Mensen, wat zijn we in de informatie technologie toch gek op acroniemen. Zo hebben we al weer een tijd het prachtige SIEM, hetgeen staat voor Security Incident and Event Management. Na jaren van al dan niet juist en zinvol implementeren van tal van technische maatregelen om de risico's die we geïdentificeerd hebben met onze digitale informatievoorziening, komt natuurlijk onvermijdelijk de vraag naar boven:"Wat hebben we hier nu mee bereikt, is onze organisatie veiliger geworden?"
Omdat het aan de hand van logfiles uit de firewall, intrusion prevention of andere systemen moeilijk te herleiden valt welke potentiele bedreigingen op de business afgewend zijn, is er een al lange tijd behoefte aan management gereedschap, dat de risico's die de business loopt kan correleren met de informatie uit de diverse beveiligingssystemen en het vigerende informatiebeveiligingsbeleid.
Hoe kun je nu een idee krijgen, of de investering in een dergelijke technologie gerechtvaardigd is.
Enkel aandacht voor de technische aspecten is niet voldoende. Kennis van de werkzaamheden van de organisatie (de "business") is van groot belang. Vraag je af wat ze doen en hoe, waar wordt het geld verdiend?
Op welke systemen draaien de belangrijkste toepassingen, is men zich bewust van fraude gevoeligheid? Natuurlijk zijn dit niet alle relevante vragen, maar het gaat er om dat dergelijke informatie nodig is om de verbanden te leggen die niet slechts bijdragen aan de beveiliging, maar ook waarde creëereen voor de organisatie.
Op basis van deze verbanden is het mogelijk om de informatie te verkrijgen die een aanwijzing geeft of de investering in SIEM te rechtvaardigen is.
Hoeveel security events zijn opgemerkt door de SIEM oplossing en wat zijn de de verliezen die geleden worden als gevolg van het niet of te laat opmerken?
Zal de beschikbaarheid van de informatievoorziening verbeteren?
Welke fraude pogingen worden nu wel gesignaleerd en hoeveel verlies is daarmee voorkomen?
Het lijkt erop, dat hiermee een weerwoord gegeven kan worden aan de dooddoener:"Informatiebeveiliging kost alleen maar geld, je krijgt er niets concreets voor terug", maar het zal tegelijkertijd het ontbreken van beleid en zinloze maatregelen inzichtelijk maken. Het is kortom geen heilige graal, maar een belangrijk instrument om inzicht te verkrijgen in de stand van zaken rondom informatiebeveiliging.
donderdag 14 oktober 2010
donderdag 15 april 2010
Cybercrime does not pay, but...
The article describes how dutch law enforcement succeeded in bringing a cybercriminal to trial where he (B.) is convicted and will have to serve 15 months in jail.
So far, so good. My question in this matter is about the area I highlighted, which states that he could not be convicted for breaking into a website by performing a SQL injection attack, stealing a 1000 creditcard numbers, although he admitted being guilty in court, because the evidence was collected wrongfully and therefore was not admissed.
What went wrong in a succesfull case?
"Bij het verhoor en in de rechtszaal erkende hij schuld, maar de politie heeft het bewijs niet wettig in handen gekregen. Daarom is hij gedeeltelijk vrijgesproken."
- Cybercrimineel krijgt 15 maanden cel | nu.nl/internet | Het laatste nieuws het eerst op nu.nl (bekijken via Google Sidewiki)
vrijdag 9 april 2010
Awareness
As I travelled on the train to Amsterdam this morning I witnessed an interesting telephone conversation. A lady obviously had some issues with her declarations, so she called her office. She identified herself very clearly and asked if the person on the other side could check her email for her. Yes, she gave her password and in the meantime opened her notebook, which was professionally tagged showing the international company she worked for.
After repeating her company creditcard number out loud, bad line I guess, she also spelled out the names and email adresses of her assistant and manager.
So much for information security awareness...
- Posted using BlogPress from my iPhone
After repeating her company creditcard number out loud, bad line I guess, she also spelled out the names and email adresses of her assistant and manager.
So much for information security awareness...
- Posted using BlogPress from my iPhone
dinsdag 2 maart 2010
Warning! Do not press F1!
What is going on? We don't want remote code to be executed on our Windows XP machines, do we? As you can read in the adjoining article, the MSRC Engineering team has been investigating reports of a vulnerability involving the use of VBScript and Windows Help files.
You will find some excellent technical and configuration advice here.
