Werkbare Informatiebeveiliging

SIEM, de heilige graal in de Informatiebeveiliging?

2010-10-14T16:37:00.000+02:00

Mensen, wat zijn we in de informatie technologie toch gek op acroniemen. Zo hebben we al weer een tijd het prachtige SIEM, hetgeen staat voor Security Incident and Event Management. Na jaren van al dan niet juist en zinvol implementeren van tal van technische maatregelen om de risico's die we geïdentificeerd hebben met onze digitale informatievoorziening, komt natuurlijk onvermijdelijk de vraag naar boven:"Wat hebben we hier nu mee bereikt, is onze organisatie veiliger geworden?"

Omdat het aan de hand van logfiles uit de firewall, intrusion prevention of andere systemen moeilijk te herleiden valt welke potentiele bedreigingen op de business afgewend zijn, is er een al lange tijd behoefte aan management gereedschap, dat de risico's die de business loopt kan correleren met de informatie uit de diverse beveiligingssystemen en het vigerende informatiebeveiligingsbeleid.

Hoe kun je nu een idee krijgen, of de investering in een dergelijke technologie gerechtvaardigd is.
Enkel aandacht voor de technische aspecten is niet voldoende. Kennis van de werkzaamheden van de organisatie (de "business") is van groot belang. Vraag je af wat ze doen en hoe, waar wordt het geld verdiend?
Op welke systemen draaien de belangrijkste toepassingen, is men zich bewust van fraude gevoeligheid? Natuurlijk zijn dit niet alle relevante vragen, maar het gaat er om dat dergelijke informatie nodig is om de verbanden te leggen die niet slechts bijdragen aan de beveiliging, maar ook waarde creëereen voor de organisatie.

Op basis van deze verbanden is het mogelijk om de informatie te verkrijgen die een aanwijzing geeft of de investering in SIEM te rechtvaardigen is.

Hoeveel security events zijn opgemerkt door de SIEM oplossing en wat zijn de de verliezen die geleden worden als gevolg van het niet of te laat opmerken?
Zal de beschikbaarheid van de informatievoorziening verbeteren?
Welke fraude pogingen worden nu wel gesignaleerd en hoeveel verlies is daarmee voorkomen?

Het lijkt erop, dat hiermee een weerwoord gegeven kan worden aan de dooddoener:"Informatiebeveiliging kost alleen maar geld, je krijgt er niets concreets voor terug", maar het zal tegelijkertijd het ontbreken van beleid en zinloze maatregelen inzichtelijk maken. Het is kortom geen heilige graal, maar een belangrijk instrument om inzicht te verkrijgen in de stand van zaken rondom informatiebeveiliging.

Cybercrime does not pay, but...

2010-04-15T22:22:00.001+02:00

The article describes how dutch law enforcement succeeded in bringing a cybercriminal to trial where he (B.) is convicted and will have to serve 15 months in jail.

So far, so good. My question in this matter is about the area I highlighted, which states that he could not be convicted for breaking into a website by performing a SQL injection attack, stealing a 1000 creditcard numbers, although he admitted being guilty in court, because the evidence was collected wrongfully and therefore was not admissed.

What went wrong in a succesfull case?

verwijst naar:

"Bij het verhoor en in de rechtszaal erkende hij schuld, maar de politie heeft het bewijs niet wettig in handen gekregen. Daarom is hij gedeeltelijk vrijgesproken."
- Cybercrimineel krijgt 15 maanden cel | nu.nl/internet | Het laatste nieuws het eerst op nu.nl (bekijken via Google Sidewiki)

Awareness

2010-04-09T11:39:00.000+02:00

As I travelled on the train to Amsterdam this morning I witnessed an interesting telephone conversation. A lady obviously had some issues with her declarations, so she called her office. She identified herself very clearly and asked if the person on the other side could check her email for her. Yes, she gave her password and in the meantime opened her notebook, which was professionally tagged showing the international company she worked for.

After repeating her company creditcard number out loud, bad line I guess, she also spelled out the names and email adresses of her assistant and manager.

So much for information security awareness...

- Posted using BlogPress from my iPhone

Warning! Do not press F1!

2010-03-02T14:16:00.002+01:00

What is going on? We don't want remote code to be executed on our Windows XP machines, do we? As you can read in the adjoining article, the MSRC Engineering team has been investigating reports of a vulnerability involving the use of VBScript and Windows Help files.

