Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 70, views: 76.448 •

Overheid neemt maatregelen

De strijd tegen cybercrime is een ongelijke. Aanvallers hoeven immers maar één keer geluk te hebben om een systeem binnen te dringen, terwijl bedrijven, softwaremakers en overheden zich tegen alle mogelijke bedreigingen moeten verdedigen. Volgens de FBI zijn hackers zelfs aan de 'winnende hand'.

Dat zorgt ervoor dat soms besloten wordt tot onconventionele - en omstreden - maatregelen. Zo brak de Nederlandse recherche in het verleden meerdere malen in op buitenlandse computers, zonder eerst om toestemming te vragen bij die landen. Dat gebeurde onder meer bij een botnet en een aantal kinderpornozaken.

Minister Opstelten van Veiligheid en Justitie wil die praktijk in wetgeving gieten, zodat bij verdenking van 'ernstige cybercrime-misdrijven' op afstand een computer kan worden binnengedrongen - zelfs als de locatie van een systeem onbekend is en zich dus in het buitenland zou kunnen bevinden. Daarbij zouden computers doorzocht mogen worden, op zoek naar aanwijzingen. Ook zouden gegevens op afstand ontoegankelijk mogen worden gemaakt. Volgens Ronald Prins van beveiligingsbedrijf Fox-IT had de mogelijkheid om terug te hacken de Dorifel-uitbraak sneller onder controle kunnen brengen, maar burgerrechtenactivisten hebben veel kritiek op de plannen.

Minstens zo omstreden zijn de plannen voor een 'ontsleutelplicht'. Verdachten van terrorisme en kinderporno zouden dan gedwongen mogen worden om hun encryptiesleutels vrij te geven. Volgens hoogleraar Bert-Jaap Koops is dat niet per definitie in strijd met het beginsel dat verdachten niet hoeven mee te werken aan hun eigen veroordeling.

Geweld is niet uitgesloten

Ook geweld in reactie op een digitale aanval is niet uitgesloten - ten minste, als die aanval onderdeel uitmaakt van een gewapend conflict. In dat geval is een digitale aanval niet fundamenteel anders dan een fysieke, vindt het kabinet. Dan moet wel duidelijk zijn waar de aanval vandaan komt, en dat is moeilijk in het digitale domein, erkent het kabinet.

Overigens kan er bij de overheid ook het een en ander beter. Uit een onderzoeksrapport van de Onderzoeksraad van de Veiligheid naar het Diginotar-incident in 2011 blijkt dat Nederland onvoldoende was voorbereid op digitale dreigingen. Volgens de voorzitter van de Onderzoeksraad, Tjibbe Joustra, houden overheidsorganisaties er te weinig rekening mee dat het op beveiligingsgebied ook mis kan gaan. Een speciale taskforce moet de informatiebeveiliging bij de overheid gaan verbeteren.

De Amerikaanse National Security Agency gaat verder. De directeur van de veiligheidsdienst, Keith Alexander, zei op de Def Con-hackersconferentie in Las Vegas dat de NSA meer controle over het Amerikaanse internet zou moeten krijgen. Alleen dan zouden digitale aanvallen van buiten de Verenigde Staten opgespoord kunnen worden.

Boete

Bekend was al dat Nederland, net als andere lidstaten van de Europese Unie, een meldplicht voor datalekken zou krijgen. Bedrijven die gegevens van burgers slecht beveiligd hebben, kunnen bovendien een boete krijgen. Dit jaar bleek dat de maximale boete die staat op een slechte beveiliging in het definitieve versie van het wetsvoorstel is verhoogd van 200.000 euro naar 450.000 euro.


Door Joost Schellevis

- Redacteur

Joost werkt sinds 2009 als nieuwsjager bij Tweakers. Hij heeft vooral interesse in internet, privacy, beveiliging en politiek. Regelmatig schrijft Joost een verdiepende achtergrond om actuele onderwerpen beter te belichten.

Volg Joost op TwitterVolg Joost op Google+

Reacties (70)

In november zou 35 procent van de gebruikers kwetsbaar zijn geweest voor een aantal problemen in Java die in augustus werden ontdekt en die het mogelijk maken om op afstand eigen code uit te voeren. Een patch die die bugs oploste maar zelf nieuwe kwetsbaarheden introduceerde, is geÔnstalleerd op 21,7 procent van de pc's.
Is dit al opgelost?
Zou opgelost moeten zijn vanaf Java 7 update 7 volgens deze bron.
We zijn inmiddels bij Java 7 update 10.
Ik ben eigenlijk wel blij met dit soort jaaroverzichten, heb ik gelijk een mooi overzicht voor mijn werkgevers en kennissen om naar toe te linken.

