Ministerie Binnenlandse Veiligheid VS slordig met verlopen toegangspassen

Een Predator-droon van de Amerikaanse douane

Een Predator-droon van de Amerikaanse douane, onderdeel van het Amerikaanse ministerie voor binnenlandse veiligheid (foto: min.v.binnenl.veil.)

Het ministerie voor Binnenlandse Veiligheid in de Verenigde Staten zou beter moeten weten, maar is buitengemeen slordig met, onder meer, het innemen en/of deactiveren van toegangspassen van voormalige medewerkers. Dat betekent dat die, ook na bij het ministerie te zijn weggegaan, toegang zouden kunnen hebben tot databanken van dat ministerie. Nog stuitender is dat die nalatigheid al vijftien jaar bekend is. Hoe zou dat bij andere veiligheidsdiensten zijn? Lees verder

Amerikaanse douane wil je tweets lezen

controle Amerikaanse douaneHet ziet er naar uit dat de Amerikaanse douane en grensbewaking je gedrag op het wereldwijde web willen bekijken alvorens je dat land binnen mag. Het gaat dan vooral over de burgers die zonder visum de VS binnen mogen, zoals veel Europeanen. Als het idee wordt goedgekeurd dan zou de maatregel al in december in kunnen gaan, zo meldt the Intercept. Lees verder

Amerikaanse energiebedrijven doelwit krakers

Het is tegenwoordig constant onrustig in de cyberruimte. We hebben net het akkefietje tussen China en de VS gehad of nu blijken het afgelopen weekeinde alweer zo’n tien Amerikaanse energiebedrijven het doelwit te zijn geweest van webaanvallen. Anders dan bij de aanvallen uit China, waar het vooral om spionage ging, zijn deze aanvallen bedoeld om de controle te krijgen over de procesbesturingssystemen van de energieopwekking, zo meldt de New York Times. Onduidelijk is waar de aanvallen vandaan komen, maar het vermoeden bestaat dat de krakers in het Midden-Oosten gezocht moeten worden (met Iran als hoofdverdachte). Ook is niet duidelijk hoe ver de ‘inbrekers’ in het systeem zijn doorgedrongen.
Verschillende Amerikaanse bronnen verwezen naar de aanval afgelopen zomer op het computersysteem van Saudi Aramco, waarbij 30 000 computers van deze Saoedische onderneming werden besmet met een virus. Amerikaanse onderzoekers zouden hebben ontdekt dat Iran achter deze aanval zou hebben gezeten. Ook daar scheen het procesbesturingssysteem het doelwit te zijn, maar de krakers zijn nooit zover gekomen omdat de kantoorcomputers en procescomputers ondergebracht zijn in twee gescheiden systemen.
Een probleem bij het opwerpen van een verdedigingslinie tegen dit soort aanvallen is dat de energiewereld evenals die van de (mobiele) telefoon tot de private sector behoort of is gaan behoren (zoals in Europa). De cyberveiligheid is dus in eerste instantie een privaat initiatief, maar de overheid in de VS wil haar steentje bijdragen. Het Amerikaanse ministerie voor binnenlandse veiligheid heeft inmiddels een afdeling van 600 professionele webkrakers die zich met deze digitale oorlogsvoering bezighoudt. Opmerkelijk is dat op die afdeling de laatste tijd een kleine exodus op gang is gekomen. Die zijn waarschijnlijk weggekocht door Iran 😉

Bron: New York Times

Open software veiliger onder de miljoen regels

Open programmatuur (‘open source software’) bevat gemiddeld minder beveiligingskwetsbaarheden en codefouten dan commerciële software. Tenminste, zo lang het programma de 1 miljoen coderegels niet overschrijdt. Daarna wint de betaalde programmatuur het van de ‘ideële’: 0,75 codefouten per 1000 regels tegen 0,66. Dat blijkt uit een onderzoek van het Amerikaanse bedrijf Coverity, dat zich bezig houdt met het testen van nieuwe software.
Het onderzoek is een initiatief van het Amerikaanse ministerie voor binnenlandse veiligheid. Het eerste onderzoek werd uitgevoerd in 2006. Open programma’s worden gratis getest, commerciële programma’s worden getest tegen betaling. In het totaal zijn 68 miljoen regels open programmatuur getest (118 projecten) en 380 miljoen regels commerciële programmatuur (250 projecten).
Tot dit jaar bleek het niet uit te maken of een programma gratis of betaald was als het ging om beveiligingslekken en fouten in de code. Dit jaar lijken de commerciëlen het te gaan winnen bij de grote programma’s, terwijl de minder grote de open programmeurs het beter doen. Het zou wel eens kunnen zijn dat de groei van de open protuur de ‘ideëlen’ parten speelt. Nu hebben nog maar 13 open projecten meer dan 1 miljoen regels code. Maar de neiging is naar groter. In 2008 bedroeg de gemiddelde programmalengte 425 179 regels, dit jaar 580 000. Het foutengetal bij alle open programma’s steeg dan ook van 0,45 in 2008 naar 0,69 nu. Overigens is het verschil met de commerciële programma’s niet erg veel lager: 0,68. Bij programma’s tussen 500 000 en 1 miljoen regels scoren de ‘ideëlen’ twee keer zo goed: 0,44 tegen 0.98.

Bron: Wired