Een hacker kan heel Nederland platleggen

We sluiten deze week, die geheel onverwacht de week van de hacker, cracker en scriptkiddie is geworden, af met een geruststellend idee.

Eén hacker is in staat heel Nederland plat te leggen. Dat kan door in te breken in computernetwerken en bijvoorbeeld sluizen te openen, met overstromingen tot gevolg (bron).

Ook hier hebben we het gelukkig weer over een hacker die dit kan doen. Er wordt met geen woord gerept over een scriptkiddie…maar geloof me. De meest simpele aanvallen worden nu juist gepleegd door een scriptkiddie (omdat die immers niet weet wat hij doet). Geloof het of niet. Ook hackers en crackers hebben zo hun codes en ze hebben de balen van scriptkiddies die die code niet kennen of overtreden.

Overigens is dit niets nieuws want een aantal maanden geleden was er al van alles te doen om sluizen die met een simpel wachtwoord “beveiligd” waren, maar het sluit deze week natuurlijk wel erg mooi af en onderstreept de noodzaak van informatiebeveiliging.

Het is nu alleen nog wachten op een structurele aanpak. Veel organisaties hebben de afgelopen jaren flink bezuinigd op informatiebeveiliging. Daar lijken ze nu van terug te komen en informatiebeveiliging is ineens topprioteit waar zelfs het hoogste management zich tegenaan wil bemoeien. Maar als we dan toch de aandacht van het hoogste management hebben: mogen we dan ook alstublieft opteren voor die proactieve en structurele aanpak die nodig is en niet de reactieve aanpak die we nu volgen? Dat zorgt er niet alleen voor dat we beter beveiligd raken maar voorkomt ook dat we bakken met geld in de put scheppen.

Er zijn budgetten voor beveiliging en beveiligingsmaatregelen worden aan alle kanten aangeschaft en ingezet. Alles om maar te voorkomen dat we slachtoffer worden (jaja, het draait om imagoschade). Wat we vergeten is dat we nog steeds moeten redeneren vanuit de risico’s en niet vanuit de maatregelen.

Leest u de zin nog een keer en laat hem goed doordringen: Wat we vergeten is dat we nog steeds moeten redeneren vanuit de risico’s en niet vanuit de maatregelen.

Het lijkt tegen dovemansoren gezegd want na de virusaanval op de Gemeenten hebben we de virusscanners weer eens een update gegeven en gaan we weer rustig achterover hangen. Het is wachten op de volgende aanval en die zal sneller komen dan we nu verwachten…het is alleen maar te hopen dat het niet echt een keer uit de klauw loopt want als een hacker de sluizen open kan zetten dan krijgen we tot aan Amersfoort allemaal natte voeten.

Rest mij om u een fijn weekend te wensen en misschien moet je vast je lieslaarzen “uit het vet” halen.

Hacker gijzelt elektronische patientendossiers

Onwaarschijnlijk hè? Het voorbeeld dat we gisteren aanhaalden waarbij een scriptkiddie het niet door had dat hij ziektebeelden en patiëntgegevens door elkaar gooide? Gelukkig is zoiets helemaal niet mogelijk, of toch?

Een aanvaller is er onlangs in geslaagd om op de server van een Amerikaanse kliniek in te breken en de aanwezige elektronische patiëntendossiers voor losgeld te versleutelen (bron).

Informatiegijzeling. We hebben het er in het verleden ook al eens over gehad maar het lijkt toch nog niet echt bekend te zijn bij de meeste mensen. Hoe het in zijn werk gaat is vrij simpel (althans op papier): je breekt in op een netwerk en versleuteld alle data die je daar vindt. Vervolgens informeer je de organisatie en eis je losgeld voor het vrijgeven van de sleutels.

