Een aantal weken geleden werd ik gebeld met een interessante vraag: “De entropy op een productieserver wordt niet snel genoeg aangevuld, waardoor processen vertragen. Deze wachten namelijk totdat er weer voldoende entropy beschikbaar is. Is het veilig om /dev/urandom te gebruiken in plaats van /dev/random?”. Eerlijk is eerlijk, mijn eerste gedachte was: kan dit opraken dan? Ja dat kan, is eigenlijk ook heel logisch, maar ik was een dergelijk probleem nog nooit eerder tegengekomen. En daardoor was er dus ook niet eerder een aanleiding geweest om me hier wat verder in te verdiepen. De hoogste tijd dus om dat te gaan doen.  Lees meer

Tijdens het uitvoeren van een man-in-the-middle (MITM) aanval binnen een geïsoleerde Wi-Fi testomgeving, ontdekte ik dat een tweetal Android apps het beveiligingscertificaat niet verifieert tijdens het opzetten van een SSL/TLS verbinding met servers op internet. Hierdoor was het in beide gevallen mogelijk om inloggegevens te onderscheppen die (als gevolg van de aard van de apps) toegang geven tot privacygevoelige- en bedrijfsvertrouwelijke gegevens. De twee leveranciers (waarvan ik de namen niet zal noemen) zijn inmiddels op de hoogte gebracht, erkennen het probleem, en werken aan een oplossing. Lees meer

De laatste weken is er redelijk wat ophef over open WiFi netwerken en de veiligheidsissues die hieromtrent bestaan. Het is al langer bekend dat het gebruik van open WiFi netwerken niet veilig is, omdat gegevens onversleuteld worden verzonden en daardoor makkelijk zijn te onderscheppen en/of manipuleren door kwaadwillenden. Maar daar gaat deze ophef niet over; er is meer aan de hand. Veel internetgebruikers veronderstellen namelijk dat het gebruik van een versleutelde HTTPS verbinding op een open WiFi netwerk toch nog voldoende bescherming biedt tegen kwaadwillenden. En dat is dus niet waar. Onder experts is dat al langer bekend, maar doordat de drempel tot het misbruiken flink is afgenomen, is de (media) aandacht voor dit probleem toegenomen. En dat is volledig terecht. Lees meer

Eind 2010 schreef ik een artikel waarin ik stel dat Agile software ontwikkeling de kans op technologische (en/of functionele) imperfecties in software niet vergroot, maar juist kansen biedt door hier periodiek bij stil te staan. Hiermee zeg ik eigenlijk ook dat een ontwikkelmethodiek nooit verantwoordelijk kan zijn voor inhoudelijke ontwikkelkeuzes. Dit is namelijk een gedeelde verantwoordelijkheid van het ontwikkelteam en de opdrachtgever. De opdrachtgever die de uiteindelijke besluiten neemt, en het ontwikkelteam dat de opdrachtgever informeert over zaken die van belang zijn bij het prioriteren. Lees meer

Stel je wilt nieuwe kozijnen laten plaatsen en je vraagt hiervoor een offerte aan bij een partij die je via Google hebt gevonden. Vervolgens komt de verkoper bij je over de vloer en ontvang je een offerte. Dit herhaal je een aantal keren om verschillende aanbieders te vergelijken. Dan ontvang je opeens een reclamefolder via de post van een firma waar je nooit contact mee hebt gezocht. De dagen daarna heb je herhaaldelijk gemiste oproepen op je telefoon van een nummer dat je niet kent, zonder dat er een voicemail wordt ingesproken. Voor mensen die een offerte hebben aangevraagd bij de firma VN KozijnTechniek klinkt dit vast herkenbaar. Lees meer