In deze aflevering spreken we over de grote problemen rond Windows. Het .LNK-lek is een compleet nieuwe aanvalsvector en dat gaat tot grote problemen leiden. Er is de verwachting dat er een uitbraak van nieuwe aanvallen zal losbarsten. Ondertussen denkt Microsoft vooral aan uw wachtwoord en wil het bedrijf voorkomen dat uw geheime phrase al bestaat. Adobe pakt de beveiligingsproblemen 'grondiger' aan. Ook spreken we met Verizon Business. Het bedrijf bracht het jaarlijkse trendrapport uit en kreeg dit keer data van de Secret Service. Wordt de wereld veilig, neemt het aantal incidenten af? We vragen het de onderneming. Ook staan we aan het begin even stil bij de rechtszaak, die ik voer tegen de VNG, want de zitting komt eraan!

In deze bijzonder podcast staan we stil bij de gespannen relatie tussen internet en internationale rechtssystemen, tussen het recht op expressie en de repressie die soms een bedreiging voor het leven vormt en tussen het aankaarten van misdrijven en krachten die dat verhinderen. Een spannende aflevering op het scherpst van de snede met europarlementariër Marietje Schaake (D66), Birgitta Jonsdottir parlementslid in IJsland, Julian Assange van Wikileaks en professor Alistair Mullis, die na een vraag van mij het wel heel benauwd krijgt. Een echt urgent probleem met een simpele en elegante oplossing uit IJsland. Kortom: een spannende aflevering.

In deze aflevering spreken Joran Polak en Brenno de Winter met Didier Stevens over Hack in the Box 2010 in Amsterdam. Op een bloedhete Dam spreken we over Adobe, de Ubikey en natuurlijk de conferentie. Daar waren diverse interessante lezingen en Nederland lijkt nu een mooie, hoogwaardige beveiligingsconferentie rijker. Ook spreken we met Dennis Groves van het OWASP-project dat mensen helpt om gratis de beveiligingskennis bij te spijker. Een rijk project met wel heel veel lesmateriaal. Tijdens het interview worden we genadeloos betrapt dat er is opgenomen tijdens de voetbalwedstrijd Nederland - Brazilië.

In deze aflevering spreekt Joran met John Scarrow, General Manager, Anti-Spam and Anti-Phishing Strategy Team over IE6, het beleid van Microsoft rond malware en het belang ervan.

Google onthult lekken van Microsoft, Microsoft wijst op lekken in Google software, Google helpt Adobe met het vinden van zwakheden, Apple ontdekt weer zwakheden in Google's Chrome en zo gaat het maar door. Wat opvalt is dat Google wel dubbele standaarden hanteert, want bij Adobe hanteren ze responsible disclosure en bij Microsoft niet. Een door Google gemaakte patch voor een probleem in Windows blijkt weer niet te werken. Het is een puinhoop. Ondertussen kan het succes van de OV-chipkaart niet op, want de ABNAMRO komt met een betaalpasje dat namelijk ook contactloos werkt. De bank vergelijkt dit ook met de OV-chipkaart. 114.000 iPad klanten zijn gedupeerd door knullige beveiliging van AT&T en hun e-mailadressen zijn uitgelekt. Zo zijn topbestuurders, militaire officials, TV-presentators opeens wel erg goed met hun e-mailadres te vinden. Kansrijk voor een gerichte aanval. De FBI onderzoekt de hackers en niet de slechte ontwikkelaars, maar uiteindelijk is de verwachting dat er geen aanklachten zullen volgen. Maar stel dat een veroordeling was gevolgd voor de 'hackers' mag je ze dan nog in dienst nemen? Een lastig ethische vraag, want als het antwoord nee wat zouden ze dan met hun gaven gaan doen? En wat is een hacker eigenlijk? Is de minister van Justitie in Nederland zelf niet een beetje te stout geweest? De vraag is moeilijk te beantwoorden, want documenten worden maar niet vrijgegeven en nu is het verworden tot een rechtszaak. En natuurlijk in deze aflevering: een wedstrijd om een gratis kaartje te krijgen voor Hack in the Box, de beveiligingsconferentie en training. We spreken met de organisator en hij vertelt wat er voor briljante lezingen volgen. U mag 3 x raden waar u De Beveiligingsupdate op 1 en 2 juli gaat aantreffen.