Als je het zo leest kan een kiddie de was doen. Nu was het, conform de definities, in dit voorbeeld gaan scriptkiddie maar een “echte” hacker (wow) dus gelukkig lopen we een stuk minder risico (want daar weren er niet zoveel van, weet je nog?). Maar dat valt te bezien. Want wie zegt me inderdaad dat dit een hacker was en geen scriptkiddie? Daarmee komen we terug op het feit dat hacker, cracker, scriptkiddie gewoon een definitiekwestie is waarbij we mensen het liefst in een hokje willen duwen (al is het alleen maar om het voor ons overzichtelijk te houden).

Nee, zoals eerder gesteld gaat het helemaal niet om de naam die we er aan hangen maar om de daad die ze verrichten. Een overvaller die binnenkomt met een op een wapen gelijkend waterpistool noemen we toch ook niet ineens een kwajongen?

Maar goed. Je zult met spoed naar deze kliniek moeten. Nog even en je blaast je laatste adem uit als je niet snel geholpen wordt. Even het dossier erbij…wat een vreemde 1-en en 0-en staan er in dat dossier? Nu maar snel het losgeld betalen: operatie geslaagd…patiënt overleden. Welkom in de realiteit.

Lezingen en lekken beste CV security professional

We weten inmiddels dat we hackers, crackers en scriptkiddies niet met elkaar moeten verwarren (tenminste: dat is de mening van anderen, wat mij betreft gaat het nog steeds om de daad die gepleegd wordt, maar goed, dat terzijde).

De wereld van goede technische hackers en crackers is klein (scriptkiddies genoeg, dus die vallen buiten scope). Maar als je onderstaand bericht mag geloven dan zijn de beste hackers en crackers degene die inderdaad net wel of net niet over de schreef zijn gegaan.

Wie als security professional aan de slag wil kan het beste naar beveiligingslekken opzoek gaan en lezingen tijdens grote conferenties geven. Dat adviseert de bekende Mac-hacker Charlie Miller (bron).

Een oud gezegde is inderdaad: met boeven vang je boeven. Maar als we dat al te letterlijk gaan nemen dan moet iedere politieagent minimaal een strafblad hebben. Hoe kunnen ze anders boeven vangen? Nee, het gaat me toch wat te ver om mensen op te roepen om op zoek te gaan naar beveiligingslekken omdat dat het beste voor je CV is.

En nu komen ze weer in scope: de scriptkiddies. Met dit soort berichten roep je scriptkiddies op om maar vooral veel te testen, veel tooltjes te gebruiken en veel technische te pielen omdat dat de manier is om carrière te maken in de informatiebeveiligingswereld. Als we dat maar hard genoeg roepen dan zijn er genoeg scriptkiddies die van alles gaan proberen zonder te weten wat ze doen. Ze maken zo meer kapot dan ze lief is (hoewel ze zelf niet eens in de gaten zullen hebben wat ze doen).

Valt allemaal wel mee, toch? Nou, dat is maar te bezien. Veel scriptkiddies weten echt niet wat ze doen en als ze dat wel zouden weten dan zouden ze het wel laten (of in ieder geval een stuk slechter slapen ’s nachts). Stel dat een scriptkiddie weet in te breken in een systeem van een ziekenhuis. Voor hem misschien een leuke toevoeging aan zijn CV. Maar wat als hij zich er niet van bewust is dat hij ziektebeelden en patiëntgegevens per ongeluk door elkaar gooit?

Nee, om een goed CV als security professional te krijgen moet je een goede vooropleiding hebben en aantonen dat je de techniek door en door kent. Maar je hoeft mij niet uit te leggen welke inbraken je al allemaal gepleegd hebt. En natuurlijk wil je ook graag praktijkervaring opdoen, maar laten we daar dan goede testsystemen voor in het leven roepen en het security wereldje beter faciliteren.

