Downloadverbod zorgt voor chaos

AMSTERDAM – Een verbod op het downloaden van muziek en films zorgt voor een chaos en criminaliseert miljoenen burgers. Dat schrijven onder meer ict-jurist Arnoud Engelfriet en internetexpert Danny Mekic in een opiniestuk in nrc.next.
Eind oktober maakte het kabinet bekend dat het downloaden van muziek en films van illegale bronnen verboden wordt, indien er voldoende alternatieven zijn.

In het artikel in nrc.next spreken Engelfriet, Mekic, weblogger Bert Brussen, voormalig LAKS-voorzitter Sywert van Lienden en blogger Huub Bellemakers zich uit tegen dit verbod.

De auteurs stellen dat het downloadverbod miljoenen burgers criminaliseert. “Alle burgers zijn schuldig”, zo schrijven zij.

Ook burgers die niet opzettelijk beschermd materiaal downloaden zoals “de achtergrondmuziek in een YouTube-filmpje”, overtreden volgens hen de wet als het verbod doorgaat. Zodoende zal een chaos ontstaan.

Aanval op privacy

Het verbod zou bovendien een forse schending van de privacy van internetgebruikers betekenen. De maatregel is alleen te handhaven als internetters “intensief in de gaten worden gehouden”, zo stellen de schrijvers.

Alleen zodoende zouden auteursrechtenorganisaties als Brein kunnen controleren of mensen illegaal downloaden. “Wellicht zal voortaan al het internetverkeer moeten worden gefilterd of kan de internetgebruiker alleen nog met toestemming vooraf downloaden.”

Kritiek op industrie

Engelfriet en zijn collega’s leveren in het stuk ook kritiek op de entertainmentindustrie. Zo zeggen zij dat de industrie commercieel aantrekkelijke downloadalternatieven als Mininova en Napster niet heeft overgenomen en uitgebreid, maar via juridische weg uit de weg heeft geruimd.

Tegelijkertijd is het slecht gesteld met het legale aanbod aan films en muziek door het schrale aanbod, beperkte bruikbaarheid of omdat het naar verhouding te duur is.

“Met een downloadverbod wordt de industrie, die innovatie in online muziek en films op geen enkele manier heeft gestimuleerd, juist beloond voor het jarenlang negeren van de vraag van de consument.”

Oneigenlijke argumenten

In een reactie op het opiniestuk laat Tim Kuik, directeur van auteursrechtenorganisatie Brein, weten dat legale diensten het moeilijk hebben, juist vanwege webdiensten zoals FTD. “Die faciliteren illegaal aanbod en proberen zich te verschuilen achter gekunstelde juridische argumenten”.

Een downloadverbod voor illegale content snijdt dergelijke argumenten de pas af, zo stelt Kuik. Een gevaar voor de privacy vormt een dergelijk verbod niet volgens hem. “Je moet bij de handhaving rekening houden met privacy en vrijheid van informatie. Daar kun je goede afspraken over maken.”

Indirect

Kuik laat weten dat Brein de noodzaak van een verbod op illegaal downloaden vooral ziet in de aanpak van het illegale aanbod. Illegaal aanbod is meestal indirect, doordat websites alleen links en verwijzingen bieden naar downloads. Het uploaden en downloaden van de content zelf gaat dan buiten die sites om.

“Sommige sites zijn structureel met illegale content bezig maar beweren serieus dat zij zijn toegestaan omdat downloaden van illegale content is toegestaan. Dat moet natuurlijk ondubbelzinnig verboden zijn. Een downloadverbod helpt om dit opzettelijk wangedrag van sites te stoppen,” aldus Kuik.

Bron: http://www.nu.nl

Conficker infecteert 3000 computers zorgverlener

Een Nieuw-Zeelands zorgverlener is keihard getroffen door een uitbraak van de Conficker worm, waardoor het alle machines in de organisatie moest uitschakelen. De worm had geen gevolgen voor het functioneren van ziekenhuizen, maar volgens een woordvoerder van het Waikato District Health Board moesten mensen alleen voor een behandeling komen als het absoluut noodzakelijk was. Patiënten die fit genoeg waren, werd gevraagd om een week later langs te komen. Door de besmetting kon het laboratorium op slechts 10% van de capaciteit functioneren.

