Omdat het kan! De Generatie Beta en 10 jaar Web 2.0

Posted on by

Ik kan me nog goed herinneren dat we in de jaren negentig stevig inzetten op Bèta vakken. Met de toenemende automatisering hadden we veel technisch opgeleide mensen nodig. Maar tegenwoordig kiezen leerlingen in het voortgezet onderwijs massaal voor alfavakken. Als één van de oorzaken wordt het vroege keuzemoment genoemd door universitair docent Hanke Korpershoek. Slechts 3% van de meisjes kiest voor een Natuur en Techniek profiel, aldus Korpershoek. Béta vakken zijn uit. Er komt juist een hele Alfageneratie aan.

Zou deze keuze voor alfavakken ook deels bepaald kunnen worden de ontwikkelingen op internet? Het wereldwijde web is in de afgelopen tien jaar sociaal geworden. Websites als Hyves, Facebook en LinkedIn worden sociale netwerk sites genoemd en hebben miljoenen leden. Dit type websites noemen we sinds 2001 Web 2.0. Ook op het internet vinden we dat het weer wat socialer worden, de knuffelbaarheid mag weer terug in de maatschappij en op het net. Om te kunnen overleven in deze samenleving en op het internet moeten wij én onze kinderen juist meer aandacht geven aan onze sociale vaardigheden.

In de samenleving lijkt er minder ruimte voor béta te zijn, maar op het internet is het gemeengoed geworden. Een groot deel van alle nieuwe web 2.0 toepassingen zit nog in bèta. Dat wil zeggen: De toepassingen zijn nog niet klaar. Er kunnen bugs in zitten, we zijn nog aan het expirimenteren met nieuwe functionaliteit enzovoorts.  Het kan ook betekenen: Het is nog niet helemaal veilig, maar dat nemen we op de koop toe.

In onze drang naar nieuwe mogelijkheden proberen we steeds sneller iets nieuws uit. Overal en nergens laat je weer wat van je gegevens achter. We migreren van de ene site naar de andere site op zoek naar nieuwe functionaliteit en overal schrijven we ons in en vullen ons profiel met prive informatie.

Nu lijkt dit allemaal nog vrij onschuldig, maar hoe langer hoe meer systemen worden aan elkaar gekoppeld. Google Streetview werkt aan het ‘inlezen’ van huisnummers, gezichtsherkennings-software wordt steeds beter en steeds toegankelijker en het wordt ook steeds makkelijker om financiële gegevens van mensen op te vragen. Energiemaatschappijen en waterbedrijven koppelen hun netwerken aan het internet en ga zo maar door.

Een blik in de portomonnee

Neem bijvoorbeeld de website www.kadasterdata.nl Niets moeilijks aan. Je vult de postcode en het huisnummer in en je ziet de hoogte van de hypotheek die op dat huis ligt. Voor de koper is dat best handig. Hoe meer overwaarde er in zit, hoe scherper je waarschijnlijk kunt onderhandelen. Je weet dan tot hoe ver de verkoper kan zakken.

Maar wacht even.

Wilt u wel dat ik weet hoeveel hypotheek u heeft? Als ik kan constateren dat uw hypotheek te hoog is voor het salaris dat u verdiend? Ik kan tenslotte op LinkedIn zien welke functie u uitoefent en ik kan daar een salaris indicatie aan koppelen. U moet dus wel ergens zwart iets bijverdienen om dit te kunnen betalen. Wordt u daarmee niet chantabel?

De wetten van Beckstrom

Er worden steeds meer informatiebronnen aan elkaar gekoppeld. Of het nu gaat om het Elektronisch Patiënten Dossier (EPD), de Basisregistraties, of alle sites waarop u direct met uw Facebook account kunt inloggen. En hoe meer systemen we aan elkaar koppelen, hoe eenvoudiger het wordt om uw hele hebben en houden in kaart te brengen en er met uw identiteit vandoor te gaan.

De wetten van voormalig National Cyber Security Agency directeur Beckstrom zijn hierop van toepassing:

  1. Netwerken worden meer en meer gekoppeld
  2. Alles is te hacken
  3. Al het volgende volgt uit het voorgaande

Laat u wet 1 en 2 nog even op u inwerken en vult u dan zelf wet 3 in.

Welke impact heeft dit op u?

Simpel toch?

Alles is te hacken. En het wordt ook steeds gemakkelijker. Door steeds meer informatiebronnen te koppelen heeft de hacker steeds meer informatie die hij kan gebruiken. Er is dan ook een enorme toename te zien in het aantal identiteitsdiefstallen.

Ondertussen willen wij als consument steeds makkelijker onze zaakjes regelen. We willen onze auto kunnen bedienen met de iPhone, onze bankzaken mobiel regelen en zoveel mogelijk zaken met de gemeente en de overheid digitaal afhandelen. Omdat het kan.

In 2002 publiceerde Howard F Lipson een studie naar cybercriminaliteit.

attack-sophistication-v-intruder-technical-knowledge

(Bron Howard F. Lipson,  Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues. 2002)

Op dit plaatje laat hij zien dat de cyberaanvallen steeds gecompliceerder worden en de benodigde kennis daarvoor steeds minder is. In het begin van het internet tijdperk werden de PC’s beheerd door rare wezens diep in de kelders van het kantoor: De systeembeheerders, of de Morlocks zoals Neil Stephenson ze noemt naar analogie van de “Time Machine” van Wells in zijn essay “In the Beginning was the Commandline” . Dit waren nog eens echte nerds die in hun slaap machinetaal spraken. Zij zorgden dat u overal bij kon waar u bij mocht komen en geen andere dingen kon doen. Zij bepaalden wat binnen kwam en wat niet. Ook de hackers uit die dagen waren hoog opgeleide heren die heel wat in hun mars hadden. Nu zijn er wereldwijd miljarden onopgeleide systeembeheerders, namelijk wij consumenten, die als beheerders van ons thuisnetwerk zonder enige kennis van zaken de deur wagenwijd openzetten voor de hackers, die tegenwoordig ook niet meer zo slim zijn maar programmaatjes hebben die alles voor hen regelt.

En dit alles was nog voordat web 2.0 goed en wel losbrandde!

Hoewel het concept van dit type beheer natuurlijk vreselijk achterhaald is, is de trend zorgelijk: Het gebruiksgemak van computers is zo verbeterd dat wij inderdaad niet meer alles hoeven te weten om ons eigen systeem te runnen en er mee te doen wat we maar willen. Omdat het kan.

