Security Academy Nieuws

Nieuws over de Security Academy en blogs van docenten over het vakgebied Cyber Security en Governance

Blog: Ik weet niet waar ik aan toe ben!

1-12-2014

Weet u het nog? Begin augustus bracht, het tot dan toe onbekende, Hold Security het bericht in de wereld dat een 1,2 miljard e-mailadressen + credentials waren gestolen van meer dan 400.000 websites. Wie had gedacht dat daarna de berichten van gehackte accounts niet van de lucht zouden zijn kwam bedrogen uit. Er werd openlijk getwijfeld aan de bedoelingen van de brenger van het nieuws. Veel vragen bleven onbeantwoord, en niet de minste. Ging het bij de credentials om niet-versleutelde wachtwoorden of om wachtwoord hashes?  En welke sites waren eigenlijk getroffen? Hoe lang hadden de criminelen al de beschikking over de data? Hoe hebben ze toegeslagen? Wees eerlijk, heeft u uw wachtwoorden gewijzigd na de publicatie van deze hack? Ik niet, teveel antwoorden op teveel vragen bleven onduidelijk. Nu gebruik ik ook een password manager voor het genereren en opslaan van ongeveer 50 unieke en zo complex mogelijke wachtwoorden. Dat wil zeggen zo complex als de site toestaat, want dat valt ook vaak tegen. Hoezo, u wilt een passphrase gebruiken?

Wie zich verbaast over de aantallen. Tsja, we doen steeds meer zaken op Internet en als je voor het minste of geringste al wordt gevraagd om je te registreren, dan loopt het al snel de spuigaten uit met het aantal accounts dat u gebruikt. Verbaast u zich ook niet als u een echt mailadres opgeeft dat u een mailtje terugkrijgt “Beste..., U heeft zich succesvol aangemeld voor onze site" met het wachtwoord! Gemakkelijker kunnen we het niet maken! (Voor de cybercriminelen). 

Net als je zou denken dat de megahack geruisloos voor is gegaan, en de aandacht van de security community allang is verplaatst naar  Heartbleed en inmiddels Poodle komt het Nederlands Cyber Security Centre opeens met communicatie over de door Hold Security ‘CyberVor’ gedoopte hack. Maar ook dit roept veel meer vragen op dan antwoorden. 

Bijvoorbeeld, waarom pas nu gecommuniceerd? Zo lang na de hack? En wat is de waarde van de informatie voor de Nederlandse burger als er alleen .nl e-mailadressen en .nl domeinen in de van Hold Security (gekochte?) data voorkomen? Iedereen gebruikt toch heel veel niet .nl mailadressen en domeinen?  Waarom worden de gehackte  sites niet bekend gemaakt?  Het argument dat deze sites nog steeds kwetsbaar kunnen zijn laat het ergste vermoeden over het niveau van de informatiebeveiliging bij deze sites. Maar waarom zou je je wachtwoord veranderen als je niet eens weet of de website in kwestie tegenwoordig wel veilig is? Zou je niet eerder je account gewoon willen verwijderen? Hoe lang hebben botnets  e-mailadressen en credentials kunnen ontvreemden van deze sites?

Wellicht onbedoeld geeft het NCSC wel informatie weg over waar we de gehackte sites moeten zoeken: “het NCSC informeert zelf partijen binnen de rijksoverheid en vitale sectoren. De IBD doet hetzelfde voor gemeenten. SURFnet informeert de aangesloten onderwijs- en onderzoeksinstellingen en het ministerie van Defensie de aan hen gelieerde organisaties”. Op zijn minst suggereert dit dat een aantal websites binnen de genoemde sectoren is geraakt door de hack. Ai, dat geeft toch geen lekker gevoel. We weten toch al lang dat we maatregelen tegen SQL-injectie moeten nemen?

Conclusie: ik als Nederlands burger weet nog steeds niet waar ik aan toe ben. Bovendien bekruipt mij een onbehaaglijk gevoel als ik lees welke sectoren mogelijk getroffen zijn. Toch even een paar uurtjes besteden om overal de wachtwoorden te wijzigen dan maar?

door Jan Meerman   |  1-12-2014

Jan Meerman is Security Consultant bij Heroth BV. Jan heeft diverse cursussen voor de Security Academy ontwikkeld waaronder de CISA Preparation Course.

Meer

Uw Internet Explorer versie is verouderd.

Deze website kan niet met deze browser worden bekeken!

Upgrade uw browser naar de laatste versie van Internet Explorer 8 of installeer een andere browser, zoals Firefox of Google Chrome.