You will find some excellent technical and configuration advice here.

Now my question is: " Is it worth all the hassle?"

How often do we press F1?

Not that often, do we...

verwijst naar:

"The MSRC Engineering team has been investigating reports of a vulnerability involving the use of VBScript and Windows Help files"
- Security Research & Defense : Help keypress vulnerability in VBScript enabling Remote Code Execution (bekijken via Google Sidewiki)

Toyota recalls are a case for open source code

2010-02-22T18:59:00.002+01:00

While I wholeheartedly agree with Farhad Manjoo when he explains why we as drivers are a far bigger risk than Toyota's buggy braking software, I think it is a pity he does not break a lance for open source software.

If Toyota wanted to mend its public image and reputation for quality, it would make its source code available to anyone interested. This audience is far more likely to discover bugs and suggest improvements than an independent engineering firm ever could hope to find, not to mention the ability of government bodies to do so.

In my opinion, this is clearly an area where http://en.wikipedia.org/wiki/Security_through_obscurity does not bring us safer cars.

verwijst naar: Should we be worried that our cars are controlled by software? - By Farhad Manjoo - Slate Magazine (bekijken via Google Sidewiki)

Old hacking tricks still do the trick...

2010-02-16T11:12:00.002+01:00

Recently Trustwave released it's Global Security Report 2010.

“In 2009, the most notable trend is the continued use of existing attack techniques despite the security industry’s awareness of these vulnerabilities.”

These findings are alarming and at the same time understandable. Let's take the average time between an initial breach and its detection. It was 156 days according to the paper. In some cases, the lapse was close to two years(!). The reason is obvious as we devote our attention to countering the latest vulnerabilities and are focussing on new issues such as social networking and cloud computing, we tend to oversee what is already there. And even if we do, knowledge of heritage systems is often not well documented, or unavailable at all because of restructuring, outsourcing or other cost cutting measures whose unwanted side effects always show up long after the deed was done.

This tells us once more, that we need to assess our complete it infrastructure and it's risks regularly and to remain vigilant. Most important however, information security should be part of basic enterprise policies, which message has to be heard and understood by top executives.

We have moved into an era where information security is key to all business functions, but some of the issues we talked about a dozen years ago we are still talking about today. We need to make our point to those who don’t do this for a living...

Prijs reis OV belangrijker dan privacy?

2010-02-12T17:57:00.000+01:00

Als we de Volkskrant van vandaag volgen, dan is de prijsstijging die de invoering van de OV chipkaart met zich mee brengt van ernstiger aard, dan de bescherming van de privacy van de gebruiker. Voor het geval u net zo verbaasd bent als ik over dit standpunt, haal ik het hier nog maar eens aan ( de cursifering is van mij):

"Ook bleek er aanvankelijk nauwelijks te zijn gedacht aan de bescherming van de privacy.
De vraag is wat er terechtkomt van de belofte dat reizen met de ov-chipkaart gemiddeld niet duurder zal zijn dan met de oude strippenkaart.
Tenzij men reist met een anonieme chipkaart biedt het systeem de mogelijkheid iemands reisgedrag nauwkeurig te volgen. Dat is niet alleen interessant voor marketeers, maar ook voor politie en justitie. De praktijk moet leren wat de waarborgen tegen misbruik waard zijn.

Een serieuzer probleem is dat de reiziger niet overal hetzelfde tarief per kilometer betaalt..."

De prijs van privacy volgens de Volkskrant?

Hyves (Dutch Post)

2010-02-11T21:48:00.002+01:00

"Ben jij ook zo moe?" luidt de vraag van Leon als hij meldt "Weer een bug in de Hyves mailprocedure".

Ach nee, de avond is nog jong, de hele dag is druk geweest in het kader van allerlei bezigheden die werken in de informatiebeveiliging met zich mee brengen. Van lezen, tot telefoneren, administratie, vragen stellen, fouten herstellen en af en toe zelfs even tijd om na te denken. Over de uitleg van Leon over de vorige Hyves glitch, zie "Lek(je) in autorisatiesysteem Hyves".

