De Beveiligingsupdate 8: Wat nou identiteitsmanagement?

In deze aflevering hebben we het over twee vormen van identiteitsmanagement. Om te beginnen het managen van identiteiten met behulp van toegangspassen en de OV-chipkaart. Het Crapto1-project levert namelijk broncode om zelf eens te experimenteren met het kraken van Mifare Classic-chips. We bespreken niet alleen het project, maar ook de gevolgen.

Bij 18:00 schakelen we over naar Novell, die vorige week een hele reeks aan oplossingen voor identity management presenteerden en hun visie deelt. Dit soort oplossingen houdt managers uit de gevangenis denkt het bedrijf. Analysten van Burton zijn het daar wel mee eens, maar betwijfelen sterk of bedrijven wel voor totale oplossingen gaan. Zij verwachten meer een combinatie van Best of Breed. Toch is het zeker de moeite waard eens te luisteren naar een gezond verhaal over compliance. Luister de podcast op De Beveiligingsupdate.

De Beveiligingsupdate 5: Mifare Classic? Beveiligingsklassieker!

De Beveiligingsupdate kijkt dit keer naar de Mifare Classic RFID-chip van NXP. De leverancier gebruikt voor de beveiliging het CRYPTO1-mechanisme. Dat is nu gekraakt en eindelijk zijn de papers van de onderzoekers uit Nijmegen en Berlijn gepubliceerd. De laatste heeft broncode en ook verscheen er broncode in Rusland. Dus het kan niet uitblijven dat er snel broncode komt om het lek te misbruiken. We praten over de mogelijkheden en vooral de technische lekken.

Toch is dat niet het enige onderwerp voor de podcast. Ook spreken we over WPA2, waarbij we security.nl vragen of het einde der tijden nu echt nabij is of het allemaal toch wel meevalt. Verder praten we in het nieuws met Joran Polak over het patchen van systemen in het algemeen en Windows en Apple in het bijzonder. Daarnaast is er aandacht voor de uitrijking van de Joop Bautz-award 2008 voor het meest innovatieve beveiligingsonderzoek. Beluister de podcast op De Beveiligingsupdate.

De Beveiligingsupdate 4: Indentiteitsloze Neosploit

In deze aflevering van De Beveiligingsupdate hebben we het over indentiteitsdiefstal in Nederland. Eindelijk is er in Nederland door Fellowes onderzoek gedaan naar het onderwerp. We spreken met Fleur van Eck van Stichting Aanpak Financieel Economische Criminaliteit in Nederland ofwel Safecin. Zij proberen via hun website de gevolgen in kaart te brengen. Ook bevragen we CDA-kamerlid Sybrand van Haersma Buma over het onderwerp en het Burger Service Nummer.

Verder praten we met Joran Polak van Security.nl over Neosploit, een nogal een kwaadaardige tool om systemen te misbruiken. Hij vertelt over de tool en de ernst ervan. Daarna legt Ian Amit van Aladdin uit wat zijn onderneming met de problematiek doet, hoe zij servers achterhalen, hoe ze zelf op de dunne lijn tussen legaliteit en illegaliteit lopen. Zij achterhaalden de gegevens van 200.000 servers wereldwijd, waarbij er ook overheden en multinationals zijn getroffen. Wie wil weten of ze op de lijst staat, kan terecht op hun webpagina waar het bedrijf een tool beschikbaar zal maken om dat te checken. Beluister de podcast op De Beveiligingsupdate.

De Beveiligingsupdate 3: Socketstress Denial of Service at your service!

For English-speaking listeners: In the Dutch podcast De Beveiligingsupdate there is an interview about bringing systems to their knees using TCP/IP in unintended ways. The Socketstress-story starts at 05:00 and you can listen it here.

Outpost24 heeft een bug ontdekt in het TCP/IP-protocol, waarmee het mogelijk is om bijna ieder systeem te verstoren. De onderzoeken kennen geen enkel systeem dat niet gevoelig is voor de Denial-of-Service-mogelijkheid. De aanval is relatief eenvoudig om uit te voeren en heeft soms maar tien IP-pakketten om tot succes te leiden en wordt ontdekt toen ze werkten aan de Unicornscan.

