Big brother en Evil brother
Goudvis
Routeplanners zijn een uitvinding voor types zoals ik met het richtingsgevoel van een analfabete goudvis. Ze wijzen ons vriendelijk doch dwingend de weg op soms onnavolgbare wijze naar het einddoel, om uiteindelijk te melden dat we zijn aangekomen (3 kilo). De eenvoudige routeplanners zijn ingebouwd in een mobiele telefoon. Verder zijn er wat luxer uitvoeringen die je bij de lokale elektronicawinkel koopt. Deze gidsen maken soms gebruik van het internet om updates te halen, maar kunnen verder prima zelfstandig werken. Wel is het een nadeel dat ze niets weten van files, omleidingen of de openingstijden van restaurants en winkels in je omgeving. Routeplanners heten passief te zijn, ze bepalen de positie aan de hand van een aantal satellieten maar zenden zelf geen signaal uit. Je privacy als gebruiker van een routeplanner is hiermee redelijk gewaarborgd.[1]
De luxueuze modellen hebben nog steeds het kaartmateriaal bij zich, maar maken verbinding met een server om regelmatig updates over snelheidscontroles en verkeerscongestie op te halen. Nu al komt de privacy van de gebruiker in het geding. Afhankelijk van de implementatie door de leverancier kunnen er locatiegegevens (anoniem) worden doorgestuurd, waardoor bijvoorbeeld de plaats van de navigatieapparatuur en daarmee de persoonsgegevens van de licentie-eigenaar bekend zijn.
Het kan erger
Google heeft een gratis routeplanner in ontwikkeling wat bijna een garantie is voor een grote marktpenetratie. Veel mensen (heel veel mensen) maken al gebruik van gmail, de gratis e-maildienst van Google. De routeplanner software van Google heeft geen kaarten op de telefoon, maar haalt zijn kaartmateriaal van Internet. Dat heeft allerlei voordelen, je ziet meteen welke restaurants er bij je in de buurt zijn en je kunt zelfs Google streetview inschakelen. Het heeft ook nadelen. Big Brother Google weet al heel veel van je, omdat je gmail gebruikt, een android telefoon (by Google) gebruikt en je in deze papierloze maatschappij googledocs vaker toepast dan je gewone office applicaties. Met deze handige aanvulling in het dienstenpakket weet één partij steeds waar je uithangt en waar je mee bezig bent.
Evil Brother
Verdedigers van Google zullen stellen dat het beschermen van de privacy deel uit maakt van het business model van het bedrijf. Ze zullen veel klanten verliezen als ze zelf niet voorzichtig omspringen met de verzamelde persoonsgegevens en informatie over hun gebruikers. Een overheidsinstantie kan echter een dwingend beroep doen op Google om gegevens op te leveren. Google is niet altijd consequent in het weigeren van overheidsaanvragen, zo zijn er gmailaccounts afgesloten en worden zoekmachine resultaten gefilterd als een regering daar voldoende druk op zet. Zodra Google voldoet aan de vraag om positiegegevens van een of meer personen op een bepaald tijdstip levert dit een schat aan gegevens op. Overheden staan er niet om bekend dat zij eenmaal verworven vrijheden gemakkelijk prijsgeven (denk aan het kwartje van Kok). Door het bundelen van technieken komt er steeds meer informatie online over individuen beschikbaar, waar men zichzelf niet van bewust is.
Privacy is iets dat je alleen maar kunt kwijtraken. Gelukkig is deze routeplanner voorlopig slechts verkrijgbaar in Amerika.
[1] Mobiele telefoons worden gebruikt als indicatiemiddel voor verkeersdrukte. Tenzij het een anoniem toestel betreft waarvan de gebruiker zich niet heeft geregistreerd, is men niet per definitie anoniem in de file. Trouwens, het kenteken van een voertuig is ook gewoon aan de buitenkant af te lezen…
Gegevens veilig wissen
Computers hebben harde schijven. Dat zijn mechanische apparaten met de vervelende eigenschap dat ze stuk kunnen gaan. Meestal doen ze dat op een heel erg ongeschikt moment (bijvoorbeeld vlak voordat je bank de betaalgegevens wil hebben). Je richt je processen daarom zo in dat je na een dergelijk rampje snel weer door kunt gaan met je werk. Dat is het proces business continuity. Pas in een later stadium maak je je druk over wat je moet doen met de defecte harde schijf. Want dat hij niet meer draait wil niet automatisch zeggen dat er geen vertrouwelijke bedrijfsgegevens meer op staan. En dat jíj hem niet meer kunt lezen wil niet automatisch zeggen dat een specialist dat ook niet meer kan. Daarom is het verstandig om goed na te denken over het vernietigen van data.
