Website NOMORERANSOM.ORG Online

Ransomware

Europol, Kaspersky Lab, Intel Security en de Nederlandse Nationale politie gaan hun krachten bundelen en introduceren een initiatief onder de naam No More Ransom.

Het nieuwe online portal is gericht op het informeren van consumenten over de gevaren van ransomware. En daarnaast ook slachtoffers te helpen met het herstellen van hun gegevens zonder losgeld te betalen aan cybercriminelen.

Ransomware

Ransomware is een vorm van malware die de computer van de slachtoffers vergrendelt of hun data versleutelt. Hierna wordt losgeld geëist om de controle over het getroffen apparaat of de bestanden terug te krijgen.

Bijna tweederde van de EU-lidstaten doet onderzoek naar ransomware. Hoewel vaak gericht tegen apparaten van individuele gebruikers, worden ook bedrijven en overheidsnetwerken getroffen. Het aantal slachtoffers groeit dan ook in een rap tempo. Uit eerder onderzoek van Kaspersky Lab bleek dat het aantal door cryptoware aangevallen gebruikers met 550% is gestegen: van 131.000 in 2014-2015 tot 718.000 in 2015-2016. In Nederland was er een stijging van 814 naar 9.967 (+1.224%).

No More Ransom

Het doel van www.nomoreransom.org is het bieden van een nuttige online bron voor slachtoffers van ransomware. Gebruikers vinden er informatie over ransomware, hoe het werkt en, belangrijker nog, hoe zich ertegen te beschermen. Bewustwording is essentieel, aangezien er geen decryptie-tools zijn voor alle momenteel bestaande vormen van malware.

Tools

Het project levert gebruikers tools die hen kunnen helpen hun gegevens te herstellen, zodra deze zijn vergrendeld door criminelen. In de beginfase bevat de portal vier decryptie-tools voor verschillende soorten malware, waarvan de nieuwste in juni 2016 werd ontwikkeld voor de Shade-variant.

Nooit betalen!!!

Als je op een of andere manier slachtoffer bent geworden van ransomware, moet je nooit dit losgeld te betalen. Door te betalen steun je juist het verdienmodel van de cybercriminelen. En er is ook geen garantie dat je na betaling weer gewoon toegang krijgt tot de versleutelde gegevens.

Samenwerking

Het project is opgezet als een niet-commercieel initiatief, gericht op het onder één paraplu samenbrengen van openbare en particuliere instellingen. Als gevolg van de veranderende aard van ransomware, omdat cybercriminelen op regelmatige basis nieuwe varianten ontwikkelen, staat de portal open voor samenwerking met nieuwe partners.

Wilbert Paulissen, hoofd Landelijke Recherche van de Nationale Politie: “Als Nederlandse politie kunnen wij cybercriminaliteit en in het bijzonder ransomware niet alleen bestrijden. Dit is een gezamenlijke verantwoordelijkheid van de politie, justitie, Europol en ICT-bedrijven, en vereist een gezamenlijke inspanning. Daarom ben ik zeer tevreden over de samenwerking van de politie met Intel Security en Kaspersky Lab. Samen zullen we al het mogelijke doen om de fraudepraktijken van criminelen te verstoren en bestanden terug te laten keren naar hun rechtmatige eigenaren, zonder dat deze er veel geld voor hoeven te betalen.”

Wil van Gemert, Europol Deputy Director Operations, tot slot: “Ransomware is sinds een aantal jaar uitgegroeid tot een belangrijk punt van zorg voor de rechtshandhaving in de EU. Het is een probleem dat zowel burgers als bedrijven, en zowel computers als mobiele apparaten treft. Criminelen ontwikkelen steeds geavanceerdere technieken om de hoogste impact te veroorzaken op de gegevens van hun slachtoffers. Initiatieven zoals het No More Ransom project tonen aan dat het koppelen van expertise en het bundelen van krachten de beste manier is om cybercriminaliteit succesvol te bestrijden. We verwachten veel mensen te kunnen helpen om de controle over hun bestanden te herstellen, terwijl we daarnaast de bewustwording bevorderen en de bevolking voorlichten over manieren om hun apparaten vrij te houden van malware.”

Bezoek de website via https://www.nomoreransom.org/

Bron: http://www.dutchcowboys.nl/

Continue Reading

CBS: Helft Nederlanders bezorgd over online veiligheid

online-dating-safety-636

vrijdag 1 juli 2016, 10:14 door Redactie, 8 reacties

Meer dan de helft van de Nederlanders maakt zich zorgen over de veiligheid op internet en heeft daarom wel eens van online activiteiten afgezien, zo beweert het Centraal Bureau voor de Statistiek. Dit geldt in even sterke mate voor mannen als voor vrouwen. Mensen van 25 tot 65 jaar zijn het meest terughoudend.

In deze leeftijdsgroep heeft 58 procent afgezien van bepaalde internetactiviteiten vanwege zorgen om de veiligheid. Voor 75-plussers ligt dit cijfer veel lager. Deze oudste leeftijdsgroep is ook het minst actief op internet. Als alleen de internetgebruikers van 75 jaar of ouder worden meegenomen, ligt het percentage dat bezorgd is nog steeds lager dan in andere leeftijdsgroepen. Het verschil tussen hoog- en laagopgeleiden is aanzienlijk: 65 tegen 41 procent vermijdt wel eens activiteiten online.

Vanwege zorgen om de veiligheid plaatsen mensen vooral minder vaak per­soonlijke informatie op sociale netwerksites. In 2015 hebben vier op de tien Nederlanders hiervan wel eens afgezien omdat zij zich zorgen maakten over de veiligheid. Daarnaast heeft ruim een kwart om die reden weleens besloten om bestanden zoals software of muziek niet te downloaden. Eén op de vijf heeft zijn online aankopen beperkt. Dat geldt ook voor het gebruik van draadloos internet buiten het eigen huis.

Continue Reading

Flash en Malicious Websites

kill-flash-bug-zero-day

Microsoft: Van kwaadaardige websites bevat 90% Flash-content

zondag 5 juni 2016, 10:44 door Redactie

Meer dan 90% van alle kwaadaardige en gehackte websites die bezoekers met malware probeert te infecteren bevat Flash-content, zo stelt Microsoft in een nieuw e-book. Volgens de softwaregigant laat dit zien dat internetcriminelen hun aandacht van Java naar Flash hebben verplaatst.

De afgelopen jaren was Java vaak een geliefd doelwit om internetgebruikers automatisch met malware te infecteren. Het aantal Java-aanvallen dat Microsoft vorig jaar waarnam is echter sterk gedaald. “Deze afname is waarschijnlijk het gevolg van verschillende belangrijke manieren waarop browsers Java-applets beoordelen en uitvoeren”, aldus Microsoft. Java-gebruikers moeten nog steeds beveiligingsupdates installeren, maar organisaties kunnen nu meer aandacht aan belangrijkere risico’s geven.

De softwaregigant doelt dan op Adobe Flash Player. Meer dan 90% van de kwaadaardige en gehackte websites die vorig jaar door de beveiligingsproducten van Microsoft werd opgemerkt bevatte namelijk Adobe Flash Player-objecten. Dit laat zien dat het voor zowel bedrijven als gebruikers belangrijk is om Flash Player-updates zo snel als mogelijk te installeren om dergelijke aanvallen te voorkomen.

Het gaat echter niet alleen om updates voor de meestgebruikte programma’s. De afgelopen jaren werden duizenden kwetsbaarheden ontdekt en gepatcht in zowel de software van Microsoft als andere bedrijven. Door zich alleen op de bekende producten te richten kunnen bedrijven andere kwetsbaarheden in hun omgeving vergeten, aldus Microsoft. Als het gaat om de aanvallen die plaatsvinden blijkt verder dat consumentencomputers twee keer zo vaak met dreigingen in aanraking komen dan bedrijfscomputers. Dit is volgens Microsoft vooral te danken aan de beveiligingsmaatregelen die bedrijven treffen, zoals een zakelijke firewall, die voorkomen dat bepaalde dreigingen gebruikers kunnen bereiken.