De uitbraak begon vorige week donderdag en zorgde ervoor dat de zorgverlener de hulp van Microsoft in moest schakelen. Uiteindelijk werd vastgesteld dat Conficker de schuldige was en men het gehele netwerk moest uitschakelen om de worm te verwijderen. “Rond twee uur merkten we verschillende problemen met de computers op. Rond vier uur kwamen ze erachter dat er een virus in het hele systeem zat.” Conficker verspreidt zich via een lek dat Microsoft op 23 oktober vorig jaar patchte, USB-sticks en gedeelde netwerkmappen.

Sabotage
Hoe de worm de zorgverlener wist te infecteren is onduidelijk. “Er zijn drie mogelijkheden. De eerste is via een e-mail bijlage, de tweede door ons eigen personeel via het gebruik van een USB-stick, terwijl de derde via een externe leverancier is. We hebben sabotage uitgesloten”, laat de woordvoerder verder weten. “We zijn in principe een eiland, afgesloten van iedereen.” Meer dan 90 IT’ers werden ingeschakeld om de worm te verwijderen, wat de volgende fotoreportage opleverde. Zaterdag zouden alle problemen zijn opgelost.

Bron: http://www.security.nl

Microsoft vindt 18.000 besmette Nederlandse computers

In een week tijd heeft Microsoft in Nederland 18.000 geïnfecteerde Windows computers aangetroffen en ontsmet. De infecties werden via de gratis Malicious Software Removal Tool (MSRT) opgespoord, die de softwaregigant elke patchdinsdag met nieuwe definities bijwerkt. Nederland staat met het aantal besmettingen op de achttiende plek. Amerika is met zo’n 650.000 geïnfecteerde Windows machines de wereldwijde koploper, terwijl Spanje met ruim 167.000 besmettingen de lijst in Europa aanvoert. In totaal verwijderd de MSRT sinds 8 december van 2,5 miljoen systemen malware.

Scareware
Hamweq was de voornaamste dreiging deze maand, de worm die USB-sticks infecteert werd 640.000 keer verwijderd. De Taterf worm is met 320.000 machines tweede, gevolgd door Conficker, die op 156.000 systemen werd aangetroffen. Het aantal infecties door de FakeScanti nep-virusscanner die Microsoft in oktober aan de MSRT toevoegde daalde gigantisch, van 56.000 in oktober naar 1.600 deze maand. Ondanks dat de meeste virusscanners deze scareware herkennen, doen de makers geen moeite meer om detectie te voorkomen.

“Het feit dat deze verspreiders van nep-virusscanners het de moeite vinden om malware aan te bieden die de meeste virusscanners herkennen, laat zien dat onbeschermde systemen nog steeds een rijk doelwit zijn voor degene die ze voor kwaadaardige activiteiten willen gebruiken”, aldus David Wood van het Microsoft Malware Protection Center.

Bron: http://www.security.nl

32 miljoen Facebook en MySpace wachtwoorden gestolen

Aanvallers zijn erin geslaagd om via SQL-injectie de wachtwoorden van 32,6 miljoen Facebook en MySpace gebruikers te bemachtigen. De kwetsbaarheid trof alleen gebruikers van de sociale netwerksites die ook widgets van RockYou gebruikten. Niet alleen was de website van RockYou lek, voorheen bekend als RockMySpace, maar waren de wachtwoorden als platte tekst opgeslagen. Uit voorzorg wordt gebruikers geadviseerd om het wachtwoord van MySpace en Facebook, alsmede hun e-mail en andere online diensten te wijzigen. RockYou bewaarde in de database namelijk ook de inloggegevens van andere partnersites. De website zou tevens het gebruik van korte wachtwoorden van 5 tot maximaal 15 karakters hebben toegestaan, wat de beveiliging ook niet ten goede komt, maar in het geval van het opslaan als platte tekst niet veel uitmaakt.

Talloze mensen gebruiken nog altijd dezelfde inloggegevens voor verschillende accounts, waarschuwt Imperva dat het lek bekend maakte. De aanval zou al veel eerder hebben plaatsgevonden. RockYou zegt zelf dat het op 4 december werd ingelicht dat de database was gestolen. Daarop werd de site uit de lucht gehaald en het SQL-injectie lek verholpen, maar de gegevens kon het niet meer redden.