Want waar gaat het anders heen met de wereld: moet een goede verslavingsdeskundige dan zelf verslaafd zijn geweest? Moet een psychiater zelf zo gek als een deur zijn? Moet een goede Gynaecoloog dan eerst zelf zwanger zijn geweest (helaas voor alle mannelijke Gynaecologen: jullie kunnen nooit goed zijn in je vak)? Moet een goede brandweerman dan eerst pyromaan zijn geweest? Nou ja, je begrijpt de strekking en kunt zelf vast ook nog wel wat voorbeelden verzinnen.

Webcam-hackers zetten slachtoffers op YouTube

En wederom kunnen we de discussie van gisteren voortzetten met het onderwerp van vandaag.

Het is nog altijd een sport onder ‘scriptkiddies’ om slachtoffers van besmette computers via hun eigen webcam te begluren en opgenomen beelden op YouTube te plaatsen. Al in 2008 werden de reacties van slachtoffers op schokkende filmpjes opgenomen en later als leedvermaak online gezet. Symantec waarschuwt dat dit nog altijd gaande is (bron).

Nu noemen we het geen hackers of crackers meer maar noemen we het scriptkiddies. En eerlijk is eerlijk: een goed hacker/cracker wil zich niet vergelijken met een scriptkiddie omdat die laatste gewoon een standaard tooltje draait om zijn kunstjes te doen. Ook dat is een definitiekwestie, wat mij betreft.

En het mag inderdaad onschuldig lijken. Je besmet een computer en begluurt degene aan de andere kant. Kom je leuke beelden tegen, dan zet je die vrolijk op Youtube. Nu is het natuurlijk al niet netjes om iemand te begluren (jaja, ook daar kun je voor opgepakt worden) maar als je ook nog iemand besmet hebt dan ben je een stuk onschuldiger.

“Moeten die mensen hun beveiliging maar aanzetten”; dat is de reactie die je van een scriptkiddie mag verwachten. Waarschijnlijk zijn ze zich niet eens bewust van de wetten die ze overtreden. Waren ze dat wel en was de pakkans een stuk groter dan zouden ze het wel uit hun hoofd laten.

Toch maar weer terug naar de analoge wereld: een dergelijke scriptkiddie gaat ook niet met een filmcamera door het badkamerraam van de buren filmen omdat hij begrijpt dat dat nou niet echt sjiek is. Maar veilig en anoniem achter zijn laptop denkt hij daar niet eens aan. Nee, hij ziet ergens een grappig artikeltje met een linkje en een manier waarop zoiets mogelijk is en voor je het weet bekijkt hij je door je webcam.

Als het goed is doe je de gordijnen van je badkamer ook dicht als je inkijkt hebt, misschien moet je dat dan ook maar overwegen met je webcam. Gewoon een plakbandje eroverheen en je kunt een stuk rustiger allerlei vreemde capriolen uithalen voor je webcam: niemand die je immers ziet (tenzij je de gordijnen niet dicht hebt gedaan en er iemand door je raam staat te gluren).

Hacker betekent ook crimineel

Er is nog altijd discussie over de betekenis van het woord ‘hacker’, maar de eerste bekende vermelding beschrijft een criminele daad. Hacker heeft zowel een negatieve als positieve lading, aldus Robert Graham van Errata Security. “Mensen blijven beweren dat hacker geen crimineel betekent en er daarom cracker moet worden gebruikt. Die claim valt niet te rechtvaardigen.” Het woord wordt zowel gebruikt om criminelen als “enthousiaste nerds” te omschrijven (bron).

Het is natuurlijk een definitiekwestie en of je nu hacker of cracker gebruikt maakt mij persoonlijk niet zoveel uit. Het gaat wat mij betreft om de daad die uitgevoerd wordt en dan wordt het in de digitale wereld ineens een stuk mistiger.

Sommige zaken vinden we digitaal heel normaal, terwijl we die in de analoge wereld niet zo snel zouden doen. Heb jij wel eens iemand aan alle voordeuren zien rammelen om te kijken of ze wel of niet op slot zijn?

