image

Column: Mag ik je wachtwoord?

vrijdag 20 mei 2005, 13:47 door Redactie, 10 reacties

Dat application security niet bij de ontwikkeling van een website of andere service ontbreken mag heeft deze thema 10-daagse geprobeerd duidelijk te maken. Je zou als bedrijf toch niet willen dat een of andere Oost-Europese crimineel er met je klantgegevens vandoor gaat. Iets wat vaker voorkomt dan veel mensen beseffen. De meeste bedrijven die aangevallen worden doen echter uit uit angst voor mogelijke schadeclaims of beschadiging van het imago, geen aangifte bij politie of andere instanties. Je wilt toch niet bekend staan als de onderneming die met grote neonlichten voor inbrekers aangeeft waar de sleutels tot de kluis liggen. Het is misschien een rare vergelijking, feit is wel dat veel ontwikkelaars security niet in hun ontwerp meenemen, waardoor zaken als SQL injectie en cross site scripting nog altijd gebruikt worden.

Nu is een goed beveiligd programma één ding, mensen security bewust maken een ander. Bewustzijn is misschien geen direct onderdeel van het brede "application security" spectrum, het mag zeker niet vergeten worden. Sociaal engineering is namelijk nog altijd springlevend. Zelf beschouwde ik social engineering altijd als de reclame slogan van Kevin Mitnick. De hervormde hacker, en nu goed betaalde spreker, deed zich tijdens zijn hack-activiteiten vaak voor als medewerker of ander persoon om zo wachtwoorden en andere vertrouwelijke gegevens te achterhalen. Mitnick heeft van social engineering een soort religie gemaakt, die hij graag predikt. Je zou hierdoor de werkelijke dreiging van social engineering kunnen vergeten, maar die is echt aanwezig.

Hushmail was het laatste slachtoffer van een kunstige social engineer. Aanvallers wisten via een slordige werknemer gegevens van Network Solutions lost te peuteren, om uiteindelijk de DNS gegevens van het domein te wijzigen. De fout werd snel hersteld, maar het blijft onbegrijpelijk dat dit bij een bedrijf als Network Solutions kan voorkomen. De website is namelijk het gezicht van veel bedrijven, en dat je online aanwezigheid als bedrijf door een goedgelovige werknemer teniet wordt gedaan, is onaanvaardbaar. Natuurlijk heeft Network Solutions security maatregelen ingevoerd die dit soort situaties moeten voorkomen. Toch worden ze niet streng nageleefd, iets wat ook T-Mobile het geval is.

Aanvallers wisten, door zich uit te gegeven als supervisor van het hoofdkantoor, de logingegevens tot de klantendatabase te krijgen, waarna bekendheden als Paris Hilton en Laurence Fishburne gehackt konden worden. Een eenvoudig iets als het laten terugbellen door de werknemer zou dit voorkomen hebben. En zo zijn er nog veel meer eenvoudige regels die het leven van een social engineer een stuk lastiger kunnen maken. Het invoeren en handhaven van dit soort regels heeft helaas geen prioriteit.

Vooral grote bedrijven waar communicatie over allerlei schijven en via verschillende personen loopt lijken kwetsbaar. Daar komt bij dat mensen vaak te goed van vertrouwen zijn en onnodig veel informatie verstrekken aan een willekeurige beller. Zo belde ik laatst naar een bedrijf, maar de persoon die ik moest hebben was niet aanwezig. De persoon die de telefoon opnam wist te vertellen dat degene die ik moest hebben een aantal weken met zwangerschapsverlof was en later zou terugkomen.

Informatie waar ik niet om had gevraagd, maar toch kreeg. Misschien als ik wat verder had gevraagd, had ik nog wat meer gegevens kunnen achterhalen, waarna ik dan weer contact met de helpdesk had op kunnen nemen om bijvoorbeeld logingegevens te ontfutselen.

Een veilige voorkant is belangrijk, de gebruikers die ermee werken mogen ook niet vergeten worden. Aangezien mensen nog altijd te makkelijke wachtwoorden kiezen en hier onzorgvuldig mee omgaan, hebben social engineers, nu hun dreiging nog steeds onderschat wordt, vrij spel. Concrete cijfers ontbreken, er worden geen "logs" bijgehouden hoeveel social engineers er in het afgelopen uur gebeld hebben, toch moeten bedrijven en werknemers op hun hoede zijn. Anders heb je een goed beveiligde voorkant, terwijl het open huis bij de achterkant is.

