Is Yahoo! een kat in de zak?

Yahoo! krijgt de grootste hack ooit over zich heen, bespioneert zijn klanten en houdt cruciale informatie onder de pet. Het wordt pijnlijk duidelijk dat Verizon mogelijk een kat in de zak heeft gekocht.

Bij een hack op Yahoo! zijn zo’n 200 miljoen persoonsgegevens buitgemaakt. Het gaat om wachtwoorden, geheime vragen, e-mailgegevens, geboortedata en vooral de toegang tot het platform om identiteitsdiefstal te plegen. Problematisch daarbij is dat niet het bedrijf, maar de media de onthulling brengen.

Dat het bedrijf is gehackt, hoeft niet noodzakelijkerwijs pijnlijk te zijn. Het overkomt vrijwel ieder bedrijf. Wel problematisch is dat nu het bedrijf deze hack toegeeft, blijkt dat het incident al in 2014 plaatsvond. Ook gaat het niet om 200 miljoen slachtoffers, maar 500 miljoen. Het is de grootst bekende hack ooit en het bedrijf nam niet de moeite haar klanten te informeren. Voor Verizon, dat momenteel bezig is Yahoo! te kopen, is dit een enorme tegenslag. Dat bedrijf heeft een tak met veel expertise rond informatiebeveiliging. Met het jaarlijkse Data Breach Investigations Report gaat Verizon er prat op dat het juist transparantie brengt. Dit lek en met name het moedwillig verzwijgen ervan is slecht voor de beeldvorming.

Daarbij is er nog iets anders pijnlijk. Verizon koopt Yahoo! voor 14,8 miljard dollar met als belangrijkste doelstelling het verkrijgen van toegang tot de klanten. Niet alleen ondermijnt de hack en het geheimhouden daarvan de relatie met de klanten, maar ook devalueert de waarde aanzienlijk; het klantenbestand wordt op het darkweb voor zo’n 1800 dollar aangeboden. Verizon krijgt dus een kat in de zak.

Dat kat-in-de-zakgevoel is nog groter door het bekend worden dat in 2015 – dus ver na de onthullingen van Snowden – Yahoo! actief heeft meegewerkt met de NSA. Het bedrijf heeft software gemaakt om e-mails van klanten te scannen, die voor de NSA interessante berichten identificeert. Vervolgens heeft Yahoo! deze mailberichten aan de spionagedienst doorgespeeld. Dit was zo geheim dat zelfs de CISO hier niets van wist. Eerder bleek uit documenten van Snowden al dat de onderneming via de webcam spionage in hun messenger mogelijk maakte.

Die scansoftware en het doorspelen van berichten aan de nationale inlichtingendienst kun je misschien nog vergoelijken in een pre-Snowden-tijdperk, maar het laatste zeker niet. Die spionage ondermijnt volledig het vertrouwen in de maildienst, cloudopslag en kan voor zakelijk gebruik heel schadelijk zijn. Zeker voor de koper Verizon. Tot nu toe gold hun beveiligingstak als een vertrouwde partij, maar met de koop van Yahoo! verbinden ze zich aan een partij die concurrentiegevoelige informatie zonder pardon doorspeelt aan inlichtingendiensten.

Het laatste nieuws is dat Verizon nu een miljard minder wil betalen. Met dat geld willen ze schadeclaims tegen Yahoo! afwikkelen. Maar het is natuurlijk vooral omdat ze nu iets kopen wat ze bij nader inzien helemaal niet willen hebben. Deze kat in de zak kan namelijk gemeen krabben.

Dit artikel verscheen eerder op ICT Magazine.

Ot van Daalen: Privacyregels in de cloud

Als je als organisatie gegevens wilt opslaan in de cloud waarop moet je dan letten en wat als je je gegevens weer uit de cloud wilt halen. Wat kun je doen als voorbereiding voor het geval er op termijn een datalek binnen je organisatie ontdekt wordt. Ot van Daalen geeft hierover een aantal tips aan Jan Renshof van het CIP.

 

De privacy op orde krijgen is best lastig. Eerder vertelde Angelique Oortmarssen over het omzetten van wetgeving in concrete daden.

Ot van Daalen vertelde eerder waar je op moet letten als je persoonsgegevens gaat verwerken.

Erik de Jong: Ik heb een datalek. Wat nu?

Sinds 1 januari 2016 geldt er een meldpunt datalekken voor alle organisaties in Nederland. Iedere organisatie moet datalekken melden aan de Autoriteit Persoonsgegevens. De vraag is hoe je erachter komt dat jouw organisatie een datalek heeft. Erik de Jong van FoxIT legt aan Brenno de Winter uit hoe je datalekken kunt opsporen en wat je moet vastleggen om bij misdaad eventuele daders te identificeren.

Arjen Kamphuis: Over veiliger mobiel werken

Een belangrijk aspect bij het voorkomen van lekken is ons eigen gedrag. We hebben een flinke invloed door goed na te denken welke informatie we waar delen. Ook is het mogelijk om met simpele stappen onze apparatuur beter te beveiligen. Hoe dat kan legt Arjen Kamphuis, Lead advisor information security, Brunel uit aan Jan Renshof van het CIP.

De duivel uitdrijven met Beëlzebub

Het klinkt simpel: als hackers inbreken in computers, dan moeten we de politie ook de mogelijkheid tot hacken bieden. Het lijkt een nuttig middel om hackers te stoppen. Alleen worden wij er onveiliger van. Het is de duivel uitdrijven met Beëlzebub.

