Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Het belang van persoonlijke beveiliging: de praktijk
18-07-2014, 17:20 door Anoniem, 12 reacties
Beste,
Zelf ben ik parttime pentester, en doe ik mee aan responsible disclosure vragen op het gebied van web(application) security. Dit houdt in dat ik bedrijven adviseer en test op de status van de beveiliging, en laat zien wat de impact van een inbraak kan zijn op de bedrijfsvoering.
Dit topic gaat echter in op een hele andere tak van beveiliging, namelijk die van jezelf, en de impact die een inbraak kan hebben op je (privé)leven.
Laatst is er ingebroken in het GMail account, bij iemand in de familie. Zo'n 10 jaar geleden zou dit geen enkel probleem zijn, je maakte gewoonweg een nieuw emailaccount aan, en informeerde vrienden over dit nieuwe adres.
Echter, nu zijn de gevolgen niet meer te overzien. In dit geval is er uren ongecontroleerd toegang verkregen door criminelen. Daarin is waarschijnlijk een backup gemaakt van de verzonden en ontvangen mail, contactpersonen en volledige Google drive met daarin persoonlijke bestanden. Ook zijn persoonsgegevens als kopie paspoort, loonstroken, rekeningen in handen van criminelen.
Hierna is het hele account onherstelbaar verwijderd. Naast dat toegang tot persoonlijke mail vervelend is, is er ook een nieuw mailadres aangemaakt op naam van die persoon.
De gevolgen ziin immens: niet alleen moeten alle instanties geïnformeerd worden over het nieuwe emailadres, ook is er toegang tot DigiD, en kunnen met de gegevens leningen worden aangevraagd. Waarschijnlijk is het mogelijk de volledige identiteit te stelen.
Met aangifte doen kom je er niet, tegen alle gevolgen(waarvan je uiteraard pas verneemt wat er gebeurd is als het al geëscaleerd is) van de fraude moet je zelf actie ondernemen!
Dit alles heeft zich afgespeeld zonder dat er virussen of andere malware is gedetecteerd door gerenommeerde virusscanners.
Ik probeer u hiermee te activeren, om zelf actie te ondernemen de beveiliging van, inmiddels kritieke, onderdelen van je identiteit te beschermen!
Hier volgen een aantal belangrijke tips, die deze situatie grotendeels hadden kunnen voorkomen:
- Zet 2-staps authenticatie aan voor je email. Voor Google en Microsoft producten is dit zeer eenvoudig en kostenloos.
- Bij het verzenden of kopiëren van een ID kaart of paspoort, zorg dat het BSN onleesbaar is. Ook hotels, campings ed. mogen hier geen kopie van maken!
- Gebruik bij Wi-Fi een VPN tunnel. Dit versleutelt communicatie en maakt aanvallen vanuit het netwerk onmogelijk. Hiervoor zijn een aantal, eenvoudig te installeren, tools voor mobiel en laptop beschikbaar.
Graag hoor ik uw advies voor anderen, of persoonlijke ervaringen met identiteitsdiefstal/fraude en de gevolgen hiervan. Schroom niet te reageren!
Zelf ben ik parttime pentester, en doe ik mee aan responsible disclosure vragen op het gebied van web(application) security. Dit houdt in dat ik bedrijven adviseer en test op de status van de beveiliging, en laat zien wat de impact van een inbraak kan zijn op de bedrijfsvoering.
Dit topic gaat echter in op een hele andere tak van beveiliging, namelijk die van jezelf, en de impact die een inbraak kan hebben op je (privé)leven.
Laatst is er ingebroken in het GMail account, bij iemand in de familie. Zo'n 10 jaar geleden zou dit geen enkel probleem zijn, je maakte gewoonweg een nieuw emailaccount aan, en informeerde vrienden over dit nieuwe adres.
Echter, nu zijn de gevolgen niet meer te overzien. In dit geval is er uren ongecontroleerd toegang verkregen door criminelen. Daarin is waarschijnlijk een backup gemaakt van de verzonden en ontvangen mail, contactpersonen en volledige Google drive met daarin persoonlijke bestanden. Ook zijn persoonsgegevens als kopie paspoort, loonstroken, rekeningen in handen van criminelen.
