Jul
28
2010
In deze aflevering spreken we over de grote problemen rond Windows. Het .LNK-lek is een compleet nieuwe aanvalsvector en dat gaat tot grote problemen leiden. Er is de verwachting dat er een uitbraak van nieuwe aanvallen zal losbarsten. Ondertussen denkt Microsoft vooral aan uw wachtwoord en wil het bedrijf voorkomen dat uw geheime phrase al bestaat. Adobe pakt de beveiligingsproblemen ‘grondiger’ aan.
Ook spreken we met Verizon Business. Het bedrijf bracht het jaarlijkse trendrapport uit en kreeg dit keer data van de Secret Service. Wordt de wereld veilig, neemt het aantal incidenten af? We vragen het de onderneming. Ook staan we aan het begin even stil bij de rechtszaak, die ik voer tegen de VNG, want de zitting komt eraan!
Jun
15
2010
In deze aflevering spreekt Joran met John Scarrow, General Manager, Anti-Spam and Anti-Phishing Strategy Team over IE6, het beleid van Microsoft rond malware en het belang ervan.
Jun
13
2010
Google onthult lekken van Microsoft, Microsoft wijst op lekken in Google software, Google helpt Adobe met het vinden van zwakheden, Apple ontdekt weer zwakheden in Google’s Chrome en zo gaat het maar door. Wat opvalt is dat Google wel dubbele standaarden hanteert, want bij Adobe hanteren ze responsible disclosure en bij Microsoft niet. Een door Google gemaakte patch voor een probleem in Windows blijkt weer niet te werken. Het is een puinhoop. Ondertussen kan het succes van de OV-chipkaart niet op, want de ABNAMRO komt met een betaalpasje dat namelijk ook contactloos werkt. De bank vergelijkt dit ook met de OV-chipkaart.
114.000 iPad klanten zijn gedupeerd door knullige beveiliging van AT&T en hun e-mailadressen zijn uitgelekt. Zo zijn topbestuurders, militaire officials, TV-presentators opeens wel erg goed met hun e-mailadres te vinden. Kansrijk voor een gerichte aanval. De FBI onderzoekt de hackers en niet de slechte ontwikkelaars, maar uiteindelijk is de verwachting dat er geen aanklachten zullen volgen. Maar stel dat een veroordeling was gevolgd voor de ‘hackers’ mag je ze dan nog in dienst nemen? Een lastig ethische vraag, want als het antwoord nee wat zouden ze dan met hun gaven gaan doen? En wat is een hacker eigenlijk? Is de minister van Justitie in Nederland zelf niet een beetje te stout geweest? De vraag is moeilijk te beantwoorden, want documenten worden maar niet vrijgegeven en nu is het verworden tot een rechtszaak.
En natuurlijk in deze aflevering: een wedstrijd om een gratis kaartje te krijgen voor Hack in the Box, de beveiligingsconferentie en training. We spreken met de organisator en hij vertelt wat er voor briljante lezingen volgen. U mag 3 x raden waar u De Beveiligingsupdate op 1 en 2 juli gaat aantreffen.
Tags: ABNAMRO, Adobe, Apple, AT&T, Bruce Schneier, Chrome, Google, Hack in the Box, IOKit, iPad, Mac OS X, Microsoft, OV-chipkaart, Windows 7
Podcast | brenno | 
Comments (0)
Jun
05
2010
Joran vertelt hij ziet dat Microsoft pioniert op het gebied van beveiliging, waarbij de industrie verder alleen maar volgt. Ondertussen heeft Google het plan opgevat om Microsoft-software te dumpen, omdat het onveilig zou zijn. Joran Polak wijst erop dat dit een PR-stunt is, omdat de aanvallen waar het bedrijf bang voor is juist heel gericht zijn.
De Eerste Kamer trapt fors op de rem bij het Elektronisch Patiëntendossier. Momenteel staat het wetsvoorstel in de ijskast, totdat er meer vertrouwen is en het beter is geregeld rond beveiliging en privacy. “Het komt erop neer dat de Eerste Kamer zich gewoon gepasseerd voelt”, concludeert Joran.
ISOC in België roept de nieuwe Belgische regering op om betere privacyregelgeving aan te nemen. Ook moeten klokkenluiders en beveiligingsonderzoekers betere bescherming krijgen, want nu is het melden van een lek een ticket richting rechtbank. Die praktijk moet stoppen. Deze week is de OV-chipkaart in de plaats gekomen van de strippenkaart. De conclusie wordt dat het wel heel lastig is om echt anoniem te reizen. Eerder concludeerde wetenschapper Wouter Teepe dit ook al in een artikel (pdf).