Wanneer ik de bevestiging van het herstel krijg door een proef op de som door de beschreven actie met mijn eigen Hyves account uit te voeren, neem ik aan dat Hyves adequate actie onderneemt en het geheel van autorisatie systemen en procedures zal controleren. Hyves neemt informatiebeveiliging serieus en kan net als ieder ander een fout maken. De verantwoordelijkheid voor meer dan 9 miljoen profielen is een zware en veelomvattende.

Zat ik er naast?

Ben benieuwd wat Leon heeft aangetroffen.

Update: "Die fout is uit te buiten met eenzelfde aanvalsvector als de eerdere melding http://twitter.com/Leon1969/status/8150060854 #hyves #fail"

Gelukkig reageert @Remco namens Hyves direct.

De verdere uitleg is bij Leon te lezen. Mijn complimenten voor Leon, ook zo kunnen we veiliger en gerust blijven hyven, twitteren of handel drijven op 'the internets'.

Nu hopen dat Hyves de fout er uit haalt en lering uit het gebeurde trekt.

Informatie beveiligen is een proces...

Identification

2010-02-10T21:35:00.004+01:00

Yesterday I spent the evening with an expert vendor of key issuing systems. My head is still spinning with the details of this technology, the embedding in the organisation and it's market.

It helps to clear the mind every now and then by putting things in perspective, this is how sailing ships used for transportation in the early days if the 20th century were identified:

Van Remco Bakker's blog

Phishing attack on Twitter

2010-02-03T10:36:00.001+01:00

Yesterday, Twitter asked some users to reset their password as a security measure. Twitter has officially confirmed that it was a security issue and has given us some background information.

Twitter calls it: "Reason #4132 for Changing Your Password."

Twitter discovered a surge of followers to some suspicious accounts, decided to investigate, and discovered that a number of accounts were compromised through an attack involving torrent-related sites and forums.

When you carefully read Twitter's description, you will find some sound advice there:

"The takeaway from this is that people are continuing to use the same email address and password (or a variant) on multiple sites. Through our discussions with affected users, we’ve discovered a high correlation between folks who have used third party forums and download sites and folks who were on our list of possibly affected accounts. While not all users who were sent a password reset request fall into this category, we felt that it was important to put this knowledge out there so that users would know of the possibility of compromise of their data by a third party unrelated to their Twitter account. We strongly suggest that you use different passwords for each service you sign up for"

Indeed, reason #4132.

Cloud computing risk assesment by ENISA

2010-01-27T12:50:00.003+01:00

Cloud computing is on many agenda's these days.

For many, there is an obvious business case. It means computing on the demand, has instant availability, requires little or no commitment and minimal investments.

In our security practice, we find that the main concern on cloud computing is security: "How can I know if it’s safe to trust the cloud provider with my data or even my entire business infrastructure?”
It is obvious that many people feel the need for an independent, in-depth look at all the security and privacy issues of moving into the cloud, outlining some of the information security benefits of cloud computing, as well as the key security risks.

Therefore, I was very glad to read the ENISA's (the European Network and Information Security Agency) report on security. If it is on your agenda, read it! The PDF can be downloaded here
The report provides a detailed check-list of criteria which anyone can use to identify the security consciousness of their cloud provider.

The key conclusion of this paper, according to ENISA, is:

"... that the cloud’s economies of scale and flexibility are both a friend and a foe from a security point of view. The massive concentrations of resources and data present a more attractive target to attackers, but cloud-based defences can be more robust, scalable and cost-effective."

In my opinion, this report helps you to make a well informed decision on this issue.

Lek(je) in autorisatiesysteem Hyves III

2010-01-25T13:36:00.003+01:00

Lees net, dat Hyves de bug bevestigd heeft en dat reparatie plaats vindt. Leon69 tweets: "Bug bevestigd, #hyves voert wijzigingen door."

Dat klinkt goed. De nieuwsgierigheid naar de achtergrond blijft, ook om lering uit te trekken.

Wordt vervolgd.

Inmiddels heeft security.nl bericht, dat Hyves een en ander voor a.s. donderdag opgelost zal hebben. "Een goede en snelle reactie", aldus Leon Kuunders. Dan volgt ook nadere toelichting. Vraag me wel af, dit betekent dat kwaadwillenden tot donderdag vrij spel hebben, of is dat weer te zwart gedacht..

In ieder geval: Well done Leon!