Web 2.0

Sinds 2001 leven we in de wereld van Web 2.0 en zijn sociale netwerksites als paddestoelen uit de grond gerezen. Wij delen met z’n allen miljoenen foto’s per dag en al onze wedervaringen op Facebook –en in afnemende mate Hyves. Al deze data is eenvoudig bij elkaar te sprokkelen door de juiste tools te gebruiken. Met alles wat we zelf delen is er meer informatie bij elkaar te sprokkelen op Sociale Netwerk sites dan wat er van feitelijk van ons in bijvoorbeeld de Gemeentelijke Basis Administratie staat en de kwaadwillende hacker kan op basis van deze –door u zelf gepubliceerde –gegevens  vrij makkelijk uw wachtwoorden achterhalen en uw email misbruiken. Het is schrikbarend hoeveel mensen nog een of andere vorm van hun geboortedatum of huwelijksdatum als wachtwoord gebruiken, of die van de kinderen.

Internet Security.

En het gaat mis. Sterker nog, het gaat steeds vaker mis omdat het internet zelf geen enkel afweer mechanisme heeft tegen kwaadaardig gebruik. In de jaren 80 is het internet opgezet als samenwerkingsplatform tussen academici, een kleine community van mensen die elkaar kenden en vertrouwden. Er was geen noodzaak om in de architectuur met kwaadwillende gebruikers rekening te houden, zo blijkt ook uit de studie van Lipson.

Internet Security is dan een illusie. Het bestaat gewoon niet. Alle maatregelen die we nemen om onze websites te beveiligen zijn tot op zekere hoogte cosmetisch op basis van Beckstrom’s Wet nummer 2: Alles is te hacken. En ook bijna alles wordt gehackt, ook omdat het gewoon kan.

Rat Race

In 2011 zijn we de illusie van veiligheid door Certificaten kwijtgeraakt na de val van DigiNotar. Nu komt de val van SSL encryptie. Ook SSL is tegenwoordig vrij eenvoudig te kraken. De oplossing is vrij eenvoudig: Van 64 bits encryptie stappen we over naar 128 bits encryptie. Bedrijven geven miljoenen Euro’s uit aan grotere processorcapaciteit om dit te kunnen ondersteunen, maar over een paar maanden zit die rekenkracht in een laptop van 1.200 Euro en loopt de eerste de beste huis-, tuin- en keukenhacker er mee de winkel uit en kunnen we opnieuw beginnen. Veranderingen in Security gaan ziet over ‘zwaarder’,’beter’, ‘sneller’ maar vooral over ‘anders’, zoniet, dan maken we ons zelf alleen maar gek en doen we aan kapitaalsvernietiging.

Web 2.0 in Beta.

In het afgelopen decennium hebben we op het web 2.0 honderden sites gezien die uit béta tevoorschijn zijn gekomen. Facebook, Twitter, LinkedIn, ze zijn allemaal mainstream ‘commodities’ geworden. Na tien jaar is web 2.0 een groot succes te noemen.

De grap dat Web 2.0 helemaal niet bestaat is al minstens even oud. Er is geen nieuwe versie van het internet gekomen, het oude is niet offline gehaald. En toch is het geen grap. De infrastructuur is nog steeds dezelfde als die in 1980, zonder de broodnodigde security maatregelen omdat het ontworpen is voor een veilige, academische wereld waarin men elkaar vertrouwd.

Michael Sutton van beveiligingsbedrijf ZScaler Research voorspeld dat hackers zich in 2012 meer op hardware dan op software zullen richten waarbij hij opmerkt dat Hardware bedrijven zeker 10 jaar achter lopen op security gebied ten opzichte van de software industrie.

Open Data

Vanuit de Europese Commissie, De Nederlandse Overheid en de lokale overheden wordt er vol ingezet op Open Data: Gemeenten en overheden moeten hun informatie beschikbaar stellen voor andere partijen. Op deze wijze kan miljarden bespaard worden. Volgens het EPSI Platform zelfs 27 Miljard. Maar om welke informatie gaat het dan? De plek van de lantaarnpalen in uw gemeente, de WOZ waarde van uw woning (zoals in het eerder genoemde voorbeeld van Kadasterdata), demografische gegevens, kwaliteitsmetingen enzovoorts. Dit alles gelukkig wel onder bepaalde voorwaarden. Welke informatie wel en niet? Blijkbaar de informatie uit het basisregister kadaster wel. Gaat de informatie uit het Handelsregister ook openbaar worden?

Voor de kerst werd duidelijk dat de Amerikaanse kamer van koophandel gekraakt is waardoor de (vermoedelijk Chinese) aanvallers toegang hadden tot gegevens van miljoenen klanten.  Hoe erg is dit? Wat kan een kwaadwillende hacker met deze data? Heel veel. Als de hackers weten wie bij de grote bedrijven tekenbevoegd is, en tot welk bedrag en ze kunnen de identiteit van deze mensen stelen, dan kunnen zij uit hun naam contracten afsluiten en het geld wegsluizen.

Een nieuw internet.

De beveiligingsrisico’s komen we op alle niveaus tegen. Op software gebied worden de nodige maatregelen genomen. In het totaal zal dit onvoldoende zijn. Als we op deze manier doorgaan gaat de kant het schip keren en zal het internet ophouden te bestaan omdat de risico’s voor onze maatschappij, zowel op privacy als economisch gebied te groot worden.

Met name door software leveranciers wordt er veel geïnvesteerd in het beveiligen van systemen. Bij de inrichting van de bedrijfsnetwerken wordt er ook steeds beter nagedacht over de beveiliging. Ook overheden nemen daarin hun verantwoordelijkheid aan de hand van richtlijnen als NORA en GEMMA. Op 19 december publiceerde IBM een top 5 van de trends die ze voor de komende jaren zien. Eén daarvan is dat we in 2017 geen wachtwoorden meer nodig zullen hebben maar alles op basis van biometrische authenticatie zal geregeld worden. Hiermee wordt een groot beveiligingsrisico weggenomen: Onze eigen luiheid om goede wachtwoorden te kiezen.

We zien de aandacht voor beveiliging groeien op alle niveaus: Hardwarematig, softwarematig maar ook op gebruikersniveau. Ik ben bang dat dit echter niet voldoende is. Het blijven variaties op een thema. Het wordt zwaarder, robuuster, maar niet anders. De verdere koppeling van systemen gaat door en de manier waarop informatie uitgewisseld wordt, de communicatie protocollen, blijft hetzelfde.

Door biometrische toegangscontrole mogen we dan misschien tegen onze eigen luiheid in bescherming genomen worden, maar hoe meer DNA banken gekoppeld worden op de huidige infrastructuur met de huidige communicatieprotocollen hoe eenvoudiger het voor de hacker wordt om ook over deze informatie te beschikken.

Doorgaan op dezelfde weg, meer maatregelen en zwaardere encryptie is niet het antwoord op het beveiligingsvraagstuk maar uitstel van executie. Het moet vooral anders. Pas dan hebben we echt web 2.0.

