Onzinnige IB maatregelen – email disclaimers

maart 26, 2010 at 10:04 am (Columns) (, , )

In het kader van, omdat het kan, het eerste deel van mijn nieuwe en onregelmatig te verschijnen serie columns waarin ik onzinnige (lees: nutteloze) informatiebeveiligingsmaatregelen van dichtbij bekijk. Vandaag: de emaildisclaimer.

Je ziet ze (nog) steeds, de disclaimer onder emailberichten. Daarin tref je allerhande opmerkingen aan die de kracht van de boodschap proberen teniet te doen. Of ze stellen dat je – als je het bericht ten onrechte hebt ontvangen – de afzender moet informeren en verder niets met de gegevens mag doen, behalve het mailtje verwijderen. Ik zal ze beiden behandelen.

De disclaimer die alle gedane uitspraken in het bovenstaande bericht ongeldig maakt is volgens mij verouderd. Inmiddels gaat het grootste deel van de afspraken per email, waardoor deze variant van de disclaimer geen bestaansrecht meer heeft. Daarnaast is het een belediging van de ontvanger. Immers, deze neemt de gelegenheid en tijd om je emailbericht te lezen, terwijl jij onderaan het mailtje de (ongetwijfeld juridisch correcte) mededeling plaatst dat hij in feite zijn tijd zat te verdoen. Beter is het dan om de disclaimer bovenaan het bericht te zetten: trek je niets aan van hetgeen hieronder staat, je kunt er immers toch geen rechten aan ontlenen. Een ontvanger kan het bericht dan direct weggooien en verspilt zo niet meer tijd dan nodig is.

De andere variant van de disclaimer gaat er kennelijk van uit dat de afzender erg veel fouten maakt bij het versturen van emails, anders had hij hiervoor nooit een mooie standaardtekst opgesteld. Toch is het een raar verhaal. Je ontvangt een bericht, je opent het en leest het. Gaandeweg trek je de conclusie dat het niet voor je bestemd is. Onderaan lees je dat je het bericht niet had mogen lezen en dat je er niets mee mag doen. Maar je moet wel de afzender informeren. Van deze disclaimer kun je stellen dat hij overbodig is. En: “What has been seen cannot be unseen”. Een organisatie die zijn processen op orde heeft verstuurt geen structureel verkeerd geadresseerde emailberichten. Bedrijven die deze disclaimers nodig denken te hebben kunnen beter hun energie in andere zaken steken.

Mijn conclusie: disclaimers onder (of boven) emails zijn overbodig. Vaak worden ze pas op de mailserver automatisch aan berichten toegevoegd en ziet de opsteller van het bericht ze niet eens. Daarmee verdwijnt zelfs het laatste beetje nut van deze bits en bytes.

Permalink Geef een reactie

Alternatieven voor wachtwoorden?

maart 23, 2010 at 10:28 pm (Oplossingen, Techniek) (, , , )

Wachtwoorden. Al 20 jaar (of misschien wel langer) de enige veel gebruikte methode voor gebruikersidentificatie en authenticatie op informatiesystemen. En al 20 jaar zijn ze een probleem. Mensen schijnen niet goed te zijn in het onthouden van hun verzameling wachtwoorden. Het maakt niet uit of het in beveiliging geschoolde medewerkers zijn of niet, vrijwel iedereen maakt een of meer van de onderkende beveiligingsfouten. Dat zijn fouten zoals het gebruik van eenvoudige (zwakke) wachtwoorden, hergebruik, herhalen van wachtwoorden met een kleine aanpassing, opschrijven of digitaal vastleggen in niet-beveiligde documenten. Uiteindelijk blijkt 96% van de gebruikers verschillende van de in het beveiligingsbeleid vastgelegde regels met betrekking tot wachtwoorden te overtreden.