Als je een enkele defecte harde schijf hebt, kun je met een hamer en een stalen beitel veel schade aanrichten, zodanig dat de magnetische schijf inderdaad niet meer gelezen kan worden zonder kostbare laboratoriumapparatuur. Maar als je een hele serie harde schijven (of pc’s met harde schijven) zo moet behandelen, wordt het een langdurige kwestie. Dan kun je beter automatiseren. Zo zijn er gespecialiseerde bedrijven die met een hydraulische pers harde schijven in stroken knippen.
Je kunt ook te maken krijgen met pc’s (of servers) die je wilt afstorten omdat ze te oud zijn. Tweedehands pc’s zonder harde schijf zijn slecht te verkopen. Door gebruik te maken van speciale professionele programmatuur (Blancco, Killdisk) of gratis tools (eraser) kun je je schijven meerdere malen overschrijven met verschillende datapatronen. Het is wel van belang dat je voor meervoudig overschrijven kiest. Een magneetkop in een harddisk slingert een beetje, waardoor magnetische informatie ook naast het dataspoor terecht komt. Door meerdere malen te overschrijven wordt deze residu-data eveneens gewist.
En je dacht uit de problemen te zijn in de papierloze maatschappij?
Hoax
Het was al weer een tijdje rustig op het hoax-front, zeker nu de Nigerianen door hun eigen landgenoten worden opgepakt. Gelukkig is Kassa van de Vara niet te beroerd om als bron voor de ‘Postcard From Hallmark‘ hoax te dienen. De waarschuwing voldoet aan alle kenmerken van een valse melding:
- NEEM HET VOLGENDE VOORAL ZEER SERIEUS
- Het virus (welk virus?) richt grote schade aan in je computer
- Verspreiding moet door de mens worden gedaan
- Het verwijst naar vage ‘officiële’ bronnen (CNN, Microsoft, McAfee)
- Het meest vernietigende virus ooit
- Geen reparatiemogelijkheden
- Geen datum vermeld waarop het virus herkend werd
- Geen naam van het bestand zelf
- Geen virusnaam bekend
- Geen verwijzing naar betrouwbare bronnen waar een en ander te verifiëren is
Hoaxes, als je die doorstuurt ben je zelf de verspreider van het virus.
Beveiliging versus privacy – WTF???
Iedereen die iets met informatiebeveiliging doet, is zich er van bewust dat privacy een belangrijk item is. Voor alle anderen: privacy willen houdt niet in dat je geheimen hebt, maar er zijn dingen die niet iedereen aangaan. Dat houd je dan voor je, of in jargon, dat bescherm je.
De grote baas van Kaspersky stelt in een interview dat de grootste kwetsbaarheid van het Internet ligt in de anonimiteit van de gebruikers. Iedereen kan Internet stukmaken of er vreemde dingen uithalen, zonder dat zijn persoonsgegevens direct bekend zijn. Dat moeten we (volgens Eugene Kaspersky) willen voorkomen door iedere Internetter te verplichten een internetpaspoort te gebruiken. Daarbij moet het Internet worden gereguleerd en is het nodig een internetpolitie in te stellen. Alleen het registreren van IP-adressen en bijbehorende gebruikers bij de ISP’s is niet voldoende.
Kaspersky lijkt even uit het oog te verliezen dat als je privacy opoffert voor veiligheid, je beide verliest. En privacy krijg je nooit meer terug.
Het ultieme advies voor veilig telebankieren
Het is me toch allemaal wat, de laatste tijd. Alleen arme mensen zijn nog veilig voor sluwe dieven die online bankrekeningen plunderen. En nu mag je ook nog eens geen windows meer gebruiken, omdat dit nog onveiliger is. Er zijn tenslotte ook minder slimme criminelen die gewoon stelen waar wat te halen valt. Ik kan deze column afsluiten met het advies ervoor te zorgen dat je niet alleen arm bent, maar ook nog eens zo rood mogelijk moet staan. Dat doe ik niet zolang er betere alternatieven zijn.
Als vervanger voor windows wordt de goedbedoelde raad gegeven om dan maar Apple of Linux te gebruiken. Deze adviezen zijn onvolledig (of niet goed weergegeven door de journalist). Want Apple en Linux zijn uitstekend in staat keyloggers en andere nare software te draaien, waardoor je alsnog Roemeense en Oekraïense criminelen aan het sponsoren bent.
