, ,

MouseJack: het vergeten risico van een draadloze muis en toetsenbord

De kans is groot dat u een draadloze muis gebruikt bij uw laptop. Doet u dat in combinatie met een USB-dongel? Dan loopt u het risico om gehackt te worden. Hoe dan? Door iemand die enkele meters verderop zit. In een treincoupé, een flexibele werkplek, een wegrestaurant. Conclusie: Wat vandaag nog een handige tool is, vormt morgen een potentieel risico. Op de hoogte blijven van ontwikkelingen in IT-security is dus essentieel.

Het hacken van een draadloze muis of toetsenbord blijkt relatief eenvoudig. De hacker neemt plaats in een (openbare) ruimte, gebruikt een tool die iedereen online kan kopen en heeft vervolgens toegang tot uw bestanden, en uw mail. Het enige wat u ervan zou kunnen merken, is dat gedurende een luttele seconde een window opent en sluit in uw scherm. Benodigde investering door de hacker: amper 30 euro.

Wat gebeurt er tijdens een ‘MouseJack’?

In dit voorbeeld is sprake van MouseJack. MouseJack bestaat uit een reeks kwetsbaarheden bij draadloze, niet-Bluetooth-toetsenborden en muizen die verbinding maken met een computer met een radiozender-ontvanger. Die zender-ontvanger (transceiver) is meestal de USB-dongel. Zodra u op het toetsenbord tikt, of de muis beweegt, worden Radio Frequency-pakketten (RF)naar de USB-dongel verzonden. De dongel luistert voortdurend naar RF-pakketten die met de muis of het toetsenbord moeten worden verzonden en waarschuwt als het ware de computer wanneer de gebruiker het toetsenbord of de muis gebruikt.

Een serie aanvallen
Toetsaanslagen op een toetsenbord zijn meestal gecodeerd (om ‘sniffing’ te voorkomen). Muisbewegingen zijn echter meestal niet versleuteld tijdens de communicatie met de USB-dongel. Daarom kan een hacker misbruik makenvan de USB-dongel om een serie aanvallen uit te voeren.

Aanvallen tot op 300 meter afstand

De meeste eenvoudige aanval is het afluisteren (‘sniffen’) van de draadloze communicatie en uw toetsaanslagen. Via afluisteren kan een hacker uw toetsaanslagen onderscheppen die naar de USB-dongel zijn verzonden. Dit lijkt erg op de manier waarop een keylogger-programma werkt. Sommige hackers zijn in staat om niet-versleutelde toetsaanslagen naar het besturingssysteem van een computer te verzenden alsof u ze eigenhandig hebt getypt. Zo’n aanval kan worden uitgevoerd tot op 300 meter afstand. Dit alles dus ​​met behulp van een radiozender-ontvanger die nog geen 30 euro kost.

Geautomatiseerd en ongemerkt

Nog veel gevaarlijker wordt het zodra een hacker zogenaamde ‘toetsaanslagen-injectie’ via deze technologie gaat toepassen. Hiermee kan de hacker snel opdrachten op afstand uitvoeren tegen een doelhost, snel voet aan de grond krijgen in het interne netwerk van een organisatie en de controle overnemen vanuit PC’s en servers. Er is geen netwerktoegang vereist, aangezien de hacker RF-signalen en niet-netwerkverkeer gebruikt.

Het gebruik van toetsaanslagen-injectie

Er bestaan ook software tools om het hacken via toetsaanslag te automatiseren. Zo’n tool is bijvoorbeeld Jackit: gebruikt door Duckyscript (een scripttaal ontwikkeld oor Hak5 voor de USB Rubber Ducky) om snel kwaadwillende activiteiten uit te voeren zonder te worden gedetecteerd. Een hacker geeft een Duckyscript-bestand op dat moet worden uitgevoerd op de doelhost, en vervolgens zoekt de tool naar kwetsbare apparaten. Zodra de doelen zijn geïdentificeerd, voert Jackit de aanval uit, gespecificeerd in het Duckyscript-bestand, tegen de geselecteerdedoelen.

