Cloud computing is on many agenda's these days.
For many, there is an obvious business case. It means computing on the demand, has instant availability, requires little or no commitment and minimal investments.
In our security practice, we find that the main concern on cloud computing is security: "How can I know if it’s safe to trust the cloud provider with my data or even my entire business infrastructure?”
It is obvious that many people feel the need for an independent, in-depth look at all the security and privacy issues of moving into the cloud, outlining some of the information security benefits of cloud computing, as well as the key security risks.
Therefore, I was very glad to read the ENISA's (the European Network and Information Security Agency) report on security. If it is on your agenda, read it! The PDF can be downloaded here
The report provides a detailed check-list of criteria which anyone can use to identify the security consciousness of their cloud provider.
The key conclusion of this paper, according to ENISA, is:
"... that the cloud’s economies of scale and flexibility are both a friend and a foe from a security point of view. The massive concentrations of resources and data present a more attractive target to attackers, but cloud-based defences can be more robust, scalable and cost-effective."
In my opinion, this report helps you to make a well informed decision on this issue.
woensdag 27 januari 2010
maandag 25 januari 2010
Lek(je) in autorisatiesysteem Hyves III
Lees net, dat Hyves de bug bevestigd heeft en dat reparatie plaats vindt. Leon69 tweets: "Bug bevestigd, #hyves voert wijzigingen door."
Dat klinkt goed. De nieuwsgierigheid naar de achtergrond blijft, ook om lering uit te trekken.
Wordt vervolgd.
Inmiddels heeft security.nl bericht, dat Hyves een en ander voor a.s. donderdag opgelost zal hebben. "Een goede en snelle reactie", aldus Leon Kuunders. Dan volgt ook nadere toelichting. Vraag me wel af, dit betekent dat kwaadwillenden tot donderdag vrij spel hebben, of is dat weer te zwart gedacht..
In ieder geval: Well done Leon!
- Posted using BlogPress from my iPhone
Dat klinkt goed. De nieuwsgierigheid naar de achtergrond blijft, ook om lering uit te trekken.
Wordt vervolgd.
Inmiddels heeft security.nl bericht, dat Hyves een en ander voor a.s. donderdag opgelost zal hebben. "Een goede en snelle reactie", aldus Leon Kuunders. Dan volgt ook nadere toelichting. Vraag me wel af, dit betekent dat kwaadwillenden tot donderdag vrij spel hebben, of is dat weer te zwart gedacht..
In ieder geval: Well done Leon!
- Posted using BlogPress from my iPhone
Labels:
autorisatie,
hyves,
patchen,
vulnerabilities
zondag 24 januari 2010
Informatiebeveiligingsavond, nu de ANWB?
Heeft de Hyves lek mijn volle aandacht, lees ik deze tweet van Radio 1 verslaggeefster Lara Rensen: "Leg ik voor aan Van Woerkom RT @hansvoss: @Laradio Peiling kan door dezelfde persoon vanaf dezelfde computer meerder keren worden ingvuld."
Ik heb al veel gelezen over de volksraadpleging van en door de ANWB, namens onze Minister. Wat jammer nu, ik heb mijn lidmaatschap al een paar jaar geleden opgezegd en mijn hulp onderweg wordt nu op een andere manier geregeld. Maar betekent dit nu ook, dat ik mijn lidmaatschap van de constitutionele monarchie kan opzeggen?
In ieder geval hebben beide instituten moeite met het fenomeen digitaal stemmen. Nadat eerder door wijvertrouwenstemcomputersniet.nl al de kwetsbaarheden aangetoond werden in de stemcomputers, ziet de ANWB er nu volgens Hans Voss de noodzaak niet van in om het one voice, one vote systeem af te dwingen.
Terwijl het vaststellen van een identiteit ook via internet heus wel kan, of ben ik nu te veel met informatiebeveiligen bezig?
In ieder geval wacht morgen weer een interessante dag.
Update maandagmorgen: Interessant interview met Van Woerkom, maar dit onderwerp komt helaas niet aan bod.