Now my question is: " Is it worth all the hassle?"
How often do we press F1?
Not that often, do we...
"The MSRC Engineering team has been investigating reports of a vulnerability involving the use of VBScript and Windows Help files"
- Security Research & Defense : Help keypress vulnerability in VBScript enabling Remote Code Execution (bekijken via Google Sidewiki)
maandag 22 februari 2010
Toyota recalls are a case for open source code
While I wholeheartedly agree with Farhad Manjoo when he explains why we as drivers are a far bigger risk than Toyota's buggy braking software, I think it is a pity he does not break a lance for open source software.
If Toyota wanted to mend its public image and reputation for quality, it would make its source code available to anyone interested. This audience is far more likely to discover bugs and suggest improvements than an independent engineering firm ever could hope to find, not to mention the ability of government bodies to do so.
In my opinion, this is clearly an area where http://en.wikipedia.org/wiki/
dinsdag 16 februari 2010
Old hacking tricks still do the trick...
Recently Trustwave released it's Global Security Report 2010.
“In 2009, the most notable trend is the continued use of existing attack techniques despite the security industry’s awareness of these vulnerabilities.”
These findings are alarming and at the same time understandable. Let's take the average time between an initial breach and its detection. It was 156 days according to the paper. In some cases, the lapse was close to two years(!). The reason is obvious as we devote our attention to countering the latest vulnerabilities and are focussing on new issues such as social networking and cloud computing, we tend to oversee what is already there. And even if we do, knowledge of heritage systems is often not well documented, or unavailable at all because of restructuring, outsourcing or other cost cutting measures whose unwanted side effects always show up long after the deed was done.
This tells us once more, that we need to assess our complete it infrastructure and it's risks regularly and to remain vigilant. Most important however, information security should be part of basic enterprise policies, which message has to be heard and understood by top executives.
We have moved into an era where information security is key to all business functions, but some of the issues we talked about a dozen years ago we are still talking about today. We need to make our point to those who don’t do this for a living...
“In 2009, the most notable trend is the continued use of existing attack techniques despite the security industry’s awareness of these vulnerabilities.”
These findings are alarming and at the same time understandable. Let's take the average time between an initial breach and its detection. It was 156 days according to the paper. In some cases, the lapse was close to two years(!). The reason is obvious as we devote our attention to countering the latest vulnerabilities and are focussing on new issues such as social networking and cloud computing, we tend to oversee what is already there. And even if we do, knowledge of heritage systems is often not well documented, or unavailable at all because of restructuring, outsourcing or other cost cutting measures whose unwanted side effects always show up long after the deed was done.
This tells us once more, that we need to assess our complete it infrastructure and it's risks regularly and to remain vigilant. Most important however, information security should be part of basic enterprise policies, which message has to be heard and understood by top executives.
We have moved into an era where information security is key to all business functions, but some of the issues we talked about a dozen years ago we are still talking about today. We need to make our point to those who don’t do this for a living...
vrijdag 12 februari 2010
Prijs reis OV belangrijker dan privacy?
Als we de Volkskrant van vandaag volgen, dan is de prijsstijging die de invoering van de OV chipkaart met zich mee brengt van ernstiger aard, dan de bescherming van de privacy van de gebruiker. Voor het geval u net zo verbaasd bent als ik over dit standpunt, haal ik het hier nog maar eens aan ( de cursifering is van mij):
"Ook bleek er aanvankelijk nauwelijks te zijn gedacht aan de bescherming van de privacy.
De vraag is wat er terechtkomt van de belofte dat reizen met de ov-chipkaart gemiddeld niet duurder zal zijn dan met de oude strippenkaart.
Tenzij men reist met een anonieme chipkaart biedt het systeem de mogelijkheid iemands reisgedrag nauwkeurig te volgen. Dat is niet alleen interessant voor marketeers, maar ook voor politie en justitie. De praktijk moet leren wat de waarborgen tegen misbruik waard zijn.
Een serieuzer probleem is dat de reiziger niet overal hetzelfde tarief per kilometer betaalt..."
De prijs van privacy volgens de Volkskrant?
"Ook bleek er aanvankelijk nauwelijks te zijn gedacht aan de bescherming van de privacy.
De vraag is wat er terechtkomt van de belofte dat reizen met de ov-chipkaart gemiddeld niet duurder zal zijn dan met de oude strippenkaart.
