Category Archives: IT Beveiliging

Symposium E-Discovery 2018: General Data Protection Regulation en het nut van E-Discovery

Het symposium E-discovery 2018 raakte noodzaak én actualiteit. Aanleiding voor dit symposium was de intreding van de Europese privacywet General Data Protection Regulation (GDPR), die t op 25 mei 2018 in werking is getreden. Volgens de Nationale Privacy Benchmark 2017 was 80% van de Nederlandse bedrijven en overheden nog niet klaar voor deze privacywet, die de bescherming van persoonsgegevens regelt. Maar liefst 60% van de bedrijven en overheden wist zelfs niet waar gegevens van burgers of klanten opgeslagen zijn.

Tijdens het symposium spraken professionals over het nut van e-discovery oplossingen en technieken, die (verder) helpen bij het in kaart brengen en verwerken van persoonsgegevens in organisaties. Ook werd er aandacht besteed aan digitaal archiveren in het kader van information governance en aan het juridische spanningsveld tussen E-Discovery en de GDPR. Uiteraard kwam de relatie tussen de GDPR en het Internet of Things aan de orde.

Een Sfeerimpressie:

Share This:

AI is not good or bad, nor is it neutral, TEDx van Lokke Moerel

In een TEDx in Amsterdam ging prof.dr. Lokke Moerel, hoogleraar Global ICT Law aan de Universiteit van Tilburg, in op de positieve en negatieve aspecten van kunstmatige intelligentie. Ze gaat uitgebreid in op de grote impact die kunstmatige intelligentie heeft op de ontwikkeling van (en het bewustzijn aangaande) menselijke vooronderstellingen. Want kuntmatige intelligentie kan die vooroordelen ten goed en ten kwade tot uitdrukking brengen. Het is immers niet neutraal. De kwaliteit van de data die door de algoritmes wordt geanalyseerd is sterk bepalend voor wat die ‘intelligentie’ kan doen. Lokke Moerel behoort tot de belangrijkste privacy advocaten ter wereld. Ze is onderdeel van het privacy en cybersecurity team van het Amerikaanse advocatenkantoor Morrison & Foerster. De Ted-talk hieronder schetst in tien minuten de essenties van het feit dat AI niet neutraal is.

Share This:

Infographic: Increasing online trust

De Online Trust Alliance voert jaarlijks een audit uit naar de bescherming van  burgers en hun gegevens. Voor 2015 werden bijna 1000 websites van grote banken, retailers, sociale media bedrijven, kranten, tv-bedrijven, uitgevers, muziekmaatschappijen, nieuwssites, regeringsinstellingen en Internet of Things-sites ge-audit. 44% van deze websites voldeed aan de criteria van klantbescherming en privacy. 45% van de bedrijven faalde hierin echter, wat zorgwekkend is. En let wel: dat de websites voldoen aan de criteria van klantbescherming en privacy betekent niet dat de privacy van klanten daadwerkelijk gewaarborgd is!

 
Increasing online trust

Share This:

Zo lek als een mandje, of ‘A gift for the hackers’

KRO Reporter zond in december 2013 een documentaire uit over de risico’s van de printers, scanners en NAS-apparatuur die benaderbaar zijn zijn vanaf het internet door anderen, omdat ze (default instelling) niet beveiligd zijn met een wachtwoord: een cadeautje voor hackers. Dit cadeautje kan hackers een schat aan persoonlijke en vertrouwelijke informatie opleveren van grote bedrijven, maar ook van particulieren. Elektronische patiënteninformatie, paspoorten en financiële gegevens waren onbeveiligd. KRO Reporter deed onderzoek. De documentaire werd in januari 2013 met een Engelse voice-over door Journeyman.tv internationaal verspreid. Hoewel het specifieke probleem ondertussen is opgelost zijn dit soort problematische beveiligingslekken aan de orde van de dag. Een opmerking past er wel bij: het is niet zo simpel als wordt verteld. In die zin is de reportage enigszins misleidend. Maar het wijst op een duidelijk probleem: er is te weinig beveiliging ingebouwd in het ontwerp van de systemen zelf…

