In deze aflevering spreekt Joran met John Scarrow, General Manager, Anti-Spam and Anti-Phishing Strategy Team over IE6, het beleid van Microsoft rond malware en het belang ervan.

 

 Standard Podcast: Play Now | Play in Popup | Download

In deze aflevering van de Beveiligingsupdate interviewt Joran Polak de CEO van Panda Security Juan Santana. Hij spreekt zich uit tegen het idee van Eugene Kaspersky om een internetrijbewijs in te voeren. Het is slecht voor de privacy, burgerrechten en het lost de problemen volgens hem niet op. Wat nu mankeert is het effectief straffen van kwaadwillenden, die botnets bouwen. Vooral in Spanje schiet de wetgeving tekort en dus lopen criminelen vrij rond.

Santana gelooft wel in cyberterreur en hij merkt dat de “boodschap resoneert”. Terecht of niet wat hem betreft is het goed dat er veel aandacht voor het probleem bij overheden is. Hij ziet nog geen reden om met anti-virussoftware voor de mobiele telefoon te komen. Toch heeft zijn bedrijf al wel een oplossing gemaakt, die intern wordt getest. In de verkoop gaat dat nog niet, omdat het probleem niet groot genoeg is. Hij wijst op de cijfers, want het Windows-platform ziet wekelijks 55.000 nieuwe virussen en op de Mac zo’n 500. Mobiel gebeurt er nog niet genoeg.

 

 #68: Panda wil effectieve straffen, geen privacyschending [17:10m]: Play Now | Play in Popup | Download

In deze aflevering spreken we met de goeroe op het gebied van beveiliging: Bruce Schneier. Hij spreekt over Cryptography Engineering, het boek waar hij aan meeschreef. Het is voor het eerst sinds tijden weer een technisch boek hoe cryptografie toe te passen is. Hij ziet de jaren ’90 van de vorige eeuw als een periode van testen. Nu is het zaak echt te implementeren en dat zo simpel mogelijk te maken. Want als het niet eenvoudig is, zullen mensen het niet gebruiken. Dat er ook onveilige crypto is, zoals met de Mifare Classic-chip, hoeft geen reden te zijn om het niet te implementeren. Soms kan het goedkoper toch onveilige systemen te introduceren.

Wat hem betreft is het incident op de dam vooral te wijten aan het roepen van “Bom!”. In een tijd van terreur is dat genoeg om massa’s in paniek te laten raken. Wat hem betreft is consumentenapparatuur net zo gevaarlijk als terreur. In de VS zijn de aantal doden van beide risico’s ongeveer even groot. Dat er massaal mensen in de gaten worden gehouden, zoals bijvoorbeeld met de OV-chipkaart, is onveilig en slecht voor de maatschappij. Hij noemt privacy een zaak van menselijke waardigheid. Mensen worden niet gelukkiger van alles omvattende beveiliging. Kortom: Bruce Schneier gaat op herkenbare in op de moderne problemen.

 

 #66: Bruce Schneier over privacy, onveiligheid als keuze en de damschreeuwer [17:10m]: Play Now | Play in Popup | Download

In deze aflevering horen meteen aan het begin wat het echte feest van de democratie nou eigenlijk is. Samen met Joran bespreken het goede nieuws dat er twee reuzachtige botnets uit de lucht zijn gehaald. Ook 25.000 Nederlandse PC’s doen niet langer mee met het verspreiden van ellende.

Minder leuk is het nieuws dat er een RSA-kraak heeft plaats gevonden. Toch is het niet eind oefening RSA, want we hebben het wel over een hardwarekraak. Triester is het verhaal dat een zorgverlener de creditcard van een zwaar gewonde man besluit te stelen. Terwijl het slachtoffer is overleden geeft hij er vervolgens 2000 dollar mee uit.

Tot slot horen we McAfee en Brocade trots vertellen dat ze elkaar helemaal gevonden hebben. Ze gaan hardware en beveiliging combineren en dat is ook hard nodig, want de bescherming schieten behoorlijk te kort. Althans als we de ondernemingen mogen geloven.

 

 De Beveiligingsupdate #61: Een veilige cloud dankzij samenwerking en opsporing [17:10m]: Play Now | Play in Popup | Download

In deze aflevering spreken we met Christiaan Engström, lid van het Europees Parlement namens de Piraten Partij. Dat kon, omdat 7,1% van de Zweedse stemmen naar de Piraten Partij ging. Hij vertelt over auteursrechten, de Anti-Counterfeiting Trade Agreement (ACTA) en de strijd die hij levert. Wat hem betreft moeten burgers niet langer vervolgd worden voor het uitwisselen van bestanden. “Een hele generatie wordt gecriminaliseerd en dat is zinloos.” Uiteindelijk verwacht hij ook veel van de Zweedse nationale verkiezingen. Daar hoopt de partij stevig uit de bus te komen om echt veranderingen voor internetgebruikers te kunnen doorvoeren.