En nu verder

Moeten we nu ons massaal terugtrekken van internet? Moeten we Open Data wel willen? Moeten Security Officers overal op de rem trappen? Nee, dat kunnen we niet maken. We gaan verder, niet omdat het kan, maar omdat we er over nagedacht hebben. Bewust keuzes maken in wat we wel en niet kunnen delen.

De Security en Privacy Dieptepunten van 2011

Posted on by

In de afgelopen maanden even wat weinig geblogd. Een nieuwe baan vreet toch altijd meer energie dan je vooraf denkt. Maar goed, ondertussen is het jaar wel weer voorbijgevlogen. En wat een bewogen jaar is het geweest op Security gebied. Te veel om allemaal op te noemen.

Brenno de Winter alias de Big Wobber, Journalist van het Jaar 2011Er is zoveel gebeurd op Security en Privacy gebied dat het volledig terecht is dat Brenno de Winter, alias ‘the Big Wobber’ deze maand verkozen is tot Journalist van het jaar. Aan de ene kant is het triest dat dit gebeurd is: ‘Dit land is zo lek als een mandje en de overheden nemen het niet zo serieus met onze privacy’. Aan de andere kant is het natuurlijk ontzettend positief dat het onderwerp nu zo ontzettend in de spotlights staat. Het is niet meer een niche thema voor IT Nerds of academisch geleuter: Het is de realiteit en de mainstream media aandacht die er nu voor het thema is kan er alleen maar toe leiden dat bedrijven en overheden beter gaan nadenken over de grenzen van privacy en hun maatregelen gaan nemen om de security te verbeteren.

Gisteren was ik in Ede bij de opnamen voor het jaaroverzicht van Ede TV, waar Brenno als één van de gasten aan tafel zat om het jaar van commentaar te voorzien. Als persoonlijk hoogtepunt noemde hij vooral het sepot  in de OV Chipzaak;

“Op 5 september 2011 besloot het Openbaar Ministerie de strafzaak tegen Brenno de Winter voor het reizen op gehackte chipkaarten te seponeren”

Het sepot mag natuurlijk nooit een vrijbrief worden om voor eigen voordeel te hacken maar het is een enorme winst in het onderzoek naar security issues. Strikt genomen is bijna elke poging die je onderneemt om te onderzoeken of iets slecht beveiligd is een criminele daad, tenzij je vooraf toestemming hebt. Helaas denken nog steeds veel bedrijven dat het wel goed zit met hun security en zullen ze ook niet snel meewerken aan een penetratietest of security scan.

In de meeste gevallen is het risico dan voor het bedrijf. Wordt men dan toch kwaadwillend gehacked dan is er enorme schade. In een aantal gevallen staat echter de privacy van veel mensen op het spel en dan is het goed dat het sepot er nu ligt:

“Soms weegt het journalistieke belang van het tonen van een misstand –het falen van de OV-chipkaart – zwaarder dan het strafrecht. Er was geen andere weg om dit te tonen. Een goed journalist heeft als taak om misstanden te tonen.”

DigiNotarEen ander hoogtepunt, of eigenlijk dieptepunt, was natuurlijk het failliet van de CA (Certification Authority) DigiNotar. Niet alleen het bedrijf zelf is er aan onderdoor gegaan maar de positie van de CA’s staat onder druk. Vertrouwen is een belangrijk begrip als het om IT gaat. Dit vertrouwen wordt gegeven door de uitgifte van certificaten waarin aangegeven wordt dat je op het internet zaken doet met een bonafide partij. Er zijn steeds meer partijen die onderzoeken of zij een CA voor personen kunnen worden, zoals bijvoorbeeld het Kadaster en de ABN Amro. Is deze persoon echt wie hij zegt dat hij is? Klopt zijn CV op monsterboard of op LinkedIn. Dit is een interessante ontwikkeling, maar als je als CA gecertificeerde persoonsgegevens gaat bijhouden wordt je hacking target nummer één.

Een derde dieptepunt is het lekken van de Miljoenennota 2012 op prinsjesdag 2011. Hoewel er geen man overboord is en er geen staatsgeheimen geopenbaard zijn of echt nieuwe dingen gelekt is het wel een teken aan de wand hoe slordig we zijn in het beveiligen van onze gegevens.

En nu op naar 2012. Een jaar waarin we nog veel opzienbarende lekken zullen tegenkomen.

De wet flexibel werken 2013

Posted on by

Jaja, over twee jaar zitten we allemaal in de flex.

Werknemers krijgen vanaf 2013 het recht op flexibele arbeidstijden als het aan regeringspartij CDA en oppositiepartij GroenLinks ligt.

Om werken, zorgtaken en scholing beter te combineren, moet personeel ook meer te zeggen krijgen over de werkplek. Zo moet bijvoorbeeld thuiswerken meer mogelijk worden.

Tweede Kamerlid Ineke van Gent van GroenLinks en haar CDA-collega Eddy van Hijum dienen vrijdag een initiatiefwet hierover in. De twee hadden eind vorig jaar al aangekondigd met hun ‘Wet flexibel werken’ te komen.

Bron: Nu.nl

Maar vergeten we niet wat?

Het Nieuwe Werken (HNW) is de laatste jaren sterk in opkomst. Iedereen wil wel eens de file overslaan en thuiswerken. Iedereen heeft nu toch zo’n té kek tablet speeltje waarmee je op elke plek kunt werken. Als werkgever lijk je er al niet meer bij te horen als je dit niet kunt faciliteren. Er zitten echter wel een paar haken en ogen aan..

De Nieuwe Flexwerkgever.

De werkgever lijkt op het eerste gezicht veel baat bij Het Nieuwe Werken te hebben. Er is een betere spreiding van mensen op de werkvloer. Er kan dus bezuinigd worden op huisvestingskosten. Daarnaast maken de medewerkers minder kilometers, dus CO2 neutraal komt in beeld. Lekker maatschappelijk verantwoord. Met de geweldige flixigheid van de medewerkers kunnen de openingstijden ook flink omhooggeschroefd worden. Bovendien zorgen de medewerkers voor hun eigen werkstation en is de business case dus op alle fronten snel gemaakt.

De Nieuwe Flexwerker.

De relax flex werknemer is eindelijk verlost van de loodzware, ouderwetse laptops of trage desktops. Hij beschikt nu over de laatste technologie. Alles werkt lekker snel en dus heeft de flexwerker hier zijn eerste winst te pakken: Een werkstation waar hij zich prettig bij voelt en hem productiever maakt. Het tweede grote voordeel dat voor het oprapen ligt is dat hij de file kan vermijden en dus meer tijd over houdt om met zijn gezin door te brengen. Eindelijk weer eens de kinderen naar bed brengen of tijd om een avondje uit te gaan met vrienden.