- Posted using BlogPress from my iPhone

Informatiebeveiligingsavond, nu de ANWB?

2010-01-24T22:10:00.001+01:00

Heeft de Hyves lek mijn volle aandacht, lees ik deze tweet van Radio 1 verslaggeefster Lara Rensen: "Leg ik voor aan Van Woerkom RT @hansvoss: @Laradio Peiling kan door dezelfde persoon vanaf dezelfde computer meerder keren worden ingvuld."

Ik heb al veel gelezen over de volksraadpleging van en door de ANWB, namens onze Minister. Wat jammer nu, ik heb mijn lidmaatschap al een paar jaar geleden opgezegd en mijn hulp onderweg wordt nu op een andere manier geregeld. Maar betekent dit nu ook, dat ik mijn lidmaatschap van de constitutionele monarchie kan opzeggen?

In ieder geval hebben beide instituten moeite met het fenomeen digitaal stemmen. Nadat eerder door wijvertrouwenstemcomputersniet.nl al de kwetsbaarheden aangetoond werden in de stemcomputers, ziet de ANWB er nu volgens Hans Voss de noodzaak niet van in om het one voice, one vote systeem af te dwingen.

Terwijl het vaststellen van een identiteit ook via internet heus wel kan, of ben ik nu te veel met informatiebeveiligen bezig?

In ieder geval wacht morgen weer een interessante dag.

Update maandagmorgen: Interessant interview met Van Woerkom, maar dit onderwerp komt helaas niet aan bod.

Lek in Hyves autorisatiesysteem gemeld II

2010-01-24T18:35:00.006+01:00

Nu www.hyves.nl even kijken. Door naar het nieuws. Nee, nog niets. Vreemd, Leon69 is een ITsecurity expert. Wat betekent dit? Leon69 heeft dit vast en zeker voorgelegd aan Hyves. Ben benieuwd hoe lang dat geleden is. Zijn melding niet serieus genomen? Niet te verfieeren? Dat lijkt me stug. Een man gooit zijn reputatie niet te grabbel door ongefundeerde kritiek op Hyves. Zijn motto daar luidt: "what you read is stripped from context. that is key." Iemand die zich zeer bewust is van die context!

Ik ben benieuwd naar de volgende reactie...

Die, as we write, luidt: Kom op Leon, show us ;) ben benieuwd of dit nu letterlijk opgevat moet worden aan Leon69 om het Hyves account van tweep domenico

De volgende die ik bekijk is de site van webwereld, vaak de bron van nieuws over incidenten, privacy, bugs, patches, goed en goed geinformeerd. Nee, nog niets. Het is inmiddels bijna half 8. Zou Leon69 tot nu toe de enige zijn? Of niet, in that case..

Wat wordt de volgende website? Security.nl maar. Nee, nog niets. Tijd om een interessant verhaal te lezen over "Privacyfundamentalisten". Er gebeurt nu toch niets..

Om 20.35 opnieuw een retweet. Ben benieuwd hoe dit gaat lopen.

De oorzaak...

Dat zou ik ook graag weten. Zit het in de software? Worden er typische web applicatie exploit misbruikt? Hapert er een systeem waardoor updates niet uitgevoerd worden, of zit er iets mis in de organisatie? Het zal vast goed te verklaren zijn, maar alles wat ik daar over zeg is pure speculatie.

Intussen vraag ik me af, hoe dit verder zal lopen.

Lek in Hyves autorisatiesysteem gemeld

2010-01-24T18:17:00.002+01:00

"Leon1969: Ik vind zojuist een lek in het #Hyves autorisatiesysteem waardoor toegang tot profielen kan worden verkregen #fail. Morgen in het nieuws."

Original Tweet: http://twitter.com/Leon1969/statuses/8150060854

Terwijl ik een kop koffie drink, genietend van een kop koffie als onderbreking van een bezoek aan een tentoonstelling van een Franse kunstenares, Sophie Calle, even twitter/mail/facebook kijken en bovenstaande tweet komt op mijn scherm.

In plaats van een beschouwend stuk schrijven, nu eens bijhouden wat er gebeurt. Een kwartier later, om 10 over drie komt de eerste reactie. Leuk, iemand die eerder al met Leon69 twitterde over identity en prviacybescherming. Alert.