Tenzij men reist met een anonieme chipkaart biedt het systeem de mogelijkheid iemands reisgedrag nauwkeurig te volgen. Dat is niet alleen interessant voor marketeers, maar ook voor politie en justitie. De praktijk moet leren wat de waarborgen tegen misbruik waard zijn.
Een serieuzer probleem is dat de reiziger niet overal hetzelfde tarief per kilometer betaalt..."
De prijs van privacy volgens de Volkskrant?
donderdag 11 februari 2010
Hyves (Dutch Post)
"Ben jij ook zo moe?" luidt de vraag van Leon als hij meldt "Weer een bug in de Hyves mailprocedure".
Ach nee, de avond is nog jong, de hele dag is druk geweest in het kader van allerlei bezigheden die werken in de informatiebeveiliging met zich mee brengen. Van lezen, tot telefoneren, administratie, vragen stellen, fouten herstellen en af en toe zelfs even tijd om na te denken. Over de uitleg van Leon over de vorige Hyves glitch, zie "Lek(je) in autorisatiesysteem Hyves".
Wanneer ik de bevestiging van het herstel krijg door een proef op de som door de beschreven actie met mijn eigen Hyves account uit te voeren, neem ik aan dat Hyves adequate actie onderneemt en het geheel van autorisatie systemen en procedures zal controleren. Hyves neemt informatiebeveiliging serieus en kan net als ieder ander een fout maken. De verantwoordelijkheid voor meer dan 9 miljoen profielen is een zware en veelomvattende.
Zat ik er naast?
Ben benieuwd wat Leon heeft aangetroffen.
Update: "Die fout is uit te buiten met eenzelfde aanvalsvector als de eerdere melding http://twitter.com/Leon1969/status/8150060854 #hyves #fail"
Gelukkig reageert @Remco namens Hyves direct.
De verdere uitleg is bij Leon te lezen. Mijn complimenten voor Leon, ook zo kunnen we veiliger en gerust blijven hyven, twitteren of handel drijven op 'the internets'.
Nu hopen dat Hyves de fout er uit haalt en lering uit het gebeurde trekt.
Informatie beveiligen is een proces...
Ach nee, de avond is nog jong, de hele dag is druk geweest in het kader van allerlei bezigheden die werken in de informatiebeveiliging met zich mee brengen. Van lezen, tot telefoneren, administratie, vragen stellen, fouten herstellen en af en toe zelfs even tijd om na te denken. Over de uitleg van Leon over de vorige Hyves glitch, zie "Lek(je) in autorisatiesysteem Hyves".
Wanneer ik de bevestiging van het herstel krijg door een proef op de som door de beschreven actie met mijn eigen Hyves account uit te voeren, neem ik aan dat Hyves adequate actie onderneemt en het geheel van autorisatie systemen en procedures zal controleren. Hyves neemt informatiebeveiliging serieus en kan net als ieder ander een fout maken. De verantwoordelijkheid voor meer dan 9 miljoen profielen is een zware en veelomvattende.
Zat ik er naast?
Ben benieuwd wat Leon heeft aangetroffen.
Update: "Die fout is uit te buiten met eenzelfde aanvalsvector als de eerdere melding http://twitter.com/Leon1969/status/8150060854 #hyves #fail"
Gelukkig reageert @Remco namens Hyves direct.
De verdere uitleg is bij Leon te lezen. Mijn complimenten voor Leon, ook zo kunnen we veiliger en gerust blijven hyven, twitteren of handel drijven op 'the internets'.
Nu hopen dat Hyves de fout er uit haalt en lering uit het gebeurde trekt.
Informatie beveiligen is een proces...
woensdag 10 februari 2010
Identification
Yesterday I spent the evening with an expert vendor of key issuing systems. My head is still spinning with the details of this technology, the embedding in the organisation and it's market.
It helps to clear the mind every now and then by putting things in perspective, this is how sailing ships used for transportation in the early days if the 20th century were identified:
 |
| Van Remco Bakker's blog |
woensdag 3 februari 2010
Phishing attack on Twitter
Yesterday, Twitter asked some users to reset their password as a security measure. Twitter has officially confirmed that it was a security issue and has given us some background information.
Twitter calls it: "Reason #4132 for Changing Your Password."
Twitter discovered a surge of followers to some suspicious accounts, decided to investigate, and discovered that a number of accounts were compromised through an attack involving torrent-related sites and forums.