De nieuwe flex manager

Voor de ‘man in the middle’, de manager vraagt deze ontwikkeling een enorme omschakeling. Waar de medewerker altijd op kantoor was en je kon kijken of hij wel iets deed gaat hij nu buiten het zichtsveld aan het werk. Van de manager vraagt dit om een omschakeling van controle naar vertrouwen. Op grond van de Business Case kunnen we hem overtuigen dat deze aanpak beter is, maar het vraagt ook weldegelijk om totaal andere management skills. De vraag is of uw managers die skills in huis hebben, of wordt het chaos?

De nieuwe flexvoorwaarden

Voordat je er erg in hebt ga je als medewerker de prijs betalen. Je bent nu office manager geworden van een van de vele nevenvestigingen. Nadat je de baas de eerste besparing hebt opgeleverd door zelf een coole laptop aan te schaffen betaal jij ook nog eens de huisvestingskosten, de stroom, de stookkosten en de koffie en thee. Als we niet uitkijken ben je zelf ook arbo verantwoordelijk en is het je eigen schuld als je uitvalt met RSI of rugklachten. Het nieuwe werken vraagt om een intensief proces in vernieuwing van arbeidsvoorwaarden.

Het nieuwe security beleid

Ook voor de werkgever zit er een donkere kant aan het flex werken. ‘Now is the time to score’ voor veel bedrijven. Als we nu niet mee gaan, dan vallen we af in de race en staan we op achterstand ten opzichte van de concurrentie. Op voornoemde argumenten is de Business Case eenvoudig, maar door de lokroep van de mobile syrens zien we al snel een aantal randvoorwaarden over het hoofd.

Ik zie bij veel bedrijven een behoorlijk goed dichtgetimmerd bedrijfsnetwerk. Vaak ook met behoorlijk ingerichtte thuiswerk voorzieningen als VPN of Citrix oplossingen. Tegelijkertijd moet ik constateren dat dezelfde bedrijfsnetwerken zo lek als een mandje zijn doordat er allerlei workarounds zijn toegepast om maar iphones en ipads toegang te kunnen geven tot de belangrijke gegevens. Adviezen van architecten worden vaak genegeerd omdat de directeur nu eenmaal met zijn gadget er bij wil.

Het resultaat is een enorme toename in beveiligingsincidenten in het laatste jaar. Voordat je als bedrijf echt klaar bent voor flexibel werken moet er aan een aantal voorwaarden voldaan worden, zoals netwerk zonering en dataclassificatie. Als bedrijf moet je bepalen welke data echt belangrijk en privacy gevoelig is en het netwerk moet zo ingedeeld zijn dat belangrijke informatie niet zomaar naar buiten kan. De financiële administratie of het beheer van patenten mag niet in hetzelfde netwerk segment staan als een document server met productflyers die we even snel bij een klant downloaden en laten zien. Voor veel bedrijven betekent dit hoge kosten om achterstallig onderhoud in te halen. Juist die bedrijven waar geklaagd wordt over een achtergebleven IT voorziening zijn geneigd om nu snel een inhaalslag te maken en alles open te zetten voor mobile access.

Daarnaast zullen er de nodige maatregelen getroffen moeten worden om te voorkomen dat er meegegluurd wordt of geheime informatie de deur uit gaat. Daarbij komen intrusion detection en data loss prevention oplossingen om de hoek kijken. Toch ook weer een investering die we niet uit de weg moeten gaan.

Terminus a Quo.

In de afgelopen jaren heb ik regelmatig van de snelle mobile jongens te horen gekregen dat we niet zo moeten zeuren over security. Het houdt de innovatie alleen maar tegen. Integendeel, het is het begin van innovatie. Wanneer de zaak op orde is kan er verder gebouwd worden. Als we nu proberen met een snelle mobile oplossing een voorsprong op de concurrentie te nemen staan we straks achteraan in de rij bij het UWV. Als de noodzakelijke voorbereidingen overgeslagen wordt bestaat het risico dat uw patenten, uw bedrijfs ‘kennis’ kapitaal of de gegevens van uw klanten volgende week in de Telegraaf staan of met een glimlach in Azie gebruikt worden.

Flexibel ontslagrecht.

Er zijn een aantal zaken die hoog op de agenda van de bedrijfsvoering staan. Natuurlijk is kostenbesparing een hot item en flexibel werken is daarin een eerste oplossing. Waarschijnlijk staat Business Continuity Mangement (BCM) ook hoog op de agenda evenals mobile en ETL processen. Vaak worden ze als losse speerpunten gepresenteerd, maar er is een onderlinge samenhang waarop ik in een van de volgende artikelen op in wil gaan. De crux zit hem namelijk in de flexibele organisatie die snel kan schakelen en dus voor elke klus de beste man tegen het voordeligste tarief kan inzetten. In de flexibele IT architectuur waarbij het werk locatie onafhankelijk gedaan kan worden is dus geen vaste medewerker meer nodig maar wordty op freelance basis wereldwijd ingehuurd.

Databases lokale overheden en de miljoenennota gemeente Utrecht

Posted on by

Het is prijsschieten op de kermis. Na het lekken van de miljoenennota 2012 gisteren was het vandaag weer raak in de IT huishouding van vele lokale overheden.

Gemeenteoplossingen

“Een dienstverlener die vaak zeer vertrouwelijke raadsstukken voor gemeenteraadsleden beheert, blijkt via een kinderlijk eenvoudig lek volledig te kraken. Inmiddels zou het lek gedicht zijn.

Dat blijkt uit onderzoek van Wouter van Dongen, een webexpert van DongIT. Hij was in staat om via een kinderlijk eenvoudige SQL-injection niet alleen in te loggen, maar ook volledige databasestructuur te zien. Omdat de databases ook de wachtwoorden bewaren, is het regelen van toegang tot systemen eenvoudig.”

Bron: Webwereld

Via GemeenteOplossingen.nl waren meer dan 342 databases van verschillende gemeenten besnuffelbaar. Maar dat was nog niet alles. Na Den Haag was Utreg aan de beurt. Hoezo Domstad?

Domstad Nota 2012

Dom in UtrechtEen ezel stoot zich over het algemeen niet twee keer aan de zelfde steen. Na het kinderlijk eenvoudig uitlekken van de Haagse miljoenennota 2012 door een eentje in een tweetje te veranderen bedacht verslaggever René Cazander van het AD/Utrechts Nieuwsblad dat hetzelfde geintje eens bij de gemeente Utrecht moest uitproberen. En tot zijn verbazing met onverwacht succes.

Het kan natuurlijk een keer gebeuren, maar het bijzondere is dat er bij de gemeente kennelijk niemand is geweest die vlak na het uitlekken van de Miljoenennota 2012 gedacht heeft om te kijken of dit in de eigen keuken ook zo was. Welke gemeente is als volgende aan de beurt?

Volgens RTV Utrecht verslaggever Dennis van Ommeren is het eigenlijk helemaal niet zo grappig als dat het er uit ziet, zeker als je je bedenkt dat de gemeente de afgelopen jaren al miljoenen in de IT voorzieningen heeft geïnvesteerd.

