Tag: Beveiliging

About Beveiliging

Subscribe Feeds

Suske en Wiske en de Sinistere Site

Geplaatst op in Security, nog geen reacties

Suske en Wiske gaan Nederlandse scholieren veilig leren internetten, zo meldt NU.nl. Dat is op zich een aardig idee, maar is het echt zo nieuw? Al in december 2005 kregen Belgische scholieren dit boekje.

Op Suske en Wiske op het WWW lees ik:

Suske en Wiske en de Sinistere Site Het verhaal draait om een tovenaar, Zwanzerik, die kinderen via een betoverde site naar zich toe lokt. Ook Wiske trapt in de val en wordt het internet in geflitst. Haar vrienden reizen Wiske achterna om haar uit de handen van de tovenaar te redden. Aan de hand van de avonturen die de striphelden beleven worden de gevaren van internet blootgelegd en wordt verteld hoe deze vermeden kunnen worden. Op de laatste 4 bladzijden van het album staan tips voor de kinderen.

Het boek is in ieder geval online te bestellen:

De prijs van een album bedraagt € 1,00 per stuk, de hoogte van de bijdrage in de administratie en verzendkosten is afhankelijk van uw bestelling (aantal exemplaren en leveringswijze). De albums worden in september geleverd.

Arnoud

Hoe herken je een fotograferende terrorist?

Geplaatst op in Iusmentis, Security, nog geen reacties

Kunst op de openbare weg mag je fotograferen of filmen. Maar dat gaat niet voor iedereen even makkelijk. Bruce Schneier komt met dit mooie filmpje over het filmen van bruggen en nucleaire reactors. Motto: je kunt je beter kleden als Amerikaanse toerist (met Hawaiishirt en grote camera) dan als Arabier als je dat van plan bent.

Arnoud

Vrijspraak in hoger beroep denial-of-service aanval

Geplaatst op in Informatiemaatschappij, Security, nog geen reacties

In hoger beroep is onlangs een man vrijgesproken van de aanklacht dat hij denial-of-service of verstikkingsaanvallen zou hebben uitgevoerd, zo meldt Solv. In november 2005 kreeg de man een geldboete opgelegd wegens het opzettelijk vernielen of onbruikbaar maken van een geautomatiseerd werk.

Planet legt uit:

De verdachte computerprogrammeur was door de grote hoeveelheid spam die hij ontving zodanig geïrriteerd dat hij de websites van de twee afzenders bombardeerde met mails, bestellingen en faxberichten. Dit maakte de bedrijven onbereikbaar via web en fax.

Het orderverwerkingssysteem raakte overbelast en werkte niet meer. De internetserviceprovider heeft ook nog eens het bedrijf afgesloten vanwege de grote hoeveelheden verkeer.

Tegenwoordig zou een aanval als deze letterlijk onder artikel 138b Wetboek van Strafrecht vallen als verstikkingsaanval, maar omdat het gebeurd was voor 1 september vorig jaar, en het artikel pas toen werd ingevoerd, mag hij daaronder niet vervolgd worden.

Onder de oude wet werd hij veroordeeld wegens het verstoren van de werking van het netwerk van de provider in kwestie. Dit is strafbaar onder artikel 161sexies Wetboek van Strafrecht. Maar bij deze aanval werden alleen de computers van de provider gestoord, en niet het Internet of een ander openbaar telecommunicatienetwerk. En het artikel eiste nu eenmaal dat je een openbaar netwerk stoort en niet alleen maar een lokaal netwerk dat daar aan hangt.

Een andere insteek is dat door de verstikkingsaanval de IP-adressen, E-mailadressen en/of internetwebsite van het slachtoffer niet meer bereikbaar waren. Het is namelijk ook strafbaar om gegegvens te vernielen of ontoegankelijk te maken. Vroeger heette dat “het onbruikbaar maken en ontoegankelijk maken van gegevens”. Als je nu deze IP-adressen, E-mailadressen en /of website als gegevens ziet, dan zou je kunnen zeggen dat deze onbruikbaar en ontoegankelijk gemaakt worden door een verstikkingsaanval.

