Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Vage overheidscampagne Boefproef.nl

28-09-2018, 10:29 door Anoniem, 13 reacties
Momenteel draait er op de radio een overheidscampagne Boefproef.nl. Ik hoorde hem vanmorgen op 538 langskomen maar hij zal vast ook op andere plaatsen gedraaid worden. In 15 sec. zou je je telefoon of laptop boefproef maken.

Ik heb site gekeken, en het enige advies wat ze geven is om je Windows laptop of Iphone een locatievinkje aan te zetten, waarbij de laatste locatie steeds verstuurd wordt, omdat TouchID of een wachtwoord niet genoeg is.

Dat vind ik een vaag advies. In mijn beleving is TouchID (evt. na 10 foute pogingen toestel wissen) al behoordelijk safe, en een Windows Laptop met Bitlocker ook. Wat voegt dat locatie vinkje dan extra toe? Dat is mij niet duidelijk van deze campagne.
Reacties (13)
28-09-2018, 12:07 door Tha Cleaner
Door Anoniem:
Dat vind ik een vaag advies. In mijn beleving is TouchID (evt. na 10 foute pogingen toestel wissen) al behoordelijk safe, en een Windows Laptop met Bitlocker ook. Wat voegt dat locatie vinkje dan extra toe? Dat is mij niet duidelijk van deze campagne.
Moet je laptop wel bitlocker hebben,. en dit aangezet zijn.Iets wat voor de gemiddelde gebruiker al te last is. En ook grote gevolgen kan hebben.

En het gaat juist hierom: Want met één instelling kun je jouw smartphone, tablet of laptop niet meer terugzetten naar de fabrieksinstellingen, daarmee is hij dus onverkoopbaar.

Het toestel onverkoopbaar te maken, dus niet interest ant om te stelen (al komt de boef daar later pas achter).
28-09-2018, 12:35 door Anoniem
Ik heb de overheid vorig jaar gemaild hierover, waarom ze geen echte beveiligingsadviezen geven. Waar het uiteindelijk op neer kwam: "dat is te moeilijk voor de mensen". Op mijn laatste reactie dat niemand veel wijzer wordt op die manier heb ik nooit meer iets gehoord.
28-09-2018, 13:54 door Anoniem
Bij mij op school doen we ook iets met boefproef. Wij gebruiken het advies alleen niet en doen meer met app permissies en social media, encryptie etc.
28-09-2018, 14:24 door Anoniem
Het zodanig instellen dat een vinder of dief van je apparaat deze niet kan gebruiken verandert helemaal niks aan de
diefstalkans en introduceert wel het risico dat je hem op een gegeven moment zelf niet meer kunt gebruiken of je al
je gegevens kwijt bent.
Alleen makke schapen nemen dit soort maatregelen in een soort waan dat ze daarmee de wereld van dienst zijn net
zoals ze na een cryptolocker aanval besluiten om geen losgeld te betalen en hun data vaarwel te zeggen "omdat je
door het betalen het probleem verergert". Ja leuk gepraat maar dan ben je alles kwijt en dat in ruil voor een miniscuul
kansje dat er nu misschien een boef uit de business stapt omdat het niet loont. Nee, dat werkt echt niet.
28-09-2018, 14:46 door ShaWormHa
Is deze website een 1 april grap?


Enigste wat ze laten zien is hoe je je locatie aanzet, geen bitlocker / encryptie. Geen pincodes etc. Geen aanvullende tooling om je apparaat op afstand te wipen.

Wil wel eens weten wat dit project heeft gekost :-)
28-09-2018, 15:30 door Anoniem
Door Samsonait: Is deze website een 1 april grap?


Enigste wat ze laten zien is hoe je je locatie aanzet, geen bitlocker / encryptie. Geen pincodes etc. Geen aanvullende tooling om je apparaat op afstand te wipen.

Wil wel eens weten wat dit project heeft gekost :-)
Maar blijkbaar heb jij ook totaal geen inlevingsvermogen is hoe "technisch" een gebruiker is. Bitlocker. is echt veel te complex.

Waarbij deze site voornamelijk op TELEFOONS is voorzien, en ik heb geen telefoon met bitlocker gezien.
28-09-2018, 15:50 door Anoniem
Het zodanig instellen dat een vinder of dief van je apparaat deze niet kan gebruiken verandert helemaal niks aan de
diefstalkans en introduceert wel het risico dat je hem op een gegeven moment zelf niet meer kunt gebruiken of je al
je gegevens kwijt bent.

Wel indien veel mensen dit doen, waardoor het stelen van apparatuur steeds minder interessant wordt. Indien mobiele providers standaard toestellen die gestolen zouden zijn zouden blokkeren op hun netwerken, dan zou dat bijvoorbeeld ook ontmoedigend werken.