 

 De Beveiligingsupdate 59: In gesprek met Christiaan Engrström van de Piraten Partij [17:10m]: Play Now | Play in Popup | Download

De afgelopen week was er veel aandacht voor het EPD. Het blijkt namelijk dat misbruik in theorie wel te ontdekken is, maar dat dit in de praktijk toch wel heel lastig kan blijken. Er zijn veel zaken die vragen oproepen. Ook maken Joran en ik een serieuze belofte voor de volgende podcast. Maar het spannends is toch wel het gesprek met Annie Machon, een oud-medewerker van MI-5. Ze vertelt over de werking van de dienst, het falen en vooral de reden waarom zij naar buiten is getreden. Zij is heel donker over de democratische staat van Nederland (en het Verenigd Koninkrijk).

 

 De Beveiligingsupdate 57: Hoe MI-5 werkt en het EPD misbruik (niet) detecteert [40:30m]: Play Now | Play in Popup | Download

Deze week staat de vraag centraal of je uit overtuiging vernielingen mag aanrichten om je boodschap uit te dragen of een ander de mond te snoeren. Nee, denkt dat nationale recherche, die vorige week bekend maakte twee mannen te hebben opgepakt. Ondertussen kan een holocaust-ontkenner op heel wat minder begrip rekenen. Bij hem was de hack grondig. Waar kan hactivisme wel en waar niet?

Ook praten we met BT’s Ray Stanton die van mening is dat we allemaal aan de DRM zullen moeten. Ook erkent hij dat het toch wel lastig is om in een crisis beveiliging goed op de kaart te zetten. Een volle, interessante podcast.

 

 De Beveiligingsupdate 52: Moeten we allemaal aan de DRM? [33:41m]: Play Now | Play in Popup | Download

Deze week waarschuwt Joran dat het verstandig is geen e-mail van banken te krijgen op uw G-Mail account, want als de bank teveel informatie opstuurt wordt het account op last van een Amerikaanse rechter geblokkeerd. Wat dat betreft lijkt de lekkende bank de juridische afdeling aan het hoofd van hun beveiligingsbeleid te hebben gezet. Over Google gesproken: de plugin van Chrome voor Internet Explorer is zeer onveilig … zegt Microsoft. Een staaltje angst voor concurrentie of oprechte bezorgdheid? Natuurlijk blijft het beveiligingsupdate op beveiligingsupdate, want dit keer had Apple een patch voor een pijnlijk probleem voor iTunes. En Adobe? Dat blijkt een bijna exclusief platform voor malware schrijvers.

In het interview praten we met Barry van Kampen (aka Fish) over Hackerspaces. Hij richt op dit moment Random Data op in Utrecht. Ook presenteerde hij op HAR FM het dagelijkse programma “Hackerspace Hour” en wij draaien daarvan een editie. Samenkomen blijkt namelijk erg prettig te zijn om niet alleen een hobby uit te leven, maar ook om leuk beveiligingsonderzoek te doen. Kortom een leuke, tjokmutjevolle podcast.

 

 De Beveiligingsupdate 48: Hackerspaces [51:46m]: Play Now | Play in Popup | Download

Deze week hebben we met Joran het nodige nieuws te bespreken over nieuwe massalekken, vreemd gedrag van Adobe, paspoorten met wel erg vreemde distributie kanalen en meer. Daarna spreken we met Don Blumenthal. Hij is oud-medewerker van de Federal Trade Commission, die bij grote lekken voor de rechten van burgers opkomt en kan ingrijpen. Na het verlies van 130 miljoen creditcardnummers aan de ‘Soupnazi’ lijkt ingrijpen niet te voorkomen. Maar volgens de expert is dat niet zeker, want als waren ze wel erg lek toch waren ze ook geaudit en in orde bevonden. Niets lijkt dus zeker. Ik wil wel eens weten hoe de FTC werkt in dit soort zaken.

 

 De Beveiligingsupdate 46: Compliance als vrijpleitingsgrond voor blunders [30:02m]: Play Now | Play in Popup | Download

Deze week hebben we aandacht voor de Software Security Lifecycle (SDL) van Microsoft. De marktleider zegt de kennis graag te delen met de ontwikkelaars, omdat slechte software afstraalt op het hele platform. Maar helpen de tools van het bedrijf? Maken die de software nou echt veiliger? Natuurlijk roept de softwareleverancier van wel en zegt het gratis zijn van de programmatuur niets over de kwaliteit.

