Hacker ontdekt lek in 4 miljoen hotelkamers

Misschien zit je deze week wel heerlijk te genieten van je wel verdiende vakantie. En nu wil ik je niet de stuipen op het lijf jagen, maar misschien is het goed als je toch even onderstaand bericht leest.

Een werknemer van Mozilla zal vanavond een kwetsbaarheid in de elektronische sloten van zeker vier miljoen hotelkamers demonstreren. Het gaat om twee problemen die de 24-jarige Cody Brocious ontdekte en waardoor het mogelijk is om wereldwijd in hotels deuren te openen. Het gaat om de sloten van fabrikant Onity, die volgens het bedrijf op tussen de vier en vijf miljoen deuren wereldwijd geïnstalleerd zijn (bron).

Nu is natuurlijk de vraag wat veiliger is? Een deur met een slot dat makkelijk te flipperen is of een elektronisch slot dat wat moeilijker te kraken is? Zaak is wel dat je goed op je spullen moet letten als je je hotelkamer verlaat. Maar moest je dat niet altijd al? Konden de schoonmakers en de technici van het hotel toch al niet je kamer in?

Vreemd overigens hoe snel je je thuis kan voelen in een hotelkamer. Je laat je spullen slingeren en denkt er te weinig bij na. Maar voor de schoonmaker ligt er veel interessants in je kamer en toon jij nog maar eens aan dat hij of zij het gestolen heeft? Wie is er eigenlijk verantwoordelijk en denkt de directie van het hotel daar ook zo over?

Een gewaarschuwd mens telt voor twee dus als je je hotelkamer verlaat dan berg je je spullen netjes op in de hotelkluis (hoewel je je daar natuurlijk ook direct bij afvraagt hoe veilig die is, daar hebben ze ook de code van) of je neemt je spullen mee als je op stap gaat. Weeg even af wat je veiliger vindt en dan zal het allemaal best goed komen deze vakantie.

Hacktool voor slimme meters gelanceerd

Het is alweer een poosje stil rondom de slimme meters maar we hadden het hier tijden geleden al over en we konden erop wachten tot er een tool ontwikkeld was waarmee de slimme meters gehackt kunnen worden.

Een beveiligingsonderzoeker die slimme energienetwerken onderzoekt heeft een tool gelanceerd om de veiligheid van slimme meters te testen. De Termineter tool is ontwikkeld door Spencer McIntyre, lid van het SecureState’s Research & Innovation Team (bron).

Het is nu nog wachten op het moment dat deze (of een andere) tool vrij op de markt beschikbaar komt. Lukt dat dan kunnen niet alleen de energiebedrijven de meters testen maar kunnen ook hackers de meters beïnvloeden. Maar omdat we nu nog fysieke toegang tot de meter nodig hebben, zullen het eerst de bewoners van de huizen zijn die gaan proberen om de meters te beïnvloeden. Dat deden we vroeger door de meter om te draaien of door magneten strategisch in de meterkast te plaatsen. Nu kunnen we het straks gewoon met onze laptop doen.

Dan zijn de Energieleveranciers weer aan bod en die zullen er weer tools tegenaan moeten gooien om fraude op te sporen. Zo wordt er weer flink met geld heen en weer geschoven en is de wedloop, die we binnen de anti-virus wereld al jaren kennen, ook gestart voor de energie meters.

Ik ben blij dat mijn energieleverancier nog gewoon een domme meter gebruikt. Ik hoef me er voorlopig niet druk om te maken. Heb jij al wel een slimme meter dan zou ik de komende jaren het verbruik maar eens goed in de gaten houden en vergelijken met de gegevens uit het verleden. Zo voorkom je misschien dat je maandelijkse lasten flink omhoog gaan.

Hacken? Dat gebeurt mij toch niet?

Bij hacking is het nog te vaak de gedachte dat het altijd een ander overkomt en mij (of jou in dit geval) niet. Komen er weer eens gegevens op straat dan is dat toch vaak van een site die we zelf nog nooit bezocht hebben.

