Minder leuk is het nieuws dat er een RSA-kraak heeft plaats gevonden. Toch is het niet eind oefening RSA, want we hebben het wel over een hardwarekraak. Triester is het verhaal dat een zorgverlener de creditcard van een zwaar gewonde man besluit te stelen. Terwijl het slachtoffer is overleden geeft hij er vervolgens 2000 dollar mee uit.

Tot slot horen we McAfee en Brocade trots vertellen dat ze elkaar helemaal gevonden hebben. Ze gaan hardware en beveiliging combineren en dat is ook hard nodig, want de bescherming schieten behoorlijk te kort. Althans als we de ondernemingen mogen geloven.

Tegenstand wordt niet geduld en daarom valt de kritische houding van zowel het Ministerie van Binnenlandse Zaken Koninkrijksrelaties als de stichting enorm slecht. Beide krijgen dan ook tijdens de persconferentie een behoorlijke veeg uit de pan. De felle kritiek op de actievoerders blijkt een duidelijke oorzaak te hebben, die fluisterend wordt uitgelegd. Alleen een combinatie van podcast microfoon en een draaiende camera maken dit pijnlijk helder.

In het interview spreken we met RFID-expert Roel Verdult van de Radboud Universiteit. Hij deed goed onderzoek naar de OV-chipkaart en heeft een duidelijke visie op de problematiek. Kortom: we weer volle, leuke show.

Maar de show begint met een “serious request” de actie van 3FM, die door Fox IT wordt ondersteund. Zij bieden een hacker aan voor een dag. Daarvoor kan tot 1 januari 2010 geboden worden op Ebay. De opbrengst gaat naar het goede doel en de expertise naar de hoogste bieder. Een origineel initiatief, waarmee we hier computers veiliger maken en elders in de wereld malaria uitbannen. Een mooi initiatief!

Na het prettige gesprek met Joran spreken we met Surfnet over beveiliging in de universitaire wereld en een scanner om gevaarlijke sites te ontdekken. Natuurlijk is de website van De Beveiligingsupdate op de pijnbank gelegd en in orde bevonden.

En hoe zit het eigenlijk met BitLocker is dat nou wel of niet veilig? Is TPM (Trusted Platform Module) nu dood? Als het wel veilig is, waarvoor is het dan eigenlijk in te zetten ofwel welke risico’s dekken we af? Al met al genoeg vragen, waarop we een antwoord moeten vinden. Joran heeft die natuurlijk. Kortom een gezellig, informatieve podcast.

Ook praten we met BT’s Ray Stanton die van mening is dat we allemaal aan de DRM zullen moeten. Ook erkent hij dat het toch wel lastig is om in een crisis beveiliging goed op de kaart te zetten. Een volle, interessante podcast.

Voor Truecrypt was het een reden om een nieuwe versie uit te brengen. Vanaf nu is er zowel ondersteuning voor Windows 7 als Apple’s Snow Leopard. Joran vertelt dat het niet hebben van een virusscanner soms een boete van $100.000 kan opleveren, terwijl links en recht data blijft worden gelekt. Een monsterdatabase van alle Nederlandse burgers mag er van het CBP niet komen, maar of onze regering zich daaraan stoort. Het geesteskindje van onder andere Dirk Scheringa moet blijven bestaan. Natuurlijk ook veel ander nieuws en we spreken over de ideeën die Eugene Kaspersky heeft rond het internet. Is het einde der tijden voor een vrij internet daar? Kortom een dubbeldikke feestelijke aflevering van De Beveiligingsupdate.

In het interview praten we met Barry van Kampen (aka Fish) over Hackerspaces. Hij richt op dit moment Random Data op in Utrecht. Ook presenteerde hij op HAR FM het dagelijkse programma “Hackerspace Hour” en wij draaien daarvan een editie. Samenkomen blijkt namelijk erg prettig te zijn om niet alleen een hobby uit te leven, maar ook om leuk beveiligingsonderzoek te doen. Kortom een leuke, tjokmutjevolle podcast.

Daarna praten we met John J. Strauchs, een oud medewerker van niets minder dan de CIA. Hij vertelt hoe de CIA werkt, hoe onderzoeken lopen wat de relatie was met de KGB en vooral hoe hij nu onderzoek doet. Bij een serieuze aanval is het verhaal een werk van geduld, voldoende geld en zelfs een superbeveiligde omgeving is niet langer veilig. Een wijze les hoe ver sommige mensen gaan voor een attack en vooral een wijze les dat beveiliging kraken een heel andere vorm van denken is. Leuk detail aan het verhaal is dat John ook actief was voor de film Sneakers en ook daar doet hij een boekje open. Tot slot heeft hij vanuit het beeld van opsporing een opmerkelijk standpunt over de bewaarplicht verkeersgegevens. Het probleem zijn de bureaucraten.