Digitaal doen we dat dagelijks en als we merken dat er inderdaad een gaatje zit dan wordt het wel heel verleidelijk om daardoor naar binnen te glippen. Hoe goed je bedoeling misschien ook mag zijn, het blijft natuurlijk gewoon een misdadige daad die je normaal niet zo plegen.

Stel dat je wel aan de voordeur rammelde en dat daarbij de deur spontaan open springt. Zou jij dan midden in de nacht naar binnen gaan om te kijken wat er binnen allemaal te halen valt? Waarschijnlijk niet want je weet nooit of de bewoners een flinke waakhond in huis hebben.

Het blijft nog steeds vreemd dat we anders aan kijken tegen de digitale en analoge wereld en het blijft vreemd dat we (in al onze anonimiteit) in de digitale wereld bereid zijn om veel verder te gaan dan we normaal gesproken zouden doen.

Rammel jij dus weer eens aan een digitale of analoge voordeur, bedenk dan goed aan welke kant van de streep je blijft. Een digitale inbraak is ook een inbraak en die wil jij vast niet op je geweten hebben.

Wachtwoorden kinderspel voor hackers

Hoe vaak heb jij de afgelopen weken je wachtwoord moeten wijzigen? Lastig maar je doet het omdat je nu eenmaal weet dat het erbij hoort. Als je je auto parkeert in de stad dan doe je hem ook op slot en als je ’s morgens wilt inloggen dan hoort daar een wachtwoord bij. Het hebben van wachtwoorden zit al zo in ons systeem gebakken dat we er mee kunnen leven. Dit in tegenstelling tot veel andere beveiligingsmaatregelen (die wel echt werken). Nee, die proberen we toch liever te omzeilen.

Jammer dat het zo werkt en een tip voor de mede-beveiligers in andere organisaties. Schaf de huidige wachtwoord-policy af, want het heeft geen zin meer.

Het gebruik van wachtwoorden als voornaamste beveiliging tegen ongewenste indringers is bijna net zo verouderd als het gebruik van een driecijferig fietsslot: je voorkomt er nog net mee dat iedereen zomaar met je fiets gaat rennen, maar met een paperclip en een vloeipapiertje krijgt iedere basisscholier hem open (bron).

Voordat alle enthousiaste beveiligers aan de slag gaan om de wachtwoord-policy aan te passen, is het misschien raadzaam om nog even aan te halen dat we natuurlijk niet zomaar zonder wachtwoorden kunnen en ik durf zelfs te beweren dat een vorm van wachtwoord voorlopig nog in gebruik zal blijven (ook pincodes reken ik trouwens voor het gemak even tot wachtwoorden).

“De waarheid is dat iedereen die nu nog waardevolle data probeert te beschermen, daarvoor minimaal multifactor authenticatie en/of aanvullende beveiligingsmaatregelen zal moeten treffen,” meent Peter Lindstrom, analist bij Spire Security. “Het wachtwoord alleen kent teveel zwakke plekken, waaronder de voor de hand liggende menselijke fouten.”

Waar het dus op neer komt is dat een wachtwoord alleen niet meer voldoende is. Er moet meer gebeuren. Er moet een combinatie zijn van:
– iets wat je weet (kennis)
– iets wat je bezit
– iets wat je bent (persoonlijke eigenschap)

Helaas maar waar voor alle beveiligers die zo blij zijn dat het wachtwoordbeleid binnen de organisatie lijkt te werken (met name omdat het technisch afgedwongen wordt en je er als medewerker maar mee te leven hebt). We zullen aan de slag moeten en we zullen al die organisaties die alleen nog maar van “kennis” (een wachtwoord) gebruik maken moeten overtuigen dat ze met een driecijferig fietsslot werken.

Nou, ik wens iedereen, die de taak krijgt toegewezen om het management te overtuigen, heel veel succes. Heb je een succesverhaal waardoor het jou wel gelukt is. Laat het ons dan weten, dan kunnen we die informatie delen en elkaar weer verder op weg helpen.