@noMSforme: ik denk dat je punt duidelijker verwoord er op neer komt dat er wel in diverse alinea's wordt gesproken over besmettingen op grote schaal, maar waarbij de naam van Windows achterwege gelaten is, terwijl als het gaat om specifieke bedreigingen voor OSX en Android, de naam van het betreffende OS er ineens wel duidelijk bij vermeld staat.

Dat vind ik ook slordig, maar om nu meteen iemand van partijdigheid te beschuldigen vind ik te ver gaan.

Je weet simpelweg niet wat er achter zit, voor hetzelfde geld dacht de auteur zelf niet aan een specifiek OS. Of Joost meende al typende dat de meeste tweakers wel zo slim zijn om na te gaan om welk OS het precies gaat als de naam er niet specifiek bij vermeld staat.

Je opmerking komt dus eigenlijk neer op een vraag om meer duidelijkheid.

[Reactie gewijzigd door Uruk-Hai op 31 december 2012 08:49]

Bovendien is het zo dat op Windows het gros van de aanvallen gericht zijn op Adobe Reader, Java en Flash, zoals het artikel vertelt. Aanvallen op de browser of op Windows zelf zijn een stuk minder gangbaar dan pakweg enkele jaren geleden.

We kunnen allemaal lekker Windows bashen, maar uiteindelijk moeten we toegeven dat Microsoft al een redelijk weg heeft afgelegd als het over de veiligheid van het OS an sich gaat.

Ik begrijp trouwens het grote aantal lekken in iets als een PDF reader niet. Echt... Het enige doel van die software is om een document read-only op het scherm weer te geven. Zoveel lekken in software met die beperkte functie die bovendien op miljoenen PC's is geinstalleerd getuigd mijns inziens enkele van incompetentie van de developers.

Nog iets wat ik niet begrijp is dat er voor websites anno 2012/2013 nog altijd voor Flash gekozen wordt. Misschien een kromme vergelijking maar het is als een auto-verkoper die weigert auto's met airbags te verkopen.

Het zal allemaal wel aan mij liggen, zeker?
Jij maakt het helemaal bont. Als het lek in Java zit op Linux/IOS dan is het de schuld van het OS maar in het geval van Windows niet?
Het is toch duidelijk dat de gaten in third party software zitten maar de auteur moest zo nodig even bashen op Linux/IOS/Android. Het niveau van de artikelen is eigenlijk niet meer tweakers waardig.
Dat zeg ik helemaal niet. Uit welke zin haal jij dat?
Als het lek in Java zit dan zit het lek in Java, punt uit.

Het punt is dat Java een attack vector is om voornamelijk Windows systemen aan te vallen. De reden daarvoor is simpel: de kosten/baten valt beter uit dan wanneer het Windows zelf aangevallen wordt. Waarom? Omdat Microsoft een stuk meer heeft geinvesteerd in de veiligheid van zijn OS.
Het grootste probleem met Windows en security is de combinatie gebruiker en applicatie-software. In theorie is Windows redelijk veilig te noemen, maar in de praktijk valt dat zwaer tegen. Oorzaken zijn:
  • Uitschakelen UAC door gebruiker
  • Meeste gebruikers maken zichzelf administrator en draaien dus alle programmatuur - dus ook malware - als administrator
  • Een groot deel van de applicaties kan als gevolg van slecht of gemakzuchtig geschreven code alleen werken wanneer de gebruiker administrator rechten heeft
Kortom: je kunt wel zeggen dat Windows veilig is, maar dat is alleen in theorie, niet in praktijk.

[typo edits]

[Reactie gewijzigd door maxxware op 31 december 2012 09:51]

Hoe is dat anders dan Linux waar je ook even een pop-up krijgt zodat het programma admin-rights krijgt. Of als een command even niet werkt er even sudo voor knallen.