Week in ReTweet 37

Posted on by

De afgelopen weken zijn behoorlijk heftig met nieuws op het gebied van cybersecurity, privacy, digitale knulligheden en grootse plannen. Hoog tijd om maar eens een “Week in Review” categorie op te zetten met links naar het meest relevante nieuws op dit gebied. Helaas zijn “Week in Review”, “Security Weekly” of  “Keek op de Week niet bijster origineel. Voorlopig maar de werk titel “Week in ReTweet” met een overzicht van artikelen die ik getweet heb.

DigiNotar

Het nieuws van afgelopen week kwam natuurlijk van DigiNotar. Het meest volledige overzicht is te vinden op Security.nl in het DigiNotar dossier.

MiljoenenNotar

Met stip op nummer twee natuurlijk de gelekte Miljoenennota 2012. Na de Notar lijkt de overheid met de Nota notoir de ranglijst securityklunzen aan te gaan voeren.

Via NOS.nl van minuut tot minuut te volgen.

Naast de Haagse Miljoenennota is op dezelfde knullige wijze de Utrechtse begroting 2012 gelekt.

RT @rtvutrecht: Verslaggever Dennis van Ommeren over ICT-blunder #Utrecht. Stad zet #begroting te vroeg online. http://bit.ly/n2ndJO

Via Nu.NL

Verreweg het meeste nieuws komt van Nu.nl, niet omdat ze zulk geweldige speurneuzen zijn maar vanwege het simpele feit dat het Nu-Appje zo makkelijk retweet.

IBM pleit voor cyber-NAVO: http://op.nu.nl/o2oraz

Hackers zijn beveiligingsproblemen beu: http://op.nu.nl/pgBXSx

‘Veiligheid Staat was in geding bij ICT’: http://op.nu.nl/rcpeW9

‘Recht op flexibel werk vanaf 2013’ http://www.nu.nl/economie/2610897/recht-flexibel-werk-2013.html

Vertrouwelijke raadsstukken openbaar door lek: http://op.nu.nl/nn7xW9

Bits of Freedom

Smulweb heeft 1 miljoen passwords onversleuteld opgeslagen. Onversleuteld! http://bit.ly/oki3Tf

Eindhovens Dagblad

Zelf baas worden over je digitale leven – Mening – ED: http://bit.ly/om8qT4

Miljoenennota Prinsjesdag 2011 gelekt

Posted on by

In het kader van Overheid 2.0 bestaat de doelstelling om een stuk opener, transparanter, te worden. Dat gaat ze op dit moment voortreffelijk af. Na het DigiNotar debacle (waar de overheid overigens zelf niet zoveel aan kon doen) stonden vanmiddag de poorten van de schatkist wagenwijd open.

Vanmiddag rond 16.00 uur bleek ineens de Miljoenennota al leesbaar te zijn en werd deze in een razend tempo via Twitter verspreid. Bram Talman twitterde

W000t, heb de miljoenennota 2012 gevonden. Christ wat slecht beveiligd :p”

Hij heeft het stuk gevonden door het adres van de vorige Miljoenennota in te tikken en vervolgens het jaartal te wijzigen. “Het was een uurtje werk“, zei hij tegen de NOS. “Ik had geen wachtwoord nodig of niks.”

Ondertussen is de kamer not amused en lijkt anarchie te heersen in Den Haag, maar hoe spannend is dit nu eigenlijk?

Als project manager ben ik enkele jaren geleden een paar keer verantwoordelijk geweest voor de realisatie van de Rijksbegrotingswebsite en de Prinsjesdag website. Destijds was alles nog onder embargo en mocht er absoluut voor die dinsdag 14.00 openbaar worden.

De organisatie die er omheen stond was best professioneel. Van het ministerie van financiën, de ‘staatsdrukker’ en de IT leverancier. Hoewel… professioneel…

Er mocht echt absoluut niets uitlekken tot het moment supreme. Behalve allerlei geheimhoudingsverklaringen die de programmeurs moesten ondertekenen werden de ramen van de kamer met kranten afgeplakt voor het geval een journalist op de onzalige gedachte mocht komen met een telelens vanuit het kantoor aan de overkant een kiekje te schieten van de schermen. Natuurlijk zorgden we er voor dat pas op het allerlaatse moment de nieuwe website – op een andere server dan de bestaande website – aan het internet gekoppeld werd.

Maar, laten we wel wezen. Wat is er nou eigenlijk allemaal aan de hand? Om maar met  Henk Bleker te spreken die tegen Radio1 te kennen gaf “Hoogst ongelukkig, maar het is niet zo dat Nederland in brand staat of zo”

Zijn er mensenlevens in gevaar? Nou nee. Die geheimhouding is natuurlijk een prachtig mediaspektakel. Iedereen is op jacht naar de nota en de spanning bouwt op naar de derde dinsdag. Het is een traditie die we gecreeerd hebben, met allerlei riten er omheen die ondertussen mythische proporties hebben aangenomen. Maar het blijft een spel. Het aandeel van het Koninkrijk der Nederlanden is vandaag niet gedaald. Er zijn geen miljoenen verdampt op de beurs. De grootste ramp waarschijnlijk van vandaag is dat Frits Wester vandaag een keer niet de primeur heeft, ook al twittert hij druk dat hij hem ook al had en nog aan het lezen was. We houden het dus op gekrenkte ego’s. Verder geen slachtoffers vandaag.

Bijkomend voordeel is dat de kans dat de website dinsdag a.s. plat gaat weer een stuk kleiner is geworden. Er zal nu vast geen peak performance gevraagd worden

Mijn herinnnering aan de internet aardbeving van 9/11

Posted on by

Vandaag

Zo. Dat hebben we ook weer gehad. Vandaag, 8 september 2011, een ‘massive’ aardbeving van 4.6 op de schaal van Richter beleefd in Nederland. Volledig gehyped in de nieuwe media. Binnen tien minuten stond #aardbeving op nummber 1 bij de wereldwijde Trending Topics (TT) op Twitter. Ruim een kwartier later kwam de eerste ouderwetse krant met een bericht (in eerste instantie ook nog met verkeerde feiten). We kunnen rustig stellen dat deze miniquake hoger op de ‘schaal van Twitter’ scoorde dan op de ‘schaal van Richter’.

Deze week leven we echter ook toe naar de herdenking van die andere mega aardverschuiving: 9/11. Dit jaar al weer 10 jaar geleden. Een terugblik in mijn herinnering;

9/11/2001

… 11 september 2001 en de wereld staat op zijn kop. Ik zit aan een bakje koffie en zap wat rond en zie één brandende WTC toren en een hysterische reporter. Ik blijf zitten en zie vliegtuig nummer twee naar binnen boren. Ik zit aan de televisie gekluisterd. Daarna het Pentagon en het vierde vliegtuig dat zijn eindbestemming niet haalt en neerstort in de maisvelden. Niet veel later duik ik het internet op, naar mijn favoriete community op dat moment, Ancient Worlds (http://www.ancientworlds.com) en spreek mijn vrienden uit de USA via IM en chat.