Continue Reading

Encryptie voor leken – en waarom verzwakken onverstandig, en verbieden zinloos is

SSL_Certificates_Powered_by_GeoTrust_0

20-04-2016, 18:01 door Erik van Straten,

(A) AANLEIDING
1) De bijdrage van de TS (Topic Starter) in [1] (aardige video trouwens!);
2) De onzinnige gedachte dat we er iets tegen kunnen doen dat terroristen en criminelen onkraakbare encryptie gebruiken (momenteel op de spits gedreven door aanslagen en het, tijd+geldverspillende, FBI-Apple debat);
3) Ik deel graag kennis en ben gevraagd security awareness cursussen te gaan geven (dit dwingt mij om onderwerpen op een rijtje te zetten – ik ontvang natuurlijk graag jullie feedback, ook negatieve!);
4) De veelal lovende reacties op [2];
5) Een soort van visitekaartje i.r.t. hetgeen ik heb opgenomen onder “(O) Ten Slotte”.

[1] https://www.security.nl/posting/467761/%5BEncryptie%5D+Should+all+locks+have+keys%3F
[2] https://www.security.nl/posting/405457/SSLv3+%22Poodle%22+lek+voor+leken

(B) INLEIDING EN SCOPE
Algemeen
De secties bovenaan deze bijdrage zijn nogal theoretisch. Sla gerust over wat je niet interessant lijkt. Verderop, vanaf sectie (E), leg ik (aan de hand van een m.i. aardig voorbeeld en zonder ingewikkelde wiskunde) uit hoe encryptie in de basis werkt. Ik hoop dat je in elk geval dat stuk leest, want ik denk dat het zeer verhelderend kan zijn.
Links
In deze bijdrage verwijs ik veelvuldig naar andere sites, veelal Engelstalig (dat laatste omdat artikelen in die taal vaak aanzienlijk beter van kwaliteit zijn dan Nederlandse versies ervan – als die al bestaan). Voor de begripvorming hoef je, is mijn bedoeling, op geen enkele link te klikken. Ik voeg dergelijke links slechts toe voor geïnteresseerden die dieper in de materie wensen te duiken, of door te laten zien wat mijn bron is (en ik dit niet allemaal uit mijn duim zuig).
Ik plaats links steeds onder een “sectie” omdat inline gebruik ervan nogal storend werkt – doordat security.nl clickable links automatisch vet en onderstreept weergeeft, en omdat de links die ik geef vaak lang zijn. Ik gebruik overigens geen URL-shorteners omdat je daarmee niet ziet naar welke site je zult gaan, een gemak dat m.i. nooit opweegt tegen het risico ervan.
Scope
In deze bijdrage ga ik uitsluitend in op symmetrische encryptie, dus niet op asymmetrische encryptie die fundamenteel anders werkt (als lezers in die laatste vorm geïnteresseerd zijn, wil ik daar ook wel eens een bijdrage over proberen te schrijven).

(C) BEGRIPPEN
– encryptie en versleutelen: hier bedoel ik hetzelfde mee;
– decryptie en ontcijferen: idem;
– plaintext [3]: de niet versleutelde informatie (d.w.z. nog niet of niet meer);
– ciphertext [4]: de versleutelde informatie;
– cipher: encryptiealgoritme;
– algoritme: in dit kader, rekenkundige stappen die een (micro-) processor uitvoert om te versleutelen of te ontcijferen;
– contingency: de hoeveelheid “slag om de arm” die je moet houden, rekeninghoudend met (onverwachte) eventualiteiten en/of tegenslagen.

[3] https://en.wikipedia.org/wiki/Plaintext
[4] https://en.wikipedia.org/wiki/Ciphertext

(D) ENCRYPTIE: DOEL, RANDVOORWAARDEN EN PROBLEMEN
Doel
Zorgen dat uitsluitend personen, die jij vertrouwt, de door jou verstrekte informatie kunnen inzien.

Randvoorwaarden
1) Uitsluitend de bedoelde ontvangers (1 of meer) mogen en moeten over de juiste sleutel beschikken om te kunnen decrypten;
2) De ontvanger(s) moeten daarnaast over de juiste software beschikken om te kunnen decrypten;
3) Het moet, in elk geval in de praktijk, onmogelijk zijn om de ciphertext (deels) te kunnen decrypten zonder de sleutel te hebben;
4) Het moet, in elk geval in de praktijk, onmogelijk zijn om de ciphertext zodanig te wijzigen dat A) de ontvanger die manipulatie niet opmerkt en B) de ontvanger de plaintext (als gevolg van de manipulatie van de ciphertext) anders interpreteert dan door jou bedoeld [5].

Met “in de praktijk” bedoel ik dat de waarde van de plaintext, voor al jouw “vijanden” (opponenten) bij elkaar, lager is dan de kosten (ook in de vorm van tijd en gelopen risico’s, waaronder vervolging) die in de praktijk door die opponenten gemaakt moeten worden om ofwel de plaintext te kunnen achterhalen, ofwel de ciphertext zodanig kunnen wijzigen dat de ontvanger deze anders interpreteert dan bedoeld door jou. Waarbij er rekening mee gehouden wordt dat jouw opponenten dit kunnen doen op elke door hen gewenste manier (waaronder [6]).

Lastig hierbij is dat je rekening moet houden met de toekomst (contingency); als over een jaar of zo een encryptiealgoritme onverwacht zwakker blijkt te zijn dan eerder aangenomen, of als jij of iemand anders de sleutel niet goed beveiligt, kunnen genoemde kosten aanzienlijk dalen (d.w.z. voor jouw opponenten).

[5] https://en.wikipedia.org/wiki/Malleability_%28cryptography%29
[6] https://xkcd.com/538/ (de CIA- [7] / CDA- [8] aanpak voor toegang krijgen tot onkraakbare encryptie)
[7] http://www.nbcnews.com/news/us-news/director-brennan-cia-won-t-waterboard-again-even-if-ordered-n553756
[8] https://www.security.nl/posting/460719/CDA+wil+decryptiebevel+terug+in+wet+computercriminaliteit

Problemen
1) Het is lastig en vooral tijdrovend om onvoorspelbare en niet te raden encryptiesleutels te bedenken of genereren [9];
2) Zonder elkaar fysiek te onmoeten is het extreem lastig om iemands identiteit met voldoende betrouwbaarheid vast te kunnen stellen (WhatsApp biedt nu end-to-end encryptie, maar wie zit er precies aan de andere kant van de lijn? Denk aan een geleende of gestolen smartphone, of een redirect (doorzetten) van de verbinding naar een ander telefoonnummer bijv. door manipulatie op carrier-niveau [10]) ;
3) Zodra je met voldoende betrouwbaarheid de identiteit van jouw “gesprekspartner(s)” hebt vastgesteld, is het, zonder elkaar fysiek te onmoeten, extreem lastig [11] om op veilige wijze een encryptiesleutel met die “gesprekspartner(s)” te delen;
4) Hooguit jouw verzoek tot geheimhouding kan ontvangers-met-sleutel van jouw versleutelde berichten ervan weerhouden om de plaintext aan anderen dan die jij vertrouwt bekend te maken. Met encryptie los je dit potentiële probleem nooit op.

[9] https://en.wikipedia.org/wiki/Cryptographically_secure_pseudorandom_number_generator
[10] https://www.security.nl/posting/468290/GSM+afluisternieuws
[11] https://en.wikipedia.org/wiki/Key_exchange#The_key_exchange_problem

(E) ONKRAAKBARE ENCRYPTIE #1: DE DEAL MET JOUW ZUS
Jouw oudere zusje heeft een vriendje waar zij regelmatig dingen mee doet (dingen waar jij, gezien jouw leeftijd, alleen maar van kan dromen) en daarom regelmatig ‘s avonds laat thuiskomt – op een moment dat jullie ouders denken dat jullie allebei op jullie zolderkamers in bed liggen (alleen).

Jij krijgt wat geld/snoep van haar als jij haar, stiekem, aangeeft wanneer de kust veilig is om langs de slaapkamer van jullie ouders naar haar zolderkamer te sluipen. Je hebt strenge ouders en daarom heb je nog geen mobieltje (er was een tijd dat niemand zo’n ding had ;-).

