Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Authenticatie en impersonatie
07-04-2023, 18:30 door Erik van Straten, 33 reacties
TL;DR: Om impersonatie, waaronder identiteitsfraude, beter te kunnen bestrijden, stel ik voor dat we met een andere defintitie van authenticatie gaan hanteren dan tot nu toe gebruikelijk: het doel van authenticatie moet zijn het zoveel mogelijk voorkómen van impersonatie. Tevens moeten alle betrokkenen meer rekening gaan houden met slachtoffers t.g.v. het (onvermijdelijk) in een deel van de gevallen falen van het authenticatiesysteem.
In https://security.nl/posting/792302 kun je lezen dat een 71-jarige voor 70.000 euro werd bestolen, er meerdere bankrekeningen op zijn naam werden geopend en artikelen op zijn naam werden besteld en hij daardoor ruim 2 jaar in de ellende heeft gezeten. Uiteindelijk heeft hij het geluk dat zijn fincanciële schade beperkt blijft - mede doordat verdachten zijn opgepakt. Maar niet iedereen heeft zoveel geluk bij ongeluk.
Kort gezegd: de sterkte van authenticatie is evenredig met hoe moeilijk impersonatie is.
Nb. dit is een zeer lang artikel. Stop met lezen als je daar niet van houdt!
Inleiding
De afgelopen jaren ben ik flink in authenticatie, identiteitsfraude en impersonatie gedoken en ik leer elke dag bij. Dit artikel plaats ik in de hoop op minder slachtoffers en betere hulp aan hen die toch slachtoffer worden, maar ook om kennis te nemen van andere inzichten - mochten die bestaan en lezers reageren; ik hoop op een boeiende en to-the-point discussie!
In dit artikel probeer ik uit te leggen waarom ik denk dat het doel van het authenticatieproces onvoldoende wordt begrepen. De toename van digitalisering en cybercrime alsmede snelle ontwikkelingen in de AI (Artificiële Intelligentie) leiden tot een sterk toenemend aantal gevallen van impersonatie (variërend van "geintjes" tot ernstige vormen van identiteitsfraude met soms enorme impact).
Authenticatie is lastig: zie https://www.gov.uk/government/publications/identity-proofing-and-verification-of-an-individual/how-to-prove-and-verify-someones-identity.
Belangrijk: Je krijgt authenticatie nooit 100% betrouwbaar, want sowieso gaat het hierbij altijd om een keten met schakels van verschillende sterkte. Je moet dus altijd voorbereid zijn op, en rekening houden met, slachtoffers - want die zullen er atijd zijn. Ook is het op z'n minst niet fair als je geen rekening houdt met mensen die niet kunnen of willen deelnemen aan jouw authenticatiesysteem, vooral indien jouw systeem ertoe leidt dat bestaande systemen worden afgebouwd en/of verzwakt.
Begrippen
Nb. De termen "relatief" en "absoluut" in relatie tot authenticatie heb ik zelf bedacht; ik heb (wellicht niet goed genoeg) naar iets dergelijks gezocht op internet, maar niets geschikts gevonden.
Entiteit: een uniek identificeerbaar "object" dat niet tastbaar en niet uniek hoeft te zijn. Denk aan een mens, ChatGPT of een ander "draaiend" proces op een computer (bijvoorbeeld onder Windows kun je meerdere lege instanties van het programma "Kladblok" = notepad.exe starten).
Impersonatie: een proces dat leidt tot het onterecht verwisselen van twee entiteiten door een verifieerder met significante negatieve gevolgen voor één of meer slachtoffers. Een Engels woord voor een impersonator is impostor (waar bij mijn weten geen passend werkwoord voor bestaat).
Non-repudiation: wishful thinking (soms levensgevaarlijk) voor dat "iemand niet kan ontkennen dat hij het was". Van sommigen worden bijvoorbeeld social media accounts gehacked waarna zij geen mogelijkheid meer krijgen om aan te tonen dat zij de oorspronkelijke "bezitter" waren (voorbeeld: https://radar.avrotros.nl/nieuws/item/kunstenaar-lucienne-55-voelt-enorme-leegte-na-instagram-hack-ik-had-echt-iets-opgebouwd/).
Absolute identificatie: een verifieerder krijgt (evt. tijdelijk) toegang tot "wettelijke" uniek identificerende gegevens van een entiteit. Met "wettelijke" bedoel ik gegevens zoals die je op identiteitsbewijzen kunt vinden (inclusief BSN en bijvoorbeeld paspoortnummer).
Partiële identificatie: een verifieerder krijgt (evt. tijdelijk) toegang tot één "wettelijk" identificerend gegeven (of een beperkte set daarvan) van een entiteit. Het doel hierbij is vaak dat de anonimiteit zoveel mogelijk gewaarborgd wordt, terwijl bijvoorbeeld getracht word om te jonge mensen geen toegang te geven tot iets dat uitsluitend bedoeld is voor volwassenen.
TOFU: Trust On First Use. De meeste accounts op internet (zoals op security.nl, tweakers.net en "gratis" e-mailaccounts) kun je aanmaken door aan te tonen dat je toegang hebt tot een bestaand e-mailaccount (dat niets over jouw identiteit hoeft te zeggen, zoals draakje864@hotmail.jeweetwel of zelfs een wegwerpaccount kan zijn). En als er om identificerende gegevens wordt gevgaagd, kun je daar meestal over liegen.
Relatieve identificatie: TOFU; tijdens het aanmaken van het account kies je meestal een wachtwoord en/of andere "authenticatiefactoren". Elke volgende keer dat je inlogt, moet je bewijzen dezelfde entiteit te zijn als tijdens het aanmaken van het acccount. Dit zou je ook het aantonen van een pseudonieme identiteit kunnen noemen.
Pseudonieme identiteit: bijvoorbeeld "Erik van Straten" op security.nl, e-mailadressen, domeinnamen (o.a. van websites) en telefoonnummers. Je weet uitsluitend op basis van deze gegevens niet precies om wie het gaat, ze kunnen vaak eenvoudig van eigenaar wisselen of gehacked worden, of worden vervalst.
AitM: Attacker in the Middle (of Aanvaller in het Midden). Hierbij maak jij verbinding met een kwaadwillende in plaats van met de bedoelde partij, waarna die kwaadwillende zich voordoet als jou richting de bedoelde partij. Dit kan door jou te misleiden (phishing) of door technische ingrepen buiten jouw invloedsfeer (zoals een nep telefonie-zend-ontvanger die jouw uitgaande gesprekken naar een ander nummer stuurt, of een BGP-hijack op internet), of doordat jouw apparatuur gecompromitteerd is (recent voorbeeld: https://www.bleepingcomputer.com/news/security/hackers-use-rilide-browser-extension-to-bypass-2fa-steal-crypto/). Bij zo'n aanval is zwakke MFA zoals TOTP kansloos, zoals ik probeer uit te leggen in https://security.nl/posting/773644.
Uitgangspunt: authenticatie *NU*
Uit https://nl.wikipedia.org/wiki/Authenticatie:
Probleem: misleiding, impersonatie
Een voorbeeld. Als een website als domeinnaam zoals:
Impersonatie van websites vindt ook plaats met nog veel sterker afwijkende domeinnamen, en bovendien hoeft zo'n inlogpagina niet als twee druppels op het origineel te lijken. Zodra één of meer entiteiten hier "intrappen", vind ik zoiets in elk geval impersonatie. Ook is zo'n nepwebsite duidelijk niet authentiek.
In https://www.merriam-webster.com/dictionary/authentic worden voor het begrip authentic als synoniemen genuine en bona fide genoemd; met geen van allen heeft zo'n nepwebsite iets te maken. Zolang we van geslaagde authenticatie blijven spreken als een impersonator met succes ergens inlogt als zijnde een slachtoffer, gaat er niks ten goede veranderen.
Voorbeeld: wie is de verifieerder?
Merk op dat de slachtoffers in bovenstaand voorbeeld, na ontvangst van een phishingbericht, met MFA, inlogden op hxxps://circle-ci.com/, óók verifieerders waren, maar faalden. Met als gevolg dat een geautomatiseerd proces (een "evil proxy") van de cybercrimineel, met die onrechtmatig verkregen inloggegevens, ogenblikkelijk inlogde op https://circleci.com/ - waarbij deze verifieerder die geen onderscheid zag tussen het inloggen door echte account-eigenaren en de cybercrimineel.
Met andere woorden: als jij ergens "authenticeert", moet je de verifieerder kunnen vertrouwen dat deze niet, met het jou verstrekte bewijs van identiteit, als zijnde jou, elders "authenticeert". Dat risico bestaat bijvoorbeeld ook als je jouw wachtwoord hergebruikt; bijvoorbeeld een foute beheerder kan jouw inloggegevens "afluisteren" en daarmee proberen op andere sites proberen in te loggen, als zijnde jou.
Wat hier fout gaat, met in dit geval klanten als slachtoffer, is dat slachtoffers onvoldoende middelen hebben om nep van echt te onderscheiden - waarbij iedereen naar elkaar wijst als het gaat om oplossingen en er niets gebeurt. Sterker, de voorstanders dan DV (Domain Validated) certificaten blijven roepen dat deze een prima idee zijn, en Big-Tech Google (in https://www.chromium.org/Home/chromium-security/root-ca-policy/moving-forward-together/) er recentelijk voor pleitte om de levensduur van alle https servercertificaten in te korten tot 90 dagen, en om geheel te stoppen met revocation checks. Dit is niet omdat Google het beste voorheeft met internetgebruikers, maar omdat zij, om kosten te besparen, processen zoveel mogelijk wil automatiseren en de risico's naar internetters verplaatst.
Nb. dit gaat lijnrecht in tegen de eis van de EU om QWAC's (Qualified Website Authentication Certificate) te verplichten voor kritische websites, zoals waar je middels eIDAS en later met jouw EDIW (European Digital Identity Wallet) op moet "authenticeren". Voor DigiD is tegenwoordig een DV-certificaat ook "goed genoeg" terwijl de makers van webbrowsers er m.i. véél te weinig aan om gebruikers te helpen op dit punt.
Alle dreigingen (voor zover ik ze nu overzie)
De huidige definitie van authenticatie houdt m.i. onvoldoende of geen rekening met alle impersonatiedreigingen tijdens zo'n proces. Die dreiging is namelijk niet uitsluitend dat iemand niet is wie die entiteit claimt te zijn. In elk geval zijn dat, bij elk authenticatieproces (hier is X de primaire entiteit wiens identiteit wordt geverifieerd, voorbeelden eronder toon ik als "quote"):
1) Hoe zeker is het dat de geclaimde X niet de echte X is?
2) In hoeverre mogen echte verifieerders van elke X verwachten dat deze valse van echte verifieerders kan onderscheiden?
3) Transactiebeperkende metadata
Denkbaar is dat X transactiebeperkende metadata heeft bijgesloten, zoals het moment (datum en exacte tijdstip) dat X dienst identiteit aantoont, de reden waarvoor, bij een betaling het bedrag, uniek identificerende gegevens van de doelpartij en eventueel een uniek transactienummer: hoe moeilijk is het dan voor een AitM om deze te verwijderen en/of te wijzigen, zodanig dat de verifieerder niet van een vervalsing uitgaat?
4) Welke invloed hebben mogelijke belangen van alle betrokken stakeholders op het authenticatieproces?
Betrouwbare authenticatie is vaak wél in het belang van de betrokkene, juist omdat impersonatie haar of hem geld kan kosten en/of veel andere ellende kan opleveren (zoals bij de 71-jarige in het voorbeeld bovenaan deze pagina). Maar als jij zonder vervoersbewijs in het OV wordt aangehouden, is dat betrouwbare authenticatie niet in jouw belang.
Betrouwbare authenticatie is vaak niet in het belang van verifieerders, omdat dit veel geld kost en niet zij de grootste risico's lopen. Precies daarom vinden "moderne" banken een kopietje-paspoort goed genoeg voor het openen van een bankrekening.
Discussie
Of een schilderij authentiek is of een vervalsing, kan heel lastig vast te stellen zijn: hoe beter de imitator, hoe moeilijker dit is. Ik vind dat we authenticatie van entiteiten in datzelfde licht moeten zien, omdat er -vooral t.g.v. digitalisering- steeds meer slachtoffers vallen door impersonatie, met vaak ernstige gevolgen, en waarbij die slachtoffers het vaak "zelf mogen uitzoeken".
Een voorbeeld hiervan werd afgelopen weekend beschreven door de journaliste Avery Hartmans (die het zelf overkwam, en waar zij zelf helemaal niets aan kon doen) in https://www.businessinsider.com/credit-card-phone-theft-sim-swap-identity-theft-investigation-2023-4. In het kort werd haar nieuwe creditcard door criminele post-medewerkers onderschept, waarna de daders via een SIM-swap aanval haar het leven heel zuur maakten, de politie niets kon en wilde doen en zij bijna $10.000 dreigde kwijt te raken doordat haar bank ervan overtuigd raakte dat zij loog. Dankzij haar doorzettingsvermogen en vaardigheden heeft zij, zo te zien, haar eigen schade flink kunnen beperken.
Zorgvuldige en betrouwbare authenticatie is vaak arbeidsintensief en sowieso duur. Commerciële partijen, maar ook overheden, bezuinigen maar al te graag, verplaatsen hun risico's naar klanten en burgers en leggen de bewijslast bij hen.
Relatieve authenticatie werkt offline best goed. Denk aan iemand die je regelmatig tegenkomt in de kroeg, in het OV of tijdens het sporten: zonder dat je precies hoeft te weten om wie het exact gaat (de achternaam ken je soms zelfs niet), kun je daar een vertrouwensband mee opbouwen omdat je zo iemand herkent; daar hoef je nooit een paspoort voor te zien.
