devices on the go

t Informatiebeveiliging
in de mobiele wereld
Risicos van Mobiel werken is al lang geen hype meer. Inmiddels is het zakelijk

mobiel werken gebruik van mobiele apparatuur vrijwel volledig ingeburgerd. Toch

betekent dat niet dat de mobiele infrastructuur bij veel organisaties

veilig is. De auteur geeft een overzicht van de onderwerpen die

mobiel werken riskant kunnen maken. Daarbij komt ook aan bod

de plaats die het mobiele deel van de ICT-voorzieningen in de

architectuur en de informatiebeveiliging kan vervullen.

Willem Kossen

Mobiele apparaten Informatiebeveiliging

Bij mobiel werken denken de meeste mensen
direct aan laptops, netbooks en smartphones.
E-book readers en tabletcomputers, digitale
videorecorders en fotocameras en zelfs mobiele
datadragers als USB-sticks behoren echter ook
tot deze categorie. Het is van belang ook deze te
belichten aangezien ook daar veiligheidsproble-
men kunnen bestaan.
informatie / december 2010
Informatiebeveiliging definieer ik als het geheel
van beleid, communicatie en maatregelen gericht
op het beperken van de risicos die spelen op het
gebied van beschikbaarheid, integriteit, vertrouwe-
lijkheid en compliance omtrent informatievoorzie-
ningen en de daarin opgeslagen informatie. Voor dit
artikel beperk ik me tot de mobiele delen van de
ICT-infrastructuur, zakelijk gebruikt door mede-

Figuur 1. Boze buitenwereld versus veilige enterprise

30
Samenvatting
Met de opkomst van het nieuwe werken en de steeds krachtiger wordende mobiele
computers en andere datadragers nemen de veiligheidsrisicos toe. Daardoor
neemt de noodzaak om adequate maatregelen te nemen toe. Dit hoeven niet per
se technische maatregelen te zijn, oplossingen in de procedurele sfeer zijn vaak
even effectief, en soms veel efficinter. Belangrijk is dat men zich bewust is van de
risicos.
beleid & maatregelen
omgeving
applicaties
netwerk
besturingssysteem
gegevens
fysiek
werkers van organisaties. Informatiebeveiliging
gaat over alle lagen van de mobiele architectuur:
de apparaten zelf en de toegang daartoe, de
netwerkfuncties en uitwisseling van gegevens, de
opslagfunctie en de applicaties die erop draaien.
Een volledig overzicht van alle mogelijke risicos is
niet te geven. Dat zou ook niet passen binnen dit
artikel. Toch zijn diverse interessante voorbeelden
te noemen. De hoop is dat deze u aan het denken
zetten waardoor u andere risicos ook gaat zien.
Het is niet altijd nodig of zinvol de risicos met
technische maatregelen te bestrijden. Oplos-
singen in de procedurele sfeer zijn vaak even
effectief, en soms veel efficinter. Bewustwording
is nodig, zowel bij de eindgebruiker als de ICT-
afdeling.
Buiten de muren
Een van de redenen dat mobiele apparaten meer
risico vormen en ondervinden wat betreft de vei-
ligheid is dat ze buiten de muren van het (relatief)
veilige gebouw worden gebruikt. Buiten zijn geen
firewalls, intrusion-preventionsystemen, reverse
proxys, contentfilters en alle andere denkbare
voorzieningen. Daarnaast wijken de platformen
vaak af van de organisatiestandaarden en kunnen
ze daardoor niet worden beheerd en beveiligd
met beschikbare voorzieningen. Nog een reden
is dat de platformen in essentie niet bedoeld zijn
als veilige communicatiemiddelen en dragers
van bedrijfskritische en vertrouwelijke gegevens.
Dit artikel zal dat helder en indringend duidelijk
maken.