Aanvankelijk hadden jullie afgesproken dat jij de lamp boven de trap zou aandoen zodra de kust veilig was. Het vriendje van jouw zus, Willie Wortel genaamd, is een slimme ICT student (sowieso, maar hij heeft ook het vakje booleaanse algebra gevolgd). Hij waarschuwde ervoor dat het zou kunnen gaan opvallen als de lamp boven de trap de volgende ochtend uit is, terwijl jullie ouders deze juist aan hadden gelaten, of andersom. Maar Willie zou Willie niet zijn als hij daar geen raad mee wist…

Willie legde eerst het volgende uit: onderaan maar ook bovenaan de trap naar de 1e verdieping zitten lichtschakelaars – in een zogenaamde hotelschakeling. Met beide schakelaars kun je de lamp zowel aan- als uitdoen. Om precies te zijn vertelde Willie:
als de bovenkant van een schakelaar is ingedrukt, noem je dit “stand 0”
(bij een gewone, d.w.z. 1 “enkele”, schakelaar bijv. in de keuken, zou dit “lamp uit” zijn);
als de onderkant van een schakelaar is ingedrukt, noem je dit “stand 1”
(bij een gewone, d.w.z. 1 “enkele”, schakelaar bijv. in de keuken, zou dit “lamp aan” zijn);
– als beide schakelaars in dezelfde stand staan (beide 0 of beide 1), is de lamp boven de trap uit;
– als de schakelaars in verschillende standen staan (een is 0 en de andere is 1), is de lamp boven de   trap aan.

Wat jij (broertje) moet doen, aldus Willie, is:
– Zolang de situatie onveilig is (ouders mogelijk nog wakker zijn), ervoor zorgen dat ofwel de lamp brandt en de schakelaar onderaan de trap op stand 0 staat, ofwel de lamp uit is en de schakelaar onderaan de trap op stand 1 staat. Hier zorg je voor door even te gaan plassen zodra jouw ouders naar bed zijn gegaan (en het licht in de woonkamer uit is); in ongeveer de helft van de gevallen zul je hiervoor de schakelaar bovenaan de trap moet omzetten.

– Zodra de situatie veilig is (beide ouders snurken) zorg je ervoor dat, als de lamp brandt, dat dan de schakelaar onderaan de trap op stand 1 staat, en als de de lamp uit is dat dan de schakelaar onderaan de trap op stand 0 staat (ook hier zul je, in ongeveer de helft van de gevallen, de schakelaar bovenaan de trap moet omzetten).

Wat jouw zus moet doen, aldus Willie, is eerst wachten tot het licht in de woonkamer uit is (de ouders naar bed zijn). Daarna moet zij wachten totdat ofwel de lamp boven de trap brandt en de schakelaar onderaan de trap op stand 1 staat, ofwel de lamp bovenaan de trap uit is en de schakelaar onderaan de trap op stand 0 staat. En alleen dan naar boven sluipen.

Dit is tevens het principe van digitale encryptie. Uitsluitend de observatie van de tegenpartij (hierboven de ouders) dat de lamp aan of uit is, zegt niets. Alleen degene die ook over de sleutel beschikt (hierboven: de stand van de schakelaar beneden, zoals gezien door jouw zus), weet wat de “plaintext” is (de kust is veilig of onveilig).

(F) ONKRAAKBARE ENCRYPTIE #2: DE HOTELSCHAKELING
Voor een betere begripvorming teken ik (met wat moeite op deze site) het elektrische schema van zo’n hotelschakeling:

  ,—————————-o ~ 230V (nul)
|
(X) Lamp (boven)
|
o
/     Schakelaar (boven)
o   o  (in stand 0)
|   |
|   |  (draden weggewerkt in de muur langs de trap)
|   |
o   o
/   Schakelaar (beneden)
o    (in stand 0 – Nb. deze is andersom bedraad!)
|
`—————————-o ~ 230V (fase)

In de getekende situatie is de lamp uit (er is geen stroomkring mogelijk). Je kunt je hopelijk voorstellen dat het niet uitmaakt welke schakelaar wordt omgezet: de lamp gaat dan aan.

Let op: de schakelaar beneden is precies andersom bedraad t.o.v. de schakelaar boven.
Terzijde: als je beide schakelaars op exact dezelfde wijze zou willen bedraden, zul je de draden (weggewerkt in de muur langs de trap) moeten kruisen. Helaas lukt het mij niet om gekruiste draden te “tekenen”, gebruikmakend van de karakterset en lettertype op deze site (security.nl).
Overigens zal geen enkele elektriciën erop letten of deze draden gekruist zijn of niet. Beide draden zijn zogenaamde schakeldraden en hebben daarom een zwarte isolatiemante,l waardoor je ze -op het oog- niet uit elkaar kunt houden. Ten slotte maakt het gebruikers ook niets uit of de draden gekruist zijn of niet, want uit de stand van een van die schakelaars kun je alleen afleiden dat de lamp moet branden (of juist niet ) als je (1) weet wat de stand van de andere schakelaar is (die je meestal niet kunt zien als je voor een schakelaar staat) en (2) als je weet of die draden gekruist zijn of juist niet.

Wat Willie heeft voorgesteld is natuurlijk nodeloos ingewikkeld en er kleven nadelen aan (o.a. kunnen de ouders de schakelaar beneden zien waardoor dat geen geheime sleutel is, als ze de truc niet doorhebben, is dat niet meer dan security by obscurity). Toch wilde ik dit uitgelegd hebben, want verderop hebben we deze basis nodig.

Met jouw zus kun je beter afspreken dat jij, zodra jouw ouders naar bed zijn gegaan maar nog wakker zijn, jij naar beneden gaat, zogenaamd om te plassen, waarna je je ervan verzekert dat het licht in de WC uit is. Zodra de kust veilig is, ga je nogmaals naar beneden en “vergeet” daarbij het licht uit te doen in de WC. Jouw zus weet dan dat de kust veilig is als het licht in de WC brandt.

Echter: zo’n regelmatig brandende lamp zou wel eens kunnen gaan opvallen!

Wat je daarom doet is het volgende:
– elke keer voordat jouw zus weggaat gooi je een muntje op [12];
– bij munt spreek je af dat, als het licht aan is in de WC, dit betekent dat de kust veilig is, en bij kruis dat licht aan in de WC juist onveilig betekent.

Voor een buitenstaander zal het volstrekt onduidelijk zijn wat de relatie is tussen enerzijds licht aan/uit in de WC en anderzijds kust veilig/onveilig; om die relatie te weten, moeten zowel jouw zus als jij de waarde van de sleutel kennen (kruis of munt) – informatie die je natuurlijk niet aan anderen vertelt. Handige bijkomstigheid: door een munt op te gooien heeft die sleutel een onvoorspelbare waarde (ook voor derden).

Concreet is hierbij sprake van een pre-shared key [13] (vooraf gedeelde sleutel), ook bekend als shared secret [14] (gedeeld geheim).

[12] https://nl.wikipedia.org/wiki/Kruis_of_munt
[13] https://en.wikipedia.org/wiki/Pre-shared_key
[14] https://en.wikipedia.org/wiki/Shared_secret

(G) ONKRAAKBARE ENCRYPTIE #3: MEER DAN 1 BIT
In de bovenstaande voorbeelden hebben we het, effectief, steeds over 1 “bit” gehad: 1 schakelaar in de stand 0 of 1 en de uitslag “kruis of munt”. Echter, meestal willen we meer informatie versleutelen. Dat kan, in elk geval, met evenveel hotelschakelingen als “bits” die wij willen versleutelen!

Nb. verderop ga ik wat dieper in op wat “bits” zijn, maar wellicht begrijp je dat voldoende om door te kunnen lezen en mijn (lange) verhaal te kunnen blijven volgen.

(H) PRAKTIJKVOORBEELD: VOETBALLERS OMKOPEN
Stel jij hebt een deal met een coach van het voetbalelftal over het omkopen van spelers, maar je wilt pas vlak voor de wedstijd aan die coach kenbaar maken welke spelers moeten worden omgekocht, zodanig dat niemand weet wat jullie uitspoken. Laten we uitgaan van 11 rugnummers (P.S. voetbal laat mij koud).

Vooraf gooi je, samen met die coach, 11x een muntje op. Stel kruis noemen we 1 en munt noemen we 0, en stel dat 11 keer gooien het volgende oplevert 1, 0, 0, 1, 0, 1, 1, 1, 0, 0, 1.

En stel dat jij, vlak voor de wedstrijd, wilt dat rugnummers 3, 6 en 10 worden omgekocht, dus: 0, 0, 1, 0, 0, 1, 0, 0, 0, 1, 0.

