XS4ALL Weblog

Archieven - Posts met tag "veiligheid"


‘Don’t click that button’

XS4ALL

Wanneer heeft u voor het laatst een backup van uw data gemaakt en uw wachtwoorden gewijzigd? Mikko Hyppönen spoort u aan om dit meteen te doen. Nu dus. En hij kan het weten, want hij is een zeer invloedrijke cybersecurity-expert en de belangrijkste onderzoeker van F-Secure. In zijn eigen woorden: “I hunt hackers!”

Hyppönen was in Nederland vanwege de uitbreiding van het F-Secure beveiligingspakket waar wij eergisteren over schreven. In ons hoofdkantoor gaf hij een presentatie over de manier waarop hackers onze computers, tablets en smartphones binnendringen.

De zwakste schakel
Zijn belangrijkste boodschap: u, de gebruiker, bent zelf de zwakste schakel binnen de keten van beveiliging. Al in 1995 drongen virussen bestanden van Microsoft Word binnen via zogenaamde macro’s (kleine hulpprogramma’s die bijvoorbeeld tekst automatisch kunnen invullen). Microsoft reageerde hierop door deze macro’s standaard uit te zetten. De gebruiker moest ze voortaan dus zelf inschakelen. Probleem opgelost? Niet dus! Dit jaar, meer dan twintig jaar later, doken de ‘macrovirussen’ weer op. De makers proberen de gebruikers dit keer te overtuigen om macro’s zelf weer aan te zetten. En dat doen ze geraffineerd. Stel, u krijgt een e-mail van uw baas met een Word of Excel-bestand in de bijlage. U opent het bestand. De tekst of data zijn geblurd, dus u klikt op ‘enable content’. Op dat moment geeft u het virus zélf toestemming om uw computer te infecteren. Al uw bestanden (waaronder uw foto’s, e-mails en soms zelfs uw backups in the cloud) worden ‘gegijzeld’ en pas weer vrijgegeven nadat u een flink bedrag heeft overgemaakt op de bankrekening van de verantwoordelijke hackers. Bovendien wordt automatisch een mailtje gestuurd naar uw hele contactlijst. Met daarin een geïnfecteerde bijlage. Uw baas had eerder hetzelfde foutje gemaakt…

‘Don’t click the button!’
De oplossing? Volgens Hyppönen is deze simpel: “Don’t click the button!” Met andere woorden: wees up uw hoede en klik niet zomaar overal op. Maar dat is niet de enige maatregel die u kunt nemen. Van een directeur van een van de grootste antivirusbedrijven zou u het wellicht niet verwachten, maar beveiligingssoftware is volgens hem hierbij niet eens het belangrijkst. In volgorde van belang komt éérst het maken van backups, dán het regelmatig updaten van uw software en pas daarna het installeren van een programma zoals F-Secure.

Slapen naast je schatkist
Maar onderschat het belang van deze software niet. Niet alleen op de computer, maar ook op smartphones en tablets. Android is aldus Hyppönen namelijk na Windows het op een na populairste besturingssysteem voor malware. Ook zonder virussen kunnen mobiele apparaten trouwens kwetsbaarheden hebben. Zo zijn ‘gratis’ apps bijvoorbeeld eigenlijk nooit echt gratis: ze oogsten informatie over uw gebruiken en spelen dit door aan allerlei partijen die daar goed geld voor overhebben. Deze bedrijven weten wanneer u slaapt, hoeveel u beweegt, wat u eet… Smartphones zijn echt schatkisten voor marketeers.

Internet of Things
Uiteindelijk zullen álle elektrische apparaten op het internet worden aangesloten. Hyppönen zegt daarover: “Fabrikanten kunnen een product weliswaar veilig maken voor dagelijks gebruik, maar beveiliging op het internet is nieuw voor hen. Bovendien is er helemaal geen beveiligingssoftware beschikbaar voor wasmachines met internettoegang. Hackers kunnen daardoor via de apparaten inbreken in WiFi-netwerken.” F-Secure ontwikkelt op dit moment een apparaat dat alle devices in een WiFi-netwerk beschermt, zodat hackers niet meer via uw stofzuiger, wasmachine of tosti-ijzer bij uw persoonlijke informatie op uw computer kunnen.

Zijn we dan nergens veilig?
U kunt uzelf afvragen of u dan echt nergens op internet veilig bent. Tja, Mikko Hyppönen zelf is niet meer gehackt sinds 1990 – en als beveiligingsexpert is hij vast en zeker een belangrijk doelwit. Met de juiste voorzorgsmaatregelen bent u dus behoorlijk safe. Ons advies: wees op uw hoede, installeer software-updates direct, gebruik sterke wachtwoorden, maak regelmatig backups en installeer beveiligingssoftware. Bijvoorbeeld F-Secure, gratis als u klant bij XS4ALL bent. Dan kan u niet veel gebeuren.

Bent u ooit gehackt?
Als laatste tip raadt Hyppönen aan om via de website www.haveibeenpwned.com zelf te controleren of uw social media-accounts ooit zijn gehackt. Geen zorgen: hij verzekert dat het absoluut geen kwaad kan om hier uw e-mailadres in te voeren ;-)

Tags: , , , , , . Bookmark de Permalink. 8 Reacties.

