De duivel uitdrijven met Beëlzebub

Het klinkt simpel: als hackers inbreken in computers, dan moeten we de politie ook de mogelijkheid tot hacken bieden. Het lijkt een nuttig middel om hackers te stoppen. Alleen worden wij er onveiliger van. Het is de duivel uitdrijven met Beëlzebub.

In het wetsvoorstel, dat nu bij de Tweede Kamer ligt, krijgt de politie de bevoegdheid om ook te mogen hacken in computers, mobieltjes en andere apparaten die met internet verbonden zijn. Eufemistisch noemt Minister Van der Steur het “heimelijk en op afstand (‘on line’) onderzoek doen in computers”.

Inbrekerstuig

Hacken is niet de digitale variant van inbreken in een huis. Om binnen te komen in een computersysteem (of mobiel) zijn zwakheden nodig. Zodra die lekken zijn verholpen werkt de aanval niet meer. Je kunt digitaal niet een deur intrappen of een ruit open maken en die achteraf vervangen.

Wil de politie binnenkomen dan zijn zogenaamde 0day-lekken nodig ofwel lekken die nog niet publiekelijk bekend zijn. Bedrijven als Hacking Team leveren dit soort digitaal inbrekerstuig aan overheden.

Lekken niet dichten

De lekken worden aangeboden in een schimmige wereld. Bij het kopen van 0day-lekken van hackers beloven ze naast tienduizenden euro’s te betalen de zwakheden niet bij de leverancier te melden, zodat de aanval blijft werken.

Zoals beschreven in deze e-mail met afspraken met een Russische hacker:

“You promise to not report this 0day to vendor or disclosure it before the patch. obviously it is not our interest!”

Duistere zaken

Om te kunnen inbreken op enkele computers van verdachten blijven honderden miljoenen computers lek. Want zodra de zwakheid is gemeld bij de softwarebouwer kan die het probleem dichten. Als dat is gedaan dan is deze route om binnen te komen afgelopen.

Het kopen van dit soort 0day-lekken is een duistere business, waarin veel geld omgaat. Sommige experts zijn zeer actief in het vinden van deze lekken voor de handel. Niets staat ze in de weg om naast het verkopen van de lekken aan Hacking Team ze ook aan criminelen te verkopen.

Schimmige zaken

Ondertussen blijkt onze politie serieus geïnteresseerd te zijn om met Hacking Team zaken te doen. Een pijnlijke bijkomstigheid daarbij is dat deze beoogd leverancier hun tools ook leveren aan twijfelachtige regeringen van landen als Azerbeidzjan, Kazachstan, Uzbekistan, Rusland, Bahrein, Saudi Arabië, de Verenigd Arabische Emiraten, Nigeria en Ethiopië.

In deze landen nemen de overheden het niet altijd even nauw met de mensenrechten. Het digitaal inbrekerstuig wordt regelmatig gebruikt om in te breken op computers van journalisten. Dat brengt zowel hen als hun bronnen in gevaar. Ook bijvoorbeeld tegenstanders van dergelijke regimes worden door dit soort hackertools aangevallen.

Duivel uitdrijven

Krijgt de minister zijn zin krijgt dan wordt het aanschaffen van digitaal inbrekerstuig legitiem We houden daarmee een industrie in stand met als gevolg het minder snel dichten van lekken met bijkomende onveiligheid.

De lekken zijn ondertussen voor iedereen beschikbaar: twijfelachtige regimes, de politie met goed bedoelde intenties, criminelen en organisaties die bedrijfsspionage willen plegen. Alleen daarom is de voorgestelde hackbevoegdheid een klassiek voorbeeld van de Duivel uitdrijven met Beëlzebub.

Beveiligingsupdate: Aljo Houtman – het internet der dingen

Wat betekent het dat we koelkasten, stereosets, slimme meters, thermostaten online beschikbaar maken en dus het internet der dingen bouwen? Zelf zien dat je veilig bent, is lastig te zien. Je moet er daarom kunnen vertrouwen dat de leverancier heeft nagedacht over beveiliging en ‘Security by Design’ doet. Aljo Houtman van Valori legt dat uit aan Brenno de Winter.

Alert Online over social engineering

Eenmaal per jaar is er in Nederland aandacht voor de risico’s van online werken op internet. In het kader van deze bewustwordingscampagne is onderstaande video beschikbaar over de gevaren van social engineering (het je voordoen als iemand anders). Om veiliger te zijn kunt u zelf veel eenvoudige stappen zetten. Zie daarvoor de adviezenpagina op Alert Online of verdiep u via De Beveiligingsupdate.