In deze aflevering van de Beveiligingsupdate interviewt Joran Polak de CEO van Panda Security Juan Santana. Hij spreekt zich uit tegen het idee van Eugene Kaspersky om een internetrijbewijs in te voeren. Het is slecht voor de privacy, burgerrechten en het lost de problemen volgens hem niet op. Wat nu mankeert is het effectief straffen van kwaadwillenden, die botnets bouwen. Vooral in Spanje schiet de wetgeving tekort en dus lopen criminelen vrij rond. Santana gelooft wel in cyberterreur en hij merkt dat de “boodschap resoneert”. Terecht of niet wat hem betreft is het goed dat er veel aandacht voor het probleem bij overheden is. Hij ziet nog geen reden om met anti-virussoftware voor de mobiele telefoon te komen. Toch heeft zijn bedrijf al wel een oplossing gemaakt, die intern wordt getest. In de verkoop gaat dat nog niet, omdat het probleem niet groot genoeg is. Hij wijst op de cijfers, want het Windows-platform ziet wekelijks 55.000 nieuwe virussen en op de Mac zo'n 500. Mobiel gebeurt er nog niet genoeg.

Joran vertelt hij ziet dat Microsoft pioniert op het gebied van beveiliging, waarbij de industrie verder alleen maar volgt. Ondertussen heeft Google het plan opgevat om Microsoft-software te dumpen, omdat het onveilig zou zijn. Joran Polak wijst erop dat dit een PR-stunt is, omdat de aanvallen waar het bedrijf bang voor is juist heel gericht zijn. De Eerste Kamer trapt fors op de rem bij het Elektronisch Patiëntendossier. Momenteel staat het wetsvoorstel in de ijskast, totdat er meer vertrouwen is en het beter is geregeld rond beveiliging en privacy. “Het komt erop neer dat de Eerste Kamer zich gewoon gepasseerd voelt”, concludeert Joran. ISOC in België roept de nieuwe Belgische regering op om betere privacyregelgeving aan te nemen. Ook moeten klokkenluiders en beveiligingsonderzoekers betere bescherming krijgen, want nu is het melden van een lek een ticket richting rechtbank. Die praktijk moet stoppen. Deze week is de OV-chipkaart in de plaats gekomen van de strippenkaart. De conclusie wordt dat het wel heel lastig is om echt anoniem te reizen. Eerder concludeerde wetenschapper Wouter Teepe dit ook al in een artikel (pdf).

In deze aflevering spreken we met de goeroe op het gebied van beveiliging: Bruce Schneier. Hij spreekt over Cryptography Engineering, het boek waar hij aan meeschreef. Het is voor het eerst sinds tijden weer een technisch boek hoe cryptografie toe te passen is. Hij ziet de jaren '90 van de vorige eeuw als een periode van testen. Nu is het zaak echt te implementeren en dat zo simpel mogelijk te maken. Want als het niet eenvoudig is, zullen mensen het niet gebruiken. Dat er ook onveilige crypto is, zoals met de Mifare Classic-chip, hoeft geen reden te zijn om het niet te implementeren. Soms kan het goedkoper toch onveilige systemen te introduceren. Wat hem betreft is het incident op de dam vooral te wijten aan het roepen van "Bom!". In een tijd van terreur is dat genoeg om massa's in paniek te laten raken. Wat hem betreft is consumentenapparatuur net zo gevaarlijk als terreur. In de VS zijn de aantal doden van beide risico's ongeveer even groot. Dat er massaal mensen in de gaten worden gehouden, zoals bijvoorbeeld met de OV-chipkaart, is onveilig en slecht voor de maatschappij. Hij noemt privacy een zaak van menselijke waardigheid. Mensen worden niet gelukkiger van alles omvattende beveiliging. Kortom: Bruce Schneier gaat op herkenbare in op de moderne problemen.

Deze week veel aandacht voor privacyrampen of het nu Google betreft met de 600Gb aan persoonlijke gegevens die ze verzamelen, de ongeïnteresseerdheid van Facebook of het niet meer contant mogen betalen. Want de banken zien ons het liefst pinnen ondanks dat er nogal wat geskimmed wordt. Uit onderzoek zou blijken dat mensen daar voldoende vertrouwen in houden. Ook erkennen zo'n 58 procent van de bedrijven wel eens persoonsgegevens te hebben gelekt. Dankzij een mooie hack is een oude hackersfilm (Hackers Wanted) weer beschikbaar op de nodige sociale netwerk. Joran gaat naar Amerika om met Microsoft te praten. Een volle podcast.