Beschermd op al je apparaten

XS4ALL

Gratis 5 lidenties F-secure SAFE bij XS4ALL voor al je apparaten

 

 

 

 

 

 

 

 

 

Sinds vrijdag 1 juli hebben alle klanten van XS4ALL de mogelijkheid om (bijna) al hun apparaten te beschermen tegen cyberaanvallen. We hebben ons beveiligingspakket van F-Secure uitgebreid, waardoor u als klant de software nu op 5 verschillende apparaten kunt installeren. Bovendien is F-Secure nu ook op Android en Windows tablets en smartphones te installeren. Op korte termijn zal er ook een app voor iPhone en iPads verschijnen.

Mikko Hyppönen, de belangrijkste onderzoeker van F-Secure en vooraanstaand internetbeveiligingsexpert, kwam speciaal voor deze gelegenheid naar Amsterdam om meer te vertellen over het belang van cybersecurity. En dat deed hij virtuoos!

Interessant?

In ons blogartikel ‘Don’t click that button‘ vindt u een uitgebreide samenvatting en de presentatie (video) die Mikko Hyppönen heeft gegeven.

Tags: , , , , . Bookmark de Permalink. 20 Reacties.

Hoe bewaart u uw herinneringen?

XS4ALL

Hoe bewaart u uw herinneringen?

Als u twintig jaar geleden aan iemand zou vragen wat ze uit hun huis zouden redden als het in brand stond, zouden ze ongetwijfeld zeggen ‘de fotoboeken’. Niet zo gek, want foto’s zijn uniek en onvervangbaar. Maar sinds foto’s digitaal worden opgeslagen is het veel lastiger om ze veilig op te bergen. Wat als uw computer het begeeft? Wat als u per ongeluk het verkeerde mapje verwijdert?

Iedereen weet het, niemand doet het
Iedereen weet dat back-uppen belangrijk is, maar bijna niemand doet het regelmatig. Pas als het een keer helemaal fout is gegaan nemen we de moeite om na te denken over hoe we onze foto’s kunnen beschermen. Het kan ontzettend veel stress schelen als u het maken van back-ups één keer goed regelt. Wij bespreken hieronder drie manieren om dat te doen.

1. Zelf doen
Eén van de meest rechttoe-rechtaan manieren om te back-uppen is op een externe harddisk. Ze zijn overal te koop en helemaal niet zo duur, en het biedt u het grote voordeel dat u ze veilig op kunt bergen op een plek waar er weinig mee kan gebeuren. Gebruik een programma als Acronis (Windows) of Time Machine (Mac) en u heeft er geen omkijken meer naar.

Als u nog een beetje meer veiligheid wilt, kunt u ook een NAS (Network Attached Storage) gebruiken. Dat is een externe harde schijf die aan uw thuisnetwerk is verbonden, zodat deze voor alle gebruikers van het netwerk toegankelijk is. Goede NASsen hebben twee schijven die automatisch een back-up van zichzelf maken. Zet de NAS in de meterkast, of ergens anders waar boeven hem niet snel vinden en waar u hem gemakkelijk kunt meenemen als er brand zou uitbreken.

2. Uitbesteden
Een andere oplossing die veel voordelen biedt, is uw foto’s opslaan in de cloud. Dit zorgt ervoor dat u de opslag en het beheer van foto’s niet meer zelf hoeft te regelen, maar bij een partij komt te liggen die zich daarin heeft gespecialiseerd. Enkele van de grotere diensten zijn Microsoft OneDrive, iCloud Photos en Flickr. Voor serieuze gebruikers die veel foto’s in hoge resolutie willen opslaan vragen deze diensten een maandelijks bedrag voor de opslag en beveiliging. Een terabyte opslag krijgt u bij OneDrive voor €7 per maand en bij iCloud voor €10 per maand. Flickr biedt gratis 1TB opslag, maar heeft voor €6 per maand een aantal andere handige extra’s.

Bijkomend voordeel van cloud-opslag is dat u overal en altijd, of het nu vanaf uw laptop of uw smartphone is, makkelijk bij uw foto’s kunt als u een internetverbinding tot uw beschikking heeft.

3. Lekker ouderwets
Voor de nostalgische mensen onder ons is er natuurlijk nog een prachtige ouderwetse manier. Laat van je beste foto’s een fysiek fotoboek printen! Er zijn ontzettend veel bedrijven die deze dienst aanbieden, en u kunt zich helemaal uitleven met de vormgeving, de onderschriften, papiersoorten enzovoorts. Bekijk eens de fotoboekentest van De Consumentenbond. Dan heeft u natuurlijk nog wel steeds het probleem van een gevoelig en vergankelijk object, maar als u ook nog een digitale back-up bewaart kan er weinig écht fout gaan.

Neem even de tijd om alles te regelen, dan zult u uzelf in de toekomst oneindig dankbaar zijn!

 

Tags: , , , , . Bookmark de Permalink. 22 Reacties.

Wachtwoorden doorgezaagd

Jacques Schuurman

Als internetter heb je al gauw enkele tientallen wachtwoorden nodig om in verschillende omgevingen in te loggen. In deze blog sta ik uitgebreid stil bij de complexe wereld van wachtwoorden en geef ik achtergrondinformatie en tips om het wachtwoord op een optimale manier te gebruiken om zo maximale bescherming te bieden.

Wat is een wachtwoord?
De term wachtwoord komt uit het verleden. Oorspronkelijk werden accounts op kantoorsystemen beschermd door een wachtwoord van vaak 8, en soms slechts 6 tekens. Tegenwoordig kunnen wachtwoorden veel langer zijn, soms tot 256 tekens of zelfs ongelimiteerd. Hoewel we dus van wachtwoord spreken, zouden we ook wachtzin of wachtstring kunnen zeggen. Verderop leg ik uit hoe belangrijk de lengte van het wachtwoord is.

