Categorie: Uncategorized

123456 meest gebruikte Hotmail wachtwoord

  door

Een onderzoeker die de lijst met gestolen Hotmail wachtwoorden heeft onderzocht, ontdekte dat ‘123456’ het meest voorkomende wachtwoord is en wachtwoorden het vaakst uit 6 karakters bestaan (zie bron).

Het langste wachtwoord was “lafaroleratropezoooooooooooooo”. Dan vraag je je toch af hoe vaak hij een fout maakt bij het aanmelden op Hotmail. Ik hoop dat hij automatisch ingelogd wordt of dat hij zijn Hotmail niet al te vaak gebruikt, je zou er bijna RSI van krijgen. Of bestaat dat niet meer? volgens mij is die hype alweer voorbij. Gelukkig maar, kunnen we gewoon weer aan het werk.

Het kortste wachtwoord bestond uit 1 karakter, “)”. Hierbij denk je dan weer waarom in hemelsnaam een haakje? Zou hij ieder jaar zijn wachtwoord wijzigen en begonnen zijn bij het uitroepteken!? Dan wordt zijn volgende wachtwoord vast “-“. Of hij moet natuurlijk een ander toetsenbord hebben dan mijn laptop. Maar wees eerlijk, dit wachtwoord had je niet snel geraden.

Het meest gebruikte wachtwoord is “123456”, gevolgd door “123456789” en “alejandra”. De eerste twee kan ik me nog indenken, maar waarom in hemelsnaam alejandra in de top 3? Zijn er zoveel Alejandra’s op de wereld? In Nederland in ieder geval niet, in 2008 is de naam aan 1 meisje gegeven en stond daarmee op plaats 4671, kleine kans dus dat je daarmee een Nederlands account kraakt. Of betekent het wachtwoord op zijn Spaans? Eh nee, het betekent: beschermer van de mensheid…maar blijkbaar dus niet beschermer van jouw e-mailberichten.

Er zijn natuurlijk allerlei tips te geven om tot een sterk(er) wachtwoord te komen, sommige zijn handiger dan andere, maar even googelen op “sterk wachtwoord” en het moet toch lukken om een mooi wachtwoord te fabriceren. Als je eenmaal een mooi en moeilijk te raden wachtwoord hebt gekozen kun je via passwordmeter kijken hoe sterk hij is. Heb je liever een Nederlandstalige site dan kun je ook kijken op de tool van VPNMentor.Maak hem niet te moeilijk voor jezelf, want dan schrijf je hem op en dat is natuurlijk ook niet veilig.

Bestuurders steeds vaker slachtoffer geweld

  door

Gelukkig weet nog niet iedereen dat de Tweede Kamer zo slecht beveiligd is (zie het bericht van gisteren) anders zouden ze niet zoveel moeite doen om Burgemeesters en Wethouders te bedreigen.

Zeventig procent van de Burgemeesters en Wethouders zegt vorig jaar te zijn bedreigd, uitgescholden of het slachtoffer te zijn geweest van fysiek geweld, ruim tien procent meer dan in 2007.

Ruim 10% meer dan het jaar 2007!?! Als het zo door gaat wordt 100% van de bestuurders dus in 2010 geschopt, geslagen, bedreigd of uitgescholden. Nou lekker vooruitzicht, of is dat te kort door de bocht? En voor die bestuurders die de ambitie hadden om ooit nog eens in de Tweede Kamer te komen geldt dat daar de deuren helemaal open staan. Ook geen optie dus.

Uit de stukken zou tevens blijken dat de criminaliteit de afgelopen tweeenhalf jaar met zeventien procent is gedaald. Toch is het veiligheidsgevoel onder burgers niet gegroeid. Vooral het geweld tegen winkelpersoneel en de overvallen op winkels en bedrijven zou het kabinet zorgen baren.”

Opmerkelijk dat de criminaliteit met 17% is gedaald terwijl de bedreigingen ten opzichte van bestuurders met 10% is gestegen. Als het zo doorgaat hoeven we ons als burgers dus geen zorgen meer te maken, wij zijn dan geen doelwit meer. Alle agressie richt zich op de bestuurders. Jou kan niks gebeuren, tenzij je ervoor kiest bestuurder te worden. Opeens heb je het: Je wordt conducteur…of toch niet? Met alle berichten over buschauffeurs en NS-personeel dat hardhandig duidelijk wordt gemaakt dat zwartrijden heel modern is. Of vallen die tegenwoordig ook onder de kop bestuurder (van een buschauffeur kan ik me dat trouwens nog voorstellen).