Wil je informatie verbergen om veilig te zijn, omdat je bronnen hebt te beschermen of gewoon lekken niet de bedoeling is? Voor de Journalist schreef een wel heel belangrijke, basale uitleg.

Joost Pol van Certified Secure zoekt de nuance op door te wijzen op lekke sites bij de overheid en dat jammeren over SSL wat mager is. Mensen moeten vooral werken aan beveiliging in de breedte.

Met Paul Bakker van Fox IT spreken we over steganografie. Is het mogelijk om informatie in bestanden te verbergen? En als dat kan: kan het dan nog ontdekt worden?

Daarna spreken we met Koen Martens van HAR 2009 over de ruimte problemen. Er zijn geen kaarten meer beschikbaar, want de camping is vol. Dus de lezingen zullen goed gevuld zijn, de bar snel leeg en is het tijd om in te schakelen op HAR FM op 106.8 FM of via een internetstream. Er is zeker nieuws te melden van het event en dat zal ook zeker verslagen zal worden.

Ook spreken we met Frank van Vliet van Certified Secure met de vraag hoe we veilig op vakantie kunnen. Hij adviseert onder andere Truecrypt voor het versleutelen van de schijf.

Verder spreken we met Han Fey en Barry Wels over Toool, het gilde van lockpickers. Zij vertellen over hun activiteiten en de komende open conferentie op HAR 2009. Uiteindelijk is het iedereen te leren. Ook kunnen beginners een mooie kans maken op een gratis toolset. Wie van dat alles niet genoeg heeft kan op HAR ook terecht bij HAR FM waar Joran en ik druk zijn met een heuse FM-zender.

Joran van Security.nl kan er maar niet over uit dat een Mac-gebruiker druk is met schrijven voor PC-Active, zielig gedrag van PGP dat niet tegen een geintje lijkt te kunnen en Infosecurity de censuur laat uitoefenen. We spreken ook over de installatie van goed geschreven malware via gehackte sites, zoals dat bij pornosites of bij kranten.com gebeurt. Ook staan we stil bij de lekken in de systemen van de Amerikaanse luchtverkeersleiding, waardoor het doen van wel heel wilde aanvallen kinderspel wordt.

Daarna spreken we met Anthony Aykut van Frame4 Group, die wel een erg markante hobby heeft: virussen verzamelen. Het is niet alleen interessant, maar ook een business. Diverse klanten zien namelijk zijn collectie al een geweldige kans om een eigen product op bekende aanvallen uit te proberen.

In Nederland is het Joran die goed nieuws brengt. Firefox en IE8 bleken toch niet zo lek te zijn als werd gevreesd, een cracker is veroordeeld tot een taakstraf waarbij de vraag is of dat wel streng genoeg is. Het is weer tijd voor paniek, omdat er een virus voor de BIOS op de markt is. Een herinstallatie heeft geen zin. Kortom genoeg om naar te luisteren.

• uw woning verlaat, doet u uw huis op slot;
• uw auto parkeert, doet u uw vehikel op slot;
• als u geld in een kluis bewaart, doet u uw kluis op slot;
• maar als we gevoelige systemen hebben in een gedeelde ruimte, dan vertrouwen we dat het goed zit en gebruiken we de meegeleverde sloten op de kasten niet.

Dat lijkt het verhaal van arbodienst Achmea Vitale en UWV te zijn. Tot vandaag, want de bedrijven doen nu ook de kasten op slot. Ze hosten namelijk hun machines in een datacenter waar diverse andere klanten toegang toe hebben. Al zijn de systemen opgeborgen in een kast met slot, toch gebruiken ze dat niet. Eén verschil tussen Achmea Vitale en UWV is dat de eerste vooral snapt dat je zelf de deur op slot moet doen en het UWV vooral boos is dat er “onbevoegden” bij de kasten kunnen. Dat doet niets af aan het feit dat maanden lang de kasten niet op slot stonden en iedereen die snapt dat IT iets met 1-tjes en 0-letjes te maken heeft gewoon alles kon doen wat je maar kunt bedenken.

Feit is dat dat het principe van een gedeelde ruimte. Daarvoor heb je sloten op de deuren en die gebruik je. Om de fantasie te prikkelen wat er voor ellende mogelijk is en dus ter lerinck ende vermaeck wat mooie foto’s van wat datacenter bezoekjes.

De belangstelling is overweldigend . Dus heb ik de foto’s maar snel op Flickr gezet.

