Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

05-02-2013, 07:46 door [Account Verwijderd], 24 reacties
[Verwijderd]
Reacties (24)
05-02-2013, 08:38 door Anoniem
05-02-2013, 09:49 door Anoniem
In mijn ogen is vrijspraak dan ook de enige juiste uitspraak. Het toekennen van een boete aan Henk Krol zal anders genoeg mensen die tegen een beveiligingslek aanlopen ervan weerhouden deze te melden bij de eigenaar van het informatiesysteem

Amen. Natuurlijk mag je niet zelfstandig 'auditen' zonder toestemming van de organisatie, en natuurlijk zijn dergelijke zaken het werk van professionele penetration testers die het allemaal wel mogen als ze eenmaal een contract hebben afgesloten. Maar weet je wat daarmee het probleem is? Kwaadaardige hackers laten zich niet tegenhouden door het feit dat ze geen contract hebben, en organisaties die niet security-aware zijn - juist degenen die dus het ergst met hun neus op de feiten gedrukt moeten worden - huren geen penetration testers, maar bewaren wel onze gegevens op onveilige wijze. En het moet niet zo zijn dat "wij" dat allemaal oogluikend moeten laten gebeuren omdat we anders "stout" zijn.

Met als kanttekening dat ik de bij dit drama betrokken journalistieke vrijheid hierbij een klein beetje onzinnig vind - Henk Krol had geen journalistieke plicht die zwaarder weegt dan de jouwe of de mijne om hier iets mee te doen, dit komt gewoon neer op burgerrechten en -plichten.

- Rene
05-02-2013, 10:13 door Anoniem
Ik ben het niet met je eens.
Henk Krol heeft een wachtwoord van iemand overgenomen en dat gebruikt om rond te kijken in het systeem.
Dat is fout. En dat heeft niks te maken met hoe sterk dat wachtwoord was, want zelfs het sterkste wachtwoord
faalt als je het van iemand afkijkt en daarna zelf gaat intypen.
Ook denk ik dat je verkeerde conclusies trekt uit wat je op TV ziet. Daar heeft men uiteraard een voorbeeldje
gefilmd en niet de echte usernaam en wachtwoord.

Het was niet Henk Krol's taak om te gaan kijken wat hij allemaal kon doen met dat gejatte wachtwoord.
Hij had beter aan de kaak kunnen stellen dat je een wachtwoord makkelijk in handen kunt krijgen zonder dat
je zelf de persoon bent die toegang moet hebben, en daarmee aangeven dat een usernaam/wachtwoord beveiliging
niet goed genoeg is om te dienen als toegangsbeveiliging van gevoelige informatie op internet.

Je leest hier keer op keer die verhalen over "gemakkelijke wachtwoorden" en hoe vaak ze voorkomen, maar waar
de kern van de zaak ligt is dat een wachtwoord gewoon te gemakkelijk in verkeerde handen valt.
Voor gevoelige informatie moet een two-factor authenticatie verplicht gesteld worden.
Daar kun je je beter op richten dan op het kiezen van wachtwoorden die niemand kan onthouden.
05-02-2013, 10:28 door [Account Verwijderd]
[Verwijderd]
05-02-2013, 10:35 door [Account Verwijderd]
[Verwijderd]
05-02-2013, 10:38 door [Account Verwijderd]
[Verwijderd]
05-02-2013, 10:43 door [Account Verwijderd]
[Verwijderd]
05-02-2013, 10:46 door [Account Verwijderd]
[Verwijderd]
05-02-2013, 11:32 door Anoniem
Als het in een open brief doen van uitspraken die beginnen met "Ik vind" en "In mijn ogen" al gezien zou worden als onrechtmatige beinvloeding van rechters, en reden om de argumenten niet eens te bekijken, dan is onze rechtspraak onherroepelijk verloren.
05-02-2013, 11:43 door golem

Want wat is er mis met goed onderbouwde argumenten van derden?