When you carefully read Twitter's description, you will find some sound advice there:
"The takeaway from this is that people are continuing to use the same email address and password (or a variant) on multiple sites. Through our discussions with affected users, we’ve discovered a high correlation between folks who have used third party forums and download sites and folks who were on our list of possibly affected accounts. While not all users who were sent a password reset request fall into this category, we felt that it was important to put this knowledge out there so that users would know of the possibility of compromise of their data by a third party unrelated to their Twitter account. We strongly suggest that you use different passwords for each service you sign up for"
Indeed, reason #4132.
Twitter calls it: "Reason #4132 for Changing Your Password."
Twitter discovered a surge of followers to some suspicious accounts, decided to investigate, and discovered that a number of accounts were compromised through an attack involving torrent-related sites and forums.
When you carefully read Twitter's description, you will find some sound advice there:
"The takeaway from this is that people are continuing to use the same email address and password (or a variant) on multiple sites. Through our discussions with affected users, we’ve discovered a high correlation between folks who have used third party forums and download sites and folks who were on our list of possibly affected accounts. While not all users who were sent a password reset request fall into this category, we felt that it was important to put this knowledge out there so that users would know of the possibility of compromise of their data by a third party unrelated to their Twitter account. We strongly suggest that you use different passwords for each service you sign up for"
Indeed, reason #4132.
woensdag 27 januari 2010
Cloud computing risk assesment by ENISA
Cloud computing is on many agenda's these days.
For many, there is an obvious business case. It means computing on the demand, has instant availability, requires little or no commitment and minimal investments.
In our security practice, we find that the main concern on cloud computing is security: "How can I know if it’s safe to trust the cloud provider with my data or even my entire business infrastructure?”
It is obvious that many people feel the need for an independent, in-depth look at all the security and privacy issues of moving into the cloud, outlining some of the information security benefits of cloud computing, as well as the key security risks.
Therefore, I was very glad to read the ENISA's (the European Network and Information Security Agency) report on security. If it is on your agenda, read it! The PDF can be downloaded here
The report provides a detailed check-list of criteria which anyone can use to identify the security consciousness of their cloud provider.
The key conclusion of this paper, according to ENISA, is:
"... that the cloud’s economies of scale and flexibility are both a friend and a foe from a security point of view. The massive concentrations of resources and data present a more attractive target to attackers, but cloud-based defences can be more robust, scalable and cost-effective."
In my opinion, this report helps you to make a well informed decision on this issue.
For many, there is an obvious business case. It means computing on the demand, has instant availability, requires little or no commitment and minimal investments.
In our security practice, we find that the main concern on cloud computing is security: "How can I know if it’s safe to trust the cloud provider with my data or even my entire business infrastructure?”
It is obvious that many people feel the need for an independent, in-depth look at all the security and privacy issues of moving into the cloud, outlining some of the information security benefits of cloud computing, as well as the key security risks.
Therefore, I was very glad to read the ENISA's (the European Network and Information Security Agency) report on security. If it is on your agenda, read it! The PDF can be downloaded here
The report provides a detailed check-list of criteria which anyone can use to identify the security consciousness of their cloud provider.
The key conclusion of this paper, according to ENISA, is:
"... that the cloud’s economies of scale and flexibility are both a friend and a foe from a security point of view. The massive concentrations of resources and data present a more attractive target to attackers, but cloud-based defences can be more robust, scalable and cost-effective."
In my opinion, this report helps you to make a well informed decision on this issue.
maandag 25 januari 2010
Lek(je) in autorisatiesysteem Hyves III
Lees net, dat Hyves de bug bevestigd heeft en dat reparatie plaats vindt. Leon69 tweets: "Bug bevestigd, #hyves voert wijzigingen door."
Dat klinkt goed. De nieuwsgierigheid naar de achtergrond blijft, ook om lering uit te trekken.
Wordt vervolgd.
Inmiddels heeft security.nl bericht, dat Hyves een en ander voor a.s. donderdag opgelost zal hebben. "Een goede en snelle reactie", aldus Leon Kuunders. Dan volgt ook nadere toelichting. Vraag me wel af, dit betekent dat kwaadwillenden tot donderdag vrij spel hebben, of is dat weer te zwart gedacht..
In ieder geval: Well done Leon!
- Posted using BlogPress from my iPhone
Dat klinkt goed. De nieuwsgierigheid naar de achtergrond blijft, ook om lering uit te trekken.
Wordt vervolgd.