Dan denk ik aan mijn eigen Hyves account. Ben benieuwd hoe snel Hyves het nieuws oppikt en in actie komt. Als het nieuws morgen pas 'breekt", volgen die dan #Hyves en bijvoorbeeld #Hack ?

Of ben ik daarvoor te lang in de itsecurity bezig, paranoia slaapt nooit ;-).

Om iets voor half zes ziet een oud consultant van irC2 het nieuws en retweet het.

Nu, om iets voor zes ziet iemand die ik niet ken het. Zal het dan een Hyves man/vrouw zijn? Snel profiel checken, nee hoor.

3 minuten na zes schrijft Leon1969: " De power van Twitter aan het werk. Benieuwd naar de dag van morgen. #whatthehack"

"Microsoft Security Bulletin Advance Notification for January 2010"

2010-01-21T00:57:00.001+01:00

Early tuesday morning I wrote about the high probability of Microsoft issuing an "out of band security update for amongst others Internet Explorer 6.0.

Microsoft just published a "Security Bulletin Advance Notification for January 2010" stating that we can expect the availability today, january 21st 2010.

The year is only 3 weeks gone and we already have to deal again with serious issues, inflicting core business of many organizations. I realized this once more, when I read on the website of a huge Telecom provider: "This site is optimized for Internet Explorer 6.0" Go figure the implications..

Probable out of band security update by Microsoft.

2010-01-20T10:12:00.000+01:00

Last night Microsoft informed the world , that we can expect an out of band security update. It is concerning the following products: Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4, and Internet Explorer 6, Internet Explorer 7 and Internet Explorer 8 on supported editions of Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2.

Although this will disrupt common update procedures, we should all pay attention to this update. It shows that Microsoft is again willing to react swiftly to serious issues and for those with a history in it security like us, that really still is note worthy. It tells us that dealing with security issues can be done openly and according to a well defined process. Furthermore we should pay attention, as there will be cases in the not so near future, where we will hear about breaches because of unpatched systems.

History tells us, how bad inventory and patch management still are among of the weak spots in information security. Gentlemen, start your engines!

Google hack II, some of the consequences.

2010-01-19T08:02:00.004+01:00

Did you already get rid of your Explorer 6 and 7 ?

Seems to me, that this is one of the most visible consequences for the IT community. Read Microsoft's advice: "That is why we continue to recommend that customers using IE 6 or IE 7, upgrade to IE 8 as soon as possible to benefit from the improved security protections it offers."

But this advisory is not what fascinates me most. Consider this:

Google’s customers don’t seem to be fleeing.
Google stock fell approximately 4% on the news they were hacked, while the market was down 2%. How that combines with threatening to pull out of the largest market on Earth, I fail to understand.
No one I know of in Google infosec has lost their job, though there are rumours about cooperation of employees.
Google didn’t go under because of the security issue, where as a matter of fact Google is getting all sorts of props for how they handle communication around this matter.

Something for the "don't tell we have a problem" fans to ponder.

Update !: China feels it is the biggest victim, article in Techworld

Update january 20th: Excellent article in Arstechnica, with broad coverage.
Clear statement by Bruce Schneier: "Us enables Chinese hacking of Google" on CNN Opinion

google hack - Google News- China

2010-01-14T20:44:00.003+01:00

google hack - Google News

Posted using ShareThis

Hmm, only 700 or so hits.

Of course, I am in security, not in Google search terms but could this mean that Google's issue with China isn't as much perceived as a security issue, but more of an human rights and business one?

Do I worry about my data in the cloud?

Have been using Gmail for a pretty long time, and over time most services found their way into work at Cqure en irC2. So is my data under threat now? Well it has been proven once again, that not one thing that's been made by man, can be broken by man. What else is new. It shows the value of the information to this particular thief. If the loot you are after is worth a lot, you will invest a lot of time,energy, talent and money (and it is all there) to get it. (remember the one digging underneath bank building in order to hit the safes from below?). And who has all this?

The question to me.

Is there someone out there, who has the same amount of money, talent, energy to break the same protection, which, in the continous armsrace will be strengthened, and so on and on, willing to direct that effort at you? I my case, I don't think so.

And I think, that this will be the case for many, many users. But it never hurts, to step out for just a moment, and reconsider how your information is secured. And answer the question if your information is safe in the cloud.