In deze aflevering van de Beveiligingsupdate lopen Joran en Brenno over Schiphol na te praten over een persconferentie van Microsoft. Het bedrijf heeft een half jaarlijks onderzoek gepresenteerd en kijkt in het bijzonder naar Nederland. Daarnaast wordt nagesproken over het verhaal van Ronald Prins, want als het aan hem ligt gaan webcommando's buitenlandse aanvallen stoppen met tegen aanvallen alsof het een gewone oorlog is. Natuurlijk is er ook aandacht voor de ellende van de anti-virusupdate van McAfee. Ook staan we stil bij het tragisch overlijden van Aaron Boudewijn. Ook spreken we over de OV-chipkaart en het forensisch onderzoek dat daar nodig is. In 2000 werd 1,3 miljard gegeven aan NS en ProRail. Na een verhitte straat zijn er cijfers geopenbaard. Maar ... wat weten we nu eigenlijk. Tijd om zelf de speurneus uit te hangen en de documenten aan een grondige inspectie te onderwerpen.

Wikileaks legt de hand op een video van het Amerikaanse leger. Oorspronkelijk is hij versleuteld. Brenno en Joran vragen zich af wat je nodig hebt om dat voor elkaar te krijgen. Verder natuurlijk ook het skimming nieuws, de vraag of we de root-certificaten vanuit Mozilla (Firefox) nog wel kunnen vertrouwen, het falen van virusscanner (en waarom ze toch nuttig zijn) en andere actualiteiten.

In deze aflevering van de beveiligingsupdate hebben we het over de rechtszaak van Brenno tegen de Gemeente Kaag en Braassem. Ook natuurlijk over de uitspraak van de Hoge Raad in de zaak over de OV-chipkaart. Gegevensverwerker Trans Link Systems (TLS) bleek het namelijk bij het juiste eind te hebben toen ze foto's wilde weigeren aan Justitie. Maar er was veel meer privacynieuws. De bewaarplicht verkeersgegevens blijkt onder druk te staan door een onderzoek van de Europese Commissie. Daarnaast heeft ook het Duits Constitutioneel Hof problemen te hebben met de uitvoering van de data retentie. Ook is er weer de nodige malware de revue gepasseerd. Sommige Nederlandse ziekenhuizen bleven niet gespaard. Ook FireFox is kwetsbaar voor lekken en heeft versneld een update gekregen. Opnieuw waren de Duitsers de oorzaak. Natuurlijk is dit ook van duidelijkheid voor de SOUPNAZI, de creditcardnummerdief. Moet hij werkelijk 25 jaar de cel of is de rechter toch genadig? Volgende week allemaal kijken naar Tros Radar, want daar is ons aller Joran te gast.

In deze aflevering horen meteen aan het begin wat het echte feest van de democratie nou eigenlijk is. Samen met Joran bespreken het goede nieuws dat er twee reuzachtige botnets uit de lucht zijn gehaald. Ook 25.000 Nederlandse PC's doen niet langer mee met het verspreiden van ellende. Minder leuk is het nieuws dat er een RSA-kraak heeft plaats gevonden. Toch is het niet eind oefening RSA, want we hebben het wel over een hardwarekraak. Triester is het verhaal dat een zorgverlener de creditcard van een zwaar gewonde man besluit te stelen. Terwijl het slachtoffer is overleden geeft hij er vervolgens 2000 dollar mee uit. Tot slot horen we McAfee en Brocade trots vertellen dat ze elkaar helemaal gevonden hebben. Ze gaan hardware en beveiliging combineren en dat is ook hard nodig, want de bescherming schieten behoorlijk te kort. Althans als we de ondernemingen mogen geloven.