Ondertussen is Joran stout en koopt harde schijven op marktplaats. Wat daar soms nog op te vinden is geeft zelfs hem rode oortjes: bedreigingen, belastingaangiften en wat dies meer zij. Kortom hij heeft nog wel de nodige waarschuwingen. Er is het nodige advies om het beter te doen en daarom heeft Security.nl zelfs een video bij het artikel.

Ondertussen krijgt Microsoft wierook van Joran voor de manier waarop zij met fouten omgaan. Dat geldt niet zozeer voor Adobe, waar hij toch eigenlijk wel klaar mee is. Nietszeggende beveiligingsbulletins zijn niet meer van deze tijd. Dat moet echt beter. Ook voor de uitlevering van de NASA-hacker heeft hij geen goed woord over.

Eugene Kaspersky praat met ons over beveiliging, de groeikansen voor onze industrie en vooral zijn hack van twee weken geleden. Pijnlijk? Ehh … Ja voor hem wel. Enthousiast is hij daarover zeker niet. Wel denkt hij nog een toegevoegde waarde voor bedrijven, particulieren en opsporingsinstanties te hebben. Kortom een openhartig, hard, gezellig en vooral boeiend inteview.

Vooraf lopen we met Joran Polak van Security.nl het beveiligingsnieuws door en dat is prettig voor u, maar niet voor de anti-virusleveranciers. Ook wordt er namelijk nogal wat data links en rechts zoekgemaakt of juist heel onprettig gecombineerd.

• 11:30 Problemen met DECT
• 25:25 Anonieme zoekmachine

Tot het moment dat hij naar het ziekenhuis ging na een ongelukkige val van de trap. Dan maak je je druk of je wel genoeg van hem hebt geleerd en overgenomen. Dinsdagochtend kreeg ik al snel een reactie van een vriendin die schreef: “Bij mij hielp de wetenschap dat mijn vader doorleeft in mij. Jouw vader leeft door in jullie en hoe.” Familie en vrienden hebben dat ook op andere wijze herhaald.

Juist ondanks een leven met onwaarschijnlijk veel tegenslagen en gedwongen veranderingen, waarover Mirjam in vogelvlucht al vertelde, was hij ook een wijs, intelligent en vooral creatief mens. Niet alleen uitte zich dat de laatste jaren in een briljante gave om zijn Alzheimer lange tijd voor de buitenwereld te maskeren, maar ook volop daarvoor in zijn carrière.

Toen iemand hem erop wees dat hij eens moest gaan kijken naar “die nieuwe apparaten”, zoals men toen een computer mystiek aanduidde, betrad hij als een van de eersten een wereld die inmiddels onlosmakelijk onderdeel van ons dagelijks leven is. De eerste computer in Nederland die hij programmeerde kan niet tippen aan de rekenkracht van de GSM, die u vermoedelijk bij u heeft en hopelijk heeft uitgezet.

Toen die computer in gebruik werd genomen, kwam Prins Bernhard langs om daar eens naar te kijken. Pa schreef “eventjes” een schaakspel, want daar hield de excellentie zo van. Dat klinkt simpel, maar was voor die tijd een mega-hack en echt origineel. Deze week keken we nog terug naar de foto waar hij apetrots toekijkt hoe de prins hiervan genoot.

Dat hacken in de goede zin van het woord vond hij iets geweldigs. Zo vervloekte hij het dat op sommige parkeerplaatsen die parkeerschijven verplicht werden gesteld. Onder het motto dat je toch de tijd moest hebben om ergens te zijn, knutselde hij een klokje aan de kaart, zodat de twee uur parkeertijd iedere minuut weer netjes met een minuut werd verlengd. Dat werkte een half jaar tot een politieagent het zag, pa erop aanspraak en het niet over zijn hart kon verkrijgen om hem daarvoor een bon te geven.

Diezelfde creativiteit legde hij als hoofdautomatisering bij de ANWB aan de dag toen printers nog dure linten verslonden en ruim een miljoen leden met regelmaat post moesten krijgen. Toen er postcodes werden ingevoerd in heel Europa, was hij er dan ook als de kippen bij om dáár een stokje voor te steken. Hij wilde twee letters achter de code, zodat postcode plus huisnummer een unieke combinatie vormt en dus de printers van de ANWB straat en plaats niet meer hoefden af te drukken. Nederland boog voor zijn plan. Overigens bleven de printers desondanks volledige adressen printen.