Als het goed is worden wachtwoorden niet rechtstreeks opgeslagen in de omgeving waar ze gebruikt worden. Meestal zit er een ingewikkelde wiskundige bewerking op (hash function) die van het originele wachtwoord een ander “woord” maakt – een verhaspelde vorm.

De sterkte van een wachtwoord en het kraken ervan
Hoe gaat het kraken van wachtwoorden in zijn werk? De indringers gaan, geautomatiseerd en systematisch, alle mogelijkheden af tot ze het juiste wachtwoord hebben gevonden. Deze methode noemen we trial-and-error en het kan razendsnel. Met sommige tools kun je miljarden wachtwoorden per seconde proberen. Hoe langer een wachtwoord is, hoe meer tijd een wachtwoord-cracker nodig heeft om alle mogelijkheden te proberen.

Een rekenvoorbeeld: Als we uitgaan van 90 keuzes -per teken in een wachtwoord- en een lengte van 12 tekens van het wachtwoord, doet een cracker er 9012 pogingen over om alle combinaties te proberen, ofwel 282429536481000000000000 pogingen. Een aanvaller die er een miljard per seconde uitprobeert, is dan 282429536481000 seconden bezig om alle mogelijke combinaties uit te proberen, wat neerkomt op bijna negen miljoen jaar!

In hoeverre hebben lengte en variatie van een wachtwoord invloed op de tijd dat het kost om een wachtwoord met trial-and-error te achterhalen? Zie de tabel. Daarbij ga ik uit van 1 miljard pogingen per seconde, en dat de treffer waar naar gezocht wordt min of meer in het midden van de test valt. Door de waardes te verdubbelen, krijgt men de absolute bovengrens: in die tijdsspanne zijn alle mogelijke combinaties getest.

wachtwoordsterkte
(lengte en variatie)
lengte = 6 lengte = 8 lengte = 10 lengte = 12
variatie = 26 0,15 seconden 1,75 minuten 19,5 uur 1,5 jaar
variatie = 52 10 seconden 7,5 uur 2.29 jaar 62 eeuw
variatie = 62 28 seconden 30,5 uur 13.3 jaar 511 eeuw
variatie = 90 4,5 minuten 25 dagen 552 jaar 4.500 millennia

 

Naast lengte helpt het om de gebruikte tekens te variëren (kies dus niet alleen kleine of hoofdletters, maar ook cijfers en leestekens). Maar de lengte van het gekozen wachtwoord is doorslaggevend voor de sterkte ervan. Size does matter! Dat leidt tot tip 1:

TIP 1
KIES EEN LANG WACHTWOORD
(of wachtzin; een spatie is net zo goed een geldig teken als alle andere tekens). Op dit moment is een lengte van 12-16 tekens een goede standaardkeuze, maar langer is veiliger. Een lengte van 8 is volkomen ongeschikt.

Wachtwoorden, wachtwoorden. En nog meer wachtwoorden
We hebben steeds meer wachtwoorden nodig. Het dilemma is: overal hetzelfde wachtwoord gebruiken (met alle risico’s van dien als dat alomvattende wachtwoord op straat belandt), of het gebruik van verschillende wachtwoorden, die je allemaal moet onthouden. Dit laatste kun je oplossen met een tool die al je wachtwoorden administreert. De tool is afgeschermd met 1 eigen wachtwoord. De voordelen zijn legio: alle wachtwoorden worden bewaard inclusief de omgeving waar ze betrekking op hebben, ze zijn afgeschermd tegen onbevoegd gebruik, en vele uitvoeringen van deze tool bieden extra functionaliteit zoals het genereren (“verzinnen”) van veilige wachtwoorden, en het plaatsen in de juiste context van eventuele verdere invulgegevens. Het is uiteraard wel zaak om het wachtwoord van de tool zelf een zeer veilig wachtwoord te laten zijn, van voldoende lengte (liefst 16 of meer) en samengesteld uit een brede variatie van tekens.

TIP 2
GEBRUIK EEN WACHTWOORDTOOL
(password manager) om de wachtwoorden voor web-omgevingen, accounts of andere omgevingen op 1 centrale plek op te slaan. Stel een zeer veilig wachtwoord in voor de tool zelf en maak op gezette tijden een back-up van de gegevens die in de tool zijn opgeslagen. Er zijn momenteel verschillende goede wachtwoordtools beschikbaar, sommige betaald, sommige zonder vereiste betaling. Enkele bekende zijn:

o   1Password
o   KeePass
o   iCloud-sleutelhanger
o   LastPass

Op de website van de Consumentenbond staat een vergelijkende test van vijf wachtwoordmanagers.

Ben ik nu veilig?
Bovenstaande tips helpen in belangrijke mate om je gegevens veiliger te laten zijn, maar ze geven geen volledige garantie. Ze beschermen niet tegen aanvallen zoals:

  • De installatie van kwaadaardige software die (bijvoorbeeld) het toetsenbord afluistert op het moment dat je wachtwoorden intoetst. De beste bescherming hiertegen biedt nog altijd een optimaal onderhouden systeem, met up-to-date virusscanners e.d.
  • Het ontfutselen van inloggegevens op vervalste websites. Controleer dus altijd goed of een omgeving wel echt de vertrouwde plek is waar je denkt te zijn. Ziet het er anders uit? Voer dan niet zomaar je wachtwoord in! Controleer de navigatiebalk en verifieer dat de URL ook die is die je kent van eerdere bezoeken.

