While I wholeheartedly agree with Farhad Manjoo when he explains why we as drivers are a far bigger risk than Toyota's buggy braking software, I think it is a pity he does not break a lance for open source software.
If Toyota wanted to mend its public image and reputation for quality, it would make its source code available to anyone interested. This audience is far more likely to discover bugs and suggest improvements than an independent engineering firm ever could hope to find, not to mention the ability of government bodies to do so.
In my opinion, this is clearly an area where http://en.wikipedia.org/wiki/
maandag 22 februari 2010
Toyota recalls are a case for open source code
dinsdag 16 februari 2010
Old hacking tricks still do the trick...
Recently Trustwave released it's Global Security Report 2010.
“In 2009, the most notable trend is the continued use of existing attack techniques despite the security industry’s awareness of these vulnerabilities.”
These findings are alarming and at the same time understandable. Let's take the average time between an initial breach and its detection. It was 156 days according to the paper. In some cases, the lapse was close to two years(!). The reason is obvious as we devote our attention to countering the latest vulnerabilities and are focussing on new issues such as social networking and cloud computing, we tend to oversee what is already there. And even if we do, knowledge of heritage systems is often not well documented, or unavailable at all because of restructuring, outsourcing or other cost cutting measures whose unwanted side effects always show up long after the deed was done.
This tells us once more, that we need to assess our complete it infrastructure and it's risks regularly and to remain vigilant. Most important however, information security should be part of basic enterprise policies, which message has to be heard and understood by top executives.
We have moved into an era where information security is key to all business functions, but some of the issues we talked about a dozen years ago we are still talking about today. We need to make our point to those who don’t do this for a living...
“In 2009, the most notable trend is the continued use of existing attack techniques despite the security industry’s awareness of these vulnerabilities.”
These findings are alarming and at the same time understandable. Let's take the average time between an initial breach and its detection. It was 156 days according to the paper. In some cases, the lapse was close to two years(!). The reason is obvious as we devote our attention to countering the latest vulnerabilities and are focussing on new issues such as social networking and cloud computing, we tend to oversee what is already there. And even if we do, knowledge of heritage systems is often not well documented, or unavailable at all because of restructuring, outsourcing or other cost cutting measures whose unwanted side effects always show up long after the deed was done.
This tells us once more, that we need to assess our complete it infrastructure and it's risks regularly and to remain vigilant. Most important however, information security should be part of basic enterprise policies, which message has to be heard and understood by top executives.
We have moved into an era where information security is key to all business functions, but some of the issues we talked about a dozen years ago we are still talking about today. We need to make our point to those who don’t do this for a living...
vrijdag 12 februari 2010
Prijs reis OV belangrijker dan privacy?
Als we de Volkskrant van vandaag volgen, dan is de prijsstijging die de invoering van de OV chipkaart met zich mee brengt van ernstiger aard, dan de bescherming van de privacy van de gebruiker. Voor het geval u net zo verbaasd bent als ik over dit standpunt, haal ik het hier nog maar eens aan ( de cursifering is van mij):
"Ook bleek er aanvankelijk nauwelijks te zijn gedacht aan de bescherming van de privacy.
De vraag is wat er terechtkomt van de belofte dat reizen met de ov-chipkaart gemiddeld niet duurder zal zijn dan met de oude strippenkaart.
Tenzij men reist met een anonieme chipkaart biedt het systeem de mogelijkheid iemands reisgedrag nauwkeurig te volgen. Dat is niet alleen interessant voor marketeers, maar ook voor politie en justitie. De praktijk moet leren wat de waarborgen tegen misbruik waard zijn.
Een serieuzer probleem is dat de reiziger niet overal hetzelfde tarief per kilometer betaalt..."
De prijs van privacy volgens de Volkskrant?
"Ook bleek er aanvankelijk nauwelijks te zijn gedacht aan de bescherming van de privacy.
De vraag is wat er terechtkomt van de belofte dat reizen met de ov-chipkaart gemiddeld niet duurder zal zijn dan met de oude strippenkaart.
Tenzij men reist met een anonieme chipkaart biedt het systeem de mogelijkheid iemands reisgedrag nauwkeurig te volgen. Dat is niet alleen interessant voor marketeers, maar ook voor politie en justitie. De praktijk moet leren wat de waarborgen tegen misbruik waard zijn.
Een serieuzer probleem is dat de reiziger niet overal hetzelfde tarief per kilometer betaalt..."
De prijs van privacy volgens de Volkskrant?
donderdag 11 februari 2010
Hyves (Dutch Post)
"Ben jij ook zo moe?" luidt de vraag van Leon als hij meldt "Weer een bug in de Hyves mailprocedure".
Ach nee, de avond is nog jong, de hele dag is druk geweest in het kader van allerlei bezigheden die werken in de informatiebeveiliging met zich mee brengen. Van lezen, tot telefoneren, administratie, vragen stellen, fouten herstellen en af en toe zelfs even tijd om na te denken. Over de uitleg van Leon over de vorige Hyves glitch, zie "Lek(je) in autorisatiesysteem Hyves".
