Our Blogs

Explosieve groei van Android malware? (update)de

jeroen.willemsen@domustechnica.nl (Jeroen Willemsen) — Tue, 10 Jan 2012 08:28:20 GMT

Er is steeds meer aandacht voor malware op het Android platform. Verschillende partijen laten op basis van hun metingen en onderzoeken zien hoe het met de veiligheid van Android gesteld is.

Allereerst zijn er de “Security Vendors”zoals Juniper, McAfee, Bit9 en Lookout Mobile Security. Zij waarschuwden al voor de illegale apps die in alternatieve app-markets verschenen in, onder andere, China en Rusland. Deze illegale apps zijn vaak dan wel gekraakte betaalde apps of aangepaste gratis apps. In beide gevallen is er een verhoogde kans dat deze apps malware met zich meedragen. Ook hebben deze vendors regelmatig gerapporteerd over nieuwe malware samples. Over de precieze aantallen malware samples en over de totale groei zijn er verschillende cijfers. Zo laat de infographic van het Juniper Global Threat Center^[1] een stijging van 472 procent zien van het aantal malware samples tussen juli 2011 en november 2011. Terwijl McAfee met wat voorzichtigere cijfers komt in zijn kwartaalrapport, maar ook daar is de groei duidelijk aanwezig^[2].

Naast de gerapporteerde groei van malware, blijkt dat producenten hun Android smartphones niet van nieuwe software blijven voorzien. Een opvallend rapport over dit feit komt van Bit9. Zij kwamen met de ‘dirty dozen list’: een lijst van 12 smartphones die erg populair zijn, maar niet worden voorzien van de laatste updates^[3].

Daarnaast zijn er ook verschillende onderzoekers die waarschuwen over de mate waarin Android toestellen beveiligd zijn, zie kader “Waarschuwingen over Android” voor specifieke bronnen die een klein deel van het totaal bevatten. Onder de resultaten bevinden zich rapportages over nieuw ontdekte malware, het feit dat apps van de fabrikanten permissies lekken en buffer overflow aanvallen die root-access kunnen geven.

Deze aandacht is op zich niet verkeerd: Android is namelijk een platform wat nog hard aan het groeien is en met die groei natuurlijk ook meer malware schrijvers aantrekt. Want hoe groter de doelgroep, hoe meer potentiële winst er aanwezig is voor een malware schrijver. De vraag is alleen of er met deze getallen geen onnodige paniek kan uitbreken.

Protecting your device from the DigiNotar Certificate Compromise

marco.plas@domustechnica.com (Administrator) — Thu, 08 Sep 2011 07:33:58 GMT

10 Sept 2011:

We updated the report on the DigiNotar case with information regarding the breach of the GlobalSign webserver. You can find our report on the DigiNotar case here. Note that it is in Dutch.

The triangle between security, productivity and cost

jeroen.willemsen@domustechnica.nl (Jeroen Willemsen) — Sat, 06 Mar 2010 16:47:37 GMT

While working on some inspiring projects, something came to mind. It has not been long a go since I was writing about an important triangle between costs, productivity and security. This triangle still seem to hold. So, I really wanted to share this with you. Feel free to respond whenever you like.

Are you one of them?

Don't you hate it? You just have a few hourstill the deadline of your project. Suddenly your software security agent pops up. It's telling you that it's going to scan your system for viruses. You know that if you don't shut that agent down entirely, you can forget about your deadline.
This happens time and time again. The British Computer Society reported that 68 percent of companies admit their employees bypass IT security measures in order to get their work done faster. Are you one of those employees? If so - what's your real justification for doing this?

Make a choice

I think everybody knows the answer: we want to complete our tasks in time and with the desired quality. Of course we alsowould like to comply to company rules as much as possible. Those ever slowingus down security agents? Fine, let's use them! The slow company e-mail client which is so hard to reach if you're at home? Sure, let's try to use it as much as possible! But ... g-mail is a faster and very tempting alternative, when you're short of time ...

The Triangle: Productivity, Security and Cost

Trias Articulus Hodie

marco.plas@domustechnica.nl (Marco Plas) — Sat, 06 Mar 2010 16:46:52 GMT

I guess we've all seen it. 'An inconvenient truth', that movie by Al Gore. Sure, most people I talk to are still on some kind of denial. It’s not all that bad!. Admitted, I was one of those people. After viewing the tape a couple of times, it starts to eat at you. I’m not a tree-hugging hippie by nature so I have to force myself to change my behavior. I literally had to force myself to get rid of that 3.5 liter V6 American machine I was driving and trade it for a eco-friendly model. It didn’t do great things for my masculinity but you get the general gist of it.