Maar, zo oordeelt het Hof in haar arrest, dat is alleen het geval als die gegevens zelf zijn gewist, gemanipuleerd of veranderd. En dat is hier natuurlijk niet zo. De IP- en e-mailadressen zijn niet aangeraakt, dus daar is niets aan vernield. Ze waren alleen ontoegankelijk van buitenaf.

Niet elk onbruikbaar of ontoegankelijk maken daarvan [valt] onder de werking van artikel 350a van het Wetboek van Strafrecht. Dit is slechts het geval indien die gegevens zelf zijn gewist, gemanipuleerd of veranderd.

Uit de inhoud van het dossier en het verhandelde ter terechtzitting is daarvan niet gebleken. Integendeel, van aantasting van de IP-adressen, E-mailadressen en/of website van aangever was geen sprake; zij zijn onbruikbaar en ontoegankelijk geworden door de veelheid van berichten die er door toedoen van verdachte naar werden verzonden.

De verdachte werd dan ook vrijgesproken.

Arnoud

Utah wil porno via draadloze netwerken verbieden

Geplaatst op in Security, 1 reacties

Meeliften op andermans netwerk is strafbaar als computervredebreuk. Sinds 1 september 2006 ook als daarbij geen beveiliging wordt doorbroken. Computercriminelen zijn zo dus makkelijker aan te pakken.

Maar wat moeten we met de omgekeerde situatie: iemand zet zijn netwerk open, en allerlei onfrisse derden plegen misdrijven via dat netwerk? Moet je strafbaar zijn als je geen wachtwoord instelt? Dan houden nuttige diensten als FON snel op natuurlijk.

In de Amerikaanse staat Utah wordt gepleit voor het volledig verantwoordelijk houden van netwerkbeheerders voor wat er via hun draadloos netwerk gebeurt, zo meldt Security.NL:

“Als je voor een draadloos netwerk kiest, en iedereen maar toestaat om het te gebruiken, dan ben je daar verantwoordelijk voor, en moet je maatregelen nemen om te voorkomen dat minderjarigen van je dienst gebruik maken”, aldus Preston.

Het idee is dat netwerkbeheerders niet zomaar ongecontroleerd iedereen toegang mogen verschaffen, maar of een wachtwoord, of een filter moeten installeren op wat er gedaan kan worden met het netwerk. Ik heb het altijd raar gevonden dat de eis van een beveiliging werd afgeschaft in de Wet Computercriminaliteit, maar ja dat moest van Europa heet het dan. Mij lijkt een wachtwoord dan wel het minste.

Arnoud

Zoekt de OPTA werkgelegenheid?

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, Security, 1 reacties

De OPTA, de Onafhankelijke Post en Telecommunicatie Autoriteit, wil “passende technische en organisatorische maatregelen” invoeren voor internetaanbieders, zo schreef ik vrijdag.

Deze maatregelen gaan bijvoorbeeld over het filteren of blokkeren van netwerkverkeer dat niet hoort voor te komen, of het helpen bij installeren van firewalls of virusscanners.

Simon Hania, technisch directeur van XS4All op het Opinieweblog vindt dit nergens voor nodig.

Ten eerste zitten de meeste problemen niet bij Nederlandse providers, omdat die zich over het algemeen al goed beveiligen. De meeste problemen zitten bij slecht beheerde servers in het buitenland.

Maar de belangrijkste reden:

Maar waarom ik vooral tegen deze regelzucht ben, is omdat de maatregelen zodanig standaard zijn, dat ze allang door elke welopererende ISP in Nederland genomen zijn. En met de huidige consolidatiegolf in de markt zijn er alleen nog maar weloperende ISPs. We gaan dus nu een reguleringcircus optuigen voor iets dat er al is. Da’s nodeloos ambtenaren aan het werk zetten.

Arnoud

“Jij hebt 10% kans op privacy inbreuk”

Geplaatst op in Privacy, Security, nog geen reacties

De helft van de Nederlanders is niet bekend met de mogelijkheden van computerbeveiliging, zo meldt Nu.nl. Toch vindt 94 procent de beveiliging belangrijk. Dat blijkt uit een onderzoek van TNS NIPO in opdracht van internetprovider Tiscali.

