Koffer met plannen spionagevliegtuigjes gestolen

Genoeg van al die technische hacks en kwetsbaarheden in informatiesystemen? Bedenk dan dat er in de analoge wereld ook nog genoeg plaats vindt.

Een koffer met documenten over een Frans-Brits project voor onbemande Defensievliegtuigen is op een treinstation in Parijs gestolen. In een tijdperk van Trojaanse paarden en spear phishing-aanvallen blijkt ook het ‘oude vertrouwde’ handwerk nog steeds prima te werken. Een topman van Dassault Aviation kocht op het Gare du Nord station een kaartje, toen zijn vrouwelijke collega door een belager werd lastiggevallen (bron).

Hierbij zien we maar weer dat het niet altijd aan de systemen ligt (sterker nog: meestal ligt het ook niet aan de systemen maar aan de wijze waarop wij met de systemen omgaan). In dit specifieke geval zal er ongetwijfeld ergens in het beleid staan dat vertrouwelijke gegevens nooit uit het oog mogen worden verloren. Dus ook niet als we even snel een treinkaartje gaan kopen.

Maar ja, probeer jij tegenwoordig nog maar eens een treinkaartje te kopen terwijl je een koffer in je hand hebt. Met twee lege handen lukt het je al bijna niet om die ingewikkelde kaartautomaten te bedienen. En dan moet je ook nog eens extra goed opletten dat men met de zogenaamde “tientjes-truc” niet je pinpas afhandig maakt.

Voor degene die hem niet kennen: bij de tientjes-truc gaat er iemand achter je staan die je tijdens het kopen van een kaartje op de rug tikt. “of dat briefje van 10 euro van jou is.” Natuurlijk kijk je om en gretig als we zijn bukken we snel om dat tientje op te pakken (ook al is die helemaal niet van ons). We bedanken degene die ons waarschuwde nog even vriendelijk en hebben de dag van ons leven. Totdat we de pinpas nog een keer nodig hebben en erachter komen dat we pas die in onze portemonnee zit helemaal niet onze pas is. Juist, de pas is gewisseld en je pincode is afgekeken. Die crimineel heeft van zijn tientje heel wat meer geld kunnen maken als jij daar niet snel genoeg achter komt.

Gelukkig hoeven we ons niet al teveel zorgen te maken:“De politie zou geen moeite moeten hebben om de dieven te vinden, aangezien het gebied gefilmd werd.” Ja, het is maar welke beveiligingsprincipe je aanhangt…in mijn optiek is voorkomen nog altijd beter dan genezen.

Massale mobiele spionage in 2012

Laten we nog even doorgaan met de cyberspionage, die we gisteren aan ons lijstje hebben toegevoegd en waarvoor we al kort hebben nagedacht wat we daar tegen moeten en kunnen doen. Om je nog wat verder op weg te helpen gaan we nog wat dieper in op de mobiele spionage, die als onderdeel van de cyberspionage, aan ons lijstje wordt toegevoegd.

In 2012 zullen cybercriminelen op grote schaal Android-gebruikers aanvallen, waarbij de eerste mobiele Android-worm en Android-botnet een feit zullen worden, daarnaast worden mobieltjes massaal bespioneerd. Dat voorspelt het Russische anti-virusbedrijf Kaspersky Lab (bron).

Natuurlijk moeten we altijd in ons achterhoofd houden wie het onderzoek heeft uitgevoerd en wat de belangen voor dat bedrijf zijn. Niet dat het slecht is dat een bedrijf die zijn geld verdient met tegenmaatregelen een dergelijke statement naar buiten brengt, maar we moeten niet domweg de spullen kopen die zij aan ons willen slijten. Nee, we moeten in alle realiteit kijken wat de kans en de impact is voor ons. Daarna kunnen we pas bepalen welke tegenmaatregelen we willen nemen, is dat een maatregel die door het bedrijf (in dit geval Kaspersky) geleverd wordt, dan vind ik dat prima.

Lezen we het bericht nog verder dan gaat het met name om aanvallen op niet gepatchte machines en zogenaamde worms gericht op Android-machines. Zorgen we voor regelmatige updates dan verlagen we de kans al dat wij slachtoffer worden. Kijken we goed naar de apps die we installeren en slaan we bij twijfel nog even over, dan wordt de kans nog een stukje lager.

Kunnen we de kans dan niet helemaal uitsluiten? Nee, waarschijnlijk niet. De aanvallers zullen inspelen op de emotie van de gebruikers. We moeten dus niet alleen voor technische maatregelen zorgen maar we moeten de medewerkers ook bewust maken van de risico’s. Niet door simpelweg een poster op te hangen of een nieuwe e-learning omgeving in het leven te roepen, maar door echt te kijken naar: kennis, houding en gedrag. Een hele uitdaging, maar wel de moeite waard. Hiermee voorkomen we namelijk niet alleen aanvullen op Android-machines, maar verbeteren we de gehele beveiliging van ons bedrijf.

