Categorie Archief: uit het nieuws

Hacking tools van de CIA in mijn tv. Is dit een probleem?

Door | privacy, Security, uit het nieuws | Geen reacites

Is mijn grote vriend de tv opeens mijn vijand?

Geheime hacking tools van de CIA, waarmee zij in staat is om apparaten van eindgebruikers onder haar controle te krijgen, liggen op straat na publicatie op WikiLeaks. Eerder gebeurde iets vergelijkbaars al eens toen Edward Snowden uit de school klapte hoe het er bij de NSA aan toe ging. De CIA-tools verschillen op het eerste gezicht van die van de NSA in dat de CIA gerichte aanvallen op [apparaten van] specifieke personen uitvoert, waar de NSA veel meer ‘bulk’ data verzamelt. De grote vraag is of wij in Nederland ons zorgen moeten maken over deze activiteiten van onze bondgenoot. Ik zal dat aan de hand van één veelbesproken voorbeeld proberen te duiden.

Eén van de aanvalsmethode van de CIA is (was?) om bepaalde slimme Samsung televisies die op gesproken commando’s kunnen reageren te manipuleren. Ook als ze lijken uit te staan neemt het apparaat alle geluiden uit de ruimte waarin hij staat op. De CIA was (is) dus in staat om mensen af te luisteren zonder dat zij dat in de gaten hebben. Op zich is dit typisch iets waarvan je verwacht het in de gereedschapskist van een geheime dienst aan te treffen, dus wat dat betreft niets aan de hand. Zeker als je bedenkt dat in dit specifieke geval de manipulatie van de televisie ter plaatse met een USB-stick moet gebeuren, lijken de risico’s voor de Nederlandse situatie reuze mee te vallen.

Ik heb daar de volgende kanttekeningen bij:

  1. Het fundamentele probleem zit hem in de manier waarop spraakherkenning werkt. Het betreffende apparaat staat altijd aan, en luistert altijd mee met zijn omgeving om te kunnen reageren als het hier-komt-een-commando-woord wordt uitgesproken. Als het goed is wordt het omgevingsgeluid opgeslagen in een korte buffer, die na zo’n 10 seconden weer overschreven wordt. Pas na het herkennen van het toverwoord begint de tv met het opslaan van langere perioden.
  2. De desbetreffende apparaten hebben betrekkelijk weinig rekenkracht. Voor de ontwikkelaar is de keuze: óf de woordenschat is beperkt, óf het apparaat gebruikt computers en programma’s ergens in een rekencentrum. In dat laatste geval is het apparaat niet alleen altijd aan het meeluisteren, maar ook nog eens altijd online.
  3. Meestal staan deze apparaten niet onder controle van de IT-afdeling, en worden ze niet zo goed beveiligd en gepatched als de pc’s in het netwerk, en zijn ze daarmee dus een gemakkelijk[er] doelwit.
  4. Door hun beperkte rekenkracht hebben deze apparaten ook beperkte mogelijkheden om zichzelf te beschermen. Soms is die bescherming in het geheel afwezig, al dan niet als gevolg van onkunde of onwil van de leverancier.

Al met al genoeg handvatten om zo’n apparaat om te vormen tot een surveillance tool.

De gepubliceerde CIA-tools zijn alweer enkele jaren oud. Er is echter geen enkele reden om aan te nemen dat de CIA na Samsung TV gestopt is met de verdere ontwikkeling van haar tools. Sterker nog, ik denk dat een CIA-programmeur zich momenteel een beetje voelt als holle bolle Gijs die zich door de rijstebrijberg heen eet.approved TV

Spraakbesturing is immers de ‘next best thing’ in consumentenland.  Stelden we ons enkele jaren geleden nog tevreden met het commanderen van onze telefoon, navigatieapparaat of televisie, tegenwoordig verwachten we meer. Onze nieuwe telefoons, laptops en pc’s hebben allemaal zeer geavanceerde spraakherkenning aan boord (Apple Siri, Microsoft Cortana, Google/Android Speech).

cortana

sirispeech

Ze werken allemaal met een toverwoord, rekenkracht ‘van buiten’ en online streaming van de gesproken tekst naar een datacentrum elders.

