Uw informatie ligt zo op straat !

Twee beveiligingsonderzoekers hebben aangetoond wat de gevolgen kunnen zijn van typosquatting. In een half jaar tijd ontving het duo via valse domeinnamen meer dan 120.000 mailtjes met daarin wachtwoorden en andere gevoelige zaken.

Voor het onderzoek hebben de twee onderzoekers, Peter Kim en Garrett Gee, dertig domeinnamen geregistreerd. Deze domeinnamen kwamen overeen met subdomeinen op webistes van Fortune 500-bedrijven, waarbij de punt tussen het subdomein en hoofddomein achterwege werd gelaten. De onderzoekers hanteerden hiermee een praktijk die bekendstaat als typosquatting, waarbij domeinnamen worden geregistreerd die erg veel lijken op een legitieme domeinnaam, maar net anders zijn geschreven.

In een periode van zes maanden ontvingen de onderzoekers van de Godai Group ruim 120.000 mailtjes, die eigenlijk bedoeld waren voor een ontvanger bij het echte bedrijf. Voor het onderzoek, dat vorige week werd gepresenteerd, hebben Kim en Gee een lijst van 151 grote bedrijven opgesteld waarvan zij meenden dat de domeinnamen zich goed leenden voor typosquatting. Hoewel het duo de dertig bedrijven uit hun onderzoek niet heeft bekendgemaakt, staan er op de lijst grote namen als Dell, Microsoft, IBM Oracle en Nike.

Continue reading

Share This:

Opstelten over Amerika en privacy

Amerikaanse bedrijven geven persoonsdata van Nederlandse burgers door aan de Amerikaanse overheid. Maar hoe vaak dat gebeurt, is minister Opstelten onbekend omdat die bedrijven daar niets over zeggen. Dat schrijft de minister aan de Tweede Kamer. Het Kamerlid Gerard Schouw (D66) heeft over het plunderen van clouddata door de Amerikaanse overheid vragen gesteld aan de minister van Veiligheid en Justitie. Amerikaanse bedrijven worden, als de Amerikaanse overheid dat nodig acht, verplicht informatie van en over Nederlanders over te dragen. Die data staat op Europese servers en wordt gebruikt door cloudapplicaties.

Volgens minister Opstelten van Justitie geeft de Amerikaanse wetgeving de Amerikaanse overheid de ruimte om bedrijven te verplichten data die zij ergens ter wereld hebben opgeslagen, te overhandigen. Tenminste, als de bedrijven hun hoofdzetel hebben in de Verenigde Staten. ‘Daarbij kan ter bescherming van onderzoeksbelangen degene tot wie het bevel zich richt worden verboden daarover enige mededeling aan derden te doen’, schrijft Opstelten.

Continue reading

Share This:

Is het oplichting ?

Enkele maanden geleden heeft de Rijksoverheid een ICT-dashboard gelanceerd. Dat is een website waar verslag wordt gedaan over het verloop van IT-projecten binnen de overheid. Via het stoplichtmodel wordt aangegeven hoe het ermee staat. Het goede nieuws? Alle lichten staan op groen! Het slechte nieuws? ‘Dit kan absoluut niet’, aldus de Software Improvement Group.

Wie het dashboard bekijkt, ziet alleen maar groen, met hier en daar een klein stukje rood als een project uit budget is gelopen, bijvoorbeeld. ‘Het is onwaarschijnlijk dat die signalering klopt, je zou op zijn minst verwachten dat enkele projecten met oranje of rood worden aangegeven’, aldus onderzoekers van de Software Improvement Group (SIG).

Om uit te zoeken hoe de vlag er echt bijhangt, zijn de onderzoekers van SIG onder de motorkap van het dashboard gedoken. Via datamining is de actuele stand van alle projecten achterhaald, en daaruit blijkt dat niet 100 procent van de projecten op groen staat, maar slechts 44 procent.


Continue reading

Share This:

Elke Certificatieautoriteit in gevaar ?

GlobalSign ondertekent tot nader order geen beveiligingscertificaten meer. De multinational wil eerst onderzoek uitvoeren en zal weer certificaten uitgeven als duidelijk is geworden dat het netwerk en infrastructuur van de certificaatautoriteit (CA) niet is gecompromitteerd.

