Monthly Archives: oktober 2013
'Duizenden iPhone- en iPad-applicaties zijn kwetsbaar'
Duizenden iPhone- en iPad-applicaties zijn kwetsbaar voor een hack. Cybercriminelen kunnen apps hierdoor permanent informatie op laten halen van een malafide server, wat het onder andere mogelijk maakt malafide software binnen te halen op een geïnfecteerd apparaat. Dit stelt althans Skycure, een Israëlisch beveiligingsbedrijf.
Het bedrijf geeft vandaag tijdens een evenement meer duidelijkheid over de hack. Skycure stelt dat dit in strijd is met zijn gebruikelijke werkwijze. De kwetsbaarheid treft in dit geval echter applicaties van duizenden ontwikkelaars. Skycure wil daarom door het lek openbaar te maken alle ontwikkelaars in één keer bereiken.
HTTP Request Hijacking
De kwetsbaarheid wordt door het beveiligingsbedrijf 'HTTP Request Hijacking' genoemd. Hierbij sturen aanvallers een foutieve 301-header naar applicaties op het moment dat deze een HTTP-request doet. De header geeft een nieuwe permanente locatie van een server door aan het apparaat. Dit stelt de aanvallers in staat de app voortaan informatie van een malafide severs op te laten halen.
Skycure benadrukt Apple voor het probleem te hebben gewaarschuwd. De fout zit echter niet in het mobiele besturingssysteem iOS, maar in de broncode van de ontwikkelaars zelf. Het beveiligingsbedrijf ziet zich daarom genoodzaakt de kwetsbaarheid openbaar te maken om ontwikkelaars te dwingen snel actie te ondernemen.
'Kleine ondernemers denken onterecht hun security op orde te hebben'
Kleine ondernemers zijn ervan overtuigd dat zij hun PC's en netwerk goed hebben beveiligd. De groep maakt zich dan ook weinig zorgen om cyberaanvallen. Dit zelfvertrouwen blijkt echter onterecht. Dit blijkt uit onderzoek van G Data onder 100 kleine ondernemers uit Nederland en België.
De respondenten gaven aan weinig problemen te hebben met grote security-dilemma’s als Bring Your Own Device en datalekken. De meeste kleine ondernemingen geloven daarnaast dat de kans dat zij in de komende twee jaar schade zullen ondervinden door cybercrime te verwaarlozen is. Uit het onderzoek blijkt echter ook dat er nogal wat misvattingen bestaan over hoe een netwerk goed kan worden beveiligd en welke aanvullende maatregelen er nodig zijn om schade door cybercrime te beperken.
Eigenaar neemt security beslissingen
De eigenaar of directeur is bij negen op de tien kleine bedrijven degene die de IT-security beslissingen neemt, ook al is hij hier zelf niet in gespecialiseerd. Bij zes op de tien kleinste bedrijven is de eigenaar of directeur ook daadwerkeklijke de persoon die de IT-security configureert en beheert. Slechts als een bedrijf tussen de vijf en tien pc’s heeft, lijkt het een optie om externe hulp in te schakelen (52%) of een systeembeheerder in dienst te nemen (20%).
De meeste kleine ondernemers blijken in zijn geheel niet over netwerkbeveiliging te beschikken. 58% kiest voor losse beveiligingspakketten in plaats van oplossingen op netwerkniveau. De ondernemers missen hierdoor een goed overzicht van de beveiligingsstatus van alle machines.
Zakelijke PC's privé gebruiken
Het merendeel van de bedrijven is zich ervan bewust dat zakelijke PC's en laptops ook privé worden gebruikt (55%). Vreemd genoeg realiseren kleine bedrijven zich echter niet dat dit ook geldt voor zakelijke smartphones. Slechts 35% denkt dat zijn medewerkers ook hun zakelijke smartphone voor privé-doeleinden inzetten, terwijl dit percentage volgens G Data in werkelijkheid hoger ligt.
De ondernemers hebben zelf niet het idee dat zij over onvoldoende IT-kennis beschikken en gevaar lopen. Zo vindt 67% dat de IT-verantwoordelijke voldoende kennis heeft van IT-security en 57% zegt zelfs dat deze persoon veel kennis over het onderwerp heeft. Zeven op de tien kleinzakelijke ondernemingen schatten de kans dat ze schade leiden door cybercrime in de komende twee jaar op minder dan 5%.