Ik heb al veel gelezen over de volksraadpleging van en door de ANWB, namens onze Minister. Wat jammer nu, ik heb mijn lidmaatschap al een paar jaar geleden opgezegd en mijn hulp onderweg wordt nu op een andere manier geregeld. Maar betekent dit nu ook, dat ik mijn lidmaatschap van de constitutionele monarchie kan opzeggen?
In ieder geval hebben beide instituten moeite met het fenomeen digitaal stemmen. Nadat eerder door wijvertrouwenstemcomputersniet.nl al de kwetsbaarheden aangetoond werden in de stemcomputers, ziet de ANWB er nu volgens Hans Voss de noodzaak niet van in om het one voice, one vote systeem af te dwingen.
Terwijl het vaststellen van een identiteit ook via internet heus wel kan, of ben ik nu te veel met informatiebeveiligen bezig?
In ieder geval wacht morgen weer een interessante dag.
Update maandagmorgen: Interessant interview met Van Woerkom, maar dit onderwerp komt helaas niet aan bod.
Lek in Hyves autorisatiesysteem gemeld II
Nu www.hyves.nl even kijken. Door naar het nieuws. Nee, nog niets. Vreemd, Leon69 is een ITsecurity expert. Wat betekent dit? Leon69 heeft dit vast en zeker voorgelegd aan Hyves. Ben benieuwd hoe lang dat geleden is. Zijn melding niet serieus genomen? Niet te verfieeren? Dat lijkt me stug. Een man gooit zijn reputatie niet te grabbel door ongefundeerde kritiek op Hyves. Zijn motto daar luidt: "what you read is stripped from context. that is key." Iemand die zich zeer bewust is van die context!
Ik ben benieuwd naar de volgende reactie...
Die, as we write, luidt: Kom op Leon, show us ;) ben benieuwd of dit nu letterlijk opgevat moet worden aan Leon69 om het Hyves account van tweep domenico
De volgende die ik bekijk is de site van webwereld, vaak de bron van nieuws over incidenten, privacy, bugs, patches, goed en goed geinformeerd. Nee, nog niets. Het is inmiddels bijna half 8. Zou Leon69 tot nu toe de enige zijn? Of niet, in that case..
Wat wordt de volgende website? Security.nl maar. Nee, nog niets. Tijd om een interessant verhaal te lezen over "Privacyfundamentalisten". Er gebeurt nu toch niets..
Om 20.35 opnieuw een retweet. Ben benieuwd hoe dit gaat lopen.
De oorzaak...
Dat zou ik ook graag weten. Zit het in de software? Worden er typische web applicatie exploit misbruikt? Hapert er een systeem waardoor updates niet uitgevoerd worden, of zit er iets mis in de organisatie? Het zal vast goed te verklaren zijn, maar alles wat ik daar over zeg is pure speculatie.
Intussen vraag ik me af, hoe dit verder zal lopen.
Ik ben benieuwd naar de volgende reactie...
Die, as we write, luidt: Kom op Leon, show us ;) ben benieuwd of dit nu letterlijk opgevat moet worden aan Leon69 om het Hyves account van tweep domenico
De volgende die ik bekijk is de site van webwereld, vaak de bron van nieuws over incidenten, privacy, bugs, patches, goed en goed geinformeerd. Nee, nog niets. Het is inmiddels bijna half 8. Zou Leon69 tot nu toe de enige zijn? Of niet, in that case..
Wat wordt de volgende website? Security.nl maar. Nee, nog niets. Tijd om een interessant verhaal te lezen over "Privacyfundamentalisten". Er gebeurt nu toch niets..
Om 20.35 opnieuw een retweet. Ben benieuwd hoe dit gaat lopen.
De oorzaak...
Dat zou ik ook graag weten. Zit het in de software? Worden er typische web applicatie exploit misbruikt? Hapert er een systeem waardoor updates niet uitgevoerd worden, of zit er iets mis in de organisatie? Het zal vast goed te verklaren zijn, maar alles wat ik daar over zeg is pure speculatie.
