Categorie: Nieuws

Als de malware de bank overneemt

brennoenvictorkleinHet centrale thema van De Rode Hack is het scenario dat een bank wordt overgenomen door kwaadaardige software van Russische hackers. Belangrijk daarbij is de angst dat de waarheid naar boven komt, waardoor mensen het vertrouwen in het systeem verliezen. Niet om daarmee de lezer op een verkeerd been te zetten, maar juist om duidelijk te maken hoe kwetsbaar de informatiemaatschappij is. Onze munteenheid bestaat voor bijna 98 procent digitaal, slechts een goede twee procent bestaat hij nog in cash. En waar geld in het spel is, is criminaliteit.

Zo blijkt ook uit het artikel in de New York Times over banken die de volledige regie over hun systemen kwijt raken. Dan gebeuren er gekke dingen:

In late 2013, an A.T.M. in Kiev started dispensing cash at seemingly random times of day. No one had put in a card or touched a button. Cameras showed that the piles of money had been swept up by customers who appeared lucky to be there at the right moment.

Tijdens de boekpresentatie op 11 maart 2015 is het debat juist gericht op oplossingen voor de kwetsbaarheden. Nu blijkt maar eens te meer hoe actueel dat is. Brenno de Winter en Victor Broers schrijven in het voorwoord:

Keer op keer zagen we nieuwsfeiten onze zorgen bevestigen. We realiseren ons als maatschappij de risico’s onvoldoende.

Het boek is nu al op voorintekening te bestellen.

Geld bijprinten is niet gratis

LegeZakKlaas Knot, de President van De Nederlandsche Bank, stelde afgelopen week dat het opkoopbeleid van de Europese Centrale Bank geen risico zal vormen voor de waarde van de Euro. Hiermee verdedigde hij het besluit dat de ECB recent nam, om de komende tijd voor ruim 1100 miljard euro aan staatsobligaties van zwakke Eurolanden op te kopen. Het geld dat hiervoor nodig is heeft de ECB niet in kas, dit moet zij creëren. Met andere woorden:  het instituut dat als kerntaak heeft de waarde van de Euro te bewaken, zal de digitale geldpers aanzetten.
 
 
Heeft Klaas Knot gelijk? De waarde van geld hangt, net als voor alle producten geldt, primair af van de vraag er naar en het aanbod ervan. Nu de ECB uit het niets geld creëert, zal de hoeveelheid geld in onze economie flink toenemen. Nu zal dit niet acuut leiden tot een waardedaling van de Euro, maar we moeten wel opletten. De geschiedenis biedt tal van voorbeelden waarin landen in financiële nood terecht kwamen, zoals ook nu in Europa het geval is. In veel van die gevallen fungeerde de Centrale Bank als laatste redmiddel, door de geldpers te laten draaien. Dit biedt op de korte termijn verlichting, maar in feite is deze methode dezelfde als nog meer drugs aan een verslaafde geven. Men blijkt vaak niet in staat om zich te beheersen.
 
 
De ECB heeft de geldpers aangezet, maar de vraag is of de bank zichzelf onder controle zal houden en de geldpers ook weer uit kan zetten. Wanneer dit niet het geval zal zijn, kunt u maar beter zo snel mogelijk van uw euro's af zien te komen. Want als de hoedster van de Euro zo door zal gaan, zal onze munt uiteindelijk geen cent meer waard zijn.
De Rode Hack beschrijft het digitaal ongecontroleerd bijdrukken van geld.

Niet alles is even belangrijk

In de informatiebeveiliging is niet alles even belangrijk. Voor het beschermen van sommige informatie zul je meer werk willen verzetten dan gegevens die bijvoorbeeld niet vertrouwelijk zijn. Met een mooi woord noemen we dat classificeren. Zouden we alles even goed proberen te beschermen dan riskeer je al snel veel geld te spenderen voor relatief kleine risico’s. Omdat budgetten en menskracht eindig zijn, kun je daardoor niet alles even goed beschermen. Je zult dus een onderscheid moeten maken tussen verschillende niveau’s van beveiliging. Om goed te bepalen welk niveau van beveiliging hoort bij welk risico hoor je informatie te classificeren. Zo is precies duidelijk welke maatregelen bij welke informatie hoort. Toch is dat eenvoudiger gezegd dan gedaan. Goed classificeren is een vak.

Een mooi voorbeeld is het dossier van Omroep Flevoland rond het Berechja College, een vissersschool, in Urk. Daar zijn de nodige financiële problemen. Er werden documenten gelekt, waarna er voor €30.000 een onderzoek werd gestart naar het lek. De bron werd niet gevonden, maar er volgden wel aanbevelingen in een raadsvoorstel (pdf). Daarbij was een van de conclusies dat duidelijk moet zijn wanneer iets vertrouwelijk is en wanneer niet. Ook komen er gedragsregels hoe met deze informatie wordt omgesprongen. Dat betekent in beveiligingstermen dat er beter wordt geclassificeerd en duidelijker wordt afgesproken hoe met de classificatie wordt omgesprongen. Een logische stap van beveiliging.

Waar het gemeentebestuur van Urk in wilde doorschieten is dat de e-mail van de raadsleden volledig in de gaten zou worden gehouden. “Gegevens van verzonden berichten naar het gemeentelijke e-mailadres moeten te allen tijde door de gemeente opgevraagd kunnen worden”, stond dan ook in het raadsvoorstel. Dat zou een vreemde gang van zaken zijn, omdat juist de gemeenteraad het gemeentebestuur hoort te controleren. Dat juist dat bestuur de raadsleden wil controleren is een onlogische, heftige maatregel. Dit voorstel werd door de gemeenteraad verworpen. Het juist optreden na een beveiligingsincident is lastig, omdat risico’s nooit helemaal zijn uit te sluiten.

 

Tegenover Omroep Flevoland reageert auteur Brenno de Winter op het voorstel:

 

Lees meer over classificatie in hoofdstuk 18.

Lek maakte misbruik internetbankieren mogelijk

Misbruik maken van internetbankieren is makkelijker dan we vaak realiseren. Een klein foutje opent de mogelijkheid van misbruik voor bijvoorbeeld phishing. Zo bleek recentelijk dat beveiligingsonderzoeker Wouter van Dongen bij tien banken hetzelfde type fout vond. Op zich staat het lek te boek als een niet zo ernstig probleem, maar in dit geval waren de gevolgen ernstig. Het probleem maakte het mogelijk om heimelijk de oorspronkelijke website in de browser van de gebruiker te vervangen door een andere. Daar merkt de gebruiker nagenoeg niets van. Dus als u op de website van de bank bent dan wordt bij misbruik niet de originele website getoond. Om dit te demonstreren besloot Van Dongen het lek aan te tonen door onderdelen van de site te laten dansen. Functionaliteit die niet door de bank bedoeld is. Het lek is na melding inmiddels bij alle banken verholpen.

Lees het hele verhaal op NU.nl.

Om te tonen hoe de kwetsbaarheid is te misbruiken voor het aanpassen van de website is er een filmpje gemaakt: