Online betalen grootste risico bij zakelijke e-commerce

| AE 402 | Security | Er zijn nog geen reacties

Op Techzine las ik over de risico’s van online betalen zoals gemeten in de ICT Barometer van Ernst & Young:

Bijna de helft van de ondervraagde bedrijven zegt regelmatig te kampen te hebben met criminaliteit op het internet. Dit geldt in het bijzonder voor de middel- en kleinbedrijven. Betalen met een creditcard is in de ogen van twee op de vijf ondervraagden het meest riskant. Een op de vijf ondervraagden vindt betalen met het betalingssysteem iDeal gevaarlijk.

Nu kleven er zeker risico’s aan creditcard-betalingen, maar die zijn grotendeels hetzelfde als bij offline betalen met je creditcard: je geeft een nummer aan een bedrijf, dat dan belooft niet meer af te boeken dan je moet betalen.

En nee, er liggen echt geen hackers op de loer bij uw ADSL-verbinding in de hoop dat ze die zestien cijfers plus vervaldatum en CVV langs zien komen. Waarom zouden ze? Gewoon de database bij de winkel hacken is veel efficiënter. In tegenstelling tot uw verbinding met die winkel is die database zelden versleuteld en vaak nog via internet toegankelijk ook.

En nog een opmerking uit het -niet linkbare(!)- persbericht, van Jacob Verschuur, directeur ICT Leadership bij Ernst & Young:

Op de meeste plekken ter wereld kun je zelf aangeven wanneer je de bestelde online goederen geleverd wilt hebben, terwijl dat hier nog steeds tussen de traditionele kantooruren is. We lopen in Nederland ver achter op dit gebied en dat kan gezien de snelheid waarmee online winkelen zich ontwikkelt echt niet meer.

Hear hear. En het zou al heel wat zijn als zo’n leverancier kan zeggen wanneer hij er is. En dan bedoel ik niet “tussen tien en vier uur” maar een tijdstip met een marge van laten we zeggen een half uur.

Arnoud

Apple watermerkt helemaal niets

| AE 248 | Intellectuele rechten, Security | 2 reacties

Een tijdje geleden was er veel te doen over de DRM-vrije muziek die Apple verkocht. Apple bleek de naam van de koper in het muziekbestand te hebben gestopt. Schandalig, was de algemene reactie. Apple schendt de privacy, Apple is iets omineus van plan, stel iemand steelt je iPod dan weet hij hoe je heet, kortom het moet niet gekker worden. Maar hoera, er is nu een tool die deze data er uit sloopt: Privatunes.

Wie enig sarcasme meent te ontdekken in het bovenstaande, heeft volkomen gelijk.

Want wat is het geval. Die klantinformatie al sinds dag een in de muziek. Niks watermerk, gewoon onderdeel van de metadata, net als de naam van de artiest, de titel enzovoorts. Kijk maar, het staat gewoon in de ID3-specificatie dat je dat kunt doen:

The ownership frame might be used as a reminder of a made transaction or, if signed, as proof. Note that the “USER” and “TOWN” frames are good to use in conjunction with this one.

Apple vult dus gewoon netjes alle velden in, en heeft er niet bij stilgestaan dat iedereen dat kan zien als je het bestand vervolgens zonder encryptie uitlevert aan een klant. Sterker nog: als het een watermerk was geweest, dan had je je naam nooit gezien. Watermerken zitten tenslotte verstopt.

Vervolgens concludeerde een domme security consultant zonder kennis van de feiten dat Apple wel watermerken zou gebruiken. En dat werd dan vervolgens als feit overgenomen door alle media. Jammer!

Altijd je bronnen controleren voordat je blogt dus.

Arnoud

Hoe beveilig je vooral niet een USB-stick

| AE 64 | Security | Er zijn nog geen reacties

Vandaag op Tweakers: Secustick biedt schijnveiligheid.

USB-sticks bevatten steeds meer gevoelige gegevens, en zijn natuurlijk kwetsbaar voor diefstal en ongeautoriseerde toegang. Een verstandige gebruiker zorgt er dan ook voor dat zijn stick voorzien is van encryptie-software en andere beveiliging. Dat kun je zelf doen (met b.v. Truecrypt) maar er komen ook steeds meer sticks met ingebouwde beveiliging.

Eentje daarvan is de Secustick. Niet alleen werkt deze met een wachtwoord, maar een hij vernietigt zichzelf als te vaak een verkeerd wachtwoord wordt ingevoerd. Klinkt spannend, zeker als je bedenkt dat het nog helemaal niet makkelijk is om een USB-stick zichzelf te laten vernietigen. Waar haal je de energie vandaan? En mag zo’n ding eigenlijk nog wel door de controle bij het vliegveld?

Vragen die ze zich bij Tweakers ook stelden. In een zesdelig verslag werd het ding eens flink aan de tand gevoeld. En daarbij deden ze een paar opmerkelijke ontdekkingen, die leidden tot de volgende conclusie:

Ons advies mag duidelijk zijn: iemand die 130 euro over heeft voor een mooie metalen usbstick met ophangkoordje kan gerust een Secustick aanschaffen; degene die graag zijn gegevens veilig meeneemt doet er verstandiger aan een beter exemplaar te zoeken of een gewone stick te gebruiken met een programma als TrueCrypt.

Mooi stukje doghouse security dus.

Arnoud