Aantal malware-infecties op Nederlandse PC's neemt af
Het aantal malware-infecties op Windows-machines neemt in Nederland af. 0,27 procent van de Nederlandse Windows-computers werd in het tweede kwartaal van 2013 volgens Microsoft met malware geïnfecteerd. Een kwartaal eerder lag dit percentage nog op 0,33 procent.
Microsoft baseert zijn cijfers op de hoeveelheid malware-infecties die door zijn eigen beveiligingssoftware is aangetroffen op en verwijderd van Windows-machines. De cijfers geven hierdoor geen volledig beeld van het totaal aantal malware-infecties in Nederland. Infecties die door gebruikers met andere antivirussoftware wordt verwijderd worden bijvoorbeeld niet meegerekend. Dit geldt ook voor infecties die niet door de beveiligingssoftware van Microsoft, maar wel door andere antivirussoftware is aangetrofen.
Het bedrijf stelt dat 12,3 procent van de Nederlandse computers in het tweede kwartaal van dit jaar in aanraking geweest met malware. Slechts een kleine hoeveelheid incidenten hebben uiteindelijk dus daadwerkelijk geleid tot een malware-infectie. Ook dit percentage daalt. 14,7 procent van de Nederlandse computers kwam in het eerste kwartaal van 2013 in aanraking met malware, terwijl dit percentage in het derde kwartaal van 2012 nog 16,3 procent bedroeg.
Verschillende soorten malware zijn door Microsoft aangetroffen. De meeste malware betrof trojans en exploits waarmee cybercriminelen de computer van slachtoffers proberen te infecteren.
Via: Tweakers
'Overheid werkt in geheim aan fysiek alternatief voor DigiD'
De overheid werkt in het geheim aan een alternatief voor DigiD. De overheid werkt hiervoor samen met ICT-professor Bart Jacobs van de Radboud Universiteit Nijmegen, die een kaart bedacht die sterk lijkt op DigiD. Jacobs heeft subsidie ontvangen om zijn oplossing. Andere potentiële leveranciers van de DigiD-opvolger zijn het niet eens met de werkwijze en stellen buiten spel te zijn gezet.
De informatie is aan het licht gekomen via de Wet openbaarheid van bestuur (Wob). AET Europe, één van de bedrijven die kans maakt de opvolger van DigiD te leveren, brengt de werkwijze naar buiten. Eigenaar Reinoud Weijman zegt tegen Computable dat Jacobs zijn maatschappelijke positie heeft gebruikt om zijn alternatief onder de aandacht te brengen bij minister Opstelten en zijn ambtenaren.
Fysieke kaart
De overheid wil af van een volledig digitaal DigiD-systeem en is op zoek naar een alternatief dat gebruik maakt van een fysieke kaart. De overheid is daarom op zoek naar partijen die een dergelijke fysieke kaart kunnen leveren. Doorgaans wordt hiervoor een aanbesteding uitgeschreven, waarna de overheid kiest voor een bepaalde oplossing. Jacobs heeft van de overheid subsidie gekregen onafhankelijk onderzoek te doen naar dergelijke oplossingen.
Weijman stelt echter dat het onderzoek van Jacobs niet onafhankelijk is, aangezien de professor zelf ook een alternatief voor DigiD ontwikkeld. Jacobs zou zijn maatschappelijke positie gebruiken om deze oplossing aan te prijzen bij de overheid. E-mails tussen Jacobs en ambtenaren zouden aantonen dat de overheid in dit geval zijn keuze al heeft gemaakt voor de oplossing van Jacobs, waardoor geen sprake is van een eerlijke aanbesteding.
Leveranciers lopen miljoenenorder mis
Weijman stelt dat andere potentiële leveranciers door het uitblijven van een eerlijke aanbesteding een miljoenenorder dreigen mis te lopen. De fysieke DigiD-kaart gaat vermoedelijk 250 miljoen euro kosten.
'Ook Amerikaanse leiders worden afgeluisterd'
Niet alleen Europese leiders, maar ook Amerikaanse leiders en inlichtingendiensten worden afgeluisterd. De spionage zou worden uitgevoerd door bondgenoten van de Verenigde Staten (VS).
