Maandelijks archief maart 2019

doorSecuratis

Google ontdekte miljoenen besmette Androidtoestellen in 2018

Miljoenen Androidtoestellen zijn vorig jaar besmet geraakt met malware, zo heeft Google in het jaaroverzicht van 2018 laten weten (pdf). Er zijn wereldwijd meer dan 2 miljard Androidtoestellen in omloop. Van de toestellen die alleen apps van de Google Play Store gebruikten raakte vorig jaar 0,08 procent geïnfecteerd door malware, of “potentieel schadelijke applicaties”, zoals Google het noemt. Een zelfde percentage als in 2017.

Androidtoestellen die apps buiten de Google Play Store downloaden hebben een veel grotere kans om met malware in aanraking te komen. Daar trof Google bij 0,68 procent van de toestellen malware aan. Dit percentage liet wel een daling ten opzichte van 2017 zien, toen het nog om 0,8 ging. Google noemt geen aantallen, maar gezien het grote aantal Androidtoestellen gaat het om miljoenen apparaten die vorig jaar besmet zijn geraakt.

Fabrikanten

Niet alleen bij het downloaden van apps moeten gebruikers oppassen voor malware. Google controleert ook de systeemimages die fabrikanten op hun Androidtoestellen willen installeren op malware. Malware die vooraf wordt geïnstalleerd, en dus onderdeel van het toestel is, kan lastig voor gebruikers te verwijderen zijn. Vorig jaar werden bij 242 van deze images malware aangetroffen. Google noemt geen namen van de betreffende fabrikanten, maar zegt wel met deze partijen samen te werken om de malware uit de images te verwijderen.

https://www.security.nl/posting/603567/Google+ontdekte+miljoenen+besmette+Androidtoestellen+in+2018?channel=rss

doorSecuratis

Criminelen stelen 1900 euro via gehackt WhatsApp-account

Criminelen hebben een gehackt WhatsApp-account gebruikt om 1900 euro van een 37-jarige vrouw uit Den Haag te stelen, zo heeft de politie bekendgemaakt. Een 20-jarige vrouw uit Made die in deze zaak als katvanger diende is verhoord.

De vrouw uit Den Haag ontving via WhatsApp een bericht van een vriendin of ze vanwege een spoedgeval 1900 euro kon missen. Vervolgens kreeg de vrouw een betaalverzoek toegestuurd waarmee zij het geld naar haar “vriendin” kon overmaken. Niet veel later nadat het geld was overgemaakt hoorde de vrouw dat het WhatsApp-account van haar vriendin was gehackt. De 20-jarige verdachte uit Made heeft bekend dat zij bankrekeningen heeft geopend die door anderen zijn misbruikt voor criminele activiteiten, aldus de politie.

Vorig jaar wisten criminelen via WhatsApp-fraude 257.000 euro van 122 Nederlanders te stelen. De politie waarschuwde daarop voor criminelen die WhatsApp-codes aan gebruikers vragen om hiermee WhatsApp-accounts over te nemen. Vervolgens worden de gekaapte accounts gebruikt voor het plegen van WhatsApp-fraude.

https://www.security.nl/posting/603561/Criminelen+stelen+1900+euro+via+gehackt+WhatsApp-account?channel=rss

doorSecuratis

Gegevens honderdduizenden patiënten bij Google opgeslagen

Door Manjaro Linux:
NEN, ISO, allemaal mooie regels en theorie. Nu de praktische uitvoering nog.
Het ontgaat mij geheel waarom je patiënt data bij Google opslaat terwijl er genoeg andere data centers zijn. Wellicht gaat het goed bij Google maar je weet het maar nooit gezien de reputatie van dit bedrijf, ze verzamelen nu eenmaal graag data.
Hoe gaat MRDM onafhankelijk bij Google auditen?

Ik heb het artikel van het AD maar eens goed doorgenomen, wat staat er:
– er is sprake van een “klokkenluider” dat betekent dat een intern iemand zijn gelijk probeert te halen via de publieke opinie
Dat is een zeer slecht startpunt voor een onderbouwde serieuze discussie.

