image

Beveiligingsexpert: Iedereen moet een Hyves profiel

dinsdag 28 april 2009, 16:44 door Redactie, 15 reacties

Begin april kwam de baas van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), generaal-majoor Pieter Cobelens, negatief in het nieuws omdat hij een Hyves pagina had. Hierdoor zou Cobelens informatie over zijn privéleven hebben prijsgegeven, maar volgens Rik Ferguson, beveiligingsexpert bij anti-virusbedrijf Trend Micro, zou iedereen een Hyves profiel moeten aanmaken. De "Solutions architect" laat tegenover Security.nl weten dat persoonlijke informatie nu veel meer waard is dan tien jaar geleden, met name omdat er toen nog niet zoveel van was op het internet.

Claim je profiel
"Mensen geven teveel gratis weg op het internet" en dat is niet zonder gevolgen. Aan de hand van alleen sociale netwerksites als Hyves en LinkedIn is het eenvoudig om een zeer gedetailleerd profiel van iemand te maken. Ferguson merkt op dat veel mensen hun profiel niet op privé zetten, ook al is die optie wel aanwezig. Hij demonstreert hoe hij via publiek opvraagbare websites een zeer gerichte e-mail voor een collega maakt. Het enige dat ontbreekt is een Word document of PDF bestand met een exploit erin verstopt. Doordat de e-mail zo persoonlijk lijkt, de afzender is vervalst en de inhoud lijkt alleen vanaf de afzender te komen, zijn dit soort aanvallen zeer succesvol in het slachtoffers laten openen van bijlagen.

Het verkrijgen van de benodigde informatie voor een spear-phishing aanval stelt echter niet veel voor. Google en een LinkedIn profile zijn in het voorbeeld van Ferguson voldoende. Het zoeken naar de naam van zijn slachtoffer levert een pagina op met andere namen waar deze persoon eerder mee werkte. Een handig aanknopingspunt voor de aanvaller, die niet alleen de identiteit van een oud collega kan gebruiken, maar ook een referentiepunt heeft voor een e-mail. Om de aanval te laten slagen moet het slachtoffer zijn machine niet gepatcht hebben, maar volgens Ferguson kun je er vanuit gaan dat mensen hun machines niet patchen.

"Neem dus controle over je eigen profielen. Ook al gebruik je geen MySpace of Facebook, maak toch een profiel aan, alleen om mensen aan te geven dat je die dienst niet gebruikt. Claim je identiteit, anders doet iemand anders dat voor je." Wie toch actief op een sociale netwerksite wil zijn krijgt het advies om hier verstandig en voorzichtig mee om te gaan. Als je een persoon wilt oplichten, lukt dat het beste door je als iemand voor te doen die het slachtoffer kent. Ferguson gebruikt zelf een nep-profiel voor onderzoeksdoeleinden en krijgt regelmatig uitnodigingen van mensen of hij hun vriend wil worden. "De persoonlijkheid die ik gemaakt hebt bestaat niet eens en toch willen ze me al toevoegen."

Google jezelf
Het tweede advies dat Ferguson geeft is dat mensen zichzelf moeten Googlen. "Weet welke informatie er over je online staat." Tot op zekere hoogte kun je online informatie verwijderen. Ook voor de generatie die in de jaren negentig al actief was op het web kunnen de gevolgen van online informatie nog vervelende gevolgen hebben. "Denk aan je eerste website die je zelf maakte, vijftien jaar later staat die nog steeds online en vindt je potentiële werkgever die bij het Googlen."

Een andere manier om informatie over jezelf in de gaten te houden is het gebruik van Google Alerts. Ferguson geeft als voorbeeld dat hij zijn eigen creditcardgegevevens online vond. Hij had een Google Alert voor de eerste acht cijfers van zijn creditcard ingesteld, toen hij onlangs bericht kreeg dat het getal door Google was gevonden. De website waar de informatie op stond bleek nog veel meer creditcardgegevens te bevatten. Ferguson merkt op dat beveiliging en privacy veel mensen niet interesseert, omdat ze toch door hun bank vergoed worden. "Maar dat geld moet ergens vandaan komen en aan het eind van de dag draaien we er allemaal voor op."

