Alle berichten door henk

Hacking tools van de CIA in mijn tv. Is dit een probleem?

Door | privacy, Security, uit het nieuws | Geen reacites

Is mijn grote vriend de tv opeens mijn vijand?

Geheime hacking tools van de CIA, waarmee zij in staat is om apparaten van eindgebruikers onder haar controle te krijgen, liggen op straat na publicatie op WikiLeaks. Eerder gebeurde iets vergelijkbaars al eens toen Edward Snowden uit de school klapte hoe het er bij de NSA aan toe ging. De CIA-tools verschillen op het eerste gezicht van die van de NSA in dat de CIA gerichte aanvallen op [apparaten van] specifieke personen uitvoert, waar de NSA veel meer ‘bulk’ data verzamelt. De grote vraag is of wij in Nederland ons zorgen moeten maken over deze activiteiten van onze bondgenoot. Ik zal dat aan de hand van één veelbesproken voorbeeld proberen te duiden.

Eén van de aanvalsmethode van de CIA is (was?) om bepaalde slimme Samsung televisies die op gesproken commando’s kunnen reageren te manipuleren. Ook als ze lijken uit te staan neemt het apparaat alle geluiden uit de ruimte waarin hij staat op. De CIA was (is) dus in staat om mensen af te luisteren zonder dat zij dat in de gaten hebben. Op zich is dit typisch iets waarvan je verwacht het in de gereedschapskist van een geheime dienst aan te treffen, dus wat dat betreft niets aan de hand. Zeker als je bedenkt dat in dit specifieke geval de manipulatie van de televisie ter plaatse met een USB-stick moet gebeuren, lijken de risico’s voor de Nederlandse situatie reuze mee te vallen.

Ik heb daar de volgende kanttekeningen bij:

  1. Het fundamentele probleem zit hem in de manier waarop spraakherkenning werkt. Het betreffende apparaat staat altijd aan, en luistert altijd mee met zijn omgeving om te kunnen reageren als het hier-komt-een-commando-woord wordt uitgesproken. Als het goed is wordt het omgevingsgeluid opgeslagen in een korte buffer, die na zo’n 10 seconden weer overschreven wordt. Pas na het herkennen van het toverwoord begint de tv met het opslaan van langere perioden.
  2. De desbetreffende apparaten hebben betrekkelijk weinig rekenkracht. Voor de ontwikkelaar is de keuze: óf de woordenschat is beperkt, óf het apparaat gebruikt computers en programma’s ergens in een rekencentrum. In dat laatste geval is het apparaat niet alleen altijd aan het meeluisteren, maar ook nog eens altijd online.
  3. Meestal staan deze apparaten niet onder controle van de IT-afdeling, en worden ze niet zo goed beveiligd en gepatched als de pc’s in het netwerk, en zijn ze daarmee dus een gemakkelijk[er] doelwit.
  4. Door hun beperkte rekenkracht hebben deze apparaten ook beperkte mogelijkheden om zichzelf te beschermen. Soms is die bescherming in het geheel afwezig, al dan niet als gevolg van onkunde of onwil van de leverancier.

Al met al genoeg handvatten om zo’n apparaat om te vormen tot een surveillance tool.

De gepubliceerde CIA-tools zijn alweer enkele jaren oud. Er is echter geen enkele reden om aan te nemen dat de CIA na Samsung TV gestopt is met de verdere ontwikkeling van haar tools. Sterker nog, ik denk dat een CIA-programmeur zich momenteel een beetje voelt als holle bolle Gijs die zich door de rijstebrijberg heen eet.approved TV

Spraakbesturing is immers de ‘next best thing’ in consumentenland.  Stelden we ons enkele jaren geleden nog tevreden met het commanderen van onze telefoon, navigatieapparaat of televisie, tegenwoordig verwachten we meer. Onze nieuwe telefoons, laptops en pc’s hebben allemaal zeer geavanceerde spraakherkenning aan boord (Apple Siri, Microsoft Cortana, Google/Android Speech).

cortana

sirispeech

Ze werken allemaal met een toverwoord, rekenkracht ‘van buiten’ en online streaming van de gesproken tekst naar een datacentrum elders.

Een nieuwe stap zijn de moderne huisassistenten zoals de Amazon Echo en de Google Home. Ze staan rustig in een hoekje te wachten tot dat ze worden toegesproken. Het zijn in feite monitor loze pc’s die altijd aanstaan, altijd meeluisteren en altijd in contact staan met hun maker.

We moeten er rekening mee houden dat alle ‘slimme’, met Internet verbonden apparaten potentieel verdacht zijn.

Is dit erg? Dat hangt erg af van de vraag hoe aantrekkelijk jouw informatie is voor de Amerikaanse diensten.

Als je regelmatig met gevoelige informatie omgaat, ben je je waarschijnlijk goed bewust wat de gevolgen kunnen zijn als deze in verkeerde handen valt. Je neemt maatregelen om dit te voorkomen, bijvoorbeeld door gebruik te maken van versleutelde communicatie (Skype, WhatsApp, Signal, Blackphone). Heel goed. Maar let er dan ook op dat er in je directe omgeving niet zo’n handige assistent of slimme tv staat. Dit geldt dus ook voor directiekamers en vergaderzalen, waar de slimme tv in rap tempo de beamer heeft vervangen. En onthoud: uit is niet uit totdat de stekker uit het stopcontact is en de netwerkkabel uit het potje.

Voor de gemiddelde privépersoon zijn de CIA-tools geen issue. De CIA gaat heus geen grote investeringen doen om een willekeurig iemand af te luisteren. Maar omdat de CIA-gereedschapskist open op straat ligt, krijgt het boevengilde nu ook de mogelijkheid om deze tools om te zetten tot iets dat op grotere schaal is toe te passen. Bijvoorbeeld voor chantage, of voor het tijdelijk onklaar maken en voor geld weer werkend maken van je apparaat, zoals het gilde nu al op grote schaal doet met encryptie ransomware.

De belangrijkste maatregel die je kunt nemen tegen dit soort praktijken is dat je regelmatig [de software van] je slimme apparaat van de laatste updates en patches voorziet. Probeer vooraf na te gaan of jouw voorkeursproduct zo slim is dat het (automatisch) updaten wordt ondersteund en of de leverancier op dit vlak een goede naam heeft of niet.

Zeker in de privésfeer houdt het niet op bij de tv. Denk bijvoorbeeld aan de babyfoon, de pratende pop en de online deurbel.

We hebben er het laatste nog niet van gehoord. En de geheime diensten niet van ons ben ik bang.

Kamervragen over de rol van Fox-IT bij het beveiligen van staatsgeheimen

Door | Security, uit het nieuws | Geen reacites

Nederlandse staatsgeheimen worden beschermd met producten van het bedrijf Fox-IT.

Naar aanleiding van twee artikelen in het NRC Handelsblad op 24 januari  hebben Ronald van Raak en Jasper van Dijk van de SP , en Kees Verhoeven van D66 kamervragen aan de ministers van Binnenlandse Zaken en Koninkrijksrelaties, van Defensie en Economische Zaken gesteld.

De achtergrond is dat de overheid voor het beveiligen van Staatsgeheime informatie afhankelijk is van producten en diensten van het commercieel bedrijf Fox-IT. Nu Fox-IT, overigens al weer meer dan een jaar geleden, is opgekocht door de Britse Investeringsmaatschappij NCC, bestaat de angst dat Nederlandse geheimen in handen van de Britten komen. Gezien de reputatie van de Britten zijn de zorgen terecht, wellicht zijn de vragen die de kamerleden niet scherp genoeg om deze angst te kunnen wegnemen.

Om te beginnen de reputatie van de Britse geheime diensten. Die is zacht gezegd niet best. De Britten hebben in het verleden meerdere meer malen blijk gegeven ‘lak te hebben’ aan procedurele scheidingen en een goede omgang met hun internationale vrienden, zoals prof. Bart Jacobs in één van de genoemde artikelen aangeeft. voorbeelden zijn onder andere de monitoring van alle trans-Atlantische internetverkeer, het bespioneren van bevriende EU-landen, de waarschijnlijke inbraak bij een belangrijke leverancier van telefoon-sims en de inbraak bij een Belgische telecomprovider. Dus het idee dat Britse diensten via een (inmiddels) Brits bedrijf proberen Nederlandse staatsgeheimen in hun bezit te krijgen is niet vergezocht. De vraag is of de Britten bij ‘onze’ geheimen kunnen als ze de controle over Fox-IT hebben.

