Paspoortchip eenvoudig te kraken

We waren er al bang voor, maar hebben toch allemaal gehoopt dat het wat langer zou duren.

De RFID-chip in het nieuwe Nederlandse paspoort is via gratis verkrijgbare software eenvoudig te kraken. Dat liet de Nederlandse beveiligingsonderzoeker Jeroen van Beek gisteren in De Telegraaf weten. De paspoortchip bevat onder meer de naam, geboortedatum, burgerservicenummer, foto en vingerafdrukken van de houder. Volgens Van Beek is de chip van korte afstand uit te lezen en te kopiëren (bron).

Overigens gaat de discussie verder dan dit, omdat er aan alle kanten kopieën van paspoorten worden gemaakt. Met name in hotels vinden ze dat een kopie van een paspoort moet kunnen en veel medewerkers zullen zelfs denken dat het een eis is omdat ze je anders geen kamer mogen geven.

Het College Bescherming Persoonsgegevens (CBP) lanceerde donderdag een aantal richtlijnen om zowel consumenten als bedrijven bewust te maken van de wetgeving. Bedrijven mogen in sommige gevallen wel vragen om legitimatie, maar een kopie maken is in de meeste gevallen verboden (bron).

Nu zitten we dus met een paspoort dat gemakkelijk gekopieerd kan worden en we zitten met bedrijven die niet weten wat de richtlijnen zijn. Tijd voor de overheid om hier maar weer eens een campagne tegenaan te gooien?

Een mooie slogan heb ik al voor ze verzonnen: “Weet hoe het hoort met een paspoort” (oh ja, deze URL natuurlijk niet direct registeren want dan kan de overheid het niet meer doen).

Wachtwoorden kinderspel voor hackers

Hoe vaak heb jij de afgelopen weken je wachtwoord moeten wijzigen? Lastig maar je doet het omdat je nu eenmaal weet dat het erbij hoort. Als je je auto parkeert in de stad dan doe je hem ook op slot en als je ’s morgens wilt inloggen dan hoort daar een wachtwoord bij. Het hebben van wachtwoorden zit al zo in ons systeem gebakken dat we er mee kunnen leven. Dit in tegenstelling tot veel andere beveiligingsmaatregelen (die wel echt werken). Nee, die proberen we toch liever te omzeilen.

Jammer dat het zo werkt en een tip voor de mede-beveiligers in andere organisaties. Schaf de huidige wachtwoord-policy af, want het heeft geen zin meer.

Het gebruik van wachtwoorden als voornaamste beveiliging tegen ongewenste indringers is bijna net zo verouderd als het gebruik van een driecijferig fietsslot: je voorkomt er nog net mee dat iedereen zomaar met je fiets gaat rennen, maar met een paperclip en een vloeipapiertje krijgt iedere basisscholier hem open (bron).

Voordat alle enthousiaste beveiligers aan de slag gaan om de wachtwoord-policy aan te passen, is het misschien raadzaam om nog even aan te halen dat we natuurlijk niet zomaar zonder wachtwoorden kunnen en ik durf zelfs te beweren dat een vorm van wachtwoord voorlopig nog in gebruik zal blijven (ook pincodes reken ik trouwens voor het gemak even tot wachtwoorden).

“De waarheid is dat iedereen die nu nog waardevolle data probeert te beschermen, daarvoor minimaal multifactor authenticatie en/of aanvullende beveiligingsmaatregelen zal moeten treffen,” meent Peter Lindstrom, analist bij Spire Security. “Het wachtwoord alleen kent teveel zwakke plekken, waaronder de voor de hand liggende menselijke fouten.”

Waar het dus op neer komt is dat een wachtwoord alleen niet meer voldoende is. Er moet meer gebeuren. Er moet een combinatie zijn van:
– iets wat je weet (kennis)
– iets wat je bezit
– iets wat je bent (persoonlijke eigenschap)

Helaas maar waar voor alle beveiligers die zo blij zijn dat het wachtwoordbeleid binnen de organisatie lijkt te werken (met name omdat het technisch afgedwongen wordt en je er als medewerker maar mee te leven hebt). We zullen aan de slag moeten en we zullen al die organisaties die alleen nog maar van “kennis” (een wachtwoord) gebruik maken moeten overtuigen dat ze met een driecijferig fietsslot werken.