May
30
2010
In deze aflevering spreken we met de goeroe op het gebied van beveiliging: Bruce Schneier. Hij spreekt over Cryptography Engineering, het boek waar hij aan meeschreef. Het is voor het eerst sinds tijden weer een technisch boek hoe cryptografie toe te passen is. Hij ziet de jaren ’90 van de vorige eeuw als een periode van testen. Nu is het zaak echt te implementeren en dat zo simpel mogelijk te maken. Want als het niet eenvoudig is, zullen mensen het niet gebruiken. Dat er ook onveilige crypto is, zoals met de Mifare Classic-chip, hoeft geen reden te zijn om het niet te implementeren. Soms kan het goedkoper toch onveilige systemen te introduceren.
Wat hem betreft is het incident op de dam vooral te wijten aan het roepen van “Bom!”. In een tijd van terreur is dat genoeg om massa’s in paniek te laten raken. Wat hem betreft is consumentenapparatuur net zo gevaarlijk als terreur. In de VS zijn de aantal doden van beide risico’s ongeveer even groot. Dat er massaal mensen in de gaten worden gehouden, zoals bijvoorbeeld met de OV-chipkaart, is onveilig en slecht voor de maatschappij. Hij noemt privacy een zaak van menselijke waardigheid. Mensen worden niet gelukkiger van alles omvattende beveiliging. Kortom: Bruce Schneier gaat op herkenbare in op de moderne problemen.
Apr
30
2010
In deze aflevering van de Beveiligingsupdate lopen Joran en Brenno over Schiphol na te praten over een persconferentie van Microsoft. Het bedrijf heeft een half jaarlijks onderzoek gepresenteerd en kijkt in het bijzonder naar Nederland. Daarnaast wordt nagesproken over het verhaal van Ronald Prins, want als het aan hem ligt gaan webcommando’s buitenlandse aanvallen stoppen met tegen aanvallen alsof het een gewone oorlog is. Natuurlijk is er ook aandacht voor de ellende van de anti-virusupdate van McAfee. Ook staan we stil bij het tragisch overlijden van Aaron Boudewijn.
Ook spreken we over de OV-chipkaart en het forensisch onderzoek dat daar nodig is. In 2000 werd 1,3 miljard gegeven aan NS en ProRail. Na een verhitte straat zijn er cijfers geopenbaard. Maar … wat weten we nu eigenlijk. Tijd om zelf de speurneus uit te hangen en de documenten aan een grondige inspectie te onderwerpen.
Feb
19
2010
Deze week lopen Joran en Brenno het beveiligingsnieuws door met de blik op positivisme. We testen of het mogelijk is om al het nieuws door een roze bril te kijken. Hoe kunnen we positief benaderen dat het Ministerie van Volksgezondheid heimelijk gesprekken opneemt als datzelfde departement ook belooft goed met de privacy van het Elektronisch Patiënten Dossier (EPD)? Hoe goed is het als justitie probeert te achterhalen wie er allemaal in Culemborg in de krant leest. American Express blijkt de accounts heel toegankelijk te maken door te lange wachtwoorden met teveel complexiteit te verbieden. Adobe, Microsoft, Google passeren nu ook de revu. Oh ja en dan is er ook nog een hackende wielrenner.
Oct
24
2009
Het is feest voor De Beveiligingsupdate, want we zijn toe aan de vijftigste aflevering. Dat is een mooi moment om meteen stil te staan bij Windows 7. Ruud de Jonge van Microsoft noemt het veiligste besturingssysteem dat nu in de markt is. Er zijn veel technologieën toegevoegd, DEP staat standaard aan en de manier waarop rechten rond gebruikers werken zijn anders. Niet waar het is niet veilig. Althans dat stelt Jan van Haver van G-Data. Zij stellen op basis van eigen onderzoek dat er nog wel hiaten in het systeem zitten. Gelukkig heeft dat bedrijf natuurlijk zelf de oplossing in huis en gaat van Haver zelf wel over op het nieuwe besturingssysteem. Terechte kritiek of een reclamestunt?
Voor Truecrypt was het een reden om een nieuwe versie uit te brengen. Vanaf nu is er zowel ondersteuning voor Windows 7 als Apple’s Snow Leopard. Joran vertelt dat het niet hebben van een virusscanner soms een boete van $100.000 kan opleveren, terwijl links en recht data blijft worden gelekt. Een monsterdatabase van alle Nederlandse burgers mag er van het CBP niet komen, maar of onze regering zich daaraan stoort. Het geesteskindje van onder andere Dirk Scheringa moet blijven bestaan. Natuurlijk ook veel ander nieuws en we spreken over de ideeën die Eugene Kaspersky heeft rond het internet. Is het einde der tijden voor een vrij internet daar? Kortom een dubbeldikke feestelijke aflevering van De Beveiligingsupdate.