Daarom vandaag onderstaand bericht die het voor jou misschien allemaal wat dichterbij plaatst.

Gegevens van 84.000 klanten van Bol.com waren toegankelijk na een lek bij een partner van de webwinkel. Het lek is inmiddels gedicht. Het gaat om klanten die hebben meegedaan aan een actie eind vorig jaar met de naam Warm Welkom. De naam, geboortedatum, het e-mailadres en het geslacht van deelnemers werden opgeslagen in een database bij een partner van Bol.com (bron).

Eerlijk is eerlijk. Bol.com is een grote jongen en veel van ons hebben daar wel eens spullen aangeschaft. Zelden horen we slechte berichten en ze leveren netjes wat ze beloofd hebben. Ja, ook ik ben een grote fan van Bol.com en kijk er altijd naar uit als er weer een pakketje bezorgd is. Maar ook een bedrijf als Bol.com ontkomt er niet aan.

En nee, het mag dan zo zijn dat ze zelf niet gehackt zijn maar zijn zij ook niet verantwoordelijk voor hun leveranciers? Sterker nog. Juist een bedrijf als Bol.com, dat met name bestaat bij de gratie van haar leveranciers moet er op toezien dat ook die zich aan de regels houden.

Het imago is een kostbaar goed en Bol.com heeft er jaren hard aan gewerkt om dat imago te krijgen waar het nu is. Het kan niet zo zijn dat een leverancier te makkelijk met de beveiliging omgaat waardoor het imago van Bol.com een deuk oploopt.

Overigens zal dat met dit bericht nog meevallen. Het imago van Bol.com is te goed en het bericht is te klein (en te snel weggemoffeld). Slechts weinig mensen zullen dit bericht hebben gelezen. Laat het daarom een goede waarschuwing zijn voor alle bedrijven die zaken doen met leveranciers (ieder bedrijf) en dat hiervoor gegevens deelt met die leverancier (ook ieder bedrijf).

Je kunt zelf je informatiebeveiliging nog zo goed op orde hebben, als je leveranciers dat niet hebben loop je nog steeds een groot risico. Daarom goede afspraken maken met je leveranciers, ook als het gaat om informatiebeveiliging. Ook periodiek controleren of je leveranciers wel aan jouw standaarden voldoen. En hebben we het over dit soort standaarden dan moet je er als bedrijf natuurlijk zelf ook voor zorgen dat je informatiebeveiliging op orde is.

Het staat nogal knullig als jij het slechter voor elkaar hebt dan je leveranciers. Informatiebeveiliging kunnen we pas goed regelen als we het in de keten aanpakken en daarvoor moet de sterkste schakel in die keten (en dat is in dit geval Bol.com) voorop lopen en het goede voorbeeld geven.

Nou, van mij krijgen ze nog het voordeel van de twijfel maar als het vaker gebeurt dan ga ik toch eens kijken wat er nog meer op internet te halen is bij concurrenten van Bol.com.

Elke gemeente moet eigen hacker krijgen

Elke Nederlandse gemeente zou eigen hackers in dienst moeten nemen, aldus burgemeester Han Polman, tevens bestuurslid van de Vereniging Nederlandse Gemeenten (VNG). De DigiNotar-affaire en Lektober liggen bij veel gemeenten nog vers in het geheugen. Ook de beveiliging van SCADA, de systemen die kritieke infrastructuur zoals dijken en sluizen besturen, zou op veel locaties te wensen overlaten (bron).

Op het eerste gezicht misschien een erg positief bericht voor “onze” branche, maar als we er wat dieper op ingaan dan kunnen we toch wat vraagtekens zetten bij deze uitlating. Ik kan natuurlijk afsluiten met de conclusie, maar ik haal hem voor vandaag naar voren en zal dan aangeven waarom ik deze conclusie trek:
Niet iedere gemeente moet zijn eigen hacker krijgen, nee, iedere gemeente moet zijn verantwoordelijkheid nemen en de informatiebeveiliging op orde hebben. Hoe ze dat doen is een andere vraag.