Hierna is het hele account onherstelbaar verwijderd. Naast dat toegang tot persoonlijke mail vervelend is, is er ook een nieuw mailadres aangemaakt op naam van die persoon.
De gevolgen ziin immens: niet alleen moeten alle instanties geïnformeerd worden over het nieuwe emailadres, ook is er toegang tot DigiD, en kunnen met de gegevens leningen worden aangevraagd. Waarschijnlijk is het mogelijk de volledige identiteit te stelen.
Met aangifte doen kom je er niet, tegen alle gevolgen(waarvan je uiteraard pas verneemt wat er gebeurd is als het al geëscaleerd is) van de fraude moet je zelf actie ondernemen!
Dit alles heeft zich afgespeeld zonder dat er virussen of andere malware is gedetecteerd door gerenommeerde virusscanners.
Ik probeer u hiermee te activeren, om zelf actie te ondernemen de beveiliging van, inmiddels kritieke, onderdelen van je identiteit te beschermen!
Hier volgen een aantal belangrijke tips, die deze situatie grotendeels hadden kunnen voorkomen:
- Zet 2-staps authenticatie aan voor je email. Voor Google en Microsoft producten is dit zeer eenvoudig en kostenloos.
- Bij het verzenden of kopiëren van een ID kaart of paspoort, zorg dat het BSN onleesbaar is. Ook hotels, campings ed. mogen hier geen kopie van maken!
- Gebruik bij Wi-Fi een VPN tunnel. Dit versleutelt communicatie en maakt aanvallen vanuit het netwerk onmogelijk. Hiervoor zijn een aantal, eenvoudig te installeren, tools voor mobiel en laptop beschikbaar.
Graag hoor ik uw advies voor anderen, of persoonlijke ervaringen met identiteitsdiefstal/fraude en de gevolgen hiervan. Schroom niet te reageren!
Reacties (12)
Ik denk ook dat je willekeurig welke instantie of bedrijf dat het doorgeven van een BSN als authenticatie gebruikt
(wij hebben u een lening gegeven want u gaf uw BSN) er op moet aanspreken dat het weten van een BSN absoluut
niks zegt over identiteit, en dat je deze methode van authenticatie niet accepteert als grond voor claims van hun zijde.
Het zijn die bedrijven zelf die dit risico nemen en dus moeten zij ook de kosten en lasten dragen.
(wij hebben u een lening gegeven want u gaf uw BSN) er op moet aanspreken dat het weten van een BSN absoluut
niks zegt over identiteit, en dat je deze methode van authenticatie niet accepteert als grond voor claims van hun zijde.
Het zijn die bedrijven zelf die dit risico nemen en dus moeten zij ook de kosten en lasten dragen.
19-07-2014, 13:23 door
mcb
In dit geval is er uren ongecontroleerd toegang verkregen ... <knip> ... en volledige Google drive met daarin persoonlijke bestanden. Ook zijn persoonsgegevens als kopie paspoort, loonstroken, rekeningen in handen van criminelen.
De vraag luidt: waarom moet perse alles in de cloud worden opgeslagen.Leuk voor je vakantie foto's zodat je deze makkelijk aan anderen kunt laten zien maar niet voor persoonlijke/gevoelige zaken.
Kopie paspoort en loonstroken horen helemaal niet thuis in een cloud storage.
Als je die perse bij je wilt hebben, sla het dan op in je telefoon. Uiteraard versleuteld voor het geval je telefoon wordt gestolen.
19-07-2014, 13:33 door
Briolet
Duidelijk waarschuwing. Probleem is dat de lezers op dit forum hier al redelijk van bewust zijn en de doelgroep leest dit niet. )-:
Wat ik niet snap is hoe het DigiD account gecompromitteerd is; DigiD heeft een eigen wachtwoord welke niets met GMail van doen heeft. Het DigiD wachtwoord is zelfs een van de weinige die ik zelfs niet in mijn wachtwoord manager heb staan, maar fysiek op papier. Het is ook te complex om te onthouden zodat er een fysieke inbraak in mijn huis nodig is om dat te bemachtigen. (Maar welke inbreker neemt de tijd om all mijn paperassen na te lezen?)
