Ook dit heeft demonstranten er niet van kunnen weerhouden om de regering de laan te wijzen in bijvoorbeeld Egypte en andere Arabische landen.

Een ander voorstel, in de VS. de SOPA, (Stop Online Piracy Act) waarin wordt voorgesteld dat de regering de toegang naar websites(voor Amerikanen) kan blokkeren als het vind dat er inbreuk wordt gemaakt op bijvoorbeeld auteursrechten. Er is een hoop weerstand tegen dit voorstel vanuit de industrie (Om een paar grote namen te noemen, Facebook, Google, Twitter, Wikipedia etc.) Deze partijen zijn onder andere bang dat deze “act” ten kosten gaat van de vrijheid van meningsuiting, het kunnen leveren van een goede online dienst en dat gebruikers niet meer in staat zijn hun eigen content te uploaden.

Hoe het gaat aflopen met de SOPA is nog niet bekend, maar er zijn sterke tegenargumenten vanuit verschillende partijen genoemd. Laten we hopen dat deze doorslaggevend zullen zijn in het besluit om het voorstel te verwerpen.

Het internet is voor iedereen, niet alleen voor de regering om te bepalen wat wel en niet mag!

Een telefoontje kan al voldoende zijn…

Met alle “oorlogvoering” op het internet de laatste tijd, zoals de hack op DigiNotar om maar een voorbeeld te noemen, moeten we niet vergeten dat het soms niet eens nodig is een echte “hack” uit te voeren. Een telefoontje kan al voldoende zijn.

De eerste stap is om een nieuwe medewerker binnen een organisatie, zoals een bank, te vinden. Dit is vrij eenvoudig gezien het gebruik van sociale netwerken zoals LinkedIn. Iedereen kent ze wel; de mailtjes waarin iemand aangeeft gestart te zijn bij zijn nieuwe baan.

De volgende stap is de identiteit en telefoonnummer van een manager vinden die werkzaam is op een andere locatie of in ieder geval onbekend is voor de nieuwe medewerker. Hiervoor is LinkedIn wederom een goede bron.  Of het centrale nummer van de instantie om zo de naam en het telefoonnummer van de manager te achterhalen. Zeker wanneer iemand net is aangenomen, zal het eenvoudig zijn deze te manipuleren wanneer iemand zich voordoet als een manager.

Er zijn genoeg softwarepakketten en diensten die het mogelijk maken het telefoonnummer waarmee gebeld wordt te “Spoofen” (het vervalsen van in dit geval een telefoonnummer), waardoor het lijkt dat dit het nummer van een manager op de andere locatie is.

Als de zogenaamde manager dan in “paniek” belt dat hij per direct toegang moet krijgen tot een bepaald systeem omdat er een storing is op zijn locatie, kan een nieuwe medewerker bezwijken onder de druk van een hoger in functie staande collega. Inloggegevens worden overhandigd om in te loggen op het netwerk, en de buit is al zo goed als binnen.

Het probleem in dit voorbeeld is dus niet de technische beveiliging van de systemen, maar de onzekerheid van een nieuwe medewerker wanneer hij of zij onder druk wordt gezet. Er moeten regels zijn voor dit soort zaken, zodat een nieuwe medewerker zich niet hoeft te schamen wanneer hij “Nee” aan een leidinggevende moet verkondigen.

Zorg er dus voor dat regels omtrent het communiceren van gevoelige informatie duidelijk is voor iedereen.  En dat iedereen zich aan deze regels houdt! 

Openbare oplaadpunten, veilig of niet?

Iedereen kent het wel. Je gaat op reis, en op het vliegveld kom je erachter dat je mobiele apparaat bijna leeg is.  Je gaat dus op zoek naar een oplaadpunt. Over het algemeen zijn deze niet lastig te vinden en oplaadpunten hebben alle aansluitingen van de meest gebruikte apparaten. Je plugt je apparaat in en kan na een half uur toch het vliegtuig halen met een grotendeels opgeladen telefoon.

Waar veel mensen echter niet over nadenken is dat ze in ditzelfde half uur hun persoonlijke apparaat aan een willekeurig  draad hebben gehangen. Zonder erover na te denken wat er wellicht achter het plastic van het oplaadpunt bevindt.

Heb je er bijvoorbeeld wel eens over nagedacht dat er een pc achter zou kunnen zitten? De meeste telefoons koppelen zich als usb-stick, of op zijn minst opslag van persoonlijke foto’s.  Het is mogelijk voor de machine om op deze manier de volledige inhoud van de telefoon te downloaden en zo een kwaadwillende te voorzien van belangrijke informatie.

