Monthly Archives: oktober 2013
NSA verzamelde metadata van 1,8 miljoen Nederlandse telefoongesprekken
De Amerikaanse inlichtingendienst heeft in één maand tijd de telefoonnummers van maar liefst 1,8 miljoen telefoonnummer afgetapt. De geheime dienst heeft de metadata van de telefoongesprekken verzameld. Hoeveel gesprekken ook daadwerkelijk zijn afgeluisterd is onduidelijk.
Dit blijkt uit data van Der Spiegel die al in juni is gepubliceerd. De context van de data ontbrak toendertijd. De Franse website Le Monde schept nu echter duidelijkheid. De metadata van telefoongesprekken bestaat uit zowel de locaties waar vandaan is gebeld als de telefoonnummers van beide gesprekspartners. De informatie zou per telefoonnummer zijn opgeslagen in een database van de NSA.
Afgeluisterde telefoongesprekken
Het is onduidelijk hoeveel telefoongesprekken daadwerkelijk zijn afgeluisterd. De NSA kan simpelweg een nummer uitkiezen om af te luisteren, waarna alle telefoongesprekken van en naar dit nummer automatisch worden opgeslagen.
"Dit kan natuurlijk niet", reageert Ronald van Raak van de SP tegenover Tweakers."De Tweede Kamer moet nu zelf verantwoordelijkheid nemen, want minister Plasterk blijft oorverdovend stil." Van Raak wil dat de Tweede Kamer zelf een onderzoek start en stelt voor klokkenluider Edward Snowden uit te nodigen in de Tweede Kamer. Hierbij zou de minister moeten garanderen dat Snowden niet wordt uitgeleverd aan de Verenigde Staten.
Nieuwe versies beschikbaar van ISO/IEC 27001 en 27002
De nieuwe versies van de internationale standaarden voor informatiebeveiliging ISO/IEC 27001 en 27002 zijn beschikbaar. De vertalingen van beide normen worden eind december verwacht.
NEN heeft vorige maand al een informatiebijeenkomst georganiseerd over de nieuwe versies van ISO/IEC 27001 en ISO/IEC 27002. Henk Keijzer van DEKRA opende de bijeenkomst met een inleiding op de ISO/IEC 27000 ‘familie’ en ISO/IEC 27001 in het bijzonder. Hij lichtte de wijzigingen van de nieuwe ISO/IEC 27001 toe en hoe de transitieperiode van de oude naar de nieuwe norm gaat verlopen. Waarschijnlijk zal er sprake zijn van een transitieperiode van twee jaar.
Ook Frank Fransen van TNO is aan het woord gekomen. Fransen richtte zich op de wijzigingen in ISO/IEC FDIS 27002:2013 en besprak de impact van deze wijzigingen. De security consultant van TNO stelt dat de nieuwe versies een hele verbetering zijn. De structuur van de nieuwe norm is volgens Fransen logischer, de standaard is meer bij de tijd en minder trendgevoelig en de richtlijnen zijn bovendien meer ‘to-the-point’. De bijeenkomst werd afgesloten door Jurjen Bos van Equens met een lezing over Public Key Infrastructure (PKI) en een lezing over eHerkenning door Haydar Cimen van KPN ITS.
Nederland organiseert vierde internationale cyberconferentie
Nederland organiseert de vierde internationale cyberconferentie. De conferentie staat voor 2015 op de planning. Digitale veiligheid staat tijdens de conferentie centraal.
De internationale cyberconferentie wordt georganiseerd door de ministeries van Buitenlandse Zaken en Justitie. Oud-minister van Buitenlandse Zaken Uri Rosenthal is door het Nederlandse kabinet gevraagd speciale vertegenwoordiger voor de cyberconferentie te worden.
Internationaal platform
De cyberconferentie is in 2011 voor het eerste georganiseerd door de Britten. De bijeenkomst is bedoeld als een internationaal platform waar gediscussieerd kan worden over de digitale wereld. De conferentie moet overheden samenbrengen en leiden tot gemeenschappelijke standpunten. Dit moet cyberbeveiliging en de aanpak van cybercriminaliteit verbeteren.
De kabinet ziet de conferentie als kans de positie van Nederland als kennisland te verstevigen. Naast de Britten organiseerde eerder ook Hongarije en Zuid-Korea de bijeenkomst.
Via: De Volkskrant
NSA-kantoor van Snowden was onvoldoende beveiligd
Het kantoor van de Amerikaanse inlichtingendienst NSA waar klokkenluider Edward Snowden heeft gewerkt was onvoldoende beveiligd. Dit stellen Amerikaanse overheidsfunctionarissen tegen persbureau Reuters.
Amerikaanse overheden hebben nieuwe anti-spionagesoftware tot hun beschikking die op alle overheidsmachines geïnstalleerd dient te worden. De software had ook op de machines van de NSA moeten staan, maar de geheime dienst had de software nog niet geïnstalleerd. De NSA zou te weinig bandbreedte beschikbaar hebben gehad om de software te kunnen installeren en effectief te laten draaien.
NSA is een uitzondering
De NSA is hiermee een uitzondering. Andere Amerikaanse overheidsdiensten zouden de software al wel hebben geïnstalleerd. De anti-spionagesoftware is specifiek bedoeld om het lekken van informatie tegen te gaan. Het ontbreken van deze software stelde Snowden in staat honderdduizenden documenten te downloaden en op te slaan. Deze documenten zijn inmiddels op grote schaal uitgelekt.
De beveiliging van de NSA is volgens de Amerikaanse overheidsfunctionarissen op dit moment weer op orde. Het lekken van informatie door Snowden zou de NSA hebben gedwongen de software versneld te installeren. Een dergelijk lek zou nu dus niet meer mogelijk moeten zijn.
Cryptografen halen 28.000 dollar op voor TrueCrypt-audit
Een groep cryptografen heeft voor de securityaudit van de populaire encryptiesoftware TrueCrypt al 28.000 dollar opgehaald. De cryptografen trekken de veiligheid van TrueCrypt in twijfel door de vele onthullingen over de afluisterpraktijken van de Amerikaanse geheime dienst NSA. De audit moet aantonen hoe veilig TrueCrypt daadwerkelijk is.
TrueCrypt is een gratis softwarepakket waarmee gebruikers bestanden en partities kunnen versleutelen. De code is open source en het is onduidelijk wie de software precies heeft geschreven. De software wordt wereldwijd veel gebruikt, maar is desondanks nog nooit aan een uitgebreide securityaudit onderworpen. De cryptografen willen hier verandering in brengen.
Backdoors en gaten
De audit moet aan het licht brengen of TrueCrypt backdoors of beveiligingsgaten bevat. Ook kunnen de encryptietechnieken die de software precies gebruikt nader worden bekeken. De cryptografen maken zich hier zorgen over nadat bekend werd dat de NSA doelbewust encryptiealgoritmen verzwakt of kraakt. Ook zou de dienst backdoors in software aanbrengen om toegang te kunnen krijgen tot versleutelde data.
De test moet worden uitgevoerd op TrueCrypt 7.1a, de nieuwste variant van de encryptiesoftware. De software is bekend op Windows, OS X en meerdere Linux-varianten. De audit moet dan ook op al deze besturingssystemen worden uitgevoerd om een goed beeld te krijgen van de beveiliging.
Persoonlijke gegevens van hotelbezoekers China liggen op straat
Wie onlangs in China een hotel bezocht heeft loopt het risico dat zijn persoonlijke informatie op straat ligt. De persoonlijke gegevens van duizenden hotelbezoekers in China worden op internet verkocht.
De website is aan het licht gekomen nadat een gebruiker van de Chinese microbloggingsite Weibo over de website schreef. De website heet Cha Kai Fang en biedt bezoekers de mogelijkheid een naam in te voeren in een zoekmachine. De website gaat vervolgens op zoek naar informatie die bij deze naam hoort. The Bejing News meldt dat een Chinese journaliste die haar eigen naam invoerde maar liefst 472 relevante resultaten te zien kreeg.
