Reducing Bits of FreedomVandaag is officieel bekend gemaakt dat BOF per 1 september 2006 stopt met haar activiteiten. Kort door de bocht is er te weinig draagvlak om de stichting in de lucht te houden. Gelukkig worden de jaarlijkse Big Brother Awards wel gewoon uitgereikt, een prachtig initiatief!. Enfin, hiermee wordt weer eens bevestigd wat ik al zo'n 2 jaren roep, Privacy is uitermate belangrijk zolang het ons maar niets kost! Privacy? Get over it!
Internetbankieren met beide billen bloot
Two-factor authenticatie, ofwel sterke authenticatie is een sterk groeiend standaard antwoordt op het verkrijgen van vertrouwen van miljoenen klanten van vele financiële Internetproducten waaronder Internetbankieren. Een nog onbekend aantal klanten van Citibank’s Citibusiness service hebben dat vorige week geweten. Een ijzersterk georganiseerde phising aanval gecombineerd met een zogenaamde "man in the middle" scenario heeft het vertrouwen in Two-factor authenticatie met het Internet als medium krachtig aangetast. De noodzakelijke extra en unieke code die het token van de Citibank klanten genereert wordt gewoon ingevoerd en door de aanvaller netjes doorgegeven aan de originele loginscherm van Citibank. Ook heeft de aanvaller slim rekening gehouden met foutmeldingen om zo het reeds gewonnen vertrouwen van de gebruiken te behouden.
Iedere zichzelf respecterende bank wist echter dat dit ging gebeuren, de vraag was enkel wanneer en met welke financiele instelling. Bruce Schneier (Counterpane) voorspelde uitvoering van deze methodiek voorjaar 2005, Ir. Barbara Oosterveld (NedSecure Solutions) begin 2005 reeds.
Uiteraard zijn er allerlei tegenmaatregelen bedacht in de hoop dit te kunnen voorkomen. Een voorbeeld hiervan is de sterke authenticatie via een ander medium te laten verlopen, bijvoorbeeld SMS authenticatie. Jammer dus, de “man in the middle” heeft er geen probleem mee als de gebruiker nog even de sterke authenticatie regelt, hij zit er toch tussen. Meer over deze two-factor spoofing:
http://blog.washingtonpost.com/securityfix/2006/07/citibank_phish_spoofs_2factor_1.html
Welke lessen willen wij maar niet leren?
1) (Remote) two-factor authenticatie lost vooral problemen op die we 10 jaar geleden hadden.
2) Het aanpassingsvermogen van cybercriminelen is vele malen hoger dan wij denken en hopen.
Jazeker, ook klanten van Nederlandse financiele dienstverleners kunnen, nee zullen slachtoffer worden van deze aanvalsmethodiek, feitelijk identiteitsfraude.
Zijn dit type dreigen dan op geen enkele manier te parreren? Gelukkig wel! Als je bijvoorbeeld two-factor authenticatie technologie combineert met kort levende client certificaten en het bovendien clients mogelijk maakt om phising sites te blokkeren op basis van een actuele database is er geen speld meer tussen te krijgen. Het Nederlandse TrustAlert heeft als onderdeel van ‘Resept’ specifiek hiervoor technologie ontwikkeld en gepatenteerd. Mogen wij allen best trots op zijn! Zie www.trustalert.nl voor meer informatie.
Power, Religion & MoneyIn Holland its election time again, so we are going to waste lots of time and money on irrelevant details, boring television, winning promises and the voting mechanism itself. Good old Rop Gonggrijp participates in an initiative 'we do not trust voting computers' hoping to contribute in securing and enhancing democracy in The Netherlands. Well, reducing the democracy building blocks Power, Religion and Money might be a more effective strategy to create a better world...
Mumbai dilemmaCell phone bomb-triggers are being applied in Iraq almost on a daily basis. Right after the recent Mumbai train bombings, authorities limited the cellular network trying to prevent additional cell phone based bomb-triggers. In the same process victims collapsed the remaining cellular network capacity. Bruce Schneier's comment is spot on: 'Cell phones are useful to terrorists, but they're more useful to the rest of us'.
Acquisitions, mergers and murder
Het regent weer overnames deze weken. EMC slokt RSA Security op, SurfControl slaat haar slag met de overname van Black Spider en ook Secure Computing laat weer van zich horen door te fuseren met CipherTrust.Dit betekent per definitie weer veel extra dikke e-mail, tenminste als je in het kanaal zit. De belangrijkste concurrenten weten namelijk niet hoe snel zij een reactie (vol FUD) naar buiten moeten brengen met de boodschap dat de acquisitie of merger hun precies in de kaart speelt, development langdurig onderuit ligt en klanten naarstig op zoek zullen gaan naar rustiger vaarwater. Dit zijn dus per definitie die concurrenten die zich ernstig bedreigd voelen!
Wachtwoord beveiligde patronenDe Duitser Herbert Meyerle heeft patent aangevraagd op patroonmagazijnen die wachtwoord beschermd zijn. Het zal geen toeval zijn dat hij in de US woonachtig is. De uitvoering van zijn uitvinding lijkt interessante situaties op te gaan leveren met wellicht uiteindelijk helpdesk calls voor vergeten wachtwoorden, in de hitte van de strijd wel te verstaan. Ik ruik direct mogelijkheden voor Single Sign On voor de beter uitgeruste bandieten of zelfs Enterprise Single Sign On voor hele legers!
IdentiteitscrisisDe kwestie rondom de ware identiteit van een markant ex-kamerlid heeft voor nogal wat beroering gezorgd bij een aantal mensen, instanties en televisie planners. Een uniek geval en inmiddels genoeg gezeurd, hoopt u. Naast het zelf rommelen met identiteiten kunnen echter ook anderen dat voor u doen, graag zelfs. Dat gebeurt zelfs al op grote schaal, identiteitsfraude noemen we dat. Ook Nederland ontkomt niet aan bijvoorbeeld phising aanvallen. Het zal niet lang meer duren voordat deze vormen van fraude extreme vormen zal aannemen. Wellicht al met de komst van ons nieuwe paspoort. Een deel van de beveiligingsmaatregelen zijn immers gebaseerd op biometrie. Wat denkt u dat er gebeurd als iemand uw relevante biometrische kenmerken te pakken krijgt. Probeer dan nog maar eens te bewijzen dat u werkelijk uzelf bent. Ik vraag mijzelf af, is Rita Verdonk werkelijk Rita Verdonk, of is het een Minister van Vreemdelingenzaken en Integratie domweg gegund nimmer ook maar één zin in fatsoenlijk Nederlands te uitten?