Niks mis mee, zolang het maar via de advocaten bij de rechtzaak loopt.
Als rechters zich openlijk laten beinvloeden door meningen van buitenaf
is het hek van de dam.
Degene met de meeste centen (voor zover dat al niet gebeurt) zet "campagnes" op
om hun mening/zienswijze bij de rechters te laten aankomen.
05-02-2013, 11:50 door [Account Verwijderd]
[Verwijderd]
05-02-2013, 13:51 door Anoniem
Het probleem bij Krol is echter niet dat hij probeert aan te tonen dat er erg slecht omgegaan wordt met wachtwoorden. Om dat aan te tonen was het genoeg geweest om te laten zien dat hij kon inloggen in het systeem met andermans wachtwoord.

Hij had echter van andermans informatie moeten afblijven. Desnoods had hij zijn eigen dossier moeten inzien. Henk Krol is echter een publiek figuur die als politicus ook een voorbeeldfunctie heeft. Als hij dan ook nog andermans dossiers inziet terwijl hij weet dat hij illegaal bezig is, dan zal een rechter dit niet kunnen negeren en zich strikt aan de wetteksten moeten houden.
05-02-2013, 13:59 door [Account Verwijderd]
[Verwijderd]
05-02-2013, 14:16 door [Account Verwijderd]
[Verwijderd]
05-02-2013, 15:06 door Anoniem
Henk Krol heeft zat manieren om dit aan de orde te stellen.
Als DvU hem wegstuurt, dan kan hij vragen stellen als parlementarier.
Bijvoorbeeld in het vragenuurtje.
Hij hoeft daarvoor niet eerst zelf rond te kijken, hij kan gewoon de nuchtere feiten noemen.
05-02-2013, 15:14 door Anoniem
Door Hugo:
Door Anoniem: Het probleem bij Krol is echter niet dat hij probeert aan te tonen dat er erg slecht omgegaan wordt met wachtwoorden. Om dat aan te tonen was het genoeg geweest om te laten zien dat hij kon inloggen in het systeem met andermans wachtwoord.

Hij had echter van andermans informatie moeten afblijven. Desnoods had hij zijn eigen dossier moeten inzien. Henk Krol is echter een publiek figuur die als politicus ook een voorbeeldfunctie heeft. Als hij dan ook nog andermans dossiers inziet terwijl hij weet dat hij illegaal bezig is, dan zal een rechter dit niet kunnen negeren en zich strikt aan de wetteksten moeten houden.
Gevolg: de directie van DvU komt weg met haar wanbeleid op het gebied van informatiebeveiliging en we wachten met z'n allen op een volgend vergelijkbaar incident.

Dat is lekker zwart/wit denken.
Als iemand een gat in mijn organisatie vind (dus er nog geen gebruik van maakt om het sterker aan te duiden en misschien daarmee ook andermans persoonsgegevens misbruikt) mag hij dit zeker melden en zullen wij dit dankbaar aannemen en iets mee doen.
Gaat iemand net door dat deurtje dan is voor mij de grens bereikt en zullen wij ons zeker bedenken of we aangifte zullen gaan doen.
Dat je denkt dat niemand iets doet met een goed geplaatste melding is mijn ogen zwart/wit denken.
Ja je hebt wan organisaties maar je hebt ook organisaties die wel goed omgaan met de door jouw aangeleverde informatie.
En daarnaast denk ik moet iemand anders bepalen of iets wanbeleid is of niet, zwakkre wachtwoorden of niet.
Als een bedrijf een enorme technical debt heeft en met man en macht probeert de security op te krikken en ze vallen door de mand door een gat wat op hun roadmap staat, moet je dat dan wanbeleid noemen?

Ik denk het niet, security kost nou eenmaal tijd en geld.

Als iemand bewust zaken negeert zonder goede argumenten dan is dat andere koek.
05-02-2013, 15:19 door Anoniem
> Gevolg: de directie van DvU komt weg met haar wanbeleid op het gebied van informatiebeveiliging en we wachten met z'n allen op een volgend vergelijkbaar incident.

