Tag: onveilig

Hardware veel onveiliger dan software

  door

Eind vorig jaar kwam het onderstaande bericht al voorbij. Maar omdat we deze week bezig zijn met het aanvullen van ons lijstje risico’s, kan deze niet ontbreken.

Hackers zullen zich in 2012 massaal op hardware richten, aangezien fabrikanten zeker tien jaar achterlopen in vergelijking met softwareleveranciers. Dat is een voorspelling van Michael Sutton van beveiligingsbedrijf Zscaler Research (bron).

De moraal is natuurlijk dat we niet de beveiliging van software uit het oog moeten verliezen (want daar is nog genoeg mis mee), nee, we moeten simpelweg de hardware aan ons lijstje toevoegen. Denk aan allerlei apparatuur als printers, routers, servers maar ook kopieerapparaten en koffiemachines mogen wat mij betreft tegen het licht worden gehouden.

Natuurlijk loop je meer risico met netwerkapparatuur waarop bedrijfsinformatie staat en natuurlijk is het nog een ver van mijn bed show dat we aangevallen worden via koffiemachines. Toch zit er aan een koffiemachine een directer risico. We hebben het in het verleden wel eens aangehaald, maar zullen er nog een keer kort op ingaan.

De kans is groot dat onze koffie leverancier op afstand kan kijken wat er met de machine aan de hand is. Op afstand wordt het aantal geschonken bakjes koffie uitgelezen en jouw bedrijf krijgt daarvoor de rekening gepresenteerd. Maar wat als de leverancier de cijfertjes een beetje beïnvloed en naar boven toe afrond? Ben jij in staat om te controleren of de cijfers kloppen? En als de leverancier via het netwerk de machine kan benaderen, kunnen de criminelen dan niet via die netwerkverbinding ons netwerk binnen dringen?

Voor de kopieerapparaten geldt natuurlijk hetzelfde. De leverancier ziet het aantal kopietjes en printjes op afstand en jij betaald per pagina. Maar de kans is ook aanwezig dat de informatie die geprint of gekopieerd is op afstand is uit te lezen. In dergelijke apparaten zit een harde schijf en als het de leverancier of een crimineel lukt om de informatie uit te lezen dan ligt de informatie op straat.

De hardware wordt nu ook aan ons lijstje toegevoegd en de software blijft gewoon op ons lijstje staan. De kans en de impact schatten we. Maar als ons lijstje wordt uitgebreid moeten we ook de prioriteiten gaan stellen. We kunnen niet alle risico’s tegelijk aanpakken en dat is ook helemaal niet nodig. Met de inschatting van de kans en impact (op een 5-puntsschaal) ontstaat ook direct een prioriteitenlijst. De risico’s met de hoogste score pakken we het eerst op.

Logisch, toch? Ja, als je het zo ziet en leest wel. Maar ook hier is de praktijk weer een stuk lastiger. Nog te vaak zien we dat we wel risico’s aan het afdekken zijn maar dat het niet noodzakelijkerwijs de risico’s met de hoogste score zijn. Nee, veelal zijn het de risico’s die we het makkelijkst op kunnen lossen (het zogenaamde low hanging fruit), de meer ingewikkelde risico’s schuiven door omdat we daar meer budget of meer denkkracht voor nodig hebben.

Zonde, want hiermee lopen we weer in dezelfde cirkel als we de afgelopen jaren hebben gedaan. We verzanden (of verzuipen) in beveiligingsmaatregelen en verliezen de risico’s uit het oog. Mag ik je er nog even aan helpen herinneren dat 2012 het jaar is van de ommezwaai? Even afstand nemen en terug naar ons lijstje met risico’s. Die beveiligingsmaatregelen volgen dan vanzelf wel.

Jongeren laks online, ouderen onwetend

  door

Nederlanders gaan onveilig het internet op: in 2011 doen we minder aan bescherming dan in 2010. Jongeren zijn “laks en naïef”, terwijl 55-plussers “onvoldoende vaardigheden” hebben (bron).

Een opmerkelijke uitkomst van het onderzoek, of eigenlijk een heel logisch iets? Als je het mij vraagt het laatste. Natuurlijk zou je verwachten dat mensen beter nadenken voor ze het internet op gaan. Maar wees eerlijk. Hoe weet je nu precies welke bescherming (of software) je nodig hebt en hoe weet je nu dat je echt goed beveiligd bent?

We kunnen natuurlijk al weer vrij snel een parallel trekken naar het autorijden. Waarbij er natuurlijk ook een verschil is: voor autorijden moet je eerst je rijbewijs halen. En nee, ik wil niet direct zeggen dat we dat dan ook maar moeten verplichten voor het gebruik van computers. Nee, ieder zijn eigen verantwoordelijkheid en als ze zich vrijwillig willen laten scholen dan moet iedereen dat lekker voor zichzelf weten.

Maar goed, terug naar het autorijden en het aanschaffen van een auto. Natuurlijk zijn er mensen die goed kijken naar de uitslag van de Euro NCAP-test en er zullen best mensen zijn die hun keuze puur en alleen baseren op de uitslag van die test. Toch zal het merendeel van de mensen die een auto aanschaffen niet geïnteresseerd zijn in de uitkomsten van de test. Nee, de keuze zal gebaseerd zijn op het uiterlijk van de auto, de wijze waarop die de status vergroot of degene met de laagste bijtelling.

Vraag je aan mensen of ze een veilige auto willen rijden, dan zal het antwoord volmondig ja zijn. Nu zouden we een dergelijke vraag ook kunnen stellen als het om internet gaat. Wilt u zo veilig mogelijk internetten? Zou vreemd zijn als hier het antwoord ineens “nee” is.

Het draait, zoals bij veel zaken, om “willen” en “kunnen”. Ik ben er van overtuigd dat het merendeel van de mensen best veilig wil internetten. Geen gebrek aan motivatie dus. Dan kan het nog maar aan een ding liggen en dat is “kunnen”. Men weet simpelweg niet hoe of men is er in de verste verte niet in geïnteresseerd.

Daar kunnen we natuurlijk hele mooie bewustwordingscampagnes tegenaan gooien maar dat gaat erg weinig verschil maken (en als de onderzoeken over 2012 iets anders tonen, dan is er gerommeld met de cijfers en was het onderzoek wat mij betreft onbetrouwbaar). Wat dan wel? Op zich is zo’n bewustwordingscampagne helemaal niet zo’n slecht idee, maar we zien vaak dat de uitvoering te wensen overlaat.

Willen we er echt voor zorgen dat zowel de ouderen als de jongeren veiliger het internet opgaan dan moeten we ons naast kennis met name richten op houding en gedrag. Leuk dat men weet dat ze onveilig zijn, maar wat als ze niet weten hoe ze dat moeten veranderen?

De software leveranciers gaan hier natuurlijk van smullen en proberen nog meer software aan de man te brengen. Op zich niet erg, als die software zou werken. En met werken bedoel ik niet de technische werking. Ik ben best overtuigd van die technische werking, maar men leest de bijschrijving niet en installeert klakkeloos de software met de illusie dat ze nu een stuk veiliger zijn.

Willen we er echt voor zorgen dat men veiliger wordt, dan moeten we de gebruiker centraal stellen. We moeten kijken waarom de jongeren laks zijn en waarom het de ouderen niet lukt. We zouden kunnen stellen dat we het een en ander in Jip-en-Janneke-taal uit moeten leggen, maar daarmee doen we de gebruiker echt te kort. Nee, laten we er eerst eens voor zorgen dat we weten waarom men het niet kan en laten we dan proberen in gewoon Nederlands uit te leggen wat ze moeten doen, op welke wijze ze dat moeten doen en waarom ze dat moeten doen. Geen gemakkelijke opgave, maar wel een hele interessante uitdaging.

Realistisch? Ehm, voorlopig zal de onveiligheid alleen maar toenemen. We koppelen meer systemen op internet en geven meer gegevens prijs dan waarvan we ons bewust zijn. Het is een utopie om te denken dat we dat met de huidige aanpak echt gaan veranderen.