– Het gaat om de google locatie Eemshaven dus niet een VS locatie maar gewoon Nederlands.
De meeste datacenters in Nederland zijn in Amerikaanse / buitenlandse handen. Equinix bijvoorbeeld heeft veel voormalige overheidsdatacenters overgenomen. IBM draait de boel bij UWV. Bedrijven stoten de hardware en het OS gedeelte het liefste af (buiten de deur zetten). MRDM is beslist niet de enige.

– Er wordt gezegd dat het AP zelf niet bij de aanbesteding betrokken is. Lijkt me ook logisch je neemt ook niet de politie mee om een auto aan te schaffen. Hier zit vermoedelijk de wrevel van die klokkenluider.

– Het gaat om medische gegevens waarmee de kwaliteit van de handelingen vergeleken / getoetst worden. Dat is een prima zaak. Het is een overheidstaak en met preventieve geneeskunde gaat het om het algemeen belang. Deze verwerkingsgrond is in de GDPR opgenomen. Informeren naar betrokken patiënten is niet aan de orde. Zou dat wel moeten dan moet de belastingdienst gemeentes justitie ook alles aan betrokkenen melden en toestemming vragen. De zaak Anne Faber toont hoe fout dat uit kan uitpakken. Er is een algemeen belang rechtsgrond etc.

– Welk contract is er nu eigenlijk? IAAS PAAS of SAAS cloud services kent vele manieren.
Dat gegeven ontbreekt en dat is best heel slordig van de onderzoekjournalisten.
-> IAAS je neemt de hardware af maar doet de installatie van het os en al het andere zelf
-> PAAS je laat het OS met tools middelware er op zetten en beheren door de dienstverlener. De werkelijke applicatie en data doe je geheel zelf.
-> SAAS je laat de diensteverlener vrijwel alles in jou opdracht verwerken. Hier zul je er niet aan ontkomen dat de verwerker de gegevens ziet, hij doet de feitelijke analyses.

IAAS is eenvoudig ISO27002 te auditten fysieke toegang en wat er gebeurt kan een ieder begrijpen
Er zijn complete hoofdstukken die alleen dit deel beschrijven. Het beste is een regelmatige controle door een onafhankelijke auditor. Gewoon zoals elders dat soort procedures al bestaan.

PAAS wordt lastiger want de administrators rol zit ineens bij de dienstverlener.
Die dienstverlener kan ook een andere zijn dan de IAAS provider. Dan heb je meerdere contracten en aanspreekpunten.

Dan kom je bij de certificeringen en wat die zeggen. Allemaal heel open.
https://cloud.google.com/security/compliance/iso-27017/?hl=nl Het is niet de consumenten of hobby wereld.
Bedenk (om jouw te plagen) het is allemaal open source, wat zou er mis kunnen gaan, Iedereen kan de code zien dus al google zegt dat het goed is moet je niet gaan lopen emmeren dat het niet waar is. Natuurlijk kan er van alles mis gaan.

https://www.security.nl/posting/603559/Gegevens+honderdduizenden+pati%C3%ABnten+bij+Google+opgeslagen?channel=rss

doorSecuratis

Logius laat 3900 PKIoverheid-certificaten vervangen

De ict-afdeling van het ministerie van Binnenlandse Zaken, Logius, laat 3900 PKIoverheid-certificaten intrekken omdat ze niet meer aan de vastgestelde eisen voldoen. Het vervangingstraject zal naar verwachting 8 maanden in beslag nemen, zo heeft de overheidsdienst vandaag bekendgemaakt.

Overheidsdiensten gebruiken PKIoverheid-certificaten voor verschillende zaken, zoals versleutelde verbindingen voor websites, authenticatie op afstand, elektronische handtekeningen en versleuteling van elektronische berichten. Deze certificaten worden binnen het “Public Key Infrastructure” (PKIoverheid) stelsel op drie niveaus uitgegeven: een rootcertificaat, tussenliggende certificaten en eindgebruikerscertificaten. Eindgebruikerscertificaten zijn onderverdeeld in servercertificaten en persoonsgebonden certificaten.