Zet dan die twee rijen cijfers onder elkaar en bereken de derde rij:

1 0 0 1 0 1 1 1 0 0 1   (de pre-shared key)
0 0 1 0 0 1 0 0 0 1 0   (plaintext: indexen van rugnummers van om te kopen spelers)
———————   (11 x hotelschakeling tussen 1e en 2e rij)
1 0 1 1 0 0 1 1 0 1 1  (te verzenden ciphertext)

De berekening hierboven vindt plaats per kolom (zonder dat kolommen daarbij invloed hebben op elkaar; in tegenstelling tot bij bijvoorbeeld optellen is er geen sprake van “onthouden”). Net als bij de hotelschakeling geldt: als het cijfer boven (de 1e regel) geljjk is aan daaronder (de 2e regel) komt er een 0 in de resultaatregel; anders komt er een 1 in de resultaatregel.

Je belt de coach kort voor aanvang van de wedstrijd, en noemt achter elkaar de cijfers 1, 0, 1, 1, 0, 0, 1, 1, 0, 1 en 1. Mocht iemand meeluisteren dan kan hij of zij hier geen touw aan vastknopen; immers hij of zij kent de sleutel niet.

De coach voert exact dezelfde berekening uit – het gaat hier namelijk om symmetrische encryptie (dezeldfe sleutel en hetzelfde algoritme worden gebruikt:

1 0 0 1 0 1 1 1 0 0 1   (de pre-shared key)
1 0 1 1 0 0 1 1 0 1 1   (de ontvangen ciphertext)
———————   (11 x hotelschakeling tussen 1e en 2e rij)
0 0 1 0 0 1 0 0 0 1 0   (plaintext: indexen van rugnummers van om te kopen spelers)

En daarmee weet de coach welke spelers moeten worden omgekocht.

Tussendoortje: (I) FBI VERSUS APPLE, NSA VERSUS JUNIPER ETC.
Wat de FBI van Apple vraagt is:
– ofwel: zorg dat jullie te allen tijde weten of het kruis of munt was, en vertel ons dat zodra wij daarom vragen;
– ofwel: maak het muntje aan een kant zwaarder zodat het veel vaker kruis -of juist munt- wordt;
– ofwel: (gokje van mij): doe voor de zekerheid maar allebei.Juniper had, op verzoek van de NSA, de munt aan een kant zwaarder gemaakt. Vervolgens is Juniper gehacked en is de bijbehorende code door een onbekende aangepast, zodanig dat de andere kant van de munt zwaarder werd. Uiteindelijk heeft Juniper besloten dat het, achteraf bezien, toch niet zo’n goed idee was om (op verzoek van geheime diensten of anderzins) met muntjes te rommelen [15].[15] https://www.security.nl/posting/457183/Juniper+gaat+NSA-algoritme+uit+ScreenOS+verwijderen

(J) BITS, BYTES EN COMPUTERCODE
Feitelijk hebben we hierboven al gebruik gemaakt van “bits” die de waarde 0 of 1 kunnen aannemen. Zoals je wellicht zult weten, werken computers uitsluitend met bits. Een bit kun je je op allerlei verschillende manieren voorstellen:
– schakelaar aan of schakelaar uit;
– lamp aan of lamp uit;
– 5 Volt of 0 Volt;
– stroom of geen stroom;
– waar of onwaar;
– ja of nee;
– 1 of 0.
enzovoort, wat je maar wilt; het zal de computer een rotzorg zijn wat jij ermee wilt zeggen. Gebuikelijk is te stellen dat een bit de waarde 0 of 1 heeft, net als dat een decimaal cijfer slechts een van de waarden 0, 1, 2, 3, 4, 5, 6, 7, 8 of 9 moet hebben (een andere waarde kan niet).

Conventie (een afspraak dus) is het om groepjes van 8 bits bij elkaar te denken en dat een byte te noemen. Hier bestaat feitelijk geen enkele noodzaak voor, het is gewoon handig. Moderne computers werken trouwens nauwelijks nog met bytes, maar meestal met groepjes van 32 bits (4 bytes) of 64 bits (8 bytes) tegelijk.

Laten we, om ingewikkelde zaken als hexadecimale getallen te vermijden, het gewoon op bits houden. Dus laten we aannemen dat elk bestand N bits lang is. In de praktijk betekent dit dat je de bestandslengte in bytes met 8 moet vermenigvuldigen om de lengte in bits te krijgen; niet echt moeilijk lijkt me. Maar als een bestand 11 bits lang zou kunnen zijn (zie de voetballers), zou de volgende berekening (cipher) gewoon haar werk kunnen doen.

(K) SIMPELE ONKRAAKBARE ENCRYPTIE
In tegenstelling tot wat de lezer waarschijnlijk verwacht is de beste encryptie het simpelst. Deze volrm van encryptie (bekend als one-time pad [16]) kent wel enkele stevige nadelen (naast het feit dat de sleutel volstrekt onvoorspelbaar moet zijn, maar dat geldt ook voor alle andere soorten encryptie):
1) de sleutel moet minstens even lang zijn (in aantallen bits) als de plaintext;
2) je mag nooit en te nimmer (delen van) zo’n sleutel hergebruiken;
3) bij grotere plaintext bestanden kan de noodzakelijke lengte van de sleutel het erg moeilijk maken om die sleutel veilig uit te wisselen (veel lastiger dan bij een wachtwoord zoals “Welkom01”).

Hoe dan ook, als dat allemaal geen issue is kun je het volgende programma gebruiken, dat ik in “pseudo code” van een cipher weergeef:

Open “SleutelFile” om eruit te kunnen lezen;
Open “InputFile” om eruit te kunnen lezen;
Open “OutputFile” om naar te schrijven (maak leeg bestand als deze nog niet bestaat);
Geef de variabele genaamd “BitNummer” de waarde 0;
Zolang “BitNummer” < Lengte van “InputFile”, herhaal opdrachten tussen accolades:
{
Lees het eerstvolgende bit (1 bit dus) uit “InputFile”;
Kopieer de waarde daarvan naar de variabele genaamd “InBit”;
Lees het eerstvolgende bit (1 bit dus) uit “SleutelFile”;
Kopieer de waarde daarvan naar de variabele genaamd “SleutelBit”;
ALS (zowel “InBit” als SleutelBit de waarde 0 hebben)
OF ALS (zowel “InBit” als SleutelBit de waarde 1 hebben)
geef “OutBit” de waarde 0;
Anders:
geef “OutBit” de waarde 1;
Schrijf “OutBit” naar “OuputFile” door de waarde helemaal achteraan te plakken;
Bereken “BitNummer” + 1 en zet resultaat in “BitNummer”;
}
Sluit alle files.

Dit ziet er wellicht ingewikkeld uit voor een leek. Echter, een werkend programma schrijven op basis van de bovenstaande pseudocode, is een peuleschil voor elke programmeur.

In het midden van de “routine” (de bovenstaande pseudocode) herken je waarschijnlijk de hotelschakeling (ter herinnering: met beide schakelaars in dezelfde stand is de lamp aan, anders is deze uit).

Ook hier gaat het om symmetrische encryptie: je kunt dezelfde routine gebruiken, zowel om te versleutelen als om te ontcijferen! Daarmee is deze routine geschikt om bijv. voetballers mee om te kopen en kan zowel door de opdrachtgever als de coach worden gebruikt. Beiden gebruiken dezelfde SleutelFile, echter de opdrachtgever stopt de plaintext in de InputFile, terwijl de coach de ontvangen ciphertext in de InputFile stopt. Met die tweede stap (ontcijferen) berekent het progrmma weer dezelfde plaintext als door de opdrachtgever in “zijn” InputFile gestopte gegevens.

[16] https://en.wikipedia.org/wiki/One-time_pad

(L) ALOM, IN DE PRAKTIJK, GEBRUIKTE ENCRYPTIE
In de praktijk wordt “one-time pad” [16] encryptie zelden gebruikt. De belangrijkste reden daarvoor is dat de sleutel minstens even lang moet zijn als de plaintext, en dat maakt het veilige uitwisselen ervan vaak erg lastig – tenzij je elkaar vooraf kunt ontmoeten om dan, bijvoorbeeld, een stapel papier of een USB-geheugenstick uit te wisselen.