Hoe je 2-staps authenticatie aanzet, snap ik ook niet. Ik heb ook een GMail account, die ik niet actief gebruik. Ik benader GMail met de mail cliënt van Apple, maar ik ben daar nog nooit een optie tegengekomen voor het instellen van 2-staps authenticatie. Ook mijn mailserver kan het GMail account ophalen via pop3 maar ook daar heb ik nooit een optie tot 2-staps authenticatie gezien in de settings.
2-staps authenticatie lijkt me ook heel onpraktisch omdat je mail-programma dan niet zelfstandig kan kijken of er nieuwe mail is en je dan waarschijnlijk een paar keer per uur, met de hand, de authenticatie weer moet invullen om te lijken of er nieuwe mail is.
Wat op vakantie wel een goede tip kan zijn om je mail cliënt in te stellen om niet meer automatisch je mail op te halen. Dan heb je tijd om eerst te beoordelen of je via een veilige verbinding aan het internet hangt, voordat je je mail handmatig ophaalt.
Wat ik niet snap is hoe het DigiD account gecompromitteerd is; DigiD heeft een eigen wachtwoord welke niets met GMail van doen heeft. Het DigiD wachtwoord is zelfs een van de weinige die ik zelfs niet in mijn wachtwoord manager heb staan, maar fysiek op papier. Het is ook te complex om te onthouden zodat er een fysieke inbraak in mijn huis nodig is om dat te bemachtigen. (Maar welke inbreker neemt de tijd om all mijn paperassen na te lezen?)
Hoe je 2-staps authenticatie aanzet, snap ik ook niet. Ik heb ook een GMail account, die ik niet actief gebruik. Ik benader GMail met de mail cliënt van Apple, maar ik ben daar nog nooit een optie tegengekomen voor het instellen van 2-staps authenticatie. Ook mijn mailserver kan het GMail account ophalen via pop3 maar ook daar heb ik nooit een optie tot 2-staps authenticatie gezien in de settings.
2-staps authenticatie lijkt me ook heel onpraktisch omdat je mail-programma dan niet zelfstandig kan kijken of er nieuwe mail is en je dan waarschijnlijk een paar keer per uur, met de hand, de authenticatie weer moet invullen om te lijken of er nieuwe mail is.
Wat op vakantie wel een goede tip kan zijn om je mail cliënt in te stellen om niet meer automatisch je mail op te halen. Dan heb je tijd om eerst te beoordelen of je via een veilige verbinding aan het internet hangt, voordat je je mail handmatig ophaalt.
Bedankt voor de reacties. Ik zie dat ik nog een aantal zaken moet verduidelijken:
De kopie paspoort en loonstrook staan alleen op het mailaccount. Loonstroken werden naar het mailadres verzonden, een kopie van het paspoort is eenmaal verzonden naar een andere instantie.
De cloud is makkelijk, en biedt de garantie dat bij een harde schijf crash of verlies de data niet verloren gaat. Helaas is dit nu op een andere manier wel mogelijk geworden...
Voor de 2 staps authenticatie: deze wekt alleen per web interface. Wel maakt Google voor bv. IMAP en andere verbindingen sterke wachtwoorden aan, die dienen als per-applicatie wachtwoorden.
DigiD zal toegankelijk gemaakt kunnen worden doordat er bijzonder veel privé gegeven buitgemaakt zijn, en hier door iemand zich kan identificeren als de betreffende persoon.
Mail connectie uitzetten is niet nodig, dit verloopt standaard via SSL / TLS en is voor derden dus nooit te onderscheppen. (Tenzij hartblead uiteraard, maar dit levert ook bij VPN een beveiligingsprobleem)
De kopie paspoort en loonstrook staan alleen op het mailaccount. Loonstroken werden naar het mailadres verzonden, een kopie van het paspoort is eenmaal verzonden naar een andere instantie.
De cloud is makkelijk, en biedt de garantie dat bij een harde schijf crash of verlies de data niet verloren gaat. Helaas is dit nu op een andere manier wel mogelijk geworden...
Voor de 2 staps authenticatie: deze wekt alleen per web interface. Wel maakt Google voor bv. IMAP en andere verbindingen sterke wachtwoorden aan, die dienen als per-applicatie wachtwoorden.