Logius is verantwoordelijk voor de uitgifte van het rootcertificaat en de tussenliggende certificaten. Eindgebruikerscertificaten worden door publieke en private certificaatverstrekkers uitgegeven. Onlangs werd bekend dat certificaatautoriteiten een fout hebben gemaakt bij het genereren van certificaten. De standaarden voor certificaten verplichten dat die over een 64-bit serienummer moeten beschikken. De certificaatautoriteiten hebben echter certificaten uitgegeven die effectief over een 63-bit serienummer beschikten. Dit kwam door een standaardinstelling van de gebruikte uitgiftesoftware EJBCA.

Na ontdekking van het probleem kondigde Logius aan dat mogelijk 14 tussenliggende certificaten en maximaal 22.000 daaronder vallende servercertificaten vervangen moesten worden. Vandaag meldt de overheidsdienst dat het om 11 tussenliggende en ongeveer 3900 onderliggende certificaten gaat. Er is gekozen om alleen de certificaten te vervangen die voor webverkeer worden gebruikt. Certificaten die niet voor webverkeer gebruikt worden, inclusief persoonsgebonden certificaten, laat Logius niet vervangen. Het gaat dan bijvoorbeeld om certificaten voor interne omgevingen of certificaten die gebruikt worden voor machine tot machine communicatie.

https://www.security.nl/posting/603464/Logius+laat+3900+PKIoverheid-certificaten+vervangen?channel=rss

doorSecuratis

Belgische overheid waarschuwt voor helpdeskfraude

Het Centrum voor Cybersecurity van de Belgische overheid (CCB) heeft internetgebruikers gewaarschuwd voor helpdeskfraude, waarbij mensen worden benaderd door oplichters die zich voordoen als Microsoft-medewerker. Volgens het CCB worden dagelijks minstens 3 à 4 Belgen het slachtoffer van de oplichters.

“Ze verliezen gemiddeld 1.000 tot 10.000 euro, maar er zijn ook gevallen bekend waarbij oplichters meer dan 100.000 euro buit gemaakt hebben. Het jaarlijkse verlies zou tot in de miljoenen kunnen lopen”, aldus het Centrum voor Cybersecurity, dat helpdeskfraude als “grote dreiging” bestempeld. Internetgebruikers krijgen het advies om telefoonoproepen van bedrijven die vragen om een aantal acties op de computer uit te voeren te wantrouwen en de computer niet door onbekenden over te laten nemen.

https://www.security.nl/posting/603463/Belgische+overheid+waarschuwt+voor+helpdeskfraude?channel=rss

doorSecuratis

Rechtbank gelast fiscus om BSN uit btw-nummer te verwijderen

Door karma4: De wet rond BSN is opgesteld om persoonsverwisseling te voorkomen. Een naw is te foutgevoelig voor administratieve fouten.Dat was het echte probleem en is nog steeds problematisch. Het is de MVT bij die wet geheel uitgelegd

Dat is een argument dat helemaal niet gaat over waar ik het over had. Dat een persoonsadministratie een betere sleutel nodig heeft dan NAW is gesneden koek voor iedereen die zich wel eens een beetje in gegevensmodelleren heeft verdiept. Ik had het erover dat artikel 12 van de Wet algemene bepalingen burgerservicenummer (Wabb) geen verplichting oplevert aan anderen dan wie in die wet als gebruiker gedefinieerd zijn. En dat ook groepen gebruikers (volgens de Wabb die term definieert) in de situatie kunnen komen dat die regel conflicteert met belangen die ook niet genegeerd kunnen worden. Het is dus niet waterdicht, en dus moet er rekening mee gehouden worden dat het niet waterdicht is. Dat is niet ideaal, maar het is wel de situatie zoals die is.