Dat is gewoon een algemeen probleem.
Hoeveel Linux gebruikers ken jij die standaard met root rechten werken? Dus niet via sudo maar standaard met UID/GID 0?
Ik ken geen Linux applicaties - dus geen services of achtergrond processen - die door de user gestart worden en toch root-rechten nodig hebben. Jij wel?
Op Windows wemelt het van die applicaties. Kort geleden nog bij een klant een pakketje geinstalleerd dat als aanvulling op Outlook draait. Dat pakketje draait alleen wanneer de gebruiker adminstrator rechten heeft.
*kuch*/usr/bin/ping *kuch*

Maar dat is mieren-neuken. ;) Ping praat zo low-level tegen het netwerk dat het veel van de door de kernel geleverde abstracties (zoals TCP/IP) override.

De laatste keer dat PING op een UNIX/Linux omgeving een bekende vulnerability bevatte is op zijn minst al enkele jaren geleden.
Pingen heb ik echt geen root voor nodig hoor bovendien staat deze in /bin.
Probleem is dat de Windows omgeving een klimaat gecreeerd heeft, waar de ontwikkeling van applicaties die draaien met verhoogde rechten de normaalste zaak van de wereld is.

Als je een ontwikkelomgeving neer zou zetten waar je met verhoogde rechten juist veel minder werkt, zou het veel minder gangbaar zijn.
Je staat er inderdaad van de te kijken hoeveel (maat)software je tegen komt die verwacht dat je admin bent om het te gebruiken. En dat maar voor prulletjes: om zaken in de program files folder weg te schrijven of iets in HKLM register te zetten.

Sommige gebruikers kunnen op het Windows platform dus al bijna niet meer zonder admin rechten. Lijkt me dat software ontwikkelaars "meewerken" om deze trend te bewaren.
Helemaal met je eens. In principe zou elke gebruiker gewoon altijd met een standaard account moeten werken met minimale gebruikersrechten terwijl je daarnaast een admin account heb om echt systeemzaken aan te passen. Uiteraard moeten beide accounts voorzien zijn van andere wachtwoorden, iets wat veel mensen natuurlijk ook nog vergeten. ;)
Boeiend en goed geschreven artikel. Wat mij betreft mag er in 2013 nog meer aandacht uitgaan naar bewustzijn omtrent informatiebeveiliging en cybercrime. Al denk ik persoonlijk dat 2013 een herhaling zal gaan worden van 2012.. en misschien nog wel een tikkie erger.
Er is nog een lange weg te gaan als het aan komt op beveiliging van gegevens op het internet. Zeker door instanties waar persoonsgegevens ook veel persoonlijke informatie bevatten. Keer op keer wordt er te makkelijk gedacht over de beveiliging. Gewoon, simpel met je emailadres en een wachtwoordje of pincode. Het gebruik van een emailadres is al af te raden en het gebruik van een eenvoudige pincode al helemaal.

OfficiŽle instanties zouden verplicht gebruik moeten gaan maken van een OTA beveiliging via een door de overheid in het leven geroepen beveiligingsinstantie (okay, toegegeven, dat is al aardig onmogelijk gebleken). Een soort van DigiD maar dan beveiligd met een token i.p.v. een wachtwoord of sms.
Denkt de overheid soms dat het verhogen van de maximale boete voldoende is om datalekken bij bedrijven te doen verminderen? Waarschijnlijk is een actievere opsporingsrol of het verbeteren van de positie van klokkeluiders veel belangrijker.
Dit is waar veel beginnende ICT'ers op stuklopen. Bedrijven doen niet in zwart-wit beveiliging, maar in risico management en dat is waar de verwarring ontstaat. Als de kosten van een incident maal het aantal incidenten per jaar minder is wat er wordt verdient dan is het interessant voor het bedrijf. De overheid past nu deze berekening aan door te zeggen dat het extra geld kan gaan kosten per incident en dan zullen bedrijven aan de bak moeten om het risico terug te brengen. Want in sommige gevallen zijn bedrijven ook verplicht om het geld voor z'n risico daadwerkelijk te reserveren en gaat dus ook van hun werkkapitaal af. Basel 2 en 3 zijn op dat vlak wel aardige voorbeelden.
De digitale wereld is zo veilig of onveilig als je zelf wil. De grootste verantwoordelijkheid ligt toch bij de gebruiker zelf vind ik. Of deze nu veel of weinig kennis heeft van computers je draagt zover kan zelf zorg voor computerbeveiliging thuis. Meeste mensen willen geen geld uitgeven voor beveiliging op hun computer, zoals virusscanner, antimalware etc Terwijl ze b.v. wel honderden euro's extra betalen voor 8 airbags in hun auto terwijl de kans op een aanrijding veel kleiner is dan dat je computer gehacked of besmet wordt (dit is wel een beetje een extreme vergelijking ;) ). Ook gebruik van simpele wachtwoorden, overal dezelfde gebruiken of op elke site je persoonsgegevens maar invullen (om b.v. mee te doen aan wazige prijsvragen) is een veel gemaakte fout.