Dat is nogal wat. Kennelijk zijn we als informatiebeveiligers en IT’ers niet in staat geweest een goed alternatief voor deze eenvoudige (maar, indien goed uitgevoerd, effectieve) maatregel te ontwikkelen. Biometrie en two-factor authentication zijn inmiddels wel geaccepteerde mogelijkheden, maar door de kostenfactor worden zij nog niet breed ingezet. Daarnaast heeft biometrie nog de schijn tegen, te vaak verschijnen er films op youtube die het omzeilen van biometrische beveiliging demonstreren.

Mensen zijn visueel ingesteld en kunnen het onderscheid in afbeeldingen snel maken. Het zou mooi zijn als daar produktiebestendige tools voor worden ontwikkeld. Je vult je gebruikersnaam in, klikt op vijf afbeeldingen in de goede volgorde en je bent binnen. Door de afbeeldingen willekeurig in een matrix te plaatsen heb je per keer dat je inlogt een ander wachtwoord. Dat lijkt mij een sterk systeem.

De uitdaging die gepaard gaat met het uitreiken van het eerste wachtwoord of bij een wachtwoordreset is eenvoudig te pareren. Het eerste wachtwoord, dat aan de sterkte eisen moet voldoen, kan op schrift worden uitgereikt. Als een gebruiker voor de eerste maal inlogt moet hij een grafisch wachtwoord aanmaken. Na een reset ontvangt hij zijn tijdelijke wachtwoord per email of sms op zijn – tevoren geregistreerde – privé emailadres of mobiele telefoon. Ook voor hem geldt dat hij bij het inloggen een nieuw grafisch wachtwoord moet aanmaken.

Zo simpel. Zou het al bestaan?

Permalink Geef een reactie

Clean desk voor beginners

maart 17, 2010 at 11:40 am (Columns, Oplossingen) (, , )

Alles na werktijd opgeruimd en achter slot en grendel, is de vaak gehoorde vertaling van een clean desk policy. “O, daar heb je die veldwachter weer, met zijn moeilijke praatjes” is de reactie van het grootste deel van de gebruikersgroep als er gele kaarten worden uitgedeeld. De werkelijkheid ligt zoals gewoonlijk ergens in het midden.

Is het wel nodig om alles op te bergen na werktijd? Een organisatie moet goed nadenken over de verwachte veiligheidsopbrengst van een maatregel en over de wijze waarop deze wordt ingevoerd en gecontroleerd. Voor veel bedrijven zal het bij de meeste afdelingen geen grote noodzaak zijn om alles op te bergen – er ligt gewoon geen interessante informatie. Pas als je op financiële afdelingen, de voorraadadministratie, rekenkamer, Research & Development afdelingen, personeelszaken of bij IT beheer komt kun je bijzondere informatie aantreffen. Mocht daar een deel van in handen komen van (sensatie) journalisten of concurrenten, dan kan dat behoorlijke schade aanrichten voor de organisatie als geheel. Op dit soort afdelingen is men zich vaak wel bewust van de aard van de gegevens en wordt daarnaar gehandeld.

Desondanks wordt de clean desk policy vaak alleen na werktijd toegepast, terwijl de afdeling verlaten is tijdens de lunchpauze, afdelingsvergaderingen of productpresentaties.

Voor een goed uitgevoerd clean desk beleid is het wenselijk dat betrokkenen zich realiseren dat het om het belang van de informatie voor de organisatie gaat en niet om het op afstand houden van de lokale veldwachter. Als het kwartje eenmaal gevallen is zal de vertrouwelijke informatie nog beter beschermd worden en ook bij tussentijdse afwezigheid worden opgeborgen. Door medewerkers persoonlijk verantwoordelijk te maken voor het afsluiten van kasten en ladenblokken wordt de betrokkenheid vergroot. Afdelingen onderling met elkaar laten strijden voor de minste gele kaarten is een van de manieren om het doel (clean desk) te bereiken.

Voor deze maatregel geldt dat zichtbare betrokkenheidvan het management (geen vertrouwelijke informatie laten liggen) noodzakelijk is voor het slagen van de invoering. Zoals het spreekwoord gaat: “Zo de ouden zongen, piepen de jongen”.

En populair gezegd: “Apie ziet – Apie doet”.