Gisteren publiceerde de zogenaamde ‘Comodohacker’ verschillende nieuwe berichten op Pastebin. Hierin claimde hij, naast DigiNotar, nog vier andere certificaatautoriteiten (CA’s) te hebben gehackt, waaronder GlobalSign. Het concern onderzocht onmiddellijk de eigen logfiles en besloot een paar uur later voorlopig geen nieuwe certificaten uit te geven.

‘GlobalSign takes this claim very seriously and is currently investigating. As a responsible CA, we have decided to temporarily cease issuance of all Certificates until the investigation is complete. We will post updates as frequently as possible’, meldt het bedrijf. 

Alhoewel de beslissing aanleiding geeft tot wilde speculaties over een mogelijke cyberaanval op het bedrijf, prijzen verschillende experts de maatregel.

‘Major props to GlobalSign for taking hacking claims seriously’,  tweet HD Moore, secuitychef van Rapid7 en architect van hackertoolkit Metasploit. ‘Good call’,  vindt ook Mikko Hypponen, hoofdonderzoeker bij securityconcern F-Secure.  Volgens Netcraft geeft GlobalSign zo’n 200 tot 250 certificaten per dag uit.

Continue reading

Share This:

Diginotar juridisch aangepakt

Het Openbaar Ministerie begint een onderzoek naar DigiNotar. Daarbij kijkt het of de certificaatverstrekker formeel aangesproken kan worden of zelfs aansprakelijk valt te stellen. Deze kritische blik volgt op het feit dat het bedrijf de cyberinbraak lang stil heeft gehouden en heeft gebagatelliseerd. Het volgt op politieke geluiden dat DigiNotar aansprakelijk gesteld moet worden en strafrechtelijk vervolgd. Het bedrijf heeft niet alleen de overheid benadeeld (die nu op grote schaal in hoog tempo certificaten moet vervangen), maar heeft ook dissidenten in Iran in gevaar gebracht.

Een onderzoek van FoxIT stelt dat de cyberinbraak niet alleen begin juni al is gepleegd, maar dat DigiNotar het toen ook heeft ontdekt. Vervolgens zijn in juli de eerste frauduleuze certificaten aangemaakt, voor onder andere Google.com. Dat certificaat is eind juli voor het eerst actief gebruikt om beveiligd Gmail-verkeer vanuit Iran af te tappen.

Uiteindelijk is dit misbruik eind augustus gemeld aan GovCERT in Nederland door het Duitse CERT-BUND. Het IT-beveiligingsorgaan van de Nederlandse overheid heeft toen DigiNotar ingelicht. Dat bedrijf had in juli een eigen onderzoek ingesteld en daarna maatregelen genomen. Maar het heeft de hele zaak stilgehouden; betrokken sites, browsermakers, GovCERT en de Nederlandse overheid wisten nog van niets.

Continue reading

Share This:

ACTA en mensenrechten: ‘t gaat niet samen

ACTA gaat in tegen het Europees Verdrag voor de Rechten van de Mens (EVRM). Dat is de conclusie van een wetenschappelijke studie, uitgevoerd in opdracht van de Groenen in het Europees Parlement.

In het  rapport is te lezen dat de uitvoering van ACTA het  EVRM op verschillende manieren schendt. Zo zou vrijheid van meningsuiting in het geding komen, omdat ACTA intellectueel eigendom zoals auteursrecht en patenten wil beschermen door strenge controles uit te voeren. Deze strenge controles houden in dat mensen strikt in hun surfgedrag gevolgd zullen worden zonder verdacht te zijn.

Dat is volgens de auteurs in strijd met het recht op privacy en het recht op een eerlijk proces. Dit laatste wordt in het rapport aangezet met het argument dat ACTA de regulatie van mensenrechten in handen zou leggen bij private partijen, in plaats van een formeel en rechterlijk kader dat het EVRM naleeft.