Shitty shite
Na de blogposting van Imperva plaatste de vermoedelijke aanvaller een bericht online, met gegevens die tijdens de aanval zijn buitgemaakt. “Ik heb elk account van deze shitty site gedownload. Je was te langzaam, maar wat kan ik van je verwachten. Lieg niet tegen je klanten, of ik zal alles publiceren.” Volgens de aanvaller zullen veel van de gegevens ook op andere sites werken.

RockYou heeft inmiddels een verklaring online gezet en zal alle gebruikers via e-mail waarschuwen. “Zoals je weet neemt RockYou de privacy van onze gebruikers zeer serieus. We doen veel moeite om de gegevens van onze gebruikers tegen datalekken en aanvallen te beschermen.” Opmerkelijk genoeg nam RockYou wel tien dagen de tijd om gebruikers te waarschuwen.

Bron: http://www.security.nl

Rabobank verliest USB-stick met klantgegevens

Een werknemer van de Rabobank Oost Betuwe is een USB-stick met de gegevens van 3000 klanten verloren. Het ging om persoonsgegevens, beleggingsvormen en in veel gevallen de hoogte van het belegde vermogen. De gegevensdrager werd door een anonieme tipgever bij De Gelderlander bezorgd. Verder stonden er op de USB-stick gegevens van scholen, ondernemingen en kerken. De Rabobank Oost Betuwe is door de ontdekking “enorm verrast”, wat aangeeft dat het verlies niet door de verantwoordelijke medewerker was gemeld.

“We hebben dit nog nooit aan de hand gehad. Dit is tegen alle gedragsprocedures voor communicatiedragers in. We gaan onderzoeken hoe het heeft kunnen gebeuren en vandaag nog alle medewerkers extra wijzen op de procedures”, zegt Koos van Randwijk, directeur Particulieren, tegenover de krant. De bank zal alle betrokken klanten een brief sturen en excuses aanbieden. De stick is weer in handen van de bank.

Bron: http://www.security.nl

Dertig plussers maken werkvloer onveilig

Voor de eerste keer in de geschiedenis van veel landen werken vier verschillende generaties op de werkvloer en dat kan gevolgen voor de beveiliging van bedrijfsgegevens hebben. Niet alleen beginnen we tegenwoordig eerder met werken, we blijven ook langer doorgaan. De generaties kijken echter elk verschillend tegen beveiliging aan, aldus Ray Staton, hoofd Business Continuity van British Telecom (BT). Gingen jongere en oudere werknemers in het verleden nog anders met directie en elkaar om, vandaag de dag worden de regels continu veranderd en zijn die niet meer zo duidelijk gedefinieerd. Ook hebben verschillende leeftijdsgroepen verschillen voorkeuren voor bepaalde technieken en technologieën, die elk weer hun eigen uitdagingen met zich meenemen.

In tegenstelling tot wat veel mensen denken zijn het niet alleen de werknemers van generatie Y die een “gevaar” op de werkvloer vormen. Net zoveel mensen van generatie X nemen hun MP3-speler mee en downloaden allerlei spullen als ze dat kunnen. Voor de jonge generatie is het delen, verspreiden en achterlaten van data onderdeel van hun leven, merkt Stanton op. Dit gedrag is onder andere te zien op sociale netwerksites, zoals Hyves, Facebook en MySpace. “Ze geven niet om hun eigen informatie.”

Als je de oudere generatie neemt, dan geven die meer om hun persoonlijke gegevens “Dat betekent ook dat ze meer om de bedrijfsgegevens geven.” Toch betekent dit niet dat de jongere generatie niets om de informatie van de zaak geeft. “Ze begrijpen de noodzaak voor regels en beveiliging.” Deze groep zal bestaande regels eerder uitdagen en er vragen bij stellen. De vier generaties zijn als volgt te omschrijven: Veteranen (1922 – 1945), Baby Boomers (1946 – 1964), Generatie X (1965 – 1980) en Generatie Y (1981 – 2000).