Later werkte hij voor een verzekeraar en zag de problemen rond de zorg. De juiste informatie voorkomt fouten. Dat scheelt veel verdriet en natuurlijk ook kosten. Dus bedacht hij een handig kaartje met een chip. De patiënt kiest zelf of hij deze bij zich draagt. Een arts kan daar het medisch dossier uitlezen. En omdat de patiënt het kaartje zelf bewaart worden misbruik en privacyschendingen voorkomen. Het systeem was goed doordacht, maar was zijn tijd te ver vooruit. Het kwam er dan ook nooit.

De laatste jaren pikte hij uit de media op dat er een Elektronisch Patiënten Dossier kwam. Dat interesseerde hem en hij wilde weten of het eigenlijk zijn idee was. Ik moest – door zijn ziekte – een paar keer uitleggen dat dit niet zo was. Pa voelde probleemloos de problemen rond invoering, beveiliging en privacy aan. Daarin heeft hij zo vervelend gelijk, maar het zal nog wel een tijdje duren voor de praktijk van alle dag dat hem gaat geven.

Creativiteit en aanhoudende drijfkracht kenmerkten hem, want hij hield van zijn werk. Het was een passie. Het bood meteen een geweldige vlucht voor al het nare dat achter hem lag: de oorlog, zijn TBC, de dood van zijn enige zus en zijn Alzheimer. Telkens kwamen daarbij ook positieve elementen naar boven. Hij wilde bijdragen aan de maatschappij en deed dat bijvoorbeeld met genereuze ondersteuning van mensen, vrijwilligerswerk en betrokkenheid bij de EU rond ICT.

Dat hij daarom in Mirjam en mij voortleeft, is ontegenzeggelijk waar. Zij heeft haar leven omgegooid om pa te verzorgen. Dag in, dag uit, trouw als een St. Bernhardshond. Net als pa. Daarbij durf ik wel te stellen dat pa dankzij haar zorg een betere, mooiere oude dag heeft gehad die jaren langer heeft mogen duren dan wanneer zij hem niet terzijde had gestaan. De huisarts bevestigde dat deze week bij een bezoek en hij wees er fijntjes op dat zelfs de koningin niet op zulke zorg mag rekenen.

Als zijn lijfarts en verpleegster heeft ze jarenlang de balans weten te vinden tussen veel tegenstrijdige medische belangen om hem op de been te houden. Soms vond pa dat gezeur, soms besefte hij dat haar handelen belangrijk was en volgde “dank je wel”. De laatste tijd gebeurde dat laatste steeds vaker. Ze heeft de hele ziekte begeleid tot de laatste medische handeling dinsdag: vaststellen dat pa was overleden.

Tot enkele maanden terug heb ik nooit kunnen verkroppen dat pa ziek was en daarom niet meer mee debatteerde, met een computer kon omgaan of de autogordel om kon doen. Het uiten van die emoties ging ook mij moeilijk af. Uiteindelijk accepteerde ik dat pa vroeger met mij aan de hand liep en nu ik met hem. Aan een kant is dat pijnlijk, aan de andere kant ook heel mooi en intens. Toen we elkaar onze emotie durfden te tonen, werd duidelijk wat pa’s volle persoon is geweest, zijn echte kleur.

De dag voor mijn verjaardag hebben we nog thuis staan dansen. Beide hadden grote lol, want het was leuk en we kunnen het beide helemaal niet. Ook dat heb ik van hem.

Ik zie nu dat ik veel met pa deel: mijn liefde voor computers, mijn zorgen over beveiliging, privacy, de digitale tweedeling en mijn sterke gevoel voor burgerrechten. Dat heb ik duidelijk niet zelf ontdekt. De echte pa – zonder trauma en zonder ziekte – is langzaam maar zeker in mij gaan voortleven. Dat is mijn vader waar ik apetrots op ben. Vorige week heb ik hem dat verteld en natuurlijk ook dat ik zielsveel van hem heb gehouden. Hij keek me aan, trok zijn wenkbrauwen op en knikte bevestigend.

Terecht. Want terugkijkend zie ik hoe vaak hij dat al langer wist: de laatste jaren ging hij graag mee naar computerbijeenkomsten en wel eens naar een hackersconferentie. Iemand herinnerde mij deze week dat het vooral de hackers waren die van hem genoten. Hoewel zijn geheugen achteruit ging, kon hij met zijn expertise een groep jongeren eenvoudig een uur lang onderhouden. Na mijn lezing was een simpel “goed gedaan jongen” alles wat hij had toe te voegen. We spraken verder niet meer, maar reden voldaan terug naar Ede.

