Auteur: brenno

Lees de eerste pagina’s van het boek

drhlogoNieuwsgierig geworden? Om kennis te maken met de Rode Hack zijn de eerste dertien pagina’s van het boek beschikbaar als PDF-bestand. Dat helpt een beeld te vormen bij het verhaal. Daarna is het geduld oefenen, want de persen van de drukker draaien op volle toeren. Op 11 maart komt de rest van het boek beschikbaar bij de beter boekhandel of online winkel.

Niet alles is even belangrijk

In de informatiebeveiliging is niet alles even belangrijk. Voor het beschermen van sommige informatie zul je meer werk willen verzetten dan gegevens die bijvoorbeeld niet vertrouwelijk zijn. Met een mooi woord noemen we dat classificeren. Zouden we alles even goed proberen te beschermen dan riskeer je al snel veel geld te spenderen voor relatief kleine risico’s. Omdat budgetten en menskracht eindig zijn, kun je daardoor niet alles even goed beschermen. Je zult dus een onderscheid moeten maken tussen verschillende niveau’s van beveiliging. Om goed te bepalen welk niveau van beveiliging hoort bij welk risico hoor je informatie te classificeren. Zo is precies duidelijk welke maatregelen bij welke informatie hoort. Toch is dat eenvoudiger gezegd dan gedaan. Goed classificeren is een vak.

Een mooi voorbeeld is het dossier van Omroep Flevoland rond het Berechja College, een vissersschool, in Urk. Daar zijn de nodige financiële problemen. Er werden documenten gelekt, waarna er voor €30.000 een onderzoek werd gestart naar het lek. De bron werd niet gevonden, maar er volgden wel aanbevelingen in een raadsvoorstel (pdf). Daarbij was een van de conclusies dat duidelijk moet zijn wanneer iets vertrouwelijk is en wanneer niet. Ook komen er gedragsregels hoe met deze informatie wordt omgesprongen. Dat betekent in beveiligingstermen dat er beter wordt geclassificeerd en duidelijker wordt afgesproken hoe met de classificatie wordt omgesprongen. Een logische stap van beveiliging.

Waar het gemeentebestuur van Urk in wilde doorschieten is dat de e-mail van de raadsleden volledig in de gaten zou worden gehouden. “Gegevens van verzonden berichten naar het gemeentelijke e-mailadres moeten te allen tijde door de gemeente opgevraagd kunnen worden”, stond dan ook in het raadsvoorstel. Dat zou een vreemde gang van zaken zijn, omdat juist de gemeenteraad het gemeentebestuur hoort te controleren. Dat juist dat bestuur de raadsleden wil controleren is een onlogische, heftige maatregel. Dit voorstel werd door de gemeenteraad verworpen. Het juist optreden na een beveiligingsincident is lastig, omdat risico’s nooit helemaal zijn uit te sluiten.

 

Tegenover Omroep Flevoland reageert auteur Brenno de Winter op het voorstel:

 

Lees meer over classificatie in hoofdstuk 18.

Lek maakte misbruik internetbankieren mogelijk

Misbruik maken van internetbankieren is makkelijker dan we vaak realiseren. Een klein foutje opent de mogelijkheid van misbruik voor bijvoorbeeld phishing. Zo bleek recentelijk dat beveiligingsonderzoeker Wouter van Dongen bij tien banken hetzelfde type fout vond. Op zich staat het lek te boek als een niet zo ernstig probleem, maar in dit geval waren de gevolgen ernstig. Het probleem maakte het mogelijk om heimelijk de oorspronkelijke website in de browser van de gebruiker te vervangen door een andere. Daar merkt de gebruiker nagenoeg niets van. Dus als u op de website van de bank bent dan wordt bij misbruik niet de originele website getoond. Om dit te demonstreren besloot Van Dongen het lek aan te tonen door onderdelen van de site te laten dansen. Functionaliteit die niet door de bank bedoeld is. Het lek is na melding inmiddels bij alle banken verholpen.

Lees het hele verhaal op NU.nl.

Om te tonen hoe de kwetsbaarheid is te misbruiken voor het aanpassen van de website is er een filmpje gemaakt:

 

De Rode Hack vanaf 11 maart 2015 verkrijgbaar

Vanaf 11 maart 2015 is het boek ‘De Rode Hack’ te verkrijgen in de betere boekhandel of online voor €19,95 inclusief BTW. Check deze website voor een speciale lezersactie. De boekpresentatie is op 11 maart 2015 in Den Haag. Nadere informatie hierover volgt binnenkort. Voor meer informatie: stuur een e-mail.   Read more →

Over – De Rode Hack

‘Geachte heer, mevrouw, Zojuist check ik mijn bankrekening voor het slapen gaan en zie iets vreemds. Tot mijn grote verbazing bedraagt mijn saldo 5.084.646,45 euro, terwijl het een saldo van rond de 25.000 euro zou moeten zijn.’ Rond 3 uur in de ochtend klopt Albert Dolstra, hoofd beveiliging van de Bank Maatschappelijk Verantwoord Ondernemen, in paniek aan bij de privéwoning… Read more →