;)
:(
Draadloos verkeer
Vrijwel alle mobiele apparaten ondersteunen een
of meer vormen van draadloze gegevensuitwis-
seling. Het meest beschikbaar zijn Bluetooth,
mobiele-telefonienetwerken en wifi. Hieraan
kleven specifieke risicos. Kan het apparaat via
de draadloze technologie benaderd worden van
buitenaf? Bij Bluetooth zijn al problemen geweest
bij het krijgen van toegang tot het apparaat langs
deze weg. Een eenvoudige Google-zoekopdracht
naar Bluetooth+hack levert diverse resultaten
op en niet alle apparaten zijn hier afdoende tegen
beveiligd. Bij wifi en mobiele netwerken treedt dit
probleem minder op omdat de apparaten meestal
geen diensten aanbieden aan het netwerk. Toch
bestaat wel degelijk de mogelijkheid dat via deze
informatie / december 2010
netwerken kwaadaardige code wordt binnenge-
haald.
Verder is het in veel gevallen relatief eenvou-
dig de verstuurde gegevens te onderscheppen.
Zeker voor zakelijke communicatie is het gebruik
van encryptie daarom vereist. Het opzetten van
VPN-verbindingen of het toepassen van SSL
en TLS (HTTPS, POP3S, IMAPS enzovoort) is
31
 devices on the go
t gen om gegevens worden uitgewisseld waardoor
onontbeerlijk. De ondersteuning hiervoor verschilt
van apparaat tot apparaat. Wel zullen de meeste
moderne apparaten hiervoor de voorzieningen
in huis hebben of kunnen deze door middel van
applicaties worden toegevoegd. Zo is het mogelijk
om bijvoorbeeld OpenVPN te installeren op een
Windows Mobile-telefoon en zit in de iPhone
standaard ondersteuning voor IPSec. Helaas is het
niet altijd mogelijk de bijbehorende sleutels veilig
op te slaan binnen het apparaat.
Een specifiek aspect van draadloos verkeer is
de financile kant van de zaak. Telefonie maar
ook dataverbindingen zijn over het algemeen
niet goedkoop. Misbruik van die verbindingen is
daarmee direct een financieel risico. Een deel van
de maatregelen zou dan ook gericht moeten zijn op
het beheersen van deze kosten.
Waar staan de data?
Als organisatie wil je graag weten waar de zakelijke
gegevens blijven. In de mobiele wereld is dat niet
altijd gemakkelijk. Gegevens kunnen zich in het
eigen datacenter, op werkstations en op mobiele
apparaten bevinden, maar ook bij allerlei cloud-
diensten. Wil je dat? Een voorbeeld:
De laatste tijd is er rumoer geweest rondom het
informatie / december 2010
BlackBerry-platform. Diverse landen hebben ruzie
gemaakt met RIM (de fabrikant van BlackBerry)
over toegang tot de encryptiesleutels (India) of
hebben bezwaar gemaakt tegen de opslag van
gegevens bij RIM in het datacenter in Canada
(Dubai). Het is namelijk niet ondenkbaar dat
kwaadwillenden bij RIM inzage krijgen in gege-
vens van de klant of dat achter de rug van regerin-
32
de veiligheid van de staat in gevaar komt. Om de
kritiek te pareren heeft RIM uiteindelijk besloten
in zowel Dubai als India lokale servers te plaatsen.
De RIM-oplossing is op zich niet uniek. Ook als je
clouddiensten afneemt voor bijvoorbeeld je group-
wareplatform, loop je een vergelijkbaar risico. Met
de S3-opslagvoorziening van Amazon.com worden
je data ergens op de wereld opgeslagen. Je kunt
nog kiezen in welk werelddeel je data staan, maar
erg fijnmazig is die keuze niet. Hetzelfde geldt bij
het outsourcen van services. Het verschil is meest-
al wel dat je dan zaken doet met een lokale partij
waar je mogelijk juridisch meer grip op hebt (ook
al is dat geen garantie en ook geen preventie).