Aggressive: News from the Cebit

marco.plas@domustechnica.nl (Marco Plas) — Sat, 06 Mar 2010 16:46:27 GMT

About a month ago, a good friend of mine called. He was planning a trip to the Cebit in Hannover and asked if I wanted to come along. Since it had been almost a decade ago I was curious to see the Cebits evolution. Enough had certainly happened during the past ten years. This year, the Cebit had an extra treat, the new Security hall. As you can imagine, I could hardly wait.

4 o’clock, alarm bell rings. Thinking of that movie ‘good morning Vietnam’ and yeah, the ‘o’ still stands for ‘o’ my god it’s early. Surprisingly we missed all the traffic jams driving the four hour stretch to Hannover. We even got there before the Cebit started. Like little boys in a toy store we went directly for hall 11: the security hall. To our surprise, the Germans have a different view on information security. The first company we stumbled across was the ADAC. Yes, the road service repair guys. After about five minutes we found McAfee. Not the best solutions in the world, but at least it’s a security company. The booth wasn’t as big as they normally have at Info-sec, but they had a presence. Approximately 30 staff of sales people where just about to be motivated by some VP - Sales - Northern Europe. Well, that’s what we assumed based on his apparent seniority, to big smile and tan. So he rambles on for about 15 minutes about the financial crisis and points out that surely, they will survive will a little aggressive sales approach. Meanwhile, we where sitting in the middle of their booth, having a coffee. We glance at a one of their brochures and listen to an amusing pep-talk. Be aggressive, approach the client, who has the most leads after the Cebit will win some fabulous prize, and so on. Then a big applause. Our VP is finally done. Now we wait. All these pepped up sales people, we are just sitting ducks. Well, guess again. We are being ignored. Some look at us like we are intruders. Funny enough, my friend is the security officer at a large investment bank in the Netherlands... an actual client. We sit there for another 10 minutes, waiting for some sales guy to amaze us with McAfee’s solutions. Disappointed we leave, realizing that it’s hard to get good sales people these days, at least for McAfee.

Useless Security Products

marco.plas@domustechnica.nl (Marco Plas) — Sat, 06 Mar 2010 16:45:18 GMT

As my previous blog already stated, I’m not that enthusiastic about the Cebit this year. We did however stumble across some solutions that we need an opinion about. We found two suppliers of mobile phone encryption technology. At first we thought that this technology would be used for the encryption of information files that you may have on your phone, but no. The idea is that you can have an encrypted conversation. This James Bond technology requires you to buy two decoders. One for yourself and one for the person you intend to have a conversation with. You then pair this device with your mobile phone using Bluetooth and you’re good to go.

Exactly how many people could use this technology? Have we invented technology for the criminal mind? The business case for this company must have been viable. My question therefore is: does anyone see a market for mobile-phone-conversation-encryption?

-- Marco

Biometrie

marco.plas@domustechnica.nl (Marco Plas) — Sat, 06 Mar 2010 16:44:52 GMT

Laat ik eens een actueel onderwerp aansnijden. Het paspoort met de vingerafdruk. Daar is veel over te doen en iedereen lijkt een mening te hebben, ook ik. Biometrie kent vele facetten en vele mogelijkheden. Als voorzichtig fan van televisie programma’s als CSI en Bones begin ik een gevoel te ontwikkelen voor het werk van het NFI. Als er ergens een misdaad is gepleegd word er, althans op TV, heroïsch naar sporen gezocht en ligt blijkbaar overal materiaal van de dader. Het probleem waar de meeste TV programma’s tegenaan lopen is dat er wel materiaal van de dader wordt gevonden, maar nog geen dader om het mee te vergelijken. Zou het dan niet gaaf zijn als we een database hebben waarin het materiaal van iedere Nederlander is opgeslagen. Als er dan iets gebeurt wat ontoelaatbaar is kun je in ieder geval iemand gaan ondervragen. Voor dergelijk scenario’s moet je dan wel iets opslaan in een database wat een dader ook op een plaats delict kan achterlaten. Een Iris-scan is dan al niet aan de orde, tenzij een dader per ongeluk zijn oog verliest. Een gezicht-scan heeft in dat verband ook weinig toegevoegde waarde, tenzij je de daad ook duidelijk op video hebt vastgelegd. Nee, dan de vinger afdruk, die laten we tenminste overal achter, alles wat we aanraken wordt ermee besmet. Als betaalmiddel was de vingerafdruk toch al niet echt bruikbaar, dat hebben onze vrienden van Ahold voor ons aangetoond, maar als misdaadopsporing, ja dat zie ik wel zitten. Over privacy moeten we het dan natuurlijk niet hebben, er is een hoger doel te behalen, ons land weer veilig. Tuig achter de tralies en vrolijke kinderen op straat. Met zo’n beeld kan ik wel leven.

