Monthly Archives: maart 2013
'Hergebruik wachtwoorden is grootste probleem voor veiligheid'
Het grootste probleem van wachtwoorden is niet de moeilijkheid van het wachtwoord, maar de hoeveelheid accounts waar gebruikers hetzelfde wachtwoord voor instellen. Lance Spitzner, directeur van het 'Securing the Human'-programma van het SANS Institute, stelt dat hackers die één wachtwoord weten te ontcijferen vaak toegang hebben tot een groot aantal accounts van het slachtoffer.
Sommige hackers besluiten gestolen gebruikersnamen en wachtwoorden online te publiceren. Doordat wachtwoorden vaak voor meerdere diensten worden gebruikt kan dit verregaande gevolgen hebben voor slachtoffers. Slachtoffers die hun wachtwoord niet op alle diensten wijzigen kunnen maanden of zelfs jaren later alsnog slachtoffer worden van een hacker die met behulp van de online gepubliceerde accountgegevens bij andere diensten probeert in te loggen.
Bedrijven die gehackt worden adviseren gebruikers dan ook vaak niet alleen bij deze dienst, maar ook bij andere diensten het wachtwoord te wijzigen. Gebruiker lijken het risico van het inzetten van één wachtwoord voor meerdere diensten echter te onderschatten. Het hergebruiken van wachtwoorden staat echter op de tweede plek in de top zeven van menselijke risico's die tot beveiligingslekken kunnen leiden. Phishing staat op de eerste positie.
'Hergebruik wachtwoorden is grootste probleem voor veiligheid'
Het grootste probleem van wachtwoorden is niet de moeilijkheid van het wachtwoord, maar de hoeveelheid accounts waar gebruikers hetzelfde wachtwoord voor instellen. Lance Spitzner, directeur van het 'Securing the Human'-programma van het SANS Institute, stelt dat hackers die één wachtwoord weten te ontcijferen vaak toegang hebben tot een groot aantal accounts van het slachtoffer.
Sommige hackers besluiten gestolen gebruikersnamen en wachtwoorden online te publiceren. Doordat wachtwoorden vaak voor meerdere diensten worden gebruikt kan dit verregaande gevolgen hebben voor slachtoffers. Slachtoffers die hun wachtwoord niet op alle diensten wijzigen kunnen maanden of zelfs jaren later alsnog slachtoffer worden van een hacker die met behulp van de online gepubliceerde accountgegevens bij andere diensten probeert in te loggen.
Bedrijven die gehackt worden adviseren gebruikers dan ook vaak niet alleen bij deze dienst, maar ook bij andere diensten het wachtwoord te wijzigen. Gebruiker lijken het risico van het inzetten van één wachtwoord voor meerdere diensten echter te onderschatten. Het hergebruiken van wachtwoorden staat echter op de tweede plek in de top zeven van menselijke risico's die tot beveiligingslekken kunnen leiden. Phishing staat op de eerste positie.
Minister Plasterk: Beveiliging van DigiD bij grote overheidsinstanties was onder de maat
De beveiliging van DigiD kon bij enkele grote overheidswebsites worden verbeterd. Deze overheidsdiensten hebben inmiddels maatregelen genomen om de beveiliging te verbeteren. Dit schrijft minister Plasterk van Binnenlands Zaken in een brief aan de Tweede Kamer.
Onderzoek naar de zes ‘grootverbruikers’ van DigiD toont aan dat de diensten niet optimaal zijn beveiligd en er ruimte is voor verbetering. Het is niet duidelijk op welke punten de beveiliging ten wensen overliet. Daarnaast maakt Plasterk ook niet bekend om welke overheidsdiensten het precies gaat.
Blokkeren DigiD was niet noodzakelijk
Plasterk benadrukt in de brief dat de problemen niet groot genoeg zijn geweest om de toegang tot DigiD volledig te blokkeren. De zes overheidsdiensten hebben inmiddels maatregelen genomen waardoor de beveiliging inmiddels is verbeterd.