De zware weg van zijn leven bereikte de afgelopen zes weken een climax. Ondanks dat hij sinds de oorlog zijn familie vreselijk miste en die pijn de laatste jaren steeds groter werd, heeft hij ongelofelijk gevochten voor zijn leven waar hij toch zo aan hing. Het laatste jaar bekende hij steeds vaker kleur door te zeggen zo graag naar zijn moeder te willen. Maandagavond hebben we hem diverse malen aangemoedigd om vooral naar haar toe te gaan. De laatste keer deed ik dat om tien over half zeven toen er echt iemand naar de hond thuis moest gaan. Twintig minuten later belde Mirjam.

Je ouders beginnen tijdens hun leven in je voort te leven. Pa doet dat bij mij nadrukkelijk. Het is daarom volkomen logisch om mezelf bloot te geven en trots te zeggen: “Hallo, ik ben de zoon van mijn vader.”

van hoop en vrees

heeft de hoop het gewonnen,

vrees ik …

Met verdriet in ons hart, maar met groot respect voor de wijze waarop hij steeds uit minder dan niets het maximale wist te halen, gaan wij afscheid nemen van mijn man, onze vader en opa

Abraham de Winter

Frans

Geboren 26 mei 1930 in Enschede

Overleden 20 januari 2009 in Utrecht

]]> http://debeveiligingsupdate.nl/2009/01/21/mijn-vader/feed/ 5 http://debeveiligingsupdate.nl/2009/01/18/de-beveiligingsupdate-22-windows-7-superveilig-ov-chipkaart-open-portemonnee-2/ http://debeveiligingsupdate.nl/2009/01/18/de-beveiligingsupdate-22-windows-7-superveilig-ov-chipkaart-open-portemonnee-2/#comments Sun, 18 Jan 2009 00:10:59 +0000 brenno http://debeveiligingsupdate.nl/?p=135

In deze aflevering veel aandacht voor Microsoft software. Waarom is Windows 7 veilig te noemen? Olivier van Noort van Microsoft weet daar alles van te vertellen en hij loopt de belangrijkste verbeteringen langs. Ook horen we van Joran Polak over de problemen met de worm die nu over internet raast en al tien miljoen machines heeft geïnfecteerd. Updaten dus! Daarnaast was er een update, maar was deze nou wel of niet urgent? Misbruik van het EPD moet gestraft worden, maar hoe zwaar eigenlijk?

Na het nieuws met Joran Polak komt Windows 7 om 11:30, gevolgd door de hoorzitting OV-chipkaart 22:40 in de Tweede Kamer. In de podcast spreken we ook kort over de CVSS (Common Vulnerability Scoring System). Er zijn twee calculators handig eentje voor het lek en eentje voor de patch. Daarmee heeft u zelf een objectieve manier om beveiligingslekken van een rating te voorzien. ]]> http://debeveiligingsupdate.nl/2009/01/18/de-beveiligingsupdate-22-windows-7-superveilig-ov-chipkaart-open-portemonnee-2/feed/ 0 00:01:01 In deze aflevering veel aandacht voor Microsoft software. Waarom is Windows 7 veilig te noemen? Olivier van Noort van Microsoft weet daar alles van te ... In deze aflevering veel aandacht voor Microsoft software. Waarom is Windows 7 veilig te noemen? Olivier van Noort van Microsoft weet daar alles van te vertellen en hij loopt de belangrijkste verbeteringen langs. Ook horen we van Joran Polak over de problemen met de worm die nu over internet raast en al tien miljoen machines heeft geiuml;nfecteerd. Updaten dus! Daarnaast was er een update, maar was deze nou wel of niet urgent? Misbruik van het EPD moet gestraft worden, maar hoe zwaar eigenlijk? Na het nieuws met Joran Polak komt Windows 7 om 11:30, gevolgd door de hoorzitting OV-chipkaart 22:40 in de Tweede Kamer. In de podcast spreken we ook kort over de CVSS (Common Vulnerability Scoring System). Er zijn twee calculators handig eentje voor het lek en eentje voor de patch. Daarmee heeft u zelf een objectieve manier om beveiligingslekken van een rating te voorzien. Podcast Brenno J.S.A.A.F. de Winter, WGASA no No http://debeveiligingsupdate.nl/2009/01/10/de-beveiligingsupdate-21-kleine-zusjes-communiceren-prima/ http://debeveiligingsupdate.nl/2009/01/10/de-beveiligingsupdate-21-kleine-zusjes-communiceren-prima/#comments Sat, 10 Jan 2009 10:16:46 +0000 brenno http://debeveiligingsupdate.nl/?p=130 In deze aflevering hebben we het over een eigen tool: SmallMail van het Small Sister-project, een tool om te mailen op zo’n manier dat het geen sporen op internet achterlaat en heel moeilijk te traceren is. Ook de inhoud is beschermd tegen misbruik. Joran Polak geeft van Security.nl zijn mening. Hij schreef al eerder over het systeem. Ook komt Peter Roozemaal, programmeur, aan het woord over de werking van het systeem.