'Lek zit bij Huidayi'
Het is niet duidelijk hoe de informatie in handen van cybercriminelen terecht is gekomen. Chinese media vermoedde echter dat Huidayi, een bedrijf dat WiFi verzorgt voor veel Chinese hotelketens, de informatie heeft gelekt. Het bedrijf zou de beveiliging van zijn WiFi-netwerken niet op orde hebben. Een beveiligingslek in het systeem van Huidayi zou het mogelijk maken persoonlijke gegevens van hotelbezoekers te stelen.
Een woordvoerder van Huidayi meldt aan The Bejing News dat het gat inmiddels is gedicht. De woordvoerder benadrukt ook dat de informatie die op internet te koop is verschilt van de informatie die Huidayi over gebruikers verzameld.
Merkel-telefoon is innovatief en zeer veilig
Tegenwoordig bezit een aanzienlijk deel van de Nederlandse bevolking een smartphone of een tablet. Hoewel consumenten en bedrijven zich wel zorgen maken over de veiligheid van hun toestel in het geval dat deze gestolen wordt, en hiervoor bijvoorbeeld de app ‘Find my iPhone’ aanschaffen, is er nog te weinig kennis over de daadwerkelijke dreigingen. Smartphones en tablets zijn juist het meest kwetsbaar als zij nog gewoon in het bezit zijn van de gebruiker. De SiMKo 3 smartphone van Deutsche Telekom is daarop voorbereid.
Vorige week meldde RTL Nieuws dat zij het voor elkaar hadden gekregen om de telefoon van minister Ronald Plasterk vanaf afstand te laten blokkeren. Blijkbaar is het mogelijk om ieder willekeurige mobiele telefoon van de provider Vodafone te laten blokkeren, ongeacht je hiervan de eigenaar bent of niet. Een wachtwoord of controlevraag vond Vodafone maar onhandig voor als ze de telefoon bij diefstal moesten blokkeren. Geen fijn idee. Zeker niet als je beseft dat klanten van Vodafone twee jaar geleden al werden geconfronteerd met het feit dat voicemails eenvoudig te kraken waren. Hackers, maar in dit geval ook gewoon redacteuren van EenVandaag, kunnen op deze manier achter zeer persoonlijke informatie komen.
Provider is doelwit
Lekken en beveiligingsgaten bij providers zorgen in toenemende mate voor extreem lastig oplosbare problemen. Want cybercriminelen hacken al lang niet meer alleen financiële instanties, grote multinationals en energieleveranciers. Het is juist de provider die erop moet letten dat criminele organisaties zich geen weg weten te vinden naar zijn mobiele apparaten. En providers vormen inmiddels een belangrijk doelwit. Nog niet zo lang geleden publiceerde een hacker alle gestolen klantgegevens van KPN online. Dan is het niet de gebruiker die gehackt is, maar hij is wel de dupe.
Echter ontkomt de gebruiker er zelf ook niet meer aan. IT-experts van Telekom registreerde in 2012 maar liefst 30.000 aanvallen per maand op mobiele netwerken. De voorkeur ging daarbij uit naar aanvallen via mobiele apparaten. Hackers worden dan ook met de dag systematischer in de methode die ze hanteren. In plaats van alleen te kijken naar de zwakke punten van smartphones en tablets – zoals vroeger gebruikelijk was – proberen hackers tegenwoordig volledige adresboeken via mobiele apparaten uit te lezen. De hacker doet dit om data te stelen of om malware te installeren en het apparaat te misbruiken zonder dat het wordt opgemerkt. Bijvoorbeeld voor het verzenden van spam mails.
“Merkel-telefoon”
De Duitse telecomprovider Deutsche Telekom heeft besloten dat het tijd is voor een nieuw soort smartphone: een telefoon die zó veilig is, dat de gebruiker niet langer het slachtoffer kan worden van cybercriminelen die het voorzien hebben op hun persoonlijke data. Aangezien de Duitse bondskanselier Angela Merkel deze telefoon gebruikt, wordt de SiMKo 3 smartphone ook wel de “Merkel-telefoon genoemd.
