Category Archives: security

Tikfoutjes

Posted by on 26/08/2015 Comments Off on Tikfoutjes

hands-545394_640Inmiddels al weer bijna 15 jaar geleden werkte ik bij een bedrijf dat in de e-commerce zat. Het internet was een jaar of 5 bekend bij het grote publiek en e-commerce was de nieuwe richting. Google was op dat moment de grote zoekmachine aan het worden.

Als onderdeel van onze e-commerce diensten deden we ook domeinregistratie’s bij de SIDN. Die waren op dat moment nog voorbehouden aan KvK geregistreerden. Als medewerkers mochten we een domein onder de KvK van het bedrijf registreren.

Een collega ontdekte dat googel.nl, een kleine maar simpele verwisseling van letters, tot onze complete verbazing nog vrij was. Binnen de kortste keren was het domein geregistreerd en stond er een neutrale zoekbalk op. De opdrachten werden gewoon rechtstreeks naar Google geleid. Met wel 1 extra: de zoekopdrachten werden, zonder verdere context, bewaard.

We hebben een leuke vrijdagmiddag gehad met het bekijken van de zoekopdrachten. De zoekopdracht “katja schuurmans naakd” is me wel het meest bijgebleven. Na een kleine 2 jaar was het over: Google eist Googel.nl op vanwege ‘verwarring’.

Fast Forward naar 2015. Inmiddels een paar bedrijven en werkervaring verder zit ik vooral in de IT security. We hameren bij de beheerders en gebruikers op patches, veilige architectuur en risico bewust werken. Daarnaast jagen we het netwerk af naar afwijkende zaken.

Een week of 2 geleden heb ik “dienst”. In de loop van de dag zie ik verkeer naar een locatie die als onveilig aangemerkt is. In ons vakjargon, hij staat in een reputatie database. Omdat het internet tegenwoordig ook bevolkt wordt door verschillende soorten malware, ga ik op onderzoek uit.

Na wat zoeken kom ik tot de ontdekking dat een collega op die site is gekomen door naar weeronine, dus zonder L, te gaan. Gewoon een simpele tikfout, die verwijst naar een site met op z’n minst dubieuze inhoud.

Een foutje dat iedereen gewoon kan maken. En daarom: draai een virusscanner, installeer software updates en let op je spelling.

Atos – mijn eerste lustrum

Posted by on 23/10/2012 Comments Off on Atos – mijn eerste lustrum

Vandaag rond ik mijn eerste lustrum af bij Atos in Groningen. Dat betekent ook dat mijn korte avontuur bij DHL al meer dan 5 jaar geleden is. Te veel geleerd in een te korte tijd, vooral over mezelf. Ik moest zonodig bij een grote organisatie werken. Daarna was het veel solliciteren.

Binnen een maand sprak ik allerlei verschillende bemiddelaars en bedrijven. Waarbij me 1 vooral is bijgebleven omdat m’n gesprekpartner totaal niet wist wie ik was. Letterlijk. Compleet verkeerde naam op papier.

Eind september had een afspraak bij Atos Origin in Groningen. Ik ging thuis weg met het bericht “ik ga wel, maar ik denk niet dat dit wat is”. Te groot, te globaal, te onduidelijk wat dat bedrijf doet.

Hoe anders liep dat gesprek. Binnen 5 minuten was er die gemoedelijke sfeer van een klik. Ruim een week later lag het contract in de bus. En dus elke dag naar Groningen, weer lekker met de trein. Niet met het idee dat het voor 5 jaar zou zijn. Een jaar of 2 was m’n idee. Heb ik dan zo weinig zelfkennis en visie?

Het betekent ook dat al die kennismakingen met nieuwe mensen al weer 5 jaar geleden zijn. Die ongemakkelijke momenten dat je denkt “wat is dit voor persoon?” en “hoe zien ze mij?”.

Dan denk ik met een glimlach terug aan 1 van die eerste dagen. Het onderwerp muziek kwam ter sprake, altijd riskant. De toen nieuwe collega: “Ja, muziek. Hij houdt van Blof en zo. En ik ben meer van de Blues. Dus allebei wel een beetje homomuziek. En jij?”. “Ehm, ik ben van meer van de Disco en House…” Wat volgde was een stilte en een blik in de trant van “oh, hij houdt van ECHTE homomuziek”.