Maar we hebben het niet alleen over het rommelen met identiteit. Ook staan we stil bij het Tor-project. Andrew Lewman spreekt namelijk over de werking van de techniek, de twijfels en vooral het drie jarenplan, waarmee het team de richting voor de toekomst aangeeft.

Joran van Security.nl spreekt over de opvallende dingen rond kerstmis en beveiliging. Ook vertelt hij over een hardware oplossing dat ervoor zorgt dat al het internetverkeer geanonimiseerd wordt.

In deze special spreken we over de hack met de experts Joran Polak van Security.nl, Professor Bart Jacobs van de Radboud Universiteit in Nijmegen en Ronald Prins van Fox IT. Ook komt het Maarten Hilbrandie van Defensie aan het woord en natuurlijk ook de auteur van het gewraakte artikel Nick Kivits komt aan het woord.

Aan het begin van de podcast praten we kort over de update die Firefox opeens beschikbaar maakte. De ondersteuning voor versie 2 houdt met deze update op.

In het nieuws kan het natuurlijk over niets anders gaan dan het grote lek in Internet Explorer en de problemen bij Apple rond beveiliging. Qua lekken vindt Joran dat laatste bedrijf de absolute lekkenkampioen. Het jaar eindigt met massale bugs en dat betekent patchen voor kerst.

Natuurlijk hebben we ook nieuws, want Microsoft heeft een twijfelachtig record gezet tijdens Patch Tuesday. Ondertussen gaat het niet goed met Firefox en beveiliging en geeft de politie het advies om vooral maar geldautomaten te DoS’sen. Of toch niet.?

Ook praten Joran en ik nog na over de film Privacy Matters en wijzen op het ICT Roddels-interview met de maker. Daarnaast komt de vraag aan bod: is een Mac nog wel gevrijwaard van virussen en zijn Windows-gebruikers wel verantwoord bezig?

De versie voor de iPhone/iPod bleek niet goed te functioneren. Voor eerdere downloaders: mijn excuses.

Wie goed journalistiek onderzoek wil doen, die spreekt met mensen, leest documenten, onderzoekt stellingen en stelt vragen, heel veel vragen. Meestal doe je dat in interviews, maar soms ook door documenten op te eisen die openbaar moeten zijn. Daarvoor hebben we de Wet Openbaarheid van Bestuur (WOB), waarin is geregeld dat iedereen onderbouwing mag vragen. Een onmisbaar hulpmiddel om goed onderzoek te doen.

Feiten uitvlooien

Dit uitpluizen van dossier gebeurt bijvoorbeeld bij de OV-chipkaart, waarin ik al meer dan duizend uur onderzoek heb zitten. Soms heb je WOB’s die spectaculair nieuws brengen, zoals subtiele aanpassingen in rapporten, die een beeld op een zaak ernstig veranderen. Soms verduidelijkt het of vult het gaten in kennis in. En af en toe word je getipt om vragen te stellen, omdat zaken niet in orde zijn.

Dat laatste was het geval toen ik een WOB-verzoek indiende bij de OV-Ambassadeur, Jeltje van Nieuwenhoven, naar aanleiding van een rapport (pdf) dat ze schreef over de OV-chipkaart. Toen dat beschikbaar kwam voelde het al niet goed. Ook viel de weerstand op toen ik voor een artikel vroeg om een toelichting op het rapport. Daarmee leek het verhaal af. Tot ik na een tip een WOB-verzoek indiende om onderbouwing bij slechts één hoofdstuk te krijgen. Meer had ik niet nodig en je wilt niet onnodig belastende verzoeken indienen.
Geen bestuursorgaan

Op zich niets bijzonders zou je denken, want eerder heb ik al onderbouwing bij rapporten gevraagd en kreeg toen zeer uitgebreide informatie. Niet in dit geval, want de beleidsmedewerker mailt terug dat de OV-Ambassadeur geen bestuursorgaan is en geen beleid maakt.

Dat is gek, want het rapport van de OV-Ambassadeur wordt in het parlement op vergelijkbare manier besproken als het rapport van de Royal Holloway University of London naar de beveiliging van de OV-chipkaart. Die gelijke is ook terecht, want mevrouw van Nieuwenhoven is zelf aangesteld door de Minister van Verkeer en Waterstaat op verzoek van de Tweede Kamer.

Daarnaast is het natuurlijk raar dat iemand die geen beleid maakt een beleidsambtenaar in dienst heeft, die eerder datzelfde werk bij het Ministerie van Verkeer en Waterstaat deed. Tijdens haar werk voor mevrouw Van Nieuwenhoven wordt ze zelfs door het personeelsblad van het ministerie geïnterviewd (pdf). Kortom, ik maak bezwaar tegen de beslissing.