Cloud
Werken in de cloud is niet per definitie een
mobiel onderwerp. Veel mobiele toepassingen
zijn echter wel per definitie cloudtoepassingen.
Cloud beschouw ik hier in de ruimste definitie:
functionaliteit en/of gegevensopslag bij derden.
Er kan onderscheid worden gemaakt tussen
clouddiensten die de organisatie bewust inkoopt
(bijvoorbeeld een groupware- of documentmana
gementoplossing) en breed beschikbare inter-
netdiensten. In het eerste geval is het risico op
misbruik aan de kant van de cloudleverancier door
gecompromitteerde mobiele clients van belang.
Dit risico kan worden verminderd door bijvoor-
beeld het inzetten van multifactorauthenticatie en
soortgelijke maatregelen. In het tweede geval zijn
de risicos mogelijk nog groter. Neem bijvoorbeeld
het gebruik van Dropbox.com voor het synchroni-
seren van bestanden tussen verschillende internet-
devices. Dit leidt tot het verzenden van mogelijk
vertrouwelijke gegevens over internet (gelukkig
wel via HTTPS) en tot het beschikbaar maken van
die gegevens op onvertrouwde systemen. Handig,
maar het is de vraag of dit voor een organisatie
wenselijk is. Er zijn legio clouddiensten met meer
en minder professionele technologie en meer en
minder veiligheidsvoorzieningen. Wat is uw beleid
voor het gebruik van dergelijke diensten?
Dataverlies
Het is heel gemakkelijk een USB-stick te verlie-
zen. Net zo gemakkelijk is het om je telefoon op
60 graden te wassen of je e-book reader van het
balkon te laten vallen. Zelfs als de gegevens niet in
verkeerde handen vallen, kunnen ze verdwijnen.
En niet altijd is een back-up vanzelfsprekend. Voor
groupwaretoepassingen (mail, agenda, takenlijst) is
dit meestal geregeld vanwege het gecentraliseerde
karakter. Voor losse bestanden geldt dit meestal
niet. Er zijn allerlei (vaak cloud)diensten die kun-
nen helpen, maar het aantal bedrijven dat deze
oplossingen echt gebruikt, is beperkt. Door de
heterogeniteit van apparaten wordt dit nog extra
bemoeilijkt en voor apparaten die geen connectivi-
teit hebben (zoals USB-sticks en cameras), is het
onmogelijk dit te automatiseren. Dit betekent dat
je als organisatie (deels) afhankelijk bent van de
discipline van de medewerker.
Datadragers
Hoe ruim of smal je de definitie van mobiele appa-
raten ook neemt, het gaat vrijwel altijd om een
datadrager. Met iedere datadrager loop je het risico
dat de opgeslagen data in verkeerde handen vallen.
Dit gold natuurlijk al in de tijd van de floppydisk.
Door de enorme omvang die datadragers tegen-
woordig hebben, is de kans wel groter dat gelijk
vl data openbaar worden.
Grappend zei Dr. Andrew S. Tanenbaum ooit:
Onderschat niet de bandbreedte van een
vrachtwagen vol tapes. Deze spreuk gaat met de
terabyte-USB-disk van minder dan 100 euro eens
te meer op. Vaak wordt daarbij vergeten dat ook
een goedkope fotocamera of mp3-speler gigabytes
aan data kan vervoeren. Ook heeft iedere telefoon
tegenwoordig wel een sleuf voor een micro-SD-
kaart. Voor alle datadragers geldt dat je ze alleen
zou moeten gebruiken voor data waarvan je het
niet erg zou vinden als deze integraal op de voor-
pagina van De Telegraaf zouden worden afgedrukt.
Wil je dat liever niet, versleutel de data dan. In de
praktijk is dit vaak echter niet eens mogelijk, laat
staan vanzelfsprekend.