Weet je wat maakt dat anderen dan die gebruikers geen BSN mogen verwerken? De AVG definieert grondslagen voor de verwerking van persoonsgegevens en de UAVG beperkt dat in artikel 46 voor een nationaal identificatienummer door te bepalen dat dat alleen gebruikt mag worden voor de toepassingen die de toepasselijke wetgeving beschrijft of via algemene maatregelen van bestuur zijn toegevoegd. Dat staat niet in de Wabb zelf en blijkt dus ook niet uit iets uit de Wabb dat je aanhaalt.

Trouwens, ik zie dat er naast de Wabb ook de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg bestaat. Artikel 12 daarvan stelt uitdrukkelijk dat van de verplichting om de identiteit en burgerservicenummer van de patiënt vast te stellen mag worden afgeweken als dat noodzakelijk is voor het verlenen van spoedeisende zorg. Daar staat dus een expliciete uitzondering op het artikel 12 Wabb dat jij aanhaalt. Hoe duidelijk wil je hebben dat dat artikel dus niet het hele verhaal is? De wetgeving laat daar dus bewust een situatie toe die voor identiteitsfraude misbruikt kan worden als op dat moment een urgent ander belang zwaarder weegt. Wie weet bevatten andere wetten meer uitzonderingen.
https://wetten.overheid.nl/BWBR0023864/2018-11-17

Wat vergeten is om in te vullen bij de wet is: hoe dat bewijs dan geleverd zou moeten worden.

Is dat in te vullen dan? Hoe zie je dat voor je? Is dat iets dat op dit moment gerealiseerd kan worden, niet alleen theoretisch maar ook praktisch?

Vervolgens gaat men in de praktijk het hellende vlak op. Instructie schrijf het bsn of ander nummer over, dan is dat het bewijs en als het toch verkeerd bleek te zijn verleggen we de schade wel naar het slachtoffer,

Het is een bewijsmiddel, geen volledig bewijs. En veel van de ellende komt eerst via incassobureau’s, deurwaarders en civiele rechtzaken aan bod. Daar wordt niet met dezelfde eisen aan bewijzen gewerkt als in het strafrecht. Incassobureau’s, deurwaarders en advocaten worden door één van de partijen ingeschakeld en vertegenwoordigen de belangen van die partij, waarbij ze er voor een flink deel van uit zullen gaan dat de informatie die ze aangeleverd krijgen klopt. Civiele rechters houden de argumenten waar twee partijen mee komen tegen wetten en regels en hakken op basis daarvan een knoop door. Dan is het helaas zo dat je als slachtoffer van identiteitsfraude met meer moet komen dan melden dat het een ander kan zijn geweest. Dat je pas schuldig bent als je schuld afdoende is aangetoond is iets uit het strafrecht. Civiel recht is er om conflicten tussen civiele partijen te beëindigen.

Dat is zelfs twee keer onwettelijk handelen.

Het is een stuk ingewikkelder dan jij denkt. Wetgeving zit niet zo in elkaar dat je op één plek iets kan aanwijzen dat alles zegt. Er kunnen andere wetten bestaan die dat weer nuanceren of die uitzonderingen toevoegen. Ik ben daar niet blij mee, de aanname dat je als burger de wet kent is daardoor een wassen neus, maar het is wel de realiteit en ik zie niet in hoe je dit soort verwevenheid in wetgeving voorkomt.

Je kunt het probleem negeren newspeak hanteren dat omdat het een gewoonte geworden is ook al is die compleet fout wel goed zal zijn.

Ik negeer het probleem niet en ik hanteer geen newspeak.

En los van de inhoud: ga alsjeblieft eindelijk eens op je zinsbouw letten. Tussen “probleem negeren” en “newspeak hanteren” hoort een woord als “en” of “of”. Die betekenen niet hetzelfde, door het weg te laten laat je in het midden wat je bedoelt. En wat betekent “wel goed zal zijn” direct achter “al is die compleet fout”? Moet ik nu maar gaan fantaseren welke woorden daar zijn weggelaten?