Continue reading

Share This:

Digitale pasfoto frauduleus

Ongeveer 5 procent van de foto’s die digitaal in het paspoort zijn opgeslagen bevat fouten. 1 tot 2 procent is van zodanig slechte kwaliteit, dat een gezichtsherkenningsysteem deze ten onrechte onvoldoende op de paspoorteigenaar vindt lijken. Dat zegt Luuk Spreeuwers, biometrie-onderzoeker aan de Universiteit Twente. Hij onderzocht in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de prestaties van verschillende gezichtsherkenningssystemen. Dat gebeurde in voorbereiding op een aanbesteding voor de bouw van 36 e-gates op luchthaven Schiphol. Deze worden in het najaar van 2011 geïnstalleerd.

‘Ik ben geschokt over de kwaliteit van sommige paspoortfoto’s’, zegt Spreeuwers. ‘Ik zou ze nog niet accepteren als vakantiekiekje.’ In totaal werden er ongeveer achthonderd paspoorten gebruikt in de tests. Het ging daarbij om Europese paspoorten. Ongeveer 85 procent van de paspoorten was van Nederlandse makelij.

Continue reading

Share This:

IT in zorg zeer problematisch

KPMG slaat alarm over de staat van IT in de zorg. Het managementadviesbueau stelt dat Nederlandse bestuurders in de zorg onvoldoende grip hebben op IT. ‘Het ontbreekt bij de meeste instellingen aan een volledig inzicht in kosten en opbrengsten van informatietechnologie’.

Bij werkcontacten met managers in de zorg bleken veel instellingen geen prognose te kunnen geven van de ontwikkeling van de IT-uitgaven in de komende 3 tot 5jaar. Om IT- en informatiemanagement hoger op de zorgagenda te krijgen, stelden Stan Aldenhoven en Jan de Boer, respectievelijk directeur en partner bij KPMG, een boek samen onder de titel: IT in de zorg; lees voor gebruik de bijsluiter. Hoofdstuk 10 van het boek is gratis te downloaden op de site van KPMG.

‘Gezien de steeds noodzakelijker wordende rol die IT de komende jaren in de Nederlandse zorg zal gaan spelen, is dit op zijn minst een zorgwekkende constatering’, zegt Aldenhoven.

Continue reading

Share This:

Europese privacy niks waard voor Amerikanen

De Verenigde Staten moet stoppen met het opvragen van persoonsgegevens van Nederlanders en andere Europeanen die zijn opgeslagen in servers die in Europa staan.Dat vindt de Europese fractie van D66. Eind juni werd bekend dat onder meer Microsoft kan worden verplicht gegevens die opgeslagen zijn op Europese servers vrij te geven aan de Amerikaanse overheid. Microsoft, maar ook Google, zou daartoe verplicht zijn vanwege de Amerikaanse Patriot Act. Dat betekent dat gegevens die opgeslagen zijn in clouddiensten van Amerikaanse bedrijven ter beschikking staan van de Amerikaanse overheid.

Vanwege de Europese wetgeving worden gegevens die in de cloud zijn opgeslagen juist op Europese servers bewaard. De Europese, maar ook landelijke, regelgeving kent strikte bepalingen op het bewaren en bewerken van persoonsgegevens.

Continue reading

Share This:

Nogmaals Diginotar: willens en wetens fout ?

Er zijn sterke aanwijzingen dat TTP DigiNotar nog frauduleuze certificaten uitgaf na de ontdekking van de hack op zijn servers. Het gaat om zes certificaten, waarmee systemen zich als servers van het Tor-project konden voordoen.

De voorman van het Tor-project, Jacob Appelbaum, schrijft op het weblog van het project dat niet alleen een vals Google-certificaat is gegenereerd bij Diginotar; de hackers hebben ook twaalf nagemaakte certificaten voor de servers van Tor aangemaakt. Hoewel dat voor het gebruik van Tor zelf niet uitmaakt, omdat deze niet op certificatie is gebaseerd, zou iemand zich als de server van het Tor-project kunnen voordoen en (bijvoorbeeld) een valse versie van de Tor-software kunnen aanbieden. Die software is bedoeld om anoniem te kunnen surfen en wordt door journalisten en mensenrechtenactivisten in dictaturen gebruikt.

De makers van Tor hebben van DigiNotar beperkte informatie gekregen over de frauduleuze certificaten. Zo is bekend dat de helft van de valse Tor-certificaten op 18 juli is gegenereerd, en de andere helft op 20 juli. Dat laatste is verwonderlijk: de eigenaar van DigiNotar, Vasco Security, meldde eerder dat de hack op 19 juli is ontdekt. Als de informatie dus klopt, zijn er een dag na het ontdekken van de hack nog valse certificaten gegenereerd. Dat zou zeer kwalijk zijn.