Ik wil in een ander artikel wel eens verder ingaan op stream– en block ciphers), maar in essentie komt het allemaal redelijk op hetzelfde neer: uit een relatief korte sleutel of wachtwoord wordt, kunstmatig, een langere reeks bits gegenereerd [17] (deze berekening moet voor beide partijen (versleutelaar en ontsleutelaar natuurlijk exact dezelfde bitreeks opleveren).

Je zult vermoedelijk wel begrijpen dat, hoe korter dat wachtwoord is, hoe minder moeilijk het “raden” daarvan wordt als je dat eindeloos zou kunnen blijven proberen (brute force aanpak). Het “stretchen” van het wachtwoord tot een langere reeks bits heeft hier geen enkele invloed op. Dit nog even los van het feit dat dit soort “wachtwoord-stretchers” in de praktijk vaak zwakheden vertonen (er bijv. repeterende patronen in voorkomen) die de bedenkers zich niet hebben gerealiseerd tijdens het ontwerpen van de cipher (voorbeeld: [18]).

[17] https://en.m.wikipedia.org/wiki/Key_stretching
[18] https://www.rc4nomore.com/

(M) GEBRUIK VAN ENCRYPTIE VOOR ONGEWENSTE PRAKTIJKEN
Hierboven heb ik al laten zien dat je encryptie zou kunnen gebruiken bij het omkopen van voetballers (toegegeven, een niet erg realistisch scenario). De eenvoud van de hierboven beschreven -onkraakbare- encryptie heeft tot gevolg dat ook (cyber-) criminelen, terroristen en ander gespuis, indien zij vooraf samenkomen om sleutels uit te wisselen, zich niets hoeven aan te trekken van welke maatregel dan ook die wij nemen in een poging de door hen gebruikte encryptie te kunnen ontcijferen. Immers, iedereen met een beetje programmeerervaring kan zo’n programma schrijven. Hoewel het genereren van zeer lange, onvoorspelbare, getallen tijd kost, is dit niet moeilijk; desnoods gooi je heel vaak een muntje op. De vraag daarbij is sowieso of terroristen zeer lange sleutels nodig hebben. Immers: gegevens als datum, tijd en plaats passen in een beperkt aantal bytes.

Je houdt dit niet tegen. Mijn oproep aan politici luidt daarom: besteed jouw eigen tijd, en die van bezorgde burgers, aan zinvoller dingen om die gasten te pakken!

(N) CONCLUSIE

HET IS ONVERSTANDIG OM ALOM GEBRUIKTE ENCRYPTIE TE VERZWAKKEN
En:
HET IS ZINLOOS OM (KRACHTIGE) ENCRYPTIE TE VERBIEDEN
Erger:

MET VERZWAKKEN OF VERBIEDEN VAN ENCRYPTIE SCHAAD JE UITSLUITEND EERLIJKE GEBRUIKERS

(O) TEN SLOTTE
Ik zoek een andere baan in midden Nederland (dit is geen hoax of zo). Heeft iemand een idee?

In de hoop op meer tips (met dank aan SecOff 12:51), wat meer details over mijzelf (zonder opmaak om het compact te houden want dit is natuurlijk off-topic op deze site en onder dit artikel). Uitdagend vind ik het, risk driven, vertalen van de (nogal abstracte) controls uit ISO27002 (d.w.z. de annex van ISO27001) of NEN7510 in werkbare maatregelen die voor iedereen (gebruikers, beheerders, management en auditors) een acceptabel compromis vormen; ik heb 2 weken geleden nog een ICT bedrijf begeleid naar haar ISO 27001 certificering. De overheid wil dat ik nog 10 jaar werk (en zelf doe ik dat ook heel graag – zoek verder als je me te oud vindt). M.b.t. cybersecurity weet ik meestal heel goed waar ik het over heb. En als ik eigenwijs blijk te zijn geweest, ben ik altijd bereid om sorry te zeggen – en dat doe ik ook als ik iets concreets verkeerd heb gedaan. Ik ben geen projectleider en ambieer geen leidinggevende functie. En, omdat ik wil kunnen zeggen waar het op staat, ben ik niet zo geschikt voor “politieke omgevingen”. Ik wil graag verantwoordelijkheid dragen, maar eis daarbij dan wel een passend mandaat. Daarnaast heb ik veel tijd nodig om bij te blijven op mijn vakgebied; dat doe ik niet uitsluitend in mijn eigen tijd. Het lijkt mij heel leuk om security-awareness cursussen te geven (ook aan SW ontwikkelaars), maar ik heb nog nauwelijks ervaring met het geven van trainingen. Ik ben OS-neutraal: get the best tool for the job. Cloud en BYOD vind ik zeer risicovolle aangelegenheden die meestal tegen beter weten in, of tegenargumenten geheel niet overwogen hebbend, zijn ingevoerd – vaak omdat de baas ze zo handig vond. Zoek dus verder als je niet weet wat de woorden “management commitment” betekenen, maar ook als je niet begrijpt wat die woorden voor jou, als manager, in de praktijk betekenen (vul de PDF eens in waar ik in [19] naar verwijs). Ik ben gek op “forensisch”-achtig onderzoek en (malware) analyses, en ben zeer secuur; zoek verder als je een jaknikkende snelle Henkie wenst. Ik vind geld totaal ondergeschikt aan lol in mijn werk, maar ga niet meer een “kasboek voor privéuitgaven” bijhouden. Ik heb een eigen auto en -gelukkig- een goede gezondheid. Ik heb recentelijk nog een (zware) screening met goed gevolg doorstaan.

[19] https://www.security.nl/posting/467428/Hoe+security+aware+is+jouw+werkgever%3F#posting467543

(P) Wijzigingsregister
Wijzigingen 21-04-2016, 04:45: diverse tekstfouten gecorrigeerd en enkele links tegevoegd.
Wijzigingen 21-04-2016, 08:53: (zich schamend) er zaten nog steeds fouten in de berekeningen van de 11 voetballers.
Wijziging 21-04-2016, 15:23: dit wijzigingsrgeister zelf leek nergens op… (gefixt)
Wijziging 21-04-2016, 16:21: ik heb een stuk over mijzelf toegevoegd onder “(O) TEN SLOTTE”.
Opmerking 21-04-2016, 17:28: vanavond t/m maandagavond 25 april ben ik druk met privézaken waardoor ik waarschijnlijk niet in de gelegenheid ben in te gaan op vragen of opmerkingen onder dit artikel.
Wijziging 22-04-2016, 19:07: “*(A)” => “(A)”; taal- en functionele fouten gecorrigeerd n.a.v. -volkomen terechte- opmerkingen van Woopie, vandaag om 17:29 (taalfouten in teksten van anderen leiden mij ook vaak af van het onderwerp, en dat is jammer; dat maakt je echt geen taalnazi). “WS” => “WC” en “waarder” => “zwaarder”. Veel belangrijker: er zat een suffe redenatiefout in het schema van de hotelschakeling. Knap gevonden van Woopie, hartelijk dank! Ik heb het met wat moeite kunnen oplossen, gelukkig zonder Alt-255 nodig te hebben (want die heb ik niet op mijn mobiel ;-). Nogmaals dank aan deze oplettende lezer!

20-04-2016, 18:01 door Erik van Straten,

Continue Reading

PvdA stelt Kamervragen over detectie van adblockers

logo_adblock

PvdA-Kamerlid Astrid Oosenbrug heeft minister Kamp van Economische Zaken vragen gesteld over het nieuws dat de detectie van adblockers door websites mogelijk illegaal is. Oosenbrug wil van Kamp weten of het waar is dat websites zonder toestemming scripts draaien op apparaten van gebruikers om te achterhalen of bezoekers gebruik maken van adblockers en om hoeveel websites het dan zou gaan.

Verder vraagt ze hoe de detectie van adblocker zich verhoudt tot de Telecommunicatiewet waarin staat dat voor het plaatsen van informatie op een apparaat van een gebruiker de toestemming van die gebruiker is vereist. Kamp moet ook laten weten of er handhavend wordt opgetreden tegen de detectie van adblockers en of hij bereid is om de Autoriteit Consument en Markt en de Autoriteit Persoonsgegevens te vragen een onderzoek naar het onderwerp in te stellen. Kamp heeft drie weken de tijd om de vragen (pdf) te beantwoorden. Ict-jurist Arnoud Engelfriet behandelt de detectie van adblockers deze week in de Juridische vraag op Security.NL.