Hoe u zich kunt beschermen:

Hoe voorkomt u een ‘MouseJack’? Het meest voor de handliggende antwoord is bij voorkeur geen draadloos toetsenbord en muis te gebruiken. Maar soms is het gebruik daarvan noodzakelijk. Zorg er in dat geval voor dat u alle toepasselijke updates voor de apparaten op uw computer heeft geïnstalleerd, en kies ervoor om Bluetooth te gebruiken in plaats van draadlozeradiografische USB-apparaten. En tot slot: houdt altijd top of mind dat de IT-security van uw bedrijf in orde moet zijn. Inclusief alle devices waar medewerkers gebruik van maken.

Om welke apparaten gaat het?
Belangrijk te weten is, dat de beschreven veiligheidsrisico’s onder andere bekend zijn bij de volgende apparaten:

  • Microsoft draadloos toetsenbord 800
  • Microsoft Wireless Mouse 1000
  • Microsoft All-in-One mediaklavier
  • Microsoft Sculpt ergonomische muis
  • Logitech Wireless Touch Keyboard K400r
  • Logitech Marathon M705 Mouse
  • Logitech Wave M510 Mouse
  • Logitech Wireless Gaming Mouse G700s
  • Logitech Wireless M325 Mouse
  • Logitech K750 draadloos toetsenbord
  • Logitech K320 draadloos toetsenbord
  • Dell KM636 draadloze muis en toetsenbord
  • AmazonBasics MG-0975 draadloze muis

Meer weten?

Mirato kan u adviseren en helpen bij uw Informatiebeveiliging. Meer informatie vindt u op onze website. Op de hoogte blijven? Volg ons op LinkedIn.

, ,

Is uw informatiebeveiliging op orde?

Hoe is de informatiebeveiliging binnen uw bedrijf geregeld? Veel Nederlandse bedrijven focussen op de technische kant. Oftewel: informatiebeveiliging gaat in eerste instantie over hackers, firewalls en antivirus software. Terwijl het essentieel is om breder te kijken. In dit artikel leest u over de juiste aanpak van uw informatiebeveiliging en de bijhorende training voor (IT) medewerkers.

Brede blik op informatiebeveiliging

Er bestaat een internationale norm voor informatiebeveiliging: de ISO 27000 serie. Deze norm hanteert een brede definitie voor informatiebeveiliging: namelijk die volgens het CIA Triad principe:
– Confidentiality (vertrouwelijkheid),
– Integrity (integriteit) en
– Availability (beschikbaarheid).

CIA-Trias principe

(bron: IBM)

Als een bedrijf het CIA Triad principe volgt, dan helpt dit om met een brede blik en op basis van risico’s te besluiten wat er nodig is om de informatiebeveiliging binnen het bedrijf op orde te krijgen en te houden. Sleutelwoorden zijn: Beleg, Samenhang, Maatwerk en Integreer.

1: Beleg (bij de business, niet bij IT)

Om informatiebeveiliging op de juiste manier te borgen is het belangrijk om de CISO rol (Chief Information Security Officer) bij de business onder te brengen. Laat vanuit deze rol de kaders en eisen vanuit de business bepalen en controleren. Dat zorgt ervoor dat de interne of externe IT-leveranciers vervolgens binnen deze kaders en eisen moeten werken. IT is dus niet leidend, maar volgend. De resultaten worden door de CISO gecontroleerd en aan de business gerapporteerd.

2: Samenhang

Voor een juiste invulling is samenhang tussen organisatie, processen en IT-maatregelen nodig. De basis voor informatiebeveiliging moet dus komen vanuit een brede risicoanalyse, met business perspectief. In zo’n brede analyse wordt vervolgens duidelijk welke risico’s voor de business niet acceptabel zijn en dus maatregelen (en investering) rechtvaardigen.

3: Maatwerk

Het is belangrijk om binnen uw bedrijf de taken en verantwoordelijkheden voor een goede informatiebeveiliging helder te beleggen. Neem zichtbare maatregelen die nodig zijn voor de business processen (binnen de context van het bedrijf). Houd er rekening mee dat er nooit sprake is van één oplossing: het is altijd maatwerk, passend bij uw bedrijf, op dat moment.

4: Integreer (met andere processen)

Uw informatiebeveiliging moet geïntegreerd zijn in de diverse bedrijfsprocessen. Op die manier zorgt u gegarandeerd voor de juiste aandacht voor techniek (IT), mensen (HRM) en gebouwen (Facility).

ISMS: Information Security Management System

De informatiebeveiliging richt u structureel in binnen organisatie, processen en techniek via een Information Security Management System (ISMS). Zo’n ISMS kan worden opgezet conform de ISO27001-norm. Op die manier heeft uw bedrijf de mogelijkheid om ook certificering te krijgen aan de hand van de ISO-norm. Daarmee maakt u aantoonbaar aan stakeholders zoals klanten, toezichthouders en wetgever, hoe u de informatiebeveiliging binnen uw bedrijf heeft opgetuigd.

Het uitgelezen moment voor een ISMS

De 2018-versie van ISO 27001 is deze zomer vrijgegeven. Dit is dus een uitgelezen moment om deze standaard te benutten om een toekomstvast ISMS voor uw organisatie in te richten. De ISO-norm is nu nog meer afgestemd op het gebruik van cloud diensten, om aan te sluiten op de dagelijkse praktijk anno 2018. Belangrijk is om de implementatie van een ISMS als project op te pakken binnen de organisatie. Alleen dan is de juiste verdeling van resources structureel beschikbaar, en beschik je over de besturing die nodig is.

Training ISMS voor uw eigen medewerkers

Vanuit Mirato kunnen wij u helpen met het vormgeven van een ISMS dat past bij uw bedrijf, en met het projectmatig implementeren ervan. Ook kunnen wij zorgen voor de training van uw medewerkers binnen dit kennisgebied, omdat het uiteindelijk uw eigen bedrijf moet zijn dat beschikt over kennis en kunde over informatiebeveiliging, op het niveau dat nodig is specifiek voor uw bedrijf. De training bieden we aan op vier niveaus: Introduction, Foundation, Lead Implementor, Lead Auditor. Heeft u interesse, laat dan uw reactie achter op LinkedIn of stuur ons een email en wij nemen contact met u op.

Volg Mirato Group op LinkedIn

Wilt u op de hoogte blijven van ISMS, IAM en andere IT-Security vraagstukken? Volg Mirato Group via Linkedin om op onze nieuwsitems en trainingen geattendeerd te worden.

, ,

Welke IAM-oplossing past bij mijn bedrijf?

Een aanpak voor Identity and Access Management

Herkent u dit? Nieuwe medewerkers kunnen moeizaam van start, omdat zij niet de volledige set gegevens toegekend hebben gekregen. De business kan niet vooruit, de leverancier of klant ook niet. Kosten lopen op. Ander knelpunt: organisaties hebben steeds meer identiteiten nodig voor een groeiend aantal IT diensten. Die zijn vaak niet gekoppeld en er ontstaat een ingewikkeld geheel aan usernames, wachtwoorden, tokens en andere ID- gerelateerde zaken. Hoe pak je dit aan bij de bron?

Wat houdt IAM in?

Deze voorbeelden gaan over Identity and Access Management (IAM). Op organisatieniveau wordt deze materie nog ingewikkelder, want grote aantallen gebruikers moeten dagelijks worden aangemaakt en afgevoerd: zowel medewerkers, leveranciers als klanten. IAM richt zich op het totaalplaatje: Beleid, verantwoordelijkheden, processen en hulpmiddelen om het gebruik van systemen en informatie binnen een bedrijf te faciliteren, beheren en controleren. Doel van IAM is zorgen voor efficiënte processen rondom ID-beheer. Resultaat: kosten en risico’s worden beheerd, en bedrijven voldoen aan de wet- en regelgeving zoals AVG (Algemene Verordening Gegevensbescherming).