Continue reading

Share This:

Diginotar finito ?

Diginotar is een soort digitale notaris, een Trusted Third Party. Wie zeker wil weten op het juiste domein op internet aan te landen, maakt via de webbrowser gebruik van een Trusted Third Party. Deze ‘vertrouwde’ partij is in dit geval Diginotar. Juist dat bedrijf adviseert nu gebruikers beveiligingsalarmen van de webbrowser te negeren en onvertrouwde certificaten te vertrouwen.

De website heeft het certificaat als identificatiebewijs, waarbij de afkomst erg belangrijk is. Volgens Mark Bergman, zelfstandig beveiligingsexpert, maakt het nogal uit wie de uitgever is. Hij vergelijkt het met paspoorten. Het vertrouwen in een Nigeriaans paspoort zal minder zijn dan in een Nederlands paspoort.

Het technisch afdwingen van correct functioneren is belangrijk, maar is slechts de helft van het verhaal. Technisch klopte het certificaat van Google.com bij Diginotar helemaal. Het probleem is alleen dat het nooit bij dit bedrijf is aangevraagd en dat zij dus geen waarmerker horen te zijn. Qua cryptografie klopt alles perfect, maar procedureel niet.

Dat er nepcertificaten zijn uitgegeven is volgens Bergman een aanval op de uitgever. ‘Het probleem is dat als je een reeks Nederlandse paspoorten vals uitgeeft en je niet kunt zeggen dat ze als Nederlandse paspoort te gebruiken zijn. Ze staan dan allemaal ter discussie’, vertelt Bergman. ‘Je kunt niet roepen dat het goed zit. Dat zul je moeten bewijzen. Als je tien foute certificaten uitgeeft, kun je niet die terugtrekken en doen alsof er niets gebeurd is’.

Continue reading

Share This:

Innovatie en cloud belangrijk

Ruim de helft van de Nederlandse managers richt in het beleid het komende jaar op innovatie en groei. Dat is aanzienlijk meer dan in de rest van de wereld, waar gemiddeld 29 procent zegt zich hiermee bezig te houden. Maar liefst 48 procent van het IT-budget wordt de komende twaalf maanden ingezet voor cloud computing. Dat is een groot bedrag en geeft aan dat de wens om onafhankelijker te worden van IT infrastructuren belangrijker wordt.

Dit blijkt uit onderzoek dat is uitgevoerd in maart en april van dit jaar in opdracht van IT-dienstverlener Avanade. Het onderzoek is uitgevoerd door onderzoeksbureau Kelton Research. 70 Procent van de Nederlandse bedrijven heeft evenveel of meer IT-budget beschikbaar dan vorig jaar. Een verrassend gegeven, wat aangeeft dat het bedrijfsleven de crisis vooralsnog overwonnen heeft.

Een groot deel van de managers vindt groei van data en datastromen de grootste uitdaging. Veel organisaties hebben grote moeite om de nieuwste technologieën bij te houden. Slechts 19 procent van de 573 (IT-)managers en afdelingshoofden die wereldwijd werden ondervraagd, zegt dat kostenbesparing hoog op de actielijst staat.

Continue reading

Share This:

Science Fiction als bewijs

Samsung zet science fiction in om te bewijzen dat Apple’s tablets zich niet kunnen baseren op patenten en dat er ‘prior art‘ is die de validiteit van de patenten onderuit haalt. In het geschil met Apple over het ontwerp van de Samsung Galaxy, beroept het Zuid-Koreaans bedrijf zich op de sciene fiction film ‘2001, a space odyssey’ van de Britse filmmaker Stanley Kubrick. In de film gebruiken acteurs tijdens hun maaltijd een ‘persoonlijk computertoestel’ die lijkt op een tablet en de iPad in het bijzonder.

Samsung vecht niet alleen in Europa met Apple over het D’889-patent. Dit gaat over het ontwerp van de iPad, waardoor de verkoop van de Samsung Galaxy in Duitsland verboden is. Ook strijden beide partijen in de Verenigde Staten met elkaar.