De burgervaders van Oost Gelre (Groenlo) en Doetinchem komen op voor de herintroductie van stemcomputers. Dat is volgens eigen zeggen niet voor de lokale leverancier Nedap, maar vooral omdat men van het "19de-eeuwse" stemmen met het potlood af wil. Rond het dossier is de nodige controverse en zo wordt de Stichting "Wij vertrouwen stemcomputers niet" niet "geapprecieerd". Tegenstand wordt niet geduld en daarom valt de kritische houding van zowel het Ministerie van Binnenlandse Zaken Koninkrijksrelaties als de stichting enorm slecht. Beide krijgen dan ook tijdens de persconferentie een behoorlijke veeg uit de pan. De felle kritiek op de actievoerders blijkt een duidelijke oorzaak te hebben, die fluisterend wordt uitgelegd. Alleen een combinatie van podcast microfoon en een draaiende camera maken dit pijnlijk helder.

In deze aflevering spreken we met Christiaan Engström, lid van het Europees Parlement namens de Piraten Partij. Dat kon, omdat 7,1% van de Zweedse stemmen naar de Piraten Partij ging. Hij vertelt over auteursrechten, de Anti-Counterfeiting Trade Agreement (ACTA) en de strijd die hij levert. Wat hem betreft moeten burgers niet langer vervolgd worden voor het uitwisselen van bestanden. "Een hele generatie wordt gecriminaliseerd en dat is zinloos." Uiteindelijk verwacht hij ook veel van de Zweedse nationale verkiezingen. Daar hoopt de partij stevig uit de bus te komen om echt veranderingen voor internetgebruikers te kunnen doorvoeren.

Deze week lopen Joran en Brenno het beveiligingsnieuws door met de blik op positivisme. We testen of het mogelijk is om al het nieuws door een roze bril te kijken. Hoe kunnen we positief benaderen dat het Ministerie van Volksgezondheid heimelijk gesprekken opneemt als datzelfde departement ook belooft goed met de privacy van het Elektronisch Patiënten Dossier (EPD)? Hoe goed is het als justitie probeert te achterhalen wie er allemaal in Culemborg in de krant leest. American Express blijkt de accounts heel toegankelijk te maken door te lange wachtwoorden met teveel complexiteit te verbieden. Adobe, Microsoft, Google passeren nu ook de revu. Oh ja en dan is er ook nog een hackende wielrenner.

De afgelopen week was er veel aandacht voor het EPD. Het blijkt namelijk dat misbruik in theorie wel te ontdekken is, maar dat dit in de praktijk toch wel heel lastig kan blijken. Er zijn veel zaken die vragen oproepen. Ook maken Joran en ik een serieuze belofte voor de volgende podcast. Maar het spannends is toch wel het gesprek met Annie Machon, een oud-medewerker van MI-5. Ze vertelt over de werking van de dienst, het falen en vooral de reden waarom zij naar buiten is getreden. Zij is heel donker over de democratische staat van Nederland (en het Verenigd Koninkrijk).

In deze editie is natuurlijk veel aandacht voor de hack op Gmail op Google. Was het nou de Chinese overheid of toch niet? Was het nou een PDF-lek of was het een gat in Internet Explorer 6? Helder is wel dat de zoekgigant plannen maakt om in China de aftocht te blazen. Daarnaast deed Joran veel onderzoek naar een rapport van Microsoft dat ZeelandNet wegzet als een onveilige provider. Onderbouwen kan Microsoft niet, rectificeren doen ze niet en daarmee moet de kous maar af zijn. Het Nieuwe Rijk bracht vorig jaar een folder uit. Wij spreken met ze over hun actie voor privacy.

Tussen kerst en nieuwjaar is altijd het Chaos Communication Congress van de Chaos Computer Club. De editie van dit jaar (26C3) stond duidelijk in het teken van onttroonde versleuteling. Niet alleen moest de GSM-versleuteling eraan geloven, ook Mifare Classic tegenspeler Legic is gekraakt. Ook had Wikileaks opmerkelijke plannen: ze willen naar IJsland toe. Met Joran spreken we het nieuws door met inbegrip natuurlijk van al het Nederlandse nieuws. Ons land staat na het incident op het vliegtuig naar Detroit volop in de belangstelling. Voor oud- en nieuw blijkt ons leger ook opmerkelijke plannen te hebben. In het interview spreken we met RFID-expert Roel Verdult van de Radboud Universiteit. Hij deed goed onderzoek naar de OV-chipkaart en heeft een duidelijke visie op de problematiek. Kortom: we weer volle, leuke show.

