Categorie: Security

About Security

Subscribe Feeds

Loggen van privé-gebruik van e-mail en internet op het werk mag niet zomaar

Geplaatst op in Privacy, Security, 5 reacties

Gevonden op Security.NL:

Het monitoren van telefoon- en internetverkeer van personeel in hun eigen huis door de werkgever is een schending van de mensenrechten, zo heeft het Europese Hof voor de Rechten van de Mens onlangs geoordeeld.

In de zaak Copland vs. het Verenigd Koninkrijk (zie ook Out-law.com)werd al het e-mail-, telefoon- en internet-verkeer van een medewerker gelogd. Het ging dan om verkeersgegevens (met wie belde of mailde ze, welke sites bezocht ze en op wel tijdstip) en niet op het opnemen van de inhoud zelf.

Het Europese Hof heeft al diverse malen eerder geoordeeld dat privé-telefoongesprekken op het werk ook onder het grondrecht van privacy vallen. In dit arrest wordt die lijn doorgetrokken naar privé-email en privé-internetgebruik.

Het bijhouden van privé-gebruik van telefoon, e-mail en internet op het werk mag dan alleen als dit bij wet geregeld is. In Nederland hebben we daarvoor de Wet Bescherming Persoonsgegevens. Op grond van deze wet is het toegestaan om netwerkverkeer te loggen om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Gebruikers moeten hierover wel worden geïnformeerd.

In het Verenigd Koninkrijk was er op dat moment nog geen vergelijkbare wet. En inbreuken op iemands privacy mogen alleen als er een wet is. Daarom werd het bedrijf in deze zaak in het ongelijk gesteld.

Arnoud

Charles Groenhuijsen boos over regels cameratoezicht op het werk

Geplaatst op in Privacy, Security, nog geen reacties

Charles Groenhuijsen maakt zich boos over de Nederlandse regels over cameratoezicht op het werk in zijn column Malligheid ten top: Excuus aan kantoordieven:

Wist u dat vorig jaar een kwart van de Nederlandse werknemers tijdens het werk werd bestolen? Ik wist niet er zo veel gestolen, gesnaaid, gegapt, gepikt en gejat werd. U wel?

Wat doe je er als baas tegen? Camera’s ophangen? Controle bij de uitgang? Fouilleren? Zo maar onverwacht ergens binnenlopen? Maar ho, ho, ho we zitten hier wel in Nederland. Dus dat gaat zo maar niet. Als je een camera ophangt zonder dat eerst met de halve wereld te hebben overlegd, ben je als werkgever strafbaar. Strafbaar? Ja, strafbaar!

In Nederland gelden bij cameratoezicht op het werk drie belangrijke beperkingen. Ten eerste mag de werkgever alleen specifiek die werknemers filmen die mogelijk betrokken zijn. Dus niet preventief iedereen.

Ten tweede moet de werkgever vooraf hebben gemeld dat er verborgen camera’s gebruikt kunnen worden (maar natuurlijk niet waar die staan). Dat melden kan niet zomaar: de OR heeft instemmingsrecht.

En ten derde moet het middel wel proportioneel zijn. Er moeten geen andere mogelijkheden zijn om de onregelmatigheden aan te pakken.

Het aparte aan deze regels -en wat Groenhuijsen lijkt te negeren in zijn tirade- is dat video-opnames die in strijd met deze regels zijn gemaakt, ontslagzaak wegens verduistering van geld uit de kassa vond de Hoge Raad dat, zelfs als de werkgever met het illegale cameratoezicht inbreuk zou hebben gemaakt op het privéleven van de verdachte, “dit nog niet betekent dat dit bewijsmateriaal in een procedure als de onderhavige niet mag worden gebruikt.”

Arnoud

Hoe bewijs je of er met bewijs op een PC geknoeid is?

Geplaatst op in Security, 1 reacties

In een zaak over cyberbelaging uit december vorig jaar werd de verdachte verweten dat ze zeer lasterlijke e-mailberichten, zogenaamd afkomstig van het slachtoffer, had verstuurd naar diens vrienden en kennissen. Bovendien waren er op allerlei onfrisse seks- en SM-sites contactadvertenties geplaatst -met foto.

