Categoriearchief: Hacking

Wordt iedere dag gehackt-dag?

Vorige maand was het ineens stil op Facebook en Twitter. Internetbedrijf Ziggo had last van een grootschalige aanval op haar servers waardoor anderhalf miljoen Nederlanders zich ineens zonder social media, Netflix en Youtube moest vermaken. Aanvallen op internet-aanbieders zijn overigens niet uniek. Sterker nog, hacks komen tegenwoordig zo vaak voor, dat de verkoop van gezelschapsspellen weer in de lift zit. Toeval? Ik sluit niets uit.

Foto: @thekillingbean

“De wereldwijde toename van hacks is eenvoudig te verklaren”, zegt Kevin Morssink, beveiligingsconsultant bij E11EVEN. Kevin volgt alles rondom cyber security op de voet en onderzoekt organisaties, systemen en netwerken op beveiligingsfouten die kwaadwillende hackers zouden kunnen misbruiken. “Omdat we steeds meer persoonlijke gegevens toevertrouwen aan steeds meer systemen, wordt het automatisch interessanter om die systemen te hacken.”

Je geld of je server

Gegevens die zijn buitgemaakt, worden vaak gebruikt om bij andere systemen in te breken. Soms dwingen hackers losgeld af in ruil voor buitgemaakte bestanden of voor het beëindigen van een aanval. Morssink: “Het probleem is groter dan het lijkt. Zolang bedrijven de hackers afkopen merk je er weinig van. Pas wanneer hackers hun zin niet krijgen, horen we daarover in de media.”

Waarom gedupeerde bedrijven hackers betalen? Omdat het uitlekken van persoonlijke informatie grote gevolgen kan hebben. Recent kwam de Canadese datingsite Ashley Madison wereldwijd in het nieuws omdat hackers informatie van gebruikers openbaar dreigden te maken. Voor veel gebruikers van de datingsite – die buitenechtelijke relaties promoot – was dat behoorlijk schrikken. Niet lang daarna publiceerden hackers bovendien broncode en vertrouwelijke e-mails van de CEO waaruit bleek dat de site haar gebruikers op grote schaal beloog en bedroog. Dan ben je wel zo’n beetje klaar, als datingsite.

Huur ethical hackers in

“Bedrijven zoals Facebook en Google doen het vaak anders. Die proberen hackers liever een stapje voor te zijn”, vertelt Morssink. “Zij moedigen hackers en deskundigen aan om hun beveiligingsfouten op te sporen en belonen ze daar royaal voor. Dat werkt. Ook investeren zij in het verbeteren van standaarden en programmeertalen. Dat maakt hun eigen systemen veiliger en helpt ontwikkelaars om in de toekomst minder kwetsbare toepassingen te maken. Uiteindelijk profiteert iedereen daarvan.”

“Er zijn ook organisaties die alle bekende fouten registreren in een centrale database. Die database gebruikt E11EVEN ook om bedrijven door te lichten op mogelijke gevaren. Het is wel belangrijk dat problemen zijn opgelost voordat ze worden gepubliceerd. Anders creëer je juist een naslagwerk dat hackers haarfijn uitlegt waar ze het beste kunnen beginnen. Dat gebeurt soms ook.”

“12345”

Particulieren zijn steeds vaker doelwit van hackers. Met elders buitgemaakte informatie komen hackers vaak ver. De meeste gebruikers hebben namelijk overal hetzelfde wachtwoord. De meeste wachtwoorden laten zich bovendien makkelijk raden. “Hackers kijken meestal eerst rustig rond om te beoordelen of iemand een interessant doelwit is. Ik sprak laatst iemand waarbij ze op afstand zijn router, telefoon en zelfs televisie onklaar hadden gemaakt. In de tussentijd is zijn rekening geleegd”, aldus Morssink, “De professionaliteit en vastberadenheid die daaruit blijkt, is zorgwekkend”.

Morssink vertelt dat menselijke fouten vaak een rol spelen bij hacks: “Veel organisaties maken er een potje van. Geregeld blijkt dat iemand een simkaart of pincode van iemand anders kan verkrijgen door een helpdeskmedewerker te manipuleren. Dan heb je dus echt een probleem. Bij banken valt ook veel te verbeteren. Wanneer een klant ineens midden in de nacht op internetbankieren het daglimiet verhoogt of ongebruikelijk hoge bedragen gaat overboeken, dan moet toch ergens een lampje gaan branden?

Iedere dag gehackt-dag? Eet smakelijk!

Is er dan niets meer veilig? Zijn spaarcenten alleen veilig in een ouwe sok? Heus niet. Jezelf beveiligen gaat echter niet vanzelf. Meestal moet je gemak opofferen om minder kwetsbaar te zijn. Is het echt nodig om via internetbankieren bij je spaarrekening te komen? Is het zoveel werk om wachtwoorden wachtzinnen te beheren in een kluis? Moet je per se op een bijlage klikken als de mail eigenlijk niet voor jou bestemd kan zijn? Is het strafbaar om beleefd te weigeren wanneer iemand van een ‘helpdesk’ om jouw wachtwoord vraagt? Volgens mij niet. Begin dus bij jezelf.

Een blog van intressant.nl, een initiatief van internetbureau TRES.

De zin van een wachtzin, het nieuwe wachtwoord

sleutel

Nieuwe ICT oplossingen ondersteunen de mens! Ze maken werkzaamheden makkelijker, goedkoper en efficiënter. Veel van deze oplossingen werken volledig of gedeeltelijk online. Dat geeft extra mogelijkheden maar ook risico’s. Is uw digitale identiteit eigenlijk wel veilig?