Eén van hen werkt voor een software bedrijf dat een klus doet op het Pentagon. Hij had net vandaag een snipperdag genomen. Terwijl we bespreken wat er gebeurd is er een stel marrokanen bij mij aan het einde van de straat die een feestje gaan bouwen. Niet veel later is mijn straat in Ede, Nederland wereldnieuws als het op CNN genoemd wordt

Web 2.0 is geen bekeringsverhaal waarbij je het exacte moment kunt noemen dat je het licht gezien hebt. Het is niet begonnen op het moment dat Tim O’Reilly de webtrend
voor het eerst web 2.0 noemde. Het is ook niet begonnen op 14 maart 2004 in het
Ceasar Palace Hotel. Als we dan toch een moment moeten noemen, dan zeg ik dat
9/11 de kick-off was voor wat we nu web 2.0 noemen en niet het knappen van de
dotcom bubble zoals velen beweren, hoewel deze gebeurtenissen niet ver uit
elkaar liggen.

“The bursting of the dot-com bubble in the fall of 2001 marked a turning point for the web. Many people concluded that the web was overhyped, when in fact bubbles and consequent shakeouts appear to be a common feature of all technological revolutions. Shakeouts typically mark the point at which an ascendant technology is ready to take its place at center stage. The pretenders are given the bum’s rush, the real success stories show their strength, and there begins to be an understanding of what separates one from the other.

The concept of “Web 2.0” began with a conference brainstorming session between O’Reilly and MediaLive International. Dale Dougherty, web pioneer and O’Reilly VP, noted that far from having “crashed”, the web was more important than ever, with exciting new applications and sites popping up with surprising regularity. What’s more, the companies that had survived the collapse seemed to have some things in common. Could it be that the dot-com collapse marked some kind of turning point for the web, such that a call to action such as “Web 2.0” might make sense? We agreed that it did, and so the Web 2.0 Conference was born.”

Bron: O’Reilly Media: What is Web 2.0

Vanuit dit oogpunt is Web 2.0 ontstaan vanuit technologische vernieuwing, maar Web 2.0 is alles behalve technocratisch, het is gepassioneerd, user-driven. Web 2.0 is het sociale web. 9/11 veranderde de wereld, maar wat is er dan precies veranderd?

“After 9/11 the world changed. Insecure teenagers started looking for communities and businesses started to think cross platform.”

Bron: Anthony Zuiker (CSI) tijdens de Virtual World Conference 10-10-2007 San Jose

De wereld was in shock en zocht elkaar op. Het internet was bij uitstek het intercontinentale communicatieplatform waarop dit gebeurde.

Nu moet ik hier en daar wat kleuraccenten leggen om van het web niet één grote flower-power happy family community te maken: Communities zijn niet nieuw op het internet. In de vroege jaren 90 waren er al doelgroep specifieke communities, zoals Ancient Worlds, maar ook Geocities en andere chatbased of forum / bulletin board gebaseerde gemeenschappen. Sterker nog, het internet is als een kleine inieminie community begonnen. Tim Berners-Lee staat bekend als ‘uitvinder’ van het wereld wijde web in 1989 wat eigenlijk niet meer was dan een community site voor zijn collega’s bij het CERN instituut in Zwitserland.

 “I just had to take the hypertext idea and connect it to the TCP and DNS ideas and — ta-da! — the World Wide Web.”

Bron: Tim Berners Lee: Answers for young people

Het web is dus begonnen als een community en heeft gedurende zijn hele leven communities in verschillende vormen gekend, hoewel het eerste decennium vooral gedomineerd werd door de afstandelijkheid, zakelijkheid en beperkingen van het medium.

9/11 heeft wel degelijk een omslag teweeggebracht in het denken en ons sociale bewustzijn. Tot aan de jaren 20 van de 20e eeuw werden steden en dorpen vanuit een gemeenschaps-architectuur gebouwd, rondom een kerk of andere gemeenschappelijke plekken, de maatschappij was gemeenschapsgericht. Eind jaren 20 begon dit langzaam te veranderen. Het gemeenschappelijke vertier werdt langzamerhand verdrongen door het individuele plezier: Het tijdperk van de televisie brak aan. Op 7 september 1927, op de kop af 80 jaar geleden werd de eerste electronische video uitzending gedaan via de eerste electronische televisie (dus niet zoals eerdere mechanische apparaten van o.a. Graham Bell). Saillant detail is dat deze televisie gebouwd werd door Philo T. Farnsworth in zijn laboratorium op de hoek van Sansome & Green street in San Francisco, recht tegenover het gebouw waar nu Linden Lab gevestigd is, de makers van Second Life, een van de pioniers in de laatste social webtrend; de virtuele communities.

9/11/2006

Even weer terug in mijn herinnering, nu 5 jaar geleden.

…11 september 2006. Ik word wakker, loop naar beneden en zet mijn beeldscherm aan. De 6e verjaardag van web 2.0 begint met mijn startscherm, Netvibes. Ik spring langs de tabbladen. Het algemene nieuws van vandaag en het weer, het is dinsdag dus ik sla de tab sport over en spring naar de tab met mijn rss feeds over de metaverse en tot slot browse ik even de headlines van mijn tabblad technologie blogs. Ik ben weer helemaal bij en kan aan het werk.  

Dezelfde avond zak ik onderuit, zet weer mijn beeldscherm aan en ga op zoek naar een paar leuke filmpjes op Youtube, schrijf wat voor een van mijn blogs, werk mijn zakelijke contacten bij via Linked-In en doe nog wat prutswerk aan Facebook.

2006, het internet is anders dan 5, 6 jaar geleden. Ik bel niet meer in, maar ben always-on. De PC staat aan en ik hoef alleen maar even m’n beeldscherm aan te zetten om op internet van start te kunnen. Sterker nog, internet is voor mij al aan de slag gegaan. Ik hoef niet meer op zoek naar nieuws, maar krijg dit binnen via RSS feeds die elke 5 minuten bijgewerkt worden. Ik heb de krant opgezegd want via mijn Netvibes tabblad nieuws krijg ik de headlines binnen van o.a. NRC, Algemeen Dagblad, Metro en Nu. Ook in één oogopslag de buienradar en de weersvoorspelling. Alleen nog zoeken naar een widget waarmee ik ook op deze pagina de voor mij relevante files kan laten zien.