 

 De Beveiligingsupdate 38: Microsoft Software Security Lifecycle [25:33m]: Play Now | Play in Popup | Download

Dat er met regelmaat problemen zijn met Microsoft Office is genoegzaam wel bekend, maar hoe zit dat met de alternatieven? Is OpenOffice.org fundamenteel onveilig of zijn er wat probleempjes die met een workaround weer te redden zijn? Twee franse onderzoekers, Jean-Paul Fizaine en Eric Filiol deden hier uitgebreid onderzoek naar en komen met verontrustende conclusies. Komen de tijden van pen en papier weer terug of kunnen we toch het open source officepakket blijven gebruiken? Een uitgebreid interview met de onderzoekers.

 

 De Beveiligingsupdate 37: OpenOffice.org fundamenteel onveilig? [30:48m]: Play Now | Play in Popup | Download

Het is met beveiliging slecht gesteld als het op de bescherming van de persoonlijke levenssfeer gaat. In deze aflevering spreken we met Lord Eroll, die duidelijk aangeeft waar het in Europa in het algemeen en het Verenigd Koninkrijk in het bijzonder verkeerd gaat. Dat interview begint op 7:30 en eindigt in een Segway-race. Op 19:30 spreken we met Dirk Blok en Bert van Koelen van NEC Philips over het afluisteren van DECT-gesprekken. Het televisieprogramma NOVA deed het, wij hadden het hierover in aflevering 33 en nu reageert de industrie. Joran begint te vertellen hoe crimineel open -sourcesoftware eigenlijk is.

 

 De Beveiligingsupdate 33: Privacy, de wet en DECT [37:40m]: Play Now | Play in Popup | Download

Deze week praten Joran en ik na over het verhaal van de servers van grote bedrijven die wel erg toegankelijk zijn in een gedeeld datacenter. Dat kan en moet natuurlijk beter. Ook hebben we het over de problemen rond Microsoft’s laatste patch, de problemen met de nieuwe privacybenadering van Google. Maar het echte gesprek is natuurlijk met Dan Kaminsky die spreekt over het nog steeds niet in orde zijn van de patches van de DNS-systemen. Ook kijkt hij bij Microsoft in de code mee om fouten te ontdekken en andere onderzoekers buiten het bedrijf voor te zijn. Kortom een overvolle, boeiende aflevering.

 

 De Beveiligingsupdate 30: Dan Kanminsky en fysieke toegang tot systemen: Play Now | Play in Popup | Download

Het is droevig gesteld met PDF’s weet Joran, want Adobe Acrobat heeft een actief misbruikt lekt maar de klanten moeten tot 11 maart wachten op een oplossing. Gelukkig zijn er alternatieven op Mac, Windows en Linux, heck er is een hele lijst beschikbaar. Ook in de browserwereld is het nodige gaande en komen de eerste details over IE9 nu naar buiten. Hoelang blijft Skype trouwens veilig?

Eugene Kaspersky praat met ons over beveiliging, de groeikansen voor onze industrie en vooral zijn hack van twee weken geleden. Pijnlijk? Ehh … Ja voor hem wel. Enthousiast is hij daarover zeker niet. Wel denkt hij nog een toegevoegde waarde voor bedrijven, particulieren en opsporingsinstanties te hebben. Kortom een openhartig, hard, gezellig en vooral boeiend inteview.

 

 De Beveiligingsupdate 27: Eugene Kasperky heeft spijt en economische groei [27:11m]: Play Now | Play in Popup | Download

In deze aflevering hebben we het over twee vormen van identiteitsmanagement. Om te beginnen het managen van identiteiten met behulp van toegangspassen en de OV-chipkaart. Het Crapto1-project levert namelijk broncode om zelf eens te experimenteren met het kraken van Mifare Classic-chips. We bespreken niet alleen het project, maar ook de gevolgen.

Bij 18:00 schakelen we over naar Novell, die vorige week een hele reeks aan oplossingen voor identity management presenteerden en hun visie deelt. Dit soort oplossingen houdt managers uit de gevangenis denkt het bedrijf. Analysten van Burton zijn het daar wel mee eens, maar betwijfelen sterk of bedrijven wel voor totale oplossingen gaan. Zij verwachten meer een combinatie van Best of Breed. Toch is het zeker de moeite waard eens te luisteren naar een gezond verhaal over compliance.

 

 De Beveiligingsupdate 8: Wat nou identiteitsmanagement? [42:45m]: Play Now | Play in Popup | Download