Intussen vraag ik me af, hoe dit verder zal lopen.
Labels:
autorisatie,
hyves,
identity
Lek in Hyves autorisatiesysteem gemeld
"Leon1969: Ik vind zojuist een lek in het #Hyves autorisatiesysteem waardoor toegang tot profielen kan worden verkregen #fail. Morgen in het nieuws."
Original Tweet: http://twitter.com/Leon1969/statuses/8150060854
Terwijl ik een kop koffie drink, genietend van een kop koffie als onderbreking van een bezoek aan een tentoonstelling van een Franse kunstenares, Sophie Calle, even twitter/mail/facebook kijken en bovenstaande tweet komt op mijn scherm.
In plaats van een beschouwend stuk schrijven, nu eens bijhouden wat er gebeurt. Een kwartier later, om 10 over drie komt de eerste reactie. Leuk, iemand die eerder al met Leon69 twitterde over identity en prviacybescherming. Alert.
Dan denk ik aan mijn eigen Hyves account. Ben benieuwd hoe snel Hyves het nieuws oppikt en in actie komt. Als het nieuws morgen pas 'breekt", volgen die dan #Hyves en bijvoorbeeld #Hack ?
Of ben ik daarvoor te lang in de itsecurity bezig, paranoia slaapt nooit ;-).
Om iets voor half zes ziet een oud consultant van irC2 het nieuws en retweet het.
Nu, om iets voor zes ziet iemand die ik niet ken het. Zal het dan een Hyves man/vrouw zijn? Snel profiel checken, nee hoor.
3 minuten na zes schrijft Leon1969: " De power van Twitter aan het werk. Benieuwd naar de dag van morgen. #whatthehack"
Original Tweet: http://twitter.com/Leon1969/statuses/8150060854
Terwijl ik een kop koffie drink, genietend van een kop koffie als onderbreking van een bezoek aan een tentoonstelling van een Franse kunstenares, Sophie Calle, even twitter/mail/facebook kijken en bovenstaande tweet komt op mijn scherm.
In plaats van een beschouwend stuk schrijven, nu eens bijhouden wat er gebeurt. Een kwartier later, om 10 over drie komt de eerste reactie. Leuk, iemand die eerder al met Leon69 twitterde over identity en prviacybescherming. Alert.
Dan denk ik aan mijn eigen Hyves account. Ben benieuwd hoe snel Hyves het nieuws oppikt en in actie komt. Als het nieuws morgen pas 'breekt", volgen die dan #Hyves en bijvoorbeeld #Hack ?
Of ben ik daarvoor te lang in de itsecurity bezig, paranoia slaapt nooit ;-).
Om iets voor half zes ziet een oud consultant van irC2 het nieuws en retweet het.
Nu, om iets voor zes ziet iemand die ik niet ken het. Zal het dan een Hyves man/vrouw zijn? Snel profiel checken, nee hoor.
3 minuten na zes schrijft Leon1969: " De power van Twitter aan het werk. Benieuwd naar de dag van morgen. #whatthehack"
Labels:
autorisatie,
hyves,
identity,
process,
social media
donderdag 21 januari 2010
"Microsoft Security Bulletin Advance Notification for January 2010"
Early tuesday morning I wrote about the high probability of Microsoft issuing an "out of band security update for amongst others Internet Explorer 6.0.
Microsoft just published a "Security Bulletin Advance Notification for January 2010" stating that we can expect the availability today, january 21st 2010.
The year is only 3 weeks gone and we already have to deal again with serious issues, inflicting core business of many organizations. I realized this once more, when I read on the website of a huge Telecom provider: "This site is optimized for Internet Explorer 6.0" Go figure the implications..
Microsoft just published a "Security Bulletin Advance Notification for January 2010" stating that we can expect the availability today, january 21st 2010.
The year is only 3 weeks gone and we already have to deal again with serious issues, inflicting core business of many organizations. I realized this once more, when I read on the website of a huge Telecom provider: "This site is optimized for Internet Explorer 6.0" Go figure the implications..
woensdag 20 januari 2010
Probable out of band security update by Microsoft.