Het veilig omgaan met uw digitale identiteit is belangrijk omdat het steeds vaker voorkomt dat cybercriminelen deze misbruiken. Cybercriminaliteit groeit exponentieel, de invloed van cybercriminelen en de gevolgen van cyberincidenten worden steeds groter. Nieuws over het stelen van wachtwoorden bereikt ons bijna dagelijks. Daarom is het goed ons hiervan bewust te zijn en ICT-beveiligingsmaatregelen te treffen.  Zo wordt de kans lager om slachtoffer te worden van cybercriminaliteit. U wilt immers als organisatie en verantwoordelijke voor privacygevoelige gegevens niet dat deze op straat belanden, of erger nog, worden misbruikt.

Gelukkig worden gebruikers steeds vaker gedwongen om sterke wachtwoorden te hanteren. Alleen het onthouden van verschillende sterke wachtwoorden is vaak vervelend, moeilijk en tijdrovend. Dat kan makkelijker en veiliger!

Wat kunt u doen om wachtwoorden op een veilig manier te beheren zonder onnodig ingewikkelde processen?

wachtwoord

Een sterk wachtwoord is uniek, lang en bestaat uit cijfers, letters en andere tekens. Dat maakt het voor cybercriminelen moeilijker om het wachtwoord te ontsluiten. Als één van uw unieke wachtwoorden toch uitlekt, door bijvoorbeeld een aanval van cybercriminelen bij een organisatie waar u online-diensten van afneemt, dan heeft dit geen gevolgen voor de toegangsbeveiliging van online-diensten die u afneemt bij andere partijen. U gebruikt immers per dienst een uniek wachtwoord. Maar hoe onthoudt u nu voor al uw online-diensten deze unieke wachtwoorden?

Gebruik per online-dienst één uniek wachtwoord!

De oplossing voor het gebruik van unieke wachtwoorden is tweeledig.

Ten eerste zien wij een ontwikkeling dat wachtwoorden worden gegenereerd en opgeslagen in een zogenaamde wachtwoordkluis, ook wel wachtwoordmanager genoemd. Een wachtwoordkluis, zoals KeePass, is een kluis waarin uw unieke wachtwoorden versleuteld worden opgeslagen. Uw nieuwe wachtwoord is de “passphrase” oftewel wachtzin! Uw wachtwoordkluis beveiligt u met één sterke wachtzin. Uw wachtzin is strikt persoonlijk, dit wordt de sleutel van uw persoonlijke wachtwoordkluis. In de wachtwoordkluis kunt u voor elke omgeving een uniek, sterk wachtwoord genereren en opslaan.

uniek-wachtwoord

De wachtwoordkluis faciliteert een overzichtelijke categorisering van uw inloggegevens per digitale omgeving zoals: webwinkels, social media, e-mail, fora, internetbankieren, DigiD et cetera. Ook is het mogelijk met behulp van de wachtwoordkluis sterke wachtwoorden te genereren. Per dienst kunt u op deze wijze een nieuw, uniek en sterk wachtwoord opslaan. Hoe moeilijker hoe beter, u hoeft het wachtwoord immers niet te onthouden. Wanneer u het wachtwoord voor een specifieke omgeving nodig heeft, opent u de wachtwoordkluis en ‘kopieert en plakt’ u het betreffende wachtwoord naar de online-dienst. Vanaf nu hoeft u maar één sterke wachtzin te onthouden, namelijk die van uw wachtwoordkluis. U gebruikt nu voor elke dienst een uniek wachtwoord.

Two-factor authenticatie in combinatie met een wachtzin

Naast het gebruik van een wachtzin en een wachtwoordkluis zien we ook een andere ontwikkeling op het gebied van ICT-beveiliging van online-diensten: two-factor authenticatie. Two-factor authenticatie betekent dat authenticatie door twee factoren wordt gerealiseerd. Bijvoorbeeld iets wat je weet en iets wat je hebt. Veel diensten zoals Gmail, Dropbox en Facebook bieden deze mogelijkheid gratis aan. Two-factor authenticatie maakt hierbij gebruik van one-time passwords, in jargon vaak aangeduid als OTP. Een one-time password is bijvoorbeeld een automatisch gegenereerde code die na een aantal seconden verloopt. Een voorbeeld van een toepassing die het gebruik van one-time passwords faciliteert is Google Authenticator. One-time passwords kunnen ook worden verstuurd per SMS.

Door het gebruik van two-factor authenticatie met one-time passwords blijft uw digitale identiteit veilig wanneer een van uw unieke wachtwoorden uitlekt. Immers uw toegangsbeveiliging vereist naast het unieke wachtwoord tevens de invoer van het “one-time” wachtwoord.

Meer informatie

E11EVEN kan u of uw organisatie ondersteunen bij de ontwikkeling van een ICT-beveiligingsbeleid, het uitvoeren van een risicoanalyse of dataclassificatie en we kunnen met onze ethische hackers penetratie testen uitvoeren op zowel interne als externe ICT-applicaties en infrastructuren. Wij kunnen u helpen bij het implementeren van two-factor authenticatie teneinde de logische toegangsbeveiliging van uw ICT-omgeving te verbeteren.

Voor vragen of opmerkingen, kunt u uiteraard contact met ons opnemen.

Kevin Morssink
+31 6 4340 2517
kevinmorssink@e11even.nl
1398358075_51-linkedin 1398358089_43-twitter

Theunis Kloosterman
+31 6 2293 7394
theuniskloosterman@e11even.nl
1398358075_51-linkedin 1398358089_43-twitter