Security-trends in 2016: veilige pornosites
James Lyne stelt zichzelf graag kort voor als hacker, redacteur voor Forbes, conferentiespreker (onder andere voor de befaamde TED talks) en ‘massive geek’. Wanneer hij niet bezig is met de wereld te redden van malafide hackers en Engels-met-Hindi-accent-klinkende medewerkers van Microsoft, werkt hij als globaal hoofd van de onderzoeksafdeling van securitybedrijf Sophos.
Lyne is erg realistisch in de wereld van cyberbeveiliging: “100 procent secure bestaat niet.” Daarnaast is hij zich erg bewust van de vele diensten die er bestaan om hackers te helpen nog effectiever te worden. “Zo bestaan er bijvoorbeeld websites die voor jou testen hoe goed je virus is. Er worden ook diensten en service packs aangeboden die je laten volgen hoe besmettelijk een virus is en hoeveel mensen reeds besmet zijn. In zo’n pack zit vaak zelfs technische ondersteuning van een helpdesk.
Over de beveiliging van Windows 10 is hij dan weer erg kort, ondanks de regelmatige berichten van mogelijke beveiliginsproblemen: “Die is goed, zonder meer, met uitstekende preventieve maatregelen.”
2016: het jaar voor social engineering
Voor het komende jaar voorziet Lyne twee grote trends. Langs de ene kant zal het fenomeen ‘social engineering’ geperfectioneerd worden tot dergelijk niveau dat het bij momenten haast onmogelijk zal zijn om de frauduleuze praktijken te herkennen. Dat zal onder meer komen door meer investeringen in correct taalgebruik.
Bij social engineering wordt er, initieel via e-mail, contact opgenomen met een mogelijk slachtoffer. De bekendste voorbeelden hiervan zijn de mails van banken die zeggen dat je account geblokkeerd zal worden. Na het invullen van een webformulier word je dan gebeld door een ‘medewerker’ van de bank die je probeert te overhalen om gegevens door te geven van je elektronische kaartlezer. Dergelijke mails deden vorig jaar ook de ronde van ‘Microsoft’.
“2016 wordt anders in de zin dat social engineers almaar regionaler te werk gaan,” vertelt Lyne. “Op die manier wordt de kwaliteit van het taalgebruik aanzienlijk beter en overtuigender en zullen de frauduleuze e-mails ook veel echter gaan lijken”. De voordelen hiervan zijn niet enkel beperkt tot het talige, het maakt een hoofd van een organisatie ook moeilijker te vatten. Volgens Lyne krijgen namelijk deze “dummy’s de volle lag, terwijl de echte criminelen veilig opgeborgen zitten in landen waar de wetten meer naar hun zin zijn”. Wie samenwerkt met deze oplichters krijgen de volle laag, terwijl de kopstukken onaantastbaar blijven.
“Daar staat tegenover dat dergelijke plaatselijke takken wel makkelijker gestopt kunnen worden omdat ze binnen onze wetten vallen. We zullen de kopstukken niet kunnen oppakken, maar we kunnen het wel knap lastig maken voor de zogenaamde ‘end-of-chain’,” zegt Lyne.
We zullen ons dan ook beter moeten wapenen, vindt Lyne: “de focus moet weg bij de Nigeriaanse bankiers die ons willen laten delen in hun rijkdom. In de plaats hebben we dringend nood aan voorlichting over social engineering.”
…en IoT
Vorige week voorspelden we reeds dat 2016 het jaar van de doorbraak wordt voor het Internet der Dingen, kortweg IoT. Ook Lyne is het daar mee eens, al richt hij zijn blik natuurlijk op de beveiliging van die dingen. Wat hij daar ziet, stelt hem allesbehalve gerust: “momenteel kan je de beveiliging van slimme toestellen vergelijken met die van computers tien jaar geleden. Toen was die toereikend, vandaag kan je die hacken met een theelepel.”
“Gelukkig zijn die toestellen momenteel nog niet interessant genoeg voor hackers, aangezien er nog geen financieel gewin valt uit te puren,” meent Lyne. “Een gehackte oven kan vooralsnog geen kwaad.” Indien bijvoorbeeld koelkasten opgang weten te maken die het mogelijk maken om rechtstreeks producten te bestellen op webwinkels, dan kan het wel een dringend probleem worden. Zo’n koelkast zou immers je betaalgegevens bezitten.