De burgerlijke ongehoorzaamheid…waar zijn de normen en waarden waar JP het in Balkenende I en II zo over had? Zijn we dat inmiddels allemaal alweer vergeten of heeft het kabinet zelfs die doelstellingen niet kunnen bereiken? Gaan we toe naar een maatschappij waarbij je niet meer veilig over straat kunt? En waarbij je een wapen moet dragen om je te verdedigen? Wordt de Bijlmer dan toch representatief voor heel Nederland? Of krijgt Henk Westbroek na al die jaren gelijk en moeten we gaan twijfelen over Belgie.

De beveiliging van de Tweede Kamer is lek

  door

“Het gebouw van de Tweede Kamer staat open voor iedereen die een pasje van iemand leent… Toch best vreemd dat de strengst beveiligde persoon van Nederland, Geert Wilders, zo een makkelijk doelwit kan worden in het hart van de democratie. De tweede Kamer is bij monde van GroenLinks-Kamerlid Ineke van Gent geschrokken van de beelden. Kijk op www.cqc.nl voor de eerste beelden.”

Wat natuurlijk wel heel vreemd en bijna niemand zal weten is: “De Beveiligingsdienst van de Tweede Kamer is dinsdagmiddag 25 november door een vakjury uitgeroepen tot beste Leerbedrijf van het jaar 2008.” Dan ga je je toch afvragen waarom ze daar ooit voor genomineerd en zelfs uitgeroepen zijn. Maar gelukkig staat het antwoord in hetzelfde bericht: De dienst wil dat ze echt alles leren van het beveiligingsvak, van het begin tot het eind. Dat zegt in ieder geval de vakjury van Ecabo.

Gekker wordt het nog als we nagaan dat Kamervoorzitter Gerdi Verbeek in 2008 opdracht heeft gekregen om onderzoek laat doen naar het beveiligingsniveau van de Tweede Kamer. Ben benieuwd naar de uitkomsten van dat onderzoek.

Gelukkig, ze zijn geschrokken van de beelden, zou toch wel een heel erg on-politiek correct antwoord geweest zijn als ze niet geschrokken waren. Of is dit nu wat ze openbaarheid van bestuur noemen?

Maar goed, ze hebben in ieder geval weer een onderwerp waar ze kamervragen over kunnen stellen, hoeven we ons even niet druk te maken over de minder belangrijke zaken als: de financiele crisis, de oorlog in Afghanistan, de pensioenleeftijd, de bonus van Gerrit of de klanten van DSB.

Tegen de Tweede Kamer-leden zeg ik: als jullie mijn hulp nodig hebben (voor de verbetering van de beveiliging of het formuleren van de kamervragen) dan hoor ik het wel.

Spamverbod lost probleem niet op

  door

De overlast die spam veroorzaakt bij internetproviders, bedrijven en consumenten zal ondanks een verbod op deze ongevraagde elektronische berichten niet verminderen, zo bericht nu.nl.

Spam is een wereldwijd probleem. Zolang nog ongeveer 95 procent van het spamverkeer uit het buitenland komt, krijg je de grote bulk aan ongevraagde e-mail nog steeds binnen. Mochten vanaf 2004 consumenten al niet meer zonder toestemming per e-mail en fax worden bestookt met commerciele, charitatieve of ideeele boodschappen (heb jij er iets van gemerkt?), vanaf oktober is het ook verboden mailings naar bedrijven te versturen.
nee

Hartstikke leuk bedacht natuurlijk dat Spam nu “officieel” in Nederland verboden wordt (5% van al het spamverkeer komt dus maar uit Nederland). Maar ik heb nog nooit zoveel aanvragen van bedrijven gehad voor toestemming om mij te mogen blijven bestoken met mailtjes, ook na 1 oktober. Uiteraard mogen diegene die ik ooit zelf gevraagd heb (want ik wil die info graag hebben) mij mailtjes blijven sturen. Wat mij juist opvalt is dat ik ook door bedrijven benaderd wordt, waar ik nog nooit van gehoord heb en die ik zeker nog nooit toestemming heb gegeven. Het lijkt wel of alle bedrijven nog even een sprintje trekken om nog zoveel mogelijk mail de deur uit te doen.