TIP 3
VERIFIEER DE ECHTHEID
van een site alvorens een wachtwoord in te voeren. Let daarbij op allerlei kenmerken, zoals vorm, tekst, en de exacte samenstelling van het eerste deel van het webadres.

Wachtwoord kwijt – wat nu?
De meeste omgevingen hebben een methode voor wachtwoordherstel. Vaak komt dat neer op een specifieke vraag die alleen de gebruiker kan beantwoorden (de achternaam van je opa van moeders kant, de roepnaam van je eerste huisdier). Een andere methode is via een vooraf ingesteld contactgegeven (e-mailadres, mobiel nummer), waar je dan een reset-link o.i.d. op ontvangt. Let hierbij goed op. Immers, hoe sterk het wachtwoord ook is (was), het enige dat een indringer hoeft te doen is het herstel-geheim kennen om een nieuw wachtwoord in te (laten) stellen.

Stuurt een omgeving het originele wachtwoord opnieuw toe? Dat is zeer risicovol: zij hebben het wachtwoord kennelijk in onverhaspelde vorm opgeslagen, met alle risico’s van dien. Als gebruiker kun je je afvragen of, en zoja welke gegevens je aan zo’n omgeving toevertrouwt.

Sommige omgevingen kunnen niet aan wachtwoordherstel doen, zoals webmaildiensten die de mail automatisch en onherroepelijk versleutelen. Ofschoon zij ironisch genoeg een risico vormen voor de houdbaarheid van de opgeslagen gegevens, zijn zij wel het veiligste in termen van gegevensbescherming. Er kan niemand bij de gegevens, ook de dienstverlener zelf niet, en ook de wachtwoorden zijn niet opgeslagen.

Komt er ooit iets anders?
In feite zijn wachtwoorden als beveiligingsmechanisme enigszins achterhaald. In opkomst is wat we noemen multi-factor authenticatie. Deze methode gebruikt ook iets dat de gebruiker in bezit moet hebben, naast iets wat hij of zij moet weten. Een extra stap is een biometrische factor – een biologisch en onlosmakelijk element van de gebruiker zelf, zoals de iris of een vingerafdruk.

Een voorbeeld van multi-factor authenticatie is wat banken doen. Al sinds jaar en dag gebruiken zij 2-factor authenticatie: bij het elektronisch bankieren heeft de gebruiker zowel een logincode nodig als een aparte omgeving of apparaatje dat eenmalige codes genereert. Deze trend zal ook in andere omgevingen zichtbaar worden.

Ook XS4ALL is op dit moment bezig met voorbereidingen om aan gebruikers een 2-factor authenticatie als alternatief aan te bieden voor de klassieke gebruikersnaam/wachtwoord combinatie. Totdat dergelijke nieuwe en veiligere methodes op grote schaal zijn ingevoerd zullen we het beste moeten maken van de oude vertrouwde wachtwoorden. Dat is, mits bewust gebruikt, nog steeds een behoorlijk veilige methode.

 

Tags: . Bookmark de Permalink. 38 Reacties.

Open WiFi – je verbinding met iedereen delen?

Jacques Schuurman

Bijna iedereen heeft tegenwoordig een draadloos netwerk en een WiFi modem, bij voorkeur beveiligd met versleuteling en een specifiek wachtwoord. Zo voorkom je dat anderen gebruik kunnen maken van het netwerk en er op kunnen rondneuzen. Steeds meer WiFi modems bieden echter de mogelijkheid tot een tweede, open netwerkomgeving, bedoeld om gasten toe te laten. Is zo’n open WiFi een goed idee of niet?

Hoe werkt open WiFi?
Een draadloos netwerk heeft een unieke naam zodat je je draadloze modem kunt onderscheiden van de modems van je buren. Dit heet de Service Set Identifier (SSID). Met het juiste wachtwoord maak je verbinding met het netwerk en kun je via deze (vaste) verbinding het internet op. Tegenwoordig zijn steeds meer WiFi modems in staat om naast een eerste (min of meer private) SSID nog een tweede actief te hebben. Zo’n tweede SSID, open en zonder wachtwoord, is dan bedoeld om gasten wel toe te laten tot het internet, maar niet tot de overige voorzieningen op het lokale netwerk. Ideaal voor gastgebruik. Sommige modems kun je nog verder instellen, zoals het filteren van bepaalde poorten en/of het reguleren van de netwerkcapaciteit die de gast gebruikt.

Voordelen gastgebruik
Via een tweede, open WiFi kun je dus met een vaste aansluiting je internetverbinding delen met anderen, die je niet hoeft te kennen of een wachtwoord hoeft te geven. Makkelijk, bijvoorbeeld voor kleine zelfstandige ondernemingen, praktijkruimtes en vergelijkbare situaties. Maar het kan nog grootser. Waarom zou je niet bijvoorbeeld in een hele straat, wijk of zelfs gemeente iedereen kunnen bewegen zo’n gastnetwerk te activeren, en als er dan overeenstemming is over één uniforme SSID, kan een gastgebruiker “roamen” langs alle particuliere WiFi-netwerken die meedoen. Een mooi gebaar en een invulling van het ‘community’-denken.