Wanneer ik de bevestiging van het herstel krijg door een proef op de som door de beschreven actie met mijn eigen Hyves account uit te voeren, neem ik aan dat Hyves adequate actie onderneemt en het geheel van autorisatie systemen en procedures zal controleren. Hyves neemt informatiebeveiliging serieus en kan net als ieder ander een fout maken. De verantwoordelijkheid voor meer dan 9 miljoen profielen is een zware en veelomvattende.
Zat ik er naast?
Ben benieuwd wat Leon heeft aangetroffen.
Update: "Die fout is uit te buiten met eenzelfde aanvalsvector als de eerdere melding http://twitter.com/Leon1969/status/8150060854 #hyves #fail"
Gelukkig reageert @Remco namens Hyves direct.
De verdere uitleg is bij Leon te lezen. Mijn complimenten voor Leon, ook zo kunnen we veiliger en gerust blijven hyven, twitteren of handel drijven op 'the internets'.
Nu hopen dat Hyves de fout er uit haalt en lering uit het gebeurde trekt.
Informatie beveiligen is een proces...
Ach nee, de avond is nog jong, de hele dag is druk geweest in het kader van allerlei bezigheden die werken in de informatiebeveiliging met zich mee brengen. Van lezen, tot telefoneren, administratie, vragen stellen, fouten herstellen en af en toe zelfs even tijd om na te denken. Over de uitleg van Leon over de vorige Hyves glitch, zie "Lek(je) in autorisatiesysteem Hyves".
Wanneer ik de bevestiging van het herstel krijg door een proef op de som door de beschreven actie met mijn eigen Hyves account uit te voeren, neem ik aan dat Hyves adequate actie onderneemt en het geheel van autorisatie systemen en procedures zal controleren. Hyves neemt informatiebeveiliging serieus en kan net als ieder ander een fout maken. De verantwoordelijkheid voor meer dan 9 miljoen profielen is een zware en veelomvattende.
Zat ik er naast?
Ben benieuwd wat Leon heeft aangetroffen.
Update: "Die fout is uit te buiten met eenzelfde aanvalsvector als de eerdere melding http://twitter.com/Leon1969/status/8150060854 #hyves #fail"
Gelukkig reageert @Remco namens Hyves direct.
De verdere uitleg is bij Leon te lezen. Mijn complimenten voor Leon, ook zo kunnen we veiliger en gerust blijven hyven, twitteren of handel drijven op 'the internets'.
Nu hopen dat Hyves de fout er uit haalt en lering uit het gebeurde trekt.
Informatie beveiligen is een proces...
woensdag 10 februari 2010
Identification
Yesterday I spent the evening with an expert vendor of key issuing systems. My head is still spinning with the details of this technology, the embedding in the organisation and it's market.
It helps to clear the mind every now and then by putting things in perspective, this is how sailing ships used for transportation in the early days if the 20th century were identified:
 |
| Van Remco Bakker's blog |
woensdag 3 februari 2010
Phishing attack on Twitter
Yesterday, Twitter asked some users to reset their password as a security measure. Twitter has officially confirmed that it was a security issue and has given us some background information.
Twitter calls it: "Reason #4132 for Changing Your Password."
Twitter discovered a surge of followers to some suspicious accounts, decided to investigate, and discovered that a number of accounts were compromised through an attack involving torrent-related sites and forums.
When you carefully read Twitter's description, you will find some sound advice there:
"The takeaway from this is that people are continuing to use the same email address and password (or a variant) on multiple sites. Through our discussions with affected users, we’ve discovered a high correlation between folks who have used third party forums and download sites and folks who were on our list of possibly affected accounts. While not all users who were sent a password reset request fall into this category, we felt that it was important to put this knowledge out there so that users would know of the possibility of compromise of their data by a third party unrelated to their Twitter account. We strongly suggest that you use different passwords for each service you sign up for"
Indeed, reason #4132.
Twitter calls it: "Reason #4132 for Changing Your Password."
Twitter discovered a surge of followers to some suspicious accounts, decided to investigate, and discovered that a number of accounts were compromised through an attack involving torrent-related sites and forums.
When you carefully read Twitter's description, you will find some sound advice there:
"The takeaway from this is that people are continuing to use the same email address and password (or a variant) on multiple sites. Through our discussions with affected users, we’ve discovered a high correlation between folks who have used third party forums and download sites and folks who were on our list of possibly affected accounts. While not all users who were sent a password reset request fall into this category, we felt that it was important to put this knowledge out there so that users would know of the possibility of compromise of their data by a third party unrelated to their Twitter account. We strongly suggest that you use different passwords for each service you sign up for"
Indeed, reason #4132.
Abonneren op:
Posts (Atom)