Pick your enemy with care.

Wens voor 2010

2010-01-11T21:34:00.000+01:00

Goed, om u de beste wensen voor dit jaar aan te bieden is wel wat laat, hoewel ik de datum van vandaag (110110) mooi genoeg vind om daar een uitzondering voor te maken.

Uitzonderingen, die maken gebruikers ook vaak. Op uw informatiebeveiligingsbeleid. Een van mijn wensen voor 2010 is dan ook, dat er toch weer een verhoging van het beveilingsbewustzijn op de werkvloer komt.

De gebruiker is en blijft namelijk nog altijd de zwakste schakel. En rekent u er op, dat de informatiedief dit ook weet en daar gebruik van maakt. Het is de weg van de minste weerstand.

Of heeft u de Post-it notes met passwords al uitgebannen, deelt niemand zijn toegang met een andere gebruiker meer en weet u zeker, dat er geen usb sticks met uw kostbare bedrijfsinformatie de deur uit gaan?

Ook whiteboards staan nog vaak vol met vertrouwelijke informatie, op en bij printers is het ook vaak raak en als de informatie daar niet ligt, dan toch wel open en bloot op het buro.

En bedenk, niet alle problemen komen van buiten, maar van binnen uit de organisatie. Reden te over, om ook in het nieuwe jaar met volle overtuiging op de beveiliging van uw kostbare informatie in te zetten!

Bescherm uw gebruikers tegen zichzelf.

2009-12-15T10:36:00.009+01:00

Bescherm uw gebruikers tegen zich zelf en staak uw pogingen om hen te laten stoppen met het gebruik van Marktplaats, Gmail, Twitter, Facebook, Hyves of een van de vele andere diensten die samen te vatten zijn onder de namen 'Social Media' en 'E-commerce'.

Ja, het gebeurt in de tijd van de baas! Net zoals het bespreken van de laatste uitzending van DWDD of de gemiste penalty van het Nederlands elftal bij de koffiemachine. Het échte probleem is dat het bezoek aan dit soort websites, met alle risico's van dien, gebeurt vanaf computers van of binnen uw netwerk; juist die systemen waar criminelen naar op zoek zijn. In plaats van verbieden en daarmee te doen alsof het probleem niet (meer) bestaat, is het verstandiger om uw gebruikers, bij uw streven om uw informatiebeveiliging op orde te houden, te betrekken. Licht hen voor over de meest voorkomende valstrikken die cybercriminelen op het web voor hen hebben uitgezet en hoe ze te herkennen. Leer zelf én hen, hoe overtuigend misleiding kan zijn en vooral: hoe nieuwsgierigheid een moeilijk te bedwingen fenomeen is. Klik hier is een automatisme, dat maar moeilijk te doorbreken is.

Veilige feestdagen!

Tips voor Informatiebeveiliging en Social Media

2009-10-20T16:17:00.007+02:00

In aanvulling op ons voorgaande artikel over social media, geef ik u graag een paar tips. Zo kan uw organisatie deze ontwikkeling benutten in plaats van er het slachtoffer van te worden.

Zorg voor duidelijke regels voor het gebruik van de diverse technologiën en houd deze up-to-date, want de ontwikkelingen komen in een hoog tempo op ons af. Maak ook duidelijk wat wel en wat niet mag. Zo vermindert u de blootstelling aan risico's.

Maak de regels specifiek. Bij voorbeeld: praat niet over klanten, relaties, collega's of leveranciers zonder uitdrukkelijke toestemming verkregen te hebben. Wanneer medewerkers gebruik willen maken van een blog of twitteren namens uw bedrijf, is het zaak dat ze ook als zodanig identificeerbaar zijn.

Communiceer en train uw medewerkers; met regels alleen bent u er niet. Gebruik van social media in samenhang met persoonlijke communicatiemiddelen als een iPhone of Blackberry horen bij de awareness trainingen over informatiebeveiliging in uw bedrijf.

Heb oog voor het volkomen decentrale aspect van social media en verlaat u niet alleen op de centrale IT (security) afdeling. Idealiter is er in elke business iemand die de relatie met de IT security begrijpt en onderhoudt.

En tot slot; leer door te doen. Oefening baart kunst!

Informatiebeveiliging en Social Media.