Consumenten worden provider
Aan deze benadering kleven wat haken en ogen. Ten eerste is er de wet- en regelgeving. Als particulieren in een bepaald gebied massaal vrije toegang verlenen tot het internet, gaan zij in feite (collectief) als provider opereren. Volgens de wet zijn zij dan aan te merken als een “aanbieder van openbare telecomdiensten”. Dit brengt de nodige rechten en plichten met zich mee. De huidige wet voorziet hier slecht in, en beschouwt consumenten als “eindpunt” van het internet, niet als “tussenstation” – en dat is het geval zodra zij toegang verlenen aan (onbekende) derden.

Risico’s
Laat je gasten toe op je internetverbinding, dan is er technisch gezien geen onderscheid tussen jouw verkeer en dat van een onbekende en tijdelijke gast. Beide verkeersstromen zijn afkomstig van hetzelfde aansluitpunt (de DSL-, kabel-, of glasaansluiting op jouw naam). Levert dat internetverkeer problemen op, dan kan er dus geen onderscheid worden gemaakt tussen jouw aandeel en dat van de tijdelijke passant. De hoofdeigenaar wiens naam en adres bekend zijn, zal dus aangesproken worden op eventuele problemen. Dit kan in extreme gevallen gaan om vermeende strafrechtelijke gedragingen. Je moet dus aannemelijk maken dat een ander het betreffende verkeer gegenereerd heeft (en liefst ook diens personalia kennen), anders kun je zelf in het gedrang komen vanwege (strafrechtelijk) onderzoek en/of de blokkade van internetverkeer op grond van het beleid van de provider.

Voorwaarden van providers
Een ander risico is dat (bijvoorbeeld) buren permanent gratis meeliften met de internetverbinding van een betalende gebruiker. Marktoverwegingen, gevoegd bij het eerder beschreven risico van (on)bedoeld misbruik, hebben de meeste providers ertoe bewogen in hun algemene voorwaarden op te nemen dat het gebruik van de internetverbinding door derden niet is toegestaan. Formeel gesproken handelt iemand die zijn internetverbinding via een open WiFi-verbinding deelt met onbekende derden, in strijd met zulke algemene voorwaarden.

Overigens zijn er providers, waaronder Ziggo, die hun klanten stimuleren om het modem juist open te zetten voor onbekenden, maar dan via een controlelaag die de provider zelf beheert, zodat alleen andere klanten van diezelfde provider kunnen profiteren van gastgebruik. Deze initiatieven zijn in feite door de provider in kwestie zelf geïnitieerd, en staan los van de overwegingen die hier zijn beschreven.

De conclusie
Is het dan een totaal onzinnig idee? Helemaal niet. Regelgeving in het algemeen weerspiegelt vaak hoe “men” er nu over denkt – voortschrijdende technologie of gebruik daarvan zal vroeg of laat zijn weerslag hebben in de geldende wet- en regelgeving. Ook zullen er steeds meer technische oplossingen voorhanden komen die het voor een “eenvoudige” gebruiker makkelijker maken de eigen internetverbinding via een open WiFi op een veilige en verantwoorde wijze te delen met onbekenden. Vooralsnog echter luidt het advies om de eigen WiFi niet open te stellen via een gast-SSID aan toevallige passanten.

Jacques Schuurman
Security Officer bij XS4ALL

Tags: , . Bookmark de Permalink. 32 Reacties.

Internetcriminaliteit uitgelegd

Niels Huijbregts

100.000 euro hackCybersecurity is een lastig onderwerp. Er is heel veel aandacht voor in de media en op andere plaatsen. Iedereen weet dat je sterke wachtwoorden moet kiezen, dat je niet in phishing-berichten moet trappen. Dat je  zorgvuldig moet omgaan met je persoonlijke gegevens online. Maar toch worden veel mensen het slachtoffer van internetcriminaliteit. Kennelijk denken ze ten onrechte dat zoiets hen niet zal gebeuren.

Om te zien hóe het mensen overkomt, is het erg interessant om dit filmpje op LiveLeak te bekijken, waarin in vijf stappen wordt uitgelegd hoe iemand 100.000 euro verdient met cybercrime. Met eenvoudig gekochte pinpassen, vriendelijke telefoongesprekken naar nietsvermoedende bank-klanten en een vluchtje naar Oekraïne voor cybercrime op professioneel niveau.

Om internetveiligheid nog beter op ieders netvlies te krijgen, organiseert het Nationaal Cyber Security Center Alert Online, met een heleboel activiteiten, informatie en praktische tips voor online veiligheid. XS4ALL werkt daaraan mee: we zijn actief in de Abuse Information Exchange, een vereniging waarin een aantal Nederlandse internetproviders samenwerken voor een betere en snellere bestrijding van botnets. Digibewust maakte in het kader van Alert Online het filmpje over de 100.000 euro hack. Op hun site leggen ze uit waarom.

EDIT: het filmpje 100.000 euro hack is door YouTube offline gehaald vanwege ‘oplichtingspraktijken’. Sindsdien is het te zien op LiveLeak. Voor alle duidelijkheid: het filmpje was niet echt, het was alleen bedoeld om mensen bewust te maken van internetcriminaliteit. Ik denk dat het voor YouTube net iets tè realistisch was :-)

Tags: , , . Bookmark de Permalink. 3 Reacties.

Ruim baan voor uw wachtwoord

Jacques Schuurman

Wachtwoorden zijn nog steeds de meest gebruikte methode om gegevens te beschermen en toegang te verlenen aan die mensen die er ook daadwerkelijk bij mogen. Het is een oeroud principe: een systeem, applicatie of misschien wel gewoon een bewaker (zeg: poortwachter), die de rechtmatige gebruikers niet kent, heeft een van tevoren afgesproken “geheim” (het wachtwoord) dat de gebruiker moet noemen als hij ergens bij wil. Dit proces heet authenticatie: de poortwachter stelt vast dat de gebruiker authentiek (echt) is en verleent de bijbehorende privileges.