Een nieuwe stap zijn de moderne huisassistenten zoals de Amazon Echo en de Google Home. Ze staan rustig in een hoekje te wachten tot dat ze worden toegesproken. Het zijn in feite monitor loze pc’s die altijd aanstaan, altijd meeluisteren en altijd in contact staan met hun maker.

We moeten er rekening mee houden dat alle ‘slimme’, met Internet verbonden apparaten potentieel verdacht zijn.

Is dit erg? Dat hangt erg af van de vraag hoe aantrekkelijk jouw informatie is voor de Amerikaanse diensten.

Als je regelmatig met gevoelige informatie omgaat, ben je je waarschijnlijk goed bewust wat de gevolgen kunnen zijn als deze in verkeerde handen valt. Je neemt maatregelen om dit te voorkomen, bijvoorbeeld door gebruik te maken van versleutelde communicatie (Skype, WhatsApp, Signal, Blackphone). Heel goed. Maar let er dan ook op dat er in je directe omgeving niet zo’n handige assistent of slimme tv staat. Dit geldt dus ook voor directiekamers en vergaderzalen, waar de slimme tv in rap tempo de beamer heeft vervangen. En onthoud: uit is niet uit totdat de stekker uit het stopcontact is en de netwerkkabel uit het potje.

Voor de gemiddelde privépersoon zijn de CIA-tools geen issue. De CIA gaat heus geen grote investeringen doen om een willekeurig iemand af te luisteren. Maar omdat de CIA-gereedschapskist open op straat ligt, krijgt het boevengilde nu ook de mogelijkheid om deze tools om te zetten tot iets dat op grotere schaal is toe te passen. Bijvoorbeeld voor chantage, of voor het tijdelijk onklaar maken en voor geld weer werkend maken van je apparaat, zoals het gilde nu al op grote schaal doet met encryptie ransomware.

De belangrijkste maatregel die je kunt nemen tegen dit soort praktijken is dat je regelmatig [de software van] je slimme apparaat van de laatste updates en patches voorziet. Probeer vooraf na te gaan of jouw voorkeursproduct zo slim is dat het (automatisch) updaten wordt ondersteund en of de leverancier op dit vlak een goede naam heeft of niet.

Zeker in de privésfeer houdt het niet op bij de tv. Denk bijvoorbeeld aan de babyfoon, de pratende pop en de online deurbel.

We hebben er het laatste nog niet van gehoord. En de geheime diensten niet van ons ben ik bang.

Kamervragen over de rol van Fox-IT bij het beveiligen van staatsgeheimen

Door | Security, uit het nieuws | Geen reacites

Nederlandse staatsgeheimen worden beschermd met producten van het bedrijf Fox-IT.

Naar aanleiding van twee artikelen in het NRC Handelsblad op 24 januari  hebben Ronald van Raak en Jasper van Dijk van de SP , en Kees Verhoeven van D66 kamervragen aan de ministers van Binnenlandse Zaken en Koninkrijksrelaties, van Defensie en Economische Zaken gesteld.

De achtergrond is dat de overheid voor het beveiligen van Staatsgeheime informatie afhankelijk is van producten en diensten van het commercieel bedrijf Fox-IT. Nu Fox-IT, overigens al weer meer dan een jaar geleden, is opgekocht door de Britse Investeringsmaatschappij NCC, bestaat de angst dat Nederlandse geheimen in handen van de Britten komen. Gezien de reputatie van de Britten zijn de zorgen terecht, wellicht zijn de vragen die de kamerleden niet scherp genoeg om deze angst te kunnen wegnemen.