In deze aflevering bespreken Joran Polak van Security.nl en Brenno de Winter de belangrijkste zaken van 2009 door. Dat is een riskante onderneming als in Berlijn het Chaos Communication Congress nog moet beginnen, maar trends zijn er volop. De laatste weken was er ook nog volop nieuws en kwamen verhalen tot een mooi slot. Dus hebben we het over de malware, Windows 7, privacy, de Soupnazi en wat dies meer zij. Maar de show begint met een "serious request" de actie van 3FM, die door Fox IT wordt ondersteund. Zij bieden een hacker aan voor een dag. Daarvoor kan tot 1 januari 2010 geboden worden op Ebay. De opbrengst gaat naar het goede doel en de expertise naar de hoogste bieder. Een origineel initiatief, waarmee we hier computers veiliger maken en elders in de wereld malaria uitbannen. Een mooi initiatief! Na het prettige gesprek met Joran spreken we met Surfnet over beveiliging in de universitaire wereld en een scanner om gevaarlijke sites te ontdekken. Natuurlijk is de website van De Beveiligingsupdate op de pijnbank gelegd en in orde bevonden.

Deze week is de rode draad duidelijk het vraagstuk of je nu wel of niet mag rommelen met data. De hoofdredacteur van Nieuwe Revu is veroordeeld voor het wandelen door de mailbox van staatssecretaris Jack de Vries. Dat mag niet. Helder. Maar mag je tijdens het tellen van de stemmen de telsoftware wijzigen? Of mag je de database met resultaten 'bewerken'? Of de kluis met de hardwarematige cryptografische sleutel openen? Volgens de Waterschappen kan dat allemaal, maar in de politiek reageert men toch iets negatiever. En hoe zit het eigenlijk met BitLocker is dat nou wel of niet veilig? Is TPM (Trusted Platform Module) nu dood? Als het wel veilig is, waarvoor is het dan eigenlijk in te zetten ofwel welke risico's dekken we af? Al met al genoeg vragen, waarop we een antwoord moeten vinden. Joran heeft die natuurlijk. Kortom een gezellig, informatieve podcast.

Deze week staat de vraag centraal of je uit overtuiging vernielingen mag aanrichten om je boodschap uit te dragen of een ander de mond te snoeren. Nee, denkt dat nationale recherche, die vorige week bekend maakte twee mannen te hebben opgepakt. Ondertussen kan een holocaust-ontkenner op heel wat minder begrip rekenen. Bij hem was de hack grondig. Waar kan hactivisme wel en waar niet? Ook praten we met BT's Ray Stanton die van mening is dat we allemaal aan de DRM zullen moeten. Ook erkent hij dat het toch wel lastig is om in een crisis beveiliging goed op de kaart te zetten. Een volle, interessante podcast.

Deze week zien we kwaadaardige software via Twitter verspreid worden, een boete van 711 miljoen dollar voor spam en de aanstaande vervolging van de hoofdredacteur en journalist van Nieuwe Revu voor het hacken van mailboxen van staatssecretaris Jack de Vries. Windows 7 kan perfect dienen als Hotspot met een kleine hack. Zet dan niet WPA/TKIP aan, maar kies dan voor sterkere algoritmen. Het is allemaal zo te kraken. Infosecurity komt eraan enne voor Joran is het een groot leveranciersfeest. Moet je hier nou wel of niet naartoe?

Het is feest voor De Beveiligingsupdate, want we zijn toe aan de vijftigste aflevering. Dat is een mooi moment om meteen stil te staan bij Windows 7. Ruud de Jonge van Microsoft noemt het veiligste besturingssysteem dat nu in de markt is. Er zijn veel technologieën toegevoegd, DEP staat standaard aan en de manier waarop rechten rond gebruikers werken zijn anders. Niet waar het is niet veilig. Althans dat stelt Jan van Haver van G-Data. Zij stellen op basis van eigen onderzoek dat er nog wel hiaten in het systeem zitten. Gelukkig heeft dat bedrijf natuurlijk zelf de oplossing in huis en gaat van Haver zelf wel over op het nieuwe besturingssysteem. Terechte kritiek of een reclamestunt? Voor Truecrypt was het een reden om een nieuwe versie uit te brengen. Vanaf nu is er zowel ondersteuning voor Windows 7 als Apple's Snow Leopard. Joran vertelt dat het niet hebben van een virusscanner soms een boete van $100.000 kan opleveren, terwijl links en recht data blijft worden gelekt. Een monsterdatabase van alle Nederlandse burgers mag er van het CBP niet komen, maar of onze regering zich daaraan stoort. Het geesteskindje van onder andere Dirk Scheringa moet blijven bestaan. Natuurlijk ook veel ander nieuws en we spreken over de ideeën die Eugene Kaspersky heeft rond het internet. Is het einde der tijden voor een vrij internet daar? Kortom een dubbeldikke feestelijke aflevering van De Beveiligingsupdate.