Last night Microsoft informed the world , that we can expect an out of band security update. It is concerning the following products: Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4, and Internet Explorer 6, Internet Explorer 7 and Internet Explorer 8 on supported editions of Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2.
Although this will disrupt common update procedures, we should all pay attention to this update. It shows that Microsoft is again willing to react swiftly to serious issues and for those with a history in it security like us, that really still is note worthy. It tells us that dealing with security issues can be done openly and according to a well defined process. Furthermore we should pay attention, as there will be cases in the not so near future, where we will hear about breaches because of unpatched systems.
History tells us, how bad inventory and patch management still are among of the weak spots in information security. Gentlemen, start your engines!
Although this will disrupt common update procedures, we should all pay attention to this update. It shows that Microsoft is again willing to react swiftly to serious issues and for those with a history in it security like us, that really still is note worthy. It tells us that dealing with security issues can be done openly and according to a well defined process. Furthermore we should pay attention, as there will be cases in the not so near future, where we will hear about breaches because of unpatched systems.
History tells us, how bad inventory and patch management still are among of the weak spots in information security. Gentlemen, start your engines!
dinsdag 19 januari 2010
Google hack II, some of the consequences.
Did you already get rid of your Explorer 6 and 7 ?
Seems to me, that this is one of the most visible consequences for the IT community. Read Microsoft's advice: "That is why we continue to recommend that customers using IE 6 or IE 7, upgrade to IE 8 as soon as possible to benefit from the improved security protections it offers."
But this advisory is not what fascinates me most. Consider this:
Google’s customers don’t seem to be fleeing.
Google stock fell approximately 4% on the news they were hacked, while the market was down 2%. How that combines with threatening to pull out of the largest market on Earth, I fail to understand.
No one I know of in Google infosec has lost their job, though there are rumours about cooperation of employees.
Google didn’t go under because of the security issue, where as a matter of fact Google is getting all sorts of props for how they handle communication around this matter.
Something for the "don't tell we have a problem" fans to ponder.
Update !: China feels it is the biggest victim, article in Techworld
Update january 20th: Excellent article in Arstechnica, with broad coverage.
Clear statement by Bruce Schneier: "Us enables Chinese hacking of Google" on CNN Opinion
Seems to me, that this is one of the most visible consequences for the IT community. Read Microsoft's advice: "That is why we continue to recommend that customers using IE 6 or IE 7, upgrade to IE 8 as soon as possible to benefit from the improved security protections it offers."
But this advisory is not what fascinates me most. Consider this:
Google’s customers don’t seem to be fleeing.
Google stock fell approximately 4% on the news they were hacked, while the market was down 2%. How that combines with threatening to pull out of the largest market on Earth, I fail to understand.
No one I know of in Google infosec has lost their job, though there are rumours about cooperation of employees.
Google didn’t go under because of the security issue, where as a matter of fact Google is getting all sorts of props for how they handle communication around this matter.
Something for the "don't tell we have a problem" fans to ponder.
Update !: China feels it is the biggest victim, article in Techworld
Update january 20th: Excellent article in Arstechnica, with broad coverage.
Clear statement by Bruce Schneier: "Us enables Chinese hacking of Google" on CNN Opinion
Labels:
google,
IE6,
IE7,
vulnerabilities
donderdag 14 januari 2010
google hack - Google News- China
google hack - Google News
Posted using ShareThis
Hmm, only 700 or so hits.
Of course, I am in security, not in Google search terms but could this mean that Google's issue with China isn't as much perceived as a security issue, but more of an human rights and business one?
Do I worry about my data in the cloud?
Have been using Gmail for a pretty long time, and over time most services found their way into work at Cqure en irC2. So is my data under threat now? Well it has been proven once again, that not one thing that's been made by man, can be broken by man. What else is new. It shows the value of the information to this particular thief. If the loot you are after is worth a lot, you will invest a lot of time,energy, talent and money (and it is all there) to get it. (remember the one digging underneath bank building in order to hit the safes from below?). And who has all this?