’s Avonds ga ik bloggen. Dit is een lastige. Ik heb een blog op mijn eigen (familie) website, één waarin ik puur en alleen blog over virtuele werelden, één van de zaak, eentje bij Hyves en eentje bij Facebook (die ik helemaal niet gebruik). Waar ga ik mijn bericht plaatsen? Afhankelijk van de content. Maar wacht even. Ik heb nu een filmpje gezien op YouTube dat echt vet cool is. Dus ik plaats hem op Hyves. Maar in dat filmpje wordt Second Life gebeurd, dus ook op mijn metaverse blog. Omdat ik er zelf nog in voorkom ook maar op mijn privéblog plaatsen en omdat het over nieuwe techniek gaat ook maar op mijn zakelijke blog. Het wordt een beetje verwarrend.

Weer iemand leren kennen in de virtuele wereld Kaneva en een goed gesprek gehad. Het is wel een interessant zakelijk contact dus ik voeg hem toe aan Linked-In. Hij gebruikt geen Jobster zo te zien. Om in contact te blijven ook maar toevoegen aan mijn contactpersonen van Twitter en Pownce. Jaiku gebruik ik niet meer nu het overgenomen is door Google. Skype, MSN of ICQ komt later wel als ik wat meer contact gehad heb. Nu nog even geen voice applicaties delen.

Ondertussen heb ik zo’n 10 emailadressen, ben lid van hyves, facebook, xing, ning, linked-in, plaxo, ringo, jobster, youtube, flickr, photobucket, webshots en in virtuele werelden ben ik actief in Second Life, stagespace, kaneva, multiverse, activeworlds, vSide en entropia. Voor het bloggen is er blogger, wordpress en expressionengine. Dan is er nog qua communicatie Skype, MSN, ICQ, Jaiku, Twitter en Pownce om maar te zwijgen van nieuwe startups als profiler, 8apps en geni. Ik vergeet bijna nog netvibes, digg, stumbleupon en del.ici.ous. Als ik op Google zou overstappen zou ik misschien al een iets meer geïntegreerd pakket krijgen, maar dat weiger ik. Google wordt te groot.

Voor het gebruik van blogger wordt ik gedwongen een Google ID met bijbehorend emailadres aan te maken, voor Flickr wordt ik gedwongen een Yahoo ID aan te maken met bijbehorend email adres. Wil ik commentaar geven op een blog dat via typepad gepubliceerd wordt moet ik daar ook een apart account voor aanmaken. Overal en nergens zweeft er wat informatie. Ik wil een Single Point of Entry en de mogelijkheden van deze sites of platformen via widgets ontsluiten.

Er zijn wat hybride applicaties, zoals Trillian waarmee je in één applicatie AOL, MSN, Yahoo Messenger en ICQ kunt gebruiken en om maar eens wat te noemen de Squawknest widget waarmee je vanuit Second Life naar del.ici.ous, magnolia, jaiku en twitter tegelijk kan posten, maar goed, er zijn al 20 verschillende twitter clients.

En nu verder !?

Voor mij is 9/11 het beginpunt van het sociale web. Vanaf deze datum heeft de drang tot het delen van (persoonlijke) informatie een enorme vlucht genomen. De onderliggende infrastructuur, het wereld wijde web, was hier niet op voorbereid. Nu tien jaar later nog steeds niet. 9/11 gaat niet alleen over allerlei anti terrorisme maatregelen die de overheid afkondigd maar vooral ook over hoe wij onze eigen privacy vergeten, maar daarover later meer…

 

Exit CA, Welkom Personal Dashboard

Posted on by

Gisteren eindigde ik mijn blogpost met een zo op het oog wat uit de lucht gegrepen zin;

De roep om een persoonlijke CA wordt langzaam groter; een instantie die niet alleen een bedrijf of website kan certificeren maar een autoriteit je digitale identiteit kan bevestigen. Maar met deze informatie in huis is zo’n CA hack target nummer 1.

Toch komt deze niet helemaal uit de lucht vallen. Het nieuws van vandaag over DigiNotar wordt grotendeels bepaald door de vraag of Certification Authorities zowiezo niet op hun retour zijn.

Het huidige certificeringssysteem voor websites heeft zijn beste tijd gehad. ICT-experts wisten dat allang, maar de hack bij het bedrijf Diginotar bevestigt dat nog eens.   Dat vindt Bits of Freedom, de organisatie die opkomt voor privacy op internet. ”Deze hack moet een wake-up call zijn voor overheden in heel de wereld.” Bron: Nu.nl

Die gedachte hadden we inderdaad al een tijdje geleden. Niet dat de tijd van een CA voorbij is, maar vooral dat het anders moet.

Eerder dit jaar was ik op bezoek bij Futurist Marcel Bullinga die net de laatste hand legde aan zijn boek “Welcome to the Future Cloud” en de kern van het gesprek was eigenlijk precies de ham kaas vraag van vandaag: Het persoonlijke dashboard waar jij in control bent en je vrienden, werkgevers en scholen je claims bevestigen en niet een Certification Authority.

Gelukkig had Marcel net vorige week nog even zijn boek opgestuurd en moet ik daar nog eens een review van doen.

Hoewel het Dashboard niet alle problemen met privacy en ‘garantie’ oplost zitten er weldegelijk aanknopingspunten in om over de toekomst van Privacy en Security na te denken.

Dashboard Communication-, privacy & copyright control center. Click & Wrap all your personal belongings.

Today’s internet is a bizarre, unsafe mess. On the internet, nothing is forgotten. Your past haunts you forever. You cannot control anything at all. In the Cloud, you have tools to control your personal belongings, tools to make others forget and tools to keep your secrets. All information will be wrapped with a “Cloud Seal”, a sort of super seal, like the traditional notary’s seal but better, that guarantees trust. With your personal dashboard, a sort of safe deposit for data, you control all of your personal creations and belongings. With your personal mobile, you can check everyone and everything on the spot. That is the real progress we can make in the Cloud. Not some anonymous government institution or the police is in control, as is the case now – no, you are in control.

Bron: Marcel Bullinga “Welcome to the future Cloud” 2011
(ISBN 9789491030024)

Als er iets meer tijd is wil ik hier wel eens dieper op induiken.

Komt een man bij de Notaris…

Posted on by

Door het starten van een blog over Security in deze dagen kan ik natuurlijk niet voorbij gaan aan de meest recente ontwikkelingen die heel Nederland in haar greep houdt: De inbreuk op DigiNotar. Wat is er nu eigenlijk aan de hand?

Komt een man bij de Notaris… En loopt even later weer naar buiten met het briefpapier en het stempel. Met het papier en het stempel kan hij trouwaktes, verkoopaktes enz. opstellen en verkopen.