Naar de rechter

Natuurlijk wordt ook het bezwaar verworpen, want de OV-Ambassadeur heeft overduidelijk de hakken in het zand staan. Naar de onderbouwing kan ik fluiten, want  ‘vrijwillig’ wordt de informatie niet gegeven. Met zo’n starre houding heb ik de keus tussen me met een kluitje het riet in laten sturen en toch proberen de informatie boven tafel te krijgen. Dus wat een relatief simpel WOB-verzoek was, is nu geëscaleerd tot een rechtszaak.

Met hulp van een jurist leg ik in een beroepsschrift (pdf) aan de rechter uit waarom ik denk dat de OV-Ambassadeur wel als een bestuursorgaan te zien is en dus niet aan publieke verantwoording kan ontkomen. Gisteren heb ik dan ook een stevig pak papier naar de rechtbank in Arnhem gestuurd en nu ik via internet kan zien dat het pakket is afgeleverd, wil ik graag wat duidelijkheid geven over het werk achter sommige artikelen op Webwereld. Soms is het gedoe om dingen helder te krijgen.

Hakken in het zand

Het is niet het enige obstakel nu duidelijk wordt dat Trouw en Webwereld dit dossier tot de bodem uitzoeken. Twee weken geleden moesten Vincent Dekker en ik het Ministerie van Verkeer en Waterstaat na talloze herinneringen dreigen met een kort geding om informatie te krijgen. Er werd gewoon niet gereageerd. Dat hielp, want toen toonde de andere kant zich meewerkend en buigzaam. Eigenlijk ging alles toen snel en prettig.

Maar nu even niet. Toen het bezwaar speelde heb ik nog eens gebeld naar de status en liep het gesprek niet. Overleg was niet mogelijk en dan zijn de opties beperkt. Dan is de vraag natuurlijk of je staat voor je onderzoek en daar serieus geld in wilt steken of niet. Mijn beroepsschrift is het antwoord op die vraag. Wat me vies tegenvalt is dat juist de OV-Ambassadeur die zelf een bemiddelaar is voor OV-bedrijven compromisloos op een rechtszaak afstevent.

Voor het interview voelde ik Paul Overbeek stevig aan de tand hoe je nou als beheerder ITIL in beveiliging kunt passen. Een ingewikkeld verhaal lijkt het, maar dat valt volgens hem best wel mee. Mensen moeten alleen anders leren denken. Wat hem betreft komt er ook een “Raad voor de Systeemveiligheid”. Kortom beheer kan wèl veilig en met ITIL versie 3.

- 1:30 Joran Polak van Security.nl vertelt over de plotsklapse introductie van het Electronisch Patienten Dossier;

- 5:20 Yubico vertelt over hun token dat meerfactor-authenticatie realiseert. Het device is licht, robuust en handig. De onderneming heeft de backend als open-sourcesoftware beschikbaar gemaakt. Voor tien mensen die binnen een week reageren op de post, op het forum bij Security.nl of via de mail is er een kleine loterij om zo’n USB-key te winnen;

- 13:20 Microsoft spreekt over de samenwerking met de politie over de Microsoft Loterij, over Safecode en over de beveiliging van hun besturingssystemen. RedHat, Debian en Apple hebben namelijk fors meer lekken stelt de onderneming;

- 34:00 RedHat reageert op de aantijging van Microsoft en Jan Wildeboer begint met Microsoft gelijk te geven, maar waarom dat is hoort u in de uitzending;

- 38:30 De Waterschappen reageren op de rechtbank over het gevoerde proces en waarom het stemgeheim wel goed geregeld is;

- 43:09 De Stichting Wij Vertrouwen Stemcomputers Niet reageert op de zaak en de verdediging van de waterschappen. Rop Gonggrijp gelooft er geen hout van dat de zaken wel op orde zijn.

Bij 18:00 schakelen we over naar Novell, die vorige week een hele reeks aan oplossingen voor identity management presenteerden en hun visie deelt. Dit soort oplossingen houdt managers uit de gevangenis denkt het bedrijf. Analysten van Burton zijn het daar wel mee eens, maar betwijfelen sterk of bedrijven wel voor totale oplossingen gaan. Zij verwachten meer een combinatie van Best of Breed. Toch is het zeker de moeite waard eens te luisteren naar een gezond verhaal over compliance.

In deze aflevering kijken we eens anders naar beveiliging met ISECOM. We kijken naar een gratis hacker highschool, software die nooit een beveiligingsupdate nodig heeft en security through obscurity die wel zou werken. Het project is een vorm van open content platform en maakt dus de resultaten publiek beschikbaar.