The question to me.
Is there someone out there, who has the same amount of money, talent, energy to break the same protection, which, in the continous armsrace will be strengthened, and so on and on, willing to direct that effort at you? I my case, I don't think so.
And I think, that this will be the case for many, many users. But it never hurts, to step out for just a moment, and reconsider how your information is secured. And answer the question if your information is safe in the cloud.
Pick your enemy with care.
Posted using ShareThis
Hmm, only 700 or so hits.
Of course, I am in security, not in Google search terms but could this mean that Google's issue with China isn't as much perceived as a security issue, but more of an human rights and business one?
Do I worry about my data in the cloud?
Have been using Gmail for a pretty long time, and over time most services found their way into work at Cqure en irC2. So is my data under threat now? Well it has been proven once again, that not one thing that's been made by man, can be broken by man. What else is new. It shows the value of the information to this particular thief. If the loot you are after is worth a lot, you will invest a lot of time,energy, talent and money (and it is all there) to get it. (remember the one digging underneath bank building in order to hit the safes from below?). And who has all this?
The question to me.
Is there someone out there, who has the same amount of money, talent, energy to break the same protection, which, in the continous armsrace will be strengthened, and so on and on, willing to direct that effort at you? I my case, I don't think so.
And I think, that this will be the case for many, many users. But it never hurts, to step out for just a moment, and reconsider how your information is secured. And answer the question if your information is safe in the cloud.
Pick your enemy with care.
Labels:
cybercriminaliteit,
google,
SaaS
maandag 11 januari 2010
Wens voor 2010
Goed, om u de beste wensen voor dit jaar aan te bieden is wel wat laat, hoewel ik de datum van vandaag (110110) mooi genoeg vind om daar een uitzondering voor te maken.
Uitzonderingen, die maken gebruikers ook vaak. Op uw informatiebeveiligingsbeleid. Een van mijn wensen voor 2010 is dan ook, dat er toch weer een verhoging van het beveilingsbewustzijn op de werkvloer komt.
De gebruiker is en blijft namelijk nog altijd de zwakste schakel. En rekent u er op, dat de informatiedief dit ook weet en daar gebruik van maakt. Het is de weg van de minste weerstand.
Of heeft u de Post-it notes met passwords al uitgebannen, deelt niemand zijn toegang met een andere gebruiker meer en weet u zeker, dat er geen usb sticks met uw kostbare bedrijfsinformatie de deur uit gaan?
Ook whiteboards staan nog vaak vol met vertrouwelijke informatie, op en bij printers is het ook vaak raak en als de informatie daar niet ligt, dan toch wel open en bloot op het buro.
En bedenk, niet alle problemen komen van buiten, maar van binnen uit de organisatie. Reden te over, om ook in het nieuwe jaar met volle overtuiging op de beveiliging van uw kostbare informatie in te zetten!
Uitzonderingen, die maken gebruikers ook vaak. Op uw informatiebeveiligingsbeleid. Een van mijn wensen voor 2010 is dan ook, dat er toch weer een verhoging van het beveilingsbewustzijn op de werkvloer komt.
De gebruiker is en blijft namelijk nog altijd de zwakste schakel. En rekent u er op, dat de informatiedief dit ook weet en daar gebruik van maakt. Het is de weg van de minste weerstand.
Of heeft u de Post-it notes met passwords al uitgebannen, deelt niemand zijn toegang met een andere gebruiker meer en weet u zeker, dat er geen usb sticks met uw kostbare bedrijfsinformatie de deur uit gaan?
Ook whiteboards staan nog vaak vol met vertrouwelijke informatie, op en bij printers is het ook vaak raak en als de informatie daar niet ligt, dan toch wel open en bloot op het buro.
En bedenk, niet alle problemen komen van buiten, maar van binnen uit de organisatie. Reden te over, om ook in het nieuwe jaar met volle overtuiging op de beveiliging van uw kostbare informatie in te zetten!
Labels:
cybercriminaliteit
Abonneren op:
Posts (Atom)