Continue reading

Share This:

Privacy mag geschonden worden, vindt de minster

Minister Schultz is ten onrechte aangepakt door het CBP voor privacyschending, betoogt landsadvocaat Cécile Bitter bij de bestuursrechter. Het controleren van ambtenaren op basis van hun BSN is namelijk nodig voor beveiliging, argumenteert zij namens het ministerie. Bitter probeert voor minister Schultz van Infrastructuur en Milieu onder een dreigende dwangsom uit te komen. In februari tikte het College Bescherming Persoonsgegevens (CBP) het ministerie op de vingers voor het gebruik van het BSN bij de Rijkspas. Volgens de landsadvocaat is dit een zaak van groot belang. Formeel gaat het om één ministerie, maar eigenlijk staat de hele procedure van de Rijkspas ter discussie. Dat dit zwaar wordt aangezet, blijkt ook uit de aanwezigen bij de zitting. In totaal zijn er vijf ambtenaren met de pleitbezorgster meegekomen.

Volgens de landsadvocaat klopt de constatering van het CBP niet. Het BSN wordt eenmalig gecheckt: alleen bij de uitgifte van de Rijkspas. Dat moet goed gebeuren, omdat er soms mensen zijn die dezelfde naam en geboortedatum hebben. Ook worden er zonder die controle sneller fouten gemaakt.

Continue reading

Share This:

120 Petabyte aan opslag

IBM bouwt voor een onbekende klant een opslagunit waarop 120PB aan data past. Daarmee is het veel groter dan het grootste (bekende) opslagsysteem tot nu toe. De opslag wordt gemaakt met 200.000 harde schijven van ieder gemiddeld 600GB. Door alle harde schijven aan elkaar te koppelen wordt een opslagunit gemaakt met 120 petabyte aan geheugen. De klant wil met de enorme hoeveelheid opslag gedetailleerde simulaties maken van situaties in de werkelijkheid.

De schijven zullen worden geplaatst in horizontale lades in hoge rekken, maar koeling moet worden gedaan door water, omdat er niet genoeg ruimte is voor meer traditionele koelmethoden. De opslag is voldoende om zestig keer de hele database van internetarchief Wayback Machine te bevatten. 

Continue reading

Share This:

We leren het nooit ….(zucht)

De IT rondom de Justitiële telecomdatabase is niet op orde. De SLA is niet bijgewerkt, de backup is ongedocumenteerd en het netwerk wordt niet gemonitord. Dit blijkt uit de audit die is uitgevoerd over 2010 op het CIOT (Centraal Informatiepunt Onderzoek Telecomgegevens). Die organisatie houdt een database bij met de telecomgegevens van vrijwel alle Nederlanders, waarin opsporingsdiensten ongebreideld en ongecontroleerd kunnen neuzen.

Het CIOT heeft de helft van de zes aanbevelingen uit de audits van voorgaande jaren uitgevoerd. De overige drie zijn ‘niet of niet volledig opgevolgd’, valt te lezen in het  eindrapport 2010. Dat auditrapport is openbaar geworden door een WOB-verzoek van digitale burgerrechtenbeweging Bits of Freedom.

Uit dat rapport blijkt dat de systemen van het CIOT zijn beveiligd met antivirus die handmatig van nieuwe definities wordt voorzien. Het streven is om de handmatige updates wekelijks te installeren, maar het is onbekend of dat ook altijd gebeurt. De waarschijnlijkheid daarvan is niet erg groot. De logging blijkt ook onvolledig.

Continue reading

Share This:

Regionale EPD’s illegaal en onveilig

Alle regionale patiëntendossiers en medicatiedossiers zijn illegaal. Dat concludeert CDA-Tweede Kamerlid Pieter Omzigt. Hij baseert zijn stelling op een zienswijze van het College bescherming persoonsgegevens (CBP). Dat college stelt dat patiënten uitdrukkelijk toestemming moeten verlenen voor verwerking van hun gegevens bij een eventuele landelijke doorstart van het elektronisch patiëntendossier (EPD). Omzigt wil van minister Schippers weten welke gegevensuitwisseling de minister wettelijk gaat toestaan. In een ‘zienswijze’ geeft toezichthouder CBP weer hoe het recht uitgelegd moet worden.