Een simpel voorbeeld.

Er wordt een oplaadstation in de vertrekhal van een vliegveld geplaatst, welke zo is ingesteld dat deze de Geotag informatie (http://nl.wikipedia.org/wiki/Geotagging) van de foto’s op de telefoon uitleest. Op het eerste gezicht zal hier weinig mis  mee kunnen gaan. Maar wat als het slachtoffer een aantal foto’s van zijn of haar huis heeft? Dan weten ze waar dit huis is en dat de bewoner op dit moment niet thuis is. Een perfect doelwit om eens te gaan kijken of ze dat mooie plasmascherm van de foto kunnen komen “ophalen”.

Het bovenstaande is slechts een voorbeeld van wat er met deze zeer simpel te verkrijgen informatie is te doen, het kan natuurlijk nog veel erger. Zoals het plaatsen van een kwaadaardige code op de telefoon, waardoor er e-mails, sms’jes en telefoongesprekken kunnen worden ingezien of afgeluisterd.

Kortom, oplaadstations zijn  lang niet altijd te vertrouwen. Let dus goed op waar je je apparaat inplugt!

Hackers.. Sensatiezoekers?

Na de verschrikkelijke bomaanslag en schietpartij in Noorwegen heeft het helaas niet lang geduurd, of hackers hebben hier al weer misbruik van gemaakt. Wanneer er gezocht wordt met zoekwoorden welke gerelateerd zijn aan het drama kun je bijvoorbeeld "[video] OSLO Security Camera Captures Blast!" als hit krijgen. Deze, en andere soortgelijke video’s zijn echter niet wat ze pretenderen te zijn. Ze linken naar enquêtes, welke wanneer ingevuld, geld opleveren voor de kwaadwillende en beloven na het invoeren de video te laten zien. Niets is hier minder waar. Na het invullen van de enquête krijgt de gebruiker een IQ test en wordt er gevraagd om het telefoonnummer. Wanneer het slachtoffer dit doet, krijgt hij of zij 4 keer per week een bericht wat je 2 dollar kost.

Ook is er dit afgelopen weekend een andere drama voltrokken. Zangeres Amy Winehouse is dood aangetroffen in haar huis. Ook dit kan leiden tot een stroom van malware, of social engineering aanvallen gespitst op gerelateerde zoekopdrachten.

Let er dus goed op, dat wanneer u naar informatie zoekt, dat u dit via vertrouwde nieuwsbronnen zoekt. Sociale media is hiervoor minder geschikt, met als voornaamste reden dat de informatie door iedereen gepost kan worden, dus ook door kwaadwillende!

Steeds meer gerichte aanvallen op bedrijven.

Waar er vroeger flink op los werd gespamd, lijkt de focus van cybercriminelen de laatste maanden te verschuiven naar het gericht aanvallen van bedrijven en overheidsinstanties.

Door de toenemende anti spam maatregelen is de opbrengst van spam mails sterk gedaald, en zijn cybercriminelen opzoek naar alternatieven. Deze hebben ze gevonden in het uitvoeren van meer gerichte aanvallen op belangrijke doelen.

Bij een gerichte aanval komt echter ook meer kijken dan bij het rondsturen van spam mails. Er zal naar zwakke plekken moeten worden gezocht, manieren om deze te gebruiken en vervolgens moet er waardevolle data aanwezig zijn welke de actie winstgevend maakt.

Kijk bijvoorbeeld naar de hack van het Playstation Network eerder dit jaar, er zijn hierbij een enorme hoeveelheid persoons- en creditcardgegevens buitgemaakt. Deze schat aan informatie wordt in het ondergrondse circuit verkocht voor grote bedragen, en richt zowel bij Sony, als de daadwerkelijke slachtoffers een grote schade aan.  http://tweakers.net/nieuws/74825/sonys-playstation-network-is-weer-volledig-operationeel.html

Ook de korte opleving van de hackgroepering LulzSec draagt hier een steentje aan bij omdat met deze hacks is blootgelegd dat er altijd wel ergens een grote partij is te hacken. http://lulzsecurity.com/releases/ Dit kan in de nabije toekomst weer leiden tot meer soortgelijke hacks door partijen welke door LulzSec zijn geïnspireerd. 

Android, is het wel zo veilig?

Wellicht heb je het gelezen dat er een flinke hoeveelheid applicaties in de Android market zijn geïnfecteerd met een trojan.  Dit is geen goede ontwikkeling voor het platform en wanneer we kijken naar de huidige methode hoe een applicatie op de Market geplaatst kan worden, zal dit steeds vaker voorkomen.