Inmiddels heeft security.nl bericht, dat Hyves een en ander voor a.s. donderdag opgelost zal hebben. "Een goede en snelle reactie", aldus Leon Kuunders. Dan volgt ook nadere toelichting. Vraag me wel af, dit betekent dat kwaadwillenden tot donderdag vrij spel hebben, of is dat weer te zwart gedacht..
In ieder geval: Well done Leon!
- Posted using BlogPress from my iPhone
zondag 24 januari 2010
Informatiebeveiligingsavond, nu de ANWB?
Heeft de Hyves lek mijn volle aandacht, lees ik deze tweet van Radio 1 verslaggeefster Lara Rensen: "Leg ik voor aan Van Woerkom RT @hansvoss: @Laradio Peiling kan door dezelfde persoon vanaf dezelfde computer meerder keren worden ingvuld."
Ik heb al veel gelezen over de volksraadpleging van en door de ANWB, namens onze Minister. Wat jammer nu, ik heb mijn lidmaatschap al een paar jaar geleden opgezegd en mijn hulp onderweg wordt nu op een andere manier geregeld. Maar betekent dit nu ook, dat ik mijn lidmaatschap van de constitutionele monarchie kan opzeggen?
In ieder geval hebben beide instituten moeite met het fenomeen digitaal stemmen. Nadat eerder door wijvertrouwenstemcomputersniet.nl al de kwetsbaarheden aangetoond werden in de stemcomputers, ziet de ANWB er nu volgens Hans Voss de noodzaak niet van in om het one voice, one vote systeem af te dwingen.
Terwijl het vaststellen van een identiteit ook via internet heus wel kan, of ben ik nu te veel met informatiebeveiligen bezig?
In ieder geval wacht morgen weer een interessante dag.
Update maandagmorgen: Interessant interview met Van Woerkom, maar dit onderwerp komt helaas niet aan bod.
Ik heb al veel gelezen over de volksraadpleging van en door de ANWB, namens onze Minister. Wat jammer nu, ik heb mijn lidmaatschap al een paar jaar geleden opgezegd en mijn hulp onderweg wordt nu op een andere manier geregeld. Maar betekent dit nu ook, dat ik mijn lidmaatschap van de constitutionele monarchie kan opzeggen?
In ieder geval hebben beide instituten moeite met het fenomeen digitaal stemmen. Nadat eerder door wijvertrouwenstemcomputersniet.nl al de kwetsbaarheden aangetoond werden in de stemcomputers, ziet de ANWB er nu volgens Hans Voss de noodzaak niet van in om het one voice, one vote systeem af te dwingen.
Terwijl het vaststellen van een identiteit ook via internet heus wel kan, of ben ik nu te veel met informatiebeveiligen bezig?
In ieder geval wacht morgen weer een interessante dag.
Update maandagmorgen: Interessant interview met Van Woerkom, maar dit onderwerp komt helaas niet aan bod.
Lek in Hyves autorisatiesysteem gemeld II
Nu www.hyves.nl even kijken. Door naar het nieuws. Nee, nog niets. Vreemd, Leon69 is een ITsecurity expert. Wat betekent dit? Leon69 heeft dit vast en zeker voorgelegd aan Hyves. Ben benieuwd hoe lang dat geleden is. Zijn melding niet serieus genomen? Niet te verfieeren? Dat lijkt me stug. Een man gooit zijn reputatie niet te grabbel door ongefundeerde kritiek op Hyves. Zijn motto daar luidt: "what you read is stripped from context. that is key." Iemand die zich zeer bewust is van die context!
Ik ben benieuwd naar de volgende reactie...
Die, as we write, luidt: Kom op Leon, show us ;) ben benieuwd of dit nu letterlijk opgevat moet worden aan Leon69 om het Hyves account van tweep domenico
De volgende die ik bekijk is de site van webwereld, vaak de bron van nieuws over incidenten, privacy, bugs, patches, goed en goed geinformeerd. Nee, nog niets. Het is inmiddels bijna half 8. Zou Leon69 tot nu toe de enige zijn? Of niet, in that case..
Wat wordt de volgende website? Security.nl maar. Nee, nog niets. Tijd om een interessant verhaal te lezen over "Privacyfundamentalisten". Er gebeurt nu toch niets..
Om 20.35 opnieuw een retweet. Ben benieuwd hoe dit gaat lopen.
De oorzaak...