Je doet er verstandig aan gebruik te maken van een opstartbare linux cd (puppylinux, damn small linux) en die maar voor één ding te gebruiken: telebankieren. Gebruik de cd voor niets anders, ook niet voor het checken van je webmail, bezoek van je Hyves, Facebook, MSN, LinkedIn of iets dergelijks. Als je via links in emailberichten naar je banksite gaat kun je ook met een opstart-cd in de problemen komen. Typ zelf de link in naar de website vanje bank, log in, doe wat je moet doen en verlaat de website. Herstart daarna je computer en haal de cd weer uit de lade. Zo begin je iedere keer met een schone lei en heeft een besmetting van je windowscomputer geen invloed op je banksaldo.
Door veilig te werken help je jezelf (toch niet arm) en mij (iedereen een beetje pinguïn).
Zoek de griep
Zoekmachines kun je voor veel dingen inzetten. De advertenties die je te zien krijgt als je met werkt een zoekmachine hebben bijvoorbeeld (meestal) een relatie met het onderwerp. Een zekere zoekgigant die gratis emaildiensten aanbiedt doorzoekt je emailberichten om je min of meer relevante reclames aan te bieden.
Als je zoekpatronen gaat combineren met andere gegevens kunnen er nieuwe producten ontstaan. Het vermoeden bestond al dat mensen informatie gaan zoeken over dingen die op ze af komen. Een ontwikkelaar bij Google bedacht dat hij de de resultaten van een globale griepmeting (ECDC)(CDC) dan best kon verbinden aan deze zoekslagen. Wat bleek, de historische pieken in de zoekdata en de meetgegevens van de griepmeting bleken volledig met elkaar overeen te komen. Met als resultaat de Google Flu Tracker.
Best leuk hoor, zoeken.
Mexicaanse griep (H1N1) en continuïteit
Ja, mexicaanse griep. Waar maken wij ons eigenlijk druk om? Al die overheden die roepen dat we ons klaar moeten maken voor heel veel uitval door griep. Sommigen voorspellen dat wel de helft van je bedrijf plat gaat door een nieuw griepje. Het is rustig in de media, de hype is wel over nu er geen scholen dichtgaan of bedrijven moeten sluiten door gebrek aan werknemers. Ook de door de kranten voorspelde massasterfte blijft uit. Desondanks houdt het RIVM vol dat dit allemaal een normaal seizoensbeeld is.
Een griepgolf in september of oktober is uitzonderlijk. De mexicaanse griep zal pas in de winter echt op gang komen. Dat blijkt wel uit de jaarlijkse griepprik, die normaliter omstreeks november wordt verstrekt. Griepvirussen kunnen dan langer overleven, omdat ze niet meer worden uitgedroogd door zon en omdat de mensen dichter op elkaar leven in minder goed geventileerde ruimtes (Deur dicht! We stoken niet voor de meeuwen!).
Bedrijven die zich voor de zomer hebben voorbereid op de aanstaande griephype, vragen zich nu af waarvoor ze het hebben gedaan. Niet voor niets, want een continuïteitsplan is gewoon geen overbodige luxe. Voor een informatiebeveiliger die het moet hebben van hypes en incidenten komt de griep als geroepen. Dit is een gouden kans om de menselijke factor van de continuïteit van de bedrijfsvoering te borgen. Dankzij de griep weten we nu welke processen echt belangrijk zijn, wie de sleutelpersonen zijn, wie er mag thuiswerken en wie er absoluut aanwezig moet zijn. Natuurlijk hebben we allemaal een buddy die onze werkzaamheden kan overnemen. En iedereen heeft een ‘griepmap’ op de centrale server waarin hij zijn lopende dossiers heeft opgeslagen. Als je dan nog uitvalt hoeft je collega zich geen zorgen te maken over de overdracht (jij hebt dan andere dingen aan je hoofd). Toch?
Telebankieren alleen veilig voor arme mensen
Als je het cybercrime report 2009-3 van Finjan hebt gelezen kun je alleen maar concluderen dat het beter is niet te veel geld op je rekening te hebben staan. De nieuwe trojaanse paarden die de internetboeven gebruiken hebben interessante snufjes waardoor je niet eens ziet dat je beroofd bent. Zo kijkt de software of je wel voldoende in de plus staat om beroofd te worden. Daarbij past het programma je online rekeningafschrift aan zodat er een kleiner bedrag wordt getoond dan er in het echt is afgeschreven en wordt je saldo eveneens gecorrigeerd. Helaas is dat laatste slechts camouflage voor de activiteiten van de criminelen.