Toch is er ook nu al mogelijk gevaar te bespeuren, zegt Lyne: “Indien een hacker een slim toestel kan overnemen, zou dit kunnen worden ingezet in een bot-netwerk om bijvoorbeeld websites plat te leggen. Eén toestel kan uiteraard niet veel uitrichten aangezien dat slechts kleine pakketjes informatie uitstuurt, maar beeld je eens in wat ze kunnen doen met een netwerk van duizenden ovens.” Bovendien is zo’n toestel een open poort naar je thuisnetwerk.
Het IoT, samen met de steeds vaker voorkomende gewoonte van mensen om hun besturingssystemen zoals Android niet te updaten, zal er volgens Lyne voor zorgen dat er in 2016 enorm veel toestellen in ons huis zullen staan die zorgen voor beveiligingsrisico’s. “Het zal erg lang geleden zijn dat de toestand nog zo erg was,” stelt hij.
Bitcoin
De digitale munt Bitcoin wordt steeds bekender en het ziet ernaar uit dat 2016 ook hier het jaar van de waarheid kan worden. Momenteel is er immers veel discussie over de toekomst van de munt onder code-ontwikkelaars. Het debat is ingewikkeld en uitgebreid en gaat kortweg over de grootte van de munt.
Met de groei van de munt in gedachten, vroegen we aan James Lyne wat zijn visie is over de beveiliging ervan. “Eerst en vooral ben ik ervan overtuigd dat de beveiliging ervan wel goed zit. Verschillende ontwikkelaars ontfermen zich over de meeste problemen, waardoor toestanden als Mt. Gox eerder uitzondering zijn. Dat brengt me meteen bij mijn tweede punt: er is meer regulatie nodig.”
“Het hele punt van de munt is net dat die er niet is en dat ze niet gebonden zijn aan regelgevingen, banken en regeringen, maar Bitcoin zit nu aan het verkeerde uiteinde van het spectrum,” stelt Lyne. “Te weinig regulering zorgt ervoor dat vele organisaties Bitcoin implementeren op hun website zoals ze dat zelf willen, wat wil zeggen: slecht en onveilig. Als hier geen reglementering op komt, zal Mt. Gox geen uitzondering blijven.”
Pornosites zijn veilig
“Vroeger werd ons steeds gezegd dat pornosites de bron van alle kwaad waren,” zo begint Lyne zijn uitleg over de beveiliging van pornowebsites. “Vroeger was dat ‘tribal knowledge’, iets dat iedereen wist. De laatste jaren beseften de mensen achter die websites echter dat ze hun blazoen dringend moesten oppoetsen. In deze industrie kruipt enorm veel geld, wat betekent dat virussen op hun websites klanten enkel maar kan wegjagen.”
De schadelijkste websites zijn integendeel die van kleine online winkels, meent Lyne: “Zij geven hier dan ook niet veel aan uit. De grote retailers beseffen het belang van goede beveiliging, ze geven er echt veel geld voor om hun websites proper te houden. Mijn goede raad aan de kleinere spelers is dan ook: huur iemand in om je code eens na te kijken en zo nodig op te poetsen. Maar algemeen gesproken kunnen we stellen dat pornowebsites vandaag veel minder gevaarlijk zijn dan kleine online winkels.”
Conclusie
Samengevat moeten we stellen dat 2016 een jaar wordt waarin we goed uit onze doppen zullen moeten kijken. Dat zeggen we jaar na jaar, maar Lyne is er zeker van: “Dit jaar zijn er nog nooit zoveel verschillende dreigingen geweest.” Het IoT met zeer slechte beveiliging, kleine retailers die met slechte code werken,… De gevaren zijn eindeloos.
Dat komt voornamelijk door de snelle opkomst van diensten die we almaar meer gebruiken, zoals online winkelen, maar waarvan we ons te weinig bewust zijn van mogelijke gevolgen. Volgens Lyne ligt een deel van de oorzaak hiervoor bij de regelgevers: “We hebben een internationale regelgeving nodig, maar dat lijkt onbegonnen werk. Niet omdat globaal samenwerken rond digitale beveiliging technisch niet mogelijk is, maar omdat regeringsleiders er gewoonweg niet uitgeraken.”
Lyne geeft als voorbeeld het probleem van IP-adressen: “Die zijn stilaan uitgeput, maar toch komt er geen consensus over hoe we dat moeten aanpakken. Het wordt tijd dat ego’s opzijgeschoven worden en dat er gepraat wordt over oplossingen en gevolgen.” 2016 belooft alvast een spannend jaar te worden.
Wie meer wil horen uit de mond van James Lyne, kan hier terecht voor zijn Ted talk uit 2013.