Laten we aannemen dat de cryptoproducten van Fox-IT ‘state of the art’ zijn en voldoen aan alle fundamentele ontwerp regels voor cryptotechniek en de bijbehorende processen. De externe evaluaties die hierop zijn gedaan, onder meer door de NAVO en TüV Rheinland Nederland, geven deze zekerheid.

Dit betekent dat de leverancier misschien toegang heeft tot de versleutelde data, maar zonder de encryptiesleutels geen toegang heeft tot de inhoud van opgeslagen of in transit staatgeheime informatie. De sleutels die bij de versleuteling worden gebruikt zijn alleen bekend bij de eigenaar / verzender en de ontvanger. Voor staatsgeheime informatie worden de sleutels naar ik verwacht opgeslagen op smartcards en dergelijke. Zelfs met alle kennis van de gebruikte techniek zal het voor de leverancier niet mogelijk zijn om versleutelde berichten ‘te kraken’ zonder deze sleutels.

Een eerste goede aanvullende vraag is of het denkbaar is dat Fox-IT in staat is om alle of bepaalde sleutels of berichten ‘onklaar’ te maken, zodat wij er zelf ook niet meer bij kunnen.

Ook als de leverancier op de hoogte is van de key management processen is dat op zich niet erg, want deze laten alleen zien welke stappen worden gevolgd bij het creëren van de sleutels. De sleutels zelf zullen nooit in deze documenten vermeld zijn. De key management processen zullen niet fundamenteel anders zijn dan die bij banken en andere organisaties. Ze laten mogelijk wel zien welke functies of functionarissen belangrijke rollen spelen. Als Fox-IT een operationele rol heeft bij het beheer van de cryptodiensten, dan is zij mogelijk in staat om ‘meta informatie’  te destilleren over het gebruik ervan: welke afdelingen maken hiervan gebruik, stijgt het gebruik in korte tijd bij een bepaalde afdeling, etc.

Een tweede aanvullende vraag zou dan zijn: heeft Fox-IT een rol in het operationeel beheer van de oplossing en is dit wenselijk?

Het is dus niet zo dat ervoor gekozen is om een privaat bedrijf Nederlandse staatsgeheimen te laten beveiligen. Wel beveiligt de Nederlandse staat haar geheimen met door een privaat bedrijf geleverde producten en diensten. De geheimen zelf komen niet in gevaar als deze techniek in handen is van een commerciële buitenlandse partij. Ook niet als deze na verloop van tijd de boel weer doorverkoopt. En dat hoeft dan niet eens aan een Nederlandse partij te zijn.

Wel in het geding is de continuïteit van de oplossing. Wat gebeurt er als de betreffende Fox-IT afdeling niet meer winstgevend (genoeg) is, de investeerder bepaalt dat het genoeg is geweest en ‘de stekker er uit trekt’? Wat gebeurt er als Fox-IT/NCC onvoldoende geld in beheer en verbetering van de cryptotoepassingen steekt? Stel dat de NAVO of TüV in de toekomst hun certificeringen intrekken of dit dreigen te doen, weet de Nederlandse overheid dat dan?

Het zal duidelijk zijn, een derde aanvullende vraag is of de overheid een exitplan heeft voor de Fox-IT-systemen en diensten, en of dit plan op een realistisch korte termijn is uit te voeren.

En het feit dat NCC Engels is?  Het kan geen kwaad om te onderzoeken in hoeverre de Nederlandse overheid ook op andere vlakken afhankelijk is van Britse IT en telecomdiensten die mogelijk niet zo streng beoordeeld zijn door onafhankelijke internationale instanties. Maar dat geldt natuurlijk net zo goed voor producten en diensten van andere Europese en Trans-Atlantische vrienden.