Maar goed, binnenkort, sterker nog: morgen, zijn we daar vanaf (van die 5% tenminste). Blijven we natuurlijk alleen nog zitten met de buitenlandse Spam (95%). De mailtjes voor penisverlengingen, viagra pillen, phisingmails en ga zo nog maar even door blijven gewoon in onze mailbox verschijnen. Chapeau Nederland, een ijzersterke maatregel die de wereld op zijn kop zal zetten. Ehm, heb je er echt zoveel last van? Dan gewoon een spamfiltertje inzetten.

Skimming? Kijk naar Opsporing verzocht

  door

Skimming is een groot probleem en het lijkt wel of het een steeds groter probleem aan het worden is. De banken zijn druk bezig in deze wedloop (die vergelijkbaar is met die van de anti-virus software) maar de skimmers zijn erg inventief. Vanuit een van mijn opdrachten bij een grote financiele instelling heb ik de voorbeelden gezien en geloof me, het is nauwelijks te zien of een automaat voorbewerkt is.

Met de voorbeelden die ik gezien heb, zou je bijna waardering en respect krijgen voor de criminelen. Zo mooi zitten de skimming devices in elkaar. Zelfs voor het getrainde oog is niet snel te zien dat het apparaat bewerkt is. Opsporing verzocht heeft aandacht besteed aan dit fenomeen en ik kan iedereen aanraden om het filmpje even te bekijken. Hier kun je het artikel op security.nl lezen dat hier ook over gaat.

Eigenlijk het belangrijkste advies is om je pincode goed af te schermen. Daarmee kan veel leed voorkomen worden, maar helaas niet al het leed. Gevallen zijn bekend waarbij de skimmers het hele toetsenbord hebben gemanipuleerd, daarbij heeft afschermen van je pincode geen zin meer.

Oh ja, en als je dacht dat een camera wel op viel, vergeet het een voorbeeldje heb ik bijgevoegd:

Het lijkt misschien of het hier alleen de geldautomaten (flappentappen) betreft, maar ook de pinautomaten (die bij de winkels op de toonbank staan) zijn een geliefd doelwit. Bij tuinwarenhuizen wordt bijvoorbeeld ingebroken om de apparaten te manipuleren. Het alarm gaat af, de surveillant komt kijken maar constateert dat er niets gestolen is en dat het wel een vals alarm zal zijn geweest. Een week later wordt weer ingebroken en worden de gegevens gecollecteerd. Daarna worden de gegevens via internet verzonden en wordt je spaargeld in Maleisie of elk willekeurig ander land opgenomen.

En hoewel de banken de schade vergoeden (zodat je er als individu misschien minder last van hebt) betalen we natuurlijk uiteindelijk met zijn allen de schade.

Het belangrijkste advies? Ehm, ach gewoon geen geld meer pinnen of flappentappen…op naar de geldloze economie of terug naar de ruilhandel.

Meld Misdaad (niet) Anoniem

  door

Het incident heeft denk ik zoveel aandacht gekregen dat een toelichting niet meer nodig is, maar goed voor diegene die de afgelopen week in het klooster hebben doorgebracht: een meldster die gebruik maakte van Meld Misdaad Anoniem werd door de politie afgetapt waardoor ze bekend werd.

Tot zover: ach, kan gebeuren, toch? Ehm, toch wel een erg pijnlijke fout omdat hiermee het hele principe van Meld Misdaad Anoniem om zeep wordt geholpen. Maar wat heeft dit nu met dit blog te maken zul je denken. Ten eerste omdat beveiliging en misdaad toch wel erg dicht bij elkaar liggen en ten tweede (veel belangrijker voor dit blog) omdat we zien dat beveiliging juist door dit soort incidenten ondermijnd wordt. Te vaak zien we dat incidenten onder de pet worden gehouden, afgezwakt of goed gepraat worden. Nee dit zou de doodsteek voor Meld Misdaad Anoniem kunnen zijn, net zo goed als het luchtig omgaan met beveiligingsincidenten binnen organisaties de doodsteek voor beveiliging (en de organisatie) kan zijn.

Hier moet ruchtbaarheid aan gegeven worden en het zou Balkenende niet misstaan als hij nu eens flink ging schreeuwen tegen de verantwoordelijke Minister (kan hij gelijk zijn misstappen van de afgelopen weken goed maken, zet hem op JP). Vergelijkbaar met organisaties wat mij betreft: de directie moet de incidenten niet onder de pet houden, maar moet de verantwoordelijke manager of medewerker terecht roepen, maatregelen nemen en het incident openbaar maken. Denk je eens in als de kans bestaat dat een dergelijk incident ooit openbaar wordt, de imagoschade is niet te overzien.