Share This:

BBC Horizon: Inside the Dark Web

Een recente documentaire van BBC Horizon over de ‘mass surveillance’ die moderne technologie verbonden met het Internet mogelijk maakt. De BBC introduceert de aflevering als volgt: ‘Twenty-five years after the world wide web was created, it is now caught in the greatest controversy of its existence – surveillance. With many concerned that governments and corporations can monitor our every move, Horizon meets the hackers and scientists whose technology is fighting back. It is a controversial technology, and some law enforcement officers believe it is leading to risk-free crime on the dark web – a place where almost anything can be bought, from guns and drugs to credit card details’.

Het is altijd de afweging tussen de bescherming van persoonlijke gegevens en de bescherming van het algemeen belang. Het vinden van de balans daartussen is de grootste uitdaging van deze tijd. Wat zijn de grenzen van privacy? Wat zijn de grenzen van wat de overheid mag doen? Wanneer is ‘surveillance’ in het algemene belang en wanneer niet? Vragen waar nog steeds geen antwoord op mogelijk is.

Een schot voor de boeg: aan het grenzeloos verzamelen van persoonlijke data zou onmiddellijk paal en perk gesteld moeten worden, zeker als dat door het private bedrijfsleven gebeurt. Voor overheidsorganen zou het ook moeten worden verboden, maar er zou in het kader van het algemeen belang wel moeten worden bepaald welke data verzameld mogen worden en hoe lang die ter beschikking zouden mogen zijn. De vernietiging van die data zou radicaal moeten zijn.

De documentaire heeft interviews met Tim Berners-Lee en Julian Assange.

Deze video is niet langer beschikbaar, wel fragmenten. Een aantal daarvan staan hieronder.

Share This:

How the NSA betrayed the world’s trust….

Het is geen geheim meer dat de USA een gedetailleerde en alomvattende surveillance uitvoert op iedere niet-Amerikaan wiens data door een Amerikaanse organisatie worden verwerkt. Of ze verdacht worden of niet, speelt daarbij geen enkele rol. Dat betekent dat iedere internationale gebruiker van het internet in de gaten wordt gehouden. Denk aan het bericht enkele dagen geleden dat ook alle gezichtsfoto’s op het internet door de NSA worden opgeslagen en gebruikt. Mikko Hypponen, een van de belangrijkste internationale security-experts en een belanmgrijk voorvechter van de rechten de internetgebruiker, hield deze TEDx Talk in Brussel in oktober 2013. Belangrijk genoeg om hier op te nemen. Zijn voordracht geeft voer tot nadenken en vraagt om actie: het vinden van alternatieve oplossingen voor het gebruiken van Amerikaanse bedrijven voor het stillen van de internationale informatiebehoefte….
 
 

Share This:

The secret history of hacking

Een ‘historische’ film over het ontstaan en de eerste jaren van ‘hacking’ (1970-2000).

Wikipedia weet er het volgende van te melden: “The featured computer security hacking and social engineering stories and anecdotes predominantely concern experiences involving Kevin Mitnick. The film also deals with how society’s (and notably law enforcement’s) fear of hacking has increased over time due to media attention of hacking (by way of the film WarGames as well as journalistic reporting on actual hackers) combined with society’s further increase in adoption of and subsequent reliance on computing and communication networks. John Draper, Steve Wozniak and Kevin Mitnick are prominently featured while the film additionally features comments from or else archive footage concerning Denny Teresi, Joybubbles, Mike Gorman, Ron Rosenbaum, Steven Levy, Paul Loser, Lee Felsenstein, Jim Warren, John Markoff, Jay Foster, FBI Special Agent Ken McGuire, Jonathan Littman, Michael Strickland and others”.

Een aardige introductie in de geschiedenis van een fenomeen dat aanleiding gegeven heeft tot het ontstaan van informatiebeveiliging. De strijd tussen beide fenomenen kleurt de ontwikkeling van de ICT tot in onze tijd.
 