James Lyne stelt zichzelf graag kort voor als hacker, redacteur voor Forbes, conferentiespreker (onder andere voor de befaamde TED talks) en ‘massive geek’. Wanneer hij niet bezig is met de wereld te redden van malafide hackers en Engels-met-Hindi-accent-klinkende medewerkers van Microsoft, werkt hij als globaal hoofd van de onderzoeksafdeling van securitybedrijf Sophos.
Lyne is erg realistisch in de wereld van cyberbeveiliging: “100 procent secure bestaat niet.” Daarnaast is hij zich erg bewust van de vele diensten die er bestaan om hackers te helpen nog effectiever te worden. “Zo bestaan er bijvoorbeeld websites die voor jou testen hoe goed je virus is. Er worden ook diensten en service packs aangeboden die je laten volgen hoe besmettelijk een virus is en hoeveel mensen reeds besmet zijn. In zo’n pack zit vaak zelfs technische ondersteuning van een helpdesk.
Over de beveiliging van Windows 10 is hij dan weer erg kort, ondanks de regelmatige berichten van mogelijke beveiliginsproblemen: “Die is goed, zonder meer, met uitstekende preventieve maatregelen.”
2016: het jaar voor social engineering
Voor het komende jaar voorziet Lyne twee grote trends. Langs de ene kant zal het fenomeen ‘social engineering’ geperfectioneerd worden tot dergelijk niveau dat het bij momenten haast onmogelijk zal zijn om de frauduleuze praktijken te herkennen. Dat zal onder meer komen door meer investeringen in correct taalgebruik.
Bij social engineering wordt er, initieel via e-mail, contact opgenomen met een mogelijk slachtoffer. De bekendste voorbeelden hiervan zijn de mails van banken die zeggen dat je account geblokkeerd zal worden. Na het invullen van een webformulier word je dan gebeld door een ‘medewerker’ van de bank die je probeert te overhalen om gegevens door te geven van je elektronische kaartlezer. Dergelijke mails deden vorig jaar ook de ronde van ‘Microsoft’.
“2016 wordt anders in de zin dat social engineers almaar regionaler te werk gaan,” vertelt Lyne. “Op die manier wordt de kwaliteit van het taalgebruik aanzienlijk beter en overtuigender en zullen de frauduleuze e-mails ook veel echter gaan lijken”. De voordelen hiervan zijn niet enkel beperkt tot het talige, het maakt een hoofd van een organisatie ook moeilijker te vatten. Volgens Lyne krijgen namelijk deze “dummy’s de volle lag, terwijl de echte criminelen veilig opgeborgen zitten in landen waar de wetten meer naar hun zin zijn”. Wie samenwerkt met deze oplichters krijgen de volle laag, terwijl de kopstukken onaantastbaar blijven.
“Daar staat tegenover dat dergelijke plaatselijke takken wel makkelijker gestopt kunnen worden omdat ze binnen onze wetten vallen. We zullen de kopstukken niet kunnen oppakken, maar we kunnen het wel knap lastig maken voor de zogenaamde ‘end-of-chain’,” zegt Lyne.
We zullen ons dan ook beter moeten wapenen, vindt Lyne: “de focus moet weg bij de Nigeriaanse bankiers die ons willen laten delen in hun rijkdom. In de plaats hebben we dringend nood aan voorlichting over social engineering.”
…en IoT
Vorige week voorspelden we reeds dat 2016 het jaar van de doorbraak wordt voor het Internet der Dingen, kortweg IoT. Ook Lyne is het daar mee eens, al richt hij zijn blik natuurlijk op de beveiliging van die dingen. Wat hij daar ziet, stelt hem allesbehalve gerust: “momenteel kan je de beveiliging van slimme toestellen vergelijken met die van computers tien jaar geleden. Toen was die toereikend, vandaag kan je die hacken met een theelepel.”
“Gelukkig zijn die toestellen momenteel nog niet interessant genoeg voor hackers, aangezien er nog geen financieel gewin valt uit te puren,” meent Lyne. “Een gehackte oven kan vooralsnog geen kwaad.” Indien bijvoorbeeld koelkasten opgang weten te maken die het mogelijk maken om rechtstreeks producten te bestellen op webwinkels, dan kan het wel een dringend probleem worden. Zo’n koelkast zou immers je betaalgegevens bezitten.