Om te beginnen de reputatie van de Britse geheime diensten. Die is zacht gezegd niet best. De Britten hebben in het verleden meerdere meer malen blijk gegeven ‘lak te hebben’ aan procedurele scheidingen en een goede omgang met hun internationale vrienden, zoals prof. Bart Jacobs in één van de genoemde artikelen aangeeft. voorbeelden zijn onder andere de monitoring van alle trans-Atlantische internetverkeer, het bespioneren van bevriende EU-landen, de waarschijnlijke inbraak bij een belangrijke leverancier van telefoon-sims en de inbraak bij een Belgische telecomprovider. Dus het idee dat Britse diensten via een (inmiddels) Brits bedrijf proberen Nederlandse staatsgeheimen in hun bezit te krijgen is niet vergezocht. De vraag is of de Britten bij ‘onze’ geheimen kunnen als ze de controle over Fox-IT hebben.

Laten we aannemen dat de cryptoproducten van Fox-IT ‘state of the art’ zijn en voldoen aan alle fundamentele ontwerp regels voor cryptotechniek en de bijbehorende processen. De externe evaluaties die hierop zijn gedaan, onder meer door de NAVO en TüV Rheinland Nederland, geven deze zekerheid.

Dit betekent dat de leverancier misschien toegang heeft tot de versleutelde data, maar zonder de encryptiesleutels geen toegang heeft tot de inhoud van opgeslagen of in transit staatgeheime informatie. De sleutels die bij de versleuteling worden gebruikt zijn alleen bekend bij de eigenaar / verzender en de ontvanger. Voor staatsgeheime informatie worden de sleutels naar ik verwacht opgeslagen op smartcards en dergelijke. Zelfs met alle kennis van de gebruikte techniek zal het voor de leverancier niet mogelijk zijn om versleutelde berichten ‘te kraken’ zonder deze sleutels.

Een eerste goede aanvullende vraag is of het denkbaar is dat Fox-IT in staat is om alle of bepaalde sleutels of berichten ‘onklaar’ te maken, zodat wij er zelf ook niet meer bij kunnen.

Ook als de leverancier op de hoogte is van de key management processen is dat op zich niet erg, want deze laten alleen zien welke stappen worden gevolgd bij het creëren van de sleutels. De sleutels zelf zullen nooit in deze documenten vermeld zijn. De key management processen zullen niet fundamenteel anders zijn dan die bij banken en andere organisaties. Ze laten mogelijk wel zien welke functies of functionarissen belangrijke rollen spelen. Als Fox-IT een operationele rol heeft bij het beheer van de cryptodiensten, dan is zij mogelijk in staat om ‘meta informatie’  te destilleren over het gebruik ervan: welke afdelingen maken hiervan gebruik, stijgt het gebruik in korte tijd bij een bepaalde afdeling, etc.

Een tweede aanvullende vraag zou dan zijn: heeft Fox-IT een rol in het operationeel beheer van de oplossing en is dit wenselijk?

Het is dus niet zo dat ervoor gekozen is om een privaat bedrijf Nederlandse staatsgeheimen te laten beveiligen. Wel beveiligt de Nederlandse staat haar geheimen met door een privaat bedrijf geleverde producten en diensten. De geheimen zelf komen niet in gevaar als deze techniek in handen is van een commerciële buitenlandse partij. Ook niet als deze na verloop van tijd de boel weer doorverkoopt. En dat hoeft dan niet eens aan een Nederlandse partij te zijn.

Wel in het geding is de continuïteit van de oplossing. Wat gebeurt er als de betreffende Fox-IT afdeling niet meer winstgevend (genoeg) is, de investeerder bepaalt dat het genoeg is geweest en ‘de stekker er uit trekt’? Wat gebeurt er als Fox-IT/NCC onvoldoende geld in beheer en verbetering van de cryptotoepassingen steekt? Stel dat de NAVO of TüV in de toekomst hun certificeringen intrekken of dit dreigen te doen, weet de Nederlandse overheid dat dan?