De minister laat weten afspraken te hebben gemaakt met de Verenigde Nederlandse Gemeenten en het Kwaliteitsinstituut Nederlandse Gemeenten. “Ik heb met VNG en KING nadere afspraken gemaakt over een effectieve invoeringsstrategie van de ICT beveiligingsassessments bij gemeenten. Zij zullen zorgdragen voor de begeleiding van gemeenten met ondermeer een koplopergroep”, schrijft Plasterk aan de Tweede Kamer.
Minister Plasterk: Beveiliging van DigiD bij grote overheidsinstanties was onder de maat
De beveiliging van DigiD kon bij enkele grote overheidswebsites worden verbeterd. Deze overheidsdiensten hebben inmiddels maatregelen genomen om de beveiliging te verbeteren. Dit schrijft minister Plasterk van Binnenlands Zaken in een brief aan de Tweede Kamer.
Onderzoek naar de zes ‘grootverbruikers’ van DigiD toont aan dat de diensten niet optimaal zijn beveiligd en er ruimte is voor verbetering. Het is niet duidelijk op welke punten de beveiliging ten wensen overliet. Daarnaast maakt Plasterk ook niet bekend om welke overheidsdiensten het precies gaat.
Blokkeren DigiD was niet noodzakelijk
Plasterk benadrukt in de brief dat de problemen niet groot genoeg zijn geweest om de toegang tot DigiD volledig te blokkeren. De zes overheidsdiensten hebben inmiddels maatregelen genomen waardoor de beveiliging inmiddels is verbeterd.
De minister laat weten afspraken te hebben gemaakt met de Verenigde Nederlandse Gemeenten en het Kwaliteitsinstituut Nederlandse Gemeenten. “Ik heb met VNG en KING nadere afspraken gemaakt over een effectieve invoeringsstrategie van de ICT beveiligingsassessments bij gemeenten. Zij zullen zorgdragen voor de begeleiding van gemeenten met ondermeer een koplopergroep”, schrijft Plasterk aan de Tweede Kamer.
Apple gaat apps die UDID gebruiken vanaf 1 mei definitief weigeren
Apple legt het gebruik van de Unique Device Identifier (UDID) definitief aan banden. Iedere app die vanaf 1 mei nog toegang vereist tot de UDID wordt geweigerd in het goedkeuringsproces voor de App Store. Dit maakt Apple bekend op zijn developer-website.
Het gebruik van UDID is al sinds vorig jaar officieel verboden, maar de naleving van deze regels werd door Apple tot nu toe niet actief gecontroleerd. Hier komt nu dus verandering in. Geen enkele nieuwe iPhone-, iPod- of iPad-app (of update voor een bestaande app) mag nog gebruik maken van de UDID.
Wat is de UDID?
De UDID is een unieke code die voor ieder apparaat wordt gegeneerd. Ieder apparaat van iedere gebruiker beschikt dus over een unieke UDID. Deze UDID stelt ontwikkelaars in staat het gedrag van gebruikers te monitoren, waardoor zij advertenties op maat kunnen aanbieden. De UDID is niet gekoppeld aan persoonsgegevens. Ontwikkelaars kunnen het gedrag van gebruikers dus niet koppelen aan NAW-gegevens.
Door niet langer toe te staan dat apps toegang krijgen tot de UDID wil Apple de privacy van gebruikers beschermen. Apple biedt ontwikkelaars die adverteerders de mogelijkheid willen bieden in te spelen op het gedrag van gebruikers wel de beschikking over een nieuwe API: de Advertising Identifier. De Advertising Identifier levert vergelijkbare informatie als de UDID. Gebruikers hebben echter de mogelijkheid de Advertising Identifier zelf uit te schakelen, iets wat bij de UDID niet mogelijk is.
Apple gaat apps die UDID gebruiken vanaf 1 mei definitief weigeren
Apple legt het gebruik van de Unique Device Identifier (UDID) definitief aan banden. Iedere app die vanaf 1 mei nog toegang vereist tot de UDID wordt geweigerd in het goedkeuringsproces voor de App Store. Dit maakt Apple bekend op zijn developer-website.