President Trump heeft haast, uw privacy impact analyse kan niet achterblijven

Door | privacy, uit het nieuws | Geen reacites

De nieuwe Amerikaanse president Donald Trump heeft op woensdag 25 januari een ‘Executive Order’ getekend die illegaal verblijf in de Verenigde Staten wil aanpakken. Omdat er veel ophef in de media is ontstaan over een ander decreet is waarschijnlijk een van de artikelen over privacy relatief ‘onder de radar’ gebleven:

 

Sec. 14.  Privacy Act.  Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.

Op het eerste gezicht blaast de president hier de Privacy Shield overeenkomst op tussen de VS en Europa over het verantwoord verwerken van Europese persoonsgegevens door Amerikaanse bedrijven. In de praktijk kan het allemaal nog meevallen, al zijn er grote verschillen in interpretatie (onderaan deze blog een bloemlezing).

Onder meer de Europese Commissie geeft aan dat de genoemde Privacy Act nooit bedoeld is geweest om persoonsgegevens van niet-Amerikanen te beschermen. En dat het Privacy Shield juist daarom is ontstaan en nooit van de Privacy Act afhankelijk is geweest.

Daar staat tegenover dat de sluitsteen van de Privacy Shield overeenkomst, het in werking treden van de Amerikaanse Judicial Redress Act weliswaar is goedgekeurd in het congres en de senaat, maar nog niet in werking is getreden. Ook is het Privacy Shield geen door het congres of senaat goedgekeurde wet, maar een (vrijwillige) overeenkomst tussen de EU en het Amerikaanse Ministerie van Handel. Nu ben ik geen jurist, maar volgens mij kan de president de werking van beide opschorten met een volgende Executive Order. Wellicht niet heel realistisch, maar ook niet onmogelijk.

Al met al hebben we hier een mooi scenario te pakken voor de eerstvolgende of een ingelaste Business en Privacy Impact Analysis en Risk Assessment sessie, zeker nu steeds meer bedrijven en organisaties bezig zijn met een transitie ‘naar de cloud’:

  • Welke en hoeveel persoonsgegevens worden verwerkt door, of staan opgeslagen bij Amerikaanse verwerkers en clouddiensten? Wat is de (imago) schade als uitkomt dat daar door Amerikaanse inlichtingendiensten of Amerikaanse bedrijven in gezocht wordt?
  • Het gebruik van diensten van Google (docs, etc), Microsoft (Office 365), Amazon (AWS etc.), Facebook (bedrijfs pagina met aanmeldingen, likes, etc), Apple (voor bedrijfsmatig gebruik van telefoons, iPads met datareplicatie naar iCloud), Android telefoons, etc etc., is of wordt een overtreding van Nederlands/Europees recht. Heb ik een exit strategie, bijvoorbeeld door gebruik te maken van Europese alternatieven?
  • Kan ik dit ook als dit op heel korte termijn gebeurt (presidentiele handtekening)?
  • Als dit gebeurt, moet ik dan een melding doen bij de Autoriteit Persoonsgegevens?. En mijn klanten inlichten? Wat is de reële schade? Wat de imagoschade?
  • Een aantal grote dienstverleners biedt zijn diensten vanuit Europa aan. In ieder geval Microsoft houdt de Amerikaanse veiligheidsdiensten voorlopig buiten de deur. Blijft dit zo? En zo niet, wat zijn daar de consequentie van? Hoe staat MS’s concurrentie in deze wedstrijd?

Meer algemeen is er ook nog een andere boodschap: de zekerheden van gisteren zijn niet de zekerheden van morgen. Dit kan heel plotseling gebeuren. Dit betekent dat het absoluut nodig is om op gezette tijden de uitgangspunten waarop de huidige IT, personeels- en proces zijn afgestemd, tegen het licht gehouden moeten worden:

  • Welke beveiliging, continuïteit en privacy risico’s zijn verbonden aan het gebruik van externe diensten?
  • Weet ik welke informatie extern wordt verwerkt of opgeslagen?
  • Ben ik niet ‘met huid en haar’ overgeleverd aan één externe (cloud) leverancier?
  • Heb ik de beschikking over een (leverancier onafhankelijke) lokale back-up van mijn gegevens, en kan ik die ook met andere oplossingen of diensten verwerken?