Het bestraffen van dhr. Krol staat een onderzoek naar en eventuele boete voor DvU niet in de weg. Het is overigens onwaarschijnlijk dat een rechter de schadevergoeding voor DvU toewijst voorzover de gemaakte kosten in alle redelijkheid ook al van te voren gemaakt hadden moeten worden.

De kosten van het invoeren van RSA-tokens zullen dus niet bij een schadevergoeding worden toegekend. De kosten die DvU heeft gemaakt om de verrichtingen van dhr. Krol te onderzoeken mogelijk wel. Dat lijkt me redelijk.

> Hij heeft dus geprobeerd om het te melden bij DvU, maar die stuurde hem weg.

Volgens mij kwam deze melding pas na het inzien van dossiers.

De receptie van DvU heeft dhr Krol niet 'weggestuurd', maar gevraagd om de melding op schrift te stellen. Dat lijkt me een redelijk verzoek.
05-02-2013, 16:42 door Anoniem
Door Anoniem: Henk Krol heeft zat manieren om dit aan de orde te stellen.
Als DvU hem wegstuurt, dan kan hij vragen stellen als parlementarier.
Bijvoorbeeld in het vragenuurtje.
Hij hoeft daarvoor niet eerst zelf rond te kijken, hij kan gewoon de nuchtere feiten noemen.
Extra media-exposure is altijd meegenomen. Geldt voor Krol alsook voor de Winter.
05-02-2013, 17:03 door Anoniem
Door Hugo: Ja, luister eens Peter V. Ik weet dat dit ver gaat. Maar iemand die met de beste bedoeling melding maakt van een beveiligingslek voor de rechter dagen en met de meest zotte schadeclaims aankomen zetten vind ik te idioot voor woorden. Ik weet heus wel dat een rechter dit niet gaat lezen. Zie deze open brief dan ook meer als een soort van protestbrief. Ik weet dat ik geen invloed kan uitoefenen op de uitkomst, maar dit kleine steentje is wat ik kan bijdragen en dat doe ik dan ook.

Misschien, heel misschien, is dit het kleine duwtje dat Diagnostiek voor U nodig heeft om die idiote aanklacht in te trekken. Denk het niet, maar... wie weet.


Sterke brief, echter ik denk ook dat Peter gelijk heeft.

Wat ik echter nog steeds niet zie is dat mensen geen -Social media- gezamelijk inzetten om iemand te steunen en in dit geval een rechter te "dwingen beter na te denken" over een zaak, en om eens stil te staan hun burgers er over denken.

Deze zaak is eigenlijk niet zo heel complex, maar door de rechter worden er dingen aangehaald om hackers af te schrikken. Waar de rechter niet naar kijkt is wat als een black-hat deze gegevens gaat misbruiken, en past de methode
op Henk Krol alvast maar toe.

Als alle Nederlanders het niet eens zijn met een uitspraak dan lijkt het mij alleen maar slim om een soort van website petitie te starten of dat iemand eens in 2013 een site opricht om burgers de gelegenheid te geven om een weerwoord of standpunt aan te kunnen dragen. Zolang deze website niet bij iedereen bekend is zullen er ook maar weinig mensen gebruik van maken waardoor het doel niet bereikt gaat worden.

Vindt je dat de overheid soms niet de juiste regels hanteert, en wil je het grote publiek daarin betrekken dat heb je dus
twee dingen nodig. 1} Een website waar mensen bezwaar kunnen maken tegen iets. 2} Social media MEER inzetten om
mensen gelijk op te hoogte te kunnen brengen, en een soort van handtekeningen actie te kunnen starten.

Jaja deze website bestaat al namelijk: http://petities.nl/petitie/new

Waarom gebruiken we deze niet masaal?
Waarom verspreiden we deze niet masaal met Twitter, Facebook e.d. ?

Alleen dan staan we een stuk sterker, en laten we onze stem horen.

Het middel is er alleen niemand doet er iets mee.
En als we er al iets mee doen, dan doen we het niet op grote schaal.

Dus in 2013 zijn we nog steeds niet in staat om met zo iets om te gaan.