DigiNotar is de digitale notaris die de echtheid van websites garandeert. Vanaf het begin
van het internet tijdperk is het wereld wijde web een anonieme wereld geweest. Je hebt contact met mensen over de hele wereld, zonder ze te kennen of echt te ontmoeten. In de eerste jaren was het gebruikelijk om op bulletin boards en fora een zogenaamd ‘handle’ te gebruiken, een alias zonder je eigen naam te vermelden. Hoe weet je nu wie wie is?

Op een forum is dat misschien nog niet zo spannend en maakt het je misschien niet uit
met wie je van doen hebt. Het wordt anders als het gaat om een bedrijf waar je iets wilt kopen. Dan wil je wel zeker weten dat je de spullen geleverd krijgt. Hiervoor zijn CA’s opgericht. CA staat voor ‘Certification Authority’, de instantie die websites certificeert op echtheid. Een soort digitale Notaris die het stempel ‘betrouwbaar’ op een website zet.

(Zie o.m. Security.nl voor een wat diepere uitleg van hoe SSL certificaten werken)

Wat is er gebeurd?

Het is al ruim twee jaar geleden dat DigiNotar gehackt is. Hierbij zijn bestanden op de
servers van DigiNotar achter gelaten. Nu twee jaar later komt men daar achter en constateert men dat er ruim 500 Certificaten gekaapt zijn. De vraag is of DigiNotar dit zelf wist en verzwegen heeft, of het gewoon niet opgemerkt heeft. In beide gevallen een kwalijke zaak.

Verschillende hackers hebben de afgelopen jaren meerdere keren de portal van het Nederlandse DigiNotar gehackt, maar of deze aanvallen ook verband houden met de recente SSL-blunder is onbekend. DigiNotar gaf onlangs een SSL-certificaat uit voor alle *.Google.com domeinen. Daarmee werden vervolgens Iraanse Gmail-gebruikers afgeluisterd. Hoe de hackers bij het Nederlandse bedrijf wisten binnen te dringen is onbekend. De aanvallers lieten wel twee meldingen achter, die op het moment van schrijven nog online stonden.

Deze meldingen zijn echter al jaren oud, aldus het Finse F-Secure. Een andere melding van Turkse hackers zou al uit 2009 stammen. “Deze hacks zijn zo oud, dat het waarschijnlijk niets met het huidige probleem te maken heeft, althans, dat hopen we”, zegt Mikko Hypponen. Eerder liet hij nog weten: “Deze kleine Nederlandse SSL-winkel moet waarschijnlijk zo trots zijn geweest toen Google besloot hun SSL-certificaat bij hen te vernieuwen.”

Bron: Security.nl

Wat is het gevolg?

Uit het bovenvermelde citaat blijkt al dat er Gmail gebruikers zijn afgeluisterd, maar
daarnaast heeft de hack verstrekkende gevolgen voor de Nederlandse overheid. Na
eerdere berichten over de betrouwbaarheid van DigID lijkt dit een zware slag
voor de e-overheid.

Alle efforts richten zich nu op het geruststellen van de burger, getuige bijvoorbeeld de verklaring op de website van de Belastingdienst.

De communicatie is gericht op het geruststellen van de ondernemer. Het regeltje
over de particulier is echter veelzeggend: Nu Even Niet!

Betrouwbaarheid

Betrouwbaarheid is het sleutelwoord voor een CA. Als het vertrouwen weg is, is het einde
oefening. Dat zie je nu ook gebeuren bij de klanten van DigiNotar, en dan met name de Nederlandse Overheid. Ook Roel Schouwenaar van antivirusbedrijf Kaperski ziet dit als het einde van DigiNotar;

The main reason why Diginotar has been excommunicated is the fact they didn’t disclose the breach. With some 500 authorities out there globally it’s hard to believe Diginotar is the only compromised CA out there. Diginotar will quite likely go out of business. This should serve as a very strong message for CAs to go public with any breach.

Maar ook als een zeer sterke motivator om nu eindelijk security eens hoog op de agenda
te zetten;

The attack on Diginotar doesn’t rival Stuxnet in terms of sophistication or coordination. However, the consequences of the attack on Diginotar will far outweigh those of Stuxnet. The attack on Diginotar will put cyberwar on or near the top of the political agenda of Western governments.

Bron: Securelist

Van Bulletin Board naar Facebook

Waar we vroeger via Bulletin Boards met elkaar communiceerden en ondertekenden met een anonieme handle zijn we na 9/11 een stuk persoonlijker geworden op het internet. 9/11 stimuleerde de drang om met elkaar te delen en kreeg het sociale internet momentum. We delen nu steeds meer van onze eigen identiteit, geven steeds meer prijs.

Met alles wat we van onszelf weggeven is het voor de geoefende – en kwaadwillende
– hacker geen probleem om een identiteit te stelen. De roep om een persoonlijke CA wordt langzaam groter; een instantie die niet alleen een bedrijf of website kan certificeren maar een autoriteit je digitale identiteit kan bevestigen. Maar met deze informatie in huis is zo’n CA hack target nummer 1.

Een nieuwe start

Posted on by

Welkom bij Auruncus. Een nieuwe start, in een nieuwe taal en met een nieuw onderwerp!

Ergens in 2006 ben ik mijn eerste blog gestart; het Engelstalige Mindblizzard blog. In korte tijd is dit een redelijk succesvol blog geworden over nieuwe technologie, met name Virtuele Werelden en Augmented Reality. Naast deze onderwerpen maakte ik af en toe uitstapjes naar de wereld van Cloudcomputing, Smartphones en Security.

Met name vanwege familieomstandigheden is het blog eind 2009 redelijk in verval geraakt, maar de onderwerpen hebben mij nooit losgelaten. Nu ruim 5 jaar na de start van Mindblizzard hikt de wereld nog steeds aan tegen de concepten van Virtuele Werelden en Augmented Reality. Een aantal andere onderwerpen die ik aangesneden heb nemen op dit moment een steeds prominentere plaats in. Het onderwerp dat er de laatste tijd steeds uitspringt is Security.

Hoogste tijd dus om de draad weer eens op te pakken en dit onderwerp uit te diepen. En zie hier de geboorte van Auruncus.

Romulus en Remus
Romulus en Remus

In het Nederlandse beveiligingswereldje is Securitas een begrip. Deze Romeinse godin was de personificatie van de veiligheid en rust in het leven van de bijzondere personen. Haar taak was primair de persoonsbeveiliging. In de Romeinse mythologie is er echter nog een godin die gespecialiseerd is in beveiliging, nl Auruncus (ook wel Averruncus genoemd). Het was haar taak om het kwade af te weren, en met name de persoonlijke bezittingen te beschermen. Als we het hebben over online beveiliging, Security en Privacy vraagstukken, dan hebben we veelal te maken met de bescherming van het intellectueel eigendom en het digitale bezit van personen, bedrijven en instellingen.

Ik hoop jullie als lezers in de komende periode veel leesplezier en stof tot nadenken te geven.

Met vriendelijke groet,

Johan Vermij