Nou, ik wens iedereen, die de taak krijgt toegewezen om het management te overtuigen, heel veel succes. Heb je een succesverhaal waardoor het jou wel gelukt is. Laat het ons dan weten, dan kunnen we die informatie delen en elkaar weer verder op weg helpen.

Nu ga ik snel mijn wachtwoorden wijzigen want ook ik maak me wel eens schuldig aan “de vloek van het herbruikbare wachtwoord”

Hoe politiediensten de iPhone pincode kraken

Tegenwoordig heeft natuurlijk iedereen een pincode op zijn of haar smartphone. Er staan teveel gegevens in om dat niet te hebben. Lekker alles achter die 4 cijfertjes en veilig zijn we. Toch?

Niets is minder waar: De toegangscode van iPhone en Android smartphones biedt nauwelijks bescherming tegen opsporingsdiensten met de juiste tools. Het Zweedse bedrijf Micro Systemation levert het programma XRY waarmee justitie de informatie van smartphones kan leegtrekken. De tool kan razendsnel iOS of Android passcodes kraken, de gegevens van de telefoon naar een computer kopiëren en informatie over de gebruiker, zoals GPS-locatie, bestanden, gesprekslogbestanden, sms-berichten en zelfs toetsaanslagen weergeven.


(het filmpje lijkt inmiddels van internet verdwenen…wie hem nog kan vinden kan me de nieuwe link sturen)

Een geruststellend idee is dat het bedrijf de software alleen levert aan politiediensten (jaja, met geld is veel te koop). Dat scheelt want de politie zal een dergelijke tool niet zomaar inzetten. Dan heb je waarschijnlijk iets op je kerfstok. Hoewel er best gevallen te bedenken zijn dat je ook niet wilt dat de politie bij de informatie kan, valt dat voor de meeste mensen nog te overzien.

Maar het duurt natuurlijk niet lang (als het er al niet is) dat dergelijke tools ook beschikbaar komen voor anderen. Hop, even de telefoon door de software trekken en open en bloot ligt je informatie. Of nee, even de telefoon door die software…de telefoon leeg gooien en op de zwarte markt weer verkopen.

Allemaal leuk en aardig, maar wat kun je als gebruiker hier nu mee. Is het slot op je voordeur niet helemaal veilig meer dan plaats je er gewoon nog een slot bij. Grote jongen die binnen komt. Op je telefoon is dat een ander verhaal. Natuurlijk zijn er wel tools beschikbaar en natuurlijk kun je je telefoon versleutelen, maar hoe gebruiksvriendelijk is hij dan nog?

De veiligste oplossing is misschien nog wel geen vertrouwelijke informatie (of compromitterende foto’s) op je telefoon zetten. Daarmee kun je al wat ellende voorkomen. Natuurlijk kunnen ze hem dan nog steeds voor € 25 verkopen, maar dan in ieder geval zonder jouw informatie (die misschien wel meer waard is dan de economische waarde van je telefoon).

NFI kraakt encryptiesleutel pedofiel

Het Nederlands Forensisch Instituut (NFI) heeft de encryptiesleutel waarmee een 42-jarige computerprogrammeur uit Sliedrecht zijn kinderpornoverzameling versleutelde, weten te kraken. Een deel van de collectie is nu ontsleuteld en volgens justitie gaat het om tenminste 7,5 miljoen afbeeldingen, meer dan in de landelijke database van de politie is opgeslagen. Oorspronkelijk dachten experts dat het jaren zou duren om de sleutel te kraken. Het Openbaar Ministerie eiste eind mei vier jaar cel en tbs tegen de man (bron).

Natuurlijk moet je een pedofiel straffen met de hoogst mogelijke straf, daar hoeven we wat mij betreft geen discussie over te voeren. Waar we wel bij stil moeten staan is het feit dat de encryptiesleutel gekraakt is. Dat is relevant omdat we encryptie nu juist toe passen om onze vertrouwelijke gegevens te beveiligen. Als dat gekraakt wordt moeten we ons daar bewust van zijn. Niet alleen het NFI maar allerlei (overheids)instellingen zijn in staat om de gegevens te ontsleutelen. Daar gaan onze staatsgeheimen. Andere, buitenlandse, instellingen zijn in staat om onze staatsgeheimen in te zien. Ehm, information warfare. Toch maar weer terug naar de tijd van de typemachine waarbij de gegevens veilig in een kluis lagen opgeborgen?