Alert Online – Pas op voor Phishing

Eenmaal per jaar is er in Nederland aandacht voor de risico’s van online werken op internet. In het kader van deze bewustwordingscampagne is onderstaande video beschikbaar over de gevaren van phishing mails. Om veiliger te zijn kunt u zelf veel eenvoudige stappen zetten. Zie daarvoor de adviezenpagina op Alert Online of verdiep u via De Beveiligingsupdate.

Marinus Kuivenhoven: Veilige apps maak je voor je gaat bouwen

Met tablets en mobiele telefoons zijn apps populair. Ook bedrijven laten ze vaak maken om bedrijfsprocessen te ondersteunen. Want altijd en overal is bedrijfsinformatie beschikbaar. Als dat gebeurt komen er opeens allerlei beveiligings- en privacyrisico’s bij kijken. Het is daarom belangrijk bij de totstandkoming van een app rekening te houden met de beveiliging en daar tijdig over na te denken. Marinus Kuivenhoven van Sogeti praat over het grip krijgen over apps met Brenno de Winter.

Een van de methoden om vroegtijdig na te denken over beveiliging is Grip op SSD. Deze methodiek is kosteloos beschikbaar onder een creative commons licentie.

Beveiligingsupdate: Hans de Raad over het veiliger e-mailen

Als je een e-mailbericht stuurt. Hoe veilig is dat eigenlijk? Vaak voelt dat vertrouwt aan. Maar kunnen andere partijen meelezen met onze berichten? En als dat kan wat kunnen we daartegen doen? Beveiligingsexpert Hans de Raad van OpenNovations praat daarover met Ad Reuijl van het CIP.

 

Wilt u meer weten over risico’s van e-mail of encryptie, lees dan verder

Ga verder met “Beveiligingsupdate: Hans de Raad over het veiliger e-mailen” lezen

Beveiligingsupdate: Wouter Slotboom over phishing en nepmails

Een van de populairste vormen van internetcriminaliteit is phishing. Dat zijn trucs om gegevens van mensen in handen te krijgen door bijvoorbeeld een mail te sturen namens een bank of andere organisatie. Meestal is het verzoek om informatie te geven. Op het moment dat u op links van dit soort berichten klikt, komt u vaak op de website van criminelen uit. Alleen het bezoek is vaak al voldoende om uw computer te infecteren. Ook is het kinderlijk eenvoudig om inloggegevens over te nemen. Hoe simpel dat is legt beveiligingsexpert Wouter Slotboom aan Ad Reuijl van het CIP uit. Ook demonstreert hij hoe eenvoudig het is voor criminelen om misbruik te maken door een bestaande website te kopiëren.

Dit kunt u doen om ellende te voorkomen:

  • Een bank zal nooit een mail sturen waarin ze vragen om login-gegevens of andere informatie. Lees de zes tips van Veilig Internetten om gewapend te zijn tegen nepmails of nep telefoontjes;
  • Klik niet op links naar login-pagina’s. Een bank zou dat niet doen;
  • Voer zelf het adres van uw bank in de webbrowser in als u wilt gaan internetbankieren;
  • Leer nepmails herkennen;
  • Lees ook de tips op veilig interentbankieren van de banken om phishing-ellende te voorkomen!

NVM-makelaars lekken miljoenen transacties

AMSTERDAM – Miljoenen financiële transacties, de waarde van tal van panden en logingegevens van huizenkopers waren toegankelijk door een hack waar 70 procent van NVM-makelaars door getroffen is. Dat meldt een hacker aan NU.nl op voorwaarde van anonimiteit. De problemen spelen bij Realworks, een jointventure van makelaarsvereniging NVM en BaseGroup BV. Het bedrijf levert een online administratieve dienst voor makelaars. In het systeem kan een volledige administratie worden bijgehouden. Lees het verhaal op NU.nl.

Onderzoekers geven tools vrij voor kraken GSM

BERLIJN – Op een hackersconferentie in Berlijn is programmatuur vrijgegeven om telefoongesprekken te kraken. Daarmee is het mogelijk gesprekken in veel landen af te luisteren. Door zwakheden in de versleuteling is het mogelijk om deze in luttele seconden te kraken. Omdat de sleutel doorgaans niet meer wordt veranderd, is het mogelijk iedere SMS of e-mail af te tappen. Dat tonen beveiligingsonderzoekers Kasten Nohl en Luca Melette. Lees het verhaal op NU.nl.

Privacybescherming moet burger vertrouwen in overheids-ICT geven

DEN HAAG – Wil de overheid nog serieus worden genomen dan moet er worden gewerkt aan vertrouwen bij de burger. Daarvoor zal de privacybescherming beter moeten. Dat bleek tijdens het debat over de DigiNotar-affaire in de Tweede Kamer. Bijna alle partijen zijn bezorgd over de vele beveiligingsincidenten bij de overheid. Er moet veel duidelijk worden over de crisis, maar een parlementair onderzoek zit er niet in. Lees het verhaal op NU.nl.