‘Lapmiddelen’ volstaan niet meer
Het IAM speelveld was tot vrij recent vaak beperkt tot een centrale Windows Active Directory als interne ID store, waar dan losse clouddiensten via ‘lapmiddelen’ zoals ADFS aan werden gekoppeld. Met de groei van steeds meer en wisselende cloud toepassingen en het outsourcen van ook de HRM functionaliteit, is hier de afgelopen jaren echter veel in veranderd.

Cloud based is de toekomst
De trend voor de toekomst is dat de meeste IAM-oplossingen cloud based zijn; daarmee wordt het koppelen van andere cloud oplossingen op basis van templates snel en effectief. De afhankelijkheid van de interne (legacy) IT omgeving verdwijnt. Resultaat: de continuïteit kan vele malen hoger worden dan met een on premise oplossing.

Hoe pakt u IAM wél goed aan?

Steeds meer organisaties zien in dat een centrale ID-oplossing het beste werkt. Een oplossing waarin zij de diverse ID-typen (klanten, medewerkers, inhuur, leveranciers, IoT etc.) kunnen onderbrengen. Ook willen organisaties andere issues efficiënt regelen. Zoals:
– Single Sign On (1x inloggen voor alle applicaties, intern en extern);
– Snel en effectieve on- en offboarding van ID’s;
– Automatische uitgifte (provisioning) van gekoppelde applicaties.
Voor dit soort IAM business requirements zijn zowel ‘on premise’ als cloud oplossingen beschikbaar. Ook non functional requirements – zoals licentiebeheer en compliance rapportages – kunnen in zo’n oplossing worden meegenomen.

Deze aanpak werkt:

Het selecteren van een passende IAM-oplossing is vaak een uitdaging. Vanuit onze ervaring is het belangrijk is om in ieder geval deze stappen te doorlopen:

  1. Stel een business case op.
    Start met het bepalen van de noodzaak om te veranderen, denk na over de risico’s en stel een budget vast.
  2. Werk een goede set business requirements uit.
    Deze set dient dan als basis voor een RFP-traject. Daarin laten de leveranciers met een proof of concept de werkelijke fit van hun oplossing zien, in plaats van een snelle tick the box scan die later toch wat beperkingen blijkt te kennen.
  3. Voer een marktonderzoek uit naar IAM oplossingen.
    Stel een longlist op van mogelijke producten en leveranciers.
  4. Selecteer een paar opties.
    Stel vast welke leveranciers uitgenodigd worden voor een demo, vraag om een offerte en bepaal of een Proof of Concept uitgevoerd moet worden.
  5. Neem een besluit.
    Sluit het contract en bepaal de implementatie partner.

Tip: Neem de business continu mee tijdens de selectie en implementatie.

IAM is zeker niet alleen een technisch onderwerp, en raakt vele bedrijfsprocessen zoals HRM en autorisatie. Zeker als het IAM-traject ook het opnemen van HR-systemen als basis voor ID-beheer omvat, zul je als bedrijf veel processen kritisch moeten bekijken en aanpassen.

Tip: Communiceer tijdens de implementatie.

Een IAM-implementatie raakt meestal alle applicaties die in een organisatie worden gebruikt. Daardoor neemt het aantal stakeholders al snel flink toe. Blijf gedurende de implementatie met hen in gesprek en betrek ze waar mogelijk bij belangrijke besluiten.

