We kijken terug op 2008, het jaar waarop De Beveiligingsupdate het levenslicht zag. Een voorzichtig begin werd al snel een spectaculaire, vliegende start met een wereldwijde scoop. Twee onderzoekers maken via de podcast wereldkundig dat Sockstress een risico is om hele websites, servers plat te leggen. Daarbij maakt het niet uit welk besturingssysteem in gebruik is. We hadden Joran vaak aan de lijn over het nieuws en natuurlijk het Elektronisch Patienten Dossier. Ook hebben we gesproken over het kraken van cryptografie met een cube-attack of de OV-chipkaart, deurpasjes Mifare-classic chip. Vlak voor de kerst was er opeens de rel rond Revu en het kraken van de mail van een staatssecretaris. Daarover gesproken: weet u nog dat wij de Amerikaanse staatssecretaris van het Department of Homeland Secuity mochten spreken. Natuurlijk hoorden we ook wat goed is aan ITIL, waarom managers altijd falen en de beveiliging nooit goed komt. Kortom: we vatten een druk jaar met veel boeiende podcasts af in anderhalf uur samenvatting. Het probleem met SSL is niet opgenomen, maar dat was gisteren dat weet u vast nog wel. Veel luisterplezier, een goede jaarwisseling en tot aan de andere kant van de jaarwisseling!

 

 De Beveiligingsupdate 20: Slotaflvering voor 2008, de terugblik [91:16m]: Play Now | Play in Popup | Download

Onderzoekers van het Nederlandse Centrum Wiskunde & Informatica in Amsterdam, EPFL in Zwitserland en de Technische Universiteit Eindhoven en onafhankelijke security-onderzoekers in Californië bouwden voor de demonstratie een eigen Certificate Authority (CA). Daarmee is duidelijk dat SSL een serieus heeft probleem heeft. Joran Polak van Security.nl en Ronald Prins van Fox IT leggen de problemen uit en geven aan hoe ernstig het is.

 

 De Beveiligingsupdate 19: MD5-problemen met SSL: Play Now | Play in Popup | Download

In de vermoedelijk laatste reguliere aflevering van De Beveiligingsupdate in 2008 spreken we over het klonen van paspoorten. Jeroen van Beek schreef eCL0WN, waarmee mensen met een mobiele telefoon een paspoort kunnen kopieren. De programmatuur is freeware (de broncode wordt voorlopig niet vrijgegeven) en werkt op RFID-ready Nokia telefoon toestellen.

Maar we hebben het niet alleen over het rommelen met identiteit. Ook staan we stil bij het Tor-project. Andrew Lewman spreekt namelijk over de werking van de techniek, de twijfels en vooral het drie jarenplan, waarmee het team de richting voor de toekomst aangeeft.

Joran van Security.nl spreekt over de opvallende dingen rond kerstmis en beveiliging. Ook vertelt hij over een hardware oplossing dat ervoor zorgt dat al het internetverkeer geanonimiseerd wordt.

 

 De Beveiligingsupdate 18: Paspoort klonen en anoniem internetten [31:50m]: Play Now | Play in Popup | Download

Revu heeft met behulp van een kraker de prive-mailbox van Defensie-staatssecretaris Jack de Vries weten open te breken. Om dit te regelen werd een applicatie geschreven en via Hyves gedistribueerd, waardoor een botnet van 14.000 hosts werd gebouwd. Er bleek geen zakelijk mail in de digitale brievenbus van de staatssecretaris te zitten en omdat berichten werden geforward kwamen er wel wat persoonlijke berichten langs.

In deze special spreken we over de hack met de experts Joran Polak van Security.nl, Professor Bart Jacobs van de Radboud Universiteit in Nijmegen en Ronald Prins van Fox IT. Ook komt het Maarten Hilbrandie van Defensie aan het woord en natuurlijk ook de auteur van het gewraakte artikel Nick Kivits komt aan het woord.

Aan het begin van de podcast praten we kort over de update die Firefox opeens beschikbaar maakte. De ondersteuning voor versie 2 houdt met deze update op.

 

 De Beveiligingsupdate 17: Mag je de mail van de staatssecretaris kraken? [25:25m]: Play Now | Play in Popup | Download

In deze aflevering spreken we met professor Ian Angell, professor voor informatiesystemen bij de London School of Economics and Political Science, over statistieken en mismanagement. Volgens hem zijn statistieken dan ook voor middelmatige managers. Wat heeft dat met beveiliging te maken? Zoals uit het interview blijkt alles, want wie op cijfertjes stuurt snapt niet dat beveiliging met uitzonderingen te maken heeft. Het interview heb ik al eerder in ICT Roddels uitgezonden, maar vond ik zo bijzonder dat het bij uitzondering nog een keer in de Beveiligingsupdate komt.

In het nieuws kan het natuurlijk over niets anders gaan dan het grote lek in Internet Explorer en de problemen bij Apple rond beveiliging. Qua lekken vindt Joran dat laatste bedrijf de absolute lekkenkampioen. Het jaar eindigt met massale bugs en dat betekent patchen voor kerst.

 

 De Beveiligingsupdate 16: Middelmatig management ramp voor beveiliging [26:16m]: Play Now | Play in Popup | Download

We krijgen continu nieuwe software, cd’s, usb-sticks en nog veel meer spullenboel die we aansluiten op onze computer. Maar hoe goed de leverancier het ook bedoeld heeft uiteindelijk is dat een risico. We zeggen tegen kinderen dat ze geen snoep van straat mogen eten, maar diezelfde hygiëne passen we niet op de dagelijkse praktijk in IT niet. Waarom is dat toch? Wat moeten we dan wel doen?

Natuurlijk hebben we ook nieuws, want Microsoft heeft een twijfelachtig record gezet tijdens Patch Tuesday. Ondertussen gaat het niet goed met Firefox en beveiliging en geeft de politie het advies om vooral maar geldautomaten te DoS’sen. Of toch niet.?

 

 De Beveiligingsupdate 15: Trust but verify! [19:27m]: Play Now | Play in Popup | Download

Vandaag spreken we met Herbert Thomson van People Security, die wijst op de problemen die sociale netwerken vormen voor de authenticatie. Hij schreef een artikel om mensen te waarschuwen om heel snel te horen dat zijn kennis in de praktijk werd toegepast bij Sarah Palin.

Ook praten Joran en ik nog na over de film Privacy Matters en wijzen op het ICT Roddels-interview met de maker. Daarnaast komt de vraag aan bod: is een Mac nog wel gevrijwaard van virussen en zijn Windows-gebruikers wel verantwoord bezig?

 

 Vandaag spreken we met Herbert Thomson van People Security, die wijst op de problemen die sociale netwerken vormen voor de authenticatie. Hij schreef een artikel om mensen te waarschuwen om heel snel te horen dat zijn kennis in de praktijk werd toegepast bij Sarah Palin. Ook praten Joran en ik nog na over de film Privacy Matters en wijzen op het ICT Roddels-interview met de maker. Daarnaast komt de vraag aan bod: is een Mac nog wel gevrijwaard van virussen en zijn Windows-gebruikers wel verantwoord bezig? [23:34m]: Play Now | Play in Popup | Download