Dat vrije treffen we ook aan bij CACERT dat gratis certificaten voor e-mail en webservers uitgeeft. Iedereen kan er gebruik van maken, zodra ze zich hebben laten identificeren door vrijwilligers van het project. Oorspronkelijk begon het in Australië, maar inmiddels staan de belangrijkste servers in Nederland. Probleemloos is alles nog niet, want webbrowsers erkennen de certificaten nog niet. Gelukkig moeten audits daarin op korte termijn verandering gaan aanbrengen.

Toch is dat niet het enige onderwerp voor de podcast. Ook spreken we over WPA2, waarbij we security.nl vragen of het einde der tijden nu echt nabij is of het allemaal toch wel meevalt. Verder praten we in het nieuws met Joran Polak over het patchen van systemen in het algemeen en Windows en Apple in het bijzonder. Daarnaast is er aandacht voor de uitrijking van de Joop Bautz-award 2008 voor het meest innovatieve beveiligingsonderzoek.

Verder praten we met Joran Polak van Security.nl over Neosploit, een nogal een kwaadaardige tool om systemen te misbruiken. Hij vertelt over de tool en de ernst ervan. Daarna legt Ian Amit van Aladdin uit wat zijn onderneming met de problematiek doet, hoe zij servers achterhalen, hoe ze zelf op de dunne lijn tussen legaliteit en illegaliteit lopen. Zij achterhaalden de gegevens van 200.000 servers wereldwijd, waarbij er ook overheden en multinationals zijn getroffen. Wie wil weten of ze op de lijst staat, kan terecht op hun webpagina waar het bedrijf een tool beschikbaar zal maken om dat te checken.

Outpost24 heeft een bug ontdekt in het TCP/IP-protocol, waarmee het mogelijk is om bijna ieder systeem te verstoren. De onderzoeken kennen geen enkel systeem dat niet gevoelig is voor de Denial-of-Service-mogelijkheid. De aanval is relatief eenvoudig om uit te voeren en heeft soms maar tien IP-pakketten om tot succes te leiden en wordt ontdekt toen ze werkten aan de Unicornscan.

Zij onthullen het verhaal op de T2-conferentie, maar De Beveiligingsupdate heeft alvast de scoop. We spreken met Robert E. Lee, Chief Security Officer van Outpost24 en senior researcher Jack C. Louis over de ins en outs en de mogelijke gevolgen. Al geven ze niet alle technische details vrij toch wordt de problematiek wel helder. Ook leggen ze verantwoording af, waarom een bug die zo fundamenteel en niet oplosbaar is toch in de openbaarheid komt.

In het nieuws met Security.nl spreken we over Click Jacking, een ander type aanval om de controle over een muis over te nemen in een webbrowser. Ook hebben we het over inchecken als Elvis op Schiphol met dank aan het electronisch paspoort.

Maar het hoofdonderwerp is zonder twijfel de Cube-attack van Adi Shamir, waarmee het mogelijk is om verschillende versleutelingsmechanismen te kraken. Welke cryptografische algoritmen hebben nog wel een toekomst, want als onze geheime berichten niet meer veilig zijn wat dan wel? Hoe werkt de aanval nou precies? Bartek Gedrojc van Fox-IT weet daar alles van en legt het ons uit.

Tot slot praten we met professor Rik Kaspersen van de Vrije Universiteit over het kinderpornofilter. Want het blijkt dat de politie helemaal niet bevoegd is om zwarte lijsten te maken om sites te filteren. Ook werd pijnlijk duidelijk dat de maatregel erg ineffectief was en daar is beveiliging niet bij gebaat.

In de eerste beveiligingsupdate staat het kiezen via internet centraal. Waarom gaat dat toch zo mis? Wat is er eigenlijk mis? Rop Gonggrijp van Wij vertrouwen stemcomputers niet en Mark Koek van Fox IT weten het wel, want zij deden er onderzoek naar.

Verder hebben we het in het nieuws van Security.nl over beveiliging in en rond de auto en op uw iPhone, want daar gebeuren gekke dingen die grenzen aan de rand van het illegale. Kunnen we nog ergens autorijden waar onze vingerafdruk niet wordt opgeslagen en niet voor vijf jaar wordt bijgehouden waar we nou precies gereden hebben?

Ook praten we met Ralph Moonen van ITSX, die zelfstandige ondernemers aan de slag wil hebben in de beveiligingsmarkt. Is er voldoende markt voor zo’n specifiek detacheringsburo? Eén CV hebben ze al opgevraagd.