Volgens Omzigt heeft de zienswijze van het CBP echter nog een consequentie: ook regionale EPD’s zijn illegaal. Het Tweede Kamerlid wil zo snel mogelijk opheldering van de minister over deze lokale gegevensuitwisseling. Die lokale uitwisseling vindt hij wenselijk, ‘mits aan privacy- en beveiligingseisen is voldaan’. ‘Wat voor een soort gegevensuitwisseling bent u van plan wettelijk toe te staan?’, vraagt hij de minister.

Continue reading

Share This:

Kwaliteit digitale archivering onder druk

De Utrechtse archiefinspectie maakt zich zorgen over de toekomstige kwaliteit van de Utrechtse archieven. Overheden gaan steeds meer over van een papieren naar een digitale informatiehuishouding, maar passen hun wijze en organisatie van archivering daar niet (voldoende) op aan. Positief is de inspectie over de uitbreiding van de archiefbewaarplaatsen. Dat blijkt uit het gezamenlijk jaarverslag over 2009-2010 van de provinciale archiefinspecties van Utrecht, Noord-Holland, Zuid-Holland en Flevoland.

Het risico op verlies van bedrijfskritische informatie is groot, omdat de organisatie, formatie en het opleidingsniveau van de archiefmedewerkers bij veel overheidsorganisaties nog niet aangepast is op de digitalisering. Vanwege het volgend jaar in werking tredend nieuwe interbestuurlijk toezicht, waarbij de provincie meer op afstand komt te staan, is het van belang dat de organisaties op korte termijn orde op zaken stellen. Het benoemen van een gemeentearchivaris en het uitvoeren van het horizontale gemeentelijke archieftoezicht door een gemeentelijk archiefinspecteur is daarbij essentieel.

Continue reading

Share This:

EPD kan niet zomaar privaat

Medische gegevens mogen niet zonder meer gebruikt worden in een Elektronisch Patiëntendossier. Patiënten moeten toestemming geven aan een zorgondernemer die het EPD privaat wil voortzetten. Dat is de zienswijze van het College bescherming persoonsgegevens (CBP) aan het Nederlands ICT Instituut in de Zorg (Nictiz). Nictiz is eigenaar van de restanten van het publieke Elektronisch Patiëntendossier (EPD), dat dit voorjaar werd afgekeurd door de Eerste Kamer. Nictiz is in onderhandeling om het EPD in private handen een doorstart te geven. Er is een doorstartplan op papier gezet.

In dat plan wordt gesproken over de oprichting van een nieuwe rechtspersoon, de Vereniging van Zorgaanbieders voor Zorginformatie-uitwisseling (VZZ). Het Nictiz heeft het CBP gevraagd of die vereniging de uitwisseling van die informatie tussen zorgaanbieders mag doen. En dat mag niet, zegt het CBP. Tenzij een patiënt uitdrukkelijk toestemming geeft om zijn of haar medische gegevens uit te wisselen.

Continue reading

Share This:

Sociale media zijn uit ?

Er zijn tekenen van verzadiging in de wereld van de sociale media als sommige gebruikers in bepaalde segmenten een zekere ‘social media fatigue’ vertonen, zo stelt Gartner Inc. in een recent onderzoeksrapport. ‘This survey reveals continued localization of usage, whereby certain country-specific social characteristics dictate preferences. However, large global brands such as Facebook are making headway in countries where they have not historically been strong’, zo staat in de samenvatting van het rapport te lezen. Gartner deed het onderzoek onder 6295 respondenten, in de leeftijd van 13 tot 74, in 11 ontwikkelde en in ontwikkeling zijnde markten in december 2010 en januari 2011. De respondenten werd gevraagd naar hun gebruik en hun meningen over sociale media met het doel gebruikstrends te ontwaren en het enthousiasme te peilen van de gebruikers over de sociale media in het algemeen.

Van de respondenten zei 24 procent hun favoriete social media site minder te gebruiken dan voorheen. Deze respondenten kwamen uit segmenten die een praktische visie of technologie hebben. Maar 37 procent van de gebruikers, vooral die in de jongere leeftijdsgroepen en in de meet ‘tech-savvy segments’, zijn hun site meer gaan gebruiken.

Continue reading

Share This: