In deze aflevering horen meteen aan het begin wat het echte feest van de democratie nou eigenlijk is. Samen met Joran bespreken het goede nieuws dat er twee reuzachtige botnets uit de lucht zijn gehaald. Ook 25.000 Nederlandse PC’s doen niet langer mee met het verspreiden van ellende.

Minder leuk is het nieuws dat er een RSA-kraak heeft plaats gevonden. Toch is het niet eind oefening RSA, want we hebben het wel over een hardwarekraak. Triester is het verhaal dat een zorgverlener de creditcard van een zwaar gewonde man besluit te stelen. Terwijl het slachtoffer is overleden geeft hij er vervolgens 2000 dollar mee uit.

Tot slot horen we McAfee en Brocade trots vertellen dat ze elkaar helemaal gevonden hebben. Ze gaan hardware en beveiliging combineren en dat is ook hard nodig, want de bescherming schieten behoorlijk te kort. Althans als we de ondernemingen mogen geloven.

 

 De Beveiligingsupdate #61: Een veilige cloud dankzij samenwerking en opsporing [17:10m]: Play Now | Play in Popup | Download

In deze aflevering spreken we met Christiaan Engström, lid van het Europees Parlement namens de Piraten Partij. Dat kon, omdat 7,1% van de Zweedse stemmen naar de Piraten Partij ging. Hij vertelt over auteursrechten, de Anti-Counterfeiting Trade Agreement (ACTA) en de strijd die hij levert. Wat hem betreft moeten burgers niet langer vervolgd worden voor het uitwisselen van bestanden. “Een hele generatie wordt gecriminaliseerd en dat is zinloos.” Uiteindelijk verwacht hij ook veel van de Zweedse nationale verkiezingen. Daar hoopt de partij stevig uit de bus te komen om echt veranderingen voor internetgebruikers te kunnen doorvoeren.

 

 De Beveiligingsupdate 59: In gesprek met Christiaan Engrström van de Piraten Partij [17:10m]: Play Now | Play in Popup | Download

De afgelopen week was er veel aandacht voor het EPD. Het blijkt namelijk dat misbruik in theorie wel te ontdekken is, maar dat dit in de praktijk toch wel heel lastig kan blijken. Er zijn veel zaken die vragen oproepen. Ook maken Joran en ik een serieuze belofte voor de volgende podcast. Maar het spannends is toch wel het gesprek met Annie Machon, een oud-medewerker van MI-5. Ze vertelt over de werking van de dienst, het falen en vooral de reden waarom zij naar buiten is getreden. Zij is heel donker over de democratische staat van Nederland (en het Verenigd Koninkrijk).

 

 De Beveiligingsupdate 57: Hoe MI-5 werkt en het EPD misbruik (niet) detecteert [40:30m]: Play Now | Play in Popup | Download

Deze week staat de vraag centraal of je uit overtuiging vernielingen mag aanrichten om je boodschap uit te dragen of een ander de mond te snoeren. Nee, denkt dat nationale recherche, die vorige week bekend maakte twee mannen te hebben opgepakt. Ondertussen kan een holocaust-ontkenner op heel wat minder begrip rekenen. Bij hem was de hack grondig. Waar kan hactivisme wel en waar niet?

Ook praten we met BT’s Ray Stanton die van mening is dat we allemaal aan de DRM zullen moeten. Ook erkent hij dat het toch wel lastig is om in een crisis beveiliging goed op de kaart te zetten. Een volle, interessante podcast.

 

 De Beveiligingsupdate 52: Moeten we allemaal aan de DRM? [33:41m]: Play Now | Play in Popup | Download

Deze week waarschuwt Joran dat het verstandig is geen e-mail van banken te krijgen op uw G-Mail account, want als de bank teveel informatie opstuurt wordt het account op last van een Amerikaanse rechter geblokkeerd. Wat dat betreft lijkt de lekkende bank de juridische afdeling aan het hoofd van hun beveiligingsbeleid te hebben gezet. Over Google gesproken: de plugin van Chrome voor Internet Explorer is zeer onveilig … zegt Microsoft. Een staaltje angst voor concurrentie of oprechte bezorgdheid? Natuurlijk blijft het beveiligingsupdate op beveiligingsupdate, want dit keer had Apple een patch voor een pijnlijk probleem voor iTunes. En Adobe? Dat blijkt een bijna exclusief platform voor malware schrijvers.

In het interview praten we met Barry van Kampen (aka Fish) over Hackerspaces. Hij richt op dit moment Random Data op in Utrecht. Ook presenteerde hij op HAR FM het dagelijkse programma “Hackerspace Hour” en wij draaien daarvan een editie. Samenkomen blijkt namelijk erg prettig te zijn om niet alleen een hobby uit te leven, maar ook om leuk beveiligingsonderzoek te doen. Kortom een leuke, tjokmutjevolle podcast.

 

 De Beveiligingsupdate 48: Hackerspaces [51:46m]: Play Now | Play in Popup | Download

Deze week hebben we met Joran het nodige nieuws te bespreken over nieuwe massalekken, vreemd gedrag van Adobe, paspoorten met wel erg vreemde distributie kanalen en meer. Daarna spreken we met Don Blumenthal. Hij is oud-medewerker van de Federal Trade Commission, die bij grote lekken voor de rechten van burgers opkomt en kan ingrijpen. Na het verlies van 130 miljoen creditcardnummers aan de ‘Soupnazi’ lijkt ingrijpen niet te voorkomen. Maar volgens de expert is dat niet zeker, want als waren ze wel erg lek toch waren ze ook geaudit en in orde bevonden. Niets lijkt dus zeker. Ik wil wel eens weten hoe de FTC werkt in dit soort zaken.

 

 De Beveiligingsupdate 46: Compliance als vrijpleitingsgrond voor blunders [30:02m]: Play Now | Play in Popup | Download

Deze week hebben we aandacht voor de Software Security Lifecycle (SDL) van Microsoft. De marktleider zegt de kennis graag te delen met de ontwikkelaars, omdat slechte software afstraalt op het hele platform. Maar helpen de tools van het bedrijf? Maken die de software nou echt veiliger? Natuurlijk roept de softwareleverancier van wel en zegt het gratis zijn van de programmatuur niets over de kwaliteit.

 

 De Beveiligingsupdate 38: Microsoft Software Security Lifecycle [25:33m]: Play Now | Play in Popup | Download

Dat er met regelmaat problemen zijn met Microsoft Office is genoegzaam wel bekend, maar hoe zit dat met de alternatieven? Is OpenOffice.org fundamenteel onveilig of zijn er wat probleempjes die met een workaround weer te redden zijn? Twee franse onderzoekers, Jean-Paul Fizaine en Eric Filiol deden hier uitgebreid onderzoek naar en komen met verontrustende conclusies. Komen de tijden van pen en papier weer terug of kunnen we toch het open source officepakket blijven gebruiken? Een uitgebreid interview met de onderzoekers.

 

 De Beveiligingsupdate 37: OpenOffice.org fundamenteel onveilig? [30:48m]: Play Now | Play in Popup | Download

Het is met beveiliging slecht gesteld als het op de bescherming van de persoonlijke levenssfeer gaat. In deze aflevering spreken we met Lord Eroll, die duidelijk aangeeft waar het in Europa in het algemeen en het Verenigd Koninkrijk in het bijzonder verkeerd gaat. Dat interview begint op 7:30 en eindigt in een Segway-race. Op 19:30 spreken we met Dirk Blok en Bert van Koelen van NEC Philips over het afluisteren van DECT-gesprekken. Het televisieprogramma NOVA deed het, wij hadden het hierover in aflevering 33 en nu reageert de industrie. Joran begint te vertellen hoe crimineel open -sourcesoftware eigenlijk is.

 

 De Beveiligingsupdate 33: Privacy, de wet en DECT [37:40m]: Play Now | Play in Popup | Download

Deze week praten Joran en ik na over het verhaal van de servers van grote bedrijven die wel erg toegankelijk zijn in een gedeeld datacenter. Dat kan en moet natuurlijk beter. Ook hebben we het over de problemen rond Microsoft’s laatste patch, de problemen met de nieuwe privacybenadering van Google. Maar het echte gesprek is natuurlijk met Dan Kaminsky die spreekt over het nog steeds niet in orde zijn van de patches van de DNS-systemen. Ook kijkt hij bij Microsoft in de code mee om fouten te ontdekken en andere onderzoekers buiten het bedrijf voor te zijn. Kortom een overvolle, boeiende aflevering.

 

 De Beveiligingsupdate 30: Dan Kanminsky en fysieke toegang tot systemen: Play Now | Play in Popup | Download

Het is droevig gesteld met PDF’s weet Joran, want Adobe Acrobat heeft een actief misbruikt lekt maar de klanten moeten tot 11 maart wachten op een oplossing. Gelukkig zijn er alternatieven op Mac, Windows en Linux, heck er is een hele lijst beschikbaar. Ook in de browserwereld is het nodige gaande en komen de eerste details over IE9 nu naar buiten. Hoelang blijft Skype trouwens veilig?

Eugene Kaspersky praat met ons over beveiliging, de groeikansen voor onze industrie en vooral zijn hack van twee weken geleden. Pijnlijk? Ehh … Ja voor hem wel. Enthousiast is hij daarover zeker niet. Wel denkt hij nog een toegevoegde waarde voor bedrijven, particulieren en opsporingsinstanties te hebben. Kortom een openhartig, hard, gezellig en vooral boeiend inteview.

 

 De Beveiligingsupdate 27: Eugene Kasperky heeft spijt en economische groei [27:11m]: Play Now | Play in Popup | Download

In deze aflevering hebben we het over twee vormen van identiteitsmanagement. Om te beginnen het managen van identiteiten met behulp van toegangspassen en de OV-chipkaart. Het Crapto1-project levert namelijk broncode om zelf eens te experimenteren met het kraken van Mifare Classic-chips. We bespreken niet alleen het project, maar ook de gevolgen.

Bij 18:00 schakelen we over naar Novell, die vorige week een hele reeks aan oplossingen voor identity management presenteerden en hun visie deelt. Dit soort oplossingen houdt managers uit de gevangenis denkt het bedrijf. Analysten van Burton zijn het daar wel mee eens, maar betwijfelen sterk of bedrijven wel voor totale oplossingen gaan. Zij verwachten meer een combinatie van Best of Breed. Toch is het zeker de moeite waard eens te luisteren naar een gezond verhaal over compliance.

 

 De Beveiligingsupdate 8: Wat nou identiteitsmanagement? [42:45m]: Play Now | Play in Popup | Download

In deze aflevering van De Beveiligingsupdate hebben we het over indentiteitsdiefstal in Nederland. Eindelijk is er in Nederland door Fellowes onderzoek gedaan naar het onderwerp. We spreken met Fleur van Eck van Stichting Aanpak Financieel Economische Criminaliteit in Nederland ofwel Safecin. Zij proberen via hun website de gevolgen in kaart te brengen. Ook bevragen we CDA-kamerlid Sybrand van Haersma Buma over het onderwerp en het Burger Service Nummer.

Verder praten we met Joran Polak van Security.nl over Neosploit, een nogal een kwaadaardige tool om systemen te misbruiken. Hij vertelt over de tool en de ernst ervan. Daarna legt Ian Amit van Aladdin uit wat zijn onderneming met de problematiek doet, hoe zij servers achterhalen, hoe ze zelf op de dunne lijn tussen legaliteit en illegaliteit lopen. Zij achterhaalden de gegevens van 200.000 servers wereldwijd, waarbij er ook overheden en multinationals zijn getroffen. Wie wil weten of ze op de lijst staat, kan terecht op hun webpagina waar het bedrijf een tool beschikbaar zal maken om dat te checken.

 

 De Beveiligingsupdate 4: Indentiteitsloze Neosploit [42:06m]: Play Now | Play in Popup | Download

For English-speaking listeners: the interview starts at 05:00 in the podcast

Outpost24 heeft een bug ontdekt in het TCP/IP-protocol, waarmee het mogelijk is om bijna ieder systeem te verstoren. De onderzoeken kennen geen enkel systeem dat niet gevoelig is voor de Denial-of-Service-mogelijkheid. De aanval is relatief eenvoudig om uit te voeren en heeft soms maar tien IP-pakketten om tot succes te leiden en wordt ontdekt toen ze werkten aan de Unicornscan.

Zij onthullen het verhaal op de T2-conferentie, maar De Beveiligingsupdate heeft alvast de scoop. We spreken met Robert E. Lee, Chief Security Officer van Outpost24 en senior researcher Jack C. Louis over de ins en outs en de mogelijke gevolgen. Al geven ze niet alle technische details vrij toch wordt de problematiek wel helder. Ook leggen ze verantwoording af, waarom een bug die zo fundamenteel en niet oplosbaar is toch in de openbaarheid komt.

In het nieuws met Security.nl spreken we over Click Jacking, een ander type aanval om de controle over een muis over te nemen in een webbrowser. Ook hebben we het over inchecken als Elvis op Schiphol met dank aan het electronisch paspoort.

 

 De Beveiligingsupdate 3: Socketstress Denial of Service at your service! [44:11m]: Play Now | Play in Popup | Download