Een van de oorzaken ligt in het gegeven dat
mobiele apparaten en andere datadragers vrijwel
altijd personal devices zijn. Het concept user is verliesrisico heeft als de onbeveiligde USB-stick,
onbekend. Hierdoor zijn er geen gebruikersrech-
ten gekoppeld aan gegevens, bijvoorbeeld door
het inzetten van ACLs (Access Control Lists).
Toegang tot het apparaat betekent toegang tot alle
data, voor iedereen
Versleuteling zou een oplossing kunnen bieden
en hiervoor bestaan zeker in de wereld van
smartphones en laptops uitgebreide mogelijk-
heden. Aan sommige van die oplossingen kleven
onaantrekkelijke risicos. Met name het sleutel/
wachtwoord-beheer is een probleem bij lokaal
genstalleerde oplossingen. De centraal beheerde
oplossingen daarentegen zijn vaak prijzig en vragen
ervaren beheerders. Dit vereist dat een organisatie
hierover goed nadenkt en hiervoor planmatig aan
de gang gaat.
Firmware
In tegenstelling tot pcs en servers, laptops
4#
en netbooks zijn de meeste mobiele appa-
6
raten voorzien van een besturingssysteem
en essentile applicaties in de vorm van
firmware. Dit betekent enerzijds dat een
belangrijk deel van de software niet stan-
daard beschrijfbaar (en wijzigbaar) is (en
dat is een veiligheidsvoordeel), maar ook
dat het lastiger is de software te vernieuwen. Het
updaten van de firmware van een mobiel apparaat
doet een eindgebruiker niet regelmatig. Deels
omdat het enige technische kennis veronderstelt,
en deels omdat het mis kan gaan, en dan heb je
enkel nog een elegant soort baksteen op je bureau
liggen. Toch is het een aanzienlijk risico wanneer
oude software intensief gebruikt wordt, juist in
inherent onveilige omgevingen zoals internet. Het
regelmatig updaten van de software op het mobie-
le apparaat zou een standaardonderdeel moeten
zijn van het beheer van deze apparaten.
De e-book reader als zakelijk
apparaat
Het lezen van zakelijke documenten op de e-book
reader is een voor de hand liggend gebruik van een
dergelijk apparaat. Vrijwel alle readers ondersteu-
nen het PDF-formaat en hebben mogelijkheden
om via een draadloos netwerk of via geheugen-
kaartjes documenten te tonen. Er zijn echter maar
weinig readers die enige vorm van toegangsbevei-
liging hebben. Dit betekent dat iedereen die het
apparaat oppakt en aanzet, er toegang toe heeft.
En dit geldt nog voor veel meer apparaten.
Ook is ondersteuning van encryptie in de opslag
van de gegevens vrijwel nooit aanwezig. Dit bete-
kent dat de e-book reader niet alleen hetzelfde
het apparaat biedt ook de mogelijkheid om direct
toegang te krijgen tot de gegevens, inclusief even-
tuele annotaties die de gebruiker heeft toegevoegd.
Bovendien is er geen enkele vorm van logging
zodat niet achteraf is vast te stellen wanneer er
door wie toegang is verkregen tot welke gegevens.
Voor smartphones zijn er oplossingen om gestolen
apparaten op afstand uit te schakelen of schoon te
informatie / december 2010
poetsen. Voor e-book readers ben ik die nog niet
tegengekomen.
De reden voor de bovenstaande beperkingen is
waarschijnlijk dat e-book readers toch vooral zijn
ontworpen voor recreatief gebruik door consu-
menten en niet voor zakelijk gebruik door profes-
sionals. Dat hier tevens een gat in de markt ligt,
lijkt duidelijk.
33
 devices on the go
t Veilig (?) e-mailen op de
iPad
De iPad (en ook de iPhone en iPod) is in deze een
bijzonder apparaat. De basis waarop de Apple-
software draait, is voorzien van ondersteuning voor
diverse voorzieningen voor veiligheid (BSD Unix-
variant). Standaard is weinig daarvan geactiveerd.
