Tussen kerst en nieuwjaar is altijd het Chaos Communication Congress van de Chaos Computer Club. De editie van dit jaar (26C3) stond duidelijk in het teken van onttroonde versleuteling. Niet alleen moest de GSM-versleuteling eraan geloven, ook Mifare Classic tegenspeler Legic is gekraakt. Ook had Wikileaks opmerkelijke plannen: ze willen naar IJsland toe. Met Joran spreken we het nieuws door met inbegrip natuurlijk van al het Nederlandse nieuws. Ons land staat na het incident op het vliegtuig naar Detroit volop in de belangstelling. Voor oud- en nieuw blijkt ons leger ook opmerkelijke plannen te hebben.

In het interview spreken we met RFID-expert Roel Verdult van de Radboud Universiteit. Hij deed goed onderzoek naar de OV-chipkaart en heeft een duidelijke visie op de problematiek. Kortom: we weer volle, leuke show.

 

 De Beveiligingsupdate 55: Op CCC wordt alle gesloten encryptie gekraakt [27:41m]: Play Now | Play in Popup | Download

In deze aflevering bespreken Joran Polak van Security.nl en Brenno de Winter de belangrijkste zaken van 2009 door. Dat is een riskante onderneming als in Berlijn het Chaos Communication Congress nog moet beginnen, maar trends zijn er volop. De laatste weken was er ook nog volop nieuws en kwamen verhalen tot een mooi slot. Dus hebben we het over de malware, Windows 7, privacy, de Soupnazi en wat dies meer zij.

Maar de show begint met een “serious request” de actie van 3FM, die door Fox IT wordt ondersteund. Zij bieden een hacker aan voor een dag. Daarvoor kan tot 1 januari 2010 geboden worden op Ebay. De opbrengst gaat naar het goede doel en de expertise naar de hoogste bieder. Een origineel initiatief, waarmee we hier computers veiliger maken en elders in de wereld malaria uitbannen. Een mooi initiatief!

Na het prettige gesprek met Joran spreken we met Surfnet over beveiliging in de universitaire wereld en een scanner om gevaarlijke sites te ontdekken. Natuurlijk is de website van De Beveiligingsupdate op de pijnbank gelegd en in orde bevonden.

 

 De beveiligingsupdate 54: Security in 2009 [47:51m]: Play Now | Play in Popup | Download

Deze week is de rode draad duidelijk het vraagstuk of je nu wel of niet mag rommelen met data. De hoofdredacteur van Nieuwe Revu is veroordeeld voor het wandelen door de mailbox van staatssecretaris Jack de Vries. Dat mag niet. Helder. Maar mag je tijdens het tellen van de stemmen de telsoftware wijzigen? Of mag je de database met resultaten ‘bewerken’? Of de kluis met de hardwarematige cryptografische sleutel openen? Volgens de Waterschappen kan dat allemaal, maar in de politiek reageert men toch iets negatiever.

En hoe zit het eigenlijk met BitLocker is dat nou wel of niet veilig? Is TPM (Trusted Platform Module) nu dood? Als het wel veilig is, waarvoor is het dan eigenlijk in te zetten ofwel welke risico’s dekken we af? Al met al genoeg vragen, waarop we een antwoord moeten vinden. Joran heeft die natuurlijk. Kortom een gezellig, informatieve podcast.

 

 Standard Podcast [25:27m]: Play Now | Play in Popup | Download

Deze week staat de vraag centraal of je uit overtuiging vernielingen mag aanrichten om je boodschap uit te dragen of een ander de mond te snoeren. Nee, denkt dat nationale recherche, die vorige week bekend maakte twee mannen te hebben opgepakt. Ondertussen kan een holocaust-ontkenner op heel wat minder begrip rekenen. Bij hem was de hack grondig. Waar kan hactivisme wel en waar niet?

Ook praten we met BT’s Ray Stanton die van mening is dat we allemaal aan de DRM zullen moeten. Ook erkent hij dat het toch wel lastig is om in een crisis beveiliging goed op de kaart te zetten. Een volle, interessante podcast.

 

 De Beveiligingsupdate 52: Moeten we allemaal aan de DRM? [33:41m]: Play Now | Play in Popup | Download

Deze week zien we kwaadaardige software via Twitter verspreid worden, een boete van 711 miljoen dollar voor spam en de aanstaande vervolging van de hoofdredacteur en journalist van Nieuwe Revu voor het hacken van mailboxen van staatssecretaris Jack de Vries. Windows 7 kan perfect dienen als Hotspot met een kleine hack. Zet dan niet WPA/TKIP aan, maar kies dan voor sterkere algoritmen. Het is allemaal zo te kraken. Infosecurity komt eraan enne voor Joran is het een groot leveranciersfeest. Moet je hier nou wel of niet naartoe?