Het zal duidelijk zijn, een derde aanvullende vraag is of de overheid een exitplan heeft voor de Fox-IT-systemen en diensten, en of dit plan op een realistisch korte termijn is uit te voeren.

En het feit dat NCC Engels is?  Het kan geen kwaad om te onderzoeken in hoeverre de Nederlandse overheid ook op andere vlakken afhankelijk is van Britse IT en telecomdiensten die mogelijk niet zo streng beoordeeld zijn door onafhankelijke internationale instanties. Maar dat geldt natuurlijk net zo goed voor producten en diensten van andere Europese en Trans-Atlantische vrienden.

President Trump heeft haast, uw privacy impact analyse kan niet achterblijven

Door | privacy, uit het nieuws | Geen reacites

De nieuwe Amerikaanse president Donald Trump heeft op woensdag 25 januari een ‘Executive Order’ getekend die illegaal verblijf in de Verenigde Staten wil aanpakken. Omdat er veel ophef in de media is ontstaan over een ander decreet is waarschijnlijk een van de artikelen over privacy relatief ‘onder de radar’ gebleven:

 

Sec. 14.  Privacy Act.  Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.

Op het eerste gezicht blaast de president hier de Privacy Shield overeenkomst op tussen de VS en Europa over het verantwoord verwerken van Europese persoonsgegevens door Amerikaanse bedrijven. In de praktijk kan het allemaal nog meevallen, al zijn er grote verschillen in interpretatie (onderaan deze blog een bloemlezing).

Onder meer de Europese Commissie geeft aan dat de genoemde Privacy Act nooit bedoeld is geweest om persoonsgegevens van niet-Amerikanen te beschermen. En dat het Privacy Shield juist daarom is ontstaan en nooit van de Privacy Act afhankelijk is geweest.

Daar staat tegenover dat de sluitsteen van de Privacy Shield overeenkomst, het in werking treden van de Amerikaanse Judicial Redress Act weliswaar is goedgekeurd in het congres en de senaat, maar nog niet in werking is getreden. Ook is het Privacy Shield geen door het congres of senaat goedgekeurde wet, maar een (vrijwillige) overeenkomst tussen de EU en het Amerikaanse Ministerie van Handel. Nu ben ik geen jurist, maar volgens mij kan de president de werking van beide opschorten met een volgende Executive Order. Wellicht niet heel realistisch, maar ook niet onmogelijk.

Al met al hebben we hier een mooi scenario te pakken voor de eerstvolgende of een ingelaste Business en Privacy Impact Analysis en Risk Assessment sessie, zeker nu steeds meer bedrijven en organisaties bezig zijn met een transitie ‘naar de cloud’:

  • Welke en hoeveel persoonsgegevens worden verwerkt door, of staan opgeslagen bij Amerikaanse verwerkers en clouddiensten? Wat is de (imago) schade als uitkomt dat daar door Amerikaanse inlichtingendiensten of Amerikaanse bedrijven in gezocht wordt?
  • Het gebruik van diensten van Google (docs, etc), Microsoft (Office 365), Amazon (AWS etc.), Facebook (bedrijfs pagina met aanmeldingen, likes, etc), Apple (voor bedrijfsmatig gebruik van telefoons, iPads met datareplicatie naar iCloud), Android telefoons, etc etc., is of wordt een overtreding van Nederlands/Europees recht. Heb ik een exit strategie, bijvoorbeeld door gebruik te maken van Europese alternatieven?
  • Kan ik dit ook als dit op heel korte termijn gebeurt (presidentiele handtekening)?
  • Als dit gebeurt, moet ik dan een melding doen bij de Autoriteit Persoonsgegevens?. En mijn klanten inlichten? Wat is de reële schade? Wat de imagoschade?
  • Een aantal grote dienstverleners biedt zijn diensten vanuit Europa aan. In ieder geval Microsoft houdt de Amerikaanse veiligheidsdiensten voorlopig buiten de deur. Blijft dit zo? En zo niet, wat zijn daar de consequentie van? Hoe staat MS’s concurrentie in deze wedstrijd?