We gaan op naar aflevering 50, maar deze week eventjes alleen het nieuws. Een overlijden in de familie maakt meer eventjes wat lastig.

Deze week waarschuwt Joran dat het verstandig is geen e-mail van banken te krijgen op uw G-Mail account, want als de bank teveel informatie opstuurt wordt het account op last van een Amerikaanse rechter geblokkeerd. Wat dat betreft lijkt de lekkende bank de juridische afdeling aan het hoofd van hun beveiligingsbeleid te hebben gezet. Over Google gesproken: de plugin van Chrome voor Internet Explorer is zeer onveilig ... zegt Microsoft. Een staaltje angst voor concurrentie of oprechte bezorgdheid? Natuurlijk blijft het beveiligingsupdate op beveiligingsupdate, want dit keer had Apple een patch voor een pijnlijk probleem voor iTunes. En Adobe? Dat blijkt een bijna exclusief platform voor malware schrijvers. In het interview praten we met Barry van Kampen (aka Fish) over Hackerspaces. Hij richt op dit moment Random Data op in Utrecht. Ook presenteerde hij op HAR FM het dagelijkse programma "Hackerspace Hour" en wij draaien daarvan een editie. Samenkomen blijkt namelijk erg prettig te zijn om niet alleen een hobby uit te leven, maar ook om leuk beveiligingsonderzoek te doen. Kortom een leuke, tjokmutjevolle podcast.

Het was de week van Sockstress vorige week. Microsoft en Cisco introduceerde een technologie om de kans op een succesvolle DoS-aanval tot een minimum te beperken. Dus niet gewoon een paar regels aanpassen, maar daadwerkelijk techniek aan het systeem toevoegen. Oracle stelde het patchen uit om beheerders maar niet te laten kiezen tussen veilig zijn of een conferentie bezoeken, terwijl Adobe het te druk had om tijdige patches voor ernstige lekken te maken. Joran gaat los op het ten onrechte aanwijzen van een onschuldige man als overvaller op overvallersgezocht.nl te zetten. Ik heb inmiddels hier gevraagd om procedures rond het publiceren van burgers op zo'n website. Een jaloerse echtgenote laat de wachtwoorden van haar man kraken. Ofwel een nieuwswaardige week ligt achter ons.

Deze week hebben we met Joran het nodige nieuws te bespreken over nieuwe massalekken, vreemd gedrag van Adobe, paspoorten met wel erg vreemde distributie kanalen en meer. Daarna spreken we met Don Blumenthal. Hij is oud-medewerker van de Federal Trade Commission, die bij grote lekken voor de rechten van burgers opkomt en kan ingrijpen. Na het verlies van 130 miljoen creditcardnummers aan de 'Soupnazi' lijkt ingrijpen niet te voorkomen. Maar volgens de expert is dat niet zeker, want als waren ze wel erg lek toch waren ze ook geaudit en in orde bevonden. Niets lijkt dus zeker. Ik wil wel eens weten hoe de FTC werkt in dit soort zaken.

De afgelopen week stond skimmen in het nieuws. De NS denkt een nieuwe oplossing tegen de problematiek te hebben gevonden. Of de oplossing deze keer langer stand zal houden is nog eventjes de vraag. Ook PvdA heeft ideeën om skimmen te stoppen. Verder natuurlijk veel ander nieuws. In het interview gaan we in gesprek met Ot van Dalen van Bits of Freedom (BoF).