Ok, hier gaan we. Op 1 januari 2012 telde Nederland 415 gemeenten. Dat is al een eerste reden dat niet iedere gemeente een eigen hacker moet krijgen. Ik vraag me af of er zoveel (goed opgeleide) hackers (met goede bedoelingen) in Nederland te vinden zijn. Overigens is de kleinste gemeente de gemeente Schiermonnikoog met 950 inwoners, knappe jongen als je daar een serieuze hacker weet te vinden.

Een tweede reden ligt misschien erg voor de hand, maar ook niet iedere gemeente heeft een gemeentelijke inbreker om te controleren of alle gebouwen en huizen in deze gemeente wel inbrekersproof zijn. Sterker nog, niet iedere gemeente heeft een Security Manager of Officer. Wie moet die hacker dan aan gaan sturen en volgens welk beveiligingsbeleid moet hij of zij dan gaan werken? Dan is dan ook direct de derde reden: het ontbreken van een goed beveiligingsbeleid.

Overigens beweer ik ook niet dat iedere gemeente een Security Manager zou moeten hebben. Voor de kleinere (en misschien zelfs middelgrote) gemeenten is dat niet nodig. De taken kunnen we gemakkelijk bij iemand beleggen, de daadwerkelijke invulling kunnen we best uitbesteden. We willen immers niet dat die Security Manager en die hacker zich te pletter gaan vervelen want dan vormen ze wellicht een groter risico dan een beveiligingsmaatregel. Nog een reden dus: is er wel genoeg werk voor die hacker? En overleeft hij de volgende reorganisatie dan wel?

Dan is er nog een reden om terughoudend te zijn met het aannemen van hackers. Dat is misschien een definitie kwestie, maar wel een die we in het aanname beleid goed moeten controleren. Er zijn zogenaamde white hat hackers en black hat hackers (ook wel crackers). Die laatste categorie wordt gedreven uit crimineel, ideologisch of vernielzuchtig oogpunt. Het lijkt me dus verstandig even na te gaan tot welke categorie de sollicitant zich rekent en misschien kan een Verklaring Omtrent het Gedrag ook geen kwaad (waarbij we er natuurlijk rekening mee houden dat een VOG alleen maar aangeeft dat iemand in het verleden nooit voor dit soort vergrijpen is opgepakt…het zegt niet automatisch dat hij nooit de wet heeft overtreden).

Hoewel we vast nog veel meer redenen kunnen bedenken, sluiten we af met deze: wie controleert de controleur? Wie kan er toezicht houden op de hacker en zijn of haar activiteiten? We kunnen wel allerlei protocollen en richtlijnen afspreken (hoewel die voor veel gemeenten ontbreken op dit moment), maar hoe weten we zeker dat de hacker zich daar aan houdt? Hoe weten we zeker dat hij genoegen neemt met zijn ambtenaren salaris en toch niet een beetje bij wil verdienen? Het grootste gevaar is nog altijd een intern gevaar en zeker als het om dergelijke techneuten gaat kan dat grote risico’s opleveren voor de gemeente.

Nee, het lijkt een leuke uitspraak en grotere gemeenten kunnen het wellicht overwegen, maar de rest moet gewoon de kaders stellen en de expertise van buiten halen (en natuurlijk mag je me daar altijd even voor bellen, ik weet nog wel een paar goede white hat hackers).

NCSC geeft beveiligingsrichtlijnen voor webapplicaties uit

Nu we deze week gezien hebben dat we niet alleen de schuld bij de website eigenaren neer kunnen leggen maar zelf ook onze verantwoordelijkheid moeten nemen, sluiten we de week af met de richtlijnen voor webapplicaties. Daar kun je als consument misschien wat minder mee, maar voor alle website eigenaren geldt dat de ogen geopend moeten worden.