Continue Reading

Hoe je Plasterk buiten de deur houdt want ongericht aftappen gaat gewoon door.

digitallocks

Het ziet er steeds meer naar uit dat het ongericht aftappen van de Nederlandse burger gewoon doorgaat; inclusief het terughacken.
http://www.volkskrant.nl/media/kabinet-houdt-vast-aan-massaal-aftappen-internetverkeer~a4291392/
http://tweakers.net/nieuws/110819/ongericht-aftappen-kabel-gaat-de-overheid-jaarlijks-35-miljoen-euro-kosten.html

Deze nieuwe aftapwet was natuurlijk nodig onder het mom van “terrorisme” en “cyberdreigingen”, hoewel deze twee woorden niet vielen in de tekst van de consultatie. Later verklaarde Plasterk zelfs dat deze wet nodig was i.v.m. het Thalys-incident, waarbij Amerikaanse militairen een zwaar bewapende man in de trein overmeesterden. Ik houd het er maar op dat deze woorden “terrorisme” en “cyberdreigingen” later werden toegevoegd om de weerstand van de critici te breken, maar dat is overigens een hypothese van mijn kant.

Wat kan de onschuldige burger hiertegen doen?
Over het terughacken zal ik het maar even niet hebben, maar de burger kan wél iets doen om de methode van “wie-maakt-contact-met-wie” van dit kabinet in de wielen te rijden.

1) Verberg je IP-adres
Je kunt dit doen met een gratis VPN (Virtual Private Network) bijvoorbeeld.
https://www.hotspotshield.com/
Zelf gebruik ik HotspotShield in Google Chrome via Google Store kun je de de add-on downloaden.
https://chrome.google.com/webstore/search/hotspot%20shield?utm_source=chrome-ntp-icon

Let wel: deze Hotspot Shield is gratis en heeft daardoor alleen basisfunctionaliteiten. Wil je meer hebben, dan moet je betalen zoals bij elke VPN-dienst.

2) Spoof je MAC-adres
Voor mensen met OSX die hun MAC-adres willen verbergen, kunnen dit doen via een Terminal-opdracht. Meer is hier te lezen:
http://osxdaily.com/2008/01/17/how-to-spoof-your-mac-address-in-mac-os-x/
Er is op het moment aardig wat materiaal voorhanden om ook je MAC-adres in Windows en Linux te spoofen:
http://www.wikihow.com/Spoof-a-MAC-Address
Het spoofen van je MAC-adres wordt overigens bij de nieuwste TAILS gebruikt.
https://tails.boum.org/

3) Maak gebruik van Tor-browser
Er zijn mensen die misschien bezwaar hebben tegen het gebruik van Tor, maar dit levert toch aardige beveiliging op in het verbergen van je IP-adres, mits je je maar houdt aan de veiligheidsvoorschriften die bij het opstarten van de Tor-browser worden weergegeven. Absolute anonimiteit bestaat immers niet.
Wie eerst via een VPN inlogt en daarna via Tor, maakt het voor Plasterk wel heel erg lastig. Deze methode van inloggen is beschreven door een hacker en levert volgens zijn zeggen veel betere beveiliging op dan als je alleen maar de Tor-browser zou gebruiken.

4) Houdt je systeem altijd up-to-date
Het kan niet sterk genoeg benadrukt worden dat je systeem makkelijker is aan te vallen (ook door de overheid) als je je systeem niet up-to-date houdt. Virusscanners, applicaties en besturingsysteem moeten liefst de allerlaatste geinstalleerde versies hebben. 100% Beveiliging bestaat weliswaar niet, maar niets doen is zeker geen optie. Maak het Plasterk en de zijnen zo lastig mogelijk je systeem te invasieren. Dat houdt tevens in dat je Router/Modem voorzien moet zijn van de laatste firmware-versie. Maak het de terughackers zo lastig mogelijk waar je dat maar kunt doen!

Wie nog meer goede ideeën heeft wordt uiteraard van harte uitgenodigd om een bijdrage te leveren.
Ook kritiek is welkom.

Aanvullende post van forumlid:

4) Gebruik een browser plugin als uMatrix o.i.d. om User-Agents en HTTP referrers automatisch te spoofen en strict HTTPS te gebruiken. Als het even kan ook taalinstellingen en scherm-resolutie spoofen …
5) Spoof en roteer indien mogelijk ook het MAC adres van je thuisverbinding regelmatig.
6) Ipv een klassieke VPN verbinding kun je – als je een VPS / server hebt (liefst buiten NL), ook via die machines tunnelen.
7) Draai Tor Exit nodes op die VPS; doe je iedereen een plezier mee en je eigen verkeer wordt een naald in de hooiberg.
8) Draai altijd netjes je Windows updates per direct; iemand op afstand hacken gebeurd meestal via bekende lekken. Zonder die gaten wordt het al stukken moeilijker (tenzij je natuurlijk echt topcrimineel bent, dan komen ze toch wel achter je aan).
9) Draai NAT op je WiFi en zet SSDP en UPnP uit en gebruik een fatsoenlijke WiFi router ipv dat gratis ding van je ISP.
10) Geen Java en Flash draaien in de browser; gewoon NIET doen, bijna 99% van alle malware gebruikt het als stepping-stone.
11) Zwengel Maatschappelijk debat aan: uiteindelijk geen democratie zonder privacy en overheidsterrorisme is enger dan private terrorisme, want wie gaat je dan beschermen ?

Continue Reading

What users love (and hate) about 4 leading firewalls

firewall-100577022-primary.idge

While always an integral part of a company’s security procedures, firewalls are becoming even more important as more companies move to the cloud and software defined networks.

A firewall is a network security system that controls and monitors incoming and outgoing network traffic, based on preset security parameters. Firewalls create a barrier between a secure internal network and a potentially less-secure outside network.

Four of the top firewall solutions on the market are Fortinet FortiGate, Cisco ASA, Sophos UTM and Palo Alto Networks WildFire, according to online reviews by enterprise users in the IT Central Station community.

But what do enterprise users really think about these tools? Here, users give a shout out for some of their favorite features, but also give the vendors a little tough love.

 

Fortinet FortiGate

Valuable features

Policy control, web filtering, and the application filter works smoothly. Controlling and tracing with the web console works nicely for Windows systems. [It has] better QoS than Checkpoint, I believe.
Manan P., Network Engineer at a tech services company

It’s version of throughput is good. It has a strong active cluster, as you can have between three and 32 units to a cluster.
Adithyo W., Network Security Infrastructure – Tech Specialist at a tech services company

I am using different features of this product but the most valuable are – SSL VPN, Web filter, Explicit proxy, IPS, Application control and Routing.
Zain R., Senior Information Security Engineer at a tech services company.

Room for improvement

I’m happy with the product, however the licensing fees could be lower.
Marcin W., Senior NetOps Engineer at a tech services company

Its web interface needs to be more stable, and more functional, through the variety of browsers. Additionally a nice add-on would be a “diagnostic sniffer” capability in the web interface.
Achilleas G., IP Senior Engineer at a comms service provider

I’d like to see an improvement in the Bandwidth Management and Traffic limit control.
Mohammed A., IT Network Engineer at a energy/utilities company.

Read more FortiGate reviews on IT Central Station

Cisco ASA

Valuable features

It blocks all outside to inside traffic and only permits the specific internet traffic from the outside. VPN functionality is very useful, we can create remote access and tunnel VPN in the simplest way.
Rizwan S., Network Security Consultant at a tech services company

It’s a great solution that amalgamates a firewall and VPN into one device. It also has a well organized GUI- ASDM.
Bratislav V., System/Network administrator at a software R&D company

Room for improvement

The configuration/management interface is complex and can be confusing. Technical documentation is often sparse and can be incomplete when covering specific implementations.
SecurityArch819, Global Security Architect/Perimeter Systems Administration/Active Directory and System Administrator at a retailer

The ASA has room for improvement in the areas of layers four through seven. I would love to see application specific control, e.g.Facebook, Gmail, etc.
Jason B., Senior Network Architect/Owner at a tech services company

They should make the ASA accessible via the web instead of ASDM. Also, a big improvement is needed on the transparent mode.
Bagus P., Security Engineer at a tech services company

Read more Cisco ASA reviews on IT Central Station.