Cyberspionage en mobiele spionage zijn aan ons lijstje toegevoegd. We schatten de kans en de impact en kunnen vervolgens op zoek gaan naar de juiste set aan maatregelen voor ons bedrijf.

Chinese hotels doen aan sexpionage

Was je van plan om de komende zomer naar China op vakantie te gaan? Of moet je er heen voor een business trip? Ja? Dan zou ik zeker even doorlezen. Big brother is watching you…of moeten we schrijven: Big Blothel is watching you?

Bijna alle Chinese hotels hebben kamers met verborgen cameraatjes en microfoons, die de overheid gebruikt om doelwitten ‘op heterdaad’ te betrappen met een prostitué (bron).

Het land waar alle goedkope elektronica vandaan komt, zet deze middelen dus zelf ook naar harte lust in. Niet om hun land te beschermen maar met als doel om onwetende Westerlingen op heterdaad te betrappen. Invloedrijke mannen die de overheid nodig heeft in een rechtszaak of onderzoek worden op deze manier gedwongen om mee te werken. Hiervoor wordt regelmatig seks gebruik.

Het is niet duidelijk of er speciale suites zijn waar deze middelen worden ingezet of dat gewoon iedere kamer er mee is volgehangen. Genoeg Chinezen blijkbaar om al die videobeelden te monitoren.

Er zijn natuurlijk vele films gemaakt waarbij spionage wordt ingezet. Vroeger waren die middelen alleen weggelegd voor 007 maar inmiddels kan iedereen die een tientje over heeft al spullen kopen. Een camera hier, een microfoon daar en opnemen maar.

Sterker nog, vorige week hoorde ik dat het versturen van elektronica vanuit China naar de westerse wereld gesubsidieerd wordt. De verzending is daarom in veel gevallen gratis, om er maar voor te zorgen dat onze westerse euro’s en dollars in hun handen komen. En als ik er aan terug denk (ja, uiteraard heb ik er ook wel eens wat besteld) was de verzending inderdaad gratis. Sterker nog, bij de ontvangst van een verkeerde stekker was 1 mailtje genoeg om gratis een nieuwe te krijgen. Wat een service…

Je wilt je toch veilig voelen in je hotelkamer en natuurlijk zijn er verhalen bekend van hoteleigenaren die gebruik maakten van verborgen camera’s. Maar als overheden zich er al mee gaan bemoeien, wie kun je dan nog vertrouwen? Kunnen we er dan echt niets aan doen? Ja, natuurlijk wel. We zouden zelf middelen kunnen aanschaffen waarmee we de verborgen camera’s kunnen vinden. Dat zal ons tot op zekere hoogte best helpen. Maar ja, 99,9% van de mensen heeft die middelen niet en 99% van de mensen staat er niet eens bij stil dat we in de gaten worden gehouden.

De makkelijkste oplossing? Ehm, dat zal dan toch zijn om niet met een Chinese prostitué op een kamer te belanden. Dan kun je nog steeds gemonitord worden, maar dan hebben ze geen reden om je te chanteren.

Verborgen camera

Hebben we het van de week gehad over toch wat zware berichten uit het vakgebied. Berichten die ingaan op de schade die we jaarlijks wereldwijd lopen en de status van de beveiliging in Nederland. Laten we het dan vandaag en morgen maar weer eens hebben over berichten die niet de wereldeconomie aangaan. Nee berichten die heel persoonlijk zijn en mensen in hun privacy aantasten want ook dit zijn problemen waar we mee geconfronteerd worden.

Twee Amerikaanse vrouwen hebben een zonnebank aangeklaagd omdat ze daar stiekem werden gefilmd, waarna de naaktfoto’s op verschillende pornosites verschenen. Volgens de twee vrouwen vond het misdrijf in 2006 plaats, maar ontdekten ze dit pas in de zomer van vorig jaar. Zonder medeweten en toestemming werden de twee naar eigen zeggen door een gat in het plafond gefilmd (bron).

Nu kun je je natuurlijk afvragen hoe deze vrouwen er achter kwamen maar dat geeft het bericht niet weer. Erg genoeg natuurlijk voor deze vrouwen, maar trek de parellel nu eens door? Hoe makkelijk is het om mensen met een verborgen camera te filmen? En hoe makkelijk is het dan om bedrijfsgegevens met zo’n zelfde camera te filmen?

Iedereen heeft tegenwoordig een telefoon met camera en voor een paar tientjes koop je een verborgen camera als dat nodig is. Even aansluiten en hop, het werkt. Dat is natuurlijk het voordeel van “plug and play”.

Kennen we niet allemaal het verhaal met het schroefje in de muur dat een camera (b)leek te zijn? Hoe vaak is de directiekamer van jouw organisatie als eens gesweept? Weten we zeker dat er geen lijntjes naar buiten zijn?

We kunnen natuurlijk allerlei mooi beveiligingsbeleid maken, maar uiteindelijk gaat het er ook om dat we gewoon ons boerenverstand gebruiken en nadenken over de risico’s die we niet zien. En dat mag je in dit geval letterlijk nemen.

Maar ook voor dit soort risico’s zijn tegenmaatregelen:

Binnenkort toch maar eens kijken of we (goedkoop) aan zo’n apparaatje kunnen komen. Zodra dat lukt, hou ik jullie uiteraard op de hoogte.

Spionnen op zoek naar bedrijfsinformatie

Enkele tientallen buitenlandse inlichtingendiensten zijn in Nederland actief op zoek naar economische informatie. Dat zegt een medewerker van de AIVD in het tijdschrift Forum van werkgeversorganisatie VNO-NCW. De AIVD’er baseert zich op een rapport van de inlichtingendienst over de risico’s van spionage bij het bedrijfsleven…De AIVD sluit niet uit dat er momenteel meer spionnen actief zijn in Nederland dan tijdens de Koude Oorlog. (bron).

Gelukkig zijn wij Nederlanders altijd het braafste jongetje van de klas, wij doen daar natuurlijk niet aan. Wij vertrouwen onze bevriende landen allemaal op de blauwe oogjes. Misschien controversieel maar zou het in het kader van de openbaarheid van bestuur niet netjes zijn als we aangeven welke landen wij allemaal bespioneren? Het antwoord? Nee, natuurlijk niet, er zijn grenzen aan de openbaarheid van bestuur en dat is maar goed ook.

We hebben al vaker berichten voorbij zien komen waarin wordt aangegeven dat Nederland het land is met de meeste telefoontaps in de wereld. Trekken we die lijn door dan zullen we in de spionage wereld waarschijnlijk ook een grote toeter meeblazen. Helaas merk je daar als organisatie weinig van. De spionage moet natuurlijk een bepaald doel hebben (dat kan zijn om te voorkomen dat we verrast worden door een kernbom, maar kan ook juist gericht zijn op het stimuleren van de economie). De kunst van spionage is om de informatie zo te verspreiden dat de bedrijven daarvan kunnen profiteren (zonder dat ze weten dat de informatie van spionage afkomstig is). Het spioneren om te spioneren is natuurlijk het doel niet, je moet iets met die informatie doen.

Nu gaat het in dit bericht om spionnen van inlichtingendiensten van andere landen. Dat onderkennen veel bedrijven niet, maar wat te denken van de “mollen” die concurrerende bedrijven inzetten? Hoeveel medewerkers lopen er bij jou in het bedrijf rond die informatie doorsturen naar de concurrent? Is die schoonmaker eigenlijk wel een schoonmaker of is hij eigenlijk aan het werk voor één van je concurrenten? Iedereen heeft zijn prijs, wees je daarvan bewust.

Bedrijven kijken, als het gaat om beveiliging, vaak naar de bedreigingen die van buitenaf komen, maar de bedreigingen die van binnenuit komen vergeten we nog vaak. Is iemand eenmaal door zijn screening dan vertrouwen we hem volledig en krijgt hij alle rechten op het netwerk. Een aantal bedrijven doen veel aan beveiligingsbewustzijn, maar dat richt zich met name op het verhogen van het kennis niveau van medewerkers die best veiliger willen werken en daarvoor de tools aangereikt krijgen. Bij de bewustzijnscampagnes maken we nog weinig onderscheid in mensen die bewust de boel willen molesteren.

Als bedrijf kun je je afvragen wat je liever hebt: een spion van een inlichtingendienst of één of meer mollen die de informatie direct doorsluizen naar je concurrent. Verrast dat de concurrent jouw nieuwe product zo snel kan imiteren? Dan zou ik toch het personeelsbestand nog eens goed tegen het licht houden en meer controle- en beveiligingsmaatregelen in bouwen om spionage te beperken.

Spionage is een serieus probleem voor de kenniseconomie die wij zo graag willen zijn. De kennis loopt met grote passen het land uit. Deels doen we dat zelf en heel bewust (denk alleen maar aan uitbestedingen aan landen als China en India) maar grotendeels weten we er niet van en dat is misschien nog wel een veel groter risico.

School aangeklaagd wegens webcam-spionage

Eerder hebben we ook al over webcam-spionage door deze school geschreven, maar er is nu een tweede student die aan de bel trekt.

