Tinfoil hat voor RFID paspoort

september 20, 2006 at 1:36 pm (Oplossingen, Techniek)

Na de experimenten met ducttape en aluminiumfolie is het nu mogelijk een nette portefeuille aan te schaffen met RFID bescherming. Deze fabrikant levert verschillende producten met een ingebouwde kooi van Faraday, welke ongewenste RFID straling tegenhoudt.

Permalink Geef een reactie

Cybercrime wetgeving in leesbare vorm

september 8, 2006 at 2:34 pm (Uncategorized)

Per 1 september 2006 is de uit 1993 stammende wetgeving over computercriminaliteit of ook wel cybercrime ingrijpend veranderd. Met name is de definitie van hacken (computervredebreuk) uitgebreid: elk opzettelijk en wederrechtelijk binnendringen in computersystemen strafbaar, ook als daarbij geen beveiliging wordt gekraakt.
De wijzigingen als gevolg van de wet computercriminaliteit II worden op leesbare wijze uitgelegd op deze site.

Er worden trouwens wel meer leuke dingen helder uitgelegd, kijk ook eens op de voorpagina.

Dankbaar overgenomen.

Permalink Geef een reactie

Forensische tools

september 8, 2006 at 8:10 am (Techniek)

The Sleuthkit, een set forensische analyse gereedschappen die voorheen alleen op unix (en unix-achtigen) werkte, is uitgebreid met de binaries voor Windows. Gebruikers hoeven deze dus nu niet meer handmatig te compileren.

Permalink Geef een reactie

Deeplinking

september 7, 2006 at 2:00 pm (Achtergrond, Quotes)

Deeplinking

Door Gertjan Tamis CISSP. De auteur is adviseur informatiebeveiliging in dienst van de rijksoverheid.

Dit artikel is bestemd voor informatie-eigenaren, managers en andere verantwoordelijken voor het publiceren van informatie op Internet.

Bij deeplinking wordt direct vanaf andere sites verwezen naar al of niet verborgen informatie op websites. Bij het publiceren op Internet wordt wel eens onterecht vertrouwt op rechtsbescherming. Door toegang via Internet aan te bieden kan informatie toch voor derden worden ontsloten. Het niet op Internet zelf publiceren van informatie biedt vaak de beste bescherming.

Aanleiding

Aanleiding voor dit artikel is de uitspraak1 van de voorzieningenrechter in Arnhem inzake het toestaan van deeplinking2 naar woningsites. Ook andere uitspraken, zoals in 2000 met betrekking tot krantenkoppen hebben gevolgen voor de jurisprudentie. Voor de overheid geldt – in verband met de voorbeeldfunctie – dat er bijzonder secuur met het publiceren van informatie op Internet moet worden omgesprongen, om te voorkomen dat gegevens onbedoeld en ongewenst in de openbaarheid komen.

Op Internet staat vaak informatie, die hoewel rechtmatig is gepubliceerd, echter is bedoeld voor een select gezelschap. In ieder geval wil de eigenaar van de informatie controle houden op het tonen of aanbieden van deze informatie. Een methode die daar mogelijk afbreuk aan doet is de techniek van het deeplinken. De link http://www.minvws.nl/dossiers/infectieziekten/vogelgriep/default.asp is een voorbeeld van een deeplink. De url (uniform resource locator) bevat alle benodigde informatie om te verwijzen naar een specifiek onderwerp, in dit geval het dossier Vogelgriep. Hier wordt dus niet verwezen naar de hoofdpagina van het ministerie van Volksgezondheid, Welzijn en Sport, http://www.minvws.nl/.

Organisatie specifiek

De informatie die de overheid op Internet aanbiedt, is openbaar van aard. Voor het afschermen van informatie van vertrouwelijke aard welke op een webserver is geplaatst, is een uitgebreid scala aan technische maatregelen te bedenken. Vertrouwen op deze maatregelen is echter niet voldoende.

Daarnaast heeft het publiceren van informatie op Internet enige juridische consequenties, waar terdege rekening mee moet worden gehouden. Het is namelijk lang niet altijd mogelijk een beroep te doen op bestaande wetgeving, zoals de Auteurswet en de Databankenwet. Ook dient de mogelijkheid in acht te worden genomen dat de Wet bescherming persoonsgegevens wordt overtreden, indien vertrouwelijke informatie via Internet beschikbaar wordt gesteld.

