Via de Microsoft Security Newsletter werd ik gewezen op de site HelloSecureWorld. Een apart vormgegeven site met allerlei zeer bruikbare informatie in de vorm van video-interviews, teksten en virtual labs. Alleen al vanwege de visuele opzet de moeite waard om eens te kijken.

Het doel van deze site: de ontwikkelgemeenschap bewust maken van mogelijkheden en noodzaak beveiliging al op codeniveau toe te passen.

Een kleine greep uit de onderwerpen die op dit moment op de site staan:

- Hashing algorithms

- Asymetric/symetric encryption

- ASP.Net site security

- SQL-injection

- Cross site scripting

- Storing keys in containers

- Imperative Security checks

- Create a Generic/Windows Principle

- Nested master pages

Op de een of andere manier blijf ik een zwak houden voor dit soort ‘hackers’ of ‘matrix’ achtige sites.

Microsoft Security Newsletter - link
HelloSecureWorld site - link

Vanmiddag vernam ik via het nieuws op de radio dat Hugo Claus vandaag op 78-jarige leeftijd is overleden. Velen kennen hem van zijn boeken (meest bekend is denk ik ‘ Het verdriet van België’, ook als mini-serie op tv geweest) of zijn kunstwerken. Tijdens mijn studie heb ik verschillende van zijn werken gelezen.

Later op de dag, ik kwam thuis en pakte de krant van vanochtend, las ik dat Arthur C. Clarke ons ook heeft verlaten. Hem kennen we in ieder geval van 2001: A Space Odyssey. Geschreven in 1958 en later in 1968 meesterlijk verfilmd door Stanley Kubrick.

Beiden hebben op mij toentertijd een enorme indruk gemaakt, al verwacht ik dat het merendeel van ons IT-ers zich met name HAL 9000 zal herinneren en niet Louis Seynaeve.

Dit soort gebeurtenissen zetten mij aan om nogmaals het werk van deze twee te bekijken en eens verder te kijken dan hun meest gangbare werken. Geloof me, het is de kleine moeite waard.

Memento mori..

Een boekverslag van Het verdriet van België - link
Hugo Claus - link
Arthur C. Clarke - link
2001: A Space Odyssey - link
HAL 9000 project - link

Regelmatig krijg ik email van mensen die een geweldige keuze hebben gemaakt in het type virusscanner. Ik weet namelijk precies welke virusscanner ze hebben omdat het onderaan hun email als signature is toegevoegd. Signatures die elke keer vermeerderen wanneer ze op een thread antwoorden.

Buiten het feit dat ik het niet mooi vind -want wat maakt dat nou uit- is het niet erg handig voor de malafide emailontvangers. Stel, ik ben een niet zo frisse jongen en ik zie dat iemand een virusscanner heeft van het type X met een update van datum drie-weken-terug. Het is dan voor mij makkelijk die persoon een bericht te sturen met een ‘grap’ die niet door zijn scanner wordt gezien. Wellicht wat ver gezocht, maar toch. Informatie die je niet wil prijsgeven denk ik.

De toegevoegde waarde voor mij als ontvanger is trouwens gering in de boodschap dat het bericht gescand is door scanner X. Wie zegt mij dat dit waar is. Ik vertrouw wel op mijn eigen scanner. Daar heb ik anderen niet voor nodig.

Goed, de boodschap is simpel. Zet die meldingen uit! Alsjeblieft. Laat mij een voorzet geven door je uit te leggen hoe je dit in AVG doet.

Dubbelklik op het AVG icoon in je tray. Het volgende scherm opent zich. Selecteer hier de E-mail Scanner en klik op properties.

In het volgende scherm klik je op ‘configure’.

In het scherm dat nu verschijnt zet je de twee vinkjes voor ‘Certify mail’ uit. Klik op Ok.

Klik weer op Ok, en sluit het AVG Control Center. Et voila. Je bent verlost van de meldingen.

Andere virusscanners hebben uiteraard andere wijzen om deze functionaliteit uit te bannen. Laat ons dit doen. Alsjeblieft.

AVG Free Anti-virus - link

Een tijd terug was er een incident op de werkvloer met betrekking tot het gestolen zijn van laptops van verschillende medewerkers. Uiteraard zullen de laptops voor hun straatwaarde zijn gestolen en niet vanwege hun content, het risico voor data-misbruik is klein. Management was toch in rep en roer omdat er nu een potentieel gevaar was dat sourcecode op straat was beland. Dit was echter niet aan de orde daar de harde schijven versleuteld waren, zo werd gezegd. Maar is dit wel zo?

Windows Vista heeft een mooie schijfencryptie ingebouwd, BitLocker genaamd. Zelf gebruik ik op mijn WinXP machine True Crypt. Zo op het eerste gezicht stel je je data hiermee veilig -niet tegen verlies uiteraard. De methode die gehanteerd wordt is het on-the-fly en- en decrypten van data middels een sleutel. Deze sleutel bevindt zich in het RAM-geheugen en daar ligt nu net het gevoelige punt.

Enkele studenten van Princeton University tonen aan dat het relatief eenvoudig is de sleutel uit het RAM geheugen te trekken. In een kort filmpje zetten zij uiteen hoe ze dit doen. Ja, je hebt wel fysieke toegang tot de machine nodig. Laat dit nu net het geval zijn bij diefstal.

Ik weet nog niet of dit een impact gaat hebben hoe ik met mijn schijfencryptie zal omgaan. Het erover nadenken of ik het moet veranderen en hoe ik dat dan zal doen is in ieder geval wel in gang gezet. Wil ik dit eigenlijk wel? Is de data op mijn machine zo belangrijk voor anderen dat zij daarom mijn laptop zouden stelen. Waarschijnlijk zoals bij de rest van ons: de data is voor mij van belang. Laat ik zorgen dat ik goede backups maak. Misschine is SkyDrive van Windows Live een optie? Nee, niet voor het echte werk.