Sophos UTM

Valuable features

Valuable Features include Sophos Remote Access VPN, Country Based Firewall, Web Application Firewall, Ease of access (via browser) and Reporting.
Sanket D., Founder at a tech services company

The web filter and the ATP (Advanced Threat Protection) are great and easy to manage, and the integrated WAF (Web Application Firewall) allows the administrator to seamlessly protect HTTP/S services without having to pay thousands of dollars.
Juan S., CEO and Founder at a tech services company

Valuable features include: reliability, usability, number of features that fully cover goals, perfect support and the possibility to get “under the hood”.
Gregory O., Systems Engineer at a tech services company

Room for improvement

I wish the internet failover worked better. As it stands right now, when we have an internet failure on WAN1, it takes several minutes before our WAN2 connection picks up the traffic, with many things not working until I manually fail over to the other WAN.
Jeff B., Network Engineer II at a legal firm

The unit offers great failover and load balancing features that can be complex to understand, some streamlining of the process would help.
David D., CEO, Technologist at a tech services company

HA needs to be improved for the software appliance because if Sophos is deployed in ESXI/Hyper-V then the HA is unstable. Also, the web application firewall only allows the use of ports 80 and 443, and if we could use others ports than that would be a welcome addition.
Arnold B., IT/Telecom Specialist at a comms service provider

Read more Sophos UTM reviews on IT Central Station.

Palo Alto Networks Wildfire

Valuable features

It can do sandboxing on the premises, and it can be directly integrated with Palo Alto NGFW. The malware information on the file that has been sandboxing will be directly updated to the Palo Alto NGFW, and added to the Palo Alto Networks NGFW malware signature library.
Saia647, IT Security Engineer at a tech services company

It has one of the best WebUIs that I have used, because at a glance looks simple, but offers us a lot of options to secure all the traffic that is passing through the device (or all traffic that the user decides to pass through).
Jesús A., Presales Technical Consultant at a tech services company

App-ID User-I.D, ease of deployment, usability and the filtering mechanism like SP3 Engine.
Girish V., Senior Service Delivery Engineer at a comms service provider

Room for improvement

Inspection over different protocols (not just HTTP/FTP) Inspecting more file types Providing information back to the community that it uses to support its product.
Eric M., Chief Information Security Officer at a financial services firm

I’d like to see a wizard to create IPSec VPNs. They need to improve the graphics to show the network behavior.
— Jesús A., Presales Technical Consultant at a tech services company

IP SLA tracking GRE tunnel support. I believe these are the major improvements in the pipeline.
— Girish V., Senior Service Delivery Engineer at a comms service provider

Read more Palo Alto Networks Wildfire reviews on IT Central Station.

This story, “What users love (and hate) about 4 leading firewalls” was originally published by CSO.

Continue Reading

Juridische vraag: is detectie van adblockers illegaal?

logo_adblock

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Ik las dat het illegaal is om adblockers te detecteren. Klopt dat?

Antwoord: het in een website opnemen van scripts die adblockers detecteren, zou inderdaad illegaal zijn. De Europese Commissie had dat gesteld in een brief aan privacyactivist Alexander Hanff. Je mag immers geen informatie opslaan op mensen hun computers zonder toestemming, en een adblockdetectiescript is ‘informatie’ en mag er dus niet zijn.

We noemen het altijd de cookiewet, maar de wet is breder: ieder opslaan en uitlezen van informatie van randapparatuur van eindgebruikers is alleen toegestaan met hun toestemming, nadat je ze uitgebreid hebt geïnformeerd over wat je gaat doen en waarom. Vandaar dus de cookiepopups, maar ook bij het installeren of updaten van software moet er een toestemmingsvraag komen met uitleg wat er allemaal gaat gebeuren.

De EC neemt nu het standpunt in dat ook een script op een webpagina hieronder valt. Ergens logisch, want ook dat is informatie en die wordt (in de browsercache) op de randapparatuur van bezoekers van die webpagina opgeslagen. Maar als je die harde lijn neemt, dan moet elke webpagina voor elke pixel toestemming vragen, en dat kan toch niet waar zijn?

Nou ja, niet helemaal want de wet kent een uitzondering. Als het noodzakelijk is voor een goede levering van de dienst, dan mag zonder uitleg en zonder toestemming die informatie worden gezet. De CSS-stylesheets in een gevraagde webpagina behoeven dus geen toestemming, die zijn gewoon nodig om die pagina in de gewenste vorm te leveren. Bij gewone afbeeldingen zie ik dat ook nog wel, maar je kunt vraagtekens stellen bij de advertenties in een webpagina. Zijn die technisch gezien ‘nodig’ net zoals de CSS bestanden nodig zijn?

Bij invoering van de cookiewet was altijd het argument, advertenties zijn nodig anders is de dienst niet meer te financieren. Maar dat telt niet onder de wet, het gaat om functioneel/technisch nodig en niet op de lange termijn eigenlijk best wel belangrijk. Dus eigenlijk is het al discutabel of je zonder toestemming überhaupt advertentiebanners in een webpagina mag stoppen. We doen maar alsof dat mag, anders worden we écht gek van de toestemmingspopups, maar als de discussie daar zit dan zal een adblockerscript al helemaal een probleem zijn om te rechtvaardigen als technisch noodzakelijk.

Een escape zou nog kunnen zijn dat een adblockdetectie ook op de server kan misschien. Je kijkt dan simpelweg of de advertentiebanner wordt opgevraagd. Maar dat is natuurlijk simpel te omzeilen; als adblocker haal je dan de afbeeldingen op en die gooi je vervolgens weg.

Wel hebben we in Nederland natuurlijk nog een uitzondering op de cookiewet: informatie die “geen of slechts geringe” inbreuk op de privacy maakt en bedoeld is om de effectiviteit van een dienst te meten, mag zonder toestemming worden opgeslagen. Je zou volgens mij een adblockerscript daar prima onder kunnen rekenen. Dus dan mag in Nederland een adblockdetectiescript wél. (En inderdaad, die uitzondering is tegen de Europese regels.)

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Continue Reading

The dirty dozen: 12 cloud security threats

security-cloud-ts-100629881-primary.idge

Enterprises are no longer sitting on their hands, wondering if they should risk migrating applications and data to the cloud. They’re doing it — but security remains a serious concern.

The first step in minimizing risk in the cloud is to identify the top security threats.

As the RSA Conference last week, the CSA (Cloud Security Alliance) listed the “Treacherous 12,” the top 12 cloud computing threats organizations face in 2016. The CSA released the report to help both cloud customers and providers focus their defensive efforts.

The shared, on-demand nature of cloud computing introduces the possibility of new security breaches that can erase any gains made by the switch to cloud technology, the CSA warned. As noted in previous CSA reports, cloud services by nature enable users to bypass organization-wide security policies and set up their own accounts in the service of shadow IT projects. New controls must be put in place.

“The 2016 Top Threats release mirrors the shifting ramification of poor cloud computing decisions up through the managerial ranks,” said J.R. Santos, executive vice president of research for the CSA.

Threat No. 1: Data breaches

Cloud environments face many of the same threats as traditional corporate networks, but due to the vast amount of data stored on cloud servers, providers become an attractive target. The severity of potential damage tends to depend on the sensitivity of the data exposed. Exposed personal financial information tends to get the headlines, but breaches involving health information, trade secrets, and intellectual property can be more devastating.

When a data breach occurs, companies may incur fines, or they may face lawsuits or criminal charges. Breach investigations and customer notifications can rack up significant costs. Indirect effects, such as brand damage and loss of business, can impact organizations for years.

Cloud providers typically deploy security controls to protect their environments, but ultimately, organizations are responsible for protecting their own data in the cloud. The CSA has recommended organizations use multifactor authentication and encryption to protect against data breaches.

Threat No. 2: Compromised credentials and broken authentication

Data breaches and other attacks frequently result from lax authentication, weak passwords, and poor key or certificate management. Organizations often struggle with identity management as they try to allocate permissions appropriate to the user’s job role. More important, they sometimes forget to remove user access when a job function changes or a user leaves the organization.