Het Nationaal Cyber Security Centrum heeft ICT-beveiligingsrichtlijnen voor webapplicaties uitgegeven. De beveiligingsrichtlijnen voor webapplicaties van het NCSC vormen een leidraad voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur (bron).

Nu zouden we natuurlijk kunnen denken dat geen enkele website eigenaar aan dergelijke richtlijnen kan voldoen. Hij of zij heeft een geweldig idee en ontwikkelt daar een mooie website bij. Toegegeven, dat behoort inderdaad tot de mogelijkheden. En eerlijk gezegd hoop ik dat dergelijke innovators inderdaad niet direct gegrepen worden door een hacker.

Maar bedenk ook dat veel, reeds bestaande organisaties, de weg naar het internet gevonden hebben. Deze maken de website niet op een zolderkamertje maar hebben er een afdeling voor zitten of besteden het uit aan een gespecialiseerd bedrijf. Voor die gevallen kunnen we beveiligingsrichtlijnen wel degelijk in de ontwikkeling worden meegenomen.

Alleen moeten we dan beseffen dat we niet voor een dubbeltje op de eerste rang kunnen zitten. Ontwikkelen kost nu eenmaal geld en veilig ontwikkelen kost nu eenmaal nog wat meer. Maar een van de functionele eisen die je aan de opdrachtnemer mee kunt geven is dat de webapplicatie aan richtlijnen van het NCSC moet voldoen. Voldoet het niet? Dan nemen we het niet in beheer en krijgt de opdrachtnemer niet betaald. Klinkt hard, maar zo simpel zou het kunnen zijn.

Ja, natuurlijk schrijf ik: zou het kunnen zijn. Ik besef me ook wel dat de commercie nu eenmaal vaker de overhand heeft dan de beveiliging. We moeten zo snel mogelijk met onze site online en als daar de beveiliging voor moet wijken, dan is dat maar zo. Klinkt ongeloofwaardig? Ja, ben ik met je eens. In dit geval maakt men tenminste nog een bewuste keuze voor een lager niveau van beveiliging. In het merendeel van de gevallen staat men nog helemaal niet stil bij de beveiliging.

Ach, zolang zowel de opdrachtgever als de opdrachtnemer voor het ontwikkelen van een website nog de Euro-tekens in de ogen hebben, zal beveiliging altijd het ondergeschoven kindje blijven. Jammer, maar voorlopig waarschijnlijk wel de waarheid.

Maar zeg niet dat je niet gewaarschuwd bent en zeg niet dat er geen hulpmiddelen aanwezig zijn, want die zijn er genoeg. We moeten ze alleen willen ontdekken en we moeten accepteren dat het veilig ontwikkelen van nieuwe applicaties nu eenmaal wat langer duurt en wat meer kost. Doen we dat niet dan zijn we “Penny wise, pound foolish” en kunnen we er bijna op wachten tot we gegrepen worden.

Wie weet: binnenkort naast een Thuiswinkel.org keurmerk ook een NCSC-keurmerk? Ik kijk er naar uit.

Pas op: de printer staat in de brand

Studenten aan de de Universiteit van Columbia zijn er in geslaagd om de besturing van printers op afstand te beïnvloeden. Zij toonde ook aan dat het vrij eenvoudig is om via een printer in te breken in computernetwerken. Zelfs het op afstand in de brand zetten van een printer, is mogelijk. Daarvoor laat je de printerkop steeds op 1 plek printen met het doel dat deze oververhit raakt en in brand vliegt.(bron)

Natuurlijk weten wij al jaren dat het via printers, kopieerapparaten, koffiezetautomaten en allerlei andere randapparatuur mogelijk is om op het netwerk in te breken. Dat zijn niet de automaten waar we het eerst aan denken als we aan informatiebeveiliging gaan doen maar we moeten ze niet uit het oog verliezen.