Nu ga ik snel mijn wachtwoorden wijzigen want ook ik maak me wel eens schuldig aan “de vloek van het herbruikbare wachtwoord”

Agent bespioneert dochter met spyware

Een Duitse agent heeft spyware op de computer van zijn dochter geïnstalleerd om haar surfgedrag te monitoren. Haar vriend, die uit de hackerscene komt, ontdekte de malware. Om de vader terug te pakken hackte de jongen de computer van de politieagent. Daar ontdekte hij dat de vader zijn officiële politie e-mail naar een privé e-mailadres doorstuurde. Ook wist de jongen toegang tot het politienetwerk te krijgen, waarop een belangrijke politieserver moest worden uitgeschakeld (bron).

Een typisch voorbeeldje van iemand die wel een tooltje heeft maar die geen flauw idee heeft hoe de beveiliging eigenlijk werkt. Een “fool with a tool is stille a fool”, zullen we maar zeggen. Overigens ook een gevalletje machtsmisbruik want het zou hier ook kunnen gaan op een “federaal trojaans paard”. Tools die door de overheid worden ingezet…en ja een politieagent mogen we tot de overheid rekenen, maar dat betekent nog niet dat hij zulke tools met willekeur in mag zetten.

Een beetje dom natuurlijk dat de agent vergeten was dat de vriend van zijn dochter een stuk slimmer is met computers dan hij is. Eerlijk is eerlijk, het doorsturen van vertrouwelijke mail naar een privémailadres is niet netjes en het valt nog mee dat de “hacker” hier melding van gemaakt heeft. Had hij het daarbij gelaten dan was er weinig aan de hand, maar ja, deze jongen moest zo nodig het politienetwerk platleggen.

De vraag is nu wie er harder gestraft zal worden: de agent vanwege misbruik van middelen en macht of de vriend van zijn dochter vanwege een inbraak op het politie netwerk.

In ieder geval zit er iets stevig verkeerd in de vader-dochter-schoonzoon relatie. En als je het mij vraagt mag de agent nog niet klagen want de hacker had ook hele andere files op de pc van de agent achter kunnen laten en voor je het weet staat de politie in een kwaad daglicht vanwege een onwetende agent die zo graag zijn dochter wil monitoren.

Jaar cel voor porno op billboard in Moskou

Een 40-jarige Moskoviet moet een jaar de cel in, omdat hij een elektronisch billboard langs een drukke weg in Moskou had gehackt en er porno op te zien was (bron).

Dobroe utro (goeiemorgen)…1 jaar gevangenisstraf in een Russische cel voor het hacken van een billboard…of is het omdat hij het auteursrecht van de filmmaatschappij geschonden heeft? De Russische rechtbank kon er in ieder geval niet om lachen, terwijl je toch zou zeggen dat er in Rusland wel ergere dingen gebeurd zijn de afgelopen decennia.

IKEA mag wel oppassen trouwens met hun reclame voor de koffietafel die ze in Rusland verkopen:

Een slechte 1 april grap? Nee, dat kan niet…dat is morgen pas.

Overigens moet de beste man langer de cel in: zes jaar om precies te zijn, omdat hij ook schuldig werd gevonden aan poging tot drugshandel. Poging tot drugshandel? Niet gewoon drugshandel maar poging daartoe. Blijkbaar is het hem dus niet gelukt om de drugs ook daadwerkelijk te verkopen.

In ieder geval een opmerkelijk verhaal en mocht je ooit in Rusland komen…hou je dan een beetje aan de regels, dat kan je een hoop ellende schelen.

Het stereotype hacker

Zodra de term hacker valt, denkt het merendeel van de mensen aan een puisterig jong ergens achter in zijn tienerjaren. Vooral in hokjes blijven denken zou ik zeggen, dan kun je tenminste de andere mensen op deze wereld gewoon blijven vertrouwen.