Share This:

Hoe data verdwijnen…

Wie is eigenaar van bedrijfsinformatie ? Auteursrecht is er duidelijk over, maar in de alledaagse praktijk is het redelijk grijs. Iron Mountain heeft onderzocht hoe medewerkers in Europa omgaan met die data en dat zij een gevoel hebben ook eigenaar te zijn van de data waaraan ze mede gewerkt hebben. De volledige whitepaper kan hier gelezen worden. De samenvatting van het onderzoek staat ook in de bijgaande infographic.

when_employees_leave

Share This:

Who is spying on you ?

We zijn ons allemaal bewust van computer hackers. Wat het meeste schokt meestal is om te merken hoe eenvoudig het is voor hackers om je informatie te stelen. Deze infographic gaat daarover: het wil laten zien hoe makkelijk informatie kan worden gestolen en kan worden gevolgd. Publieke wifi-netwerken zijn zeer onveilig: gebruik je veel internet bij McDonalds, houdt er dan rekening mee dat je veiligheid precair is. De infographic is van Hotspot Shield VPN.

Who is spying on you?

Share This:

Cyber Security Risk Assessments

IT Governance Cyber Security Consultants ontwikkelden de navolgende infographic over het bepalen van de risico’s die met cyber security samenhangen. De infographic geeft 10 risicogebieden aan, op basis waarvan kan worden bepaald wat de sterkten en zwakten zijn als het gaat om cyber security.

 

Web

Share This:

Fifth amendment geen redmiddel

encryptieEen decryptiebevel, waarbij een verdachte wordt gedwongen zijn computer te ontsleutelen, is niet in strijd met het rechtsprincipe dat een verdachte niet mee hoeft te werken aan zijn eigen veroordeling, vindt een Amerikaanse rechtbank.

Onder het Vijfde Amendement in de Amerikaanse grondwet kan niemand worden gedwongen om via een getuigenis zichzelf te belasten. Een verdachte bezitter van kinderporno beriep zich op dit recht om een decryptiebevel te omzeilen, maar een rechter wijst die verdediging van de hand.

De verplichting dat de verdachte de inhoud van zijn computer overhandigt, komt volgens de advocaat van de verdachte neer op het zichzelf belasten, wat in strijd is met dat grondwettelijk recht. Een Amerikaanse rechter is het daar niet mee eens. Hij haalt in zijn uitspraak jurisprudentie aan waarin de Supreme Court in de jaren ’80 besloot dat een verdachte niet meewerkt aan zijn veroordeling door gedwongen te worden om documenten te overhandigen die ook op andere manieren waren te verkrijgen.

Continue reading

Share This:

Richtsnoeren voor de beveiliging van persoonsgegevens

Het College Bescherming Persoonsgegevens (CBP) heet zogeheten richtsnoeren voor beveiliging van persoonsgegevens uitgebracht.

privacy
In de ‘richtsnoeren’ is vastgelegd hoe het CBP de beveiligingsnormen uit de Wet Bescherming Persoonsgegevens (Wbp) toepast als het de beveiliging van persoonsgegevens onderzoekt en beoordeelt. ‘De Wet bescherming persoonsgegevens geeft veel open normen waar we veel vragen over kregen. Deze richtsnoeren moeten duidelijkheid scheppen over waar wij naar kijken als we onderzoeken doen’, laat een woordvoerster van het CBP weten. De richtsnoeren treden 1 maart 2013 in werking.

Het CBP onderzocht vorig jaar 28 beveiligings- en datalekken. Daarbij gaat het volgens de woordvoerster om ernstige overtredingen die grote groepen mensen hebben getroffen. Het ging onder meer om webformulieren waarop persoonsgegevens waren ingevuld die vervolgens onbeveiligd via internet werden verstuurd. Daarnaast werden datalekken onderzocht die via SQL-injecties en cross site scripting werden gehackt. Daarbij ging het om persoonsgegevens die veelal niet versleuteld waren, waardoor ze eenvoudig konden worden misbruikt.

Continue reading

Share This:

Dataverlies aan de orde van de dag

Kritiek gegevensverlies komt steeds vaker voor: het aantal spoedgevallen steeg in een jaar tijd met 21 procent, concludeert gegevensherstelspecialist Attingo uit zijn interne opdrachtstatistieken. Vooral RAID-systemen en virtualisatie zouden tot incidenten leiden.