Versleuteling
De makkelijkste én onveiligste manier is dat de poortwachter de geheimen zelf in een lijstje bewaart. Als deze lijst in handen van anderen valt, kan iedereen onder de identiteit van gebruiker X binnenkomen. Er is dus een volgende stap nodig: versleuteling. Het geheim wordt omgezet in een vorm die versleuteld (en opgeslagen) is. Gebruiker X toont zijn eigen geheim aan de poortwachter, waarna deze de versleutelingsmethode toepast en het resultaat vergelijkt met de opgeslagen versleutelde versie die hoort bij gebruiker X. Komen deze resultaten overeen, dan krijgt X toegang.

Combinaties afgaan
De enige manier voor een indringer om zo’n geheim te breken is dat hij alle mogelijke combinaties probeert door deze via de (gegeven) methode te versleutelen en het resultaat keer op keer te vergelijken met de opgeslagen, versleutelde versie. Als alle combinaties systematisch worden geprobeerd volgt uiteindelijk de treffer: het geheim is gebroken.

Verbeteringen
Gelukkig wordt de methode van versleutelen sterker en worden de wachtwoorden langer. Vroeger accepteerden veel systemen wachtwoorden van maximaal 8 karakters. En veel gebruikers kozen simpele woorden van alleen kleine letters. Aan combinatiemogelijkheden leverde dat 26^8, ofwel 208.827.064.576 (ruim 8 miljard) woorden op. Voor een mens lijkt dat veel, maar computers kunnen vele miljoenen combinaties per seconde proberen. Stel dat een hacker over een programma beschikt dat een miljoen wachtwoorden per seconde kan proberen, dan duurt het 200.000 seconden om 2 miljard combinaties uit te proberen (dus ook de juiste). En dat is ongeveer 55 uur. Dat klinkt al anders!

Kies uit meer dan 26 tekens
We moeten ons heil dus zoeken in het vergroten van het aantal mogelijke combinaties. U hebt veel meer keus dan 26 tekens; op veel toetsenborden zijn circa 90 verschillende tekens direct in te toetsen. Verleng ten tweede uw wachtwoord, bijvoorbeeld van 8 naar 12 tekens. Deze gegevens leveren in bovenstaand voorbeeld een heel andere rekentijd op: 8949651953 (bijna 9 miljard) jaar (!) om alle combinaties uit te proberen. Zonder overdrijven kunnen we dus stellen dat indien de aarde dan nog kosmologisch zelfstandig is, de waarde van de informatie achter het betreffende wachtwoord wel vervaagd zal zijn :-). Eerlijkheid gebiedt te zeggen dat het *gemiddelde* wachtwoord natuurlijk in minder tijd gevonden zal worden, maar dan nog is dat een stuk veiliger dan de eerder aangegeven limieten van wachtwoorden gekozen uit 26 tekens met een lengte van 8.

Wachtwoorden bij XS4ALL
Wij slaan wachtwoorden op in versleutelde vorm, volgens de op dit moment als betrouwbaar te boek staande methode MD5 hashing. Formeel gezien is MD5 hashing geen versleuteling, maar een methode om in één richting (niet omkeerbaar) een wachtwoord op te slaan zonder dat de originele versie te herleiden valt. Het is mogelijk om wachtwoorden (wachtzinnen) van willekeurige lengte te gebruiken; dit is cruciaal om het een aanvaller -die simpelweg alle mogelijkheden probeert- zo moeilijk mogelijk te maken. Een goed artikel hierover: http://nl.wikipedia.org/wiki/Brute_force.

Vernieuw uw wachtwoord
XS4ALL hanteert MD5 hashing sinds 2006. Echter, sommige klanten hebben hun wachtwoord bij ons sinds de invoering van deze methode nog niet gewijzigd. Voor hen geldt in de praktijk nog steeds de limiet van 8 tekens, waardoor hun wachtwoord aanzienlijk makkelijker te kraken valt (zie boven). Deze gebruikers raden wij dus aan om eenmalig hun wachtwoord te vernieuwen, waardoor zij vanaf dat moment automatisch meeliften met de nieuwe methode.

Steekproef onder klanten: 8% achterhaald
Onlangs hebben wij een wachtwoordbreekprogramma -zoals er vele vrijelijk beschikbaar zijn- uitgeprobeerd op een steekproef van onze klanten. In feite precies zoals een hacker te werk zou gaan. In korte tijd (een volle dag) konden we circa 8% van de gebruikte wachtwoorden achterhalen zonder enige insider-kennis. Lees onderstaande tips dus goed door!

Andere valkuilen
Het is dus niet zo moeilijk om een veilig wachtwoord te kiezen dat niet snel gekraakt wordt door het uitproberen van alle combinaties. Maar er zijn uiteraard meer valkuilen. Moeilijke wachtwoorden zijn moeilijk te onthouden, dus worden ze vaak, al dan niet op slinkse wijze, opgeschreven. Slecht ingerichte programma’s kunnen de wachtwoorden onversleuteld ergens op het systeem opslaan (‘plain text’). Ook een veilig wachtwoord kan dan op straat komen te liggen. Kies daarom per omgeving een geschikt wachtwoord. Een website waar een internetter op geen enkele wijze eigen gegevens achterlaat (bv een nieuwssite) is van een heel andere orde dan de site van de bank waarop hij zijn rekeningen beheert.