HAR 2009 is voorbij en dat betekent dat De Beveiligingsupdate weer met volle kracht vooruit gaat. Er is voldoende nieuws, want 130 miljoen creditcardnummers zijn gestolen. Gelukkig was het een bekende van de politie, want het was opnieuw de "Soupnazi" ofwel de TJX-hacker. Wat de precieze schade blijft onduidelijk, maar dat het een duur geintje is mag helder zijn. Daarna praten we met John J. Strauchs, een oud medewerker van niets minder dan de CIA. Hij vertelt hoe de CIA werkt, hoe onderzoeken lopen wat de relatie was met de KGB en vooral hoe hij nu onderzoek doet. Bij een serieuze aanval is het verhaal een werk van geduld, voldoende geld en zelfs een superbeveiligde omgeving is niet langer veilig. Een wijze les hoe ver sommige mensen gaan voor een attack en vooral een wijze les dat beveiliging kraken een heel andere vorm van denken is. Leuk detail aan het verhaal is dat John ook actief was voor de film Sneakers en ook daar doet hij een boekje open. Tot slot heeft hij vanuit het beeld van opsporing een opmerkelijk standpunt over de bewaarplicht verkeersgegevens. Het probleem zijn de bureaucraten.

Het duurt niet lang meer en HAR 2009 barst los. Heeft u geen kaart? Luister toch mee via HAR FM. Verder spreken we eventjes na over BlackHat en Defcon waarvan alle presentaties (700mb!) beschikbaar zijn. De securitycampagne van de overheid "veilig internetten" komt wat vreemd over als er toch de nodige problemen spelen, waardoor er weinig geloofwaardigheid is. Wanneer krijgt Govcert er personeel bij en gaan ze eens naar de adviezen van de experts handelen? Wil je informatie verbergen om veilig te zijn, omdat je bronnen hebt te beschermen of gewoon lekken niet de bedoeling is? Voor de Journalist schreef een wel heel belangrijke, basale uitleg. Joost Pol van Certified Secure zoekt de nuance op door te wijzen op lekke sites bij de overheid en dat jammeren over SSL wat mager is. Mensen moeten vooral werken aan beveiliging in de breedte. Met Paul Bakker van Fox IT spreken we over steganografie. Is het mogelijk om informatie in bestanden te verbergen? En als dat kan: kan het dan nog ontdekt worden?

Joran is dit weekend in aanraking met de politie geweest in verband met skimming, maar wie nou wie de les moet lezen is nog eventjes onduidelijk. Verder staan we stil bij Firefox 3.5 dat opeens twee 0-day's kan dichten. In één geval is het lek zo ernstig dat het al misbruikt werd voor het beschikbaar zijn van een patch. Maar het kan beroerder als je zaken doet met Etisalat en een BlackBerry gebruikt. De Arabische provider blijkt spyware te distribueren om eens lekker te spioneren op hun klanten. Natuurlijk staan we ook stil bij de vijfde versie van NMAP. Daarna spreken we met Koen Martens van HAR 2009 over de ruimte problemen. Er zijn geen kaarten meer beschikbaar, want de camping is vol. Dus de lezingen zullen goed gevuld zijn, de bar snel leeg en is het tijd om in te schakelen op HAR FM op 106.8 FM of via een internetstream. Er is zeker nieuws te melden van het event en dat zal ook zeker verslagen zal worden. Ook spreken we met Frank van Vliet van Certified Secure met de vraag hoe we veilig op vakantie kunnen. Hij adviseert onder andere Truecrypt voor het versleutelen van de schijf.

In een zomerse aflevering loop ik met Joran Polak door het rustieke Den Haag om te praten over geldautomaten, die geld kado geven, creditcardmaatschappijen die klanten minder limiet geven als ze te vaak een massage betalen, Michael Jackson-spam, "gewone" spam en natuurlijk veel meer nieuws. Daarbij hebben we het natuurlijk ook over de nieuwe Firefox 3.5.