Dataverlies
Opvallend vaak wordt in het weekend of op feestdagen een beroep gedaan op de ‘recovery service’. Dat is volgens Attingo geen toeval: om de dagelijke werkzaamheden niet te verstoren voeren IT-afdelingen wijzigingen in hun IT-infrastructuur doorgaans tijdens rustige perioden door. Maar wijzigingen zijn blijkbaar ook een belangrijke bron van datadrama’s.

Attingo claimt gegevens van de gecrashte servers of RAID-systemen in 92 procent van de gevallen te kunnen terughalen. In minder dan 1 procent van de gevallen is RAID-gegevensherstel vanwege onherstelbare schade aan de defecte vaste schijf niet mogelijk. In de resterende 7 procent van de gevallen zijn voorafgaande ‘eigen’ pogingen oorzaak van definitief verlies van gegevens, stelt Attingo. Om zo veel mogelijk merken en typen RAID-controllers te kunnen simuleren, past het bedrijf doorlopend reversed engineering toe op de originele controllersoftware.

Continue reading

Share This:

Wikileaks: the secret life of a superpower

Een Wikileaks documentaire van de BBC die zich nu eens niet concentreert op Assange en consorten, maar op de partij wiens geheimen op straat kwamen te liggen. Of zoals in een uitnodigende beschrijving werd vermeld:

‘Richard Bilton confronts the nightmares that haunt America. Using the secret cables Richard offers a striking analysis of the state of the superpower – facing defiance around the world, struggling to achieve its goals, locked in confrontation with enemies new – and old. This includes how it struggles with – Russian aggression, China’s rising economic power and military might. And the ultimate threat – an Iranian bomb. He journeys to Russia to investigate allegations of Kremlin corruption, meeting the key sources who gave information to American diplomats. And he tells the story of a modern ‘cold war’ style crisis at the very heart of NATO. From information in the cables, Richard charts how China’s economic and military muscle present an unprecedented threat to America’s self-confidence. Meeting persecuted Chinese dissidents, he shows how America has struggled to challenge China on its Human Rights behaviour. Finally, he examines America’s greatest fear: an Iranian nuclear bomb. He meets those who tried to convince America to strike at the heart of Ahmadinejad’s Iran – and the top flight US diplomats who admit the urgency of their clearest danger’.

Twee documentaires. Bijna twee uur schokkend nieuws.

 

 

Share This:

Greep op Apps ?

Het is een illusie te veronderstellen dat de IT-afdeling greep krijgt op de apparaten en de apps die medewerkers meenemen in de onderneming. Daarom is een ander concept nodig van beveiliging en hoe je het ook wendt of keert: dat kost geld !

Met bring your own device (byod) komen ook de virussen het bedrijfsnetwerk binnen. De experts Simon Leech (HP), Martijn Bellaard (Brain Force), John Knieriem (Intermax) en Michael van der Vaart (Nod32) onderstrepen dat Intrusion Prevention en Detection op zichzelf hier geen soelaas bieden. Deze technologieëen werken aan de grenzen van het netwerk, en zouden meer naar binnen toe moeten worden toegepast. ‘Bovendien moet je gaan sturen op context en content. Nagaan wat het gedrag is van een gebruiker, afgaande op het dataverkeer dat hij of zij genereert. Als daar iets misgaat, kun je hem of haar isoleren’, aldus Van der Vaart.

Continue reading

Share This:

Korte inleiding in Public Key Cryptography

We laten hieronder een kort verhelderend filmpje volgen over hoe encryptie met een publieke sleutel werkt. Voor het behoud van privacy is werken met public key cryptograhy een hele goede manier; toch zijn er maar weinig mensen die er gebruik van maken. Het is immers moeilijk. Maar is het dat echt ? Het onderstaande filmpje laat zien dat het allemaal wel meevalt en dat het zelfs erg handig is.