Om de bekendheid van beveiliging te vergroten, heeft Tiscali de site “Veilig internetten doe je zo” opgezet. Het doel:

Iedereen die van internet gebruik maakt loopt bepaalde risico’s. Veel mensen zijn zich hier niet van bewust. Omdat de gevolgen desastreus kunnen zijn, is het belangrijk dat je weet hoe je je er tegen kan beschermen.

Met ‘Veilig internetten doe je zo!’ krijg je in 3 korte stappen een indicatie van hoeveel risico je momenteel loopt. Vervolgens geven we je een persoonlijk advies waarin helder staat weergegeven wat jij, op basis van je persoonlijke situatie, kunt doen om je beter te beschermen.

Gelukkig valt het bij mij wel mee allemaal:

Op basis van jouw antwoorden op de vragen blijkt dat jij 23% kans hebt dat je anderen besmet. Je bent redelijk beveiligd maar niet optimaal.

Op basis van jouw antwoorden op de vragen blijkt dat jij 10% kans hebt op privacy inbreuk. Je bent voldoende beveiligd.

Arnoud

Gepakt voor illegaal gebruik van netwerk van de buren

Geplaatst op in Security, 1 reacties

Twee mensen in Groot-Brittannië zijn gearresteerd omdat ze andermans draadloos netwerk gebruikten zonder toestemming, zo las ik op Sync.nl. Iets meer achtergrond bij de BBC: Two cautioned over wi-fi ’theft’

Zoals ik het begrijp, zijn de twee gearresteerd omdat ze door verontruste buurtbewoners gezien waren terwijl ze in hun auto zaten te typen op hun laptop. Ik ben dan wel benieuwd hoe die buurtbewoners zagen dat her ook ge-internet werd. Overigens hadden de twee niets met elkaar te maken.

Apart vond ik de tenlastelegging, zoals Sync.nl die beschreef:

De man die afgelopen weekend opgepakt is kreeg een verbaal aan zijn broek voor het ‘ongerechtigd toe-eigenen van electronische communicatiediensten met het doel betaling te ontduiken’ [vrij vertaald uit het Engels].

Dat lijkt mij het verkeerde wetsartikel. Of het is een hoogst originele invulling van dat artikel.

Bij ons is meeliften op andermans netwerk strafbaar als computervredebreuk. Sinds september vorig jaar ook als daarbij geen beveiliging wordt doorbroken. En de eerste arrestatie daarvoor was vlak nadat die wetswijziging er doorkwam.

Nu is ook bij ons het afnemen van betaaldiensten zonder te betalen verboden (artikel 326c Wetboek van strafrecht), maar dat artikel wordt hier toch echt alleen gebruikt voor mensen die kabeltelevisie kijken of iets dergelijks.

Meeliften op andermans internetverbinding is natuurlijk wel “gebruik maken van een betaaldienst zonder te betalen”, maar gebeurt dat “door een technische ingreep of met behulp van valse signalen” zoals het wetsartikel eist? Ik zou het niet weten als iemand gewoon zijn draadloze access point slecht beveiligt.

Hoe dan ook, je draadloos netwerk beveiligingen blijft een must.

Arnoud

OPTA wil zorgplicht internetaanbieders aanscherpen

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, Security, 1 reacties

Providers moeten “passende technische en organisatorische maatregelen” treffen voor de bescherming van persoonsgegevens en privacy van gebruikers, en de beveiliging van hun netwerken. De OPTA, de Onafhankelijke Post en Telecommunicatie Autoriteit, ziet toe op naleving van deze zorgplicht.

Wat zijn nu “passende” maatregelen? Dat wilde de OPTA ook graag weten, en ze hebben dan ook een onderzoek laten uitvoeren door het bedrijf Stratix over de bestaande en toekomstige dreigingen voor consumenten op Internet. Meer over het onderzoek bij ISPam.nl.

Op basis van dit onderzoek heeft de OPTA een “voorlopig standpunt” ingenomen. En nu is het de vraag aan iedereen die interesse heeft wat ze hier van vinden.

Uit het onderzoek komen de volgende dreigingen naar voren:

Er werden -gelukkig- ook een hoop oplossingen voorgesteld, die de OPTA indeelt in drie categorieen: basismaatregelen (die zijn duidelijk passend), best practices (daar moet over gepraat worden) en te hoog gegrepen maatregelen (die zijn, ehm, te hoog gegrepen en dus niet passend).