Permalink Geef een reactie

Wachtwoorden resetten op afstand

maart 13, 2010 at 4:10 pm (Oplossingen, Techniek) (, , , , )

Vroeg of laat lopen organisaties tegen het probleem aan van het resetten van wachtwoorden. Vaak worden er voordat het probleem zicht baar is allerlei constructies bedacht om de “vergeetfactor” te verkleinen. Het lijstje bij de secretaresse of ophangen aan de binnenkant van het koffiekastje zijn daar voorbeelden van.

In het formele proces moet er nog met de helpdesk gebeld worden, moet iemand zich legitimeren of moet iemand anders de melding doen. De gebruikersorganisatie heeft het liefst een snelle en gemakkelijke oplossing, terwijl de IT organisatie er weinig werk aan wil hebben en een goede ondersteuning van de informatiebeveiliging noodzakelijk is. Dit alles om te voorkomen dat een indringer zich toegang verschaft tot het netwerk.

Afhankelijk van de aard van de organisatie, de locatie van de medewerkers en het niveau van het beveiligingsbewustzijn, zijn er twee manieren voor het op afstand resetten van een wachtwoord. In een organisatie met een stabiele groep gebruikers kan gebruik worden gemaakt van het systeem met geheime vragen. Voorwaarde is wel dat men zich goed bewust is van de noodzaak van informatiebeveiliging. Bij deze werkwijze registreert de organisatie de antwoorden op vragen die alleen de originele persoon kan weten. Bij een wachtwoord reset aanvraag doen de goede antwoorden dienst als identificatiemiddel op afstand. Deze methode werkt alleen goed als de medewerkers zich realiseren dat de antwoorden op de geheime vragen inderdaad persoonlijk zijn en niet met elkaar gedeeld worden. Dit systeem van wachtwoord resetten komt veel voor bij organisatie met een relatief hoog niveau van beveiligingsbewustzijn of van de waarde van informatie. Denk aan banken, het verzekeringswezen of defensie. Daarnaast speelt de aard van het personeel een rol Als het verloop in een organisatie hoog is of als de klanten van de IT afdeling verspreid zitten of zelfs onbekend zijn, dan zijn er betere systemen te bedenken.

Op universiteiten kom je de ‘adidas methode’ nog wel tegen: melden bij de helpdesk en je legitimeren om een wachtwoord reset te krijgen.

Voor organisaties die om tal van redenen niet voor geheime vragen kiezen (bijvoorbeeld vanwege het onderhoud, of hoe om te gaan met vergeten antwoorden) is er een ander systeem. Hiermee wordt op geautomatiseerde wijze een sterk en eenmalig wachtwoord verzonden naar een tevoren geregistreerd e-mailadres of mobiel telefoonnummer. De gebruiker kan dan inloggen en zijn wachtwoord meteen wijzigen. Deze methode komt veel voor bij organisaties met een geografisch verspreide groep gebruikers. Webhosting bedrijven werken vaak op deze wijze.

Permalink Geef een reactie

Digitale certificaten

maart 11, 2010 at 11:43 am (Privacy, Techniek) (, , , , )

Certificaten, vertrouwelijke mail, digitale handtekening. Veel organisaties willen hun emailverkeer beveiligen. Hier zijn genoeg producten voor in de markt. Veel van deze oplossingen gaan voorbij aan sleutelbeheer en beheer van de opgeslagen informatie. Dat zijn belangrijke punten voor een bedrijf. Men wil zeker weten dat een vreemde niet uit naam van het bedrijf boodschappen kan versturen. En het is ongewenst als oude berichten niet meer geopend kunnen worden omdat de sleutel ongeldig is. Voor deze problemen is er wel een oplossing.