We kunnen hier ook de parallel trekken naar de analoge wereld. Een crimineel, een overvaller, een inbreker, we kunnen wel denken in stereotypen maar je kunt ze aan de blauwe (of bruine) ogen echt niet zomaar herkennen.

Hoewel het natuurlijk geen super technische hack is (de meeste hackers zullen hierom lachen en zullen vinden dat het een schande is voor hun kennis en hun naam), maar goed. Ook dit kunnen we als hack zien, blijkbaar:
In Amerika is een 19-jarige vrouw aangeklaagd wegens het hacken van een e-mailaccount en het stelen van naaktfoto’s. Leah Ayers zou hebben ingebroken op het account van Playboy playmate Brittany Binger en daar naaktfoto’s van haar vriend Grady Sizemore hebben gestolen. Sizemore is een Major League Baseball-ster die voor de Cleveland Indians speelt. Hij had met een mobiele telefoon foto’s van zichzelf gemaakt en naar Binger gemaild. Ayers zou de vijftien gestolen foto’s vervolgens via het internet hebben verspreid (bron).

Is dit het beeld dat u heeft van de typische hacker? Ik niet in ieder geval.

Zonder veiligheid heb je geen privacy…

Beste mensen, we zien het volgens Chertoff al jaren verkeerd. Maken we ons enorm druk om de privacy die we in moeten leveren in het kader van de veiligheid. Volgens hem hebben we geen privacy zonder veiligheid. Ik zie een kip en ei verhaal aankomen.

Volgens Michael Chertoff, oud-minister van binnenlandse veiligheid van de Verenigde Staten, willen mensen graag maatregelen als camera’s en dataretentie. Zonder veiligheid heb je geen privacy stelt hij. Als jouw gegevens op straat komen te liggen omdat ze zijn gestolen door een hacker en de overheid heeft dat niet kunnen voorkomen, is je privacy verdwenen (bron).

Wat Chertoff dus blijkbaar bedoeld is dat we onze privacy op moeten geven richting de overheid omdat ze ons anders niet kunnen beschermen. Hij wil ons (of in dit geval de Amerikanen) blijkbaar beschermen tegen allerlei hackers. Maar omdat goed te kunnen doen moeten we wel onze privacy opgeven.

Het klinkt allemaal een beetje als de Nigeriaanse scam waarbij je eerst een bedrag moet storten om er vervolgens een berg meer voor terug te krijgen…althans dat is wat je wordt wijsgemaakt.

Volgens mij moeten we ons de vraag stellen tegen wie we onze privacy willen beschermen. Is dat tegen de overheid, tegen hackers of tegen allebei? Welk risico is groter? Dat de overheid veel van ons weet en dat tegen ons kan gebruiken of dat een hacker mij zo interessant vindt dat hij besluit mijn gegevens te hacken? Persoonlijk denk ik dat we ons tegen beide moeten beschermen. De overheid mag best veel van me weten maar het liefst niet alles en een hacker hou ik graag buiten de deur omdat ik anders helemaal niet meer weet wat er met mijn gegevens gebeurt.

Het middel (het opgeven van onze privacy aan de overheid) lijkt me hier erger dan de kwaal (de kans dat een hacker het op mij heeft voorzien). En laten we eerlijk zijn, hebben we niet legio incidenten voorbij zien komen waarbij de persoonsgegevens op straat kwamen doordat een overheidsdienst gehackt werd?

Nee, Chertoff, leuk geprobeerd, maar ik trap er even niet in. We zullen afsluiten met wederom een kip en ei verhaal: als de overheden ervoor zorgen dat onze gegevens gewaarborgd zijn dan zijn we wellicht bereid om meer van onze gegevens beschikbaar te stellen…maar daarvoor moet er eerst nog wel wat water door de Maas.