Tips en trucs
1. Kies verschillende wachtwoorden, of tenminste categorieën van wachtwoorden, bij de verschillende omgevingen waar u wachtwoorden voor moet gebruiken.
2. Bedenk een manier waarbij het wachtwoord (liever: een wacht*zin*) complex blijft, maar die voor uzelf inzichtelijk en dus makkelijk te onthouden is.
3. Gebruik een wachtwoordmanager die wachtwoorden kan administreren en herkent wanneer een specifiek wachtwoord moet worden ingevuld. Met een zorgvuldig gekozen eigen centraal wachtwoord beschermt u de “private” lijst wachtwoorden. Programma’s die dit uitstekend kunnen zijn bijvoorbeeld 1Password (https://agilebits.com/) of Keepass (http://keepass.com).

Toekomst
Een van de zwakke punten van de klassieke wachtwoordbescherming is dat deze alleen maar bestaat uit dat concrete wachtwoord, dat geheim moet worden gehouden. We noemen dit ook wel 1-factorauthenticatie. In de toekomst zullen we steeds vaker een extra factor willen toevoegen aan het geheim dat iemand weet, namelijk iets dat iemand ook *heeft*. Vrijwel alle bancaire diensten werken al zo: de rechtmatige gebruiker *weet* zijn geheim, en *heeft* iets waarmee dat geheim gebruikt kan worden, zoals een bankpasje, of in het geval van electronisch bankieren, een apart apparaatje (token, identifier, challenge-response, mobiele telefoon). Deze benadering lost twee fundamentele problemen op die bestaan in de klassieke benadering van 1-factor:
1. De indringer heeft niet genoeg aan alleen het geheime wachtwoord; hij zal ook de tweede factor in handen moeten krijgen.
2. De combinatie van de 2 factoren produceert elke keer dat ingelogd wordt, een andere code.
Bij electronisch bankieren moet bij elke authenticatie de methode opnieuw worden toegepast, en resulteert deze steeds weer in een andere, voor die sessie unieke combinatie. Dat betekent dat het voor een indringer geen zin heeft om het verkeer van het netwerk af te luisteren, en de conversatie tussen gebruiker en systeem op een ander moment exact na te spelen. De verwachting is dat steeds meer diensten die voor de gebruiker belangrijk zijn, via 2-factorauthenticatie zullen worden ontsloten.

Jacques Schuurman

Jacques is Security Officer bij XS4ALL

Tags: , . Bookmark de Permalink. 56 Reacties.

Vangt u ook wel eens een ‘phish’-je?

Jacques Schuurman

Stel, u zit op een terrasje in de zon. Krantje erbij, kopje koffie. Ineens komt er iemand naast u zitten. In gebroken Nederlands vertelt deze persoon dat er onderhoudswerkzaamheden zijn bij de bank waar u een rekening heeft, en dat men bezig is aan een inhaalslag op het gebied van klantvriendelijkheid. De persoon staat u vriendelijk te woord, draagt zo te zien nette kleding en u ziet zelfs het logo van de bank op de revers van het jasje. Maar geen zorgen, zo hoort u, als u even uw bankpasje geeft en uw bijbehorende pincode op een formuliertje invult, wordt alles voor u geregeld. U heeft daarna zelfs een hogere kredietlimiet!

Raar? Natuurlijk, hier zou niemand intrappen. Maar toch gebeurt dit, dag in dag uit, met klanten van XS4ALL via hun e-mailadres. Dit verschijnsel wordt “phishing” genoemd, en een mailtje van deze aard een “phish”. Een niet aflatende stroom van dit soort mailtjes komt dagelijks voorbij, met de mededeling dat de klant even zijn of haar inloggegevens moet geven opdat de dienstverlening verbeterd kan worden. Vrijblijvend is het niet, want, zo vermeldt het bericht, indien de klant dit niet binnen een bepaalde termijn doet, wordt het account beëindigd. Of men dreigt dat hij of zij alle mail zal kwijtraken.

Hebt u een ‘phish’ gevangen of niet?
Het spreekt vanzelf dat deze berichten vals zijn, en niet afkomstig zijn van XS4ALL. Maar hoe kun je dat, als XS4ALL-klant, nu zo zeker weten? Per slot van rekening is het heel goed mogelijk dat er bepaalde onderhoudswerkzaamheden nodig zijn. Het is misschien zelfs niet ondenkbaar dat dienstverlening noodgedwongen voor korte periodes onderbroken wordt. Toch zijn er kenmerken die u vertellen dat een bericht niet afkomstig is van XS4ALL, maar van criminelen met kwade bedoelingen. Ik zet deze kenmerken graag even op een rij.

1. Taal en toonzetting
Een phish is vrijwel zonder uitzondering gesteld in gebrekkig Nederlands (soms zelfs nemen de afzenders niet eens de moeite om het bericht in het Nederlands te formuleren). Zinnen lopen niet, er worden spel- en stijlfouten gemaakt, en de toonzetting is onbeholpen. Laat voor de grap eens een stuk tekst vertalen door bijvoorbeeld Google translate in een (willekeurige) andere taal, en laat het resultaat dan direct weer terugvertalen naar het Nederlands. Ik heb, als voorbeeld, de alinea hierboven (“Het spreekt vanzelf …”) via Google automatisch vertaald in het Engels, en die tekst weer terugvertaald naar het Nederlands. Dit is het resultaat:

“Uiteraard, deze berichten zijn vals, en natuurlijk niet komen van XS4ALL. Maar hoe kun je, als abonnee, nu zo zeker? Immers, het is heel goed mogelijk dat Inderdaad, moeten sommige onderhoudswerkzaamheden worden uitgevoerd eden. Het is niet ongewoon voor gedwongen dienst korte periodes kan worden onderbroken.”

