Column: Mag ik je wachtwoord?
Dat application security niet bij de ontwikkeling van een website of andere service ontbreken mag heeft deze thema 10-daagse geprobeerd duidelijk te maken. Je zou als bedrijf toch niet willen dat een of andere Oost-Europese crimineel er met je klantgegevens vandoor gaat. Iets wat vaker voorkomt dan veel mensen beseffen. De meeste bedrijven die aangevallen worden doen echter uit uit angst voor mogelijke schadeclaims of beschadiging van het imago, geen aangifte bij politie of andere instanties. Je wilt toch niet bekend staan als de onderneming die met grote neonlichten voor inbrekers aangeeft waar de sleutels tot de kluis liggen. Het is misschien een rare vergelijking, feit is wel dat veel ontwikkelaars security niet in hun ontwerp meenemen, waardoor zaken als SQL injectie en cross site scripting nog altijd gebruikt worden.
Nu is een goed beveiligd programma één ding, mensen security bewust maken een ander. Bewustzijn is misschien geen direct onderdeel van het brede "application security" spectrum, het mag zeker niet vergeten worden. Sociaal engineering is namelijk nog altijd springlevend. Zelf beschouwde ik social engineering altijd als de reclame slogan van Kevin Mitnick. De hervormde hacker, en nu goed betaalde spreker, deed zich tijdens zijn hack-activiteiten vaak voor als medewerker of ander persoon om zo wachtwoorden en andere vertrouwelijke gegevens te achterhalen. Mitnick heeft van social engineering een soort religie gemaakt, die hij graag predikt. Je zou hierdoor de werkelijke dreiging van social engineering kunnen vergeten, maar die is echt aanwezig.
Hushmail was het laatste slachtoffer van een kunstige social engineer. Aanvallers wisten via een slordige werknemer gegevens van Network Solutions lost te peuteren, om uiteindelijk de DNS gegevens van het domein te wijzigen. De fout werd snel hersteld, maar het blijft onbegrijpelijk dat dit bij een bedrijf als Network Solutions kan voorkomen. De website is namelijk het gezicht van veel bedrijven, en dat je online aanwezigheid als bedrijf door een goedgelovige werknemer teniet wordt gedaan, is onaanvaardbaar. Natuurlijk heeft Network Solutions security maatregelen ingevoerd die dit soort situaties moeten voorkomen. Toch worden ze niet streng nageleefd, iets wat ook T-Mobile het geval is.
Aanvallers wisten, door zich uit te gegeven als supervisor van het hoofdkantoor, de logingegevens tot de klantendatabase te krijgen, waarna bekendheden als Paris Hilton en Laurence Fishburne gehackt konden worden. Een eenvoudig iets als het laten terugbellen door de werknemer zou dit voorkomen hebben. En zo zijn er nog veel meer eenvoudige regels die het leven van een social engineer een stuk lastiger kunnen maken. Het invoeren en handhaven van dit soort regels heeft helaas geen prioriteit.
Vooral grote bedrijven waar communicatie over allerlei schijven en via verschillende personen loopt lijken kwetsbaar. Daar komt bij dat mensen vaak te goed van vertrouwen zijn en onnodig veel informatie verstrekken aan een willekeurige beller. Zo belde ik laatst naar een bedrijf, maar de persoon die ik moest hebben was niet aanwezig. De persoon die de telefoon opnam wist te vertellen dat degene die ik moest hebben een aantal weken met zwangerschapsverlof was en later zou terugkomen.
Informatie waar ik niet om had gevraagd, maar toch kreeg. Misschien als ik wat verder had gevraagd, had ik nog wat meer gegevens kunnen achterhalen, waarna ik dan weer contact met de helpdesk had op kunnen nemen om bijvoorbeeld logingegevens te ontfutselen.
Een veilige voorkant is belangrijk, de gebruikers die ermee werken mogen ook niet vergeten worden. Aangezien mensen nog altijd te makkelijke wachtwoorden kiezen en hier onzorgvuldig mee omgaan, hebben social engineers, nu hun dreiging nog steeds onderschat wordt, vrij spel. Concrete cijfers ontbreken, er worden geen "logs" bijgehouden hoeveel social engineers er in het afgelopen uur gebeld hebben, toch moeten bedrijven en werknemers op hun hoede zijn. Anders heb je een goed beveiligde voorkant, terwijl het open huis bij de achterkant is.
engineering hadden. Kben ook niet helemaal wakker :P
ondernomen. Hoe kwam de hacker ook al weer binnen? Gewoon via de
telefoon....! Je zou denken dat deze ouwe truc niet meer zou werken, maar
nee hoor....Het is nog steeds mogelijk!
gelezen. Ik moet zeggen dat het een goed boek is dat je aan
het denken zet over de gevaren die personen in je
organisatie met zich mee brengen.
Ook staan er een paar oude verhalen over zijn eigen daden
in, en ik moet gewoon toegeven dat hij wel ok is.
De tekst laat weer eens zien dat er weinig tegen Social Enginering
wordt
ondernomen. Hoe kwam de hacker ook al weer binnen? Gewoon via
de
telefoon....! Je zou denken dat deze ouwe truc niet meer zou werken,
maar
nee hoor....Het is nog steeds mogelijk!
social ingeneering is niet iets waar je tegen kunt wapenen, of je moet
onvriendelijk worden
en dat wil een berijf niet
dus zijn er veel dingen mogenlijk om aan info te komen
doen die privite eyes ook
en juist daarom mis het zo makkelijk
anders hebben zij geen werk meer
o ja ik nok er maar mee
dit is te moeilijk voor jullie hier
en ik wil niemand op ideen brengen
moeilijk zat voor sommigen :-)
onze gegevens moeten achterlaten, kan iemand mij dan uitleggen
waarom zelfs op deze site gevraagd wordt je te registreren?
De meeste smoezen kan ik zelf wel bedenken, dus laat maar. Maar een
organisatie die zegt de veiligheid te willen verbeteren, moet niet zelf
onnodig registraties vragen.
Overigens weet ik wel een manier om te registreren en toch onvindbaar te
blijven, maar daar gaat het hier niet om.
social ingeneering is niet iets waar je tegen kunt wapenen,
of je moet
onvriendelijk worden
en dat wil een berijf niet
En deze opmerking maakt jou dus bij voorkeur een gewild
slachtoffer, want je kunt je goed bewapenen tegen social
engineering, mits je bereidt bent in te zien een mogelijk
slachtoffer te zijn.
Maar de eerste fase van denial, daar stokt het bij de
meesten al.
(Het 'mij overkomt dit niet' syndroom).
Voorbeeld over dat telefoontje: Wanneer iemand telefonisch
gegevens opvraagt is de eerste wedervraag: ''Graag noteer ik
uw naam en telefoonnummer, mijn collega zal ter verificatie
terugbellen om uw vragen te beantwoorden.''
99 van de 100 social engineers die dan al afhaken, zonder
ook maar een moment onbeleefd te zijn geweest.
in ieder geval totdat hij in herhaling begint te vallen over
hoe je moet opletten.
Het ziet er zo makkelijk uit, dat ik geneigd ben zelf ook
wat social engineering toe te passen. Alleen om te kijken of
het echt zo makkelijk gaat, natuurlijk ;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.