Maar dat het ook mogelijk is om op afstand een printer in de brand te steken was ook voor mij wel weer even een eye opener. Op zich natuurlijk ook wel weer logisch maar dit risico stond ook nog niet op mijn “standaard lijstje”. Eigenlijk is het wel erg simpel: zorg ervoor dat de printer oververhit raakt en na verloop van tijd zal hij in de brand vliegen.

We moeten nu dus niet alleen vrezen voor een inbraak via dergelijke apparatuur waarbij onze informatie op straat raakt maar we moeten er ook voor waken dat er geen brand uitbreekt want dan zijn de gevolgen al helemaal niet meer te overzien.

Dat werpt toch weer een heel ander licht op het volgende artikel dat ik tegen kwam: De schade door grote branden bedroeg in 2011 circa 345 miljoen euro. Dit zijn branden met een geschatte schade van meer dan één miljoen euro(bron).

Hier ging het om 91 gevallen die voor een gezamenlijke schade van 345 miljoen zorgen, dat betekent dus zo’n 3,8 miljoen euro per geval. Daar kunnen we natuurlijk snel overheen stappen, maar we kunnen dit soort cijfers ook in ons achterhoofd houden bij onze risico analyses.

We klagen vaak dat er te weinig gegevens beschikbaar zijn om de kans en impact van een dreiging te kunnen berekenen. Met dit gemiddelde schadebedrag komen we misschien weer een stapje verder. En vraag je eens af: overleeft jouw organisatie een grote brand met een schade van 3,8 miljoen? En zo ja, hoe lang kunnen we dan zonder ons gebouw en welke omzet lopen we mis in die periode? Grote kans dat de organisatie een grote brand helaas niet overleefd.

We weten nu in ieder geval dat we ook goed moeten kijken naar onze printers en de brandveiligheid daarvan. Niet dat de kans nu ineens zo enorm vergroot is dat we ons acuut zorgen moeten maken, want laten we wel reëel blijven. Het is dus slechts informatie die we toe kunnen voegen aan onze standaard risico analyse. Weer wat geleerd, zullen we maar zeggen.

Website voor veilig internetten gehackt

Een website van de Bahreinse telecomwaakhond die veilig internetten moet bevorderen, was gisteren het doelwit van hackers. Aanvallers wisten toegang tot de website safesurf.bh te krijgen en defaceden de pagina, waarop alleen een zwarte achtergrond met een doodshoofd en de tekst “[+] P4TI_hackers was were [+]. Indonesian hacker team” te zien was. Na een aantal uur was het probleem opgelost (bron).

Ai, dat is natuurlijk pijnlijk. Probeer je mensen er juist op te wijzen hoe ze veilig kunnen internetten, wordt je zelf het slachtoffer. Hoge bomen vangen veel wind zullen we maar zeggen. En natuurlijk kunnen we zeggen dat ze de beveiliging dan maar beter op orde hadden moeten hebben, maar is dat wel terecht?

Kan niet iedere website uiteindelijk platgelegd worden? Ik denk het wel. Helaas is het zo dat het voor dit soort sites dan nieuws wordt maar dat wil natuurlijk niet zeggen dat we geen initiatieven moeten nemen om mensen te wijzen op veilig internet. En laten we eerlijk zijn, is het nu echt zo erg als een dergelijke website een paar uur uit de lucht is?

Vergelijk het met de best bewaakte locatie, hoewel mensen daar niet binnen kunnen komen, kunnen we wel de bedrijfsvoering ontregelen. Ze kunnen de muren bekladden en blokkades opwerpen om te voorkomen dat mensen het gebouw kunnen betreden. Ja, dan kun je je beveiliging nog zo goed op orde hebben, maar echt tegenhouden kun je dit soort zaken niet.

Kortom: een beetje lullig is het wel, maar ik vind dat we er nu ook weer niet te zwaar aan moeten tillen. Opnieuw in de lucht brengen en weer vrolijk doordraaien…zal ongetwijfeld nog een keer gebeuren en dat moeten we dan maar accepteren.