Dat zou ik ook graag weten. Zit het in de software? Worden er typische web applicatie exploit misbruikt? Hapert er een systeem waardoor updates niet uitgevoerd worden, of zit er iets mis in de organisatie? Het zal vast goed te verklaren zijn, maar alles wat ik daar over zeg is pure speculatie.
Intussen vraag ik me af, hoe dit verder zal lopen.
Ik ben benieuwd naar de volgende reactie...
Die, as we write, luidt: Kom op Leon, show us ;) ben benieuwd of dit nu letterlijk opgevat moet worden aan Leon69 om het Hyves account van tweep domenico
De volgende die ik bekijk is de site van webwereld, vaak de bron van nieuws over incidenten, privacy, bugs, patches, goed en goed geinformeerd. Nee, nog niets. Het is inmiddels bijna half 8. Zou Leon69 tot nu toe de enige zijn? Of niet, in that case..
Wat wordt de volgende website? Security.nl maar. Nee, nog niets. Tijd om een interessant verhaal te lezen over "Privacyfundamentalisten". Er gebeurt nu toch niets..
Om 20.35 opnieuw een retweet. Ben benieuwd hoe dit gaat lopen.
De oorzaak...
Dat zou ik ook graag weten. Zit het in de software? Worden er typische web applicatie exploit misbruikt? Hapert er een systeem waardoor updates niet uitgevoerd worden, of zit er iets mis in de organisatie? Het zal vast goed te verklaren zijn, maar alles wat ik daar over zeg is pure speculatie.
Intussen vraag ik me af, hoe dit verder zal lopen.
Lek in Hyves autorisatiesysteem gemeld
"Leon1969: Ik vind zojuist een lek in het #Hyves autorisatiesysteem waardoor toegang tot profielen kan worden verkregen #fail. Morgen in het nieuws."
Original Tweet: http://twitter.com/Leon1969/statuses/8150060854
Terwijl ik een kop koffie drink, genietend van een kop koffie als onderbreking van een bezoek aan een tentoonstelling van een Franse kunstenares, Sophie Calle, even twitter/mail/facebook kijken en bovenstaande tweet komt op mijn scherm.
In plaats van een beschouwend stuk schrijven, nu eens bijhouden wat er gebeurt. Een kwartier later, om 10 over drie komt de eerste reactie. Leuk, iemand die eerder al met Leon69 twitterde over identity en prviacybescherming. Alert.
Dan denk ik aan mijn eigen Hyves account. Ben benieuwd hoe snel Hyves het nieuws oppikt en in actie komt. Als het nieuws morgen pas 'breekt", volgen die dan #Hyves en bijvoorbeeld #Hack ?
Of ben ik daarvoor te lang in de itsecurity bezig, paranoia slaapt nooit ;-).
Om iets voor half zes ziet een oud consultant van irC2 het nieuws en retweet het.
Nu, om iets voor zes ziet iemand die ik niet ken het. Zal het dan een Hyves man/vrouw zijn? Snel profiel checken, nee hoor.
3 minuten na zes schrijft Leon1969: " De power van Twitter aan het werk. Benieuwd naar de dag van morgen. #whatthehack"
Original Tweet: http://twitter.com/Leon1969/statuses/8150060854
Terwijl ik een kop koffie drink, genietend van een kop koffie als onderbreking van een bezoek aan een tentoonstelling van een Franse kunstenares, Sophie Calle, even twitter/mail/facebook kijken en bovenstaande tweet komt op mijn scherm.
In plaats van een beschouwend stuk schrijven, nu eens bijhouden wat er gebeurt. Een kwartier later, om 10 over drie komt de eerste reactie. Leuk, iemand die eerder al met Leon69 twitterde over identity en prviacybescherming. Alert.
Dan denk ik aan mijn eigen Hyves account. Ben benieuwd hoe snel Hyves het nieuws oppikt en in actie komt. Als het nieuws morgen pas 'breekt", volgen die dan #Hyves en bijvoorbeeld #Hack ?
Of ben ik daarvoor te lang in de itsecurity bezig, paranoia slaapt nooit ;-).
Om iets voor half zes ziet een oud consultant van irC2 het nieuws en retweet het.
Nu, om iets voor zes ziet iemand die ik niet ken het. Zal het dan een Hyves man/vrouw zijn? Snel profiel checken, nee hoor.