DigiD zal toegankelijk gemaakt kunnen worden doordat er bijzonder veel privé gegeven buitgemaakt zijn, en hier door iemand zich kan identificeren als de betreffende persoon.
Mail connectie uitzetten is niet nodig, dit verloopt standaard via SSL / TLS en is voor derden dus nooit te onderscheppen. (Tenzij hartblead uiteraard, maar dit levert ook bij VPN een beveiligingsprobleem)
Ik zit hier ook mee, mijn id en nog wat spullen waren kwijt alles nagezocht kon nix vinden en 2 dagen later lag het op een plek waar ik gezocht had wel en weet dat het dus terug gelegd is.
Mijn email en digid ook gekraakt!
Mijn email en digid ook gekraakt!
21-07-2014, 10:23 door
Vandy
Door Briolet:
Hoe je 2-staps authenticatie aanzet, snap ik ook niet.
Gaat nog eens heel groot worden, dat zoeken op internet: https://support.google.com/accounts/answer/185839?hl=en&ref_topic=1099588 ;-)Hoe je 2-staps authenticatie aanzet, snap ik ook niet.
Door Vandy:
Gaat nog eens heel groot worden, dat zoeken op internet:
Gaat nog eens heel groot worden, dat zoeken op internet:
Hehehe... Opmerking van de week :D
Mega
Houdt toepassing in gebruik van IT gescheiden.
Dus gevoelige toepassing absoluut en fysiek gescheiden van minder belangrijk/gevoelig.
Tijdsmanagement quadrant is hier wel duidend in;
1. urgent & important
2. urgent & not important
3. important & not urgent
4. not important & not urgent
Vanuit dat denkpatroon geimplementeerd zien we veiligheid ook betekenis krijgt in IT. Nu dromen we ons van de werkelijkheid af, die mooi is maar ook nadelen heeft (gemaakt om open te zijn, mooi transparant, open, verbinding, maar niet zonder lastig af te sluiten, lastig eenzijdige verbinding, lastig gecontroleerde transparantie et al), door security by obscurity hoofdzakelijk steeds meer toe te passen.
Vanuit die basis, en lach erom, is meer dan de helft van huidige problematiek daaromtrent, opgelost.
net als consumentenvertrouwen, het belang van persoonlijke veiligheid is ook verbonden aan kwantiteit als groeifactor. is kwalitatief altijd een gevolg, nooit een oorzaak. zo ook met het (besef rondom) persoonlijke veiligheid, komt voort uit de mate van bewustzijn binnen potentie rond actief burgerschap. dus mate van (neiging tot) persoonlijke zekerheid, dus ook mate waarin economische behoefte al of niet voorgeschreven is.
wat wij dus hier in dit topic bespreken is, mate van (wil tot) actief burgerschap. door een gevolg ervan te belichten.
Dus gevoelige toepassing absoluut en fysiek gescheiden van minder belangrijk/gevoelig.
Tijdsmanagement quadrant is hier wel duidend in;
1. urgent & important
2. urgent & not important
3. important & not urgent
4. not important & not urgent
Vanuit dat denkpatroon geimplementeerd zien we veiligheid ook betekenis krijgt in IT. Nu dromen we ons van de werkelijkheid af, die mooi is maar ook nadelen heeft (gemaakt om open te zijn, mooi transparant, open, verbinding, maar niet zonder lastig af te sluiten, lastig eenzijdige verbinding, lastig gecontroleerde transparantie et al), door security by obscurity hoofdzakelijk steeds meer toe te passen.
Vanuit die basis, en lach erom, is meer dan de helft van huidige problematiek daaromtrent, opgelost.
net als consumentenvertrouwen, het belang van persoonlijke veiligheid is ook verbonden aan kwantiteit als groeifactor. is kwalitatief altijd een gevolg, nooit een oorzaak. zo ook met het (besef rondom) persoonlijke veiligheid, komt voort uit de mate van bewustzijn binnen potentie rond actief burgerschap. dus mate van (neiging tot) persoonlijke zekerheid, dus ook mate waarin economische behoefte al of niet voorgeschreven is.
wat wij dus hier in dit topic bespreken is, mate van (wil tot) actief burgerschap. door een gevolg ervan te belichten.
