WebGang/CityGang

Veiligheid niet gegarandeerd

Volgens een pannel op een RSA beveiligingsconferentie maken de verkopers van beveiligingsprodukten hun beloftes niet waar.
Een onderzoek onder topmensen die instaan voor de beveiliging van bedrijven, organisaties en overheidsdiensten leverde deze ontnuchterende conclusie.
Een paar belangrijke problemen zijn:

De klanten die de beveiligingsoplossing kopen, zijn gehaast omdat ze dikwijls vooral bezig zijn met korte-termijn problemen. Ze nemen bijna nooit de tijd om het produkt grondig te testen, meestal testen ze helemaal niets, maar vertrouwen blindelings op het produkt.
Waarschijnlijk hebben ze zelfs geen idee hoe ze het zouden kunnen testen.

De verkopers staan onder druk van hun investeerders om zo snel mogelijk hun produkt op de markt te brengen, wat dan gebeurt met inbreng van marketingmensen die wilde verkoopsargumenten in het kanaal verspreiden om de concurrentie de loef af te steken. De budgetten voor marketing en verkoop zijn hoger dan die voor de ontwikkeling van het beveiligingsprodukt.
Er is weinig transparantie wegens de angst voor uitlekken van kennis of van fouten.

Verder is er een grote tegenstelling tussen beveiligingsoplossing als “kant en klare produkten”, terwijl de te beveiligen informatica-omgevingen juist heel verscheiden en complex zijn. Is het wel mogelijk om daar een “produkt” op te plakken?

Zowel het onderzoek als de diskussie op de RSA conferentie werden geleid door de onderzoeker van ISTARI, cyber risk management bedrijf uit Singapore. Het pannel kwam met de conclusie dat negentig procent van de klanten niet de beloofde werkzaamheid krijgen die de verkopers beloven.

Real-Time Linux

Gisteren, 15 juni, kwam Ubuntu Core 22 uit voor gebruik in IOT toepassingen.
Ubuntu Core 22 is een Linux besturingssysteem van Canonical,
dat geoptimaliseerd is voor kleinere apparaten dan computers.
De basis van het systeem komt overeen met hun Linux distributie voor servers en desktops, Ubuntu 22.04.
Toepassingen worden in containers gestoken om ze veiliger te laten draaien op het systeem.
Die technologie heet “Snap”, en is ontwikkeld door Canonical (oorspronkelijk voor desktoptoepassingen).
Het is al aanwezig in de Ubuntu’s 16, 17, 18 en 19.x distributies. Snap kan ook op andere Linux distributies geïnstalleerd worden.
In Snap is een upgrade systeem voorzien, dat beveiligd is door digitale handtekeningen.

Gezicht van het ziekenhuis

The Markup, een project dat de grote technologiebedrijven in het oog houdt, heeft een artikel gepubliceerd over medische gegevens die Facebook in handen krijgt via zijn verborgen pixel.
Dat gebeurt via een online-volgtechnologie, die gebruikt wordt op de websites van sommige ziekenhuizen.
The Markup testte de websites van een honderdtal ziekenhuizen, en op één derde daarvan vonden ze de tracker of volgsoftware, Meta Pixel genoemd.
Door de facebookverbinding op de website van het ziekenhuis, krijgt Facebook informatie toegestuurd als een gebruiker iets aanklikt, bv nadat hij een verzoek heeft ingevuld.
Als de gebruiker een dokter heeft opgezocht op onderwerp, bv zwangerschap, kanker, enz, dan krijgt Facebook ook die zoekterm binnen.
Bovendien krijgen ze ook het ip adres te zien van de gebruiker.
En bij sommige ziekenhuizen komt de MetaPixel ook voor in pagina’s waar een patient voor moet inloggen. De patient, die is ingelogd, is zich waarschijnlijk niet bewust dat Facebook ook daar spioneert.
The Markup heeft er grondig onderzoek naar gedaan. Ze zochten een aantal vrijwilligers, en werkten samen met het Mozilla project “Mozilla Rally”.
Ze zagen informatie gestuurd worden over de pantient, waaronder namen van medicatie, doktersafspraken enz.
Mogelijk overtreden de ziekenhuizen daarmee de privacy wetten.
Naar aanleiding van het verschijnen van de resultaten van het onderzoek, hebben al verschillende ziekenhuizen de Facebook code uit hun websites gehaald.

https://themarkup.org/

voorbeelden van akties die gevolgd kunnen worden vind je op marketingwebsites als:

https://blog.hootsuite.com/facebook-pixel/

VPN weer in de mode

Bij de Amerikaanse overheid is VPN weer in de mode. Ze steunen aktief verschillende bedrijven die VPN software ontwikkelen, zoals Lantern, nthLink, en Psiphon.
Een VPN verbinding met het internet zorgt ervoor dat de gebruiker niet rechtstreeks verbonden is met bv een website, maar via een andere internetverbinding dan die van hemzelf.
Daardoor is het moeilijker iets te weten te komen over die gebruiker. Het wordt dus ook wel eens gebruikt om censuur te omzeilen, of om op een anonieme manier websites te bezoeken.
Sommige overheden zouden VPN’s liefst verbieden, in sommige landen is het ook verboden, Maar VPN is ook een manier om veilig vanop afstand te werken, bv een verbinding van thuis naar het bedrijf, om te telewerken.

VisionFive

Wetende dat het zowat onmogelijk is om een Raspberry Pi bord te kopen, is het interessant om naar de alternatieven te kijken, en één daarvan is het beloftevolle Visionfive bord, afkomstig uit China.

Het is een zogenaamd “low-cost” RISC-V board dat toch meer dan 150 euro kost, en voor die prijs de volgende eigenschappen biedt: een RISC-V processor (dual-core siFive U74 RV64 SoC) die aan 1 GHz draait, NVDLA engine (NVIDIA Deep Learning Accelerator), een DSP en een neural network engine.
Het geheugen is met zijn 4 of 8 Gb niet zo verschillend, en verder is er ook wifi, bluetooth, HDMI uit, vier USB poorten (3.0), gigabit ethernet, usb-C voedingsaansluiting en een 40-pins GPIO aansluting met kleurcodering aan de pinnen.
Het bord wordt ondersteund door Linux distributies, en is rechstreeks ondersteund door de mainline Linux kernel. Ubuntu zou het bord ondersteunen in versie 22.10.

compiled by BCP v.0.6.1