Minder mensen zullen het je kwalijk nemen dat een incident zich voordoet (dat heb je nu eenmaal met mensenwerk), wel zullen de mensen het je kwalijk nemen als je er niet open over bent. Was er niet zoiets als openbaarheid van bestuur? Mensen zullen het vertrouwen in je organisatie kwijt zijn en probeer dat nog maar eens terug te winnen.

In Engeland en Amerika bijvoorbeeld moeten organisaties incidenten openbaar maken waarbij sprake is van schending van persoonsgegevens (of in gewoon nederlands/engels: privacy). Waarom is dat in Nederland nog niet het geval? Als er een politicus/politica mijn stem wil krijgen voor de volgende verkiezingen dan moeten ze hier een programmapunt van maken en er voor zorgen dat het ook werkelijkheid wordt (dus niet zoals nu iets beloven en er vervolgens in de onderhandelingen aan toe geven). Nee, stel organisaties verplicht om incidenten openbaar te maken, dan levert de potentiele doodsteek van Meld Misdaad Anoniem de maatschappij toch nog iets goed op.

Laptop laat huisarts op patientendossier inloggen

  door

Daar gaan we weer (lees hier het artikel op security.nl en kijk dan ook gelijk even naar de reacties die er onder staan).

Hartstikke handig natuurlijk dat de huisarts via UMTS bij jouw gegevens kan, dan kun je direct geholpen worden als dat nodig is. Begrijp me goed, ik ben absoluut voorstander van een efficiënte benadering zodat de huisarts direct zijn werk goed kan doen (en ja een fax is inderdaad wat uit de tijd). Ik ben ook zeker geen tegenstander van het fenomeen Elektronisch Patiënten Dossier, maar ben toch wel heel benieuwd hoe veilig deze verbinding en de laptop van de huisarts is. Hopelijk heeft die huisarts geen peer-to-peer (bijv. LimeWire) verbinding openstaan zodat de medisch geheime gegevens van ons allen bekend raken.

Het is zeker geen sinecure om een veilig Elektronisch Patiënten Dossier te maken, maar ik heb de afgelopen tijd al meerdere incidenten voorbij zien komen en ik hou mijn hart vast (om maar in medische termen te blijven). De schuld schuiven we al heel snel naar de overheid (ze kunnen het niet, het is te duur, etc.), maar moeten we ook niet eens bij onszelf te rade gaan? Moeten we zelf niet bereid zijn er voor te betalen om het veilig te houden? Of moet het niet gewoon uit de ziektekosten gehaald worden? Ik ben best bereid een bijdrage te leveren aan de bescherming van mijn gegevens, mits dat natuurlijk dan ook gegarandeerd wordt.

Maar goed, diegene die angstig worden en tegen dit Elektronisch Patiënten Dossier zijn moeten ook even bedenken dat dit systeem in zijn totaliteit misschien veiliger is dan de oude kaartenbak. Even bellen met de huisartsenpraktijk, je voordoen als dokter weet-ik-veel-wie en gegarandeerd dat het lukt om achter vertrouwelijke gegevens te komen. Bij het Elektronisch Patënten Dossier kunnen ze nog autorisaties toe kennen en kan je achteraf nagaa wie jouw gegevens heeft ingezien, dat kan bij de kaartenbak echt niet.

Kortom: ook ik heb mijn twijfels bij de beveiliging van het Elektronisch Patiënten Dossier, maar denk dat we naïef zijn als we deze ontwikkeling willen stoppen. Ik vind uiteraard wel dat ze het zo veilig mogelijk moeten maken, maar denk dat de kaartenbak toch meer risico’s in zich heeft. Met een goede afscheiding die bestaat uit (technische, procedurele en organisatorische maatregelen) moet het mogelijk zijn om de verzekeraars van onze gegevens weg te houden.

Nu maar hopen dat de pc’s in de ziekenhuizen zelf voldoende beveiligd zijn want via de bezoekkamers kom ik op dit moment makkelijker in een pc dan via een ingewikkelde technische kraakpoging. Maar goed, de fysieke beveiliging van ziekenhuizen en het bewustzijn bij de ziekenhuismedewerkers is een ander probleem. Gelukkig hebben de ziekenhuizen de afgelopen jaren wat vooruitgang geboekt maar net als voor alle andere organisaties zijn er nog vele stappen te zetten. Ik wens ze succes en als ze vragen hebben dan mogen ze me altijd contacten…mijn handschrift is bijna net zo goed als dat van een dokter, misschien dat ze de adviezen begrijpen.

