Lost in the Noise

‘Side-channel attacks’ op chipkaarten vormen een steeds groter probleem. Dit zijn indirecte aanvallen, waarbij beveiligde gegevens op chips worden gelezen via het afluisteren van hardware-karakteristieken, zoals bijvoorbeeld het energieverbruik van de chip in een bankpasje. Tot nu toe werd onderzoek naar beveiliging tegen side channel attacks vooral uitgevoerd door hardwarespecialisten. Er zijn recent echter nieuwe cryptografische principes ontdekt die op softwareniveau bijdragen aan de veiligheid van implementaties tegen dit type aanvallen.

Op de workshop ‘Provable Security against Physical Attacks’, die maandag van start ging op het Lorentz Center in Leiden, komen theoretische cryptografen, hardwarespecialisten en en afgevaardigen uit de industrie bij elkaar om nieuwe methoden en tools te ontwikkelen ter bescherming van dit type aanvallen. Het Centrum Wiskunde & Informatica (CWI), de Universiteit Leiden, MIT, de Katholieke Universiteit Leuven en ENS Paris organiseren gezamenlijk dit evenement.

Autosleutels

Om kaarten zoals bankpassen, de OV-chipkaart, een smart card of digitale autosleutels te beveiligen wordt gebruik gemaakt van cryptografie. In theorie zou dit elk misbruik moeten voorkomen. Toch komt het voor dat deze apparatuur te maken krijgt met succesvol uitgevoerde side-channel attacks. Bij deze aanvallen wordt gebruik gemaakt van de afluisterbaarheid van de hardware in plaats van het rechtstreeks ‘kraken’ van de cryptografie.

Ook de sleutel van rfid-chips, die worden gebruikt in elektronische autosleutels, kan bijvoorbeeld worden gebroken door het meten van de elektromagnetische straling die vrijkomt in de chip.

(bron: computable.nl)

Wereldwijd zijn drie op de vier bedrijven de afgelopen twaalf maanden het doelwit geweest van een digitale aanval. Dergelijke aanvallen kosten bedrijven gemiddeld 1,5 miljoen euro per jaar. Dat zegt beveiligingsbedrijf Symantec, op grond van interviews in januari 2010 met ict-managers uit 27 landen.

In 2009 is 75 procent van de bedrijven het doelwit geweest van een digitale aanval. Van hen geeft 36 procent aan dat de aanval enigszins tot zeer effectief was. 29 procent van de bedrijven meldt dat het aantal aanvallen de afgelopen twaalf maanden is toegenomen.

Alle bedrijven uit het onderzoek liepen volgens Symantec in 2009 digitale schade op. De drie meest voorkomende zaken waren diefstal van intellectueel eigendom, diefstal van creditcardnummers of andere financiële gegevens van klanten en diefstal van persoonsgegevens van klanten. Dit leidde in 92 procent van de gevallen tot schade, met name productiviteitsverlies, inkomstenderving en verlies van het vertrouwen van klanten. Bedrijven gaven aan hierdoor jaarlijks gemiddeld 1,5 miljoen euro aan kosten te maken.

Cloud maakt situatie ingewikkelder

Volgens Symantec wordt de beveiliging van grote organisaties door een aantal factoren steeds moeilijker. Om te beginnen is er sprake van onderbezetting, met name op het gebied van de beveiliging van netwerken (44 procent), endpoints (44 procent) en messaging (39 procent).

Daarnaast ontplooien bedrijven nieuwe initiatieven die de beveiliging bemoeilijken. Dat zijn volgens ict-afdelingen vooral infrastructure-as-a-service, platform-as-a-service, servervirtualisatie, endpointvirtualisatie en software-as-a-service.

Adviezen

Het beveiligingsbedrijf adviseert organisaties hun infrastructuur te beschermen door endpoints, messaging en webtoegang te beveiligen, kritieke interne servers te verdedigen en back-up en herstel van gegevens mogelijk te maken.

Daarnaast moeten ict-beheerders informatie proactief te beschermen door een informatiegerichte benadering te hanteren bij de beveiliging van zowel informatie als de interactie daarmee. Een op content gebaseerde benadering van gegevensbescherming is van kritiek belang voor wie wil weten waar gevoelige informatie is opgeslagen, wie daar toegang toe heeft en hoe deze de organisatie binnenkomt en verlaat.