BitLocker - link
TrueCrypt - link
Lest We Rember: Cold Boot Attacks on Encryption Keys - link
SkyDrive - link

Vaak hoor ik mensen zeggen dat zij hun notebook als het gereedschap zien van de developer. Deze opmerking wordt vaak gevolgd door iets van "goed gereedschap is het halve werk". Met dit laatste beogen ze waarschijnlijk een geldig excuus te hebben gegeven waarom ze de nieuwste, de snelste, de gaafste, de coolste, de prijzigste machine hebben gekocht.

Er is niets mis met het willen aanschaffen van een heel goed notebook. Maar geef dan wel de juiste reden op: je vindt het leuk! Prima! Doen.

Wanneer we de aannemelijke vergelijking met gereedschap wat verder uitdiepen echter, kom ik tot de conclusie dat dit niet helemaal opgaat. In het geval van gereedschap praten we over een uitontwikkeld product dat zich onderscheidt in zijn eigen kwaliteit -qua materiaal of vormgeving-. Neem een hamer. Nee, neem er twee. Eén goedkoop de ander prijziger maar kwalitatief beter. Over drie jaar is de goedkope hamer wellicht volledig verroest of misschien is de steel gebroken, terwijl je met de ander nog vrolijk verder timmert. Kijk, hier gaat de vergelijking met een notebook dus al meteen niet meer op.

Een notebook is een nog steeds evoluerend product. Een product met veranderlijke specificaties, nog niet uitontwikkeld. Zoals ik op de pagina ‘mijn config’ ook zeg: je hebt niet per se het beste van het beste nodig. Zeker wanneer je mee wil blijven draaien kan je economisch gezien beter volstaan met een model dat net niet de top is, maar je wel in staat stelt om -zeg elk jaar- een andere aan te schaffen. Reken het zelf eens uit….

Voor een ieder die dacht dat Windows CardSpace (voorheen InfoCard) weer een leuk idee van Microsoft is maar het waarschijnlijk niet gaat halen….wellicht binnenkort wel.

Google, IBM, Microsoft, VeriSign en Yahoo zitten nu samen in OpenID Foundation. Aldus een artikel op MarketWire.

Het kan natuurlijk gebeuren dat de heren die daar samen over gaan brainen alleen elkaar erkennen als een partij met de mogelijkheid tot identity provider. Uiteraard hopen we dat zij met z’n allen bepalen dat de uitwisselbaarheid aanwezig zal zijn. Eindelijk een mogelijk voor een echte single sign on.

Voor Microsoft zal Mike Jones aan tafel plaatsnemen.

Afgelopen vrijdag was het dan zover. 1 Februari 2008, afsluiten van het één en beginnen met het ander. Een goede tweeëneenhalf jaar heb ik bij Bergler ICT gewerkt en verschillende mooie klussen mogen uitvoeren. Maar nu is dan de tijd aangebroken dat ik me met echt leuke dingen mag gaan bezighouden -deed ik dat dan al niet?

De laatste paar keer dat ik omschreef wat ik ging doen bestond uit: "ik sluit me op een zolder op en ga proggen". Ik heb onder andere een paar leuke ideeën/toepassingen voor het mobiele platform die ik wil maken.

Om dit te kunnen realiseren heb ik natuurlijk wel een partner nodig die me ondersteunt in mijn ‘ventures’. Deze partner heb ik gevonden in de JNF Groep BV. Van die zolder zal dan ook gelukkig weinig komen daar zij pas een nieuw pand hebben betrokken in Veenendaal waar ook ik mij zal vestigen. De handelsnaam waaronder ik zal gaan opereren is NoNerds. De site en vormgeving is er nog niet maar zal te zijner tijd trots worden getoond.

Nieuwe uitdagingen weten mij te enthousiasmeren, ik hoop jullie ook. En als dat zo is, schroom dan niet met mij contact op te nemen, if you catch my drift.

Goed, ik was even op vakantie maar niet zo lang als dat het wel lijkt. Het kost wat moeite om weer op gang te komen. Ik wil in ieder geval afscheid nemen van mijn Limoenman-auto.  Wederom een fijne vakantie gehad ‘avec la voiture le plus confortable’. Maar nu rijdt ze ergens in Polen rond. Tja, snel verkopen via marktplaats lukt wel (slechts 15 uur en ze was verkocht).

Parting is such sweet sorrow. But the show must go on.
Weg uit het sentiment en terug naar de code.

Scott Hanselman geeft aan dat hij voor Scot Guthrie bij Microsoft gaat werken. Zelf geeft hij aan dat hij niet verwacht dat zijn stijl van bloggen zal veranderen, ik denk dat het hem wel zal gaan lukken al verwacht ik wel dat de frequentie van zijn posts zal afnemen. Succes Scott!

Robertjan Tuit, een collega en goede vriend van me, heeft zijn eigen blog geopend. Hij is sinds kort te vinden op Rob’s World . Robertjan zal het de komende tijd ook nog druk krijgen met de voorbereidingen voor de presentatie over Silverlight die hij op 28 juli in Breda zal geven bij stichting dotNEd en gehost worden door Bergler ICT.
Wellicht dat jullie Robertjan ook hebben zien spreken op het afgelopen codecamp. Als je zijn presentatie toen hebt gezien is het toch zeker de moeite waard om te gaan kijken wat hij te vertellen heeft over Silverlight. Toch net weer iets anders dan WPF.