In deze aflevering spreken we over de grote problemen rond Windows. Het .LNK-lek is een compleet nieuwe aanvalsvector en dat gaat tot grote problemen leiden. Er is de verwachting dat er een uitbraak van nieuwe aanvallen zal losbarsten. Ondertussen denkt Microsoft vooral aan uw wachtwoord en wil het bedrijf voorkomen dat uw geheime phrase al bestaat. Adobe pakt de beveiligingsproblemen ‘grondiger’ aan.

Ook spreken we met Verizon Business. Het bedrijf bracht het jaarlijkse trendrapport uit en kreeg dit keer data van de Secret Service. Wordt de wereld veilig, neemt het aantal incidenten af? We vragen het de onderneming. Ook staan we aan het begin even stil bij de rechtszaak, die ik voer tegen de VNG, want de zitting komt eraan!

 

 Standard Podcast: Play Now | Play in Popup | Download

In deze bijzonder podcast staan we stil bij de gespannen relatie tussen internet en internationale rechtssystemen, tussen het recht op expressie en de repressie die soms een bedreiging voor het leven vormt en tussen het aankaarten van misdrijven en krachten die dat verhinderen. Een spannende aflevering op het scherpst van de snede met europarlementariër Marietje Schaake (D66), Birgitta Jonsdottir parlementslid in IJsland, Julian Assange van Wikileaks en professor Alistair Mullis, die na een vraag van mij het wel heel benauwd krijgt. Een echt urgent probleem met een simpele en elegante oplossing uit IJsland. Kortom: een spannende aflevering.

 

 Standard Podcast [28:52m]: Play Now | Play in Popup | Download

In deze aflevering spreken Joran Polak en Brenno de Winter met Didier Stevens over Hack in the Box 2010 in Amsterdam. Op een bloedhete Dam spreken we over Adobe, de Ubikey en natuurlijk de conferentie. Daar waren diverse interessante lezingen en Nederland lijkt nu een mooie, hoogwaardige beveiligingsconferentie rijker. Ook spreken we met Dennis Groves van het OWASP-project dat mensen helpt om gratis de beveiligingskennis bij te spijker. Een rijk project met wel heel veel lesmateriaal. Tijdens het interview worden we genadeloos betrapt dat er is opgenomen tijdens de voetbalwedstrijd Nederland – Brazilië.

 

 Standard Podcast [17:10m]: Play Now | Play in Popup | Download

In deze aflevering spreekt Joran met John Scarrow, General Manager, Anti-Spam and Anti-Phishing Strategy Team over IE6, het beleid van Microsoft rond malware en het belang ervan.

 

 Standard Podcast: Play Now | Play in Popup | Download

Google onthult lekken van Microsoft, Microsoft wijst op lekken in Google software, Google helpt Adobe met het vinden van zwakheden, Apple ontdekt weer zwakheden in Google’s Chrome en zo gaat het maar door. Wat opvalt is dat Google wel dubbele standaarden hanteert, want bij Adobe hanteren ze responsible disclosure en bij Microsoft niet. Een door Google gemaakte patch voor een probleem in Windows blijkt weer niet te werken. Het is een puinhoop. Ondertussen kan het succes van de OV-chipkaart niet op, want de ABNAMRO komt met een betaalpasje dat namelijk ook contactloos werkt. De bank vergelijkt dit ook met de OV-chipkaart.

114.000 iPad klanten zijn gedupeerd door knullige beveiliging van AT&T en hun e-mailadressen zijn uitgelekt. Zo zijn topbestuurders, militaire officials, TV-presentators opeens wel erg goed met hun e-mailadres te vinden. Kansrijk voor een gerichte aanval. De FBI onderzoekt de hackers en niet de slechte ontwikkelaars, maar uiteindelijk is de verwachting dat er geen aanklachten zullen volgen. Maar stel dat een veroordeling was gevolgd voor de ‘hackers’ mag je ze dan nog in dienst nemen? Een lastig ethische vraag, want als het antwoord nee wat zouden ze dan met hun gaven gaan doen? En wat is een hacker eigenlijk? Is de minister van Justitie in Nederland zelf niet een beetje te stout geweest? De vraag is moeilijk te beantwoorden, want documenten worden maar niet vrijgegeven en nu is het verworden tot een rechtszaak.