Het gebruik van UDID is al sinds vorig jaar officieel verboden, maar de naleving van deze regels werd door Apple tot nu toe niet actief gecontroleerd. Hier komt nu dus verandering in. Geen enkele nieuwe iPhone-, iPod- of iPad-app (of update voor een bestaande app) mag nog gebruik maken van de UDID.
Wat is de UDID?
De UDID is een unieke code die voor ieder apparaat wordt gegeneerd. Ieder apparaat van iedere gebruiker beschikt dus over een unieke UDID. Deze UDID stelt ontwikkelaars in staat het gedrag van gebruikers te monitoren, waardoor zij advertenties op maat kunnen aanbieden. De UDID is niet gekoppeld aan persoonsgegevens. Ontwikkelaars kunnen het gedrag van gebruikers dus niet koppelen aan NAW-gegevens.
Door niet langer toe te staan dat apps toegang krijgen tot de UDID wil Apple de privacy van gebruikers beschermen. Apple biedt ontwikkelaars die adverteerders de mogelijkheid willen bieden in te spelen op het gedrag van gebruikers wel de beschikking over een nieuwe API: de Advertising Identifier. De Advertising Identifier levert vergelijkbare informatie als de UDID. Gebruikers hebben echter de mogelijkheid de Advertising Identifier zelf uit te schakelen, iets wat bij de UDID niet mogelijk is.
Apple beveiligt OS X tegen nieuwe Yontoo-adware
Nieuwe adware is opgedoken voor de Mac. De Yontoo-adware blijkt in toenemende mate Mac-gebruikers te infecteren door slachtoffers te overtuigen dat zij een plug-in moeten downloaden om een video te kunnen bekijken. De beveiligingstechnologie XProtect is door Apple geüpdatet om gebruikers te beschermen tegen de adware.
Intego meldt dat Apple Yontoo heeft toegevoegd aan de zwarte lijst die XProtect gebruikt. De anti-virusoplossing is hierdoor in staat de adware te herkennen en te verwijderen. Intego stelt dat XProtect in staat is specifieke bestanden op specifieke locaties te detecteren, waarschijnlijk om de stille installatie van de Yontoo-adware te detecteren en stoppen.
Geïnstalleerd als plug-in
De Yontoo-adware is een trojaan paard dat verspreid wordt door slachtoffers te overtuigen dat zij een plug-in moeten downloaden om een bepaalde video te kunnen bekijken. Zodra de software is gedownload en wordt geopend installeert deze een plug-in voor de webbrowsers Safari, Chrome en Firefox.
De adware gaat vervolgens aan de slag met het verzamelen van het surfgedrag van de gebruikers. Deze informatie wordt doorgestuurd naar een server en gebruikt om advertenties te selecteren die passen bij de voorkeuren van slachtoffers. Deze advertenties worden vervolgens vertoond op websites die het slachtoffer bezoekt. Op het discussieforum van Apple zijn inmiddels meerdere discussies over de adware te vinden.
Apple beveiligt OS X tegen nieuwe Yontoo-adware
Nieuwe adware is opgedoken voor de Mac. De Yontoo-adware blijkt in toenemende mate Mac-gebruikers te infecteren door slachtoffers te overtuigen dat zij een plug-in moeten downloaden om een video te kunnen bekijken. De beveiligingstechnologie XProtect is door Apple geüpdatet om gebruikers te beschermen tegen de adware.
Intego meldt dat Apple Yontoo heeft toegevoegd aan de zwarte lijst die XProtect gebruikt. De anti-virusoplossing is hierdoor in staat de adware te herkennen en te verwijderen. Intego stelt dat XProtect in staat is specifieke bestanden op specifieke locaties te detecteren, waarschijnlijk om de stille installatie van de Yontoo-adware te detecteren en stoppen.
