WhatsApp versleutelt berichtenverkeer in stilte

/0 Reacties/in /door

Iemand die het informatiebeveiligingnieuws in de gaten houdt, weet inmiddels dat WhatsApp al behoorlijk wat kritiek te verduren heeft gehad. En terecht, want WhatsApp heeft zijn zaakjes beveiligingstechnisch niet goed op orde. Zo werd in mei 2011 voor het grote publiek bekend dat WhatsApp berichtverkeer onversleuteld over het netwerk verstuurt, waardoor de gestuurde berichten vrij makkelijk zijn te onderscheppen door iemand met een beetje verstand van zaken. Lees meer

Datatracing.nl: irritante reclame van Re5 Europe BV

/0 Reacties/in /door

Als Information Security Officer maak je nog eens wat mee. Afgelopen week stond de CIO ineens aan mijn bureau met een recent ontvangen bubbeltjesenveloppe inclusief ‘vertrouwelijk’ stempel. In deze enveloppe zat een laptop harddisk in een gesloten antistatisch zakje, met daarop een sticker (zie afbeelding aan de rechterkant).

Enigszins verbaasd over het feit dat juist hij deze enveloppe krijgt en met sterke twijfels over het serieuze gehalte, is zijn eerste vermoeden dat het hier gaat om een of andere reclamestunt. Maar omdat het geheel niet vertrouwd aanvoelt, besloten we om geen enkel risico te nemen. De harddisk werd aan mij overhandigd en samen met collega Maarten Hartsuijker ging ik op onderzoek uit. Lees meer

VakantieVeilingen.nl voldoet niet aan WBP

/0 Reacties/in /door

Na een tip van een Jeroen, besloot ik eens een kijkje te nemen op de website VakantieVeilingen.nl. Best een leuk concept wat kan resulteren in scherpe prijzen. Toen ik me wilde aanmelden om te kunnen bieden op veilingen, viel het me op dat de site standaard geen gebruik maakt van een beveiligde HTTPS verbinding. Uit principe geef ik geen persoonsgegevens (in dit geval NAW, telefoonnummer, rekeningnummer) via internet af over een onbeveiligde verbinding. Een handmatige poging om een HTTPS verbinding te maken, resulteert in een waarschuwing van mijn browser: “Uw verbinding met deze website is slechts gedeeltelijk versleuteld en zal afluisteren niet voorkomen”. Niet het antwoord waar ik naar op zoek was. Lees meer

Cloud Computing: een nietszeggend begrip?

/1 Reactie/in /door

Cloud Computing heeft het afgelopen jaar behoorlijk wat media aandacht gekregen. Zelfs zoveel dat ik inmiddels allergische reacties begin te vertonen bij het horen van deze term. Begrijp me niet verkeerd; het is natuurlijk hartstikke mooi dat er steeds meer diensten via de browser worden aangeboden, maar het containerbegrip ‘Cloud Computing’ is inmiddels op zoveel verschillende manieren misbruikt dat het voor mijn gevoel een nietszeggend begrip is geworden. Lees meer

Samba en het legen van de NetBIOS cache

/0 Reacties/in /door

Door de recente aanschaf van een NAS sloeg ik aan het experimenteren met de opties van dit veelzijdige apparaat. Dit had op een gegeven moment tot gevolg dat er een foutief ip-adres in de NetBIOS cache van mijn WINS serverapplicatie (onderdeel van Samba op mijn op mijn Linux server/router) terecht kwam. Hierdoor kon ik mijn NAS niet meer benaderen met behulp van de zogenaamde ‘share-naam’ omdat deze naam was gekoppeld aan een foutief ip-adres. Het verwijderen van het foutieve ip-adres uit de cache bleek nog niet zo eenvoudig. Lees meer

SHA-1 toe aan vervanging?

/0 Reacties/in /door

De vraag “moeten we SHA-1 niet vervangen door iets beters?” heb ik de laatste tijd al op verschillende plaatsen voorbij horen komen. Voor een van mijn klanten heb ik zelfs een kort memo geschreven met mijn visie op deze vraag. Ik denk dat het niet nodig is om per direct van SHA-1 af te stappen. In de meeste gevallen kunnen we met SHA-1 nog prima vooruit, tenzij er nieuwe kwetsbaarheden ontstaan. Dan zal opnieuw moeten worden bekeken of het risico is toegenomen. Lees meer

SSL ciphers: ‘slotje’ niet zaligmakend

/0 Reacties/in /door

Vorige week donderdag maakte Security.nl melding van de gratis SSL audit tool SSL Audit van de Luxemburgse firma G-SEC. Met deze tool kun je testen met welke ciphers een webserver toestaat een SSL verbinding op te zetten. En dat vind ik nou handig. Niet alleen om te controleren hoe veilig een HTTPS verbinding nu écht is, maar ook om op deze manier het veiligheidsniveau van mijn eigen webserver te controleren/optimaliseren. Lees meer

*.nl krijgt DNSSEC

/0 Reacties/in /door

Nog even en dan is het internet weer iets veiliger. Afgelopen april schreef ik samen met collega Bart Knubben dat de markt een afwachtende houding aanneemt met betrekking tot de invoering van DNSSEC. Daar lijkt nu eindelijk verandering in te komen. SIDN heeft namelijk bekend gemaakt dat het vanaf augustus 2010 start met de invoering van DNSSEC voor de .nl-zone; een maand nadat de rootservers DNSSEC ondersteunen. Lees meer

Bewaarplicht bij eigen server

/0 Reacties/in /door

Op Security.nl kunnen bezoekers een juridische vraag stellen aan ICT-jurist Arnoud Engelfriet. Elke week wordt er een vraag geselecteerd die vervolgens door Arnoud wordt beantwoord in de rubriek juridische vraag. Een aantal weken geleden vroeg ik hoe het nu eigenlijk zit met de bewaarplicht en een eigen server. Zoals jullie wellicht weten, heb ik thuis mijn eigen hostingdienst opgezet voor mijzelf en een aantal goede vrienden. Een soort uit de hand gelopen hobby zal ik maar zeggen. Ik vroeg mij dus af of ik hiermee ook verplicht ben mij te houden aan de Wet bewaarplicht telecommunicatiegegevens. Arnoud gaf deze week antwoord op mijn vraag.

USB-stick kapot, en dan?

/66 Reacties/in /door

Het zal je maar gebeuren; je hebt een flink aantal belangrijke documenten op je USB-stick staan en dan ‘doet ie het ineens niet meer’. Je hebt geen (recente) backup en je wordt overvallen door een lichtelijk gevoel van paniek bij de gedachte dat een heleboel werk opnieuw moet worden gedaan. Ik heb een advies voor mensen die dit is overkomen: geef niet te snel op en blijf proberen. Lees meer