Even ter herinnering:
Begin dit jaar diende een student van het Lower Merion School District al een aanklacht in, omdat hij thuis werd bespioneerd. De door de school ter beschikking gestelde laptops waren voorzien van een webcam, die op afstand was te bedienen….In totaal zouden er meer dan 56.000 onterechte screenshots en foto’s zijn gemaakt (bron).

In totaal werden er van deze tweede student 469 foto’s en 543 screenshots gemaakt (totaal dus 1012). Hij hoefde in ieder geval niet meer op de schoolfoto. Kijken we naar de meer dan 56.000 onterechte screenshots en foto’s dan zijn er dus minimaal van 56 studenten opnamen gemaakt.

Natuurlijk is dit verschrikkelijk voor deze studenten, maar ik kan me niet voorstellen dat dit opleidingsinstituut maar 56 studenten heeft. Blijkbaar wordt er nog willekeur toegepast ook. Ik geef de student, zeker gezien het Amerikaanse claimklimaat, een goede kans. Vreemd overigens dat niet meer studenten zich zorgen maken en maatregelen nemen, als ze allemaal een claim neerleggen dan kan deze school haar deuren wel sluiten. De schooldirecteur zelf zal zich ook zorgen moeten gaan maken want die krijgt de wind straks ook van voren. En terecht, dit is pure misbruik van een machtspositie.

Spionage via e-mail gegroeid

Buitenlandse geheime diensten proberen steeds vaker aan gevoelige Nederlandse informatie te komen door besmette e-mails te sturen, meldt de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in zijn jaarverslag over 2009 (bron).

Een risico waar maar weinig mensen bij stil staan. Als we al vreemde mailtjes ontvangen (en wie ontvangt er geen SPAM tegenwoordig) dan gaan we er niet vanuit dat hier een buitenlandse geheime dienst achter zit, wat hebben wij nu voor informatie die voor hen interessant kan zijn?

Op zich waarschijnlijk weinig, maar juist de combinatie van allerlei gegevens en informatie kan interessant zijn. Natuurlijk zijn er mensen die over gevoelige informatie beschikken, daar moet extra aandacht voor zijn (hoewel hier in de praktijk ook nog veel winst valt te behalen), maar het merendeel van de mensen beseft zich niet welke risico’s er zijn. Een stuk informatie hoeft helemaal niet gevoelig te zijn, maar de combinatie met andere gegevens kan er juist voor zorgen dat het wel gevoelig wordt (aan je inlognaam hebben ze niets en ook niet aan je wachtwoord, maar als je over beide beschikt dan ben je al een stuk verder).

Nu is dit natuurlijk een interessant bericht en een goede waarschuwing van de AIVD, maar helaas wordt niet duidelijk gemaakt wat je hier als individu nu aan kunt doen. Kun je hier als individu eigenlijk wel wat aan doen of moet de overheid hier een centrale rol in spelen? En als de overheid die centrale rol op zich neemt, in hoeverre kunnen we dan spreken over censuur?

Hier wordt met name ingegaan op de buitenlandse geheime diensten, maar waren we als Nederland niet een van de landen die het meeste doet aan afluisteren? Vergeet niet dat niet alleen de buitenlandse diensten hier gretig gebruik van maken, maar onze eigen geheime dienst kan er natuurlijk ook wat van. Overigens ben ik ook wel benieuwd naar alle spionage activiteiten die onze geheime dienst in het buitenland uitvoert, of zijn wij het braafste jongetje van de klas en houden wij ons keurig aan de internationaal afgesproken regels?

School bespioneerde leerlingen tijdens hun slaap

Een Amerikaanse school heeft mogelijk duizenden foto’s van leerlingen gemaakt terwijl ze zich thuis omkleedden, sliepen, maar ook bezochte websites en de inhoud van chatgesprekken werd vastgelegd. De foto’s werden gemaakt via de tracking-software, waarmee verloren en gestolen laptops werden gemonitord…Niet alleen is er op zeer grote schaal bespioneerd, het schoolpersoneel deed dit met opzet en genoot er ook van (bron).

Waren we net een beetje over de schrik van het gebeuren in de kerk heen komen dit soort berichten in de media. Tijd voor goed onderwijs is er niet, nu blijkt waarom: de leraren zijn teveel tijd kwijt met het bespioneren van de leerlingen. Heb jij ook een laptop van school of van je werk? Dan zou het me niets verbazen als de software die daarop staat hier ook toe in staat is, nu maar hopen dat daar geen illegaal gebruik van gemaakt wordt.

Voor de ingebouwde webcams is er natuurlijk een simpele oplossing: gewoon een stuk plakband (nee niet die doorzichtige) over de lens. Website bezoeken en chatgesprekken beveiligen wordt voor de meeste mensen al een groter probleem.

Advies: denk goed wat je met je school/werk laptop doet.