Geïnstalleerd als plug-in
De Yontoo-adware is een trojaan paard dat verspreid wordt door slachtoffers te overtuigen dat zij een plug-in moeten downloaden om een bepaalde video te kunnen bekijken. Zodra de software is gedownload en wordt geopend installeert deze een plug-in voor de webbrowsers Safari, Chrome en Firefox.
De adware gaat vervolgens aan de slag met het verzamelen van het surfgedrag van de gebruikers. Deze informatie wordt doorgestuurd naar een server en gebruikt om advertenties te selecteren die passen bij de voorkeuren van slachtoffers. Deze advertenties worden vervolgens vertoond op websites die het slachtoffer bezoekt. Op het discussieforum van Apple zijn inmiddels meerdere discussies over de adware te vinden.
Nationale veiligheid Nederland in 2012 één keer in gevaar door beveiligingsprobleem
De nationale veiligheid van Nederland is in 2012 één keer in gevaar geweest door een ICT-beveiligingsprobleem. Het Nationaal Cyber Security Center (NCSC) gaat steeds pro-actiever te werk bij de opsporing en het verhelpen van beveiligingslekken.
Dit blijkt uit een overzicht van 259 meldingen die NU.nl via de Wet openbaarheid van bestuur (Wob) heeft opgevraagd. De website besloot de meldingen op te vragen nadat vorig jaar bleek dat de staatsveiligheid in 2011 regelmatig door ICT-problemen in gevaar is geweest. De situatie bij de Nederlandse overheid is dus verbeterd.
Directe bedreigingen
In slechts één geval is afgelopen jaar dus de staatsveiligheid in gevaar geweest. De overheid blijkt echter ook negen maal geconfronteerd te zijn met een directe bedreiging. Ook zijn tenminste vier gerichten aanvallen op de Nederlandse overheid uitgevoerd. Het openbaar maken van één beveiligingslek had vorig jaar tot diplomatieke problemen kunnen leiden, al is niet precies duidelijk om wat voor lek het gaat.
Desondanks blijkt de overheid op verschillende punten zijn werkwijze nog flink te kunnen verbeteren. Zo blijken overheidsinstanties opvallend vaak veelvoorkomende fouten te maken, die eenvoudig voorkomen hadden kunnen worden. Zo blijkt de overheid in 130 gevallen verouderde software te gebruiken of eenvoudig te voorkomen fouten te maken in de instellingen.
Nationale veiligheid Nederland in 2012 één keer in gevaar door beveiligingsprobleem
De nationale veiligheid van Nederland is in 2012 één keer in gevaar geweest door een ICT-beveiligingsprobleem. Het Nationaal Cyber Security Center (NCSC) gaat steeds pro-actiever te werk bij de opsporing en het verhelpen van beveiligingslekken.
Dit blijkt uit een overzicht van 259 meldingen die NU.nl via de Wet openbaarheid van bestuur (Wob) heeft opgevraagd. De website besloot de meldingen op te vragen nadat vorig jaar bleek dat de staatsveiligheid in 2011 regelmatig door ICT-problemen in gevaar is geweest. De situatie bij de Nederlandse overheid is dus verbeterd.
Directe bedreigingen
In slechts één geval is afgelopen jaar dus de staatsveiligheid in gevaar geweest. De overheid blijkt echter ook negen maal geconfronteerd te zijn met een directe bedreiging. Ook zijn tenminste vier gerichten aanvallen op de Nederlandse overheid uitgevoerd. Het openbaar maken van één beveiligingslek had vorig jaar tot diplomatieke problemen kunnen leiden, al is niet precies duidelijk om wat voor lek het gaat.
Desondanks blijkt de overheid op verschillende punten zijn werkwijze nog flink te kunnen verbeteren. Zo blijken overheidsinstanties opvallend vaak veelvoorkomende fouten te maken, die eenvoudig voorkomen hadden kunnen worden. Zo blijkt de overheid in 130 gevallen verouderde software te gebruiken of eenvoudig te voorkomen fouten te maken in de instellingen.