Toch is er ook nu al mogelijk gevaar te bespeuren, zegt Lyne: “Indien een hacker een slim toestel kan overnemen, zou dit kunnen worden ingezet in een bot-netwerk om bijvoorbeeld websites plat te leggen. Eén toestel kan uiteraard niet veel uitrichten aangezien dat slechts kleine pakketjes informatie uitstuurt, maar beeld je eens in wat ze kunnen doen met een netwerk van duizenden ovens.” Bovendien is zo’n toestel een open poort naar je thuisnetwerk.
Het IoT, samen met de steeds vaker voorkomende gewoonte van mensen om hun besturingssystemen zoals Android niet te updaten, zal er volgens Lyne voor zorgen dat er in 2016 enorm veel toestellen in ons huis zullen staan die zorgen voor beveiligingsrisico’s. “Het zal erg lang geleden zijn dat de toestand nog zo erg was,” stelt hij.
Bitcoin
De digitale munt Bitcoin wordt steeds bekender en het ziet ernaar uit dat 2016 ook hier het jaar van de waarheid kan worden. Momenteel is er immers veel discussie over de toekomst van de munt onder code-ontwikkelaars. Het debat is ingewikkeld en uitgebreid en gaat kortweg over de grootte van de munt.
Met de groei van de munt in gedachten, vroegen we aan James Lyne wat zijn visie is over de beveiliging ervan. “Eerst en vooral ben ik ervan overtuigd dat de beveiliging ervan wel goed zit. Verschillende ontwikkelaars ontfermen zich over de meeste problemen, waardoor toestanden als Mt. Gox eerder uitzondering zijn. Dat brengt me meteen bij mijn tweede punt: er is meer regulatie nodig.”
“Het hele punt van de munt is net dat die er niet is en dat ze niet gebonden zijn aan regelgevingen, banken en regeringen, maar Bitcoin zit nu aan het verkeerde uiteinde van het spectrum,” stelt Lyne. “Te weinig regulering zorgt ervoor dat vele organisaties Bitcoin implementeren op hun website zoals ze dat zelf willen, wat wil zeggen: slecht en onveilig. Als hier geen reglementering op komt, zal Mt. Gox geen uitzondering blijven.”
Pornosites zijn veilig
“Vroeger werd ons steeds gezegd dat pornosites de bron van alle kwaad waren,” zo begint Lyne zijn uitleg over de beveiliging van pornowebsites. “Vroeger was dat ‘tribal knowledge’, iets dat iedereen wist. De laatste jaren beseften de mensen achter die websites echter dat ze hun blazoen dringend moesten oppoetsen. In deze industrie kruipt enorm veel geld, wat betekent dat virussen op hun websites klanten enkel maar kan wegjagen.”
De schadelijkste websites zijn integendeel die van kleine online winkels, meent Lyne: “Zij geven hier dan ook niet veel aan uit. De grote retailers beseffen het belang van goede beveiliging, ze geven er echt veel geld voor om hun websites proper te houden. Mijn goede raad aan de kleinere spelers is dan ook: huur iemand in om je code eens na te kijken en zo nodig op te poetsen. Maar algemeen gesproken kunnen we stellen dat pornowebsites vandaag veel minder gevaarlijk zijn dan kleine online winkels.”
Conclusie
Samengevat moeten we stellen dat 2016 een jaar wordt waarin we goed uit onze doppen zullen moeten kijken. Dat zeggen we jaar na jaar, maar Lyne is er zeker van: “Dit jaar zijn er nog nooit zoveel verschillende dreigingen geweest.” Het IoT met zeer slechte beveiliging, kleine retailers die met slechte code werken,… De gevaren zijn eindeloos.
Dat komt voornamelijk door de snelle opkomst van diensten die we almaar meer gebruiken, zoals online winkelen, maar waarvan we ons te weinig bewust zijn van mogelijke gevolgen. Volgens Lyne ligt een deel van de oorzaak hiervoor bij de regelgevers: “We hebben een internationale regelgeving nodig, maar dat lijkt onbegonnen werk. Niet omdat globaal samenwerken rond digitale beveiliging technisch niet mogelijk is, maar omdat regeringsleiders er gewoonweg niet uitgeraken.”
Lyne geeft als voorbeeld het probleem van IP-adressen: “Die zijn stilaan uitgeput, maar toch komt er geen consensus over hoe we dat moeten aanpakken. Het wordt tijd dat ego’s opzijgeschoven worden en dat er gepraat wordt over oplossingen en gevolgen.” 2016 belooft alvast een spannend jaar te worden.
Wie meer wil horen uit de mond van James Lyne, kan hier terecht voor zijn Ted talk uit 2013.