Zodra je inlogt op een pc die niet besmet is met de crimeware worden de werkelijke gegevens getoond. Je kunt natuurlijk ook gewoon je saldo opvragen bij de pinautomaat.
De boeven halen nog meer slimme trucs uit, waardoor hun kans van slagen ongeveer 1 op 14 is. Hiermee voorkomen zij ontdekking door het automatische fraudedetectie systeem van de banken en blijft de transactie in eerste instantie voor de eigenaar verborgen. Geld dat op deze wijze is ontvreemd gaat via stromannen en hun tussenrekeningen (na aftrek van een commissie) naar de criminelen (vaak afkomstig uit Oost-Europa en Rusland).
De conclusie is eenvoudig te trekken: Cybercrime Pays. En je kunt beter arm zijn. En papieren afschriften zijn zo gek nog niet.
Versleutelen met Sophos
Vanaf nu is het mogelijk om gratis met AES (128-bit of 256-bit) versleutelde bestanden per email te versturen, zonder dat de ontvanger dezelfde software hoeft te hebben. Het is namelijk mogelijk om zelfuitpakkende bestanden te maken met het programma dat Sophos beschikbaar heeft gesteld. Hiermee is een grote drempel voor het gebruik van encryptie overwonnen.
Natuurlijk moet de ontvanger wel het wachtwoord weten waarmee het bestand is te ontsleutelen. Gezond verstand vertelt mij dat ik hiervoor niet de email moet gebruiken (en zeker niet als mijn bestandje in dezelfde mail wordt verzonden). Beter is hiervoor een sms-bericht of telefoontje te gebruiken. Zelfs de ouderwetse snailmail kan hier voldoen – zolang het maar niet per ansichtkaart is, aangezien die qua beveiliging vergelijkbaar is met een emailbericht.
Toon mij uw vrienden en ik vertel wie u bent
Studenten (aan de MIT) hebben een programma geschreven dat sociale websites (zoals Facebook) indexeert. Aan de hand van de “vriendenlijst” kan de eigenaar van een account worden getypeerd. Zelfs als je terughoudend bent met het vrijgeven van privacygerelateerde informatie, kan er nog veel over jou worden afgeleid door de vrienden die je hebt. Uitgangspunt bij sociale netwerken is immers dat men zich kan verbinden met gelijkgestemden. Zelfs als je niet bevestigt dat informatie waar of juist is, bestaat de kans dat mensen schadelijke conclusies trekken.
Van iemand die zich omringt met mensen van in de 40, is het niet waarschijnlijk dat hij 18 jaar is. Als dan een groot deel van zijn vrienden actief is in een streng gereformeerde kerkgemeente, zal hij daar waarschijnlijk ook toe behoren. Uit de sociologie is dit fenomeen al lang bekend. Het begrip “soort zoekt soort” wordt trouwens niet alleen negatief uitgelegd, het kan ook positief werken. Linkedin, een zakelijk georiënteerde sociale website richt zich op professionals die zich kunnen formeren in groepen. Uit de koppelingen (links) met anderen is een sociaal patroon te herleiden. In het klein doen we dit elke dag. Als twee personen elkaar op straat ontmoeten, en van de ene persoon weten we dat hij uit een politieke bijeenkomst kwam, dan kun je gevoeglijk aannemen zij gezamelijke interesses hebben.
Het was al bekend dat er privacygerelateerde problemen verbonden zijn aan sociale websites. Men is zich immers niet altijd bewust van de gevolgen op langere termijn van het openbaarmaken van persoonlijke informatie. Door de huidige krachtige zoekmachines, die ook in staat zijn al lang verwijderde gegevens te tonen, is het verleden letterlijk bijna niet te wissen. Het risico van sociale demografie via sociale netwerksites is dat het in groot gebeurt, zonder dat je invloed kunt uitoefenen op het resultaat en dat je niet weet of, hoe en dat het gebeurt. De privacy van de internetter staat op een heel andere manier onder druk, ook al geef je niet zelf je informatie prijs. Dit is strijdig met het concept van privacy dat wij nu hanteren, waarin je vertelt wat je openbaar wilt maken en verzwijgt wat je geheim wilhouden.