Hackers gevaarlijker dan bankovervallers

Hackers hebben in het derde kwartaal van 2009 meer geld van Amerikaanse bedrijven gestolen dan bankovervallers deden, dat blijkt uit cijfers van de Federal Deposit Insurance Corporation (FDIC). Cybercriminelen maakten 25 miljoen dollar buit, terwijl bankovervallers in dezelfde periode niet verder dan 9,5 miljoen dollar kwamen (bron).

Over de titel kun je wat mij betreft twisten…wat verstaan we onder gevaarlijker? Dat de buit groter is, is blijkbaar een feit. Maar onder gevaarlijker versta ik toch iets anders.

Als ik dan toch moet kiezen tussen deze twee kwaden dan liever slachtoffer van een hacker dan een bankovervaller. Ik zit echt niet te wachten op een pistool tegen mijn hoofd.

Op zich is het natuurlijk appels met peren vergelijken. Een bankoverval is een fysieke overval terwijl een hack aanval gewoon van achter je beeldscherm plaatsvindt. De profielen van beide aanvallen kun je echt niet met elkaar vergelijken. Ik moet de eerste bankovervaller nog zien die besluit om een carriere move te maken in de richting van hacking en ik moet de eerste hacker nog tegenkomen die besluit om fysiek een bank te overvallen.

Als we nog even terugkijken naar een bericht eerder deze week dan is een buit van 25 miljoen dollar een schijntje bij de 500 miljoen euro de met skimming in Europa alleen al wordt buitgemaakt. En ja ik ben me er goed van bewust dat dit al helemaal bananen met kiwi’s vergelijken is (Amerika versus Europa, hacking versus skimming) maar goed dat doen ze in het originele nieuwsbericht toch ook.

Het is een interessant bericht, maar als ik heel eerlijk moet zijn geloof ik geen snars van die 25 miljoen dollar buit. Dat is in de echte wereld vele malen meer, geloof me. De rest van de incidenten en schade wordt gewoon onder de pet gehouden. Ik denk eerder dat het het 100-voudige moet zijn als we echt naar de schade gaan kijken en misschien nog wel meer.

Webwinkels laks met afschermen personalia

De meeste webwinkels zijn laks met het afschermen van personalia. Die conclusie trekt het AD vrijdag uit eigen onderzoek. De krant nam twintig onlinewinkels onder de loep. Op veertien ervan kon een door de krant ingeschakelde hacker alle ingevulde persoonsgegevens onderscheppen. Onder meer Bart Smit, Albert Heijn en V&D worden als zondaar bestempeld. Bij Free Record Shop, Kijkshop en Overtoom worden zelfs gebruikersnamen en wachtwoorden onbeveiligd verzonden. Persoonsgegevens moeten onzichtbaar zijn voor buitenstaanders. Positieve uitzonderingen zijn bol.com, Hema en Christine le Duc.

Beveiligingsmaatregelen behoren al in de ontwikkelfase van webwinkels te worden meegenomen. Te vaak zien we nog dat vergeten wordt de beveiliging mee te nemen bij de ontwikkeling. Ofwel worden maatregelen pas genomen net voordat een webwinkel operationeel wordt of in deze gevallen pas nadat de webwinkel live is gegaan en klanten hun persoonsgegevens hebben achtergelaten.

Volgens keurmerkorganisatie Thuiswinkel gaat het om onwetendheid. De organisatie gaat daarom een checklist opstellen voor haar leden. Voor klanten is het keurmerk dus geen waarborg voor een veilig omgang met hun gegevens, sterker nog een klant kan zelf niet zeker stellen dat er vertrouwelijk met de gegevens wordt omgegaan. Het is de taak van organisaties met webwinkels om hun verantwoordelijkheid te nemen. Onwetendheid is hierbij geen argument, er zijn voldoende deskundigen te vinden die ze hier graag bij willen helpen. Organisaties als bol.com, Hema en Christine le Duc, die het beter voor elkaar hebben, zien blijkbaar in dat beveiligingsmaatregelen ook als business enabler ingezet kunnen worden.