Eén van de verweren was dat het toch mogelijk was dat de PC van de verdachte gehackt was door een onbekende derde. Die had zo het bewijs (de logs, de verzonden e-mails, bezochte webpagina’s etcetera) kunnen aanpassen of zelfs in zijn geheel kunnen vervalsen.

Hoe bewijs je dat nu? Je vraagt het een deskundige.

[De technisch rechercheur] heeft ter terechtzitting in hoger beroep op 7 november 2006 verklaard bij het technische onderzoek geen sporen van hacken te zijn tegengekomen. Gezien het aantal en de verschillende data van de op de pc’s aangetroffen webmailpagina’s is het volgens hem onwaarschijnlijk dat die berichten in één handeling van buitenaf op deze pc’s zijn geplaatst. Ook verklaart hij op de pc’s geen programma’s te zijn tegengekomen die van buitenaf toegang tot de desbetreffende pc verschaffen.
Tegen het feit dat [een tweede deskundige] ter terechtzitting in hoger beroep, sprekend over de theoretische mogelijkheid dat hem sporen van hacking zouden zijn ontgaan, heeft opgemerkt dat hacken niet uit te sluiten is, weegt op dat hij voor het feit dat dat zou zijn gebeurd (te weten dat die computers wèl gehackt zouden kunnen zijn geweest) geen enkele aanwijzing heeft gevonden en dat de aangetroffen sporen op de computers dermate in elkaar grijpen en interne consistentie vertonen dat het onwaarschijnlijk is dat de sporen anders dan door normaal gebruik van de computers – en dus niet door manipulatie van buitenaf – op die computers terecht zijn gekomen.

Oftewel, theoretisch gezien kan niet met absolute zekerheid worden uitgesloten dat “hacking” heeft plaatsgevonden. Maar gezien deze feiten is de kans dat ook echt gebeurd is, dermate klein dat deze verwaarloosd mag worden. Het gaat bij het recht nooit om absolute zekerheid, dat zou ook niet kunnen.

Arnoud

Planet – Hacker steelt computerspel ‘van ontwerptafel’

Geplaatst op in Security, 1 reacties

Vanochtend op Planet: Hacker steelt computerspel ‘van ontwerptafel’.

Een 21-jarige man uit Beusischem heeft bekend dat hij het afgelopen halfjaar heeft ingebroken in het systeem van een internationale fabrikant van computerspellen. Hij heeft daarbij een computerspel gestolen dat nog in ontwikkeling was.

Dit meldt het landelijk parket van het Openbaar Ministerie (OM) donderdag. Het gaat om een spel van een internationale softwareproducent, die in Griekenland is gevestigd, aldus justitie. De hacker heeft beschermde e-mailadressen gekraakt en privé- en bedrijfsinformatie gestolen om verdere toegang te krijgen tot het systeem van de producent. Justitie maakte niet bekend om welk spel en welke fabrikant het gaat.

Dit is dus Computervredebreuk met gegevensdiefstal waar een straf van maximaal vier jaar cel op staat.

Arnoud

Angst voor cybercrime groter dan werkelijke risico’s

Geplaatst op in Security, nog geen reacties

Perceptie van angst blijkt vaak zwaarder te wegen dan de objectieve risico’s, zo blijkt uit een onderzoek van beveiligingsbedrijf NOD32 (gevonden via ADManager).

Door gebrekkige informatievoorziening over de beveiligingsrisico’s van internetactiviteiten, verschilt de veiligheidsperceptie van consumenten sterk van de werkelijkheid. Internetgebruikers passen hun surfgedrag aan op basis van perceptie, niet op feiten.

Het blijkt dat men zich het meeste zorgen maakt bij online winkelen vanwege de mogelijke risico’s bij het afrekenen. Als daarbij geen beveiligde verbinding wordt gebruikt, kan iemand die meekijkt er zo met mijn creditcard-gegevens vandoor.

Op zich een risico, maar hoe groot is dat nu? Welke hacker gaat een hele avond mijn Internet afluisteren in de hoop dat ik net die avond een aankoop met mijn creditcard ga doen? Hij breekt gewoon in bij de server van de webwinkel. Lijkt me een stuk efficiënter.

Arnoud

Hoe beveilig je vooral niet een USB-stick

Geplaatst op in Security, 2 reacties

Vandaag op Tweakers: Secustick biedt schijnveiligheid.