Zij onthullen het verhaal op de T2-conferentie, maar De Beveiligingsupdate heeft alvast de scoop. We spreken met Robert E. Lee, Chief Security Officer van Outpost24 en senior researcher Jack C. Louis over de ins en outs en de mogelijke gevolgen. Al geven ze niet alle technische details vrij toch wordt de problematiek wel helder. Ook leggen ze verantwoording af, waarom een bug die zo fundamenteel en niet oplosbaar is toch in de openbaarheid komt.

In het nieuws met Security.nl spreken we over Click Jacking, een ander type aanval om de controle over een muis over te nemen in een webbrowser. Ook hebben we het over inchecken als Elvis op Schiphol met dank aan het electronisch paspoort. Luister de podcast.

De Beveiligingsupdate 2: Cryptografie kraken? Simpel toch!

In deze aflevering van De Beveiligingsupdate spreken we natuurlijk in het nieuws met Joran Polak over de e-mail van Sarah Palin en het lekbaar zijn van het stemgeheim (met natuurlijk ook een soundbyte van Rop Gonggrijp).

Maar het hoofdonderwerp is zonder twijfel de Cube-attack van Adi Shamir, waarmee het mogelijk is om verschillende versleutelingsmechanismen te kraken. Welke cryptografische algoritmen hebben nog wel een toekomst, want als onze geheime berichten niet meer veilig zijn wat dan wel? Hoe werkt de aanval nou precies? Bartek Gedrojc van Fox-IT weet daar alles van en legt het ons uit.

Tot slot praten we met professor Rik Kaspersen van de Vrije Universiteit over het kinderpornofilter. Want het blijkt dat de politie helemaal niet bevoegd is om zwarte lijsten te maken om sites te filteren. Ook werd pijnlijk duidelijk dat de maatregel erg ineffectief was en daar is beveiliging niet bij gebaat. Luister de podcast op De Beveiligingsupdate.

Beveiligingsupdate 1: Geen internet, maar papier graag

In de eerste beveiligingsupdate staat het kiezen via internet centraal. Waarom gaat dat toch zo mis? Wat is er eigenlijk mis? Rop Gonggrijp van Wij vertrouwen stemcomputers niet en Mark Koek van Fox IT weten het wel, want zij deden er onderzoek naar.

Verder hebben we het in het nieuws van Security.nl over beveiliging in en rond de auto en op uw iPhone, want daar gebeuren gekke dingen die grenzen aan de rand van het illegale. Kunnen we nog ergens autorijden waar onze vingerafdruk niet wordt opgeslagen en niet voor vijf jaar wordt bijgehouden waar we nou precies gereden hebben?

Ook praten we met Ralph Moonen van ITSX, die zelfstandige ondernemers aan de slag wil hebben in de beveiligingsmarkt. Is er voldoende markt voor zo’n specifiek detacheringsburo? Eén CV hebben ze al opgevraagd. Luister de podcast op de Beveiligingsupdate.

Een nieuwe podcast: De Beveiligingsupdate

Deze week ben ik begonnen met een nieuwe podcast: De Beveiligingsupdate. Het programma wordt gemaakt in samenwerking met Security.nl en beveiligingsbedrijf Fox-IT. Zoals de naam al duidelijk maakt richt de podcast zich op beveiliging. Het doel is vooral verdieping te geven, onderwerpen te duiden. Met de hulp van Security.nl bespreken we het laatste nieuws, waarna een of meerdere experts zullen vertellen over een onderwerp en de problematieken uit de doeken zullen doen. Dat helpt niet alleen met het begrijpen, maar ook met het vormen van een mening. Daarom zullen er regelmatig ook tegenpolen met elkaar het debat aangaan, politici aan het woord komen of security verantwoordelijken uitleg geven.

In principe is de show wekelijks, maar bij groot nieuws zullen er specials volgen.