SiMKo 3 security smartphone heeft met succes diverse testen van het Duitse federale bureau voor informatiebeveiliging (BSI) doorstaan. Hierdoor behaalde de telecomprovider officieel het beveiligingsniveau VS-NfD. Dit houdt in dat de smartphone zeer veilig is voor zakelijk gebruik met geclassificeerde informatie. Met name voor leden van de federale overheid en werknemers van ministeries is dat zeer essentieel. Zij kunnen nu als eerste groep een mobiel apparaat gebruiken, dat de nieuwe en zeer veilige L4-microkernel inzet als besturingssysteem voor het versturen van geclassificeerde informatie.
L4-kernel en Samsung
De geavanceerde beveiligingstechnologie L4 wordt direct geactiveerd zodra de gebruiker de smartphone inschakelt en neemt vanaf het eerste moment de controle over het apparaat over. Het staat dan ook alleen acties toe die het systeem als ‘veilig’ beschouwt. Daarnaast maakt de L4-kernel het mogelijk om op de smartphone zowel gebruik te maken van een beveiligd als een open besturingssysteem. Dit kan de gebruiker razendsnel inschakelen door te ‘swipen’: het van links naar rechts – of van boven naar beneden – vegen met de vinger op het beeldscherm van het mobiele apparaat. Hiermee schrijf je binnen het beveiligde systeem bijvoorbeeld vertrouwelijke berichten en rapporten, en binnen het open systeem houd je social media bij of plan je een volgende auto- of treinreis.
De L4-kernel zorgt er dus voor dat de gebruiker twee aparte besturingssystemen kan laten draaien op één apparaat. Het isoleert de data van het open systeem van de data uit het beveiligde systeem op een aanzienlijk hoog niveau. Op deze manier kan de gebruiker het zakelijke gebruik strikt scheiden van zijn privégebruik. De implementatie van de L4-kernel is bovendien mogelijk gemaakt door een nauwe samenwerking met developers van Samsung en de SiMKo 3 is dan ook gebaseerd op de Samsung Galaxy S3. Klanten die hoge eisen stellen aan de beveiliging, zoals overheidsfunctionarissen, maar ook de publieke sector en de industrie, kunnen nu gebruikmaken van één van de meest beveiligde smartphones die er bestaan.
Geëncrypte telefoongesprekken
Naast de beveiliging van gebruikelijke onderdelen, maakt de SiMKo 3 in de toekomst ook versleutelde telefoongesprekken via ‘Voice over IP’ mogelijk. De smartphone beschermt deze gesprekken door het toepassen van geavanceerde encryptiemethodes. De Duitse overheid rondt daarnaast de ontwikkeling van de Secure Multi-Network Voice Communication standaard (SNS-standaard) in de komende maanden af. Dit houdt in dat ook de versleutelde gesprekken aan deze standaard zullen voldoen. Een speciale cryptocard voorziet de telefoon tevens van professionele authenticatie. Hiermee is alle data versleuteld en alleen zichtbaar als de gebruiker is herkend. Bij verlies of diefstal kan een andere gebruiker nooit bij de persoonlijke data van de oorspronkelijke eigenaar. Tot slot is het voor de eigenaar mogelijk om persoonlijke content van de smartphone vanaf een afstand te wissen.
Bescherming en veiligheid van persoonlijke eigendommen, met name van mobiele apparaten als smartphones en tablets, is belangrijker dan ooit. Er liggen zelfs onzichtbare tegenstanders op de loer om gebruik te maken van gaten in de systemen. Met de SiMKo 3 brengt Deutsche Telekom samen met Samsung een smartphone met de best denkbare security-aspecten op de markt. Hackers, dieven of andere partijen hebben nu geen kans meer om in te breken, data te stelen of het apparaat vanaf afstand over te nemen. De SiMKo 3 is op alles voorbereid.
De zeer veilige SiMKo 3 smartphone is per direct beschikbaar en kost 1.700 euro in combinatie met een tweejarig abonnement. Deutsche Telekom werkt inmiddels aan een SiMKo-productreeks die ook geschikt is voor tablets en laptops. Een SiMKo 3-variant die ondersteuning biedt voor de snelle LTE-draadloze standaard is op korte termijn beschikbaar.