Dat is maar één zin, ik kan er makkelijk meer aanhalen die net zo rammelen. Het roept de vraag op of je denken net zo warrig is als de manier waarop je je gedachten opschrijft.

https://www.security.nl/posting/603459/Rechtbank+gelast+fiscus+om+BSN+uit+btw-nummer+te+verwijderen?channel=rss

doorSecuratis

Shodan komt met ‘Google Alert’ voor apparaten op internet

IoT-zoekmachine Shodan heeft een nieuwe dienst gelanceerd waarbij organisaties de apparaten en systemen die ze aan het internet hebben blootgesteld kunnen monitoren en worden gewaarschuwd als er iets onverwachts opduikt. Shodan-oprichter John Matherly vergelijkt het met het instellen van een Google Alert voor een bepaald woord of woorden, alleen dan voor apparaten op het internet.

Via Shodan Monitor kunnen bedrijven zowel hun ip-adressen en ip-reeksen laten monitoren, als opgegeven apparaten en andere systemen. Zodra de monitoringsdienst iets onverwachts vindt krijgt de organisatie meteen een waarschuwing. De afgelopen jaren hebben onderzoekers via Shodan tal van databases, installaties en systemen gevonden die onbedoeld voor heel het internet toegankelijk waren. De “network alerts” van Shodan Monitor moeten dit voorkomen. De monitoringsdienst is gratis te gebruiken voor betalende gebruikers van de zoekmachine.

https://www.security.nl/posting/603303/Shodan+komt+met+%27Google+Alert%27+voor+apparaten+op+internet?channel=rss

doorSecuratis

Overheid: digitale deurbel met camera maakt straten veiliger

Straten waar digitale deurbellen met camera worden gebruikt zijn veiliger dan straten waar de deurbellen niet aanwezig zijn, zo stelt het ministerie van Justitie en Veiligheid op basis van een proef die vorig jaar werd uitgevoerd. Voor de pilot “Digitale Deurbel” werden 96 digitale deurbellen in 45 straten in de Almeerse Stedenwijk geïnstalleerd. Deze pilotstraten werden vervolgens vergeleken met vergelijkbare straten zonder digitale deurbel.

In de straten met een digitale deurbel nam het aantal woninginbraken vorig jaar met 48 procent af ten opzichte van het jaar daarvoor, in de controlestraten was dat 5 procent. Niet alle woningen in de pilotstraten werden van een digitale deurbel voorzien. Van de 96 pilotwoningen die wel over een dergelijke deurbel beschikten werd er in 1 woning ingebroken. Het aantal auto-inbraken bleef stabiel in de pilotstraten, terwijl deze sterk stegen in de controlestraten. Bij overige vermogensdelicten en vernielingen was er geen effect merkbaar.

Het ministerie merkt op dat de deurbel op straatniveau een positief effect heeft, maar dat dit op wijk- en woningniveau nog niet is te merken. In de Stedenwijk vonden vorig jaar 76 woninginbraken plaats, een aanzienlijke daling ten opzichte van 2017, toen dit er 111 waren. Deze daling vond echter ook plaats in de de Muziekwijk Zuid, die als vergelijkingswijk was aangewezen en waar geen digitale deurbellen aanwezig waren.

Verder laat het ministerie weten dat bewoners met een digitale deurbel zich veiliger voelen. Het percentage deelnemers dat zich wel eens onveilig voelt in de eigen woning daalde van 40 procent voor de pilot naar 23 procent aan het einde van de pilot. Deelnemers gaven de veiligheid in de buurt ook een hoger cijfer, namelijk een 6,5 tegenover een 5,9 een jaar eerder. Vier op de vijf deelnemers zegt dat het verbeterde veiligheidsgevoel aan de digitale deurbel te danken is.