Risico’s

Bij het ontsluiten van databanken via Internet ontstaan er nieuwe risico’s.

Enkele voorbeelden van risico’s die zich voordoen bij het ontsluiten van databanken zijn:

  • derden “vinden” informatie die niet naar buiten mag/mocht komen;

  • (geen) schending van het auteursrecht door derden;
  • schending van de Wet bescherming persoonsgegevens door de aanbieder van de informatie;
  • schending van de databankenwet door derden.

Oplossing

Stel een informatiebeleid op waarin (op hoofdlijnen) staat beschreven welke soort informatie wel en welke soort informatie niet aan derden ter beschikking mag worden gesteld. De informatie-eigenaar moet zijn (schriftelijke) toestemming geven voor publicatie. Controleer op naleving van het informatiebeleid.

Samenvatting en conclusie

Zorg voor een eenduidig informatiebeleid, zodat iedereen weet waaraan hij zich heeft te houden. Bied geen vertrouwelijke informatie aan via algemeen te benaderen websites.

Als het noodzakelijk is dat vertrouwelijke informatie benaderd kan worden via Internet, maak dan gebruik van alle ter beschikking staande technieken.

Denk na vóór het aanbieden van informatie op Internet. Het is eenvoudiger om gegevens niet via Internet beschikbaar te stellen dan om achteraf de schade te herstellen. Grootmoeders uitspraak “Bezint eer ge begint”, snijdt hier nog steeds hout.

1LJN: AV5236, Voorzieningenrechter Rechtbank Arnhem, 136002

2Deeplinking: een directe verwijzing maken naar een artikel, foto, muziekwerk of bestand op (meestal) een andere site dan waar de deeplink staat.

Permalink Geef een reactie

Obsolete hardware

september 7, 2006 at 8:09 am (Techniek)

Austrian Teen’s Captor Used Old Computer
– By WILLIAM J. KOLE, Associated Press Writer
Tuesday, September 5, 2006
(09-05) 12:09 PDT VIENNA, Austria (AP) –

Police combing through the house where Natascha Kampusch was held captive for 8 1/2 years said Tuesday they made an unusual discovery: Her captor, a communications technician, used an obsolete computer — and his odd choice now threatens to complicate their investigation.

Maj. Gen. Gerhard Lang of the Federal Criminal Investigations Bureau said kidnapper Wolfgang Priklopil, who killed himself by jumping in front of a train within hours of Kampusch’s escape on Aug. 23, relied exclusively on a Commodore 64 computer — a model popular in the 1980s but now considered an antique.

Lang told reporters the outmoded computer would complicate investigators’ efforts to transfer files for closer examination later, saying it would be difficult “to transmit the data to a modern computer without loss.”

Zo zie je maar, gebruik van oude hardware is ook een beveiligingsmaatregel. Dit gaat nog verder dan “security by obscurity”! Hoewel ik mij afvraag of het haalbaar is om met Commodore64 computers een productieomgeving draaiend te houden.

Permalink Geef een reactie

Quote

september 4, 2006 at 8:19 am (Quotes)

Computer security specialist:

“I sleep like a baby. I wake up every two hours and cry.”

Permalink Geef een reactie

RFID – Privacy Management

september 1, 2006 at 1:27 pm (Privacy, Techniek)

Met de komst van de RFID Guardian is het mogelijk RFID tags en lezers in de directe omgeving te detecteren. De RFID lezers kunnen zodanig worden beïnvloed dat zij denken dat er niet-bestaande tags aanwezig zijn of dat bestaande tags niet worden gedetecteerd. Er is een wetenschappelijke document beschikbaar, dat hier staat.

De gevolgen van een dergelijk apparaat zijn duidelijk: Als een handzaam apparaat in staat is RFID signalen te verstoren, te manipuleren of anderzins te beïnvloeden verdwijnt de bruikbaarheid van RFID voor diefstalbeveiliging, inventarisatie en goederenherkenning al snel. Dit geldt natuurlijk ook voor overheden die hun geclassificeerde documenten op deze wijze willen beveiligen.

Vooralsnog is er van de RFID Guardian slechts een prototype. Nu is het nog slechts wachten op een productie-exemplaar.

Permalink Geef een reactie