Audit bevindingen

marco.plas@domustechnica.nl (Marco Plas) — Sat, 06 Mar 2010 16:44:22 GMT

Het begint me de laatste tijd steeds vaker op te vallen dat de gemiddelde auditor niet meer helemaal bij de tijd is. Uitzonderingen uiteraard daargelaten, maar wie de schoen past trekt hem aan. IT netwerken zijn de afgelopen jaren sterk veranderd. We zijn opener geworden. Wat enige jaren geleden nog voorzichtig met email begon is kort daarna uitgebreid met de mogelijkheid om ook op het internet te kunnen surfen. Om niet al te veel te gaan mijmeren, maar ik heb het idee dat er toen nog iets als normbesef en een natuurlijke angst bestond. Mensen waren voorzichtiger met informatie op het internet. De meeste emails in de begindagen hadden meer iets van een formele briefwisseling dan van informeel geouwehoer. Een slordige 10 a 15 jaar later delen mensen werkelijk alles met iedereen via het wereldwijde netwerk. De hoeveelheid bevalling-filmpjes op youtube en dergelijke is werkelijk stuitend. We lijken geen enkele schaamte of gevoel voor privacy meer te hebben. We theoretiseren er wel lustig op los als het elektronisch patiënten dossier ingevoerd moet worden en nemen daarbij uiterst principale stellingen in, maar dat is theorie. De praktijk is toch iets weerbarstiger.

De keerzijde van deze trend is dat mensen ook medewerkers van een bedrijf zijn en met dezelfde ethiek met bedrijfsgegevens omgaan. Bij de meeste klanten die ik in mijn carrière heb bezocht is zoveel informatie online te vinden dat de vraag zich opdoemt waarom ze nog een intern netwerk hebben. Uiteraard is er nog wat functionele applicatie ondersteuning op het interne netwerk te vinden, maar van enige veiligheid van data kan toch weinig sprake zijn. Onderzoek bij een groot farmaceutisch bedrijf laat overduidelijk zien dat 85% van onze bedrijfsdata eigenlijk niet relevant is en weinig risico in zich draagt. Het feit dat onverantwoordelijk data-gedrag van medewerkers nog niet tot ernstige incidenten heeft geleid is waarschijnlijk aan dat percentage te danken.

Dan nu de auditor...

A word or two on trust

marco.plas@domustechnica.nl (Marco Plas) — Sat, 06 Mar 2010 16:43:39 GMT

Trust is an illusive notion. I read that once on a dissertation from one of my students. Trust is many things so it’s hard to give a solid definition, apparently. Trust at it’s core had three elements; capability, intent and opportunity. ‘I trust you not to kill me’, Philip Runkel once wrote, hinting at the potential intent of the person we was talking to. I trust you to drive my car (given the fact that you have a drivers license) but I do not trust you to perform brain surgery on me. Trust in humans is therefore generally based on a risk assessment of a person’s intent; given the fact that they have the skill needed for the task and the opportunity to fulfill that task. Having to guess a person’s intent result in a Boolean outcome. Yes I trust you, or no I don’t. If I trust you, I must have enough empirical or associative information to substantiate that claim, if I don’t trust you I do not have this information, or have explicit information that proves malicious intent. Enough said on the trust in humans.

Trust domains in an IT network:

Urban Jungle

marco.plas@domustechnica.nl (Marco Plas) — Sat, 06 Mar 2010 16:43:12 GMT

I stumbled across one again. One of those networks. Built upon the notion that a perimeter defense strategy is the best defensive mechanism to keep the bad guys out. Sure the strategy has worked and even provided a great flexibility during merger and acquisition phases of the company. Unfortunately this dog is starting to bite it’s own tail. In writing this, I realize that nearly all networks are built this way and that many of you are struggling with the same problems. Although the 11 commandments from the Jericho Forum are a decent set of ‘rule of thumb’ principles; they aren’t enough to tackle the real problem.

The great flexibility from a trust-network approach, such as perimeter-based defense is obvious. You put a number of criteria in place before trusting an entity. If the entity conforms to the criteria they’re in, if not, they’re out. Very easy to extend your network, as long as you can keep the perimeter alive and robust enough. The problem starts when anomalies occur. Most organization I have talked to during or after lectures or conferences still believe that network de-perimeterization is a conscious choice they have to make and struggle with that choice. Most do not realize that de-perimeterization is something that is happing and needs acting upon.