Het probleem is ontstaan toen al die data aan google werd toevertrouwd. Niet toen dat account gehacked werd...
Doe dat nou om te beginnen eens niet, dan is je probleem niet groter dan 10 jaar terug.
Just my 2 cents.
Doe dat nou om te beginnen eens niet, dan is je probleem niet groter dan 10 jaar terug.
Just my 2 cents.
22-07-2014, 21:51 door
Rolfieo
Door Anoniem: Het probleem is ontstaan toen al die data aan google werd toevertrouwd. Niet toen dat account gehacked werd...
Doe dat nou om te beginnen eens niet, dan is je probleem niet groter dan 10 jaar terug.
Just my 2 cents.
Dus eigenlijk gewoon helemaal niet meer het Internet op gaan? Google zit overal.Doe dat nou om te beginnen eens niet, dan is je probleem niet groter dan 10 jaar terug.
Just my 2 cents.
Eigenlijk geen smartphone meer gebruiken, geen Email gebuiken, geen browsing. Want overal kan het verkeerd gaan.
1995 was inderdaad geweldig..........
Maar nu is het Welcome in de 21ste eeuw.
Door Rolfieo:
Eigenlijk geen smartphone meer gebruiken, geen Email gebuiken, geen browsing. Want overal kan het verkeerd gaan.
1995 was inderdaad geweldig..........
Maar nu is het Welcome in de 21ste eeuw.
Door Anoniem: Het probleem is ontstaan toen al die data aan google werd toevertrouwd. Niet toen dat account gehacked werd...
Doe dat nou om te beginnen eens niet, dan is je probleem niet groter dan 10 jaar terug.
Just my 2 cents.
Dus eigenlijk gewoon helemaal niet meer het Internet op gaan? Google zit overal.Doe dat nou om te beginnen eens niet, dan is je probleem niet groter dan 10 jaar terug.
Just my 2 cents.
Eigenlijk geen smartphone meer gebruiken, geen Email gebuiken, geen browsing. Want overal kan het verkeerd gaan.
1995 was inderdaad geweldig..........
Maar nu is het Welcome in de 21ste eeuw.
Ach, je kan Googel ook gewoon in je host file zetten, heb ik ook en geen enkel (onoverkombaar) probleem !
25-07-2014, 12:04 door
WhizzMan
DigID toegang is niet mogelijk tenzij de inbreker het voor elkaar krijgt om de papieren brief die digID je stuurt als je je account laat resetten uit de brievenbus te hengelen.
Gegevens "weg" is te danken aan het niet maken van backups. "De cloud" is hier niet de schuld van, wel het vertrouwen op het feit dat er in een cloud geen gegevens zoek raken. Backups moet je blijven maken, ongeacht waar of bij wie je gegevens staan opgeslagen.
2factor authenticatie aanzetten op gmail, zoals al door diverse mensen is aangeraden is zonder meer verstandig. Dat een apple client die optie niet bied betekent niet dat het niet kan, je kan dit in de webinterface van google doen.
Ik heb het nooit meegemaakt, maar volgens mij kan Google in dit geval wel helpen en zorgen dat je originele account weer van jou wordt. Hoe makkelijk dat te regelen is weet ik niet, maar het lijkt me niet direct noodzakelijk om een nieuw adres aan te maken omdat het oude "gewist" is.
Gegevens "weg" is te danken aan het niet maken van backups. "De cloud" is hier niet de schuld van, wel het vertrouwen op het feit dat er in een cloud geen gegevens zoek raken. Backups moet je blijven maken, ongeacht waar of bij wie je gegevens staan opgeslagen.
2factor authenticatie aanzetten op gmail, zoals al door diverse mensen is aangeraden is zonder meer verstandig. Dat een apple client die optie niet bied betekent niet dat het niet kan, je kan dit in de webinterface van google doen.
Ik heb het nooit meegemaakt, maar volgens mij kan Google in dit geval wel helpen en zorgen dat je originele account weer van jou wordt. Hoe makkelijk dat te regelen is weet ik niet, maar het lijkt me niet direct noodzakelijk om een nieuw adres aan te maken omdat het oude "gewist" is.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