In het wetsvoorstel, dat nu bij de Tweede Kamer ligt, krijgt de politie de bevoegdheid om ook te mogen hacken in computers, mobieltjes en andere apparaten die met internet verbonden zijn. Eufemistisch noemt Minister Van der Steur het “heimelijk en op afstand (‘on line’) onderzoek doen in computers”.

Inbrekerstuig

Hacken is niet de digitale variant van inbreken in een huis. Om binnen te komen in een computersysteem (of mobiel) zijn zwakheden nodig. Zodra die lekken zijn verholpen werkt de aanval niet meer. Je kunt digitaal niet een deur intrappen of een ruit open maken en die achteraf vervangen.

Wil de politie binnenkomen dan zijn zogenaamde 0day-lekken nodig ofwel lekken die nog niet publiekelijk bekend zijn. Bedrijven als Hacking Team leveren dit soort digitaal inbrekerstuig aan overheden.

Lekken niet dichten

De lekken worden aangeboden in een schimmige wereld. Bij het kopen van 0day-lekken van hackers beloven ze naast tienduizenden euro’s te betalen de zwakheden niet bij de leverancier te melden, zodat de aanval blijft werken.

Zoals beschreven in deze e-mail met afspraken met een Russische hacker:

“You promise to not report this 0day to vendor or disclosure it before the patch. obviously it is not our interest!”

Duistere zaken

Om te kunnen inbreken op enkele computers van verdachten blijven honderden miljoenen computers lek. Want zodra de zwakheid is gemeld bij de softwarebouwer kan die het probleem dichten. Als dat is gedaan dan is deze route om binnen te komen afgelopen.

Het kopen van dit soort 0day-lekken is een duistere business, waarin veel geld omgaat. Sommige experts zijn zeer actief in het vinden van deze lekken voor de handel. Niets staat ze in de weg om naast het verkopen van de lekken aan Hacking Team ze ook aan criminelen te verkopen.

Schimmige zaken

Ondertussen blijkt onze politie serieus geïnteresseerd te zijn om met Hacking Team zaken te doen. Een pijnlijke bijkomstigheid daarbij is dat deze beoogd leverancier hun tools ook leveren aan twijfelachtige regeringen van landen als Azerbeidzjan, Kazachstan, Uzbekistan, Rusland, Bahrein, Saudi Arabië, de Verenigd Arabische Emiraten, Nigeria en Ethiopië.

In deze landen nemen de overheden het niet altijd even nauw met de mensenrechten. Het digitaal inbrekerstuig wordt regelmatig gebruikt om in te breken op computers van journalisten. Dat brengt zowel hen als hun bronnen in gevaar. Ook bijvoorbeeld tegenstanders van dergelijke regimes worden door dit soort hackertools aangevallen.

Duivel uitdrijven

Krijgt de minister zijn zin krijgt dan wordt het aanschaffen van digitaal inbrekerstuig legitiem We houden daarmee een industrie in stand met als gevolg het minder snel dichten van lekken met bijkomende onveiligheid.

De lekken zijn ondertussen voor iedereen beschikbaar: twijfelachtige regimes, de politie met goed bedoelde intenties, criminelen en organisaties die bedrijfsspionage willen plegen. Alleen daarom is de voorgestelde hackbevoegdheid een klassiek voorbeeld van de Duivel uitdrijven met Beëlzebub.

Beveiligingsupdate: Aljo Houtman – het internet der dingen

Wat betekent het dat we koelkasten, stereosets, slimme meters, thermostaten online beschikbaar maken en dus het internet der dingen bouwen? Zelf zien dat je veilig bent, is lastig te zien. Je moet er daarom kunnen vertrouwen dat de leverancier heeft nagedacht over beveiliging en ‘Security by Design’ doet. Aljo Houtman van Valori legt dat uit aan Brenno de Winter.

Alert Online over social engineering

Eenmaal per jaar is er in Nederland aandacht voor de risico’s van online werken op internet. In het kader van deze bewustwordingscampagne is onderstaande video beschikbaar over de gevaren van social engineering (het je voordoen als iemand anders). Om veiliger te zijn kunt u zelf veel eenvoudige stappen zetten. Zie daarvoor de adviezenpagina op Alert Online of verdiep u via De Beveiligingsupdate.

Alert Online – Pas op voor Phishing

Eenmaal per jaar is er in Nederland aandacht voor de risico’s van online werken op internet. In het kader van deze bewustwordingscampagne is onderstaande video beschikbaar over de gevaren van phishing mails. Om veiliger te zijn kunt u zelf veel eenvoudige stappen zetten. Zie daarvoor de adviezenpagina op Alert Online of verdiep u via De Beveiligingsupdate.

Marinus Kuivenhoven: Veilige apps maak je voor je gaat bouwen

Met tablets en mobiele telefoons zijn apps populair. Ook bedrijven laten ze vaak maken om bedrijfsprocessen te ondersteunen. Want altijd en overal is bedrijfsinformatie beschikbaar. Als dat gebeurt komen er opeens allerlei beveiligings- en privacyrisico’s bij kijken. Het is daarom belangrijk bij de totstandkoming van een app rekening te houden met de beveiliging en daar tijdig over na te denken. Marinus Kuivenhoven van Sogeti praat over het grip krijgen over apps met Brenno de Winter.

Een van de methoden om vroegtijdig na te denken over beveiliging is Grip op SSD. Deze methodiek is kosteloos beschikbaar onder een creative commons licentie.