Virtuele servers vaak onveiliger dan fysieke

  door

Een groot deel van de virtuele servers zijn minder veilig dan de fysieke servers die ze vervangen. Dat zegt Gartner op grond van onderzoek…Dat de virtuele servers onveiliger zijn komt doordat er in het vroege stadium van architectuur en planning geen beveiligingsteams bij het project betrokken worden (bron).

Ja wie ben ik om Gartner tegen te spreken. Maar wat is nu het nieuws? Dat virtuele servers onveiliger zijn of dat er geen beveiligingsteams bij het project betrokken zijn? Dat laatste zie je maar al te vaak en echt niet alleen bij de ontwikkeling van architectuur of servers. Het geldt voor alle projecten…die beveiligers worden vergeten of ze zijn te lastig waardoor ze gewoon niet gevraagd worden.

Nu wil ik niet zeggen dat je beveiliging bij ieder project moet betrekken, maar bij een groot deel wel. Al is het alleen maar even in het ontwikkeltraject je plannen aanhouden tegen de beveiliging. Misschien hebben ze nog wat handige tips waardoor het veiliger kan.

In de praktijk zie je dat beveiliging, als er al over nagedacht wordt, pas in een laat stadium zijn zegje mag doen. Alleen pleisters plakken is dan nog mogelijk om het enigszins veilig te houden. Hierdoor worden er gedrochten van beveiligingsoplossingen verzonnen die enorm veel geld kosten. Dat bevestigd dan weer het beeld dat binnen de organisatie toch al leeft: zie je wel, dat beveiligen is alleen maar lastig, werkt tijdvertragend en is enorm duur.

De kunst voor beveiligers blijft om pro-actief en positief te adviseren. De stelling: nee dat mag niet want het is niet veilig…is zo 1980. We moeten er toch echt vanuit gaan dat alles kan, maar wel zo veilig mogelijk. Geloof me, de business zet je volledig buitenspel als je je meerwaarde niet aantoont en het alleen maar lastig maakt. Heb ook niet de illusie dat een ontwikkeling (die geld op moet leveren) niet doorgaat omdat wij het niet veilig vinden.

Nee, we zeggen het wel vaak: beveiliging is ondersteunend aan de business…maar in de praktijk moeten we dat ook echt gaan toepassen en onze meerwaarde aantonen. Probeer eens een beveiligingsadvies te geven waarbij de business juist meer kan verdienen of meer kan bezuinigen door die maatregel te nemen, dan heb je een stap gezet in de juiste richting.

Oh ja, het ging om virtuele servers en daarvan betwijfel ik of die echt onveiliger zijn…maar goed ik wil Gartner niet tegenspreken en ga er maar niet verder op in. Wie mijn mening wil weten, weet me te vinden.

Websites overheid onveilig

  door

De websites van de overheid bieden criminelen ruimschoots de gelegenheid zonder problemen (persoons)gegevens van Nederlanders te pakken te krijgen, zo blijkt uit onderzoek van internetbeveiligingsbedrijf Networking4all. In het slechtste geval kan een crimineel de complete identiteit van een persoon overnemen. Met alle vreselijke gevolgen van dien. Gevolgen die veel verder gaan dan alleen creditkaart fraude.

Hoewel dit onderzoek zich specifiek heeft gericht op de zogenaamde SSL-certificaten binnen de overheid is al langer bekend dat websites in veel gevallen vatbaar zijn (bijvoorbeeld voor Cross-site scriptin: XSS). Deze onveiligheden betreffen zeker niet alleen websites van de overheid maar ook van commerciele organisaties (zoals banken, zorgverzekeraars), stichtingen, verenigingen en zorginstellingen. Niet alleen kunnen criminelen zo in het bezit komen van privacy gevoelige gegevens, ze zijn ook in staat om websites van organisaties plat te leggen. Als uw organisatie voor (een deel van) de omzet afhankelijk is van de website is het verstandig te onderzoeken voor welke kwetsbaarheden de website vatbaar is. De voordeur van uw winkel doet u op slot en een alarmsysteem hebben we inmiddels ook allemaal wel, waarom laten we de website dan zo open staan?