Natuurlijk ligt er ook een grote verantwoordelijk bij bedrijven en overheden maar daar kunnen we als burger ze ook op aanspreken en wijzen. En vind je een digitale dienst niet veilig en heb je hem niet perse nodig in je leven, zeg hem dan op of gebruik hem niet.
Ik kan me aansluiten bij dit bericht. Er zijn hordes mensen aan het "rijden" op de digitale snelweg zonder rijbewijs. Ze hebben geen idee wat ze aan het doen zijn en klikken maar wat raak, ze vullen persoonlijke gegevens in zonder na te denken wat ermee gebeurt, alleen maar om een kortingsbon van 2 euro te kunnen bemachtigen.

Dit is een groot probleem. Ik zeg niet dat mensen een internetrijbewijs moeten halen of dat we deze mensen de toegang tot internet moeten ontzeggen. Maar het is wel een belangrijke reden dat het zo'n puinzooi aan het worden is.

Een ander probleem is dat veel bedrijven hun zaken niet voldoende beveiligen. Gemak staat vaak boven beveiliging. Er zijn richtlijnen en standaarden waar je je aan kunt houden om jezelf als bedrijf te dwingen veilig om te gaan met data (PCI DSS). Hier hebben veel bedrijven nog nooit van gehoord.

En dan nog, een klein foutje of zwak punt, een goed uitgekiende aanval of een mooie zak geld voor een minder trouwe werknemer kan nog je beveiliging omzeilen.
Ook in het dagelijks leven geven mensen heel gemakkelijk hun persoonlijke gegevens weg op kortingsbonnen, enquÍtes, kopie id kaart enz.

PCI DDS is ook niet de heilige graal, in de credit card industrie is het een eis dat er voldaan wordt aan PCI DDS als je met Credit card gegevens werkt. Hoeveel Credit card nummers worden er wel niet gestolen ?
PCI is leuk, maar kent ook voldoende fouten. De meest mooie blijft wel dat je verplicht bent om bezoekers aan je pand te voorzien van badge met "Visitor" erop, maar er wordt niet verplicht dat alle medewerkers een badge met "Medewerker" erop dragen. Je doet die visitors badge op het toilet af en je bent ineens een medewerker. PCI DSS is leuk, maar leidt in de praktijk tot tick-in-the-box-management met bijbehorende beveiliging.

PCI is leuk als startpunt, maar dan stopt het ook wel. Veel bedrijven die PCI zijn gaan volgen zijn onder aan de streep vaak onveiliger. Zeker als het op wachtwoordbeleid aankomt en dat is de meest mooie aanvalshoek vaak. Wachtwoorden worden opgeschreven, zijn in sommige gevallen exact 8 karakters, beginnen met een hoofdletter en eindigen vaak met twee cijfers aan het einde. De te doorzoeken namespace om een wachtwoord te kraken is ineens een heel stuk kleiner geworden.

Standaarden zijn leuk, maar zolang het op een OS bijvoorbeeld geknutseld is en niet erin is het eigenlijk waardeloos en een time waster. Zo ook met PCI DSS in veel gevallen en kan zo in de la bij de ISO 9000 certificeringen als er geen mentaliteits verandering komt.
En vind je een digitale dienst niet veilig en heb je hem niet perse nodig in je leven, zeg hem dan op of gebruik hem niet.
Probleem is alleen dat je pas weet dat een dienst niet veilig is nadat het is misgegaan, iets met kalveren en putten. Natuurlijk is iedereen zelf verantwoordelijk voor de veiligheid van z'n eigen systeem, als je zonder nadenken op iedere leuk uitziende link klikt, een oude browser gebruikt en geen virusscanner hebt dan heb je de gevolgen alleen aan jezelf te danken. Maar, je kunt moeilijk van een KPN klant verwachten dat hij weet of KPN z'n zaakjes wel op orde heeft. En als jij gehackt wordt doordat een advertentienetwerk op nu.nl gehackt is, tsja, dan kun je daar niet veel aan doen (aangenomen dat je plugins e.d. wel geŁpdate waren.