Jun
02
2009
Deze week hebben we aandacht voor de Software Security Lifecycle (SDL) van Microsoft. De marktleider zegt de kennis graag te delen met de ontwikkelaars, omdat slechte software afstraalt op het hele platform. Maar helpen de tools van het bedrijf? Maken die de software nou echt veiliger? Natuurlijk roept de softwareleverancier van wel en zegt het gratis zijn van de programmatuur niets over de kwaliteit.
Mar
27
2009
In deze aflevering hebben we het over privacy en Microsoft. Brandon Lynch, director of privacy strategy, maakt zich daarbij niet alleen druk over de relatie tussen gebruiker en de producten. Misschien wel minstens zo belangrijk is de energie die het bedrijf steekt in het op de kaart krijgen van het onderwerp bij de Europese Unie. Een opmerkelijk verhaal, omdat Europa doorgaans toch strengere regelgeving heeft dan de VS.
In Nederland is het Joran die goed nieuws brengt. Firefox en IE8 bleken toch niet zo lek te zijn als werd gevreesd, een cracker is veroordeeld tot een taakstraf waarbij de vraag is of dat wel streng genoeg is. Het is weer tijd voor paniek, omdat er een virus voor de BIOS op de markt is. Een herinstallatie heeft geen zin. Kortom genoeg om naar te luisteren.
Mar
18
2009
Deze week praten Joran en ik na over het verhaal van de servers van grote bedrijven die wel erg toegankelijk zijn in een gedeeld datacenter. Dat kan en moet natuurlijk beter. Ook hebben we het over de problemen rond Microsoft’s laatste patch, de problemen met de nieuwe privacybenadering van Google. Maar het echte gesprek is natuurlijk met Dan Kaminsky die spreekt over het nog steeds niet in orde zijn van de patches van de DNS-systemen. Ook kijkt hij bij Microsoft in de code mee om fouten te ontdekken en andere onderzoekers buiten het bedrijf voor te zijn. Kortom een overvolle, boeiende aflevering.
Mar
10
2009
Deze week is het tijd om weer Windows-updates te laten. Hoe verloopt dat proces? Waarom duurt het soms zo lang, voordat er een oplossing voor onze problemen komt. In deze aflevering spreken we met Mike Reavey en Sarah Blankinship van het Microsoft Security Response Center ofwel de club die 100.000 beveiligingsmeldingen per jaar doorploetert. Dit team maakt patches. Ze vertellen open over de gang van zaken, de problemen bij een noodpatch of hoe Microsoft soms zelf misbruik detecteert en dan een update maakt. Zo’n “out-of-band-patch” heeft nogal wat voeten in aarde. Het bedrijf heeft veel geleerd door de jaren heen en biedt die kennis nu ook aan collegabedrijven aan. Apple luistert naar hun advies, stellen ze.
Ondertussen is Joran stout en koopt harde schijven op marktplaats. Wat daar soms nog op te vinden is geeft zelfs hem rode oortjes: bedreigingen, belastingaangiften en wat dies meer zij. Kortom hij heeft nog wel de nodige waarschuwingen. Er is het nodige advies om het beter te doen en daarom heeft Security.nl zelfs een video bij het artikel.
Feb
27
2009
Vorig jaar was er paniek in de hut bij Microsoft toen er opeens een probleem was dat werd misbruikt, maar nog niet bij het bedrijf bekend was. In de haast werd er een team samengesteld om een patch te maken die bekend zou komen te staan MS08-067. Hoe pak je dat probleem aan en hoe kom je versneld tot een patch, die betrouwbaar is en ook nog eens goed gecommuniceerd wordt? Jeff Williams werkt bij Microsoft als de Principal Group Program Manager Microsoft Malware Protection Center en stond voor die vraag. Eindelijk biecht hij alles op aan “De Beveiligingsupdate” en vertelt ook hoe het toch kon gebeuren dat er een reeks aan malware (Win32/Conficker) gelanceerd.
Ondertussen krijgt Microsoft wierook van Joran voor de manier waarop zij met fouten omgaan. Dat geldt niet zozeer voor Adobe, waar hij toch eigenlijk wel klaar mee is. Nietszeggende beveiligingsbulletins zijn niet meer van deze tijd. Dat moet echt beter. Ook voor de uitlevering van de NASA-hacker heeft hij geen goed woord over.