 

 De Beveiligingsupdate 51: Straffen voor spammers en Revu-journalisten [21:46m]: Play Now | Play in Popup | Download

Het is feest voor De Beveiligingsupdate, want we zijn toe aan de vijftigste aflevering. Dat is een mooi moment om meteen stil te staan bij Windows 7. Ruud de Jonge van Microsoft noemt het veiligste besturingssysteem dat nu in de markt is. Er zijn veel technologieën toegevoegd, DEP staat standaard aan en de manier waarop rechten rond gebruikers werken zijn anders. Niet waar het is niet veilig. Althans dat stelt Jan van Haver van G-Data. Zij stellen op basis van eigen onderzoek dat er nog wel hiaten in het systeem zitten. Gelukkig heeft dat bedrijf natuurlijk zelf de oplossing in huis en gaat van Haver zelf wel over op het nieuwe besturingssysteem. Terechte kritiek of een reclamestunt?

Voor Truecrypt was het een reden om een nieuwe versie uit te brengen. Vanaf nu is er zowel ondersteuning voor Windows 7 als Apple’s Snow Leopard. Joran vertelt dat het niet hebben van een virusscanner soms een boete van $100.000 kan opleveren, terwijl links en recht data blijft worden gelekt. Een monsterdatabase van alle Nederlandse burgers mag er van het CBP niet komen, maar of onze regering zich daaraan stoort. Het geesteskindje van onder andere Dirk Scheringa moet blijven bestaan. Natuurlijk ook veel ander nieuws en we spreken over de ideeën die Eugene Kaspersky heeft rond het internet. Is het einde der tijden voor een vrij internet daar? Kortom een dubbeldikke feestelijke aflevering van De Beveiligingsupdate.

 

 De Beveiligingsupdate 50: Windows 7 veiligste besturingssysteem in de markt [44:55m]: Play Now | Play in Popup | Download

We gaan op naar aflevering 50, maar deze week eventjes alleen het nieuws. Een overlijden in de familie maakt meer eventjes wat lastig.

 

 De Beveiligingsupdate 49: Niets anders dan nieuws [14:12m]: Play Now | Play in Popup | Download

Deze week waarschuwt Joran dat het verstandig is geen e-mail van banken te krijgen op uw G-Mail account, want als de bank teveel informatie opstuurt wordt het account op last van een Amerikaanse rechter geblokkeerd. Wat dat betreft lijkt de lekkende bank de juridische afdeling aan het hoofd van hun beveiligingsbeleid te hebben gezet. Over Google gesproken: de plugin van Chrome voor Internet Explorer is zeer onveilig … zegt Microsoft. Een staaltje angst voor concurrentie of oprechte bezorgdheid? Natuurlijk blijft het beveiligingsupdate op beveiligingsupdate, want dit keer had Apple een patch voor een pijnlijk probleem voor iTunes. En Adobe? Dat blijkt een bijna exclusief platform voor malware schrijvers.

In het interview praten we met Barry van Kampen (aka Fish) over Hackerspaces. Hij richt op dit moment Random Data op in Utrecht. Ook presenteerde hij op HAR FM het dagelijkse programma “Hackerspace Hour” en wij draaien daarvan een editie. Samenkomen blijkt namelijk erg prettig te zijn om niet alleen een hobby uit te leven, maar ook om leuk beveiligingsonderzoek te doen. Kortom een leuke, tjokmutjevolle podcast.

 

 De Beveiligingsupdate 48: Hackerspaces [51:46m]: Play Now | Play in Popup | Download

Het was de week van Sockstress vorige week. Microsoft en Cisco introduceerde een technologie om de kans op een succesvolle DoS-aanval tot een minimum te beperken. Dus niet gewoon een paar regels aanpassen, maar daadwerkelijk techniek aan het systeem toevoegen. Oracle stelde het patchen uit om beheerders maar niet te laten kiezen tussen veilig zijn of een conferentie bezoeken, terwijl Adobe het te druk had om tijdige patches voor ernstige lekken te maken. Joran gaat los op het ten onrechte aanwijzen van een onschuldige man als overvaller op overvallersgezocht.nl te zetten. Ik heb inmiddels hier gevraagd om procedures rond het publiceren van burgers op zo’n website. Een jaloerse echtgenote laat de wachtwoorden van haar man kraken. Ofwel een nieuwswaardige week ligt achter ons.

 

 De Beveilingsupdate 47: Updates, updates en uitstel: Play Now | Play in Popup | Download

Deze week hebben we met Joran het nodige nieuws te bespreken over nieuwe massalekken, vreemd gedrag van Adobe, paspoorten met wel erg vreemde distributie kanalen en meer. Daarna spreken we met Don Blumenthal. Hij is oud-medewerker van de Federal Trade Commission, die bij grote lekken voor de rechten van burgers opkomt en kan ingrijpen. Na het verlies van 130 miljoen creditcardnummers aan de ‘Soupnazi’ lijkt ingrijpen niet te voorkomen. Maar volgens de expert is dat niet zeker, want als waren ze wel erg lek toch waren ze ook geaudit en in orde bevonden. Niets lijkt dus zeker. Ik wil wel eens weten hoe de FTC werkt in dit soort zaken.