Online is relatieve authenticatie meestal onbetrouwbaar door relatief eenvoudig uit te voeren AitM-aanvallen (sterke MFA kan het aanvallers veel moeilijker maken, maar bijna niemand gebruikt ze en bovendien zijn vaak downgrade attacks naar AitM-kwetsbare authenticatie mogelijk). Sowieso moet je op de een of andere manier ruiken dat digid.nl (of een DigiD app) van de Rijksoverheid is, en dat het heel stom is om in te loggen op iets als mijndigid.nl (*) (of mijn-digid.nl, of dig-id.nl). Voor de zekerheid kun je (niet in alle webbrowsers) controleren aan wie het https servercertificaat voor zo'n website is toegekend; voor digid.nl is dat "Logius, 's-Gravenhage, Zuid-Holland, NL" (dat dit niet klinkt als "Rijksoverheid" zal wel weer aan mij liggen).
(*) mijndigid.nl is te koop voor 1750 USD bij SEDO Parking (waarbij ik niet uitsluit dat Justitie de verkopende partij is).
Absolute authenticatie: offline vindt dit plaats doordat iemand een identiteitsbewijs van jou op echtheid en geldigheid inspecteert, én verifieert dat jouw "verschijning" overeenkomt met de pasfoto en tekstuele informatie op het identiteitsbewijs. Uit https://nl.wikipedia.org/wiki/Authenticatie:
Online is absolute authenticatie veel minder betrouwbaar, sowieso doordat de verifieerder de betrokkene niet live ziet en het om reeksen bytes gaat die een AitM kan doorgeven aan een echte site, en zo als de betrokkene kan authenticeren.
Een enigszins ludiek voorbeeld is Monica Lewinsky (destijds een vriendinnetje van voormalig president Bill Clinton) die afgelopen week in https://twitter.com/MonicaLewinsky/status/1639972616210632708 klaagde dat ook andere accounts op Twitter zichzelf "Monica Lewinsky" mogen noemen, en notabene een man daar een blauw vinkje voor heeft kunnen kopen.
Dit is exact hetzelfde probleem als we zien bij e-mailafzenders: een echte naam is zelden een uniek identificerend gegeven van een persoon, en bovendien kan iedereen liegen dat zij of hij zo heet!
Als je, net als op Twitter, niet naar de wél noodzakelijkerwijs unieke accountnaam kijkt (@MonicaLewinsky op Twitter), weet je sowieso niet om wélke "Monica Lewinsky" het gaat. Maar als je dat wél doet, weet je hooguit enigszins zeker dat het om hetzelfde account gaat als waarvan je mogelijk eerder tweets hebt gelezen - waarvan de eigenaar niet echt Monica Lewinsky hoeft te heten. Enigszins, want haar (? of zijn, of bij een bot: het) account kan gehacked zijn en zijn overgenomen door een ander (dit overkwam ook Twitter CEO Jack Dorsey in 2019, via "SIM-swapping": https://security.nl/posting/623190 - en daar bleef het allesbehalve bij, zie bijvoorbeeld https://security.nl/posting/664553).
Met andere woorden, bijvoorbeeld bij e-mail kunt je nóg zo je best doen met SPF, DKIM, DMARC, ARC en wat nog meer: als de ontvanger niet het SMTP afzenderadres checkt helpt dat allemaal sowieso geen zier. En als de ontvanger wél het SMTP afzenderadres checkt (wat in een aantal e-mailclients zeer lastig is), weet de ontvanger nog steeds niet zeker dat de kennelijke afzender is wie zij/hij claimt te zijn, omdat:
1) sender@exampIe.com niet dezelfde is als sender@example.com (grote i versus kleine L), en zo zijn er vaak veel meer manipulaties van domeinnamen mogelijk, zoals cjib-online.nl of cjib.nI;
2) Je er meestal geen idee van hebt welke technische verificaties (SPF etc.) er tussen verzender en ontvanger zijn uitgevoerd;
3) Je niet weet (zeker bij een nieuw contact) of het SMTP afzenderadres daadwerkelijk van de kennelijke afzender is. Bijvoorbeeld draakje864@hotmail.jeweetwel zegt natuurlijk helemaal niets, maar MonicaLewinsky@hotmail.jeweetwel zegt ook niets: je hebt geen idee of dat account in het bezit is van iemand die écht Monica Lewinsky heet, en mocht dat zo zijn, om wélke Monica Lewensky het gaat.
4) Je niet weet of het e-mailaccount gehacked is (vaak aangeduid met BEC voor Business EmailCompromise).
Techsolutionlisten roepen vaak dat je die problemen kunt oplossen met PGP (en GnuPG etc.) of MIME certificaten, maar dat is onjuist omdat, i.r.t. PGP het authenticatieprobleem wordt verplaatst naar van wie een publieke sleutel is (die vaak gewoon wordt gemaild; een bijkomend probleem is dat de meeste mensen niets begrijpen van asymmetrische cryptografie) en er absurd zwakke MIME certificaten worden uitgegeven (DV-achtig, je krijgt een certificaat als je toegang hebt tot een e-mailaccount), waardoor beide "oplossingen" alleen maar tot schijnveiligheid leiden.
Conclusie
Als authenticatie beperkt blijft tot het verifiëren van het "bezit" van een weinigzeggend uniek identificerend gegeven, blijft misleiding en fraude eenvoudig. Echter, éénzijdig sterke authenticatie is flauwekul - sterke authenticatie is namelijk ook afhankelijk van de betrouwbaarheid van de verifiërende partij, en dus op z'n minst van het betrouwbaar kunnen vaststellen van diens identiteit. Het is ongelofelijk naïef om steeds meer kritische impersonatiegevoelige authenticatie te verplaatsen van offline naar "op afstand" (online, maar ook per telefoon of peer papieren post). Dit is de kat op het spek binden, met vaak "zwakkere" slachtoffers als gevolg, die maar moeten afwachten of zij geloofd, geholpen en gecompenseerd worden. En met een verdere tweedeling van de samenleving als gevolg: zij die niet kunnen, niet willen of voor hun eigen veiligheid niet mee zouden moeten doen, vallen buiten de boot.
P.S.
Vanaf 1 uur na plaatsing kan ik deze post niet meer wijzigen. Kijk hieronder voor aanvullingen en correcties die ik post, al dan niet na comments van andere bezoekers van security.nl.
In https://security.nl/posting/792302 kun je lezen dat een 71-jarige voor 70.000 euro werd bestolen, er meerdere bankrekeningen op zijn naam werden geopend en artikelen op zijn naam werden besteld en hij daardoor ruim 2 jaar in de ellende heeft gezeten. Uiteindelijk heeft hij het geluk dat zijn fincanciële schade beperkt blijft - mede doordat verdachten zijn opgepakt. Maar niet iedereen heeft zoveel geluk bij ongeluk.
Kort gezegd: de sterkte van authenticatie is evenredig met hoe moeilijk impersonatie is.
Nb. dit is een zeer lang artikel. Stop met lezen als je daar niet van houdt!
Inleiding
De afgelopen jaren ben ik flink in authenticatie, identiteitsfraude en impersonatie gedoken en ik leer elke dag bij. Dit artikel plaats ik in de hoop op minder slachtoffers en betere hulp aan hen die toch slachtoffer worden, maar ook om kennis te nemen van andere inzichten - mochten die bestaan en lezers reageren; ik hoop op een boeiende en to-the-point discussie!
In dit artikel probeer ik uit te leggen waarom ik denk dat het doel van het authenticatieproces onvoldoende wordt begrepen. De toename van digitalisering en cybercrime alsmede snelle ontwikkelingen in de AI (Artificiële Intelligentie) leiden tot een sterk toenemend aantal gevallen van impersonatie (variërend van "geintjes" tot ernstige vormen van identiteitsfraude met soms enorme impact).
Authenticatie is lastig: zie https://www.gov.uk/government/publications/identity-proofing-and-verification-of-an-individual/how-to-prove-and-verify-someones-identity.
Belangrijk: Je krijgt authenticatie nooit 100% betrouwbaar, want sowieso gaat het hierbij altijd om een keten met schakels van verschillende sterkte. Je moet dus altijd voorbereid zijn op, en rekening houden met, slachtoffers - want die zullen er atijd zijn. Ook is het op z'n minst niet fair als je geen rekening houdt met mensen die niet kunnen of willen deelnemen aan jouw authenticatiesysteem, vooral indien jouw systeem ertoe leidt dat bestaande systemen worden afgebouwd en/of verzwakt.
Begrippen
Nb. De termen "relatief" en "absoluut" in relatie tot authenticatie heb ik zelf bedacht; ik heb (wellicht niet goed genoeg) naar iets dergelijks gezocht op internet, maar niets geschikts gevonden.
Entiteit: een uniek identificeerbaar "object" dat niet tastbaar en niet uniek hoeft te zijn. Denk aan een mens, ChatGPT of een ander "draaiend" proces op een computer (bijvoorbeeld onder Windows kun je meerdere lege instanties van het programma "Kladblok" = notepad.exe starten).
Impersonatie: een proces dat leidt tot het onterecht verwisselen van twee entiteiten door een verifieerder met significante negatieve gevolgen voor één of meer slachtoffers. Een Engels woord voor een impersonator is impostor (waar bij mijn weten geen passend werkwoord voor bestaat).
Non-repudiation: wishful thinking (soms levensgevaarlijk) voor dat "iemand niet kan ontkennen dat hij het was". Van sommigen worden bijvoorbeeld social media accounts gehacked waarna zij geen mogelijkheid meer krijgen om aan te tonen dat zij de oorspronkelijke "bezitter" waren (voorbeeld: https://radar.avrotros.nl/nieuws/item/kunstenaar-lucienne-55-voelt-enorme-leegte-na-instagram-hack-ik-had-echt-iets-opgebouwd/).
Absolute identificatie: een verifieerder krijgt (evt. tijdelijk) toegang tot "wettelijke" uniek identificerende gegevens van een entiteit. Met "wettelijke" bedoel ik gegevens zoals die je op identiteitsbewijzen kunt vinden (inclusief BSN en bijvoorbeeld paspoortnummer).
Partiële identificatie: een verifieerder krijgt (evt. tijdelijk) toegang tot één "wettelijk" identificerend gegeven (of een beperkte set daarvan) van een entiteit. Het doel hierbij is vaak dat de anonimiteit zoveel mogelijk gewaarborgd wordt, terwijl bijvoorbeeld getracht word om te jonge mensen geen toegang te geven tot iets dat uitsluitend bedoeld is voor volwassenen.
TOFU: Trust On First Use. De meeste accounts op internet (zoals op security.nl, tweakers.net en "gratis" e-mailaccounts) kun je aanmaken door aan te tonen dat je toegang hebt tot een bestaand e-mailaccount (dat niets over jouw identiteit hoeft te zeggen, zoals draakje864@hotmail.jeweetwel of zelfs een wegwerpaccount kan zijn). En als er om identificerende gegevens wordt gevgaagd, kun je daar meestal over liegen.
Relatieve identificatie: TOFU; tijdens het aanmaken van het account kies je meestal een wachtwoord en/of andere "authenticatiefactoren". Elke volgende keer dat je inlogt, moet je bewijzen dezelfde entiteit te zijn als tijdens het aanmaken van het acccount. Dit zou je ook het aantonen van een pseudonieme identiteit kunnen noemen.
Pseudonieme identiteit: bijvoorbeeld "Erik van Straten" op security.nl, e-mailadressen, domeinnamen (o.a. van websites) en telefoonnummers. Je weet uitsluitend op basis van deze gegevens niet precies om wie het gaat, ze kunnen vaak eenvoudig van eigenaar wisselen of gehacked worden, of worden vervalst.
AitM: Attacker in the Middle (of Aanvaller in het Midden). Hierbij maak jij verbinding met een kwaadwillende in plaats van met de bedoelde partij, waarna die kwaadwillende zich voordoet als jou richting de bedoelde partij. Dit kan door jou te misleiden (phishing) of door technische ingrepen buiten jouw invloedsfeer (zoals een nep telefonie-zend-ontvanger die jouw uitgaande gesprekken naar een ander nummer stuurt, of een BGP-hijack op internet), of doordat jouw apparatuur gecompromitteerd is (recent voorbeeld: https://www.bleepingcomputer.com/news/security/hackers-use-rilide-browser-extension-to-bypass-2fa-steal-crypto/). Bij zo'n aanval is zwakke MFA zoals TOTP kansloos, zoals ik probeer uit te leggen in https://security.nl/posting/773644.
Uitgangspunt: authenticatie *NU*
Uit https://nl.wikipedia.org/wiki/Authenticatie:
Authenticatie is het proces waarbij iemand nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn.
Omdat de verifieerder ook een computer kan zijn, zoals een toegangscontrolesysteem met een paslezer of zelfs gezichtsherkenning, maak ik daarvan (dit is nog steeds een m.i. onjuiste defintitie):Authenticatie is het proces waarbij iemand, of hard- en/of software, nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn.
Probleem: misleiding, impersonatie
Een voorbeeld. Als een website als domeinnaam zoals:
circle-ci.com in plaats van:
circleci.com
heeft en daarmee 2FA inloggegevens steelt (zie https://security.nl/posting/768888), is dat in beginsel géén identiteitsfraude.circleci.com
Impersonatie van websites vindt ook plaats met nog veel sterker afwijkende domeinnamen, en bovendien hoeft zo'n inlogpagina niet als twee druppels op het origineel te lijken. Zodra één of meer entiteiten hier "intrappen", vind ik zoiets in elk geval impersonatie. Ook is zo'n nepwebsite duidelijk niet authentiek.
In https://www.merriam-webster.com/dictionary/authentic worden voor het begrip authentic als synoniemen genuine en bona fide genoemd; met geen van allen heeft zo'n nepwebsite iets te maken. Zolang we van geslaagde authenticatie blijven spreken als een impersonator met succes ergens inlogt als zijnde een slachtoffer, gaat er niks ten goede veranderen.
Voorbeeld: wie is de verifieerder?
Merk op dat de slachtoffers in bovenstaand voorbeeld, na ontvangst van een phishingbericht, met MFA, inlogden op hxxps://circle-ci.com/, óók verifieerders waren, maar faalden. Met als gevolg dat een geautomatiseerd proces (een "evil proxy") van de cybercrimineel, met die onrechtmatig verkregen inloggegevens, ogenblikkelijk inlogde op https://circleci.com/ - waarbij deze verifieerder die geen onderscheid zag tussen het inloggen door echte account-eigenaren en de cybercrimineel.
Met andere woorden: als jij ergens "authenticeert", moet je de verifieerder kunnen vertrouwen dat deze niet, met het jou verstrekte bewijs van identiteit, als zijnde jou, elders "authenticeert". Dat risico bestaat bijvoorbeeld ook als je jouw wachtwoord hergebruikt; bijvoorbeeld een foute beheerder kan jouw inloggegevens "afluisteren" en daarmee proberen op andere sites proberen in te loggen, als zijnde jou.
Wat hier fout gaat, met in dit geval klanten als slachtoffer, is dat slachtoffers onvoldoende middelen hebben om nep van echt te onderscheiden - waarbij iedereen naar elkaar wijst als het gaat om oplossingen en er niets gebeurt. Sterker, de voorstanders dan DV (Domain Validated) certificaten blijven roepen dat deze een prima idee zijn, en Big-Tech Google (in https://www.chromium.org/Home/chromium-security/root-ca-policy/moving-forward-together/) er recentelijk voor pleitte om de levensduur van alle https servercertificaten in te korten tot 90 dagen, en om geheel te stoppen met revocation checks. Dit is niet omdat Google het beste voorheeft met internetgebruikers, maar omdat zij, om kosten te besparen, processen zoveel mogelijk wil automatiseren en de risico's naar internetters verplaatst.
Nb. dit gaat lijnrecht in tegen de eis van de EU om QWAC's (Qualified Website Authentication Certificate) te verplichten voor kritische websites, zoals waar je middels eIDAS en later met jouw EDIW (European Digital Identity Wallet) op moet "authenticeren". Voor DigiD is tegenwoordig een DV-certificaat ook "goed genoeg" terwijl de makers van webbrowsers er m.i. véél te weinig aan om gebruikers te helpen op dit punt.
Alle dreigingen (voor zover ik ze nu overzie)
De huidige definitie van authenticatie houdt m.i. onvoldoende of geen rekening met alle impersonatiedreigingen tijdens zo'n proces. Die dreiging is namelijk niet uitsluitend dat iemand niet is wie die entiteit claimt te zijn. In elk geval zijn dat, bij elk authenticatieproces (hier is X de primaire entiteit wiens identiteit wordt geverifieerd, voorbeelden eronder toon ik als "quote"):
1) Hoe zeker is het dat de geclaimde X niet de echte X is?
Voorbeelden: Kan X bijvoorbeeld een tweelingzus zijn, een masker dragen, kan het getoonde identiteitsbewijs vervalst zijn, of -bij authenticatie op afstand- kan iemand anders een kopie van het paspoort van X hebben opgestuurd, of -bij digitale authenticatie- kan het apparaat van X waarmee dit plaatsvindt zijn gecompromitteerd? Of kan het e-mailaccount van de afzender zijn gehacked, zoals duidelijk werd in
https://www.omroepwest.nl/nieuws/4683225 en mogelijk ook het geval is in https://nos.nl/artikel/2470202-..dreigmail..?
https://www.omroepwest.nl/nieuws/4683225 en mogelijk ook het geval is in https://nos.nl/artikel/2470202-..dreigmail..?
2) In hoeverre mogen echte verifieerders van elke X verwachten dat deze valse van echte verifieerders kan onderscheiden?
Voorbeelden: naast bovengenoemde circle-ci.com worden aan de lopende band valse domeinnamen geregistreerd en gebruiken "legitieme" partijen nietszeggende domeinnamen - zoals microsoftonline.com - waarom zouden microsoft-sso.net dan nep zijn? Waarom lanceert de overheid de ene na de andere nieuwe website met totaal niet, op betrouwbare wijze, als overheidswebsite herkenbare domeinnamen?
Volgens https://www.cybercrimeinfocenter.org/phishing-activity-numbers-november-january-2023 werden er, in de laatste twee maanden van 2022, in totaal 426.364 domeinnamen gerapporteerd voor phishing, waarbij het in 72% (308.467) van de gevallen om kwaadaardige domeinregistraties ging (de rest betreft gehackte websites, gehackte DNS records en eerder geregistreerde "weer tot leven gewekte" domeinnamen). Uit https://security.nl/posting/791979 blijkt dat Google, door geld te verdienen aan impersonatie, vrolijk de zakken van haar aandelhouders vult - en dat het Belgische "Itsme" toch niet zo betrouwbaar blijkt als vaak wordt gesuggereerd.
En hoe weet je van wie https://sites.google.com/a/tilburguniversity.edu/ is? Wat als een kwaadwillende ergens een site aanmaakt met in de URL "tilburg-university.edu" of "tilburguniversity.nl"?
Waarom zie ik (met Firefox+NoScript onder Windows) een uitroepteken in het hangslotje bij https://sites.google.com/a/tilburguniversity.edu/goinggoogle/? Waarom beginnen veel links in subpagina's (en in de QR-code getoond in die pagina) met http:// in plaats van https://? En waarom staat er bovenaan https://sites.google.com/vu.nl/canvasstudentguide/reset-password dat deze site niet meer wordt bijgewerkt gevolgd door een "Click here" met een link die begint met https://www.google.com? Zie ook https://sites.google.com/hsd.k12.or.us/ssam en (mijn eigen writeup) https://www.security.nl/posting/779781/Unsafe+%22safe%22+links.
Volgens https://www.cybercrimeinfocenter.org/phishing-activity-numbers-november-january-2023 werden er, in de laatste twee maanden van 2022, in totaal 426.364 domeinnamen gerapporteerd voor phishing, waarbij het in 72% (308.467) van de gevallen om kwaadaardige domeinregistraties ging (de rest betreft gehackte websites, gehackte DNS records en eerder geregistreerde "weer tot leven gewekte" domeinnamen). Uit https://security.nl/posting/791979 blijkt dat Google, door geld te verdienen aan impersonatie, vrolijk de zakken van haar aandelhouders vult - en dat het Belgische "Itsme" toch niet zo betrouwbaar blijkt als vaak wordt gesuggereerd.
En hoe weet je van wie https://sites.google.com/a/tilburguniversity.edu/ is? Wat als een kwaadwillende ergens een site aanmaakt met in de URL "tilburg-university.edu" of "tilburguniversity.nl"?
Waarom zie ik (met Firefox+NoScript onder Windows) een uitroepteken in het hangslotje bij https://sites.google.com/a/tilburguniversity.edu/goinggoogle/? Waarom beginnen veel links in subpagina's (en in de QR-code getoond in die pagina) met http:// in plaats van https://? En waarom staat er bovenaan https://sites.google.com/vu.nl/canvasstudentguide/reset-password dat deze site niet meer wordt bijgewerkt gevolgd door een "Click here" met een link die begint met https://www.google.com? Zie ook https://sites.google.com/hsd.k12.or.us/ssam en (mijn eigen writeup) https://www.security.nl/posting/779781/Unsafe+%22safe%22+links.
3) Transactiebeperkende metadata
Denkbaar is dat X transactiebeperkende metadata heeft bijgesloten, zoals het moment (datum en exacte tijdstip) dat X dienst identiteit aantoont, de reden waarvoor, bij een betaling het bedrag, uniek identificerende gegevens van de doelpartij en eventueel een uniek transactienummer: hoe moeilijk is het dan voor een AitM om deze te verwijderen en/of te wijzigen, zodanig dat de verifieerder niet van een vervalsing uitgaat?
Voorbeelden: Er wordt geadviseerd om een kopie of scan van een identiteitsbewijs te voorzien van dergelijke metadata - maar zelfs met een stokoud programma zoals mspaint.exe is het niet heel moeilijk om die informatie te wijzigen of te vervangen door de vermoedelijke achtergrond. Bij digitaal "authenticeren" kan dergelijke bijgevoegde informatie digitaal zijn ondertekend, maar dan moet deze onlosmakelijk aan de transactie zijn gekoppeld en moet elke verifierende partij de transactie weigeren als er iets niet klopt. En dan nog zit je met het probleem dat het apparaat van X in verkeerde handen gevallen of gecompromitteerd kan zijn (*), en zit je met de vraag of de bij de verificatie te gebruiken public key daadwerkelijk van X is c.q. dat de private key niet gelekt is.
(*) Nb. bijvoorbeeld een Android device hoeft hier niet voor "geroot" te zijn. Men blijkt steeds opnieuw "handige" apps uit de Play Store te kunnen downloaden die, na enige tijd, toestemming vragen om een extra app, bijvoorbeeld genaamd "Play Protect", te downloaden en je over te halen om deze de hoogst mogelijke rechten te geven - waarmee het scherm kan worden uitgelezen en er "overlays" kunnen worden getoond, en alle invoer kan worden afgeluisterd.
(*) Nb. bijvoorbeeld een Android device hoeft hier niet voor "geroot" te zijn. Men blijkt steeds opnieuw "handige" apps uit de Play Store te kunnen downloaden die, na enige tijd, toestemming vragen om een extra app, bijvoorbeeld genaamd "Play Protect", te downloaden en je over te halen om deze de hoogst mogelijke rechten te geven - waarmee het scherm kan worden uitgelezen en er "overlays" kunnen worden getoond, en alle invoer kan worden afgeluisterd.
4) Welke invloed hebben mogelijke belangen van alle betrokken stakeholders op het authenticatieproces?
Betrouwbare authenticatie is vaak wél in het belang van de betrokkene, juist omdat impersonatie haar of hem geld kan kosten en/of veel andere ellende kan opleveren (zoals bij de 71-jarige in het voorbeeld bovenaan deze pagina). Maar als jij zonder vervoersbewijs in het OV wordt aangehouden, is dat betrouwbare authenticatie niet in jouw belang.
Betrouwbare authenticatie is vaak niet in het belang van verifieerders, omdat dit veel geld kost en niet zij de grootste risico's lopen. Precies daarom vinden "moderne" banken een kopietje-paspoort goed genoeg voor het openen van een bankrekening.
Voorbeelden: Volgens https://nu.nl/tech/6174537 werd in 2021 het coronatoegangsbewijs bij restaurants, cafés, musea en amateursport slecht gecontroleerd; hoewel locaties vaak wel om een QR-code vroegen, werd de verplichte identiteitscontrole vaak niet of onvolledig uitgevoerd. Betrouwbare authenticatie was hier niet in het belang van de uitbaters, en ook niet van degenen die niet zelf waren ingeënt en niet zelf recente negatieve testuitslag hadden. En kennelijk vonden mensen die het wel netjes voor elkaar hadden, een waardeloze controle geen reden om bezwaar te maken, laat staan weg te lopen.
Een vergelijkbaar probleem zie je bij leeftijdscontrole: door iedereen die oud genoeg is te laten aantonen dat zij oud genoeg zijn, los je niet het probleem op van jongeren die frauderen (en de maatregel onzin vinden) plus commerciële partijen die minder verkopen als zij zorgvuldiger zounden authenticeren. Zie bijvoorbeeld https://tweakers.net/nieuws/207998/#r_18587814.
Ook zien we bij herhaling valse advertenties in Google zoekresultaten; Google verdient aan criminaliteit door onvoldoende te controleren wie er adverteert en wat diens reputatie is (aangifte doen lijkt zinloos; het gaat gewoon door, zie https://radar.avrotros.nl/uitzendingen/gemist/item/uitzending-maandag-3-april-2023/ en bijvoorbeeld eerdergenoemde https://security.nl/posting/791979).
Een vergelijkbaar probleem zie je bij leeftijdscontrole: door iedereen die oud genoeg is te laten aantonen dat zij oud genoeg zijn, los je niet het probleem op van jongeren die frauderen (en de maatregel onzin vinden) plus commerciële partijen die minder verkopen als zij zorgvuldiger zounden authenticeren. Zie bijvoorbeeld https://tweakers.net/nieuws/207998/#r_18587814.
Ook zien we bij herhaling valse advertenties in Google zoekresultaten; Google verdient aan criminaliteit door onvoldoende te controleren wie er adverteert en wat diens reputatie is (aangifte doen lijkt zinloos; het gaat gewoon door, zie https://radar.avrotros.nl/uitzendingen/gemist/item/uitzending-maandag-3-april-2023/ en bijvoorbeeld eerdergenoemde https://security.nl/posting/791979).
Discussie
Of een schilderij authentiek is of een vervalsing, kan heel lastig vast te stellen zijn: hoe beter de imitator, hoe moeilijker dit is. Ik vind dat we authenticatie van entiteiten in datzelfde licht moeten zien, omdat er -vooral t.g.v. digitalisering- steeds meer slachtoffers vallen door impersonatie, met vaak ernstige gevolgen, en waarbij die slachtoffers het vaak "zelf mogen uitzoeken".
Een voorbeeld hiervan werd afgelopen weekend beschreven door de journaliste Avery Hartmans (die het zelf overkwam, en waar zij zelf helemaal niets aan kon doen) in https://www.businessinsider.com/credit-card-phone-theft-sim-swap-identity-theft-investigation-2023-4. In het kort werd haar nieuwe creditcard door criminele post-medewerkers onderschept, waarna de daders via een SIM-swap aanval haar het leven heel zuur maakten, de politie niets kon en wilde doen en zij bijna $10.000 dreigde kwijt te raken doordat haar bank ervan overtuigd raakte dat zij loog. Dankzij haar doorzettingsvermogen en vaardigheden heeft zij, zo te zien, haar eigen schade flink kunnen beperken.
Zorgvuldige en betrouwbare authenticatie is vaak arbeidsintensief en sowieso duur. Commerciële partijen, maar ook overheden, bezuinigen maar al te graag, verplaatsen hun risico's naar klanten en burgers en leggen de bewijslast bij hen.
Relatieve authenticatie werkt offline best goed. Denk aan iemand die je regelmatig tegenkomt in de kroeg, in het OV of tijdens het sporten: zonder dat je precies hoeft te weten om wie het exact gaat (de achternaam ken je soms zelfs niet), kun je daar een vertrouwensband mee opbouwen omdat je zo iemand herkent; daar hoef je nooit een paspoort voor te zien.
Online is relatieve authenticatie meestal onbetrouwbaar door relatief eenvoudig uit te voeren AitM-aanvallen (sterke MFA kan het aanvallers veel moeilijker maken, maar bijna niemand gebruikt ze en bovendien zijn vaak downgrade attacks naar AitM-kwetsbare authenticatie mogelijk). Sowieso moet je op de een of andere manier ruiken dat digid.nl (of een DigiD app) van de Rijksoverheid is, en dat het heel stom is om in te loggen op iets als mijndigid.nl (*) (of mijn-digid.nl, of dig-id.nl). Voor de zekerheid kun je (niet in alle webbrowsers) controleren aan wie het https servercertificaat voor zo'n website is toegekend; voor digid.nl is dat "Logius, 's-Gravenhage, Zuid-Holland, NL" (dat dit niet klinkt als "Rijksoverheid" zal wel weer aan mij liggen).
(*) mijndigid.nl is te koop voor 1750 USD bij SEDO Parking (waarbij ik niet uitsluit dat Justitie de verkopende partij is).
Absolute authenticatie: offline vindt dit plaats doordat iemand een identiteitsbewijs van jou op echtheid en geldigheid inspecteert, én verifieert dat jouw "verschijning" overeenkomt met de pasfoto en tekstuele informatie op het identiteitsbewijs. Uit https://nl.wikipedia.org/wiki/Authenticatie:
Identiteitsbewijs
Het belangrijkste bewijsstuk van iemands identiteit is het identiteitsbewijs, meestal een paspoort. Dit wordt aan een individu afgegeven door een geautoriseerde ambtelijke instantie. Controlerende instanties (bijvoorbeeld de douane) controleren de echtheid van het bewijsstuk door te letten op echtheidskenmerken. Een paspoort is van grote waarde, vandaar dat op grote schaal wordt geprobeerd om paspoorten te stelen of te vervalsen.
Het belangrijkste bewijsstuk van iemands identiteit is het identiteitsbewijs, meestal een paspoort. Dit wordt aan een individu afgegeven door een geautoriseerde ambtelijke instantie. Controlerende instanties (bijvoorbeeld de douane) controleren de echtheid van het bewijsstuk door te letten op echtheidskenmerken. Een paspoort is van grote waarde, vandaar dat op grote schaal wordt geprobeerd om paspoorten te stelen of te vervalsen.
Online is absolute authenticatie veel minder betrouwbaar, sowieso doordat de verifieerder de betrokkene niet live ziet en het om reeksen bytes gaat die een AitM kan doorgeven aan een echte site, en zo als de betrokkene kan authenticeren.
Een enigszins ludiek voorbeeld is Monica Lewinsky (destijds een vriendinnetje van voormalig president Bill Clinton) die afgelopen week in https://twitter.com/MonicaLewinsky/status/1639972616210632708 klaagde dat ook andere accounts op Twitter zichzelf "Monica Lewinsky" mogen noemen, en notabene een man daar een blauw vinkje voor heeft kunnen kopen.
Dit is exact hetzelfde probleem als we zien bij e-mailafzenders: een echte naam is zelden een uniek identificerend gegeven van een persoon, en bovendien kan iedereen liegen dat zij of hij zo heet!
Als je, net als op Twitter, niet naar de wél noodzakelijkerwijs unieke accountnaam kijkt (@MonicaLewinsky op Twitter), weet je sowieso niet om wélke "Monica Lewinsky" het gaat. Maar als je dat wél doet, weet je hooguit enigszins zeker dat het om hetzelfde account gaat als waarvan je mogelijk eerder tweets hebt gelezen - waarvan de eigenaar niet echt Monica Lewinsky hoeft te heten. Enigszins, want haar (? of zijn, of bij een bot: het) account kan gehacked zijn en zijn overgenomen door een ander (dit overkwam ook Twitter CEO Jack Dorsey in 2019, via "SIM-swapping": https://security.nl/posting/623190 - en daar bleef het allesbehalve bij, zie bijvoorbeeld https://security.nl/posting/664553).
Met andere woorden, bijvoorbeeld bij e-mail kunt je nóg zo je best doen met SPF, DKIM, DMARC, ARC en wat nog meer: als de ontvanger niet het SMTP afzenderadres checkt helpt dat allemaal sowieso geen zier. En als de ontvanger wél het SMTP afzenderadres checkt (wat in een aantal e-mailclients zeer lastig is), weet de ontvanger nog steeds niet zeker dat de kennelijke afzender is wie zij/hij claimt te zijn, omdat:
1) sender@exampIe.com niet dezelfde is als sender@example.com (grote i versus kleine L), en zo zijn er vaak veel meer manipulaties van domeinnamen mogelijk, zoals cjib-online.nl of cjib.nI;
2) Je er meestal geen idee van hebt welke technische verificaties (SPF etc.) er tussen verzender en ontvanger zijn uitgevoerd;
3) Je niet weet (zeker bij een nieuw contact) of het SMTP afzenderadres daadwerkelijk van de kennelijke afzender is. Bijvoorbeeld draakje864@hotmail.jeweetwel zegt natuurlijk helemaal niets, maar MonicaLewinsky@hotmail.jeweetwel zegt ook niets: je hebt geen idee of dat account in het bezit is van iemand die écht Monica Lewinsky heet, en mocht dat zo zijn, om wélke Monica Lewensky het gaat.
4) Je niet weet of het e-mailaccount gehacked is (vaak aangeduid met BEC voor Business EmailCompromise).
Techsolutionlisten roepen vaak dat je die problemen kunt oplossen met PGP (en GnuPG etc.) of MIME certificaten, maar dat is onjuist omdat, i.r.t. PGP het authenticatieprobleem wordt verplaatst naar van wie een publieke sleutel is (die vaak gewoon wordt gemaild; een bijkomend probleem is dat de meeste mensen niets begrijpen van asymmetrische cryptografie) en er absurd zwakke MIME certificaten worden uitgegeven (DV-achtig, je krijgt een certificaat als je toegang hebt tot een e-mailaccount), waardoor beide "oplossingen" alleen maar tot schijnveiligheid leiden.
Conclusie
Als authenticatie beperkt blijft tot het verifiëren van het "bezit" van een weinigzeggend uniek identificerend gegeven, blijft misleiding en fraude eenvoudig. Echter, éénzijdig sterke authenticatie is flauwekul - sterke authenticatie is namelijk ook afhankelijk van de betrouwbaarheid van de verifiërende partij, en dus op z'n minst van het betrouwbaar kunnen vaststellen van diens identiteit. Het is ongelofelijk naïef om steeds meer kritische impersonatiegevoelige authenticatie te verplaatsen van offline naar "op afstand" (online, maar ook per telefoon of peer papieren post). Dit is de kat op het spek binden, met vaak "zwakkere" slachtoffers als gevolg, die maar moeten afwachten of zij geloofd, geholpen en gecompenseerd worden. En met een verdere tweedeling van de samenleving als gevolg: zij die niet kunnen, niet willen of voor hun eigen veiligheid niet mee zouden moeten doen, vallen buiten de boot.
P.S.
Vanaf 1 uur na plaatsing kan ik deze post niet meer wijzigen. Kijk hieronder voor aanvullingen en correcties die ik post, al dan niet na comments van andere bezoekers van security.nl.
Reacties (33)
Van sommigen worden bijvoorbeeld social media accounts gehacked waarna zij geen mogelijkheid meer krijgen om aan te tonen dat zij de oorspronkelijke "bezitter" waren (voorbeeld: https://radar.avrotros.nl/nieuws/item/kunstenaar-lucienne-55-voelt-enorme-leegte-na-instagram-hack-ik-had-echt-iets-opgebouwd/).
In het stadium dat hun account nog niet gehacked is willen de meesten zo weinig mogelijk informatie prijsgeven aan het social media bedrijf. Men vult bijvoorbeeld een fake naam, fake geboortedatum in.Hoe moet het bedrijf dan later als de nood aan de man komt bewezen krijgen dat inderdaad dezelfde persoon die nu claimt "gehacked te zijn" degene is die oorspronkelijk het account heeft aangemaakt?
Ik snap best dat daar allerlei rare hoepels voor bedacht worden die soms wel en soms niet werken.
Het gebruik van een electronische identiteit, hoeveel aversie daar ook tegen bestaat, zou in dit soort gevallen nou juist heel nuttig zijn. Daarmee kun je later aantonen dat je dezelfde persoon bent als die het account ooit heeft aangemaakt.
Uiteraard zouden die bedrijven dan nog steeds de mogelijkheid moeten bieden om in een profiel de feitelijk correcte gegevens weg te laten of aan te passen. Iets wat kennelijk niet alle social media bedrijven willen doen ("je bent verplicht je echte eigen naam te gebruiken").
Goede posting, Erik, goede juiste analyse.
Goed aangeven van de juiste richting, die we op moeten.
Er is onvoldoende bescherming tegen scammers en fraudeurs. Punt-uit.
Handhaving moet veel en veel beter.
Straf bijvoorbeeld voor het inrichten van een namaaksite moet er echt inhakken.
Ook de gedogers moeten aan de schandpaal,
Er moet een einde gemaakt worden aan dit digitaal 'rattengedrag'.
Omdat Big Commerce en Big Tech niet aangepakt worden, waar het hoort
en veel te vaak worden ontzien en gepampered,
blijft het verder ook steeds misgaan en huiln met de pet op.
Daarnaast statelijke crime is ook crime.
Geen financieren van zwarte projecten via uitknijpen van gedupeerde eindgebruikers.
Laat de elite en superrijken het dan maar financieel ophoesten.
Machtsmisbruik van legale machtsuitoefenaren blijft machtsmisbruik naar de eindgebruiker toe.
Ze moeten beseffen dat het niet gepikt gaat worden en ze er niet blivend mee weg kunnen komen.
#sta-in--eigen-kracht
Goed aangeven van de juiste richting, die we op moeten.
Er is onvoldoende bescherming tegen scammers en fraudeurs. Punt-uit.
Handhaving moet veel en veel beter.
Straf bijvoorbeeld voor het inrichten van een namaaksite moet er echt inhakken.
Ook de gedogers moeten aan de schandpaal,
Er moet een einde gemaakt worden aan dit digitaal 'rattengedrag'.
Omdat Big Commerce en Big Tech niet aangepakt worden, waar het hoort
en veel te vaak worden ontzien en gepampered,
blijft het verder ook steeds misgaan en huiln met de pet op.
Daarnaast statelijke crime is ook crime.
Geen financieren van zwarte projecten via uitknijpen van gedupeerde eindgebruikers.
Laat de elite en superrijken het dan maar financieel ophoesten.
Machtsmisbruik van legale machtsuitoefenaren blijft machtsmisbruik naar de eindgebruiker toe.
Ze moeten beseffen dat het niet gepikt gaat worden en ze er niet blivend mee weg kunnen komen.
#sta-in--eigen-kracht
Maar kijk ook eens tegen welke technieken we ons moeten wapenen:
https://towardsdatascience.com/why-tiktok-made-its-user-so-obsessive-the-ai-algorithm-that-got-you-hooked-7895bb1ab423
De data-game wordt bijzonder geavanceerd en geraffineerd subtiel gespeeld.
https://towardsdatascience.com/why-tiktok-made-its-user-so-obsessive-the-ai-algorithm-that-got-you-hooked-7895bb1ab423
De data-game wordt bijzonder geavanceerd en geraffineerd subtiel gespeeld.
Daarmee kun je later aantonen dat je dezelfde persoon bent als die het account ooit heeft aangemaakt.
Dan vraag ik mij af hoe iemand dit account heeft kunnen overnemen, dan blijkt dus toch dat elektronische authenticatie toch heeft gefaald.
Door Anoniem:
toch heeft gefaald.
Er is nu geen deugdelijke authenticatie. Op het moment dat de stopgap die nu gebruikt wordt faalt, heb je een groot probleem, zowel als gebruiker als als dienstverlener. Immers je beschikt niet over een middel waarmee opnieuw kan worden aangetoond wie de correcte gebruiker is. Daarmee kun je later aantonen dat je dezelfde persoon bent als die het account ooit heeft aangemaakt.
Dan vraag ik mij af hoe iemand dit account heeft kunnen overnemen, dan blijkt dus toch dat elektronische authenticatie toch heeft gefaald.
Je ziet dit regelmatig op diensten als Instagram (zie voorbeeld), Twitter, Facebook, Youtube etc.
De gebruiker verwijt de dienstverlener een grote moloch te zijn waar niet mee te praten is, maar ziet niet de andere kant waar de gebruiker een zandkorrel in de miljoenen/miljarden gebruikers is en de dienstverlener wel even moet gaan bepalen dat die gebruiker "de echte" is en niet een hacker die probeert het account te stelen door te claimen dat het gehacked is en aan te komen met aanwijzingen dat hij de legitieme gebruiker is.
Oplossingen als "2nd factor authentication" lijken leuk, maar de gebruiker verwacht evengoed wel dat als dit niet meer werkt hij dit even kan resetten naar de nieuwe 2nd factor die hij/zij gekozen heeft. Dus kwa echte veiligheid voegt het dan niets toe.
Door Erik van Straten: Een Engels woord voor een impersonator is impostor (waar bij mijn weten geen passend werkwoord voor bestaat).
impostor
1. Someone who attempts to deceive by using an assumed name or identity.
https://en.wiktionary.org/wiki/impostor
Het Engels kent wel het werkwoord to impose (opleggen), dat ook in de zin van "to practice a trick or deception (on or upon)" (bedriegen), of als imposing (indrukwekkend), wordt gebruikt, maar to deceive voor bedriegen is als Engels werkwoord gebruikelijker. Voor een impersonator (lookalike) gebruikt men in het Nederlands het woord dubbelganger.
08-04-2023, 15:07 door
Erik van Straten
Door Anoniem: Oplossingen als "2nd factor authentication" lijken leuk, maar de gebruiker verwacht evengoed wel dat als dit niet meer werkt hij dit even kan resetten naar de nieuwe 2nd factor die hij/zij gekozen heeft. Dus kwa echte veiligheid voegt het dan niets toe.
Precies. Ik vind het dan ook schandalig dat voortdurend wordt opgeroepen om 2FA/MFA te gebruiken, zonder erbij te vertellen wat daar de risico's van zijn - zoals:1) Dat de gangbare vormen van MFA (SMS, voice, TOTP) niet beschermen tegen AitM aanvallen (ook MS Authenticator met number matching niet);
2) Dat als jouw account met MFA wordt overgenomen (en de aanvaller, zoals gebruikelijk is, alle "credentials" wijzigt) via een aanval zoals punt 1 of malware op jouw device, het nóg moeilijker is voor jou om aan te tonen dat het jouw account was;
3) Dat er bijvoorbeeld bij Google Authenticator géén back-ups van de TOTP-shared-secrets op jouw smartphone worden gemaakt (en je dus op alle accounts met TOTP-MFA niet meer in kunt loggen als jouw smartphone gestolen wordt of in het water valt) en dat bij andere TOTP-authenticators wél back-ups worden gemaakt, maar vaak onveilig en dat je, zoals zo vaak, betaalt met jouw privacy.
Zie ook https://www.security.nl/posting/778668/TOTP+Authenticators+drama.
Hoi Erik,
Kom eens a.u.b. met huidige ge-update commentaar op deze toch wel enigszins gedateerde infographic:
https://1st-it.com/wp-content/uploads/2017/05/10-steps-to-cyber-security-infographic.png
Veel van de aandachtsgebieden zijn natuurlijk nog actueel.
luntrus
Kom eens a.u.b. met huidige ge-update commentaar op deze toch wel enigszins gedateerde infographic:
https://1st-it.com/wp-content/uploads/2017/05/10-steps-to-cyber-security-infographic.png
Veel van de aandachtsgebieden zijn natuurlijk nog actueel.
luntrus
08-04-2023, 16:09 door
Erik van Straten
Door Anoniem: In het stadium dat hun account nog niet gehacked is willen de meesten zo weinig mogelijk informatie prijsgeven aan het social media bedrijf. Men vult bijvoorbeeld een fake naam, fake geboortedatum in.
En dat doet men niet zonder reden. Veel te vaak vallen dat soort gegevens later "onbedoeld" in verkeerde handen, voor zover een bedrijf als Meta zelf geen "verkeerde handen" heeft - en de verstrekte persoonsgegevens niet voor andere dan de toegezegde doeleinden misbruikt of laat misbruiken.Door Anoniem: Hoe moet het bedrijf dan later als de nood aan de man komt bewezen krijgen dat inderdaad dezelfde persoon die nu claimt "gehacked te zijn" degene is die oorspronkelijk het account heeft aangemaakt?
Dat is inderdaad een probleem, maar de vraag is of je dit oplost door van begin af aan met "absolute identificatie" te claimen dat jij dat bent (wat niet zo hoeft te zijn). Je kunt natuurlijk "real" voor jouw naam zetten (@realDonaldTrump) maar dat maakt anderen met toevallig dezelfde naam niet "unreal".Door Anoniem: Het gebruik van een electronische identiteit, hoeveel aversie daar ook tegen bestaat, zou in dit soort gevallen nou juist heel nuttig zijn. Daarmee kun je later aantonen dat je dezelfde persoon bent als die het account ooit heeft aangemaakt.
"Aantonen" is helemaal de vraag. Niemand heeft een aangeboren digitale identiteit, en omdat er meestal asymmetrische cryptografie bij betrokken is en geen normaal mens een private key kan onthouden, laat staan daar de noodzakelijke berekeningen mee kan uitvoeren "in diens hoofd", gaat het in de praktijk om iets dat je hebt (na dat iets te hebben gekregen en/of gekocht).Waarbij nagenoeg altijd vergeten wordt (nb. dit geldt voor alle "authenticatiefactoren"):
Iets dat je hebt - dat niet eenvoudig te raden, te voorspellen, te brute-forcen, op andere wijze te kraken, te vinden en te kopiëren, na te maken of te stelen of (onder druk) af te troggelen valt, etcetera.
De vervolgvraag luidt dan: wat is "niet eenvoudig"?
Hoe "betrouwbaarder" je authenticatie maakt, hoe lastiger het is om te bewijzen wie jij bent nadat jouw identiteit is "gestolen" - vooral zonder een door beide partijen vertrouwde TTP (Trusted Third Party). Maar TTP's zijn vaak prijzig en blijken in de praktijk ook niet altijd betrouwbaar.
Mensen wiens identiteit nog nooit is gestolen, menen vaak het beste te weten hoe authenticatie veilig kan en roepen vervolgens om het hardst hoe stom mensen zijn die in identiteitsfraude trappen (los van of die slachtoffers daar überhaupt veel tegen hadden kunnen doen en daar menselijkerwijs toe in staat zijn; de datalekken vliegen ons om de oren waardoor criminelen laaghangend fruit kunnen plukken - slachtoffers volgen op voorafgaande problemen, die nauwelijks tot niet worden aangepakt en waar gelegenheidgevers veel te makkelijk mee weg blijven komen).
Door Anoniem: Uiteraard zouden die bedrijven dan nog steeds de mogelijkheid moeten bieden om in een profiel de feitelijk correcte gegevens weg te laten of aan te passen. Iets wat kennelijk niet alle social media bedrijven willen doen ("je bent verplicht je echte eigen naam te gebruiken").
Aanpassen (niet de getoonde nickname) is precies wat criminelen doen zodra zij toegang hebben tot het account van een ander. En, als er tijdens het aanmaken van een account al gefraudeerd wordt, heeft de geïmpersoneerde persoon dan überhaupt nog iets te zeggen over dat account en de gang van zaken?Interessant het actie nemen na een overname van een account, hier een voorbeeldje hoe sentinel dit doet:
https://campus.barracuda.com/product/sentinel/doc/76283940/handling-an-account-takeover/
Impersonatie beveiliging kan account overnames detecteren op basis van vele factoren, onder meer:
Verdacht inloggen
Verdachte Inbox rules
Verdachte interne emails
En weer de steeds terugkerende aanwijzing MFA te gebruiken (ja, de FBI doet dat steeds ook).
Maar dat schrikt een l33t hacker niet af.
Alhoewel ze meestal wel gaan voor het laaghangend fruit.
Telefonische persoonlijke verificatie met een help desk medewerker werkt vaak direct.
Alleen kan je dan je gehackte account een aantal dagen niet meer gebruiken.
Vroeger deed men dat met additionele vragen zoals "Wat is het geboortejaar van uw moeder?".
Dat zal alleen bekend zijn bij degene die de ware identiteit bezit
en niet bij de hacker, die zich als zodanig voordoet.
#webproxy
https://campus.barracuda.com/product/sentinel/doc/76283940/handling-an-account-takeover/
Impersonatie beveiliging kan account overnames detecteren op basis van vele factoren, onder meer:
Verdacht inloggen
Verdachte Inbox rules
Verdachte interne emails
En weer de steeds terugkerende aanwijzing MFA te gebruiken (ja, de FBI doet dat steeds ook).
Maar dat schrikt een l33t hacker niet af.
Alhoewel ze meestal wel gaan voor het laaghangend fruit.
Telefonische persoonlijke verificatie met een help desk medewerker werkt vaak direct.
Alleen kan je dan je gehackte account een aantal dagen niet meer gebruiken.
Vroeger deed men dat met additionele vragen zoals "Wat is het geboortejaar van uw moeder?".
Dat zal alleen bekend zijn bij degene die de ware identiteit bezit
en niet bij de hacker, die zich als zodanig voordoet.
#webproxy
09-04-2023, 07:52 door
spatieman
verdomd lang artikel, maar wel de moeite waard !
Door Anoniem: Interessant het actie nemen na een overname van een account, hier een voorbeeldje hoe sentinel dit doet:
https://campus.barracuda.com/product/sentinel/doc/76283940/handling-an-account-takeover/
Impersonatie beveiliging kan account overnames detecteren op basis van vele factoren, onder meer:
Verdacht inloggen
Verdachte Inbox rules
Verdachte interne emails
En weer de steeds terugkerende aanwijzing MFA te gebruiken (ja, de FBI doet dat steeds ook).
Maar dat schrikt een l33t hacker niet af.
Alhoewel ze meestal wel gaan voor het laaghangend fruit.
Telefonische persoonlijke verificatie met een help desk medewerker werkt vaak direct.
Alleen kan je dan je gehackte account een aantal dagen niet meer gebruiken.
Vroeger deed men dat met additionele vragen zoals "Wat is het geboortejaar van uw moeder?".
Dat zal alleen bekend zijn bij degene die de ware identiteit bezit
en niet bij de hacker, die zich als zodanig voordoet.
#webproxy
https://campus.barracuda.com/product/sentinel/doc/76283940/handling-an-account-takeover/
Impersonatie beveiliging kan account overnames detecteren op basis van vele factoren, onder meer:
Verdacht inloggen
Verdachte Inbox rules
Verdachte interne emails
En weer de steeds terugkerende aanwijzing MFA te gebruiken (ja, de FBI doet dat steeds ook).
Maar dat schrikt een l33t hacker niet af.
Alhoewel ze meestal wel gaan voor het laaghangend fruit.
Telefonische persoonlijke verificatie met een help desk medewerker werkt vaak direct.
Alleen kan je dan je gehackte account een aantal dagen niet meer gebruiken.
Vroeger deed men dat met additionele vragen zoals "Wat is het geboortejaar van uw moeder?".
Dat zal alleen bekend zijn bij degene die de ware identiteit bezit
en niet bij de hacker, die zich als zodanig voordoet.
#webproxy
Ok, die vraag had ik goed! Maar de volgende vraag moest ik schatten, dat wist ik niet meer precies!
Één probleem ben ik tegen gekomen bij het instellen van een grote speler account en dat waren de controle-vragen.
Ikzelf gaf dan altijd het advies om bogus antwoorden in te vullen opdegeheimevragen.
Oeps! Spaties vergeten...
Door Erik van Straten:
Door Anoniem: Hoe moet het bedrijf dan later als de nood aan de man komt bewezen krijgen dat inderdaad dezelfde persoon die nu claimt "gehacked te zijn" degene is die oorspronkelijk het account heeft aangemaakt?
Dat is inderdaad een probleem, maar de vraag is of je dit oplost door van begin af aan met "absolute identificatie" te claimen dat jij dat bent (wat niet zo hoeft te zijn). Je kunt natuurlijk "real" voor jouw naam zetten (@realDonaldTrump) maar dat maakt anderen met toevallig dezelfde naam niet "unreal".Door Anoniem: Het gebruik van een electronische identiteit, hoeveel aversie daar ook tegen bestaat, zou in dit soort gevallen nou juist heel nuttig zijn. Daarmee kun je later aantonen dat je dezelfde persoon bent als die het account ooit heeft aangemaakt.
"Aantonen" is helemaal de vraag. Niemand heeft een aangeboren digitale identiteit, en omdat er meestal asymmetrische cryptografie bij betrokken is en geen normaal mens een private key kan onthouden, laat staan daar de noodzakelijke berekeningen mee kan uitvoeren "in diens hoofd", gaat het in de praktijk om iets dat je hebt (na dat iets te hebben gekregen en/of gekocht).Wat ik bedoel is dat je een identiteit van de overheid krijgt waarvan zeker is dat niet iemand anders die even namens jou kan aanvragen, bijvoorbeeld een ID kaart die je bij je gemeente aanvraagt en die een of ander identiteitsmechanisme bevat.
Dit mechanisme is niet te kopieren, net zoals je bankpas niet de kopieren is. En het is na verlies of diefstal niet zomaar te gebruiken, omdat er ook nog iets als een pincode of password bij nodig is.
In een scenario waar je je moet identificeren vindt er een 2-weg interactie (challenge/response) plaats tussen de tegenpartj en jouw kaart, en krijgt de tegenpartij een stukje informatie in handen waarvan duidelijk is dat het een aan DIE partij verstrekt bewijs van jouw identiteit is. Met dat stukje bewijs kan een ANDERE partij niets zinvols (dus kopieren hiervan heeft geen zin) maar de oorspronkelijke ontvanger kan het bewaren en kan later als hij jou opnieuw moet identificeren opnieuw deze actie uitvoeren en dan wel zien dat het om dezelfde persoon gaat.
Zo iets is best te maken. En laat je opmerking "dat kan nooit 100% goed werken want..." maar weg, dat weten we al. Niets in het leven werkt altijd 100%.
De Wet van Murphy is een zekerheid bij digitaal beleid.
En ik denk dat Erik van Straten dat zal onderschrijven.
luntrus
En ik denk dat Erik van Straten dat zal onderschrijven.
luntrus
09-04-2023, 17:42 door
Erik van Straten
Door Anoniem: En laat je opmerking "dat kan nooit 100% goed werken want..." maar weg, dat weten we al.
Ik ga niet meer in discussie met trollen die voortdurend liegen dat ik 100% betrouwbaarheid noodzakelijk zou achten (fatsoenlijke lezers: zoek van boven af naar "Belangrijk:").
09-04-2023, 17:54 door
Erik van Straten
Door Anoniem: Kom eens a.u.b. met huidige ge-update commentaar op deze toch wel enigszins gedateerde infographic: https://1st-it.com/wp-content/uploads/2017/05/10-steps-to-cyber-security-infographic.png
Ik begrijp het niet, in die infographic zie ik niets over authenticatie (laat staan impersonatie), maar sowieso kun je een beveiligingsaanpak niet in 1 A4'tje proppen.Dit is net zoiets als een boodschappenlijstje voor een driesterrenrestaurant met daarop "groente, fruit, zuivel, iets te drinken en een toetje".
09-04-2023, 19:58 door
Erik van Straten
Door Anoniem: Interessant het actie nemen na een overname van een account, hier een voorbeeldje hoe sentinel dit doet: https://campus.barracuda.com/product/sentinel/doc/76283940/handling-an-account-takeover/
Sentinel doet hier niets, het is een Microsoft-verhaal.De ellende die Microsoft haar gebruikers op de hals gehaald heeft, is goed te zien bij de overgang van pagina 2 naar pagina 3 in een presentatie die Microsoft-medewerkers gaven op verzoek van de IBD, die je vanuit deze pagina: https://www.informatiebeveiligingsdienst.nl/product/presentatie-2fa-webinar-door-microsoft/ kunt inzien of downloaden.
"Is de cloud wel zo'n goed idee" wilde destijds bijna niemand zich afvragen, en nu "kunnen we niet meer terug". Gelukkig heeft Microsoft's een "oplossing": haar interpretatie van "Zero trust".
Terug naar de pagina die je noemde, daaruit:
Impersonation Protection can detect Account Takeovers based on many factors, including:
• Suspicious sign-ins
• Suspicious Inbox rules
• Suspicious internal emails
Deze "fuzzy" aanpak is gedoemd te mislukken, omdat (en/en):• Suspicious sign-ins
• Suspicious Inbox rules
• Suspicious internal emails
• Dit tot false positives leidt (de tekst "false positives" komt letterlijk voor in die pagina): allerlei onzekere aannames kunnen ook tot lock-outs van legitieme accounts leiden: https://www.theregister.com/2023/03/24/microsoft_geolocation_fail_uzbekistan/;
• Criminelen zich altijd aanpassen als dat mogelijk is. Dit wordt net zo'n rat-race als met virusscanners: wel de lasten maar niet de lusten (sterker, je ziet dat Microsoft Defender steeds vaker genoemd wordt in publicaties van MS gerelateerd aan authenticatie - nog meer vendor-lock-in);
• De signalen komen uit het systeem (dat noodzakelijkerwijs generiek is omdat het voor alle MS klanten moet werken) en zijn grotendeels contextloos voor jouw organisatie, of gaan mogelijk vergezeld van enorme bergen onduidelijke logs waar je doorheen moet spitten en conclusies moet trekken (in een web GUI natuurlijk, niks grep - dit is géén uitdagend werk meer, en slimme mensen ga je hier niet meer voor strikken);
• Het is nooit af en er wordt aan gesleuteld op momenten die jou totaal niet uit kunnen komen. En waarvoor je, als beslisser of een "user" echt is of nep, steeds weer diep in inconsistente en/of achterlopende informatie moet duiken. Microsoft webpagina's veranderen aan de lopende band zonder dat er een historie wordt bijgehouden van wie wat wanneer gewijzigd heeft.
Succes ermee...
Door Anoniem: Telefonische persoonlijke verificatie met een help desk medewerker werkt vaak direct.
Cybercriminelen hebben dat uitstekend in de gaten. Precies daarom zijn SIM-swaps zo eenvoudig. Bovendien zijn telefoon-opnemende medewerkers met verstand van zaken duur: de trend is ZHLZU (Zoek Het Lekker Zelf Uit): https://learn.microsoft.com/en-us/azure/active-directory/authentication/tutorial-enable-sspr - een natuurlijk niet te misleiden systeem met niet te misleiden gebruikers (die iets niet kunnen en gehaast zijn).Door Anoniem: Vroeger deed men dat met additionele vragen zoals "Wat is het geboortejaar van uw moeder?".
Dat zal alleen bekend zijn bij degene die de ware identiteit bezit en niet bij de hacker, die zich als zodanig voordoet.
Als er iets eenvoudig te achterhalen is (met een beetje social engineering) is het dat wel. En het is niet "vroeger", als halve zool kun je er nog steeds voor kiezen - uit laatstgenoemde pagina:Dat zal alleen bekend zijn bij degene die de ware identiteit bezit en niet bij de hacker, die zich als zodanig voordoet.
You can enable other authentication methods, like Office phone or Security questions, as needed to fit your business requirements.
Details daarover (inclusief vooraf gedefinieerde vragen waar je uit kunt kiezen, naast zelfbedachte vragen zoals "hoe heet onze CEO"): https://learn.microsoft.com/nl-nl/azure/active-directory/authentication/concept-authentication-security-questions.Grappig ook uit de Sentinel pagina die je noemde:
Handling a New Account Takeover Alert
[...]
5. When prompted, change the account password. This will keep unauthorized users out of the compromised account.
Huh? Microsoft zet zwaar in op "sterkere" authenticatiemethodes dan (slechts) een wachtwoord, zelfs "passwordless", gebruikt helemaal niemand dat of zo? Wat als een Yubikey met pincode is gestolen, of een private key van een client certificaat?[...]
5. When prompted, change the account password. This will keep unauthorized users out of the compromised account.
Als er één partij is die de komende jaren keihard onderuit zou moeten gaan op authenticatie, is het Microsoft. Binnen lokale netwerken hebben zij dit hopeloos verwaarloosd met "Full Trust" protocollen die o.a. "Pass the Hash" mogelijk maken, en andere crap zoals WPAD, LLMNR, NBT-NS, MDNS, zeer veel op het netwerk naar iedereen luisterende services (ook op "workstations" draait by default een "server service") en ga zo maar door. Anders gezegd, een Microsoft LAN lijkt, qua beveiliging, sterk op de CAN-bus in "moderne" auto's: https://arstechnica.com/information-technology/2023/04/crooks-are-stealing-cars-using-previously-unknown-keyless-can-injection-attacks/.
Op pagina 13 van de presentatie voor IBD liegt Microsoft nog "Multi-factor authentication prevents 99.9% of identity attacks" terwijl verderop staat "MFA reduces compromise by 99.99%" (het verbetert as we speak). Waarom je al die andere maatregelen dan nog zou moeten nemen, ontgaat me.
En als je dan extra maatregelen neemt, loop je onmiddellijk tegen "beta" meuk aan, of het werkt gewoon niet, uit https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-system-preferred-multifactor-authentication#known-issue:
Known issue
FIDO2 security keys on mobile devices and registration for certificate-based authentication (CBA) aren't supported due to an issue that might surface when system-preferred MFA is enabled. Until a fix is available, we recommend not using FIDO2 security keys on mobile devices or registering for CBA. To disable system-preferred MFA for these users, you can either add them to an excluded group or remove them from an included group.
Als er iets een recept is voor phishing, is dat eindgebruikers aanleren dat een webpagina met iets als het volgende volstrekt normaal is: "Op dit moment kunt u niet met een FIDO2 hardware key of een client certificaat inloggen. Gebruik tijdelijk een andere authenticatiemethode, zoals een wachtwoord - eventueel aangevuld met SMS, Voice of een code uit de Microsoft Authenticator app".FIDO2 security keys on mobile devices and registration for certificate-based authentication (CBA) aren't supported due to an issue that might surface when system-preferred MFA is enabled. Until a fix is available, we recommend not using FIDO2 security keys on mobile devices or registering for CBA. To disable system-preferred MFA for these users, you can either add them to an excluded group or remove them from an included group.
Microsoft en haar klanten zakken steeds dieper in een veel te complexe slangenkuil.
MS verliest overal terrein, ze zijn er echter nog steeds voor de business PC markt.
Maar overal elders hebben andere device systemen al gewonnen.
Wat te denken van een chrome notebookje, waar elke toetsaanslag direct naar de server van de uni gaat.
En linken naar Internet content niet kan, maar geprint op papier wordt uitgedeeld.
Hoe veilig wil je het hebben?
De browserslag heeft MS ook reeds verloren.
Bij de zoekmachines spelen ze tevens een ondergeschikte rol.
Cybercrime neemt harder toe dan windows defender en vele av vendors kunnen bijhouden.
Je loopt met de huidige cybercrime namelijk steeds achter de feiten aan.
Er hadden al lang wereldwijd grensoverschrijdende uitleveringen moeten kunnen plaatsvinden.
Vele interne problemen van het OS zijn nooit opgelost, zoals het dubbel extensie probleem,
kwetsbaarheden, die als features worden voorgesteld (plug- en play etc.).
Met innovatie loopt MS ook al flink achter.
Dan de belabberde veiligheidsstatus van veel websites ook in ogenschouw genomen,
levert een ontluisterend beeld op van de huidige veiligheid op de Internet-infrastructuur.
AI-bulk-data analyse gaat daar voorlopig ook niets aan veranderen.
Wil men het Internet gaan ondergraven op deze manier? Iemand?
Maar overal elders hebben andere device systemen al gewonnen.
Wat te denken van een chrome notebookje, waar elke toetsaanslag direct naar de server van de uni gaat.
En linken naar Internet content niet kan, maar geprint op papier wordt uitgedeeld.
Hoe veilig wil je het hebben?
De browserslag heeft MS ook reeds verloren.
Bij de zoekmachines spelen ze tevens een ondergeschikte rol.
Cybercrime neemt harder toe dan windows defender en vele av vendors kunnen bijhouden.
Je loopt met de huidige cybercrime namelijk steeds achter de feiten aan.
Er hadden al lang wereldwijd grensoverschrijdende uitleveringen moeten kunnen plaatsvinden.
Vele interne problemen van het OS zijn nooit opgelost, zoals het dubbel extensie probleem,
kwetsbaarheden, die als features worden voorgesteld (plug- en play etc.).
Met innovatie loopt MS ook al flink achter.
Dan de belabberde veiligheidsstatus van veel websites ook in ogenschouw genomen,
levert een ontluisterend beeld op van de huidige veiligheid op de Internet-infrastructuur.
AI-bulk-data analyse gaat daar voorlopig ook niets aan veranderen.
Wil men het Internet gaan ondergraven op deze manier? Iemand?
Door Erik van Straten:
De ellende die Microsoft haar gebruikers op de hals gehaald heeft, is goed te zien bij de overgang van pagina 2 naar pagina 3 in een presentatie die Microsoft-medewerkers gaven op verzoek van de IBD, die je vanuit deze pagina: https://www.informatiebeveiligingsdienst.nl/product/presentatie-2fa-webinar-door-microsoft/ kunt inzien of downloaden.
"Is de cloud wel zo'n goed idee" wilde destijds bijna niemand zich afvragen, en nu "kunnen we niet meer terug". Gelukkig heeft Microsoft's een "oplossing": haar interpretatie van "Zero trust".
Terug naar de pagina die je noemde, daaruit:
• Dit tot false positives leidt (de tekst "false positives" komt letterlijk voor in die pagina): allerlei onzekere aannames kunnen ook tot lock-outs van legitieme accounts leiden: https://www.theregister.com/2023/03/24/microsoft_geolocation_fail_uzbekistan/;
• Criminelen zich altijd aanpassen als dat mogelijk is. Dit wordt net zo'n rat-race als met virusscanners: wel de lasten maar niet de lusten (sterker, je ziet dat Microsoft Defender steeds vaker genoemd wordt in publicaties van MS gerelateerd aan authenticatie - nog meer vendor-lock-in);
• De signalen komen uit het systeem (dat noodzakelijkerwijs generiek is omdat het voor alle MS klanten moet werken) en zijn grotendeels contextloos voor jouw organisatie, of gaan mogelijk vergezeld van enorme bergen onduidelijke logs waar je doorheen moet spitten en conclusies moet trekken (in een web GUI natuurlijk, niks grep - dit is géén uitdagend werk meer, en slimme mensen ga je hier niet meer voor strikken);
• Het is nooit af en er wordt aan gesleuteld op momenten die jou totaal niet uit kunnen komen. En waarvoor je, als beslisser of een "user" echt is of nep, steeds weer diep in inconsistente en/of achterlopende informatie moet duiken. Microsoft webpagina's veranderen aan de lopende band zonder dat er een historie wordt bijgehouden van wie wat wanneer gewijzigd heeft.
Succes ermee...
Grappig ook uit de Sentinel pagina die je noemde:
Als er één partij is die de komende jaren keihard onderuit zou moeten gaan op authenticatie, is het Microsoft. Binnen lokale netwerken hebben zij dit hopeloos verwaarloosd met "Full Trust" protocollen die o.a. "Pass the Hash" mogelijk maken, en andere crap zoals WPAD, LLMNR, NBT-NS, MDNS, zeer veel op het netwerk naar iedereen luisterende services (ook op "workstations" draait by default een "server service") en ga zo maar door. Anders gezegd, een Microsoft LAN lijkt, qua beveiliging, sterk op de CAN-bus in "moderne" auto's: https://arstechnica.com/information-technology/2023/04/crooks-are-stealing-cars-using-previously-unknown-keyless-can-injection-attacks/.
Op pagina 13 van de presentatie voor IBD liegt Microsoft nog "Multi-factor authentication prevents 99.9% of identity attacks" terwijl verderop staat "MFA reduces compromise by 99.99%" (het verbetert as we speak). Waarom je al die andere maatregelen dan nog zou moeten nemen, ontgaat me.
En als je dan extra maatregelen neemt, loop je onmiddellijk tegen "beta" meuk aan, of het werkt gewoon niet, uit https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-system-preferred-multifactor-authentication#known-issue:
Microsoft en haar klanten zakken steeds dieper in een veel te complexe slangenkuil.
Door Anoniem: Interessant het actie nemen na een overname van een account, hier een voorbeeldje hoe sentinel dit doet: https://campus.barracuda.com/product/sentinel/doc/76283940/handling-an-account-takeover/
Sentinel doet hier niets, het is een Microsoft-verhaal.De ellende die Microsoft haar gebruikers op de hals gehaald heeft, is goed te zien bij de overgang van pagina 2 naar pagina 3 in een presentatie die Microsoft-medewerkers gaven op verzoek van de IBD, die je vanuit deze pagina: https://www.informatiebeveiligingsdienst.nl/product/presentatie-2fa-webinar-door-microsoft/ kunt inzien of downloaden.
"Is de cloud wel zo'n goed idee" wilde destijds bijna niemand zich afvragen, en nu "kunnen we niet meer terug". Gelukkig heeft Microsoft's een "oplossing": haar interpretatie van "Zero trust".