Share This:

Copyright checks

Gebruikers die torrents delen worden binnen 3 uur gevolgd door een informatieverzamelende dienst, zo blijkt uit onderzoek van de universiteit van Birmingham. Beveiligingsbedrijven, organisaties die zich bezighouden met copyright en een aantal afgeschermde IP-adressen volgen op grote schaal downloaders die illegaal materiaal beschikbaar stellen.

De onderzoekers zochten uit hoe in P2P-netwerken partijen spioneren. Ze concluderen dat een deel van de gebruikers van P2P-clients  alleen maar IP-adressen van gebruikers opzuigen. Het grootste deel van deze partijen deed dat binnen 3 uur. De langzaamste monitor had 33 uur nodig.

Deze manier van indirecte monitoring levert nog geen bewijs van rechtenschending op, want het is niet verboden om deel uit te maken van zo’n netwerk. Volgens de onderzoekers schakelen de spionerende partijen vervolgens over op directe monitoring, om te zien wat het IP-adres precies allemaal deelt.

Continue reading

Share This:

Dorifel en Citadel

ZeuS is een van de meest beruchte botnet-trojans ooit. Varianten van Zeus bestaan al jaren en zorgen voor veel schade, vooral door het leeghalen van bankrekeningen door de manipulatie van de internetbankierdiensten van banken. Het is een ‘banking trojan’. Maar er zijn ook variaties die slachtoffers afpersen, de ‘ransomware’.

Niet alle cybercriminelen die botnets inzetten waren tevreden met ZeuS en zij maakten een fork, een soort ‘open source’ platform, Citadel, gebaseerd op de Zeus-broncode. Na goedkeuring en betaling van een paar duizend dollar kunnen hackers in een community verder schaven aan verschillende features en modules.

Met dat platform zijn sinds eind 2011 een onbekend aantal, maar in elk geval tientallen, verschillende trojans gelanceerd, die hun eigen (of met elkaar overlappend) botnet van geïnfecteerde zombie PC’s creëerden.

Continue reading

Share This:

WikiRebels: de effecten van Wikileaks !

Exclusieve ongecensureerde beelden van de eerste diepgaande documentaire over WikiLeaks en de mensen die er achter zitten! Vanaf de zomer van 2010 heeft de Zweedse televisie het geheime medianetwerk WikiLeaks en zijn hoofdredacteur, Julian Assange, gevolgd. 

De reporters Jesper Huor en Bosse Lindquist zijn naar de belangrijkste landen gereisd waar Wikileaks actief is en interviewden topleden, zoals Assange, de nieuwe woordvoerder Kristinn Hrafnsson en mensen als Daniel Domscheit-Berg, die zijn eigen versie ‘Openleaks.org’ begint!

Wat is de toekomst van de organisatie? Worden ze sterker dan ooit, of worden ze gebroken door de VS? Wie is Assange: vrijheidsvechter, spion of verkrachter? Wat zijn zijn doelstellingen? Wat zijn de gevolgen voor het internet? 

Er zijn schokkende beelden !

 

Share This:

Schneier over cyber war

Bruce Schneier is een van de grootste experts op het vlak van informatiebeveiliging. Zijn persoonlijke blog (waarnaar ik bij de links op deze site verwijs) is daar een voorbeeld en expressie van. Zijn opvattingen zijn dan ook de moeite van het beluisteren of lezen waard. In maart vorig jaar hield hij in het Shangri La Hotel in Parijs een voordracht over de oorlog tegen cyber crime. Ik had het genoegen daarbij aanwezig te zijn en ik vind het de moeite waard om de video die daarvan op YouTube is verschenen (en die ik pas onlangs aantrof) ook via deze site openbaar te maken. Schneier gaat in op de mogelijkheden om cyber crime te bestrijden. In een wereld waarin we steeds meer ‘bedreigd’ worden door onzichtbare criminelen, lijkt het mij nodig dat we meer weten over wat we kunnen doen tegen dit soort activiteiten. Misschien dat dit verhaal een begin kan zijn. Schneier pratte bijna een uur. Dat is een hele tijd, maar het is wel de moeite.

 

Share This: