Opstelten kan diefstal 1,2 miljard wachtwoorden niet bevestigen
Minister Opstelten van Veiligheid en Justitie kan niet bevestigen noch ontkennen dat cybercriminelen inderdaad 1,2 miljard wachtwoorden hebben gestolen zoals het Amerikaanse beveiligingsbedrijf Hold Security beweert. De minister reageerde op Kamervragen van D66 over de omvangrijke datadiefstal.
Begin augustus kwam de New York Times met het nieuws dat Hold Security een bende cybercriminelen op het spoor was gekomen die 1,2 miljard inloggegevens had gestolen. De gegevens waren afkomstig van 420.000 gehackte websites en gekocht via andere cybercriminelen. Volgens Opstelten is op de mediaberichten na nog geen feitelijke informatie beschikbaar.
"Het NCSC heeft direct contact gezocht met Hold Security om meer informatie te krijgen. Tot dusverre is door Hold Security geen gedetailleerde informatie gedeeld met het NCSC over de buitgemaakte data. Buiten de mediaberichten is geen feitelijke informatie beschikbaar waardoor de precieze impact van de datadiefstal niet is vast te stellen", aldus de minister.
Daardoor is het ook onbekend welke organisaties en individuen mogelijk zijn geraakt en of hier ook Nederlandse partijen tussen zitten en via welke websites de gegevens zijn buitgemaakt. Ook kan Opstelten niet bevestigen of de gestolen gegevens via SQL Injection zijn buitgemaakt, zoals Hold Security zelf beweerde.
Terughacken
D66-Kamerleden Verhoeven en Berndsen-Jansen hadden de minister ook gevraagd in hoeverre een eventuele vorm van terughacken een rol kan spelen bij het beperken van de schade die door het botnet is veroorzaakt. Hierop laat Opstelten weten dat gezien de tot nu toe bekende informatie er weinig te zeggen valt of in dit bijzondere geval het "binnendringen in deze geautomatiseerde werken" een rol zou kunnen spelen bij het beperken van de schade.
"In het algemeen kan wel gesteld worden dat de uitbreiding van de mogelijkheden voor politie en Openbaar Ministerie die deel uitmaken van het wetsvoorstel Cybercrime III in de toekomst bij zullen dragen aan de bestrijding van botnets. In het bijzonder het binnen dringen in een geautomatiseerd werk geeft de mogelijkheid om bijvoorbeeld command en controlservers van botnets te onderzoeken en zonodig uit te schakelen", zo stelt de minister, die daarmee vooruit lijkt te lopen op de stemming over het voorstel.
In het land der blinden is de éénoog koning.
Uitsluitend het oudste email adres was gecompromitteerd volgens hold:
Dear........,
This is a message from Hold Security regarding your recent Hold Identity inquiry.
We can confirm that your online credentials have been compromised. However, don’t panic just yet. It is possible that the compromised password(s) associated with this email address are not critical, for example, a password might be very old or assigned to you by default by a service provider.
If you would like to know which one of your passwords has been compromised, follow the link to our website and enter your ticket number, which can be found in the subject field of this email. You can submit up to 15 passwords that will be encrypted using a very secure algorithm and sent to us for running a comparison check in our database. Please note that if you try to send us your passwords unencrypted, we will not respond and disregard your inquiry completely.
Once we check our database, we will let you know which, if any, of your (encrypted) passwords have been breached.
Thank you for your interest in our Hold Identity service and taking the time to submit your inquiry.
Daarna heb ik. m.b.v. een verstrekt ticket nummer, 13 wachtwoorden kunnen opgezenden. De meeste zijn oud (maar wel gebruikt). Ook 1 nog gebruikt wachtwoord van 8 tekens heb ik opgegeven. De andere varieerden qua sterkte: allemaal wachtzinnen: 1 van 2 woorden met 10 tekens (kraakbaar), maar de meeste niet kraakbaar bijvoorbeeld wachtzinnen met 5 woorden.
Volgens Hold zijn alle wachtwoorden niet gecompromitteerd:
Dear ......., great news!
This is a message from Hold Security regarding your recent Hold Identity inquiry.
We can confirm that none of the passwords that you submitted to us have been compromised in the latest CyberVor breach.
We would like to encourage you to stay tuned for our full service, which we will be rolling out in the next 60 days. Even if you are already enrolled in some sort of identity theft protection service, keep in mind that it will not protect your e-identity. Even though your current service may guarantee that no one can open a credit line in your name, your online accounts for social media, internet banking or other services may still be vulnerable.
Hold Security will create an easy to use and extremely affordable way to notify you if your electronic identity is ever compromised. The latest CyberVors story is not the only big find for Hold Security. In fact, we are constantly in the news, with the latest stories including our discovery of 530 million breached Adobe accounts, over 360 million records trafficked by hackers on the black market and much more.
Once again, thank you for your interest in Hold Security and we will be sending you an invitation email as soon as our full service is operational.
Het geheel nam ongeveer 5 weken. Het meest verbazingwekkend blijf ik vinden dat zij alle wachtwoorden in SHA-512 format schijnen te hebben. Het lijkt er namelijk op dat je alleen die hash codes van de wachtwoorden verzend. Dat betekent dat zij of alle wachtwoorden in klare tekst hebben (en er SHA-512 van maken voor de veiligheid) of dat zij alleen de SHA-512 hash code bezitten. Alles in klare tekst kan alleen voor zwakke wachtwoorden. Zelfs snelle hashes Als NTLM zijn niet te kraken bij gebruik van sterke wachtwoorden. Alles aannemende dat de gekraakte websites in ieder geval een hash gebruiken.
De grap is dus dat een sha* of md5 allen op brute force te kraken zijn. Geef je je wachtwoord dan kan je dat eenvoudig omzetten naar sha* of md5 en snel vergelijken op een db. Dus nooit zomaar een wachtwoord of pincode verstrekkken. Zo help je dus bouwen aan een goed gevulde rainbow-tabel.
Uitsluitend het oudste email adres was gecompromitteerd volgens hold:
Dear........,
This is a message from Hold Security regarding your recent Hold Identity inquiry.
We can confirm that your online credentials have been compromised. However, don’t panic just yet. It is possible that the compromised password(s) associated with this email address are not critical, for example, a password might be very old or assigned to you by default by a service provider.
If you would like to know which one of your passwords has been compromised, follow the link to our website and enter your ticket number, which can be found in the subject field of this email. You can submit up to 15 passwords that will be encrypted using a very secure algorithm and sent to us for running a comparison check in our database. Please note that if you try to send us your passwords unencrypted, we will not respond and disregard your inquiry completely.
Once we check our database, we will let you know which, if any, of your (encrypted) passwords have been breached.
Thank you for your interest in our Hold Identity service and taking the time to submit your inquiry.
Daarna heb ik. m.b.v. een verstrekt ticket nummer, 13 wachtwoorden kunnen opgezenden. De meeste zijn oud (maar wel gebruikt). Ook 1 nog gebruikt wachtwoord van 8 tekens heb ik opgegeven. De andere varieerden qua sterkte: allemaal wachtzinnen: 1 van 2 woorden met 10 tekens (kraakbaar), maar de meeste niet kraakbaar bijvoorbeeld wachtzinnen met 5 woorden.
Volgens Hold zijn alle wachtwoorden niet gecompromitteerd:
Dear ......., great news!
This is a message from Hold Security regarding your recent Hold Identity inquiry.
We can confirm that none of the passwords that you submitted to us have been compromised in the latest CyberVor breach.
We would like to encourage you to stay tuned for our full service, which we will be rolling out in the next 60 days. Even if you are already enrolled in some sort of identity theft protection service, keep in mind that it will not protect your e-identity. Even though your current service may guarantee that no one can open a credit line in your name, your online accounts for social media, internet banking or other services may still be vulnerable.
Hold Security will create an easy to use and extremely affordable way to notify you if your electronic identity is ever compromised. The latest CyberVors story is not the only big find for Hold Security. In fact, we are constantly in the news, with the latest stories including our discovery of 530 million breached Adobe accounts, over 360 million records trafficked by hackers on the black market and much more.
Once again, thank you for your interest in Hold Security and we will be sending you an invitation email as soon as our full service is operational.
Het geheel nam ongeveer 5 weken. Het meest verbazingwekkend blijf ik vinden dat zij alle wachtwoorden in SHA-512 format schijnen te hebben. Het lijkt er namelijk op dat je alleen die hash codes van de wachtwoorden verzend. Dat betekent dat zij of alle wachtwoorden in klare tekst hebben (en er SHA-512 van maken voor de veiligheid) of dat zij alleen de SHA-512 hash code bezitten. Alles in klare tekst kan alleen voor zwakke wachtwoorden. Zelfs snelle hashes Als NTLM zijn niet te kraken bij gebruik van sterke wachtwoorden. Alles aannemende dat de gekraakte websites in ieder geval een hash gebruiken.
De grap is dus dat een sha* of md5 allen op brute force te kraken zijn. Geef je je wachtwoord dan kan je dat eenvoudig omzetten naar sha* of md5 en snel vergelijken op een db. Dus nooit zomaar een wachtwoord of pincode verstrekkken. Zo help je dus bouwen aan een goed gevulde rainbow-tabel.
De grap is dat SHA512 niet eenvoudig te kraken is. (en in combinatie met een wachtwoord afleidingsfunctie als SHA512Crypt is het in de praktijk niet te kraken). Als je dus vrijwel zeker bent dat alleen de SHA-512 hash verzonden wordt, geef je sterke wachtwoorden dus echt niet uit handen. Kijk bij http://hashcat.net/oclhashcat/, je hebt 8 top GPU's nodig en dan nog neemt een wachtzin als kijken cla?rks verst zaken gemiddeld 65 jaar, aannemend dat ze wachtzinnen ook kunnen kraken! Neem 1 woord extra en het neemt eeuwen, zelfs als het (beperkte) woordenboek bekend is! Een pleidooi voor het gebruik van sterke wachtwoorden.
Het belang van rainbow tabellen wordt schromelijk overschat, vooral wat bruikbaarheid betreft. Lees een forum als StackExchange er maar op na. Voor het maken van een lijst met SHA-512 hashes gaat het nog, maar wie gebruikt dat op die manier? Een beetje zout doet wonderen.
Als 'ze' (de hackers) over klare tekst beschikken (mijn eerste geval) dan hoeven ze helemaal niets moeilijks te doen: mijn wachtwoorden waren dan al bekend! Eigenlijk had ik gehoopt dat een van mijn wachtwoorden wel gecompromitteerd was, dan hadden ze de klare tekst gestuurd.
Ik het eens ben met "Dus nooit zomaar een wachtwoord of pincode verstrekkken", maar het was dus niet 'zomaar'.
- - EDIT: tekst hier en daar aangepast. SHA512Crypt en 'eens met' toegevoegd.
Goh, meen je dat nou echt? Gezien het kennis niveau van minister Opstelten over cyber security, laat staan ICT in zijn algemeen net zo hoog ligt als de gemiddelde senior die op dinsdagavond "computerlessen" volgt in de plaatselijke kantine van de dorps basisschool of buurthuis.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