iPod
Dit heeft gevolgen voor de manier waarop bedrijven deze groep onderwijzen en trainen en aanspreken op gedrag. “Het gaat erom dat je ze laat zien dat je bedrijfsgegevens niet op dezelfde manier als persoonlijke informatie behandelt.” Vaak zijn werknemers zich niet bewust van de risico’s als ze bedrijfsgegevens op een blog plaatsen. “Het is niet zo dat het ze niet kan schelen, maar ze begrijpen de geassocieerde risico’s gewoon niet.” De jonge generatie beschouwt technologie als vervangbaar gebruiksvoorwerp. Het kan dan gaan om apparaten of applicaties waar ze zich massaal op storten om vervolgens verder te gaan. Na deze eerste fase zijn het de oudere generaties die zich de applicaties en apparaten eigen maken en hier langer mee werken.

Het percentage gebruikers onder de oudere generaties is vaak veel groter dan bij de jonge generatie, die al weer met iets nieuws bezig zijn. “Generatie Y dwingt bedrijven om bijvoorbeeld iPods of downloaden toe te staan.” Deze groep introduceert nieuwe technologieën en diensten binnen bedrijven, die hier vaak huiverig tegenover staan en zeggen dat er geen ruimte voor is. Uiteindelijk wordt het toegestaan, maar zijn het generatie X en ouder die vaak in de “heavy users” veranderen. De jongeren zetten de deur open, zodat de ouderen er gebruik van kunnen maken. Stanton noemt het ironisch dat jongeren altijd als het gevaar van de werkvloer worden beschouwd, terwijl het de ouderen zijn die het vaakst aan de technologie verknocht zijn. Het gebruik door de oudere generaties vormt dan ook een groter risico.

Worsteling
Bedrijven worstelen met het integreren van nieuwe technieken en technologieën en zijn hier ook bang voor, met name omdat het de jongere generatie is die het aanduwt. Zodra de technologie wordt geaccepteerd, moet het ook beheerd worden. Om de dreiging op te pakken moeten bedrijven over een helder securitybeleid beschikken. “Het maakt niet uit dat het eng is, het is een applicatie. Gebruik je normale controles ervoor.” Stanton merkt op dat teveel bedrijven stil blijven staan bij het idee dat het om een enge applicatie gaat, terwijl het in werkelijkheid alleen een programma of service is die beveiligd moet worden.

De tweede uitdaging is het bewustzijn van het personeel en daar zijn grote verschillen zichtbaar in de manier waarop de vier generaties te bereiken zijn. Denk aan ethiek, gebruik, gedrag en de manieren waarop geleerd wordt. Als je aan de oudere generatie iets oplegt zullen ze dat sneller accepteren. Generatie X zal nieuw beleid uitdagen, maar zolang ze ermee kunnen werken, accepteren ze het, terwijl Generatie Y onverschillig is en op dezelfde manier doorgaat.

Trainingen moeten zich daarom op elk van de vier generaties richten. Als de boodschap op één manier wordt aangeleverd, zal die uiteindelijk niet bij iedereen aankomen. “En daar gaan de meeste bedrijven de mist in.” De meeste organisaties organiseren voor iedereen één awareness training, als ze die al geven. “Het gaat erom dat je geen nieuwe risico’s voor je onderneming introduceert, dat je een omgeving creëert die nog steeds innovatief voor het talent en de jongere generatie is.” Volgens Stanton doen bedrijven dat niet door het verbieden van technologieën. Uiteindelijk zijn het deze tools die vaak het bedrijf helpen om zich te innoveren. Het grootste probleem is dan ook niet beveiliging, maar het personeel en hun gedrag, zegt Stanton.

Boodschap
Kleine bedrijven met meerdere generaties personeel, maar die voor één security training geld hebben, hoeven niet bang te zijn dat de boodschap niet overkomt, zolang ieders behoefte in die ene sessie aan bod komt, gaat Stanton verder. De boodschap moet op verschillende manieren “verkocht” worden. Zo is de oudere generatie graag op papieren informatie gesteld. “Ze hebben graag iets in hun handen”. De jongere generatie daarentegen kijkt liever naar een scherm met flitsende “graphics”. Tijdens een sessie zou men dus de ouderen een handout kunnen geven, terwijl dezelfde informatie ook op het scherm te vinden is.