Meer algemeen is er ook nog een andere boodschap: de zekerheden van gisteren zijn niet de zekerheden van morgen. Dit kan heel plotseling gebeuren. Dit betekent dat het absoluut nodig is om op gezette tijden de uitgangspunten waarop de huidige IT, personeels- en proces zijn afgestemd, tegen het licht gehouden moeten worden:

  • Welke beveiliging, continuïteit en privacy risico’s zijn verbonden aan het gebruik van externe diensten?
  • Weet ik welke informatie extern wordt verwerkt of opgeslagen?
  • Ben ik niet ‘met huid en haar’ overgeleverd aan één externe (cloud) leverancier?
  • Heb ik de beschikking over een (leverancier onafhankelijke) lokale back-up van mijn gegevens, en kan ik die ook met andere oplossingen of diensten verwerken?

Een willekeurige greep uit achtergond artikelen:

  1. https://techcrunch.com/2017/01/26/trump-order-strips-privacy-rights-from-non-u-s-citizens-could-nix-eu-us-data-flows/
  2. https://blog.iusmentis.com
  3. https://www.theregister.co.uk/2017/01/26/trump_blows_up_transatlantic_privacy_shield/
  4. https://euobserver.com/justice/136699
  5. http://diginomica.com/2017/01/30/privacy-shields-wooly-thinking-just-unraveled-thanks-president-trump/

Cyber meets BCM

Door | BCM, Security, uit het nieuws | Geen reacites

The Hack of the Decade,

Sony Pictures starring in a new motion picture directed by #GOP

Sony Pictures is gehacked.

Privégegevens van sterren en personeelsleden, waaronder salarissen en kopieën van paspoorten, kwamen op straat te liggen. Films die nog niet eens in de bioscoop zijn geweest, waren opeens volop te downloaden. Personeel kon dagen achtereen niet werken. De FBI is ingeroepen om te achterhalen wie er achter de groep ‘Guardians of Peace’ (#GOP) zit (Noord Korea? Boze oud-werknemers?). De gevolgen zijn enorm en Sony had zijn antwoord op de ellende niet onmiddellijk klaar.
 

Sony

Sony

Alle media zijn er bovenop gesprongen, waarbij er vooral aandacht was voor de security en imago aspecten van deze cyberaanval. Het is duidelijk, goede security is nodig om te voorkomen dat er ingebroken wordt en er ongelukken gebeuren. De vraag is of je dat punt ooit met 100% zekerheid kunt halen, en of je het resterende risico kunt en moet afdekken met een goed Business Continuity Plan. Ik focus me daarbij op de werkplek, e-mail omgeving, etc., omdat ik zeer werd getroffen door de foto hiernaast (bron), op de deur van het Sony Pictures filiaal in Londen. Personeel is welkom op kantoor maar zal volledig onproductief zijn, want waar heb je je werkplek nou niet voor nodig?
 
Vanuit BCM perspectief is de vraag dus of er een antwoord is op een situatie waarop de volledige werkplekomgeving onbruikbaar is. En of een cyberaanval fundamenteel anders is dan andere, meer traditionele dreigingen.

Helpt een goede voorbereiding?