Het is evenmin gemakkelijk te activeren aangezien
veel van de onderliggende mogelijkheden door de
gebruikersinterface worden afgeschermd. Interes-
sant is dat Apple tracht kwaadaardige software
buiten de deur te houden door zijn iTunes App
Store. Hier vindt controle plaats op de applicaties
die beschikbaar komen. Het is vrij eenvoudig deze
beperking te omzeilen (door het apparaat te jail-
breaken). Ook de sterke internetfocus helpt niet
mee om het apparaat veiliger te maken. Er wordt
op internet dan ook sterk gediscussieerd over de
veiligheid van dit platform en de geschiktheid voor
zakelijke toepassingen (zie bijvoorbeeld Hamblen,
2010). Op internet wordt zelfs gesproken over
de iLeak. Overigens geldt dit evenzeer voor de
diverse andere platformen zoals Windows Mobile
en Android.
Apps
Sowieso zou je het installeren van applicaties door
de eindgebruiker willen beperken. Iedere extra
functionaliteit is immers een mogelijkheid tot
misbruik. Daarbij is de huidige generatie mobiele
apparaten te kwalificeren als echte internetde-
vices. Veel applicaties zijn geneigd sporen op
internet achter te laten en het is (te) gemakkelijk
gegevens op internet te publiceren, ook als dat
vanuit bedrijfsvoeringsoverwegingen onaantrek-
kelijk is.
Dit leidt nu al tot de opkomst van allerlei kwaad-
aardige software. Deels zullen deze als interessan-
te apps gecamoufleerd zijn, deels komen ze vanuit
de internetdiensten die worden gebruikt of maken
informatie / december 2010
ze misbruik van kwetsbaarheden in applicaties.
Een recent voorbeeld van een kwaadaardige
applicatie is een aangepaste versie van het voor
Windows Mobile bedoelde spelletje 3D Anti-
Terrorist. Dit volledig functionerende spel belt
stiekem maandelijks enkele dure internationale
nummers, wat leidt tot verhoogde telefoonkosten
(Prince, 2010).
34
smartphone
E-mail is waarschijnlijk de meest gebruikte
mobiele toepassing op smartphones. Veel mobiele
software loopt echter achter bij het inzetten van
veilige methoden voor e-mailen. Zo is lang niet
iedere smartphone in staat om PKI-certificaten of
PGP (Pretty Good Privacy) te ondersteunen. Ook
is het niet altijd mogelijk om SSL en TLS in te
zetten voor het beveiligen van POP3-, IMAP- en
SMTP-verkeer en/of dit op afwijkende poorten te
doen. Ook lokale spamfiltering is meestal afwezig.
Er zijn mobiele virusscanners, maar niet voor ieder
platform en niet voor ieder mailprogramma. Bij de
keuze voor een smartphone voor zakelijk gebruik
zouden dit wel criteria moeten zijn in de selectie.
Toegangsbeveiliging van de mobiele
telefoon
Toegang tot een telefoontoestel dat uitstaat vereist
een pincode (mits ingesteld) en toegang tot de
simkaart vereist ook een pincode (mits ingesteld).
Veelal is er daarnaast een toetsenblokkering
waardoor niet per ongeluk kan worden gebeld
vanuit de broekzak. Soms is ook dat een code,
meestal niet. Soms is het alleen een bepaalde
veeg over het scherm. En dat betekent dat wan-
neer het apparaat is ingeschakeld, de toegang niet
is afgeschermd. Vreemd, want meestal zul je niet
eerst even je telefoon uitschakelen voordat je hem
verliest.