Reacties (10)
20-05-2005, 17:47 door Anoniem
Ik de hele tijd maar denken dat ze het over reverse
engineering hadden. Kben ook niet helemaal wakker :P
20-05-2005, 21:56 door G-Force
De tekst laat weer eens zien dat er weinig tegen Social Enginering wordt
ondernomen. Hoe kwam de hacker ook al weer binnen? Gewoon via de
telefoon....! Je zou denken dat deze ouwe truc niet meer zou werken, maar
nee hoor....Het is nog steeds mogelijk!
21-05-2005, 08:10 door GateHawk
Heb het boek "De kunst van het misleiden" van Kevin Mitnick
gelezen. Ik moet zeggen dat het een goed boek is dat je aan
het denken zet over de gevaren die personen in je
organisatie met zich mee brengen.

Ook staan er een paar oude verhalen over zijn eigen daden
in, en ik moet gewoon toegeven dat hij wel ok is.
21-05-2005, 17:51 door Anoniem
Door Peter V.
De tekst laat weer eens zien dat er weinig tegen Social Enginering
wordt
ondernomen. Hoe kwam de hacker ook al weer binnen? Gewoon via
de
telefoon....! Je zou denken dat deze ouwe truc niet meer zou werken,
maar
nee hoor....Het is nog steeds mogelijk!
--------------------
social ingeneering is niet iets waar je tegen kunt wapenen, of je moet
onvriendelijk worden
en dat wil een berijf niet
dus zijn er veel dingen mogenlijk om aan info te komen
doen die privite eyes ook
en juist daarom mis het zo makkelijk
anders hebben zij geen werk meer

o ja ik nok er maar mee
dit is te moeilijk voor jullie hier
en ik wil niemand op ideen brengen
23-05-2005, 16:42 door Anoniem
Nederlandse en Engelse woorden achter elkaar goed schrijven is ook
moeilijk zat voor sommigen :-)
02-06-2005, 21:37 door Anoniem
[email]lamptey9@hotmail.com[/email] en g-unit wacht woord
06-06-2005, 08:25 door Anoniem
Als we ons zo druk maken over veiligheid en roepen dat we niet overal
onze gegevens moeten achterlaten, kan iemand mij dan uitleggen
waarom zelfs op deze site gevraagd wordt je te registreren?

De meeste smoezen kan ik zelf wel bedenken, dus laat maar. Maar een
organisatie die zegt de veiligheid te willen verbeteren, moet niet zelf
onnodig registraties vragen.

Overigens weet ik wel een manier om te registreren en toch onvindbaar te
blijven, maar daar gaat het hier niet om.
07-06-2005, 17:16 door Anoniem

social ingeneering is niet iets waar je tegen kunt wapenen,
of je moet
onvriendelijk worden
en dat wil een berijf niet

En deze opmerking maakt jou dus bij voorkeur een gewild
slachtoffer, want je kunt je goed bewapenen tegen social
engineering, mits je bereidt bent in te zien een mogelijk
slachtoffer te zijn.

Maar de eerste fase van denial, daar stokt het bij de
meesten al.
(Het 'mij overkomt dit niet' syndroom).

Voorbeeld over dat telefoontje: Wanneer iemand telefonisch
gegevens opvraagt is de eerste wedervraag: ''Graag noteer ik
uw naam en telefoonnummer, mijn collega zal ter verificatie
terugbellen om uw vragen te beantwoorden.''

99 van de 100 social engineers die dan al afhaken, zonder
ook maar een moment onbeleefd te zijn geweest.
29-06-2005, 08:47 door bustersnyvel
Mitnick's boek is inderdaad erg goed. Fijn geschreven ook,
in ieder geval totdat hij in herhaling begint te vallen over
hoe je moet opletten.

Het ziet er zo makkelijk uit, dat ik geneigd ben zelf ook
wat social engineering toe te passen. Alleen om te kijken of
het echt zo makkelijk gaat, natuurlijk ;-)
03-07-2005, 19:40 door Anoniem
De meeste smoezen kan ik zelf wel bedenken, dus laat maar. Maar
een organisatie die zegt de veiligheid te willen verbeteren, moet niet zelf
onnodig registraties vragen.
Wat zei u Meneer Anoniem?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.