Als we aannemen dat Sony een goed draaiend Security en Continuity Management systeem heeft (ISMS / BCMS), dan mogen we ook aannemen dat de delen van de werkplek / kantooromgeving die voor kritieke diensten vitaal zijn, naar voren zijn gekomen in de Business Impact Analyse (BIA). Evenzo kunnen we aannemen dat onderzocht is wat tot uitval van deze omgevingen zou kunnen leiden in de Risk Assessment (RA). Traditioneel zullen daar zaken als brand, overstroming of stroomuitval uit zijn gekomen. Heel avontuurlijke organisaties hebben wellicht ook ‘virussen’ of andere elektronische dreigingen als een mogelijke oorzaak gezien.
Eenmaal op dit punt aangekomen zal er, als het risico groot genoeg is ingeschat, naar alternatieven zijn gezocht. Vroeger vertrouwden veel organisaties voor dit soort gevallen op werkplekuitwijk, of intern in de organisatie (tijdelijk werken vanuit een andere locatie), of extern bij specialistische leveranciers (link1, link2). Steeds meer organisaties gaan er echter vanuit dat de techniek die gebruikt wordt om mensen vanuit huis te laten werken ook gebruikt kan worden als hele locaties uitvallen.
De organisatie verwacht nu dat alle risico’s onder controle zijn.

Waarom ging het in dit geval dan toch mis?

Daarvoor moeten we naar een analyse van de FBI. Die heeft naar aanleiding van deze aanval een groot aantal organisaties gewaarschuwd voor deze zeer kwaadaardige aanval. Uit een openbaar rapport komen de volgende zaken naar voren:

  • De aanval vindt plaats door gebruik te maken van de beheeromgeving van corporate Windows installaties (Active Directory, Windows Management Interface, de update service, etc.). Het centrale zenuwstelsel van de desktopomgeving is dus niet meer te vertrouwen.
  • Op alle werkstations en servers is kwaadaardige software gedraaid die het systeem volledig onbruikbaar maakt. Het start ook niet meer op.
  • By implication is ook de e-mail, als ook de VPN omgeving, niet meer beschikbaar en niet meer te vertrouwen.

Sony sluit zijn VPN af. Hiermee vervalt meteen de ‘uitwijk’mogelijkheid om medewerkers vanuit huis te laten werken.
 
Blijft optie 2, externe werkplekuitwijk, over. Een andere locatie gebruiken binnen het bedrijf zelf zal niet werken, alle werkplekken zijn getroffen tenslotte. En of het inroepen van externe uitwijkfaciliteiten in dit geval succesvol kan zijn, hangt van een aantal factoren af. De werkstations zelf zullen wel opgetuigd kunnen worden. Als het werkstation image waarmee dit gebeurt niet al te oud is, zullen de werkstations zonder problemen ingespoeld kunnen worden. Maar daarmee heb je de gebruikersdata ‘nog niet terug’. Die moeten uit de centrale omgeving komen.
 
Maar deze centrale omgeving is mogelijk een ander verhaal. Een centrale omgeving in de uitwijklocatie mag in ieder geval niet online zijn geweest na een eventuele besmetting, anders is ook deze niet meer betrouwbaar. Veel uitwijkoplossingen zullen echter uitgaan van een schaduwomgeving op de uitwijklocatie, die gewoon online is en ‘meedraait’ in het normale managementproces en replicatieschema’s om maar zo min mogelijk dataverlies op te lopen.
Je moet dus in ieder geval beschikken over een offline backup van vóór de aanval. En deze periode kan behoorlijk lang zijn, afhankelijk van hoelang geleden de eerste inbraak heeft plaatsgevonden. Of een werkplek uitwijk nog zinvol is als je bijvoorbeeld één of meerdere maanden ‘terug in de tijd moet’, is dus de vraag. Een goede BIA zal het antwoord geven . . .

Cyber meets BCM

Een cyberaanval is dus iets anders dan een brand, overstroming, o.i.d.. Dan kun je er zonder meer van uitgaan dat de integriteit van je uitwijkomgeving in orde is, wat bij een cyberincident dus niet kan. Een cyberaanval hoort dus als een apart punt in risico- en dreigingsanalyses terug te komen. Het vereist een andere aanpak, en zal ook zeker geoefend moeten worden.
Cyber meets BCM, en dan niet in een film.