Bovendien, wanneer je je buiten het bedrijf
begeeft, bijvoorbeeld in het openbaar vervoer, is
een code snel afgekeken (en dat geldt ook voor die
bepaalde veeg). Dat wordt nog versterkt doordat
het niet altijd zo gemakkelijk is deze snel in te
voeren. Toestellen met touchscreen zijn hierbij
berucht. Het is vrijwel altijd tijdrovend een pin-
code in te voeren en bovendien helpt het apparaat
de meekijker door de toetsen die worden aange-
tikt extra te laten oplichten, of door de ingevoerde
gegevens kort leesbaar weer te geven.
Single-factorauthenticatie
In enterprise-infrastructuren is een scala van
maatregelen gemplementeerd om ongeautori-
seerde toegang te voorkomen. Multifactorauthen-
ticatie is daarbij redelijk gebruikelijk. Dit betekent
dat je zowel iets moet hebben (een pasje, USB-
token) als iets moet weten (username, pincode,
password). Soms wordt zelfs biometrie ingezet. Bij
mobiele apparaten is dit echter zelden het geval en
is dus de veiligheid beduidend minder.
De telefoon als extra factor in de
veiligheid
Niet alles is negatief als het gaat om veiligheid in
de mobiele wereld. Aardig is bijvoorbeeld dat je de
mobiele apparaten ook als toevoeging kunt inzet-
ten op de beveiliging van de infrastructuur en de
applicaties die daarop draaien. Heel bekend is het
gebruik van een sms-code. Voor bijvoorbeeld inter-
netbankieren wordt hier veel gebruik van gemaakt,
en de sms-code is ook de oplossing die gekozen is
voor het verzwaarde niveau van authenticeren bij
DigiD. Het idee is dat je op deze manier een factor
toevoegt aan de authenticatie. Er is veel discussie
gaande over de kwaliteit van deze keuze. Wie heeft
er toegang tot de mobiele nummers in het achter-
liggende systeem? En hoe gemakkelijk is het de
codes te onderscheppen? Dit is daardoor niet de
sterkste toevoeging, maar het is wel degelijk een
interessante verbetering van de single-factortoe-
gang die nog steeds te veel wordt gebruikt.
Ook is het mogelijk om op het mobiele apparaat
software te installeren die werkt als OTP (One
Time Password)-generator. Vrijwel alle leveran-
ciers van identitymanagementproducten hebben
wel zon soft-token in de aanbieding. Sommige
kun je ook gratis gebruiken. Er zijn zelfs open-
sourceoplossingen (zie bijvoorbeeld http://motp.
sourceforge.net). Als het echter zo eenvoudig is
toegang te krijgen tot het mobiele apparaat, is het
eveneens zeer eenvoudig om toegang te krijgen tot
deze hulpmiddelen. Daarom blijft het van belang
naast de heb-factor ook een weet-factor te han- certificaten;
teren bij toegang. (En dat iedereen zijn password
verklapt wanneer de dreiging groot genoeg is, blijft
natuurlijk een gegeven...)
(Enterprise-)securityoplossingen
voor mobiele platformen
Diverse leveranciers hebben oplossingen voor het
beveiligen van het mobiele deel van het ICT-land-
schap. Het betreft specifieke oplossingen, maar
ook bredere producten of suites. Een volledige
beveiligingsoplossing voor mobiele platformen zou
minimaal de volgende functies moeten hebben:
automatische updates van de gebruikte firm- en
software;
centraal beheerde lokale firewall, realtime anti-
virus- en antispywaresoftware;
gecentraliseerd beheer- en controlesysteem voor
de ICT-afdeling;
antidiefstalfuncties; hiervoor bestaan allerlei
oplossingen, zoals:
externe vergrendeling door middel van bijvoor-
beeld een speciaal sms-bericht;
herkenning van wisseling van simkaart met als
gevolg vergrendeling;
remote schonen zodat alle gegevens op de tele-
foon gewist worden;
automatisch op afstand doorgeven van de locatie
van het apparaat op basis van gps of telefoon
palenidentifiers;
ondersteuning voor verschillende platformen
is wenselijk (omdat de directeur toch een ander
toestel kiest dan de bedrijfsstandaard);
encryptiemogelijkheden voor gegevens en net-
werktransport daarvan;
centraal beheer van de encryptie en van sleutels/
centraal beheer van de configuratie van het
mobiele apparaat (afdwingen van instellingen).