Als je echt in Nederland iets wil veranderen dan laten we het ook gebruiken.
06-02-2013, 00:34 door Bitwiper
Uit http://www.diagnostiekvooru.nl/secure/resources/1322468755handleidingcyberlabseptember2011definitief2.pdf:1.3 GEBRUIKERSNAAM EN WACHTWOORD
Als nieuwe gebruiker heeft u van ons een gebruikersnaam en wachtwoord ontvangen. Deze kunt u gebruiken voor het inloggen in Cyberlab. Wij raden u ten zeerste aan om direct na het inloggen uw wachtwoord te wijzigen. Hoe u dat moet doen, staat omschreven op pagina 4 van deze handleiding.
[...]
2.1 WACHTWOORD WIJZIGEN
Wanneer u voor de eerste maal inlogt, krijgt u de volgende melding:
Uw wachtwoord is verstreken. Kies een nieuw wachtwoord.
[ OK ]
Klik op “OK” om verder te gaan

Wij raden u ten strengste aan om in verband met de veiligheid het wachtwoord te wijzigen naar een persoonlijk wachtwoord.
Uit http://www.diagnostiekvooru.nl/secure/resources/1335958869-persbericht-en-veelgestelde-vragen-antwoorden.pdf:In de diversen opnamen in de media wordt de volgende inlognaam getoond: 12345. Zijn de inlognamen en wachtwoorden inderdaad zo eenvoudig?
Nee, hier is een niet-bestaand voorbeeld gebruikt. Het filmpje is in scene gezet. Het getoonde wachtwoord in de diverse opnamen in de media betrof een fake gebruikersnaam en wachtwoord. De inlognamen en wachtwoorden zijn in werkelijkheid complexer.
Niets wijst erop dat de gebruiker gedwongen wordt om z'n nieuwe wachtwoord te veranderen. En als hij dat al doet, dan wijst niets erop dat daar bijzondere complexiteitseisen aan gesteld worden.

De getoonde dialoogbox suggereert wel dat de gebruiker regelmatig gevraagd zal worden zijn wachtwoord te wijzigen. Dat helpt tegen shouldersurfers als je dat elke keer doet direct nadat iemand je wachtwoord afgekeken zou kunnen hebben (hoeveel patiënten heeft een dokter per dag?), in alle andere gevallen vergroot verplicht wachtwoordwijzigen in mijn ervaring het risico.

Ook interessant:
Uit http://www.diagnostiekvooru.nl/secure/resources/1322468755handleidingcyberlabseptember2011definitief2.pdf:1.1 SYSTEEM EISEN
[...]
Java Virtual Machine:Sun JRE 1.5.0 of 1.6.0 of hoger (benodigd voor historiek grafieken)
[...]
1.2 DE VOORDELEN
• Toegankelijk vanaf iedere PC met een internet verbinding.
• Een volledig beveiligd en gecontroleerd systeem.
[...]
• Communicatie aan derden. De printvriendelijke PDF-rapporten, die na opslag ook te mailen zijn, maken communicatie aan derden eenvoudiger.
Java ondersteuning nodig in webbrowser - dus zo lek als een mandje (tenzij de gebruiker aanvullende maatregelen neemt, of een recente Firefox gebruikt).

M.b.t. genoemde "voordelen":
• Als PC's uitsluitend via een VPN toegang zouden hebben, had Krol de hack niet zomaar elders kunnen uitvoeren
Een volledig beveiligd en gecontroleerd systeem: dat is dus onwaar. In het persbericht staat namelijk niet "Direct nadat ons volledig beveiligde systeem zichzelf controleerde en een inbraak ontdekte..." maar "Onmiddellijk nadat Diagnostiek voor U de mediaberichtgeving via een journalist van het ANP vernam..."
• Laten we vooral printvriendelijke PDF rapporten met patiëntgegevens naar elkaar gaan e-mailen (onversleuteld natuurlijk, met forwards naar hotmail/live/google etc. Uitwisselen via dropbox of pastbebin kan natuurlijk ook).