Maar blijf opletten, want helaas zien wij een trend dat het Nederlands in de phishes steeds beter wordt.

2. Het vragen om uw gegevens (gebruikersnaam, wachtwoord)
Het is natuurlijk raar dat wij om een gebruikersnaam zouden vragen. Dat is nu precies de naam waaronder wij u kennen, dus waarom zouden we er nog om vragen? Daarnaast zal XS4ALL nooit om uw wachtwoord vragen.

3. De adressering
Aan wie is de phish eigenlijk gericht? Technisch is het mogelijk om berichten af te leveren bij andere e-mailadressen dan die u ziet in het Aan:-veld (of To:). Als XS4ALL communiceert met een individuele abonnee dan zal de mail altijd individueel en rechtstreeks gericht zijn aan het e-mailadres dat bij ons als contactadres staat geregistreerd. Daarnaast – van wie is de mail afkomstig? Ook het From:-adres kan een aanwijzing bevatten dat de afzender niets met XS4ALL te maken heeft. Klik op ‘beantwoorden’ of ‘reply’ en u ziet naar welk adres uw antwoord zou gaan. Zo checkt u, zonder dat u iets verstuurt, welk adres er eigenlijk achter de (mogelijke) phish zit, en hoe geloofwaardig dit is.

4. Zit de URL in het domein van XS4ALL?
Vaak wordt de ontvanger van een phish gevraagd om door te klikken op een in het mailtje genoemde URL. Die URL, en dus het adres dat na doorklikken in de navigatiebalk van de browser verschijnt, zal altijd moeten eindigen op xs4all.net of xs4all.nl. Is dat niet het geval, dan heeft u (onbedoeld) contact gezocht met een website die niet door ons wordt aangeboden.

Phishing is lucratief
De vraag is natuurlijk waarom criminelen deze phishes versturen. Het antwoord is simpel: het is de wet van de grote getallen. Het is relatief eenvoudig om vele duizenden (soms meer dan 100.000) mailtjes te versturen naar een complete groep gebruikers achter een bepaald domein. Zelfs als maar één op de duizend ontvangers ingaat op de phish, bestaat de “buit” al uit een aanzienlijk aantal gedupeerden. Met de verzamelde gegevens kan -simpelweg- geld worden verdiend. Denk aan de inhoud van mailboxen, waar aanknopingspunten te vinden zijn voor verdere identiteitsfraude. De criminelen misbruiken de gestolen informatie of verhandelen deze, hetgeen uiteindelijk grof geld oplevert.

Phishing ook via andere kanalen
De manier om mensen onder valse voorwendselen te benaderen blijft niet beperkt tot rare e-mail. Recentelijk hebben we gemerkt dat klanten van XS4ALL ook telefonisch benaderd worden door figuren die zich uitgeven voor medewerkers van XS4ALL. Het slachtoffer wordt dan op een listige manier verleid om op zijn of haar computer bijvoorbeeld in te loggen (met uiteraard het hardop spellen van gebruikersnaam en wachtwoord) of het navigeren naar schimmige websites. Uiteraard passen dergelijke praktijken niet bij XS4ALL: wij zullen u nooit op eigen initiatief telefonisch benaderen om samen met u via de telefoon “problemen op telossen” op uw computer of internetapparatuur.

Wat doet XS4ALL?
XS4ALL probeert te voorkomen dat dergelijke mails onze klanten bereiken. Door te scannen op bepaalde kenmerken kunnen we deze aanvallen met phishing mails vroegtijdig herkennen. Helaas voldoet niet alle phishing mail aan die kenmerken. Daarnaast ontwikkelen we methodes die de aflevering van phishing mail nog verder belemmeren. Dat is echter wel een kat-en-muisspel: iedere keer dat we een extra verdediging tegen phishing hebben ontwikkeld, ontstaan nieuwe phishings die deze verdediging weer weten te ontwijken.

Wat kunt u doen?
Gelukkig kunt u zelf ook wat doen. Ten eerste is het goed om een mail waarin om bepaalde gegevens wordt gevraagd, met enig wantrouwen te bejegenen. Van wie is de mail afkomstig, en met welk doel wordt om de gegevens gevraagd? Past dit bij de organisatie waar de mail vandaan lijkt te komen? Zo zal XS4ALL, net zoals banken, nooit om accounts of wachtwoorden vragen. Als dit in een mail dan toch gebeurt, is er zo goed als zeker sprake van een phish. U helpt ook mee door een phish te melden bij de partij waarvan de naam is misbruikt. Hoe meer mensen dit doen, hoe sneller de organisatie in kwestie maatregelen kan treffen om verdere verspreiding tegen te gaan.

Het gebruik van internet brengt onvermijdelijk met zich mee dat ook lieden die minder goede bedoelingen hebben contact met u zoeken. Door hier gezamenlijk alert op te zijn kunnen we echter een heleboel ellende voorkomen. Daar blijven we bij XS4ALL graag, samen met onze klanten, aan werken.

Jacques Schuurman

Jacques is Security Officer bij XS4ALL

Tags: , . Bookmark de Permalink. 31 Reacties.