Elke developer kan een applicatie voor de Market schrijven, en hieraan toevoegen. Er is geen controle op deze applicaties zoals dat bij de App Store binnen iOS van Apple wel  het geval is. Door het ontbreken van deze check verwacht David Harley van ESET dat de Android community meer last zal hebben van dit soort problemen, wanneer dit vergeleken wordt met een afgesloten platform gebaseerd op strenge regels, en waar elke applicatie handmatig word toegevoegd.

Gelukkig voor de Android gebruikers zijn de applicaties inmiddels door Google uit de marketplace gehaald en van de telefoons verwijderd, wat de schade zou moeten beperken.

Het probleem blijft echter, dat de exploit zelf nog op zeer veel telefoons aanwezig is en dat een applicatie hier wederom gebruik van zou kunnen maken. Het is in dit geval aan de producent van de telefoon om hier wat aan te doen. Ze keuren een bepaalde versie van het besturingssysteem goed per specifieke telefoon. Dit zorgt er dus voor, dat wanneer een producent de telefoon niet tijdig voorziet van een update, deze telefoon kwetsbaar blijft.

Hier is natuurlijk zelf ook wat aan te doen!

Beveilig je telefoon door deze  te voorzien van de nodige beveiligingssoftware. Veel producenten van beveiligingssoftware zijn dan ook hard bezig(ESET bijvoorbeeld) om voor het Android platform een goede oplossing te maken. Let zoals altijd ook goed op de meldingen die de telefoon geeft, zoals bij het installeren updaten van software wanneer er om bepaalde rechten gevraagd wordt!

Het mobiele werken.

Mobiel werken, iets wat tegenwoordig erg “in” is bij veel bedrijven. Snel de laptop erbij om dat verslag af te maken terwijl je zit te wachten op het station, even je mail checken op de telefoon in de bus naar het werk. We kunnen er niet meer om heen. Iedereen kan overal werken, en het gebeurt dus ook.

Voor systeembeheerders binnen bedrijven brengt dit een flinke lading beveiligingsrisico’s met zich mee. Wanneer iemand bijvoorbeeld zijn iPhone verliest, kan hier redelijk eenvoudig de wachtwoorden uit opgegraven worden(http://www.youtube.com/watch?v=uVGiNAs-QbY) om bijvoorbeeld in te loggen op het domein van het werk. Ditzelfde geld voor verschillende website logins op een laptop, wanneer hier geen rekening mee is gehouden binnen het beleid van het bedrijf.

Er moeten dus aanpassingen gemaakt worden om de impact van dit soort incidenten tot een minimum te beperken. Verschillende telefoonfabrikanten bieden hier tools voor, zo is met HTC in te loggen op een webportal(https://www.htcsense.com/) om verschillende administratieve taken op de telefoon uit te voeren, zoals het wipen van de telefoon. Apple heeft met FindMyIphone(http://itunes.apple.com/us/app/find-my-iphone/id376101648?mt=8) ook deze mogelijkheid.   Blackberry encrypt alle data van en naar haar telefoons. Ook is er, wanneer er met Exchange verbonden is door de telefoon, de mogelijkheid om via Exchange een wipe uit te voeren. (http://technet.microsoft.com/en-us/library/aa998614(EXCHG.80).aspx). Een wachtwoordenkluis zoals KeePass is beschikbaar voor de meeste mobiele platformen. (http://keepass.info/download.html) Het is dan ook aan te raden om deze, of soortgelijke oplossing op een telefoon te gebruiken om de wachtwoorden te beveiligen.

Deze functies zijn natuurlijk handig, maar om echt in kaart te brengen wat de wensen binnen een bedrijf zijn, zal er een audit gedaan moeten worden, welke deze boven tafel krijgt. Met deze informatie is dan te bepalen voor welke producent  en producten gekozen gaat worden. Mensen willen niet beperkt worden in hun werk, en dit zal een grote rol spelen in de toekomst, waar de useability niet gehinderd moet worden door de beveiliging. Om dit te realiseren is een nauwe samenwerking met de producent nodig. Zelf werken wij nauw samen met ESET, de virusbestrijder uit Slowakije. Deze biedt ons de mogelijkheid om input te geven, en probeert daar, waar mogelijk hier ook naar te handelen.

Zorg dus dat je samenwerkt met een betrouwbare partij, welke je in staat stelt snel te schakelen, om zo de maximale useability te behalen, met het behoud van de beveiliging!