Privacy heeft niks te verbergen

Posted by on 20/09/2012 Comments Off on Privacy heeft niks te verbergen

Ik was vorige week op een bijeenkomst van (ISC)2 in Amsterdam. Een bijeenkomst voor mensen met een achtergrond in IT Security. Een vakgebied met raakvlakken met privacy wetgeving. En ook op deze bijeenkomst bleek weer dat privacy veel verkeerd begrepen wordt. Ik ga proberen grofweg te schetsen wat het probleem is.

Privacy komt de laatste jaren regelmatig ter sprake als het gaat om veiligheid. Of het nu gaat om cameratoezicht of kentekenregistratie, vanuit de overheid klinkt regelmatig de frustratie dat de privacy wetgeving het allemaal zo lastig maakt. Al te vaak hoor je dan als reactie “het maakt mij niet uit, ik heb niks te verbergen”.

Uit de laatste opmerking wordt de algemene misvatting over privacy duidelijk. Privacy gaat niet alleen maar over geheimen. Privacy is veel breeder en gaat ook over waardigheid en zelfbeschikking. Privacy gaat over zingen onder de douche. Dat is geen geheim, maar dat is iets dat je waarschijnlijk het liefst voor jezelf en eventueel je huisgenoten houdt.

Een groot deel van je leven is niet geheim. Maar het wordt toch wel heel vervelend als er continu iemand door het raam zit mee te kijken. Ik durf er op te wedden dat een groot deel van de mensen die het “niks te verbergen” standpunt verdedigen, een stalker niet prettig zouden vinden.

De Nederlandse overheid lijkt de laatste jaren steeds meer op zo’n stalker. Onder het motto “veiligheid” worden informatie, camerabeelden en vingerafdrukken van onschuldige burgers opgeslagen. Maar nergens wordt duidelijk wat de resultaten zijn van deze massaschending van de privacy. Laat staan of de data afdoende beveiligd wordt of zelfs kan worden tegen misbruik.

Daarom mijn stelling: Privacy heeft niets te verbergen.

Veel inspiratie voor deze tekst komt van: Why privacy matters even if you have nothing to hide. Privacy is een belangrijke zaak die in Nederland onder andere door Bits Of Freedom verdedigd wordt.

Ik sluit af met een link naar Das Pri-V (oa. Typhoon, Sticks). Ze staan vrijdag 21 september in Hedon.

A kingdom for my token

Posted by on 22/06/2012 Comments Off on A kingdom for my token

Vanochtend vertrek ik richting werk, nog een snelle check voordat ik weg ga: Portemonee, Sleutelbos, Smartphone, … Token … Token? Ik mis m’n sleutelbosje met RSA Token. Ik race door het huis, trap iemand lekker lomp op de hak en het dringt door.

Gister net aan de late kant nog wat werk klaar gemaakt voor in de trein. In de trein bleek ik de informatie niet te hebben opgeslagen. Dan maar via de brakke Wifi en SSL VPN inloggen op het werk. RSA Token voor het inloggen gepakt en achter de laptop gelegd.

En daar is ie blijven liggen. In trein 566 van Groningen (17:47) naar Rotterdam. Ik kan de plek bijna aanwijzen.

 

Inmiddels maak ik de schade op. Het is een sleutelbos met 4 dingen:

  • RSA Token
  • USB stick
  • 2 sleutels

Die RSA Token gaat m’n werk wat lastiger maken vandaag. Ik moet dingen laten liggen en omwegen verzinnen. Maar het geeft ook ruimte om op de ad-hoc zaken “nee” te zeggen, omdat ik echt niet kan helpen. Mooi documentatie moment. Niemand kan verder wat met dat ding, want ze missen de bijbehorende pincode en ik laat hem natuurlijk blokkeren.

Die USB stick. Jammer. Mooi compact ding van 8 GB. Er staat wel belangrijke informatie op, maar allemaal versleuteld. Voor dit soort dingen gebruik je dus Keepass en Truecrypt met een stevig wachtwoord.

1 sleutel is van de Kensington Lock voor m’n laptop. Dat boeit weinig, want er slingert er vast nog wel 1 op kantoor. Die andere sleutel is wel een probleem. Die is van m’n ladenblok op kantoor. Geen reserve, want zo gekregen. Nu maar hopen dat de huismeester nog een oplossing heeft.

Ondertussen hoop ik dat de NS een magisch moment heeft en… schrijf ik m’n eigen frustratie van me af. In 1 woord: Sukkel!

25-6-2012: En dan vind je ze uiteindelijk gewoon thuis. Blijkbaar toch wel meegenomen naar huis. Daar op de tafel gelegd en op een stoel gevallen. Ik weet niet waar ik me nu beroerder door voel: door dat bosje kwijt te zijn of door zo’n paniek te maken om niks.