 

 De Beveiligingsupdate 46: Compliance als vrijpleitingsgrond voor blunders [30:02m]: Play Now | Play in Popup | Download

De afgelopen week stond skimmen in het nieuws. De NS denkt een nieuwe oplossing tegen de problematiek te hebben gevonden. Of de oplossing deze keer langer stand zal houden is nog eventjes de vraag. Ook PvdA heeft ideeën om skimmen te stoppen. Verder natuurlijk veel ander nieuws. In het interview gaan we in gesprek met Ot van Dalen van Bits of Freedom (BoF).

 

 De beveiligingsupdate 45: Beveiliging tegen skimmen en in gesprek met BoF [20:55m]: Play Now | Play in Popup | Download

HAR 2009 is voorbij en dat betekent dat De Beveiligingsupdate weer met volle kracht vooruit gaat. Er is voldoende nieuws, want 130 miljoen creditcardnummers zijn gestolen. Gelukkig was het een bekende van de politie, want het was opnieuw de “Soupnazi” ofwel de TJX-hacker. Wat de precieze schade blijft onduidelijk, maar dat het een duur geintje is mag helder zijn.

Daarna praten we met John J. Strauchs, een oud medewerker van niets minder dan de CIA. Hij vertelt hoe de CIA werkt, hoe onderzoeken lopen wat de relatie was met de KGB en vooral hoe hij nu onderzoek doet. Bij een serieuze aanval is het verhaal een werk van geduld, voldoende geld en zelfs een superbeveiligde omgeving is niet langer veilig. Een wijze les hoe ver sommige mensen gaan voor een attack en vooral een wijze les dat beveiliging kraken een heel andere vorm van denken is. Leuk detail aan het verhaal is dat John ook actief was voor de film Sneakers en ook daar doet hij een boekje open. Tot slot heeft hij vanuit het beeld van opsporing een opmerkelijk standpunt over de bewaarplicht verkeersgegevens. Het probleem zijn de bureaucraten.

 

 De Beveiligingsupdate 44: Hoe de CIA werkt en 130 miljoen creditcards [50:56m]: Play Now | Play in Popup | Download

Het duurt niet lang meer en HAR 2009 barst los. Heeft u geen kaart? Luister toch mee via HAR FM. Verder spreken we eventjes na over BlackHat en Defcon waarvan alle presentaties (700mb!) beschikbaar zijn. De securitycampagne van de overheid “veilig internetten” komt wat vreemd over als er toch de nodige problemen spelen, waardoor er weinig geloofwaardigheid is. Wanneer krijgt Govcert er personeel bij en gaan ze eens naar de adviezen van de experts handelen?

Wil je informatie verbergen om veilig te zijn, omdat je bronnen hebt te beschermen of gewoon lekken niet de bedoeling is? Voor de Journalist schreef een wel heel belangrijke, basale uitleg.

Joost Pol van Certified Secure zoekt de nuance op door te wijzen op lekke sites bij de overheid en dat jammeren over SSL wat mager is. Mensen moeten vooral werken aan beveiliging in de breedte.

Met Paul Bakker van Fox IT spreken we over steganografie. Is het mogelijk om informatie in bestanden te verbergen? En als dat kan: kan het dan nog ontdekt worden?

 

 De Beveiligingsupdate 43: Is de overheid onveilig? Kent u steganografie?: Play Now | Play in Popup | Download

Joran is dit weekend in aanraking met de politie geweest in verband met skimming, maar wie nou wie de les moet lezen is nog eventjes onduidelijk. Verder staan we stil bij Firefox 3.5 dat opeens twee 0-day’s kan dichten. In één geval is het lek zo ernstig dat het al misbruikt werd voor het beschikbaar zijn van een patch. Maar het kan beroerder als je zaken doet met Etisalat en een BlackBerry gebruikt. De Arabische provider blijkt spyware te distribueren om eens lekker te spioneren op hun klanten. Natuurlijk staan we ook stil bij de vijfde versie van NMAP.

Daarna spreken we met Koen Martens van HAR 2009 over de ruimte problemen. Er zijn geen kaarten meer beschikbaar, want de camping is vol. Dus de lezingen zullen goed gevuld zijn, de bar snel leeg en is het tijd om in te schakelen op HAR FM op 106.8 FM of via een internetstream. Er is zeker nieuws te melden van het event en dat zal ook zeker verslagen zal worden.

Ook spreken we met Frank van Vliet van Certified Secure met de vraag hoe we veilig op vakantie kunnen. Hij adviseert onder andere Truecrypt voor het versleutelen van de schijf.

 

 De Beveiligingsupdate 42: De vakantie-editie, wat moet de politie van Joran? [25:02m]: Play Now | Play in Popup | Download

In een zomerse aflevering loop ik met Joran Polak door het rustieke Den Haag om te praten over geldautomaten, die geld kado geven, creditcardmaatschappijen die klanten minder limiet geven als ze te vaak een massage betalen, Michael Jackson-spam, “gewone” spam en natuurlijk veel meer nieuws. Daarbij hebben we het natuurlijk ook over de nieuwe Firefox 3.5.

 

 De Beveiligingsupdate 41: Geldautomaten geven geld kado [16:00m]: Play Now | Play in Popup | Download