3 minuten na zes schrijft Leon1969: " De power van Twitter aan het werk. Benieuwd naar de dag van morgen. #whatthehack"
donderdag 21 januari 2010
"Microsoft Security Bulletin Advance Notification for January 2010"
Early tuesday morning I wrote about the high probability of Microsoft issuing an "out of band security update for amongst others Internet Explorer 6.0.
Microsoft just published a "Security Bulletin Advance Notification for January 2010" stating that we can expect the availability today, january 21st 2010.
The year is only 3 weeks gone and we already have to deal again with serious issues, inflicting core business of many organizations. I realized this once more, when I read on the website of a huge Telecom provider: "This site is optimized for Internet Explorer 6.0" Go figure the implications..
Microsoft just published a "Security Bulletin Advance Notification for January 2010" stating that we can expect the availability today, january 21st 2010.
The year is only 3 weeks gone and we already have to deal again with serious issues, inflicting core business of many organizations. I realized this once more, when I read on the website of a huge Telecom provider: "This site is optimized for Internet Explorer 6.0" Go figure the implications..
woensdag 20 januari 2010
Probable out of band security update by Microsoft.
Last night Microsoft informed the world , that we can expect an out of band security update. It is concerning the following products: Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4, and Internet Explorer 6, Internet Explorer 7 and Internet Explorer 8 on supported editions of Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2.
Although this will disrupt common update procedures, we should all pay attention to this update. It shows that Microsoft is again willing to react swiftly to serious issues and for those with a history in it security like us, that really still is note worthy. It tells us that dealing with security issues can be done openly and according to a well defined process. Furthermore we should pay attention, as there will be cases in the not so near future, where we will hear about breaches because of unpatched systems.
History tells us, how bad inventory and patch management still are among of the weak spots in information security. Gentlemen, start your engines!
Although this will disrupt common update procedures, we should all pay attention to this update. It shows that Microsoft is again willing to react swiftly to serious issues and for those with a history in it security like us, that really still is note worthy. It tells us that dealing with security issues can be done openly and according to a well defined process. Furthermore we should pay attention, as there will be cases in the not so near future, where we will hear about breaches because of unpatched systems.
History tells us, how bad inventory and patch management still are among of the weak spots in information security. Gentlemen, start your engines!
dinsdag 19 januari 2010
Google hack II, some of the consequences.
Did you already get rid of your Explorer 6 and 7 ?
Seems to me, that this is one of the most visible consequences for the IT community. Read Microsoft's advice: "That is why we continue to recommend that customers using IE 6 or IE 7, upgrade to IE 8 as soon as possible to benefit from the improved security protections it offers."
But this advisory is not what fascinates me most. Consider this:
Google’s customers don’t seem to be fleeing.
Google stock fell approximately 4% on the news they were hacked, while the market was down 2%. How that combines with threatening to pull out of the largest market on Earth, I fail to understand.
No one I know of in Google infosec has lost their job, though there are rumours about cooperation of employees.
Google didn’t go under because of the security issue, where as a matter of fact Google is getting all sorts of props for how they handle communication around this matter.
Something for the "don't tell we have a problem" fans to ponder.
Update !: China feels it is the biggest victim, article in Techworld
Update january 20th: Excellent article in Arstechnica, with broad coverage.
Clear statement by Bruce Schneier: "Us enables Chinese hacking of Google" on CNN Opinion
Seems to me, that this is one of the most visible consequences for the IT community. Read Microsoft's advice: "That is why we continue to recommend that customers using IE 6 or IE 7, upgrade to IE 8 as soon as possible to benefit from the improved security protections it offers."
But this advisory is not what fascinates me most. Consider this:
Google’s customers don’t seem to be fleeing.
Google stock fell approximately 4% on the news they were hacked, while the market was down 2%. How that combines with threatening to pull out of the largest market on Earth, I fail to understand.
No one I know of in Google infosec has lost their job, though there are rumours about cooperation of employees.
Google didn’t go under because of the security issue, where as a matter of fact Google is getting all sorts of props for how they handle communication around this matter.
Something for the "don't tell we have a problem" fans to ponder.
Update !: China feels it is the biggest victim, article in Techworld
Update january 20th: Excellent article in Arstechnica, with broad coverage.
Clear statement by Bruce Schneier: "Us enables Chinese hacking of Google" on CNN Opinion
donderdag 14 januari 2010
google hack - Google News- China
google hack - Google News
Posted using ShareThis
Hmm, only 700 or so hits.
Of course, I am in security, not in Google search terms but could this mean that Google's issue with China isn't as much perceived as a security issue, but more of an human rights and business one?