Bij de basismaatregelen moet je denken aan het filteren of blokkeren van netwerkverkeer dat niet hoort voor te komen, zoals data verstuurd vanaf een lokaal netwerk dat afkomstig lijkt te zijn uit een heel ander netwerk. Dat kan normaal niet voorkomen, dus dat moet wel een hackpoging zijn.

Ook het aanbieden van virusscanners en het geven van voorlichting over dreigingen en tegenmaatregelen, zoals hoe je een firewall of virusscanner moet installeren, horen tot de basismaatregelen.

Spam filteren ligt iets lastiger, want niet alle klanten willen dat hun provider dat voor ze doet. Daarom krijgt dit de status van best practice en niet van basismaatregelen. Hetzelfde geldt voor het blokkeren van poorten waarlangs Trojaanse paarden een PC kunnen infecteren. Dat kan immers soms legitiem netwerkgebruik storen.

Maar waarom het benaderen van een klant wiens PC als zombie wordt ingezet geen basismaatregel is, begrijp ik niet.

Er waren nog veel meer suggesties gedaan, bijvoorbeeld ter beveiliging van DNS, maar daar was kennelijk nogal wat onenigheid over, want die worden weggezet onder het kopje “te hoog gegrepen”.

Wie na het lezen van het rapport suggesties heeft, kan ze vóór 16 mei mailen naar de OPTA (e-mail adres in het rapport).

Tip via Planet – Opta wil zorgplicht internetaanbieders aanscherpen.

Arnoud

Over Security Architectuur

Geplaatst op in Security, nog geen reacties

Vorige week zaterdag schreef Peter Rietveld een column over de ontwikkeling van de IT security architectuur:

Iedere zichzelf respecterende organisatie beschikt er al over of is op zijn minst bezig met het opstellen ervan: een IT-architectuur. Dit begrip, overgewaaid uit de Verenigde Staten, staat voor een set van documenten die de informatievoorzieningen van een grotere club beschrijven. … Er was niets logischer dan dat er ook een beveiligingsarchitectuur zou ontstaan, die beschrijft hoe een set van beveiligingstechnologieën en processen gezamenlijk zorgt voor een veilige werkomgeving.

Maar helaas, zo is het niet gegaan. Architectuur veranderde van beschrijvend in vóórschrijvend.

En kan dat wel werken bij de security architectuur? Niemand had tien jaar geleden verwacht dat virussen en wormen zo’n groot probleem zouden worden. Wat staat ons dan over tien jaar na nu te wachten?

Lees verder in Over Security Architectuur.

Arnoud

Loggen van privé-gebruik van e-mail en internet op het werk mag niet zomaar

Geplaatst op in Privacy, Security, 5 reacties

Gevonden op Security.NL:

Het monitoren van telefoon- en internetverkeer van personeel in hun eigen huis door de werkgever is een schending van de mensenrechten, zo heeft het Europese Hof voor de Rechten van de Mens onlangs geoordeeld.

In de zaak Copland vs. het Verenigd Koninkrijk (zie ook Out-law.com)werd al het e-mail-, telefoon- en internet-verkeer van een medewerker gelogd. Het ging dan om verkeersgegevens (met wie belde of mailde ze, welke sites bezocht ze en op wel tijdstip) en niet op het opnemen van de inhoud zelf.

Het Europese Hof heeft al diverse malen eerder geoordeeld dat privé-telefoongesprekken op het werk ook onder het grondrecht van privacy vallen. In dit arrest wordt die lijn doorgetrokken naar privé-email en privé-internetgebruik.

Het bijhouden van privé-gebruik van telefoon, e-mail en internet op het werk mag dan alleen als dit bij wet geregeld is. In Nederland hebben we daarvoor de Wet Bescherming Persoonsgegevens. Op grond van deze wet is het toegestaan om netwerkverkeer te loggen om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Gebruikers moeten hierover wel worden geïnformeerd.

In het Verenigd Koninkrijk was er op dat moment nog geen vergelijkbare wet. En inbreuken op iemands privacy mogen alleen als er een wet is. Daarom werd het bedrijf in deze zaak in het ongelijk gesteld.

Arnoud