Dit stelt James Clapper, verantwoordelijk voor de Amerikaanse inlichtingendiensten, volgens het NBC. Clapper reageert hiermee op de onrust en verontwaardiging die is ontstaan nadat bleek dat de VS onder andere de leiders van Duitsland, Frankrijk en Spanje bespioneert. Het hoofd van de Amerikaanse geheime diensten deed zijn uitspraken tegenover een commissie van het Amerikaanse Huis van Afgevaardigden.
Het nieuws over de afluisterpraktijken van de VS kwam naar buiten nadat Der Spiegel schreef over documenten waaruit blijkt dat de Amerikanen de Duitse bondskanselier Angela Merkel hebben afgeluisterd. Nader onderzoek wees uit dat ook de leiders van andere landen door de Amerikaanse geheime diensten worden bespioneerd.
NCSC moet security operations center worden
Het Nationaal Cyber Security Centrum (NCSC) moet meer worden dan een dienst die snel kan schakelen bij cyberincidenten. De organisatie moet zich ontwikkelen tot een security operations center dat alle samenwerkende partijen moet ondersteunen. Dit schrijft de overheid in de Nationale Cybersecurity Strategie 2.
Het centrum voor cyberbeveiliging krijgt daarnaast meer mogelijkheden. Zo kan de organisatie voortaan ongevraagd advies leveren aan aangesloten partijen, zowel privaat als publiek. Tot nu toe is het zo dat het NCSC alleen advies levert als een aangesloten partij hier specifiek om vraagt.
Joint Sigint Cyber Unit
De Nationale Cybersecurity Strategie 2 beschrijft ook de oprichting van de Joint Sigint Cyber Unit (JCSU), een dienst die cyberbedreigingen beter in kaart moet brengen. De overheidsdienst gaat cyberaanvallen onderzoeken, waardoor een duidelijker beeld van relevante dreigingen moet ontstaan.
Nederland ICT liet gisteren in een reactie al weten blij te zijn met het internationale karakter van de nieuwe strategie, maar te betwijfelen of de overheid voldoende middelen beschikbaar heeft om zijn ambities waar te maken. De vereniging stelt dat meer investeringen nodig zijn om de strategie te kunnen realiseren.
Kaspersky wijst op perceptie van veiligheid in cyberspace
Duizenden jaren evolutie hebben de mensheid gemaakt tot een verzameling levende wezens die zich in de natuur redelijk goed kunnen handhaven. Maar als mensen die fysieke omgeving gaan verruilen voor een digitale wereld, dan werken de evolutionair tot stand gekomen mechanismen niet meer.
Rat-race
De mens is van nature niet gebouwd om te overleven in cyberspace. Die dreigende tekortkoming liet beveiligingsspecialist Kaspersky Lab onderzoeken door twee onderzoekers verbonden aan de universiteit van Würzburg. Volgens prof. dr. Frank Schwab en dr. Astrid Carolus is een veilige online wereld niet meer dan een perceptie. Die veronderstelling baseren ze op het feit dat veel van de huidige internetgebruikers kennis en ervaring heeft opgedaan in het werken met informatie voor het online tijdperk. Zij waarderen weliswaar hun nieuwe digitale leefomgeving, maar eigenlijk kunnen ze niet elk detail daarvan op de juiste waarde inschatten. Voer voor mediapsychologen en digitale beveiligingsspecialisten. De inspanningen van die laatste zijn vooral technisch van aard. Ze zitten in een ‘rat-race’ tegen cybercriminelen.
Automatische algoritmen
Automatisch uitgevoerde algoritmen maakt het Kaspersky mogelijk om uit de ontzagwekkende hoeveelheid dagelijkse internetverkeer malware te determineren. Ook de boeven bedienen zich inmiddels van dergelijke geautomatiseerde voorzieningen. Zo zien we de hoeveelheid malware aardig in de pas lopen met de hoeveelheid bestrijdingsmiddelen. We hebben het lek nog maar nauwelijks gedicht of de criminelen boren weer een nieuw gat aan. Die cyclus moeten we zien te doorbreken.