Een willekeurige greep uit achtergond artikelen:

  1. https://techcrunch.com/2017/01/26/trump-order-strips-privacy-rights-from-non-u-s-citizens-could-nix-eu-us-data-flows/
  2. https://blog.iusmentis.com
  3. https://www.theregister.co.uk/2017/01/26/trump_blows_up_transatlantic_privacy_shield/
  4. https://euobserver.com/justice/136699
  5. http://diginomica.com/2017/01/30/privacy-shields-wooly-thinking-just-unraveled-thanks-president-trump/

Backup’s en de zekerheidsparadox

Door | Geen categorie | Geen reacites


Een zeer persoonlijk verhaal hoe mijn goede intenties bij het veiligstellen van mijn privédata, zo maar verkeerd uitpakten.

 

mickey blog

Het moest er natuurlijk een keer van komen: waar ik als BCM-professional heel goed weet hoe de theorie in elkaar zit, ga ik bij het toepassen in de praktijk toch bijna het schip in.

De lessen die ik heb geleerd zijn algemeen toepasbaar.

 

Het komt misschien bekend voor, een modern huishouden met meerdere PC’s, laptops, telefoons en tablets in gebruik. De muziek- en fotocollecties zijn dusdanig uit hun jasje gegroeid dat die op een NAS zijn geplaatst en niet meer op 1 of meer PC’s.

Ik heb mooie getrapte opzet van de dataopslag van mij en mijn huisgenoten ingericht, inclusief on-premise back-up naar het NAS en off-premise back-up van het NAS op een USB-schijf. Dit doet al enkele jaren naar tevredenheid dienst als ik iets meer dan een jaar geleden besluit om het maken van fysieke backups van het NAS op een USB-schijf te stoppen en het nog gemakkelijker ‘in de cloud’ te maken. Vanuit mijn vak vertrouw ik mijn (Amerikaanse) clouddienstverlener maar half, dus alle back-up bestanden worden keurig versleuteld voordat ze in de cloud worden opgeslagen. Na een paar dagen blijken alle mappen en bestanden in de cloud aanwezig, onleesbaar, maar wel herstelbaar op het NAS. Ik kijk er met een gerust hart niet meer naar om.

 

Tot dat.

Bijna een jaar later merk ik bij de installatie van een nieuw fotobewerkingspakket dat niet alle foto’s op het NAS goed worden weergegeven of zelfs onleesbaar zijn. Mmmm. Nieuwe toepassing leest geen bestanden van oude versies?

De volgende dag zijn er nog veel meer beschadigde bestanden, nu ook spreadsheets en documenten. Alle corrupte bestanden hebben zeer recente aanmaak- en wijzigingsdatums. Geen enkel bestand kan geopend worden met het pakket waarmee het is aangemaakt, of het nou om Excel, Word of Photoshop gaat. De paniek slaat toe: is dit ransomware aan het werk?

 

Op geen van de Mac’s, PC’s, noch het NAS zijn sporen van malware te vinden. Mooi!

 

Maar het aantal corrupte bestanden op het NAS blijft groeien. Minder mooi, wat is er dan aan de hand?

 

Het valt me op dat de betroffen bestanden allemaal zijn aangepast nadat het NAS een tijdje stroomloos is geweest. En op de PC’s is met lokale bestanden (nog) niets aan de hand. Het probleem ligt dus waarschijnlijk in het NAS. Nog verder zoeken (er kwam zelf een hex-editor aan te pas) geeft aan dat lokale NAS-bestanden worden vervangen door hun versleutelde cloudversie. De oorzaak is boven water, de kraan kan nu dicht: ik heb de cloud synchronisatie meteen stopgezet.

Maar mijn probleem is hiermee nog niet verdwenen: krijg ik de data die alleen op het NAS stond (muziek, foto’s) wel weer terug?

 

De supportafdeling van de NAS-leverancier gaat aan de slag. Het verdient sowieso kudo’s dat ze voor een consumentenartikel een jaar of zes na aanschaf aan werk gaan. Maar na een week van opgestuurde files, logs en remote support toegang is de enige zekerheid die me geboden kan worden: er is iets misgegaan met de encryptiesleutel na de power-off. Het waarom blijft een mysterie. Het gevolg is dat het NAS niet meer in de cloudfiles kan kijken wat de oorspronkelijke aanmaakdatum, filegrootte, etc. is en dat dus ook niet goed kan vergelijken met de files op het NAS. Dit is de eerste fout.