Met behulp van de Public Key Infrastructure (PKI) techniek kan een bedrijf een hoofdsleutel (root certificaat) aanmaken. Alle andere sleutels stammen af van deze hoofdsleutel. Een medewerker heeft zijn sleutel bij zich op zijn computer, in zijn profiel op het netwerk of vastgelegd op zijn toegangspas. Zodra hij een vertrouwelijk emailbericht wil versturen, dat onderweg niet mag worden gelezen, moet hij het bericht versleutelen met zijn geheime sleutel en de publieke sleutel van de beoogde ontvanger. Als de ontvangende partij geen publieke sleutel heeft kan het bericht niet eenvoudig worden versleuteld. Een digitale handtekening met de waarborg dat het bericht niet werd gemanipuleerd is wel mogelijk. Dan heeft de afzender alleen zijn eigen sleutel nodig.

Bij sleutelbeheer hoort ook het intrekken van sleutels. Sleutels kunnen worden ingetrokken omdat ze zijn gecompromitteerd (in handen gekomen van derden) of omdat de medewerker is vertrokken. Door de sleutel of het certificaat ongeldig te verklaren krijgt de ontvanger van een bericht, dat met een ingetrokken sleutel is verzonden, een melding dat de sleutel niet correct is. Aan de inhoud hoeft dan nog niets veranderd te zijn.

Een nachtmerrie voor bedrijven (en een reden dat encryptie nog niet populair is) ontstaat als blijkt dat belangrijke bestanden zijn versleuteld en de code om alles te decoderen niet bekend is. Door met organisatiecertificaten te werken is dit probleem te omzeilen. Binnen certificaten kunnen hiërarchische overervingsstructuren worden gemaakt. Dat wil zeggen dat een bestand, versleuteld met een certificaat van de laagste orde, door het certificaat van één tree hoger kan worden ontsleuteld. Op deze wijze is de toegang tot historische data gewaarborgd, zelfs na het intrekken van (vervallen) sleutels en certificaten.

Permalink Geef een reactie

Wordle – braindump van Informatiesec

maart 9, 2010 at 10:39 pm (Achtergrond, Techniek) ()

Wordle: Informatiesec.wordpress.com

Permalink Geef een reactie

Big brother krijgt een neus

maart 6, 2010 at 11:53 pm (Columns, Oplossingen) ()

Big brother is smelling you, lijkt de nieuwe leus te worden op vliegvelden. Voor de vroegtijdige detectie van potentiële terroristen worden elektronische snuffelaars ingezet die typische luchtjes kunnen herkennen. Zoals angstzweet.

Op zich is dit geen vreemde handelwijze, hij past goed in de verzameling maatregelen waarmee afwijkingen van het normale patroon worden gedetecteerd. Zoals mensen die zich langdurig op vreemde plaatsen ophouden, een patroon van verplaatsingen en ontmoetingen en andere onregelmatigheden. Het zijn allemaal kleine stukjes van een grote puzzel die het vliegen moet behoeden tegen aanslagen. Zoals de aanschaf van bodyscanners. Of zit daar een luchtje aan?

Ik vraag mij af hoe vliegangstigen zullen reageren als zij apart genomen worden.

Permalink Geef een reactie

Het waarom van wachtwoorden

maart 4, 2010 at 11:51 am (Achtergrond, Columns, Oplossingen) (, , , , )

Mensen zijn lui en houden niet van hindernissen. Wachtwoorden worden vaak beschouwd als een noodzakelijk kwaad. Je moet ze onthouden en als je ze vergeten bent moet je een procedure door om een nieuw wachtwoord te krijgen. Dat neemt niet weg dat wachtwoorden en gebruikersnamen (meestal komen ze samen voor) nuttig zijn bij het opwerpen van beveiligingsdrempels. Met een goed wachtwoordbeleid en voldoende begrip voor beveiliging bij de gebruikers is het mogelijk een serie drempels op te werken die onbekenden van buiten tegen kan houden.

Wachtwoorden dienen meerdere doelen. Samen met de gebruikersnaam geven ze een gebruiker van netwerkdiensten toegang tot diensten, zoals email, internet en (zakelijke) toepassingen. Wachtwoorden beschermen de waardevolle gegevens van een organisatie tegen pottenkijkers, of voorkomen dat iemand belangrijke gegevens aanpast.