En natuurlijk in deze aflevering: een wedstrijd om een gratis kaartje te krijgen voor Hack in the Box, de beveiligingsconferentie en training. We spreken met de organisator en hij vertelt wat er voor briljante lezingen volgen. U mag 3 x raden waar u De Beveiligingsupdate op 1 en 2 juli gaat aantreffen.

 

 Standard Podcast [17:10m]: Play Now | Play in Popup | Download

In deze aflevering van de Beveiligingsupdate interviewt Joran Polak de CEO van Panda Security Juan Santana. Hij spreekt zich uit tegen het idee van Eugene Kaspersky om een internetrijbewijs in te voeren. Het is slecht voor de privacy, burgerrechten en het lost de problemen volgens hem niet op. Wat nu mankeert is het effectief straffen van kwaadwillenden, die botnets bouwen. Vooral in Spanje schiet de wetgeving tekort en dus lopen criminelen vrij rond.

Santana gelooft wel in cyberterreur en hij merkt dat de “boodschap resoneert”. Terecht of niet wat hem betreft is het goed dat er veel aandacht voor het probleem bij overheden is. Hij ziet nog geen reden om met anti-virussoftware voor de mobiele telefoon te komen. Toch heeft zijn bedrijf al wel een oplossing gemaakt, die intern wordt getest. In de verkoop gaat dat nog niet, omdat het probleem niet groot genoeg is. Hij wijst op de cijfers, want het Windows-platform ziet wekelijks 55.000 nieuwe virussen en op de Mac zo’n 500. Mobiel gebeurt er nog niet genoeg.

 

 #68: Panda wil effectieve straffen, geen privacyschending [17:10m]: Play Now | Play in Popup | Download

Joran vertelt hij ziet dat Microsoft pioniert op het gebied van beveiliging, waarbij de industrie verder alleen maar volgt. Ondertussen heeft Google het plan opgevat om Microsoft-software te dumpen, omdat het onveilig zou zijn. Joran Polak wijst erop dat dit een PR-stunt is, omdat de aanvallen waar het bedrijf bang voor is juist heel gericht zijn.

De Eerste Kamer trapt fors op de rem bij het Elektronisch Patiëntendossier. Momenteel staat het wetsvoorstel in de ijskast, totdat er meer vertrouwen is en het beter is geregeld rond beveiliging en privacy. “Het komt erop neer dat de Eerste Kamer zich gewoon gepasseerd voelt”, concludeert Joran.

ISOC in België roept de nieuwe Belgische regering op om betere privacyregelgeving aan te nemen. Ook moeten klokkenluiders en beveiligingsonderzoekers betere bescherming krijgen, want nu is het melden van een lek een ticket richting rechtbank. Die praktijk moet stoppen. Deze week is de OV-chipkaart in de plaats gekomen van de strippenkaart. De conclusie wordt dat het wel heel lastig is om echt anoniem te reizen. Eerder concludeerde wetenschapper Wouter Teepe dit ook al in een artikel (pdf).

 

 Standard Podcast [17:10m]: Play Now | Play in Popup | Download

In deze aflevering spreken we met de goeroe op het gebied van beveiliging: Bruce Schneier. Hij spreekt over Cryptography Engineering, het boek waar hij aan meeschreef. Het is voor het eerst sinds tijden weer een technisch boek hoe cryptografie toe te passen is. Hij ziet de jaren ’90 van de vorige eeuw als een periode van testen. Nu is het zaak echt te implementeren en dat zo simpel mogelijk te maken. Want als het niet eenvoudig is, zullen mensen het niet gebruiken. Dat er ook onveilige crypto is, zoals met de Mifare Classic-chip, hoeft geen reden te zijn om het niet te implementeren. Soms kan het goedkoper toch onveilige systemen te introduceren.