Terug naar de pagina die je noemde, daaruit:
Impersonation Protection can detect Account Takeovers based on many factors, including:
• Suspicious sign-ins
• Suspicious Inbox rules
• Suspicious internal emails
Deze "fuzzy" aanpak is gedoemd te mislukken, omdat (en/en):• Suspicious sign-ins
• Suspicious Inbox rules
• Suspicious internal emails
• Dit tot false positives leidt (de tekst "false positives" komt letterlijk voor in die pagina): allerlei onzekere aannames kunnen ook tot lock-outs van legitieme accounts leiden: https://www.theregister.com/2023/03/24/microsoft_geolocation_fail_uzbekistan/;
• Criminelen zich altijd aanpassen als dat mogelijk is. Dit wordt net zo'n rat-race als met virusscanners: wel de lasten maar niet de lusten (sterker, je ziet dat Microsoft Defender steeds vaker genoemd wordt in publicaties van MS gerelateerd aan authenticatie - nog meer vendor-lock-in);
• De signalen komen uit het systeem (dat noodzakelijkerwijs generiek is omdat het voor alle MS klanten moet werken) en zijn grotendeels contextloos voor jouw organisatie, of gaan mogelijk vergezeld van enorme bergen onduidelijke logs waar je doorheen moet spitten en conclusies moet trekken (in een web GUI natuurlijk, niks grep - dit is géén uitdagend werk meer, en slimme mensen ga je hier niet meer voor strikken);
• Het is nooit af en er wordt aan gesleuteld op momenten die jou totaal niet uit kunnen komen. En waarvoor je, als beslisser of een "user" echt is of nep, steeds weer diep in inconsistente en/of achterlopende informatie moet duiken. Microsoft webpagina's veranderen aan de lopende band zonder dat er een historie wordt bijgehouden van wie wat wanneer gewijzigd heeft.
Succes ermee...
Door Anoniem: Telefonische persoonlijke verificatie met een help desk medewerker werkt vaak direct.
Cybercriminelen hebben dat uitstekend in de gaten. Precies daarom zijn SIM-swaps zo eenvoudig. Bovendien zijn telefoon-opnemende medewerkers met verstand van zaken duur: de trend is ZHLZU (Zoek Het Lekker Zelf Uit): https://learn.microsoft.com/en-us/azure/active-directory/authentication/tutorial-enable-sspr - een natuurlijk niet te misleiden systeem met niet te misleiden gebruikers (die iets niet kunnen en gehaast zijn).Door Anoniem: Vroeger deed men dat met additionele vragen zoals "Wat is het geboortejaar van uw moeder?".
Dat zal alleen bekend zijn bij degene die de ware identiteit bezit en niet bij de hacker, die zich als zodanig voordoet.
Als er iets eenvoudig te achterhalen is (met een beetje social engineering) is het dat wel. En het is niet "vroeger", als halve zool kun je er nog steeds voor kiezen - uit laatstgenoemde pagina:Dat zal alleen bekend zijn bij degene die de ware identiteit bezit en niet bij de hacker, die zich als zodanig voordoet.
You can enable other authentication methods, like Office phone or Security questions, as needed to fit your business requirements.
Details daarover (inclusief vooraf gedefinieerde vragen waar je uit kunt kiezen, naast zelfbedachte vragen zoals "hoe heet onze CEO"): https://learn.microsoft.com/nl-nl/azure/active-directory/authentication/concept-authentication-security-questions.Grappig ook uit de Sentinel pagina die je noemde:
Handling a New Account Takeover Alert
[...]
5. When prompted, change the account password. This will keep unauthorized users out of the compromised account.
Huh? Microsoft zet zwaar in op "sterkere" authenticatiemethodes dan (slechts) een wachtwoord, zelfs "passwordless", gebruikt helemaal niemand dat of zo? Wat als een Yubikey met pincode is gestolen, of een private key van een client certificaat?[...]
5. When prompted, change the account password. This will keep unauthorized users out of the compromised account.
Als er één partij is die de komende jaren keihard onderuit zou moeten gaan op authenticatie, is het Microsoft. Binnen lokale netwerken hebben zij dit hopeloos verwaarloosd met "Full Trust" protocollen die o.a. "Pass the Hash" mogelijk maken, en andere crap zoals WPAD, LLMNR, NBT-NS, MDNS, zeer veel op het netwerk naar iedereen luisterende services (ook op "workstations" draait by default een "server service") en ga zo maar door. Anders gezegd, een Microsoft LAN lijkt, qua beveiliging, sterk op de CAN-bus in "moderne" auto's: https://arstechnica.com/information-technology/2023/04/crooks-are-stealing-cars-using-previously-unknown-keyless-can-injection-attacks/.
Op pagina 13 van de presentatie voor IBD liegt Microsoft nog "Multi-factor authentication prevents 99.9% of identity attacks" terwijl verderop staat "MFA reduces compromise by 99.99%" (het verbetert as we speak). Waarom je al die andere maatregelen dan nog zou moeten nemen, ontgaat me.
En als je dan extra maatregelen neemt, loop je onmiddellijk tegen "beta" meuk aan, of het werkt gewoon niet, uit https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-system-preferred-multifactor-authentication#known-issue:
Known issue
FIDO2 security keys on mobile devices and registration for certificate-based authentication (CBA) aren't supported due to an issue that might surface when system-preferred MFA is enabled. Until a fix is available, we recommend not using FIDO2 security keys on mobile devices or registering for CBA. To disable system-preferred MFA for these users, you can either add them to an excluded group or remove them from an included group.
Als er iets een recept is voor phishing, is dat eindgebruikers aanleren dat een webpagina met iets als het volgende volstrekt normaal is: "Op dit moment kunt u niet met een FIDO2 hardware key of een client certificaat inloggen. Gebruik tijdelijk een andere authenticatiemethode, zoals een wachtwoord - eventueel aangevuld met SMS, Voice of een code uit de Microsoft Authenticator app".FIDO2 security keys on mobile devices and registration for certificate-based authentication (CBA) aren't supported due to an issue that might surface when system-preferred MFA is enabled. Until a fix is available, we recommend not using FIDO2 security keys on mobile devices or registering for CBA. To disable system-preferred MFA for these users, you can either add them to an excluded group or remove them from an included group.
Microsoft en haar klanten zakken steeds dieper in een veel te complexe slangenkuil.
Beste Erik, een erg goed verhaal. Eigenlijk niets nieuws, maar wel verzameld en helder opgeschreven.
Microsoft en identificatie en authenticatie is inderdaad geen sterk verhaal, Heb overigens soortgelijke ervaringen met Apple na een account takeover. Ze kunnen nog steeds niet aangeven hoe dat is gebeurt.
Ik heb hierdoor een iets ander aanpak aangenomen: Alles op het internet kun je kwijtraken, dus vertrouw er niet op. Het is even wennen aan heb begin, maar het went wel. Ik hou wel de maximaal mogelijke security aan, maar vetrouw er niet op.
Door Anoniem:
Wat te denken van een chrome notebookje, waar elke toetsaanslag direct naar de server van de uni gaat.
Daarvan denken we dat het geschreven wordt door wappies, onkundigen of kwaadwillenden.Wat te denken van een chrome notebookje, waar elke toetsaanslag direct naar de server van de uni gaat.
Er is geen sprake van bovenstaande maar toch komt dat steeds maar weer boven. Daar moet een donker motief
achter zitten.
Het zal wel weer even een dingetje worden, dat met die authenticatie.
Bijvoorbeeld de authenticatie van de ons allen op te dringen CBDC.
Er werd in dien voege al geoefend met de corona-QR-code. Heb 'm nog op de app overigens.
Nu wordt het geld uit het corona-steunfondsen aan het digitaal invoeren van de digitale eenheidsmunt besteed.
Met het brakke systeem van nu zal deze digitale gevangenis voor de burger nooit kunnen worden opgetuigd.
Verdwijnt MS dan van het toneel? Want Amazon zal de primeur krijgen voor het inrichten van de infrastructuur.
Hoe gaan ze dit dan doen? Hoe gaan ze het daadwerkelijk inrichten en krijgt cybercrime & co. het nakijken?
Wat wordt de rol van AI-multi-meta-data hierin?
Juist authenticatie en impersonatie dus - dit gaat nog eens heel erg belangrijk worden.
@Erik
Is QR-code authenticatie overigens gemakkelijk te hacken?
De straf, die erop zal staan, is vast niet mis.
Bijvoorbeeld de authenticatie van de ons allen op te dringen CBDC.
Er werd in dien voege al geoefend met de corona-QR-code. Heb 'm nog op de app overigens.
Nu wordt het geld uit het corona-steunfondsen aan het digitaal invoeren van de digitale eenheidsmunt besteed.
Met het brakke systeem van nu zal deze digitale gevangenis voor de burger nooit kunnen worden opgetuigd.
Verdwijnt MS dan van het toneel? Want Amazon zal de primeur krijgen voor het inrichten van de infrastructuur.
Hoe gaan ze dit dan doen? Hoe gaan ze het daadwerkelijk inrichten en krijgt cybercrime & co. het nakijken?
Wat wordt de rol van AI-multi-meta-data hierin?
Juist authenticatie en impersonatie dus - dit gaat nog eens heel erg belangrijk worden.
@Erik
Is QR-code authenticatie overigens gemakkelijk te hacken?
De straf, die erop zal staan, is vast niet mis.
Her komende Europese Digitale ID verlost ons van veel problemen. Misschien kunnen ze daarna een verplicht Internet Rijbewijs gaan invoeren. Dan heeft iedereen dezelfde educatie.
Het is van de zotte dat mensen met wat muisbewegingen hebben leren internetten.
Voor Wordperfect 5.0 en MSDOS 6.22 was het normaal om cursussen te doen, deze normies.
De enigen die nu ICT cursus doen zijn ICT. Dat is fout. We moeten al met internet en Linux beginnnen op de basisschool. Vanaf 13 jaar zijn ze oud genoeg in protocollen te duiken.
Zo krijg je een normale digitale maatschappij. Nu is het alleen consumerism.
Het is van de zotte dat mensen met wat muisbewegingen hebben leren internetten.
Voor Wordperfect 5.0 en MSDOS 6.22 was het normaal om cursussen te doen, deze normies.
De enigen die nu ICT cursus doen zijn ICT. Dat is fout. We moeten al met internet en Linux beginnnen op de basisschool. Vanaf 13 jaar zijn ze oud genoeg in protocollen te duiken.
Zo krijg je een normale digitale maatschappij. Nu is het alleen consumerism.
Door Anoniem:
Er is geen sprake van bovenstaande maar toch komt dat steeds maar weer boven. Daar moet een donker motief
achter zitten.
Ik wil graag weten welke van bovenstaande meningen juist is.Door Anoniem:
Wat te denken van een chrome notebookje, waar elke toetsaanslag direct naar de server van de uni gaat.
Daarvan denken we dat het geschreven wordt door wappies, onkundigen of kwaadwillenden.Wat te denken van een chrome notebookje, waar elke toetsaanslag direct naar de server van de uni gaat.
Er is geen sprake van bovenstaande maar toch komt dat steeds maar weer boven. Daar moet een donker motief
achter zitten.
https://nypost.com/2022/10/13/qr-codes-could-unlock-phone-to-hackers-security-expert-warns/
en https://help.safetyculture.com/en_us/002257-SkHs82Dzc
We zijn er dus nog lang niet. Ik bedoel uit de mogelijke ellende.
Posting ingegeven met Ctrl+C en Ctrl+V als shortcuts voor knippen en plakken van de URLs.
luntrus
en https://help.safetyculture.com/en_us/002257-SkHs82Dzc
We zijn er dus nog lang niet. Ik bedoel uit de mogelijke ellende.
Posting ingegeven met Ctrl+C en Ctrl+V als shortcuts voor knippen en plakken van de URLs.
luntrus
10-04-2023, 15:26 door
Erik van Straten
Door Anoniem:
Ik heb geen chromebook, maar ik kan mij voorstellen dat er tijdens tentamens anti-cheat software op actief is (de 1e anon schrijft "naar de server van de uni", niet naar Google - alhoewel die laatste ongetwijfeld allerlei telemetrie "in jouw belang" verzamelt).Door Anoniem:
Er is geen sprake van bovenstaande maar toch komt dat steeds maar weer boven. Daar moet een donker motief achter zitten.
Ik wil graag weten welke van bovenstaande meningen juist is.Door Anoniem: Wat te denken van een chrome notebookje, waar elke toetsaanslag direct naar de server van de uni gaat.
Daarvan denken we dat het geschreven wordt door wappies, onkundigen of kwaadwillenden.Er is geen sprake van bovenstaande maar toch komt dat steeds maar weer boven. Daar moet een donker motief achter zitten.
Als ik op mijn W10 PC op het startmenu klik (zonder dat ik een tentamen doe), stuurt mijn computer iets (via https) naar Microsoft. Erger, als ik een USB device inplug, worden allerlei leesbare identifiers (en GUID's) via http naar Microsoft gestuurd. Op een onbetrouwbaar (WiFi) netwerk kan een eventuele aanvaller precies zien wat voor merk en type USB-stick ik inplug (waarschijnlijk geldt dit ook voor smartphones).
Installeer Wireshark (gratis) op je PC en huiver. Als je een AVM Fritz!Box hebt kun je die ook Wireshark-files laten maken (er worden soms wel wat pakketjes gedropt) en naar jouw PC laten sturen. Als je aan de "internet"-kant snifft, zie je niet alleen wat eruit gaat, maar ook wat niet binnenkomt (elk publiek IP-adres wordt voortdurend gescand op open poorten, vaak niet met goede bedoelingen).
Door Anoniem: Is QR-code authenticatie overigens gemakkelijk te hacken?
Dat hangt af van wat je met "QR-code authenticatie" bedoelt.Een (2D) QR-code is niets anders dan een voor mensen erg lastig, en voor computers eenvoudig (met foutcorrectie zodat kleine beschadigingen geen probleem zijn) lettertype.
Een "modern" restaurant met een QR-code op een plaatje in plaats van een menukaart zuigt (ik loop daar weg) want elke malloot kan daar een sticker met een andere QR-code overheen plakken. QR-codes bevatten by default geen digitale handtekening (waarbij je je, indien wel, dan ook nog moet afvragen "gezet door wie") en bovendien beginnen links in QR-codes bijna altijd met http://. Lekker handig als je net op het public wifi accesspoint van die vrouw (m/v) met hoodie in jouw buurt hebt aangemeld.