Symantec raadt organisaties aan een beveiligingsbeleid te ontwikkelen en toe te zien op de naleving daarvan. Door prioriteiten toe te kennen aan risico’s en beleid op te stellen dat van toepassing is op alle locaties, kunnen klanten de naleving van beleid afdwingen door middel van ingebouwde automatisering en werkstromen. Daardoor worden risico’s niet alleen opgemerkt, maar kunnen incidenten worden bestreden zodra – of voordat – ze plaatsvinden.

(bron: computable.nl)

Online diensten beveiligd met sms-authenticatie zijn kwetsbaarder wanneer ze gebruikt worden op een smartphone dan via een standaard pc. Aanvallers kunnen misbruik maken van de bundeling van telefonie en internet in één apparaat. Geautomatiseerde aanvallen worden hiermee in de toekomst mogelijk. Dat zegt Ton Slewe, adviseur bij het computerincident-responsteam van de Nederlandse overheid, Govcert.

‘Met de komst van smartphones verandert het beveiligingsmodel van online diensten die via sms-authenticatie zijn beveiligd. Bij een smartphone met mobiel internet en de (standaard) mogelijkheid voor het ontvangen van sms-berichten, komen de vroeger gescheiden kanalen voor authenticatie (sms) en de onlinedienst samen in één apparaat. Dit levert een extra risico op,’ legt Slewe uit.

Dit risico geldt ook voor internetbankierdiensten, mits de authenticatie van betalingen verloopt via sms. Hoe dan ook, leveranciers van online diensten er volgens Slewe verstandig aan om online verrichtingen die via sms-authenticatie zijn beveiligd, vanaf smartphones extra te controleren. ‘Dat kan bijvoorbeeld door in de backoffice mobiele transacties te filteren en te controleren of deze verrichtingen binnen iemands normale gedrag vallen.’

Bezorgdheid nog niet nodig

Volgens de beveiligingsexpert is er vooralsnog echter nog niet ‘direct reden tot bezorgdheid. De beveiliging met de sms-berichten is normaal gesproken maar een van de beveiligingsmaatregelen die dienstaanbieders hebben genomen.’

Hij voegt daaraan toe: ‘Bovendien vindt het merendeel van de aanvallen op online transacties nog steeds plaats via standaard-pc’s met vast internet. Het is dus niet zo dat het op dit moment onveilig zou zijn om onlinediensten af te nemen met een smartphone, maar het is wel iets waarmee in de toekomst rekening moet worden gehouden .’

(bron: computable.nl)

De computersystemen van het academisch ziekenhuis Maastricht (azM) zijn dinsdagmiddag 16 maart getroffen door een computervirus. Dit leidt tot steeds trager werkende systemen. Op sommige afdelingen kan niet meer met de computer worden gewerkt. Het ziekenhuis verwacht de geïnfecteerde werkplekken woensdag 17 maart schoon te maken en donderdag 18 maart geen problemen meer te hebben.

Een woordvoerder van het azM kan niet zeggen om welk virus het gaat. ‘Het is een recent virus dat sinds dinsdag 16 maart de wereld in is gegaan. Dit zorgt ervoor dat onze servers erg traag worden.’ Het ziekenhuis zegt ‘een zogeheten viruskiller te hebben geïnstalleerd.’

Daarnaast zijn noodprocedures in werking gezet om het netwerk zo min mogelijk te belasten. Wat die noodprocedures precies zijn, verschilt per afdeling. Bij de administratieve afdelingen zijn de pc’s bijvoorbeeld uitgezet. Daarnaast wordt zoveel mogelijk overgestapt op papieren administratie. ‘De patiëntenzorg kan gewoon doorgang vinden. Op sommige afdelingen is de vertraging wel merkbaar en kunnen de wachttijden oplopen. Operaties gaan gewoon door’, zegt het ziekenhuis.

De ict-afdeling begint in de loop van de middag met het schoonmaken van de geïnfecteerde systemen. Ook vanavond worden nog pc’s schoongemaakt. Verwacht wordt dat de ict-systemen donderdag 18 maart weer probleemloos draaien.

(bron: computable.nl)