Wat hem betreft is het incident op de dam vooral te wijten aan het roepen van “Bom!”. In een tijd van terreur is dat genoeg om massa’s in paniek te laten raken. Wat hem betreft is consumentenapparatuur net zo gevaarlijk als terreur. In de VS zijn de aantal doden van beide risico’s ongeveer even groot. Dat er massaal mensen in de gaten worden gehouden, zoals bijvoorbeeld met de OV-chipkaart, is onveilig en slecht voor de maatschappij. Hij noemt privacy een zaak van menselijke waardigheid. Mensen worden niet gelukkiger van alles omvattende beveiliging. Kortom: Bruce Schneier gaat op herkenbare in op de moderne problemen.

 

 #66: Bruce Schneier over privacy, onveiligheid als keuze en de damschreeuwer [17:10m]: Play Now | Play in Popup | Download

Deze week veel aandacht voor privacyrampen of het nu Google betreft met de 600Gb aan persoonlijke gegevens die ze verzamelen, de ongeïnteresseerdheid van Facebook of het niet meer contant mogen betalen. Want de banken zien ons het liefst pinnen ondanks dat er nogal wat geskimmed wordt. Uit onderzoek zou blijken dat mensen daar voldoende vertrouwen in houden. Ook erkennen zo’n 58 procent van de bedrijven wel eens persoonsgegevens te hebben gelekt. Dankzij een mooie hack is een oude hackersfilm (Hackers Wanted) weer beschikbaar op de nodige sociale netwerk. Joran gaat naar Amerika om met Microsoft te praten. Een volle podcast.

 

 De Beveiligingsupdate 65: Per ongeluk 600 Gb aan Wifi-data verzamelen [17:10m]: Play Now | Play in Popup | Download

In deze aflevering van de Beveiligingsupdate lopen Joran en Brenno over Schiphol na te praten over een persconferentie van Microsoft. Het bedrijf heeft een half jaarlijks onderzoek gepresenteerd en kijkt in het bijzonder naar Nederland. Daarnaast wordt nagesproken over het verhaal van Ronald Prins, want als het aan hem ligt gaan webcommando’s buitenlandse aanvallen stoppen met tegen aanvallen alsof het een gewone oorlog is. Natuurlijk is er ook aandacht voor de ellende van de anti-virusupdate van McAfee. Ook staan we stil bij het tragisch overlijden van Aaron Boudewijn.

Ook spreken we over de OV-chipkaart en het forensisch onderzoek dat daar nodig is. In 2000 werd 1,3 miljard gegeven aan NS en ProRail. Na een verhitte straat zijn er cijfers geopenbaard. Maar … wat weten we nu eigenlijk. Tijd om zelf de speurneus uit te hangen en de documenten aan een grondige inspectie te onderwerpen.

 

 De Beveiligingsupdate 64: Schiet de aanvaller van het net af [17:10m]: Play Now | Play in Popup | Download

Wikileaks legt de hand op een video van het Amerikaanse leger. Oorspronkelijk is hij versleuteld. Brenno en Joran vragen zich af wat je nodig hebt om dat voor elkaar te krijgen. Verder natuurlijk ook het skimming nieuws, de vraag of we de root-certificaten vanuit Mozilla (Firefox) nog wel kunnen vertrouwen, het falen van virusscanner (en waarom ze toch nuttig zijn) en andere actualiteiten.

 

 De Beveiligingsupdate 63: Militaire video kraken [17:10m]: Play Now | Play in Popup | Download

In deze aflevering van de beveiligingsupdate hebben we het over de rechtszaak van Brenno tegen de Gemeente Kaag en Braassem. Ook natuurlijk over de uitspraak van de Hoge Raad in de zaak over de OV-chipkaart. Gegevensverwerker Trans Link Systems (TLS) bleek het namelijk bij het juiste eind te hebben toen ze foto’s wilde weigeren aan Justitie.