Do I worry about my data in the cloud?
Have been using Gmail for a pretty long time, and over time most services found their way into work at Cqure en irC2. So is my data under threat now? Well it has been proven once again, that not one thing that's been made by man, can be broken by man. What else is new. It shows the value of the information to this particular thief. If the loot you are after is worth a lot, you will invest a lot of time,energy, talent and money (and it is all there) to get it. (remember the one digging underneath bank building in order to hit the safes from below?). And who has all this?
The question to me.
Is there someone out there, who has the same amount of money, talent, energy to break the same protection, which, in the continous armsrace will be strengthened, and so on and on, willing to direct that effort at you? I my case, I don't think so.
And I think, that this will be the case for many, many users. But it never hurts, to step out for just a moment, and reconsider how your information is secured. And answer the question if your information is safe in the cloud.
Pick your enemy with care.
Posted using ShareThis
Hmm, only 700 or so hits.
Of course, I am in security, not in Google search terms but could this mean that Google's issue with China isn't as much perceived as a security issue, but more of an human rights and business one?
Do I worry about my data in the cloud?
Have been using Gmail for a pretty long time, and over time most services found their way into work at Cqure en irC2. So is my data under threat now? Well it has been proven once again, that not one thing that's been made by man, can be broken by man. What else is new. It shows the value of the information to this particular thief. If the loot you are after is worth a lot, you will invest a lot of time,energy, talent and money (and it is all there) to get it. (remember the one digging underneath bank building in order to hit the safes from below?). And who has all this?
The question to me.
Is there someone out there, who has the same amount of money, talent, energy to break the same protection, which, in the continous armsrace will be strengthened, and so on and on, willing to direct that effort at you? I my case, I don't think so.
And I think, that this will be the case for many, many users. But it never hurts, to step out for just a moment, and reconsider how your information is secured. And answer the question if your information is safe in the cloud.
Pick your enemy with care.
maandag 11 januari 2010
Wens voor 2010
Goed, om u de beste wensen voor dit jaar aan te bieden is wel wat laat, hoewel ik de datum van vandaag (110110) mooi genoeg vind om daar een uitzondering voor te maken.
Uitzonderingen, die maken gebruikers ook vaak. Op uw informatiebeveiligingsbeleid. Een van mijn wensen voor 2010 is dan ook, dat er toch weer een verhoging van het beveilingsbewustzijn op de werkvloer komt.
De gebruiker is en blijft namelijk nog altijd de zwakste schakel. En rekent u er op, dat de informatiedief dit ook weet en daar gebruik van maakt. Het is de weg van de minste weerstand.
Of heeft u de Post-it notes met passwords al uitgebannen, deelt niemand zijn toegang met een andere gebruiker meer en weet u zeker, dat er geen usb sticks met uw kostbare bedrijfsinformatie de deur uit gaan?
Ook whiteboards staan nog vaak vol met vertrouwelijke informatie, op en bij printers is het ook vaak raak en als de informatie daar niet ligt, dan toch wel open en bloot op het buro.
En bedenk, niet alle problemen komen van buiten, maar van binnen uit de organisatie. Reden te over, om ook in het nieuwe jaar met volle overtuiging op de beveiliging van uw kostbare informatie in te zetten!
Uitzonderingen, die maken gebruikers ook vaak. Op uw informatiebeveiligingsbeleid. Een van mijn wensen voor 2010 is dan ook, dat er toch weer een verhoging van het beveilingsbewustzijn op de werkvloer komt.
De gebruiker is en blijft namelijk nog altijd de zwakste schakel. En rekent u er op, dat de informatiedief dit ook weet en daar gebruik van maakt. Het is de weg van de minste weerstand.
Of heeft u de Post-it notes met passwords al uitgebannen, deelt niemand zijn toegang met een andere gebruiker meer en weet u zeker, dat er geen usb sticks met uw kostbare bedrijfsinformatie de deur uit gaan?
Ook whiteboards staan nog vaak vol met vertrouwelijke informatie, op en bij printers is het ook vaak raak en als de informatie daar niet ligt, dan toch wel open en bloot op het buro.
En bedenk, niet alle problemen komen van buiten, maar van binnen uit de organisatie. Reden te over, om ook in het nieuwe jaar met volle overtuiging op de beveiliging van uw kostbare informatie in te zetten!
Abonneren op:
Posts (Atom)