Reacties (15)
28-04-2009, 17:18 door Anoniem
Loos profiel aanmaken heeft niet extreem veel nut. Neem hyves, je hebt een username die username.hyves.nl vult, verder kun je meerdere keren iemand met zelfde naam aanmaken (en geboortedata enz). Dus wie is echte? Ook kan iemand 'm op prive zetten, dat profiel, maar dat zegt niets. Jezelf googelen is soms ook verrassend, maar probleem is vaak dat entries op een forum niet verwijderd kunnen worden, omdat je loginfo niet klopt en 'wachtwoord vergeten' naar een niet meer bestaand adres gaan.
28-04-2009, 18:18 door spatieman
hyves, cool.
ik ben nu al 4 dagen bezig een stomme jpg als profiel foto te uploaden...
ding is 12k groot......
28-04-2009, 18:28 door Anoniem
Door spatieman: hyves, cool.
ik ben nu al 4 dagen bezig een stomme jpg als profiel foto te uploaden...
ding is 12k groot......

Damn hyves is echt stom bezig als een computer expert als jij geen jpg kan uploaden...... ;)

[goestin]
28-04-2009, 18:39 door Anoniem
pleur lekker op


hzlz
28-04-2009, 20:19 door Anoniem
Wat is er beter dan een ander die jouw hyvesnaam claimt.
Beter kun je niet hebben.

Met als gevolg dat ze met een ander zijn gegevens jouw identiteit proberen te hacken...
28-04-2009, 21:35 door Anoniem
Facebook, hyves, linkedin, twitter en ga zo maar door, je mag bijna wel een bot inzetten om dan op al die pagina's een profiel aan te maken.
28-04-2009, 22:02 door Preddie
Door spatieman: hyves, cool.
ik ben nu al 4 dagen bezig een stomme jpg als profiel foto te uploaden...
ding is 12k groot......

4 dagen bezig met een upload van 12k :P

in deze bewoording lijkt het net alsof je internet verbinding hier de oorzaak van is ... ;)
29-04-2009, 02:01 door Anoniem
man ik heb '[url=http://en.wikipedia.org/wiki/Hives]hives[/url]' in m'n ***spleet; of werd dat niet bedoeld?
29-04-2009, 06:54 door Anoniem
Facebook, hyves, linkedin, twitter, Myspace en andere...
Ik hou mij met die diensten allemaal niet bezig.
Ik zie daar het nut zo niet van in.
Voor mij zijn dat gewoon informatieverzamelaars.
29-04-2009, 07:56 door Anoniem
linked in is tot daaraan toe, maar hyves? is deze knakker wel goed bij zijn hoofd? sorry dat ik mezelf even plat uitdruk, maar hyves, facebook <vul hier al die andere web 2.0 dingen in> moeten echt dood!
29-04-2009, 08:53 door Anoniem
Mijn naam is Jan Jansen. Ik wil net mijn hyves pagina claimen, maar zie dat mijn profiel al 50 keer is gehijacked. Beste Rik: heb ik nu een beveiligingsprobleem?
29-04-2009, 10:07 door Anoniem
Ik heb ook een eigen domeintje en als jullie allemaal niet heel snel een eigens subdomein aanschaffen, gaat de beuk erin!
Hebben jullie dat goed begrepen ?!

"Neem dus controle over je eigen subdomein. Ook al gebruik je het niet, maak toch een profiel aan, alleen om mensen aan te geven dat je die dienst niet gebruikt. Claim je identiteit, anders doet iemand anders dat voor je."

;)
29-04-2009, 10:22 door Anoniem
Hallo, idd klinkt allemaal best logisch, maar ligt het overgrootte probleem niet bij al die bedrijven die in hun eigen database'jes naw gegevens verzamelen en deze op schandalig slechte wijze beveiligen zodat deze informatie vaak met duizenden tegelijk openbaar worden.

Ok, ik registreem mij op hyves on der de naam Flippy Flink. Wat belet een andere persoon ertoe zich te registreren onder de naam F Flink. Beide kunnen en men zou kunnen zeggen zijn dezelfde persoon. Waar is het onderscheid, en hoe kan men de echte persoon onderscheiden van de valse?

Leuke materie, ben blij dat ik geen beveiligings deskundige ben, alhoewel, er is vast veel geld mee te verdienen...
29-04-2009, 20:20 door Anoniem
Hyves nee dank je wel!,
Ik heb ergere profiel sites gezien!
Iedereen naar cu2.......
Ze hebben bij de gemeente mijn sofi nummer wel ;-)
Was ik even in het kort

Was getekend anoniem @ 20:19 geloof ik
Volgens mij moet ik links af?
29-04-2009, 21:08 door Anoniem
lekker stom advies weer. in plaats van alle profielen ter wereld te claimen kan hij beter zeggen dat gebruikers gewoon beter opgeleid moeten worden en niet zomaar dingen moeten accepteren zonder validatie van een vreemde. sukkel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.