Gebruikersnamen en wachtwoorden worden toegepast om medewerkers hun persoonlijke verantwoordelijkheid te laten nemen. Elke handeling in de ICT infrastructuur moet te koppelen zijn aan een account. Controle daarop maakt deel uit van het normale proces van in control zijn over de ICT omgeving en de daaraan verbonden informatiebeveiliging. Als het delen van accounts of wachtwoorden is toegestaan kunnen de medewerkers niet meer aansprakelijk worden gesteld. Het is immers niet meer helder wie verantwoordelijk is voor welke handelingen. Dat dit tot ongewenste situaties kan leiden mag duidelijk zijn.

Natuurlijk zijn er meer maatregelen te bedenken die vreemden de toegang tot het netwerk moeten ontzeggen. Deze vullen voornamelijk de hiaten, maar zijn geen vervanger voor het wachtwoord.

Permalink Geef een reactie

Fysieke beveiliging – de gelaagde kokosnoot

maart 3, 2010 at 10:10 am (Achtergrond, Oplossingen, Techniek) (, , )

Ondanks het jerichomodel dat uitgaat van de bescherming van de data en de muren wil slechten, kunnen muren nuttig zijn. Een goed voorbeeld is het toepassen van muren (en deuren) om de toegang tot je datacenter te beveiligen. Probeer maar eens een gemiddeld hosting center binnen te komen. Je komst moet al van tevoren zijn aangekondigd, je wordt begeleid, krijgt een bezoekersbadge en je bewegingen worden vastgelegd op film.

Met je pas kom je niet verder dan het ontvangstgedeelte en (als je geluk hebt) de koffiekamer. Dan blijkt de gelaagde beveiliging te werken. Klanten die zelf hun servers of rackspace beheren hebben toegang tot een deel van de serverzaal en hun rack. Alleen de beheerders in dienst van het datacenter komen in de beheerruimte met toegang tot de gehoste servers.

Dergelijke organisaties hebben hun logische en fysieke beveiliging gebaseerd op het kleurenmodel of stoplichtmodel.  Dat bestaat uit een viertal ringen met verschillende kleuren. De buitenste ring is wit en staat voor de openbare of publieke ruimte. Dan komt de groene ring, het algemene bezoekersdeel uit het voorbeeld. Het deel van het gebouw dat toegang biedt tot de controlroom en de serverruimtes is de oranje zone. De controlroom en de serverruimtes zelf zijn de rode zones.

In de semantiek van het stoplichtmodel mag een element in een ring slechts aan een ring van één niveau hoger en één niveau lager grenzen. Groen aan rood mag dus niet. Ook rode zones moeten onderling gescheiden zijn door minimaal een oranje zone.

Dit model is natuurlijk ook te projecteren op een digitale representatie. Zo is de Demilitarized Zone (DMZ) van een netwerk infrastructuur te vergelijken met de groene zone (wit is het internet, de publieke ruimte). Na de binnenste firewall kom je in de oranje zone met de werkstations. De data- en applicatieservers staan in de rode zone. Iedere laag is met een of meer firewalls afgeschermd van de andere, wat een zeker niveau van beveiliging oproept en waardoor het schema er uitziet als een gelaagde kokosnoot.

In de werkelijke wereld gebruik je daarom goed hang- en sluitwerk, paslezers en eventueel mantraps of sluizen voor de toegang tot de rode zones. Digitaal werp je drempels op met firewalls, rechtenstructuren, wachtwoorden en biometrie.

In de beveiliging geldt de stelregel: “Als je beter beveiligt dan de buren, dan gaan ze naar de buren – en niet naar jou”.

Permalink Geef een reactie

Alu-hoedje voor iPad

maart 2, 2010 at 9:50 pm (Columns, Techniek) (, )

Net wat ik altijd al niet wilde hebben, een tablet pc die niet in mijn zak past, op een iPhone lijkt en waar je niet mee kan bellen. Om hem veilig te maken tegen browser exploits en phishing activiteiten kun je hem voorzien van een echt iPad aluminium hoedje.

Kost een paar euro, maar dan heb je ook niks.

Permalink Geef een reactie

« Previous page · Next page »