2009-09-23T16:12:00.011+02:00

Social Media als Twitter, Facebook, Hyves, of Linked In vinden in rap tempo hun weg in ons dagelijks werk. Of het nu is om van klanten te leren kennen, een merk te promoten of welke vorm van communicatie dan ook te bedrijven, er wordt steeds meer geld aan uitgegeven. En zoals vrijwel altijd wordt de vraag "hoe hier mee om te gaan", pas gesteld nadat we ermee zijn begonnen. Zonder enige vorm van proces duikt men erop, waarbij tal van zaken opnieuw bedacht (moeten) worden en veel geld vermorst wordt.

Het gaat dan vaak om een set veelbelovende tools, die elk efficiënt beheerd en beheerst gebruikt moeten (kunnen) worden. De vraag die hierbij gesteld moet worden is: "Waar bevind ik me nu, ben ik nog in het ontdekkingsstadium of hoort het inmiddels bij het gebruik van alle dag?" Hier zijn drie fases te onderscheiden.

Ontdekking: in dit stadium vindt men uit wat de mogelijke toepassingen zijn en de daarbij behorende risico's. Omdat het doel begripsvorming is, kan er volstaan worden met beperkte middelen. De risico's ten aanzien van de drie belangrijke informatie beveiligingscriteria Integriteit, Vertrouwelijkheid en Beschikbaarheid dienen hierbij in acht genomen te worden, maar hoeven een test niet in de weg te staan.

Pas wanneer men in het stadium van serieuze testcase komt en meer gaat experimenteren, ook op verschillende terreinen, is er behoefte aan strakker beheer en toezicht; management zo u wilt. Er zijn verschillende manieren, om de gewenste transparantie en het delen van de opgedane ervaring mogelijk te maken. Alleen dan kan namelijk de kennis daadwerkelijk opgebouwd en bewaard worden. Om later niet door beveiligingsproblemen op bijvoorbeeld privacy gebied ingehaald te worden, tekent zich de noodzaak af om maatstaven vast te stellen voor elk doel op dit gebied en dan in het bijzonder ook voor de informatiebeveiliging.

In de volgende fase, die van adoptie, kan het gebruik van social media veilig overgelaten worden aan de verantwoordelijke afdelingen en kan het management zich toeleggen op ondersteuning en coaching. Tegelijkertijd dient men een goede controle te behouden op de risico's die elk gebruik van informatie technologie met zich mee brengt.

Dat zou nou mooi zijn; kwaliteitscriteria vooraf vast leggen, zodat we niet de put hoeven te dempen als er weer eens een kalf verdronken is. Denk maar aan de incidenten die er al met het gebruik van diverse media geweest zijn. Als information security officer weet u wat u te doen staat!

ps ik kreeg nog een mooie opsomming van waarom men twitteren wil op managers on line. Dan weet u vast welke vraag de business mee kan komen!

Prioriteiten bij het patchen, nog altijd een zorgenkind?

2009-09-17T15:19:00.007+02:00

Het SANS rapport "The Top Cyber Security Risks" en het Internet Storm Center (ISC), stelt dat bedrijven ogenschijnlijk de verkeerde prioriteiten stellen waar het gaat om het verhelpen van kwetsbaarheden in PC's. Hoewel recente aanvallen op Windows PC's zich vrijwel alleen maar richten op kwetsbaarheden in Adobe Reader, QuickTime, Adobe Flash en Microsoft Office, duurt het gemiddeld twéé keer zo lang voordat security updates voor deze applicaties geïnstalleerd zijn vergeleken met kwetsbaarheden die in het besturingssysteem aangetroffen worden. Het rapport baseert zich op informatie uit 6000 intrusion prevention systemen van TippingPoint en de meer dan 100 millioen vulnerability scans die Qualys uitvoert.

Zo valt te lezen, dat 80 procent van de Windows kwetsbaarheden binnen 60 dagen na het beschikbaar komen van een update gepatched zijn. Dit staat in schril contrast met applicaties als Office, Adobe Acrobat en Java, waar in dezelfde tijdspanne slechts 20 tot 40 procent van de kwetsbaarheden gepatched zijn, om nog maar niet te spreken van Flash, waar we over percentages van 10 tot 20 procent praten!