 

De tweede fout in de NAS-software pakt nog erger uit: omdat de back-up naar de cloud in sync modus staat (2-weg is de default instelling, jawel, en het omzetten naar 1-weg kan, maar is niet vanzelfsprekend te vinden en uit te voeren) begint het NAS de cloudfiles terug te kopiëren. Waarom? Waarom niet gewoon een foutmelding?

 

Al met al bevind ik me in een situatie waarin de oplossing die mij meer zekerheid moet bieden, zich tegen zichzelf (en mij!) heeft gekeerd en zonder tussenkomst mijn primaire begint aan te vallen. Om deze reden is het ook niet mogelijk om een simpele restore uit te voeren – ik kan er niet zeker van zijn dat ‘in the cloud’ alles in orde is en het ook niet controleren omdat alles versleuteld is.

Het lijkt wel op de paradox van de slang die zijn eigen staart te pakken heeft.

 

Er is ook wel wat geluk.

De NAS-leverancier heeft een decryptie-tool op de PC beschikbaar. En met het oorspronkelijke wachtwoord waarmee de versleutelde synchronisatie is opgezet blijkt het nog goed te werken ook. Pffff.

Nog meer geluk ligt op de plank: mijn oude vertrouwde USB-schijf met een backup van een jaar terug. Herstel is dus mogelijk, en naar achteraf blijkt ook nog met een enigszins normale inspanning.

 

Het opzetten en implementeren van een nieuw, beter doordacht, gedeeld filesysteem met lokale en off-site backup en vraagt meer tijd, en is niet echt eenvoudig. De oplossing bestaat uit meerdere replicatie manieren van PC’s naar het NAS, 1-weg synchronisatie van het NAS naar de cloud, en toch ook maar op gezette tijden een ouderwetse fysieke backup. Wel blijkt uit mijn nieuwe analyse dat mijn oude opzet zwaar onvoldoende was voor onze veranderde behoeften.

 

Al met al heb ik een aantal lessen geleerd, die algemeen bruikbaar zijn:

  • (proces) Ga op gezette tijden na of je in staat bent om bestanden (intact 😉 ) terug te zetten (dit heeft iedereen toch in zijn integraal beveiligings- en continuïteitsplan staan?)
  • (proces) Ga op gezette tijden na of de oplossing die je gebruikt nog voldoet aan al huidige wensen en eisen (of die van de toezichthouder) en andere veranderingen (nog meer PC’s, telefoons of tablets in huis, sterk groeiende opslagbehoefte (films e.d.). Ook dit is een punt voor je integraal beveiligingsplan.
  • (proces) Bepaal welke gegevens echt belangrijk voor je zijn, en ga na of bovenstaande oplossing daarvoor voldoet: een derde punt voor het beveiligingsplan.

 

  • (techniek) Vertrouw niet op één technologie of één leverancier
  • (techniek) De cloud is niet persé in alle gevallen de beste plaats voor een off site backup:
    • Je bent voor de synchronisatie afhankelijk van software waar je maar weinig tot geen controle op hebt (fouten liggen op de loer)
    • Je wilt je gegevens toch beschermen tegen snooping, dus encryptie in de cloud is een must, maar hiermee wordt het spel wel een stuk complexer en foutgevoeliger
  • (techniek) 2 weg synchronisatie is geen goede backup methode, hoe aantrekkelijk en eenvoudig dit ook lijkt in combinatie met de cloud en remote toegang tot deze data (iCloud, OneDrive, Dropbox, etc., etc., simpelweg omdat het (te) snel gaat: een logische fout op één van de meedraaiende systemen staat onmiddellijk op allemaal, en dan?
  • (techniek) Neem de tijd om het te testen

 

  • (privé) Een gemiddeld modern huisgezin heeft tegenwoordig bijna meer IT in huis dan een klein bedrijf. Het kan geen kwaad om eens na te denken over een gestructureerde manier om de belangrijke data veilig te stellen.
  • (privé) Snel klikken door de standaardinstellingen kan tot verassingen leiden