Soms heeft een organisatie al meer in huis dan
men denkt. Zo zijn Windows Mobile-devices al
gedeeltelijk met behulp van Active Directory te
beveiligen. Wanneer echter het mobiele landschap
divers is, wordt het al gauw lastig. Een bijkomend
probleem is dat de scope van de oplossing die men
intern gebruikt, vaak begrenst is door de muren.
Beheer aan de buitenkant van de firewall is niet
gebruikelijk. Daarnaast zijn er vaak flinke licen-
tiekosten gemoeid met het verdubbelen van het
aantal beheerde clients.
informatie / december 2010
De keuze voor en implementatie van een beheer-
systeem voor het mobiele ICT-park is een project
en moet ook als zodanig worden benaderd. Het
kost geld en tijd en leidt tot aanpassing van de
gebruikerservaring. Belangrijk om te doen, niet
gemakkelijk. Het moeilijkste is waarschijnlijk
bepalen wat er nu echt nodig is en waarom, maar
daar moet je wel beginnen.
35
 devices on the go
t
Bewustzijn ten aanzien van de
risicos van mobiel werken is harder
nodig dan ooit
Conclusies
Kinderschoenen. Dat is in de meeste gevallen het
huidige niveau. Er is nog veel missiewerk nodig
om organisaties te leren veilig met het mobiele
deel van hun infrastructuur om te gaan. Met de
opkomst van het nieuwe werken en de steeds
krachtiger wordende mobiele computers en andere
datadragers nemen de risicos toe en datzelfde
geldt voor de noodzaak adequate maatregelen te
nemen. Veel van die maatregelen zullen niet per
definitie populair zijn bij de gebruikers vanwege de
beperking die ze impliceren.
In de praktijk zijn de maatregelen vooralsnog ad
hoc, eenzijdig, onsamenhangend en best-effort.
Dat kan beter, maar is niet simpel. Het vereist een
gedegen plan en een visie, en beleid.
Het is niet denkbaar noch wenselijk om de mobie-
le revolutie tegen te gaan, maar bewustzijn ten
aanzien van de risicos is harder nodig dan ooit.
informatie / december 2010
36
Literatuur
Hamblen, M. (2010). iPad security for the enterprise still sub-
ject to debate. Computerworld, 7 april 2010, www.computer
world.com/s/article/9174900/iPad_security_for_the_enter-
prise_still_subject_to_debate.
Prince, B. (2010). Malware Hidden in Windows Mobile
Applications. eWeek.com, 7 juni 2010, www.eweek.com/c/a/
Security/Malware-Hidden-in-Windows-Mobile-Applications-
424076.
Wikipedia (2010). Security token, http://en.wikipedia.org/wiki/
Security_token.
Wilson, J. (2007). Understanding the Windows Mobile Security
Model. Microsoft Technet, 10 januari 2007, http://technet.
microsoft.com/en-us/library/cc512651.aspx.
Links
http://bluetoothhack.nl (voorbeeld van hacktool voor Bluetooth)
http://motp.sourceforge.net (open-source One Time Password-
oplossing)
http://na.blackberry.com/eng/support/ (knowledgebase van
Research In Motion (RIM)).
http://pip.verisignlabs.com (veiligheidsplatform voor OpenID
met gratis Soft-Token OTP)
https:// www.dropbox.com (clouddienst voor synchroniseren van
bestanden tussen verschillende computers en andere devices)
Ir. Willem J. Kossen
is ICT-architect en ICT-adviseur bij M&I/Partners. E-mail:
willem.kossen@mxi.nl.