Multifactor authentication systems such as one-time passwords, phone-based authentication, and smartcards protect cloud services because they make it harder for attackers to log in with stolen passwords. The Anthem breach, which exposed more than 80 million customer records, was the result of stolen user credentials. Anthem had failed to deploy multifactor authentication, so once the attackers obtained the credentials, it was game over.

Many developers make the mistake of embedding credentials and cryptographic keys in source code and leaving them in public-facing repositories such as GitHub. Keys need to be appropriately protected, and a well-secured public key infrastructure is necessary, the CSA said. They also need to be rotated periodically to make it harder for attackers to use keys they’ve obtained without authorization.

Organizations planning to federate identity with a cloud provider need to understand the security measures the provider uses to protect the identity platform. Centralizing identity into a single repository has its risks. Organizations need to weigh the trade-off of the convenience of centralizing identity against the risk of having that repository become an extremely high-value target for attackers.

Threat No. 3: Hacked interfaces and APIs

Practically every cloud service and application now offers APIs. IT teams use interfaces and APIs to manage and interact with cloud services, including those that offer cloud provisioning, management, orchestration, and monitoring.

The security and availability of cloud services — from authentication and access control to encryption and activity monitoring — depend on the security of the API. Risk increases with third parties that rely on APIs and build on these interfaces, as organizations may need to expose more services and credentials, the CSA warned. Weak interfaces and APIs expose organizations to security issues related to confidentiality, integrity, availability, and accountability.

APIs and interfaces tend to be the most exposed part of a system because they’re usually accessible from the open Internet. The CSA recommends adequate controls as the “first line of defense and detection.” Threat modeling applications and systems, including data flows and architecture/design, become important parts of the development lifecycle. The CSA also recommends security-focused code reviews and rigorous penetration testing.

Threat No. 4: Exploited system vulnerabilities

System vulnerabilities, or exploitable bugs in programs, are not new, but they’ve become a bigger problem with the advent of multitenancy in cloud computing. Organizations share memory, databases, and other resources in close proximity to one another, creating new attack surfaces.

Fortunately, attacks on system vulnerabilities can be mitigated with “basic IT processes,” says the CSA. Best practices include regular vulnerability scanning, prompt patch management, and quick follow-up on reported system threats.

According to the CSA, the costs of mitigating system vulnerabilities “are relatively small compared to other IT expenditures.” The expense of putting IT processes in place to discover and repair vulnerabilities is small compared to the potential damage. Regulated industries need to patch as quickly as possible, preferably as part of an automated and recurring process, recommends the CSA. Change control processes that address emergency patching ensure that remediation activities are properly documented and reviewed by technical teams.

Threat No. 5: Account hijacking

Phishing, fraud, and software exploits are still successful, and cloud services add a new dimension to the threat because attackers can eavesdrop on activities, manipulate transactions, and modify data. Attackers may also be able to use the cloud application to launch other attacks.

Common defense-in-depth protection strategies can contain the damage incurred by a breach. Organizations should prohibit the sharing of account credentials between users and services, as well as enable multifactor authentication schemes where available. Accounts, even service accounts, should be monitored so that every transaction can be traced to a human owner. The key is to protect account credentials from being stolen, the CSA says.

Threat No. 6: Malicious insiders

The insider threat has many faces: a current or former employee, a system administrator, a contractor, or a business partner. The malicious agenda ranges from data theft to revenge. In a cloud scenario, a hellbent insider can destroy whole infrastructures or manipulate data. Systems that depend solely on the cloud service provider for security, such as encryption, are at greatest risk.

The CSA recommends that organizations control the encryption process and keys, segregating duties and minimizing access given to users. Effective logging, monitoring, and auditing administrator activities are also critical.

As the CSA notes, it’s easy to misconstrue a bungling attempt to perform a routine job as “malicious” insider activity. An example would be an administrator who accidentally copies a sensitive customer database to a publicly accessible server. Proper training and management to prevent such mistakes becomes more critical in the cloud, due to greater potential exposure.

Threat No. 7: The APT parasite

The CSA aptly calls advanced persistent threats (APTs) “parasitical” forms of attack. APTs infiltrate systems to establish a foothold, then stealthily exfiltrate data and intellectual property over an extended period of time.

APTs typically move laterally through the network and blend in with normal traffic, so they’re difficult to detect. The major cloud providers apply advanced techniques to prevent APTs from infiltrating their infrastructure, but customers need to be as diligent in detecting APT compromises in cloud accounts as they would in on-premises systems.

Common points of entry include spear phishing, direct attacks, USB drives preloaded with malware, and compromised third-party networks. In particular, the CSA recommends training users to recognize phishing techniques.

Regularly reinforced awareness programs keep users alert and less likely to be tricked into letting an APT into the network — and IT departments need to stay informed of the latest advanced attacks. Advanced security controls, process management, incident response plans, and IT staff training all lead to increased security budgets. Organizations should weigh these costs against the potential economic damage inflicted by successful APT attacks.

Threat No. 8: Permanent data loss

As the cloud has matured, reports of permanent data loss due to provider error have become extremely rare. But malicious hackers have been known to permanently delete cloud data to harm businesses, and cloud data centers are as vulnerable to natural disasters as any facility.

Cloud providers recommend distributing data and applications across multiple zones for added protection. Adequate data backup measures are essential, as well as adhering to best practices in business continuity and disaster recovery. Daily data backup and off-site storage remain important with cloud environments.

The burden of preventing data loss is not all on the cloud service provider. If a customer encrypts data before uploading it to the cloud, then that customer must be careful to protect the encryption key. Once the key is lost, so is the data.

Compliance policies often stipulate how long organizations must retain audit records and other documents. Losing such data may have serious regulatory consequences. The new EU data protection rules also treat data destruction and corruption of personal data as data breaches requiring appropriate notification. Know the rules to avoid getting in trouble.

Threat No. 9: Inadequate diligence

Organizations that embrace the cloud without fully understanding the environment and its associated risks may encounter a “myriad of commercial, financial, technical, legal, and compliance risks,” the CSA warned. Due diligence applies whether the organization is trying to migrate to the cloud or merging (or working) with another company in the cloud. For example, organizations that fail to scrutinize a contract may not be aware of the provider’s liability in case of data loss or breach.

Operational and architectural issues arise if a company’s development team lacks familiarity with cloud technologies as apps are deployed to a particular cloud. The CSA reminds organizations they must perform extensive due diligence to understand the risks they assume when they subscribe to each cloud service.

Threat No. 10: Cloud service abuses

Cloud services can be commandeered to support nefarious activities, such as using cloud computing resources to break an encryption key in order to launch an attack. Other examples including launching DDoS attacks, sending spam and phishing emails, and hosting malicious content.

Providers need to recognize types of abuse — such as scrutinizing traffic to recognize DDoS attacks — and offer tools for customers to monitor the health of their cloud environments. Customers should make sure providers offer a mechanism for reporting abuse. Although customers may not be direct prey for malicious actions, cloud service abuse can still result in service availability issues and data loss.

Threat No. 11: DoS attacks

DoS attacks have been around for years, but they’ve gained prominence again thanks to cloud computing because they often affect availability. Systems may slow to a crawl or simply time out. “Experiencing a denial-of-service attack is like being caught in rush-hour traffic gridlock; there is one way to get to your destination and there is nothing you can do about it except sit and wait,” the report said.

DoS attacks consume large amounts of processing power, a bill the customer may ultimately have to pay. While high-volume DDoS attacks are very common, organizations should be aware of asymmetric, application-level DoS attacks, which target Web server and database vulnerabilities.

Cloud providers tend to be better poised to handle DoS attacks than their customers, the CSA said. The key is to have a plan to mitigate the attack before it occurs, so administrators have access to those resources when they need them.

Threat No. 12: Shared technology, shared dangers

Vulnerabilities in shared technology pose a significant threat to cloud computing. Cloud service providers share infrastructure, platforms, and applications, and if a vulnerability arises in any of these layers, it affects everyone. “A single vulnerability or misconfiguration can lead to a compromise across an entire provider’s cloud,” the report said.

If an integral component gets compromised — say, a hypervisor, a shared platform component, or an application — it exposes the entire environment to potential compromise and breach. The CSA recommended a defense-in-depth strategy, including multifactor authentication on all hosts, host-based and network-based intrusion detection systems, applying the concept of least privilege, network segmentation, and patching shared resources.

Continue Reading