Het door Karspersky Lab geïnitieerde onderzoek biedt wellicht houvast bij het zoeken naar de juiste aanpak: verandering in het menselijk gedrag. Sneller dan de evolutie, zullen we onze attitude en denkwijze moeten aanpassen aan onze elektronische hulpmiddelen. Dat zijn niet meer gewoon gebruiksvoorwerpen, maar in onze beleving bijna levende wezens. Schwab en Carolus concluderen dat veel gebruikers van smartphones er menselijk eigenschappen aan toedichten. Ze kunnen niet meer leven zonder deze vaste compagnon; een moment zonder en we zitten volledig in de stress.
Aan de ketting
In het licht van de broodnodige beveilig is die emotionele band wel verontrustend, meent Kaspersky Lab. het bedrijf noteerde in 2010 een hoeveelheid van 1.160 aan malware gericht op smartphones. In 2011 was dat al opgelopen naar 6.193 en in 2012 naar 46.415. Het gaat dit jaar waarschijnlijk meer dan verdubbelen. Alleen al voor de eerste helft van 2013 werd 51.477 opgetekend. Nu gaan die dramatische cijfers vooral op voor smartphones onder het besturingsysteem Android. Het meer rigide iOS van Apple verleent volgens de metingen van Kaspersky nauwelijks toegang aan malware.
Ook al ervaren we onze smartphone als een trouwe bondgenoot, hij moet dus wel aan de ketting. Kaspersky heeft daaraan gedacht in het nieuwste product Internet Security – Multi-Device. De installatie daarvan vraagt om één universele activeringscode. Afhankelijk van de licentievorm laten drie, vijf of tien IP-gebaseerde apparaten zich beveiligen. Dat moet voor consumenten en individuele eindgebruikers voldoende zijn voor een gemiddelde huishouden, waar ongeveer vijf aan internet hangende apparaten in omloop zijn. Vanaf 69,95 euro is men voor drie apparaten een jaar lang onder de pannen.
Psychologische effecten
Het productengamma van de Russische beveiligingsspecialist is ongetwijfeld nu nog niet volledig toegesneden op de psychologische effecten die de Duitse wetenschappers over ons gedrag in het cybertijdperk constateren. Begrippen als risico en veiligheid krijgen een andere lading in de digitale samenleving. Waar in de fysieke samenleving goed en kwaad gemakkelijk zijn te onderscheiden, is dat in cyberspace een stuk lastiger. We denken minder rationeel dan we veelal van onszelf vinden. Daardoor zijn we in de omgang met onze elektronische hulpmiddelen minder argwanend. De eeuwen van evolutie hebben ons intuïtief denken aangeleerd en zo handelen we ook in de digitale wereld. Fout, menen Kaspersky en de Duitse wetenschappers, want in de interactie met anderen zijn onze hersenen getraind in het ontvangen van door mensen afgegeven signalen, niet door die van machines. Het advies van de wetenschap: ons perspectief drastisch bijstellen en meer onderzoek naar de leemte in de psyche tussen mensen met en zonder digitale ambities.
Door: Fred Franssen
Nederlandse politie adviseert reizigers laptops te versleutelen met TrueCrypt
Wie op reis gaat en zijn laptop meeneemt doet er verstandig aan het apparaat te versleutelen. De Nederlandse politie adviseert in een factsheet die in het kader van de Alert Online campagneweek is gepubliceerd hiervoor de gratis tool TrueCrypt te gebruiken.
De politie geeft op de factsheet allerlei tips waarmee Nederlanders zeker kunnen stellen dat zij veilig op reis gaan. Zo adviseert de factsheet een trackingapp te installeren op smartphones en tablets. Denk hierbij aan de 'Find my iPhone'-app voor de iPhone en iPad of de Prey-app voor Android-apparaten. Ook raadt de politie aan het serienummer, IMEI en MAC-adres van apparaten die mee worden genomen op vakantie te noteren.
Laptops versleutelen
Laptops die op reis worden meegenomen kunnen het best worden versleuteld, zodat de gebruiker zeker weet dat niemand bij zijn data kan mocht het apparaat worden verloren of gestolen. TrueCrypt is een gratis open source-applicatie die de Nederlandse politie hiervoor adviseert.
Veel gebruikers kiezen ervoor automatisch te worden aangemeld bij allerlei online diensten en websites. Dit is natuurlijk makkelijk, maar kan indien de laptop wordt gestolen grote gevolgen hebben. De dief heeft in dit geval immers toegang tot alle accounts waar de gebruiker is ingelogd. De politie adviseert daarom waar mogelijk de tweefactor authentificatie te activeren. Hierdoor is naast de laptop ook een ander fysiek object nodig ter verificatie om in te kunnen loggen.