Extra kennis door samenwerking Okta

Om altijd actuele kennis over IAM in huis te hebben, is Mirato in 2018 partner geworden van Okta. Vanuit deze samenwerking beschikken we over de kennis en kunde van Okta op het gebied van IAM. Dit betekent zeker niet dat Okta als IAM-oplossing ook altijd onze keuze zal zijn. Dit blijft volledig afhankelijk van de requirements die uw organisatie wil hanteren. Naast Okta hebben we ook ervaring met andere IAM-oplossingen, zodat we uw organisatie op basis van eigen ervaringen en best practice een onafhankelijk advies kunnen geven.

Ondersteuning nodig bij uw IAM?

Wat uw wensen ook zijn, vanuit Mirato kunnen we u op weg helpen of begeleiden bij uw IAM vraagstukken. Dat kan gelden voor alle stappen uit onze aanpak, maar ook voor ondersteuning  bij een specifieke stap. Heeft u interesse? Neem dan contact op met Leon van den Langenberg 06-53 405 502 leon@miratogroup.nl of met Wim Luursema 06-24 266 968 wim@miratogroup.nl

PANIEK!!! Het GDPR monster komt eraan…

Hoewel zoeken op Google naar “winterspelen 2018” met 2,9 miljoen hits ook een hoog resultaat geeft, geeft zoeken op “GDPR” het ongelofelijke aantal van 12,2 miljoen hits. Zeker in de laatste weken wordt iedereen gebombardeerd met allerlei artikelen, nieuwsbrieven, blogs & vlogs over de dreiging die GDPR heet. Het lijkt wel Y2K all over again… Lees meer

nieuwsbrief januari 2018

Het eerste jaar Mirato hebben we succesvol afgerond. Een jaar waar we hard hebben gewerkt om van een idee een bedrijf te maken. Een jaar waar we onze focus hebben gericht op bedrijfskundige informatiebeveiliging zonder de andere domeinen te vergeten. Verschillende klanten, werkzaam in verschillende domeinen, van verzekeraars, verpakkingsbedrijf, meubelmaker, IT-bedrijf tot bodemonderzoeker, hebben gebruik gemaakt van onze diensten. Lees meer

, ,

Beveiligd: De cursus GDPR Foundation

De inhoud is beveiligd met een wachtwoord. Vul het wachtwoord hieronder in om hem te kunnen bekijken:

,

Mirato B.V. is partner van PECB

Mirato B.V. tekent een partnerovereenkomst met PECB Netherlands

PECB Netherlands en Mirato B.V. hebben onlangs een partner overeenkomst gesloten. Voor Mirato geeft de overeenkomst met PECB Netherlands de mogelijkheid om aan haar klanten opleidingen te leveren die voldoen aan de ISO normen voor persoonlijke certificering.

Lees meer

,

Programma Management is een vak

De meeste bedrijven hebben maar eens in de 10 jaar te maken met een verandering die zo groot is dat er een bundeling van projecten ontstaat. Niet verwonderlijk dat er dan in een bedrijf zelf weinig ervaring is met de opzet en uitvoering van het programma. De ervaring die de Mirato Group heeft opgedaan helpt deze klant in de opzet en uitvoering van een programma.

Lees meer

,

Service management kon een oppepper gebruiken!

In kleine en middelgrote bedrijven worden functies vaak gecombineerd. Vanuit oogpunt van efficiency is dat zeer te begrijpen. De ontwikkeling in sommige kennisgebieden gaan dermate snel dat het moeilijk is om op alle terreinen tegelijk specialist te zijn. Op het gebied van Servicemanagement en IT Security gaan de ontwikkelingen zo snel en is de impact zo groot dat tijdelijke ondersteuning zeer welkom is.

Lees meer

,

CISO nodig?

Chief Information Security Officer meestal afgekort tot CISO is een functie waarvan het belang in steeds meer bedrijven wordt erkend. Bedrijven hebben niet altijd de omvang die een full-time inzet van een dergelijke functie rechtvaardigt. De oplossing wordt gezocht in het toekennen van taken en verantwoordelijkheden aan een ander. Zo heeft Mirato Group het opgelost.

Lees meer