Jij hebt liever dat een dief wel baat heeft indien hij spullen van jou steelt ?
28-09-2018, 17:17 door Anoniem
Maar wat ik niet snap: iemand met een windows laptopje volgt heel braaf deze instructie op van boefproef.nl: hij zet het vinkje van de Locatie zoeken aan.

Vervolgens wordt zijn laptop gestolen. De dief kan dan toch nog steeds bij alle data (hij haalt de hardeschijf eruit en kan alles uitlezen). Hij kan vervolgens Windows er opnieuw zetten.
Wat is dan de toegevoegde waarde? Dat is dan toch schijnveiligheid van deze campagne?
28-09-2018, 17:33 door Anoniem
Door Anoniem: Maar wat ik niet snap: iemand met een windows laptopje volgt heel braaf deze instructie op van boefproef.nl: hij zet het vinkje van de Locatie zoeken aan.

Vervolgens wordt zijn laptop gestolen. De dief kan dan toch nog steeds bij alle data (hij haalt de hardeschijf eruit en kan alles uitlezen). Hij kan vervolgens Windows er opnieuw zetten.
Wat is dan de toegevoegde waarde? Dat is dan toch schijnveiligheid van deze campagne?

Als je op de Bios een wachtwoord zet kan hij er niet zomaar bij.
28-09-2018, 18:39 door Anoniem
Door Anoniem: Maar wat ik niet snap: iemand met een windows laptopje volgt heel braaf deze instructie op van boefproef.nl: hij zet het vinkje van de Locatie zoeken aan.

Vervolgens wordt zijn laptop gestolen. De dief kan dan toch nog steeds bij alle data (hij haalt de hardeschijf eruit en kan alles uitlezen). Hij kan vervolgens Windows er opnieuw zetten.
Wat is dan de toegevoegde waarde? Dat is dan toch schijnveiligheid van deze campagne?

Zie mijn reactie op 12:35. Dit is precies wat ik de overheid heb gevraagd. Echte beveiliging/hardening achten zij te moeilijk voor het plebs. En zolang zij geen echte tips/uitleg geven, blijven de digibeten onwetend.
28-09-2018, 19:41 door Anoniem
Redirect naar: Rijksoverheid (NL) https://www.maakhetzeniettemakkelijk.nl/boefproof

Laten we deze voorlichting website eens aan een onafhankelijke security en privacy test onderwerpen?

https://privacyscore.org/

Success!
Your scan has been added to our scanning queue.

[!] The site is not using HTST preloading to prevent insecure requests.
[!] The site does not set a Content-Security-Polici (CSP) header

En nog een handvol security issues met uitroep- en vraagtekens. Jammer.

Het kon erger. Ze komen er bij "boefproof.nl" nog redelijk "goed" van af.
28-09-2018, 21:58 door Anoniem
Door Anoniem:
Door Samsonait: Is deze website een 1 april grap?


Enigste wat ze laten zien is hoe je je locatie aanzet, geen bitlocker / encryptie. Geen pincodes etc. Geen aanvullende tooling om je apparaat op afstand te wipen.

Wil wel eens weten wat dit project heeft gekost :-)
Maar blijkbaar heb jij ook totaal geen inlevingsvermogen is hoe "technisch" een gebruiker is. Bitlocker. is echt veel te complex.

Waarbij deze site voornamelijk op TELEFOONS is voorzien, en ik heb geen telefoon met bitlocker gezien.

Dit klopt dus niet. Deze site is helemaal NIET alleen voor telefoons bedoeld, maar dus ook voor Windows, Macs, enz. Blader er maar doorheen. Daarom is het heel vreemd...
28-09-2018, 22:01 door Anoniem
"Nelly" hier heeft er ook niet zo'n hoge pet van op met 11 security fouten (geen best practices), zie:
https://webhint.io/scanner/ef8ac1eb-3a80-4ea7-a5d5-63269e5aeb05

En bij een externe link vinden we...
error
(script) statistiek.rijksoverheid.nl/libs/components/jquery-placeholder/jquery.placeholder.js?cb=f7e07631e12784789b14eac5547a3002
status: (referer=statistiek.rijksoverheid.nl/)saved 5453 bytes f1d5b75fde7bda78e451d26e4fa3af5a7969578e
info: [decodingLevel=0] found JavaScript
error: undefined variable jQuery
error: undefined variable $.fn
error: line:1: SyntaxError: missing ; before statement:
error: line:1: var $.fn = 1;
error: line:1: ....^
info: [element] URL=statistiek.rijksoverheid.nl/libs/components/jquery-placeholder/undefined
info: [1] no JavaScript
file: f1d5b75fde7bda78e451d26e4fa3af5a7969578e: 5453 bytes
file: cf4b36f5e8adcf30b3bfb43d32604ed6b012daf9: 151 bytes

Opm. Je moet expliciet alle variablen weergeven uit de parent scope, die in de function scope beschikbaar moeten zijn,
info credits .jedrzej.kurylo op StackOverflow.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.