Als een bedrijf als Oldfjel z'n veiligheid niet op orde heeft wordt het, terecht, als een overheidstaak gezien om het bedrijf te straffen. Waarom zou dat met digitale veiligheid anders zijn? Wat mij betreft moeten de verantwoordelijken binnen bedrijven en overheden ook hoofdelijk aansprakelijk kunnen worden gesteld als ze nalatig zijn geweest. Geen enkele software is natuurlijk waterdicht, maar als je verouderde software niet update of standaard wachtwoorden gebruikt, dan vraag je gewoon om problemen.
Inderdaad.

Ik download veel, ik heb een virusscanner die niet super aangeschreven staat (Microsoft Security Essentials), draai altijd op een account met volledige rechten. Maar toch heb ik nooit last van een virus.
Mensen zijn de zwakste schakel in de bescherming tegen malware.
Volgens mij zoeken ze het bij Oracle (en voorheen Sun) zelf.

De update-policy en het bijhorende mechanisme van Java is belachelijk:
- Ik heb de updater op geen enkele van mijn PC's al ooit een update daadwerkelijk zien installeren. Telkens een of andere nietszeggende foutboodschap. Welke Jan Modaal haalt het dan in zijn hoofd om zelf de update binnen te hengelen?
- Welke update-policy laat de _vorige_ versie gewoon staan? Je installeert een nieuwe versie gewoon naast de oude kwetsbare versie. Wat voor zin heeft dat?

Bij mij vind je geen Adobe Reader, Java of Flash. Het web werkt goed genoeg zonder.
Voor die uitzonderlijke keren dat het echt moet op een website die te vertrouwen is neem ik mijn werk-PC wel.

Trouwens begrijp ik de populariteit van diensten als bit.ly an goo.gl helemaal niet. Wie wil er nou klikken op een obscure link die je naar een onbekend addres stuurt? Voorheen kon je aan de domain-naam en het pad op de server nog wel iets vermoeden over betrouwbaarheid, nu kan iedereen je redirecten naar een site met malware.
Ik heb de updater op geen enkele van mijn PC's al ooit een update daadwerkelijk zien installeren. Telkens een of andere nietszeggende foutboodschap.
Of wat ik zelf op mijn laptop had: melding dat er een update is, maar zodra je er op klikt te zien krijgen dat je al de laatste versie hebt. Dan ga je 'm inderdaad op den duur negeren.
Welke update-policy laat de _vorige_ versie gewoon staan? Je installeert een nieuwe versie gewoon naast de oude kwetsbare versie. Wat voor zin heeft dat?
De reden was compatibiliteit. Overigens is dat gedrag sinds JRE6 update 10 (release eind oktober 2008) al gewijzigd om standaard nieuwe versies over de oude heen te installeren.
Trouwens begrijp ik de populariteit van diensten als bit.ly an goo.gl helemaal niet.
Die waren nog wel nuttig voordat Twitter hun eigen URL shortener introduceerde. En als je geil bent op stats kan je via die diensten te weten komen hoe vaak mensen op jouw linkjes klikken. Er zijn browserplugins die dergelijke short URLs voor je kunnen expanden zodat je weet waar je heen gaat.

[Reactie gewijzigd door Rafe op 31 december 2012 08:58]

De reden was compatibiliteit. Overigens is dat gedrag sinds JRE6 update 10 (release eind oktober 2008) al gewijzigd om standaard nieuwe versies over de oude heen te installeren.
Vreemd... Ik herinner me zelfs met update 29, 30 en hoger dat ze nog naast elkaar geinstalleerd stonden...
Die waren nog wel nuttig voordat Twitter hun eigen URL shortener introduceerde. En als je geil bent op stats kan je via die diensten te weten komen hoe vaak mensen op jouw linkjes klikken. Er zijn browserplugins die dergelijke short URLs voor je kunnen expanden zodat je weet waar je heen gaat.
Leuk voor de persoon die die shortener gebruikt. Niet leuk voor mij. Waarom zou ik een mogelijk onveilige plugin extra moeten installeren om die links to kunnen controleren.
Dat is het probleem verschuiven. Echt, ik zie nog altijd het voordeel van die diensten niet.
Interessant artikel. Mocht het mogelijk zijn om artikels de modden het zou wellicht hoge scores halen. Doe maar meer van dit soort echte artikels (en minder irrelevante pattentzaken / auteursrechten ruzietjes)

Op dit item kan niet meer gereageerd worden.