USB-sticks bevatten steeds meer gevoelige gegevens, en zijn natuurlijk kwetsbaar voor diefstal en ongeautoriseerde toegang. Een verstandige gebruiker zorgt er dan ook voor dat zijn stick voorzien is van encryptie-software en andere beveiliging. Dat kun je zelf doen (met b.v. Truecrypt) maar er komen ook steeds meer sticks met ingebouwde beveiliging.

Eentje daarvan is de Secustick. Niet alleen werkt deze met een wachtwoord, maar een hij vernietigt zichzelf als te vaak een verkeerd wachtwoord wordt ingevoerd. Klinkt spannend, zeker als je bedenkt dat het nog helemaal niet makkelijk is om een USB-stick zichzelf te laten vernietigen. Waar haal je de energie vandaan? En mag zo’n ding eigenlijk nog wel door de controle bij het vliegveld?

Vragen die ze zich bij Tweakers ook stelden. In een zesdelig verslag werd het ding eens flink aan de tand gevoeld. En daarbij deden ze een paar opmerkelijke ontdekkingen, die leidden tot de volgende conclusie:

Ons advies mag duidelijk zijn: iemand die 130 euro over heeft voor een mooie metalen usbstick met ophangkoordje kan gerust een Secustick aanschaffen; degene die graag zijn gegevens veilig meeneemt doet er verstandiger aan een beter exemplaar te zoeken of een gewone stick te gebruiken met een programma als TrueCrypt.

Mooi stukje doghouse security dus.

Arnoud

Big Brother is een zeur

Geplaatst op in Iusmentis, Security, nog geen reacties

George Orwell zat ernaast: die privacyschendingen zijn niet gevaarlijk, maar vooral irritant.

Ik stel me voor dat het terechtwijzen van een wildplasser ongeveer zo gaat:

‘Hallo, u daar!’

De wildplasser kijkt om en ziet… niemand. Hij kijkt nog eens in zijn halflege fles jenever en neemt zich plechtig voor nooit meer te drinken.

Lees verder bij Planet.

Arnoud

Belastingdienst: “Gebruik de DigiD van uw buurman maar”

Geplaatst op in Security, nog geen reacties

Vanochtend op NU.nl: “Wie zijn belastingaangifte nog via internet wil indienen, maar geen DigiD heeft kan die van zijn of haar buurman gebruiken.”

Niet bepaald logisch, een DigiD is tenslotte je persoonlijke code voor vertrouwelijke communicatie met de overheid. “Schrijf uw DigiD nooit ergens op. Op deze wijze voorkomt u dat anderen al dan niet opzettelijk inzicht krijgen in uw persoonlijke wachtwoord.”, adviseert de DigiD site dan ook.

Een paar uur later kwam dan gelukkig ook de mededeling dat ‘Gebruik andermans DigiD’ een verkeerd advies was.

Commentaar van Wanda van Kerkvoorden van SOLV:

Dat lijkt mij een understatement. Ik zou het een redelijke blunder willen noemen. Met je DigiD moet je nu juist persoonlijk en vertrouwelijk met de overheid kunnen communiceren. Ook de “oplossing” die nu gesuggereerd wordt, om, zoals wordt gesteld, mensen toch enigszins tegemoet te komen, desnoods aan iemand anders te vragen om hun aangifte te versturen zonder dat ze inzage krijgen in de codes van de ander, kan mijns inziens niet door de beugel.

Arnoud

Movie-plot security

Geplaatst op in Security, nog geen reacties

Te vaak worden veiligheidsmaatregelen genomen tegen zeer onwaarschijnlijke maar ernstig klinkende scenario’s, die zo uit een slechte film lijken te komen. Beveiligingsdeskundige Bruce Schneier organiseert daarom weer een Movie-Plot Threat Contest. Wie verzint het slechtste filmplot over een vliegtuigkaping met een doodgewoon voorwerp?

Your goal: invent a terrorist plot to hijack or blow up an airplane with a commonly carried item as a key component. The component should be so critical to the plot that the TSA will have no choice but to ban the item once the plot is uncovered. I want to see a plot horrific and ridiculous, but just plausible enough to take seriously.

De resultaten van vorig jaar bieden wellicht goede inspiratie.

Arnoud