Deze week was er een beetje goed nieuws voor Gary McKinnon, de Brit die de NASA wist te hacken. Hij hoeft voorlopig nog niet naar de VS, omdat zijn advocaten de pijlen hebben gericht op een nieuwe mogelijkheid de zaak te vertragen. Als de rechter de pleitbezorgers hun zin geeft, kan de hele uitleveringsprocedure opnieuw worden gedaan. Dat geluk heeft Alan Ralsky niet, want hij bekende schuld voor de Amerikaanse rechter voor het versturen van spam. Ondertussen maakt Joran Polak zich druk over de populairste Security-song. Natuurlijk staan we ook stil bij de anti-virussoftware van Microsoft. Verder spreken we met Han Fey en Barry Wels over Toool, het gilde van lockpickers. Zij vertellen over hun activiteiten en de komende open conferentie op HAR 2009. Uiteindelijk is het iedereen te leren. Ook kunnen beginners een mooie kans maken op een gratis toolset. Wie van dat alles niet genoeg heeft kan op HAR ook terecht bij HAR FM waar Joran en ik druk zijn met een heuse FM-zender.

Deze week praten we nog na over de eindeloze hoeveelheid patches die de beheerders te verwerken kregen. Wat schort er toch aan de beveiliging en vooral wat betekent dit voor ons? Ook hebben we het over de biometrische database en andere opmerkelijke ontwikkelingen. Natuurlijk spreken we ook na over de benefiet rond BigWobber ofwel de hack op de legesheffing voor de toegang tot informatie.

Deze week hebben we aandacht voor de Software Security Lifecycle (SDL) van Microsoft. De marktleider zegt de kennis graag te delen met de ontwikkelaars, omdat slechte software afstraalt op het hele platform. Maar helpen de tools van het bedrijf? Maken die de software nou echt veiliger? Natuurlijk roept de softwareleverancier van wel en zegt het gratis zijn van de programmatuur niets over de kwaliteit.

Dat er met regelmaat problemen zijn met Microsoft Office is genoegzaam wel bekend, maar hoe zit dat met de alternatieven? Is OpenOffice.org fundamenteel onveilig of zijn er wat probleempjes die met een workaround weer te redden zijn? Twee franse onderzoekers, Jean-Paul Fizaine en Eric Filiol deden hier uitgebreid onderzoek naar en komen met verontrustende conclusies. Komen de tijden van pen en papier weer terug of kunnen we toch het open source officepakket blijven gebruiken? Een uitgebreid interview met de onderzoekers.

In deze aflevering spreken we met Erez Metula, die onderzoek deed naar het mogelijk misbruik van .NET. Zoals vaker het geval is, komt het gevaar niet van buiten maar van binnen. Wie namelijk een aanpassing maakt in het .NET-framework kan voorspelbaar gedrag ombuigen in niet voorspelbaar gedrag van een systeem, waardoor software opeens anders functioneert dan de geschreven broncode suggereert. Het concept klinkt simpel als we het horen, maar waarom controleren we hier niet op? Erez heeft een proof-of-concept geschreven en een paper over het onderwerp online staan. Joran van Security.nl kan er maar niet over uit dat een Mac-gebruiker druk is met schrijven voor PC-Active, zielig gedrag van PGP dat niet tegen een geintje lijkt te kunnen en Infosecurity de censuur laat uitoefenen. We spreken ook over de installatie van goed geschreven malware via gehackte sites, zoals dat bij pornosites of bij kranten.com gebeurt. Ook staan we stil bij de lekken in de systemen van de Amerikaanse luchtverkeersleiding, waardoor het doen van wel heel wilde aanvallen kinderspel wordt.

Deze week spreken we met Joran over Mac-gebruikers, die volgens 'experts' op beveiligingsgebied dommer zouden zijn dan andere gebruikers, systeembeheerders die hacken als de ontslagvergoeding te weinig is en ook over laptopcontroles op Schiphol. Ik heb daar onderzoek naar gedaan en uit een Wob-verzoek blijkt dat er best nog wel wat werd gecontroleerd in 2008. Maar of het effectief was .... Daarna spreken we met Anthony Aykut van Frame4 Group, die wel een erg markante hobby heeft: virussen verzamelen. Het is niet alleen interessant, maar ook een business. Diverse klanten zien namelijk zijn collectie al een geweldige kans om een eigen product op bekende aanvallen uit te proberen.

Bij Security.nl is het beveiligingsweek met focus op databescherming. Dus naast het nieuws gaan we eens spreken over de basics van versleuteling. Wat is nou PKI, hoe werkt dat nou, welke zaken kunnen we zelf doen om ons te beveiligen en wat moeten we vooral niet vergeten.