Maar er was veel meer privacynieuws. De bewaarplicht verkeersgegevens blijkt onder druk te staan door een onderzoek van de Europese Commissie. Daarnaast heeft ook het Duits Constitutioneel Hof problemen te hebben met de uitvoering van de data retentie.

Ook is er weer de nodige malware de revue gepasseerd. Sommige Nederlandse ziekenhuizen bleven niet gespaard. Ook FireFox is kwetsbaar voor lekken en heeft versneld een update gekregen. Opnieuw waren de Duitsers de oorzaak.

Natuurlijk is dit ook van duidelijkheid voor de SOUPNAZI, de creditcardnummerdief. Moet hij werkelijk 25 jaar de cel of is de rechter toch genadig? Volgende week allemaal kijken naar Tros Radar, want daar is ons aller Joran te gast.

 

 De Beveiligingsupdate 62: Moet je boeten voor een vraag? [17:10m]: Play Now | Play in Popup | Download

In deze aflevering horen meteen aan het begin wat het echte feest van de democratie nou eigenlijk is. Samen met Joran bespreken het goede nieuws dat er twee reuzachtige botnets uit de lucht zijn gehaald. Ook 25.000 Nederlandse PC’s doen niet langer mee met het verspreiden van ellende.

Minder leuk is het nieuws dat er een RSA-kraak heeft plaats gevonden. Toch is het niet eind oefening RSA, want we hebben het wel over een hardwarekraak. Triester is het verhaal dat een zorgverlener de creditcard van een zwaar gewonde man besluit te stelen. Terwijl het slachtoffer is overleden geeft hij er vervolgens 2000 dollar mee uit.

Tot slot horen we McAfee en Brocade trots vertellen dat ze elkaar helemaal gevonden hebben. Ze gaan hardware en beveiliging combineren en dat is ook hard nodig, want de bescherming schieten behoorlijk te kort. Althans als we de ondernemingen mogen geloven.

 

 De Beveiligingsupdate #61: Een veilige cloud dankzij samenwerking en opsporing [17:10m]: Play Now | Play in Popup | Download

De burgervaders van Oost Gelre (Groenlo) en Doetinchem komen op voor de herintroductie van stemcomputers. Dat is volgens eigen zeggen niet voor de lokale leverancier Nedap, maar vooral omdat men van het “19de-eeuwse” stemmen met het potlood af wil. Rond het dossier is de nodige controverse en zo wordt de Stichting “Wij vertrouwen stemcomputers niet” niet “geapprecieerd”.

Tegenstand wordt niet geduld en daarom valt de kritische houding van zowel het Ministerie van Binnenlandse Zaken Koninkrijksrelaties als de stichting enorm slecht. Beide krijgen dan ook tijdens de persconferentie een behoorlijke veeg uit de pan. De felle kritiek op de actievoerders blijkt een duidelijke oorzaak te hebben, die fluisterend wordt uitgelegd. Alleen een combinatie van podcast microfoon en een draaiende camera maken dit pijnlijk helder.

 

 De Beveiligingsupdate 60: De stemcomputer op proef in de achterhoek: Play Now | Play in Popup | Download

In deze aflevering spreken we met Christiaan Engström, lid van het Europees Parlement namens de Piraten Partij. Dat kon, omdat 7,1% van de Zweedse stemmen naar de Piraten Partij ging. Hij vertelt over auteursrechten, de Anti-Counterfeiting Trade Agreement (ACTA) en de strijd die hij levert. Wat hem betreft moeten burgers niet langer vervolgd worden voor het uitwisselen van bestanden. “Een hele generatie wordt gecriminaliseerd en dat is zinloos.” Uiteindelijk verwacht hij ook veel van de Zweedse nationale verkiezingen. Daar hoopt de partij stevig uit de bus te komen om echt veranderingen voor internetgebruikers te kunnen doorvoeren.

 

 De Beveiligingsupdate 59: In gesprek met Christiaan Engrström van de Piraten Partij [17:10m]: Play Now | Play in Popup | Download