Geen jaarlijkse ontruimingsoefening bij 60 procent organisaties

  door

Volgens een steekproef van de Brandwondenstichting onder vijfhonderd instanties, waaronder ziekenhuizen en scholen, oefent 40% van de organisaties jaarlijks een ontruimingsoefening. De andere 60% doet dat dus niet (bron). Volgens de gemeentelijke verordening Brandveiligheid en hulpverlening moet de BHV-organisatie van een bedrijf jaarlijks een ontruimingsoefening houden.

Jammer genoeg blijkt uit de tekst niet waarom organisaties geen ontruimingsoefeningen houden. Weten ze niet dat het verplicht is? Hebben ze geen BHV-organisatie die het voor ze regelt? Vinden ze het te lastig? Of misschien vinden ze het wel te duur. Als er binnen jouw organisatie geen ontruimingsoefening wordt gehouden is het tijd om de BHV-organisatie daar op aan te spreken. Tot die tijd kun je zelf ook maatregelen nemen door vanaf je werkplek eens goed om je heen te kijken.Weet je waar de nooduitgang is? Weet je hoe je zo snel mogelijk het gebouw kunt verlaten? Zorg ervoor dat je zelf weet hoe je je in veiligheid kan brengen.

Hopelijk blijft het bij een oefening en hoef je het nooit in de praktijk te brengen. Want geloof me, een oefening gaat er heel anders aan toe dan een echte brand.

NFI kraakt encryptiesleutel pedofiel

  door

Het Nederlands Forensisch Instituut (NFI) heeft de encryptiesleutel waarmee een 42-jarige computerprogrammeur uit Sliedrecht zijn kinderpornoverzameling versleutelde, weten te kraken. Een deel van de collectie is nu ontsleuteld en volgens justitie gaat het om tenminste 7,5 miljoen afbeeldingen, meer dan in de landelijke database van de politie is opgeslagen. Oorspronkelijk dachten experts dat het jaren zou duren om de sleutel te kraken. Het Openbaar Ministerie eiste eind mei vier jaar cel en tbs tegen de man (bron).

Natuurlijk moet je een pedofiel straffen met de hoogst mogelijke straf, daar hoeven we wat mij betreft geen discussie over te voeren. Waar we wel bij stil moeten staan is het feit dat de encryptiesleutel gekraakt is. Dat is relevant omdat we encryptie nu juist toe passen om onze vertrouwelijke gegevens te beveiligen. Als dat gekraakt wordt moeten we ons daar bewust van zijn. Niet alleen het NFI maar allerlei (overheids)instellingen zijn in staat om de gegevens te ontsleutelen. Daar gaan onze staatsgeheimen. Andere, buitenlandse, instellingen zijn in staat om onze staatsgeheimen in te zien. Ehm, information warfare. Toch maar weer terug naar de tijd van de typemachine waarbij de gegevens veilig in een kluis lagen opgeborgen?

Dienstverlener gijzelt klantendatabases

  door

Een groep Amerikaanse advocatenkantoren heeft een administratieve dienstverlener aangeklaagd omdat die gevoelige klantgegevens in gijzeling houdt en negen miljoen dollar niet wil teruggeven (bron). De dienstverlener verzorgde de administratie voor de advocatenkantoren, die zich bezighouden met het geven van juridisch advies aan rood staande consumenten. Inmiddels heeft de dienstverlener z’n deuren gesloten, maar wil twee databases met de gegevens van 20.000 klanten van de advocatenkantoren en de negen miljoen dollar niet teruggegeven.

Een belangrijk punt om over na te denken als we taken gaan uitbesteden. Naast de vraag wie er juridisch eigenaar van de informatie is speelt ook de vraag hoe om moet worden gegaan als de leverancier de gegevens niet meer beschikbaar wil stellen (of ze bijvoorbeeld kwijt raakt na een technische storing). De dienstverlener bestaat inmiddels niet meer, dus er kan ook geen aanspraak meer gemaakt worden. Belangrijk om naast de contractuele afspraken ook zelf te zorgen voor backup van gegevens…terwijl je dat nu juist graag allemaal uit wilde besteden.