Camera in Beeld

Om aan de pilot mee te mogen doen moesten deelnemers hun camera wel aanmelden bij Camera in Beeld. Dit is een database die informatie over particuliere beveiligingscamera’s in Nederland bevat. De database geeft politie een overzicht van welke camera’s waar hangen en waar zij opnames van maken. In het geval van een misdrijf kan politie de beelden opvragen.

In navolging van de pilot met digitale deurbellen zullen er de komende jaren nog meer experimenten plaatsvinden om woninginbraken te voorkomen. In Rotterdam-Zuid is inmiddels gestart met het Fieldlab Inbraakvrije wijk. “Met dit experiment wordt onder andere onderzocht of beweging- en geluidssensoren in de openbare ruimte, verdacht gedrag in een vroegtijdig stadium kunnen herkennen om woningbraken te kunnen voorkomen”, aldus het ministerie. De gemeente Almere wijst inwoners bij het gratis preventieadvies inmiddels op de effecten van een digitale deurbel.

https://www.security.nl/posting/603297/Overheid%3A+digitale+deurbel+met+camera+maakt+straten+veiliger?channel=rss

doorSecuratis

Microsoft krijgt controle over 99 domeinen van APT-groep

Microsoft heeft via een gerechtelijk bevel de controle over 99 domeinen van een groep aanvallers gekregen en het verkeer hiervan naar de eigen servers laten wijzen. Het gaat om een groep die wordt aangeduid als Phosphorus, APT 35 en Charming Kitten. Dat heeft de softwaregigant vandaag bekendgemaakt.

De groep, die volgens Microsoft aan Iraanse hackers wordt gelinkt, houdt zich bezig met het stelen van gevoelige gegevens van overheden en bedrijven. Ook zijn activisten en journalisten het doelwit, en dan met name die over zaken in het Midden-Oosten berichten. Om toegang tot de systemen van slachtoffers te krijgen maakt de groep gebruik van kwaadaardige links die via social media worden verstuurd en naar malware wijzen.

Daarnaast verstuurt de groep phishingmails die van bekende bedrijven afkomstig lijken, zoals Microsoft, en stellen dat er een beveiligingsprobleem met het e-mailaccount is. Vervolgens wordt gebruikers gevraagd om hun wachtwoord in een webformulier in te vullen. De ingevulde inloggegevens worden dan naar de aanvallers gestuurd. De groep registreert voor deze phishingaanvallen domeinen die op domeinen van de geïmiteerde techbedrijven lijken.

Om de operaties van de groep te verstoren stapte Microsoft naar de rechter, die de softwaregigant via een gerechtelijk bevel de controle over 99 domeinen gaf. Vervolgens liet Microsoft het verkeer van de domeinen naar de eigen servers wijzen. De informatie die dit oplevert zal binnen de beveiligingsproducten en -diensten van Microsoft worden gebruikt.

https://www.security.nl/posting/603133/Microsoft+krijgt+controle+over+99+domeinen+van+APT-groep?channel=rss

doorSecuratis

Dieven stelen 120.000 liter benzine via beveiligingscode 0000

In Frankrijk zijn afgelopen maandag vijf mannen aangehouden op verdenking van het stelen van meer dan 120.000 liter benzine. De gestolen brandstof was meer dan 150.000 euro waard. Volgens de Franse politie hadden de vijf op internet een afstandsbediening gekocht om de pompen van de tankstations in de handmatige mode te zetten. Vervolgens konden de benzinetanks zonder te betalen volledig worden leeg getankt.

Hiervoor moest er wel eerst een code worden opgegeven, maar in veel gevallen was de standaard beveiligingscode van 0000 niet veranderd, zo meldt Le Parisien. De vijf zouden het vooral op kleine, afgelegen tankstations van Total hebben voorzien. De gestolen benzine werd vervolgens doorverkocht, waarbij de verdachten gebruikmaakten van reclame op sociale netwerken. Total heeft de beveiligingscodes van de tankstations inmiddels aangepast.

https://www.security.nl/posting/603123/Dieven+stelen+120_000+liter+benzine+via+beveiligingscode+0000?channel=rss