Stanton merkt op dat kleine bedrijven, waar vaak geen “dedicated” security professional rondloopt, er meer baat bij hebben om die persoon die voor de beveiliging verantwoordelijk is, een training te geven. De oplossing is in ieder geval niet meer technologie aanschaffen. “Mensen verwerken technologie. Onderwijs mensen, werk met ze en leer ze de technologie te begrijpen.” Bedrijven moeten naar hun eigen omvang en complexiteit kijken om te bepalen wat nodig is en wat niet. “Wat is het nut van een proces van 50 pagina’s als het bedrijf 30 werknemers heeft.”

Campagnes
De aanpak geldt niet alleen bedrijven, maar ook voor overheden en instanties die veilig internetgebruik bij eindgebruikers willen bevorderen. Veel campagnes zijn volgens Stanton te breed en missen daardoor alle doelgroepen. In Groot-Brittannië gebruikt de overheid tegenwoordig op maat gemaakte campagnes die zich op een bepaalde leeftijd richten. Dat betekent wel dat er moeite gedaan moet worden, maar dat betaalt zich uiteindelijk uit in een betere persoonlijke beveiliging en privacy en het beter begrijpen van de gevolgen als men “online leeft”.

Met name generatie Y, die met het internet is opgegroeid, gaat anders met autoriteit om. Ook is deze groep meer gericht op wat er voor hen in zit. “Om de boodschap over te brengen moet je het relevant maken.” Stanton geeft als voorbeeld zijn dochter op de lagere school, die aan de lerares vraagt of er wel een firewall of virusscanner is gesteld. “Ze weet niet precies wat het is, maar weet dat het de slechte dingen buiten houdt.” Omdat de jonge generatie graag nieuwe dingen wil krijgt dat de aandacht, maar uiteindelijk ligt het probleem vanwege het overmatige gebruik en de manier waarop dit gebeurt, bij de dertig plussers.

Bron: http://www.security.nl

Ook toekomstige pinpas onveilig

De nieuwe pinpas met EMV-chip, bedoeld om skimmen tegen te gaan, is onveilig en te kraken, zo laten onderzoekers vanavond in het VPRO televisieprogramma Goudzoekers zien. In de uitzending demonstreren twee onderzoekers van de Universiteit van Cambridge een aanval op de nieuwe pinpas die van EMV-chip is voorzien. Om welke aanval het precies gaat is onduidelijk, hoewel het lijkt om een “relay attack” te gaan. Al in 2006 onthulde de universiteit verschillende aanvallen op de EMV-chip, waaronder het afluisteren en relay-aanvallen.

Een aanvaller zou op verschillende manieren de PIN kunnen onderscheppen of de kaart en PIN in real-time kunnen gebruiken. Via een geprepareerde betaalautomaat zou al het verkeer van de kaart via een draadloze verbinding naar een andere crimineel worden verstuurd, die bijvoorbeeld bij de juwelier staat. “Naast deze mogelijkheid, zal ook veel van de fraude zoals die momenteel gepleegd wordt, nog steeds voorkomen. Want ook met het nieuwe systeem zullen de bankpassen waarschijnlijk nog steeds een magneetstrip hebben, om buiten Europa te kunnen betalen”, zegt onderzoeker Steven Murdoch

Campagne
De banken starten binnenkort een grote campagne voor “Het Nieuwe Pinnen”. In plaats van de magneetstrip, die nu op de bankpas zit, gebruikt men een EMV-chip, waarop de informatie wordt opgeslagen. Tegelijkertijd zal het Nederlandse PIN plaatsmaken voor Maestro of V Pay, beide betaalmerken van grote Amerikaanse creditcardmaatschappijen. Volgens de banken is de overstap nodig om het elektronisch betalen veilig te maken, en aansluiting te vinden op een gezamenlijk Europees pinsysteem. De Nederlandse banken zijn niet ongerust over de bevindingen van de onderzoekers en houden vol dat de nieuwe pinpassen wel veilig zijn. “Pinnen via de EMV-chip is veiliger dan via de magneetstrip.”