Website beheerders helpen, vaak ongewild, bij de distributie van malware door criminelen. Matig server onderhoud zorgt ervoor dat vertrouwde websites gemanipuleerd worden waarbij kwaadaardige code ingebouwd en gedistribueerd wordt. Meer dan de helft van alle online aanvallen zijn gericht op webservers, met als doel het exploiteren van SQL injection en andere kwetsbaarheden. SQL injection en cross-site scripting (XSS) kwetsbaarheden zijn samen goed voor 80 procent van alle kwetsbaarheden op servers.

Een alarmerende conclusie: vertrouw geen enkele website! Nog dit weekend slaagden boeven er in om "scareware" los te laten (een van die waarschuwingen: "u bent geinfecteerd", ooit gezien?) op bezoekers van de website van de New York Times. Niets nieuws. Maar wel iets dat we steeds vaker zullen zien, omdat op deze manier criminelen makkelijk een grote populatie kunnen bereiken.

Kennelijk is het niet mogelijk voor de vele beheerders en thuisgebruikers om hun systemen volledig up-to-date te houden en zo dit type aanvallen tegen te gaan. Eén van de redenen daarvan is waarschijnlijk de slecht functionerende update procedures van de verschillende producten. 'Stil patchen' verbetert de situatie aanzienlijk. Ik kan me de bezwaren tegen het ongezien aanbrengen van veranderingen op je computer voorstellen, Toch geloof ik dat de gemiddelde gebruiker hiermee beter af zou zijn dan wanneer hij dit zélf moet doet!

Natuurlijk is er programmatuur, zoals Secunia's PS. Dit soort software scant o.a. belangrijke componenten als de Flash plug-in, Java en browser libraries. De programmatuur geeft die gebruikers tevens een idee over de gevaren van het surfen met een onbeschermd systeem. Feit blijft, dat de gebruiker dit soort bescherming ook daadwerkelijk moet installeren, begrijpen en correct moet gebruiken.

Misschien is het een goed idee dat Microsoft een faciliteit in Windows inbouwt, die gebruikers, naast de informatie over Windows zelf en Internet Explorer, ook informeert over updates voor Adobe Reader, Java, Flash enz?

Sandbox in Microsoft Office 2010

2009-07-24T14:29:00.003+02:00

Microsoft heeft plannen geannonceerd om sandboxing technologie in de volgende Office Suite te introduceren. Sandboxing is een mechanisme dat gebruikt wordt om veilig, niet vertrouwde, programma's uit te voeren en is al langer bekend bij het gebruik van Java applets en onlangs ook in Google's nieuwe browser Chrome. Microsoft zegt dat Office 2010 gebruik gaat maken van deze techniek zodat gebruikers documenten kunnen lezen zonder dat ze zich zorgen hoeven te maken of deze bestanden zich ongewild toegang verschaffen tot andere informatie. Kwaadaardige bestanden horen volgens deze techniek niet buiten de sandbox te kunnen komen en kunnen, op deze manier althans, geen kwaad doen.

Het is de bedoeling dat deze blokkade, die geïntroduceerd werd in Office 2007, in Office 2010 gebruikers een verbeterde granulaire controle biedt op de file afhandeling van Word, Excel en Powerpoint.

Office bestanden zijn een gewild medium om malware te verspreiden. Er is door cybercriminelen veel geïnvesteerd om uit te vinden hoe de Office bestanden met andere bestanden en applicaties samenwerken. Het bekendste voorbeeld is natuurlijk de “.exe”. Deze wordt gelukkig al door de meeste anti-virus software geblokt, maar ook macro's in documenten zijn een gewild middel om rommelsoftware te verspreiden.

Het is te hopen dat Microsoft er in slaagt om deze techniek, zonder gevolgen voor de performance, in te bouwen en ook zonder al te veel te vragen van de eindgebruiker, want dat is een van de beste manieren om de gebruiker af te laten zien van beveiligingssoftware.

Nodig is dit soort software wél! Het klikken op links die niet te vertrouwen zijn en het openen van besmette documenten is nu eenmaal dagelijkse praktijk, alle voorlichting en waarschuwingen ten spijt.

Is dit nu dé stap waarmee Microsoft hackers de pas afsnijdt? Nee, dat denk ik niet. Het is een stap in de wedren tussen Microsoft en de "bad guys", wat ongetwijfeld weer een vervolg reactie uitlokt.