Gebruik een eigen internetverbinding
De factsheet benadrukt dat de beste manier om op reis veilig te kunnen internetten het gebruik van een eigen apparaat is. Ook het gebruik van een eigen internetverbinding is het meest veilig. De politie benadrukt dat Nederlanders die ervoor kiezen de verbinding van een ander te gebruiken afhankelijk zijn van de betrouwbaarheid van de beheerder van het access point. Zij kunnen immers alles zien en zijn in staat de internetsessie te manipuleren.
Startup kraakt captcha
Een startup claimt software te hebben ontwikkeld die in staat is captcha's te kraken. Captcha's bestaan uit een reeks cijfers en letters die wazig, soms doorgestreept of schuin worden weergegeven. De beveiligingsmaatregel is bedoeld om mensen te kunnen onderscheiden van computers.
Captcha's worden onder andere gebruikt om te voorkomen dat met een geautomatiseerd script bijvoorbeeld accounts bij websites worden aangemaakt. Bij de registratie moet de gebruiker een captcha invoeren, die tot nu toe niet door computers kon worden gelezen. De startup Vicarious zegt tegen Reuters hier nu verandering in te brengen met een nieuw stukje software.
Software wordt niet verkocht
Scott Phoenix, één van de oprichters van Vicarious, laat aan Reuters weten niet van plan te zijn de software te verkopen. Het bedrijf heeft de software dan ook alleen ontwikkeld om aan te tonen dat het bedrijf de eerste stap kan zetten naar een computers die functioneert als het menselijk brein.
Het bedrijf brengt niet naar buiten op welke wijze het erin slaagt de captcha's te kraken. Wel heeft het bedrijf tijdens een aantal demonstraties laten zien onder andere captcha's die Google inzet te kunnen omzeilen.
'Nationale Cyber Security Strategie 2 vraagt grotere investering'
De Nationale Cyber Security Strategie 2 is vandaag gepresenteerd. Nederland ICT laat weten tevreden te zijn over de vele aandachtspunten van de ICT-branche die zijn opgenomen in de strategie. Zo is er aandacht voor de risico's in vitale sectoren en bij de overheid. Deze worden inzichtelijk gemaakt en aangepakt. De vereniging betwijfelt echter of de overheid voldoende middelen heeft om zijn ambities waar te maken.
Ook wordt de aanpak van cybercrime sterk gericht op internationaal samenwerken. Nederland ICT is blij met de internationale insteek van de strategie. De vereniging benadrukt dat de aanpak van cybercriminaliteit alleen effectief is als er internationale spelregels zijn over het achterhalen van de daders, het veilig stellen van bewijsmateriaal en het vervolgen van cybercriminelen.
Roep om zekerheid
Tegelijk ziet Nederland ICT ook een roep om meer zekerheid, bijvoorbeeld over de veiligheid van hardware en software en van clouddiensten. ICT-bedrijven werken continu aan het verbeteren van producten en diensten om deze te beschermen tegen de nieuwste dreigingen van cybercriminelen. Veiligheid van ICT vraagt aan de ene kant om meer transparantie overbeveiliging en aan de andere kant om duidelijkheid welke eisen aan het niveau van beveiliging worden gesteld. Nederland ICT stelt dan ook dat de sleutel ligt in internationale samenwerking.
Cyber security vraagt volgens de vereniging investering van burgers, bedrijven en overheden. Beter inzicht in de cyberrisico's zal overheden en vitale bedrijven dwingen te investeren in digitale beveiliging om risico's te verkleinen. Nederland ICT stelt dat het dan ook onontkoombaar is dat de overheid investeert in innovatieve beveiligingsconcepten: innovaties van zowel grote als MKB-bedrijven verdienen ondersteuning door de overheid. Daar ontbreekt het echter volgens de vereniging nog aan in de nieuwe strategie. Het kabinet stelt geen extra geld beschikbaar voor de uitvoering van de Nationale Cyber Security Strategie. Nederland ICT betwijfelt of de middelen voldoende zijn om de ambities van het kabinet te realiseren en roept op tot een discussie hierover.