Bron: http://www.security.nl

Mail leidt tot ontslag

AMSTERDAM – Een medewerkster van Deloitte in Londen heeft haar ontslag ingediend, nadat haar interne mailtje wereldwijd verspreid werd. In haar mail riep ze vrouwelijke medewerkers op te stemmen op de aantrekkelijkste mannelijke collega’s.

© GezondheidsnetDe medewerkster in kwestie Holy Leam-Taylor mailde 8 december haar collega’s met het verzoek om te stemmen op de aantrekkelijkste mannen in haar kantoor. Ze had negen categorieën in het leven geroepen van ‘best gekleed’ tot ‘meest waarschijnlijk om zich omhoog te neuken’.

De email werd doorgestuurd en werd uiteindelijk door miljoenen internetgebruikers gelezen. Toen de 22-jarige medewerkster op het matje werd geroepen, diende ze zelf haar ontslag in. Zo meldt de Daily Mail.

Waarschuwing

Een woordvoerder van Deloitte laat weten teleurgesteld te zijn. “Hoewel het als een grap bedoeld was, is het een waarschuwing om zorgvuldiger met email om te gaan.”

Bron: http://www.nu.nl

Google Chrome lekt privacy gebruikers

Wie anoniem op het web wil surfen kan beter geen Google Chrome gebruiken, aangezien de browser allerlei gevoelige gegevens lekt. Volgens een onderzoeker op de Full-Disclosure mailinglist staat DNS pre-fetching standaard in Google Chrome versie 3.0.195.33 ingeschakeld. Als een gebruiker Chrome in combinatie met een proxy gebruikt, horen de DNS queries via de proxy te lopen, maar omdat DNS pre-fetching aanstaat, worden ze eerst naar de door het systeem ingestelde DNS cache gestuurd.

Dit zou ook het geval zijn bij de SOCKS proxy in Chromium, ongeacht of DNS pre-fetching is ingeschakeld of niet. “Dit vormt een ernstig risico voor gebruikers van een dienst zoals Tor, aangezien hun DNS gegevens en de weinige anonimiteit die ze met Tor hebben, naar buiten en in het open wordt gelekt.” Een woordvoerder van Google laat weten dat er aan een oplossing wordt gewerkt, hoewel de ernst volgens hem meevalt. “Het treft alleen een zeer kleine groep gebruikers die anonimiseringsdiensten zoals Tor gebruiken.”

Bron: http://www.security.nl

Hacker geeft Kaspersky voor tweede keer billenkoek

De Roemeense hacker Unu is er voor de tweede keer in geslaagd om via SQL-injectie toegang tot de databases van virusbestrijder Kaspersky Lab te krijgen. Ging het in februari nog om de klantendatabase van de Amerikaanse afdeling, nu zijn het alle databases van Zuidoost-Azië. Het lek in de websites van Kaspersky Maleisië en Singapore geeft volledige toegang tot de database op de server. Daarin staan persoonlijke gegevens van gebruikers, administrators, activatiecodes voor verschillende licenties en andere details van de shop. In tegenstelling tot de database van Symantec, die Unu eerder kraakte, zijn de wachtwoorden wel versleuteld opgeslagen.

Wachtwoord
Toch heeft Kaspersky verschillende fouten gemaakt. Zo is het aantal resultaten van de resultatenpagina niet beperkt, wat het eenvoudig voor een aanvaller maakt om de te stelen gegevens op te slaan, en gebruikt men voor de twee verschillende domeinnamen een identieke database op dezelfde MySQL server. “Een onderneming met de omvang van Kaspersky zou toch een SQL server en aparte database voor elk gebied moeten kunnen veroorloven”, zo merkt de hacker op.

Tevens blijkt dat de wachtwoorden eenvoudig te kraken zijn, zeker in het geval van de beheerders van de site die wel erg eenvoudige wachtwoorden hebben gekozen. “Het is ongelooflijk dat de beheerders van zo’n belangrijke website zulke eenvoudige wachtwoorden kiezen.” De wachtwoorden geven toegang tot zowel de website als de shop. Unu stelt dan ook de vraag welke waarde de producten van Kaspersky hebben als het bedrijf niets eens de eigen database kan beschermen.

Bron: http://www.security.nl