Patrick de Goede van Eijk, Solution Manager Security & Enterprise Architect bij T-Systems Nederland
IGEL Technology integreert authentificatietoepassing in thin clients
IGEL Technology integreert de authenticatietoepassing Imprivata OneSign ProveID Embedded in de firmware van zijn thin clients. Zorgwerkers kunnen hierdoor software en patiëntinformatie beveiligd benaderen vanaf elke locatie in de zorgstelling. Hiervoor hoeven zij slechts één wachtwoord te gebruiken.
De integratie van Imprivata OneSign ProveID Embedded in de firmware van de thin clients maakt het voor zorgwerkers mogelijk hun virtuele desktopomgevingen efficiënter te gebruiken. Relevante toepassingen en patiëntgegevens zijn beveiligd beschikbaar op ieder moment en op elke locatie.
Efficiëntere workflow
De workflow wordt door de integratie efficiënter. De zorgwerker kan halverwege een proces overschakelen naar een ander beeldscherm op een andere locatie. Hiervoor hoeft de gebruiker alleen zijn wachtwoord in te voeren op een andere locatie, waarna zijn werkplek wordt geladen.
De toegangssoftware wordt in eerste instantie alleen geïntegreerd in de thin client-model IZ1, wat de opvolger is van de UD2-LX Multimedia. De fabrikant kondigt aan Imprivata OneSign ProveID Embedded binnenkort ook te leveren op de overige thin clients in zijn assortiment.
Jeh Johnson wordt voorgedragen als minister van Binnenlandse Veiligheid
De jurist Jeh Johnson wordt door de Amerikaanse president Barack Obama voorgedragen als minister van Binnenlandse Veiligheid (Homeland Security). De benoeming moet nog officieel bekend worden gemaakt, maar het nieuws is door een aantal functionarissen van het Witte Huis alvast naar buiten gebracht.
Johnson volgt Janet Napolitano op als minister van Binnenlands Veiligheid. Johnson is bij het Pentagon gewerkt als jurist en wordt gezien als een belangrijke vertrouwelijk van president Obama.
Het Amerikaanse ministerie van Binnenlandse Veiligheid is verantwoordelijk voor de veiligheid van de Verenigde Staten. Het ministerie moet het land beschermen tegen alle soorten dreigingen waar de VS mee te maken krijgt, waaronder dus ook cybercriminaliteit. De National Security Agency (NSA) valt overigens onder het ministerie van Defensie en wordt dus niet de verantwoordelijkheid van Johnson.
IST Shareholder Services beveiligt online toegang tot documenten met Mydigipass.com
IST Shareholder Services gaat de online toegang tot aandeelhoudersdocumenten beveiligen met Mydigipass.com. Mydigipass.com is een cloudgebaseerde authentificatieplatform van VASCO dat gebruikers op veilige wijze toegang geeft tot applicaties.
IST Shareholders Services is een service agent voor aandeelhoudersregisters. Het bedrijf biedt allerlei diensten aan. Zo verzorgt het bedrijf account management voor aandeelhouders, maar kan het ook helpen bij het uitbetalen van dividend aan aandeelhouders. Ook voor het aankopen van nieuwe aandelen kunnen aandeelhouders bij het bedrijf terecht.
Online toegang tot aandeelhoudersdocumenten
Het bedrijf biedt klanten online toegang tot aandeelhoudersdocumenten. Het is van groot belang dat deze documenten alleen toegankelijk zijn voor de aandeelhouders voor wie deze bedoeld zijn. Het authentificatieplatform Mydigipass.com moet de toegang tot de documenten veiliger maken.
Klanten van IST Shareholder Services kunnen zich inschrijven op www.mydigipass.com en hier de gratis 'Digipass for Mobile' app downloaden. Gebruikers kunnen vervolgens door een QR-code te scannen inloggen op de applicatie van IST, waarna zij toegang krijgen tot hun documenten.
