Wordt iedere dag gehackt-dag?

Vorige maand was het ineens stil op Facebook en Twitter. Internetbedrijf Ziggo had last van een grootschalige aanval op haar servers waardoor anderhalf miljoen Nederlanders zich ineens zonder social media, Netflix en Youtube moest vermaken. Aanvallen op internet-aanbieders zijn overigens niet uniek. Sterker nog, hacks komen tegenwoordig zo vaak voor, dat de verkoop van gezelschapsspellen weer in de lift zit. Toeval? Ik sluit niets uit.

Foto: @thekillingbean

“De wereldwijde toename van hacks is eenvoudig te verklaren”, zegt Kevin Morssink, beveiligingsconsultant bij E11EVEN. Kevin volgt alles rondom cyber security op de voet en onderzoekt organisaties, systemen en netwerken op beveiligingsfouten die kwaadwillende hackers zouden kunnen misbruiken. “Omdat we steeds meer persoonlijke gegevens toevertrouwen aan steeds meer systemen, wordt het automatisch interessanter om die systemen te hacken.”

Je geld of je server

Gegevens die zijn buitgemaakt, worden vaak gebruikt om bij andere systemen in te breken. Soms dwingen hackers losgeld af in ruil voor buitgemaakte bestanden of voor het beëindigen van een aanval. Morssink: “Het probleem is groter dan het lijkt. Zolang bedrijven de hackers afkopen merk je er weinig van. Pas wanneer hackers hun zin niet krijgen, horen we daarover in de media.”

Waarom gedupeerde bedrijven hackers betalen? Omdat het uitlekken van persoonlijke informatie grote gevolgen kan hebben. Recent kwam de Canadese datingsite Ashley Madison wereldwijd in het nieuws omdat hackers informatie van gebruikers openbaar dreigden te maken. Voor veel gebruikers van de datingsite – die buitenechtelijke relaties promoot – was dat behoorlijk schrikken. Niet lang daarna publiceerden hackers bovendien broncode en vertrouwelijke e-mails van de CEO waaruit bleek dat de site haar gebruikers op grote schaal beloog en bedroog. Dan ben je wel zo’n beetje klaar, als datingsite.

Huur ethical hackers in

“Bedrijven zoals Facebook en Google doen het vaak anders. Die proberen hackers liever een stapje voor te zijn”, vertelt Morssink. “Zij moedigen hackers en deskundigen aan om hun beveiligingsfouten op te sporen en belonen ze daar royaal voor. Dat werkt. Ook investeren zij in het verbeteren van standaarden en programmeertalen. Dat maakt hun eigen systemen veiliger en helpt ontwikkelaars om in de toekomst minder kwetsbare toepassingen te maken. Uiteindelijk profiteert iedereen daarvan.”

“Er zijn ook organisaties die alle bekende fouten registreren in een centrale database. Die database gebruikt E11EVEN ook om bedrijven door te lichten op mogelijke gevaren. Het is wel belangrijk dat problemen zijn opgelost voordat ze worden gepubliceerd. Anders creëer je juist een naslagwerk dat hackers haarfijn uitlegt waar ze het beste kunnen beginnen. Dat gebeurt soms ook.”

“12345”

Particulieren zijn steeds vaker doelwit van hackers. Met elders buitgemaakte informatie komen hackers vaak ver. De meeste gebruikers hebben namelijk overal hetzelfde wachtwoord. De meeste wachtwoorden laten zich bovendien makkelijk raden. “Hackers kijken meestal eerst rustig rond om te beoordelen of iemand een interessant doelwit is. Ik sprak laatst iemand waarbij ze op afstand zijn router, telefoon en zelfs televisie onklaar hadden gemaakt. In de tussentijd is zijn rekening geleegd”, aldus Morssink, “De professionaliteit en vastberadenheid die daaruit blijkt, is zorgwekkend”.

Morssink vertelt dat menselijke fouten vaak een rol spelen bij hacks: “Veel organisaties maken er een potje van. Geregeld blijkt dat iemand een simkaart of pincode van iemand anders kan verkrijgen door een helpdeskmedewerker te manipuleren. Dan heb je dus echt een probleem. Bij banken valt ook veel te verbeteren. Wanneer een klant ineens midden in de nacht op internetbankieren het daglimiet verhoogt of ongebruikelijk hoge bedragen gaat overboeken, dan moet toch ergens een lampje gaan branden?

Iedere dag gehackt-dag? Eet smakelijk!

Is er dan niets meer veilig? Zijn spaarcenten alleen veilig in een ouwe sok? Heus niet. Jezelf beveiligen gaat echter niet vanzelf. Meestal moet je gemak opofferen om minder kwetsbaar te zijn. Is het echt nodig om via internetbankieren bij je spaarrekening te komen? Is het zoveel werk om wachtwoorden wachtzinnen te beheren in een kluis? Moet je per se op een bijlage klikken als de mail eigenlijk niet voor jou bestemd kan zijn? Is het strafbaar om beleefd te weigeren wanneer iemand van een ‘helpdesk’ om jouw wachtwoord vraagt? Volgens mij niet. Begin dus bij jezelf.

Een blog van intressant.nl, een initiatief van internetbureau TRES.