Nb. dat in bedoelde rapporten patiëntengevens staan kun je afleiden uit de grijs gemaakte namen in http://www.diagnostiekvooru.nl/secure/resources/umail-april-zorgdomein-special.pdf (er is 1 naam volledig leesbaar gelaten, maar die is mogelijk van de auteur van de publicatie: http://nl.linkedin.com/pub/anja-geertsen/10/777/900).

Uit http://www.diagnostiekvooru.nl/secure/resources/1335958869-persbericht-en-veelgestelde-vragen-antwoorden.pdf:In de media wordt gesteld dat bijvoorbeeld (potentiële)werkgevers patiëntgegevens kunnen inzien. Is dit zo?
Nee, alleen medische professionals hebben de mogelijkheid tot het aanvragen van een inlogcode en wachtwoord. In dit specifieke geval geven de rechten van het illegaal gebruikte account toegang tot gegevens van een beperkt aantal patiënten. Individuele aanvragers kunnen dus niet het hele systeem bekijken.
Dit lees ik als: "Gelukkig ging het bij dit incident niet om één van de groepaccounts (want dan had Henk Krol alle patiëntenrecords in kunnen zien), maar ging het om een verloskundige met maar een beperkt aantal klantjes".

De vraag is of dat waar is (en was) natuurlijk. Misschien had Henk toch wat meer dan 17 accounts moeten proberen...

Uit http://www.diagnostiekvooru.nl/secure/resources/1335958869-persbericht-en-veelgestelde-vragen-antwoorden.pdf:Waarom doet Diagnostiek voor U aangifte?
In het kader van de wet op de computercriminaliteit is aangifte gedaan. Personen hebben zich toegang verschaft tot
het systeem door de bestaande inlognaam en wachtwoord van één aanvrager, die toegang had tot de gegevens van
zijn patiënten, te misbruiken. Uit nader onderzoek in ons systeem blijkt dat met dit onrechtmatig verkregen account de
laboratoriumgegevens van 17 patiënten zijn ingezien. Om dit in de toekomst te voorkomen is het belangrijk om te
weten hoe dit heeft kunnen gebeuren. De politie kan dit onderzoeken.
Bizar dat ze daar de politie voor nodig hebben. Iedereen die maar een beetje verstand van computers heeft kan je vertellen dat je dit soort incidenten in de toekomst kunt voorkomen door je niet alleen op een username+wachtwoord te baseren voor authenticatie.

Ten slotte, als je wat verder zoekt en leest dan denk ik dat dit het topje van de ijsberg is en het EPD (of openEPD) al dan niet samen met ZorgDomein (zie http://www.zorgdomein.nl/nl_nl/zorgdomein/faq-algemeen/ en "FAQ beveiliging" daaronder) niet meer zijn tegen te houden. Zolang je met standaard PCtjes, onversleutelde e-mails, authenticatie slechts door username/wachtwoord en enorme aantallen mensen die erbij kunnen zit, zullen onze gegevens, ondanks talloze Krollen, gewoon over straat blijven rollen (rijmt leuk hè).

Of wacht, het wordt alleen maar erger...

Edit 00:54: typo's/kleine aanpassingen/rijmelarij erbij
06-02-2013, 10:21 door [Account Verwijderd]
[Verwijderd]
06-02-2013, 10:53 door Anoniem
Door Anoniem:
De kosten van het invoeren van RSA-tokens zullen dus niet bij een schadevergoeding worden toegekend. De kosten die DvU heeft gemaakt om de verrichtingen van dhr. Krol te onderzoeken mogelijk wel. Dat lijkt me redelijk.

Dat kan gaan meevallen voor Krol, want wat kost het om de verrichtingen te onderzoeken?
Ik zou denken, aanloggen met 12345 12345, dat is voor de meeste mensen te doen en dan even kijken bij welke informatie je kunt. Voor een IT-er is dat een uurtje werk denk ik zo.
Rapportje van maken.
4 uurtjes werk. IT-ers worden niet (meer) zo goed betaald als bankdirecteuren, dus het zal niet meer kosten dan 350 euro.
06-02-2013, 13:03 door [Account Verwijderd]
[Verwijderd]
08-02-2013, 14:41 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.