Bovendien kan een QR-code getoond op een scherm van heel iemand anders zijn: het kan een gekopieerd plaatje zijn of iets dat via een live relay afkomstig is van een ander device (als je wel eens Remote Desktop hebt gebruikt zou je dit moeten snappen).
De "anti-fraude maatregel" tegen statische plaatjes van de CoronaCheck app destijds bestond eruit dat er iets moest gaan bewegen naast de QR-code. Zeker nog nooit gehoord van animated GIF's?
Die CoronaCheck app was schijnprivacy omdat je ook een geldig legitimatiebewijs moest tonen (en dat op vervalsingen onderzocht had moeten worden, de 3 of 4 cijfers en letters in de app overeen moesten komen met gegevens op het identiteitsbewijs en de pasfoto zorgvuldig vergeleken had moeten worden met de naar-binnen-willer). Maar bijna niemand snapte dat of wilde dat snappen. En dat nog los van hoeveel valse vaccinatiebewijzen er werden verkocht, die door de vergaande privacy-maatregelen in het digitale systeem nauwelijks konden worden ingetrokken. Het hele systeem was één grote farce; maatregelen zoals contacten verminderen en afstandhouden om verspreiding van de zeer ziekmakende varianten van SARS-COV-2 te beperken, waren wél effectief - met zo'n faalsysteem gaan stappen was vragen om ellende (najaar 2021).
Dit is een prachtig voorbeeld van wat ik bedoel met mijn artikel bovenaan deze pagina: die QR-code toont met enige zekerheid aan dat iemand is gevaccineerd of recentelijk negatief is getest, alleen ontbreekt (zonder zorgvuldige ID-check) het bewijs dat dit die persoon vóór je is.
Door Anoniem: De straf, die erop zal staan, is vast niet mis.
Welnee, geen enkele uitbater zat erop te wachten om nog meer te handhaven en de politie te bellen bij fraude, en de politie zat en zit ook totaal niet om zulk onbenullig werk verlegen. Bovendien kun je allerlei smoezen bedenken waardoor rechters terughoudend zullen zijn met veroordelen. Het was een "oplossing" bedacht door techsolutionisten die weigerden de gehele problematiek te overzien. En diezelfde kokervisionairs werken nu aan EDIW: https://tweakers.net/nieuws/204138/#r_18248262 en https://twitter.com/ijansch - what could possibly go wrong?De beoogde "oplossing" bij "live authenticatie" met de EDIW is dat de verifieerder een QR-code scant op jouw smartphone waarna die verifieerder in elk geval jouw pasfoto en wellicht nog veel meer info, ergens online toegankelijk en afkomstig van jouw identiteitsbewijs, op zijn scherm te zien krijgt.
Hierbij zie ik op zijn minst de volgende bezwaren:
1) "Privacy" (de definitie daarvan is mij overigens onduidelijk): ik wil niet dat iemand anders mijn sterk authenticerende persoonsgegevens gedigitaliseerd op zijn device krijgt;
2) Impersonatie: met die gegevens kan een foute verifieerder zich, in potentie, online voordoen als mij (online nl. als er geen check van de pasfoto plaats kan vinden);
3) Lekken van persoonsgegevens doordat sterk authenticerende gegevens online toegankelijk worden gemaakt;
4) Een Europees BurgerSurveillanceNummer dat ongetwijfeld altijd wordt meegestuurd om "impersonaties" door bijv. lijkt-op namen te voorkomen. Waarschijnlijk is burgertracking door de overheid nu nog niet het doel, maar scope-creep en marketeers wrijven in hun handen (er zijn foutloze koppelingen mogelijk tussen allerlei databases).
Iedereen die claimt dat digitale authenticatie eenvoudig is (vooral online) en/of privacy-vriendelijk kan, liegt dat ie barst. Offline is het veel veiliger om jouw identiteitsbewijs te laten zien en online krijg je dit nooit redelijk veilig (los van dat 1/3 van de Nederlanders dit niet kan, niet wil, of niet zou moeten willen - omdat zij veel te eenvoudig slachtoffer worden van impersonatie).
N.a.v. de bovenstaande posting,
Erik van Straten:
Erik van Straten:
Iedereen die claimt dat digitale authenticatie eenvoudig is (vooral online) en/of privacy-vriendelijk kan, liegt dat ie barst. Offline is het veel veiliger om jouw identiteitsbewijs te laten zien en online krijg je dit nooit redelijk veilig (los van dat 1/3 van de Nederlanders dit niet kan, niet wil, of niet zou moeten willen - omdat zij veel te eenvoudig slachtoffer worden van impersonatie).
Dan is de vraag, die meteen opduikt: "Waarom bij overheid en commercie dan toch die drang om steeds meer van de analoge wereld over te hevelen naar de digitale?" Evidente burgerrechten en recht op minimaal benodigde privacy en anonimiteit komen steeds meer in het gedrang. De doelgroep gaat er te vaak naadloos en zonder te morren in mee.
Ze omhelst deze transitie zonder de negatieve kanten voor zichzelf en de maatschappij te onderkennen.
Maar dan gaat men het helaas wel aan den lijve ondervinden. Dat staat i.m.n.o. als een paal boven water.
(i.m.n.o. = in mijn nederige opvatting).
Het is zelfs nog erger, waarschuwende berichten en afwijkende meningen worden steeds meer en meer weg gefilterd op het Internet. Een zeker terugkerende vorm van corporationeel fascisme gaat steeds meer een centrale rol innemen via iets, dat we gewoon massa-media-. en overheidscensuur kunnen noemen.
Behalve in deze draad blijft het ongelooflijk stil aangaande de negatieve kanten en gevaren, die op de loer liggen.
De Minister van Digitalisering voert ook geen inhoudelijke discussie over of laat dit geeneens toe. Zij pusht slechts.
Voor wie en wat?
Waar zijn we naar op weg?. IT-security voor iedereen ligt nog ver weg. Anders moeten we in dat geval op de lagere school er al via de educatie mee beginnen. Maar het lijkt erop dat men zo'n alerte en bijdehantere bevolking helemaal niet wenst. Of toch? Dumbed down zijn, zal inhouden zwalken als drijfhout op zee. Maar de winsten 'for the few' blijven giga.
luntrus
Dan is de vraag, die meteen opduikt: "Waarom bij overheid en commercie dan toch die drang om steeds meer van de analoge wereld over te hevelen naar de digitale?" Evidente burgerrechten en recht op minimaal benodigde privacy en anonimiteit komen steeds meer in het gedrang. De doelgroep gaat er te vaak naadloos en zonder te morren in mee.
Ze omhelst deze transitie zonder de negatieve kanten voor zichzelf en de maatschappij te onderkennen.
Maar dan gaat men het helaas wel aan den lijve ondervinden. Dat staat i.m.n.o. als een paal boven water.
(i.m.n.o. = in mijn nederige opvatting).
Het is zelfs nog erger, waarschuwende berichten en afwijkende meningen worden steeds meer en meer weg gefilterd op het Internet. Een zeker terugkerende vorm van corporationeel fascisme gaat steeds meer een centrale rol innemen via iets, dat we gewoon massa-media-. en overheidscensuur kunnen noemen.
Behalve in deze draad blijft het ongelooflijk stil aangaande de negatieve kanten en gevaren, die op de loer liggen.
De Minister van Digitalisering voert ook geen inhoudelijke discussie over of laat dit geeneens toe. Zij pusht slechts.
Voor wie en wat?
Waar zijn we naar op weg?. IT-security voor iedereen ligt nog ver weg. Anders moeten we in dat geval op de lagere school er al via de educatie mee beginnen. Maar het lijkt erop dat men zo'n alerte en bijdehantere bevolking helemaal niet wenst. Of toch? Dumbed down zijn, zal inhouden zwalken als drijfhout op zee. Maar de winsten 'for the few' blijven giga.
luntrus
Door Erik van Straten:
Waar ik tegen protesteer is het beeld van "het is van Google DUS stuurt het alles wat ik doe door naar Google of mijn uni".Door Anoniem:
Ik heb geen chromebook, maar ik kan mij voorstellen dat er tijdens tentamens anti-cheat software op actief is (de 1e anon schrijft "naar de server van de uni", niet naar Google - alhoewel die laatste ongetwijfeld allerlei telemetrie "in jouw belang" verzamelt).Door Anoniem:
Er is geen sprake van bovenstaande maar toch komt dat steeds maar weer boven. Daar moet een donker motief achter zitten.
Ik wil graag weten welke van bovenstaande meningen juist is.Door Anoniem: Wat te denken van een chrome notebookje, waar elke toetsaanslag direct naar de server van de uni gaat.
Daarvan denken we dat het geschreven wordt door wappies, onkundigen of kwaadwillenden.Er is geen sprake van bovenstaande maar toch komt dat steeds maar weer boven. Daar moet een donker motief achter zitten.
Dat is gewoon stemmingmakerij. Het is al niet eens zeker dat als je een chromebook hebt die ook door je uni beheerd
wordt, en als dat zo is en er zit in het devicemanagement een debug mogelijkheid om toetsaanslagen door te sturen
dan zal dat ZEKER niet worden aangezet door een Nederlandse uni. Die zijn echt niet gek hoor!
En als dat tijdens een tentamen wel gebeurt (door andere software dan het standaard Chrome OS) dan is dat toch
terecht en gaat dat in iedere omgeving die ze ondersteunen hetzelfde zijn?
Een chromebook is juist, vergeleken met de andere systemen, een buitengewoon veilige en privacy-vriendelijke oplossing.
@ anoniem 10:30
Je mag daar zeker tegen protesteren en dat is denk ik ongetwijfeld in die opzichten terecht
Er is in zulk een geval (toets) zeker geen sprake van toegang tot Internet.
Overigens is overige kritiek op Google vaak wel heel terecht.
Terwijl het in alle toonaarden ontkend wordt.
Google sluit eindgebruikers wel degelijk op in een preferente info-bubbel
Dit was overigens de kritiek van David Bowie, vlak voor zijn verscheiden, geplaatst onder zijn nick 'sailor':
Hij stelde: "Google is Illuminatie", zie link hieronder:
https://thepeoplesvoice.tv/google-is-illuminati-david-bowies-final-internet-post-eerily-prophesied-2023/
Maar hetzelfde geldt voor geheel US Big Tech, zoals Meta, Amazon, Cloud-diensten, etc.
Ze manipuleren, passen ranking aan en doen aan censuur.
Vrijheid van meningsuiting is steeds meer onder druk komen te staan, zie de inzet van allerlei fact-checkers.
#webproxy
Je mag daar zeker tegen protesteren en dat is denk ik ongetwijfeld in die opzichten terecht
Er is in zulk een geval (toets) zeker geen sprake van toegang tot Internet.
Overigens is overige kritiek op Google vaak wel heel terecht.
Terwijl het in alle toonaarden ontkend wordt.
Google sluit eindgebruikers wel degelijk op in een preferente info-bubbel
Dit was overigens de kritiek van David Bowie, vlak voor zijn verscheiden, geplaatst onder zijn nick 'sailor':
Hij stelde: "Google is Illuminatie", zie link hieronder:
https://thepeoplesvoice.tv/google-is-illuminati-david-bowies-final-internet-post-eerily-prophesied-2023/
Maar hetzelfde geldt voor geheel US Big Tech, zoals Meta, Amazon, Cloud-diensten, etc.
Ze manipuleren, passen ranking aan en doen aan censuur.
Vrijheid van meningsuiting is steeds meer onder druk komen te staan, zie de inzet van allerlei fact-checkers.
#webproxy
Over impersonatie gesproken:
M.b.t. die laatste link bleek mijn voorgevoel juist: zie https://nos.nl/artikel/2471882-jongen-van-14-onterecht-dag-vast-voor-bedreiging-zaandamse-school. Je zal het maar zijn, en het zal je kind maar zijn. Je moet als ouders sterk in je schoenen staan wil je jouw kind blijven geloven als de politie jouw woning komt doorzoeken en je kind een dag vast zit.
Iets anders: de kopregel bovenaan het stuk hierboven klopt niet (de dubbele ontkenning is weggevallen, maar niet niet maakt het er niet duidelijker op - waarbij het subtiele, doch essentiële, verschil tussen niet niet en wel kan wegvallen). Beter is:
Ook als alles erop lijkt te wijzen dat een 14-jarige jongen een dreigmail heeft gestuurd (en zo te lezen ook zijn telefoonnummer is gespoofed) moet je er rekening mee houden dat niet een school, maar juist die jongen het doelwit van zo'n actie is. Ik vind dat de media hier, bij hun initiële publicaties, meer aandacht aan zouden moeten schenken - vooral omdat het niet de eerste keer is dat dit gebeurt.
Voor de mensen die denken zelf niks te verbergen te hebben - of dat hun kinderen dat niet hebben: dat heb je wel, namelijk op z'n minst jouw geloofwaardigheid (en daarmee jouw identiteit). Leer je kinderen om hun e-mail- en social media-accounts goed te beveiligen en geen inloggegevens te delen met "betrouwbare" mensen (en kijk uit voor schoudersurfen). En zet een lang wachtwoord op je WiFi, en wijzig dat als ondertussen veel mensen het op hun apparatuur hebben ingesteld. Nb. een "gasten-WiFi" beschermt niet tegen kwaadaardige acties naar de buitenwereld, want die komen ook van jouw internetaansluiting. Voormalige "vriendjes" kunnen hier mogelijk vóór jouw deur misbruik van maken.
Nb. op mijn Android smartphone kan ik opgeslagen WiFi-wachtwoorden eenvoudig zichtbaar maken én er een "handige" QR-code voor genereren (daar moet ik wel mijn vingerafdruk voor gebruiken, maar op veel toestellen zou dat wel eens eenvoudig te omzeilen kunnen zijn). Dus ook vriendjes van vriendjes kunnen wachtwoorden eenvoudig doorgeven.
Door Erik van Straten: 1) Hoe zeker is het dat de geclaimde X niet de echte X is?
Voorbeelden: Kan X bijvoorbeeld een tweelingzus zijn, een masker dragen, kan het getoonde identiteitsbewijs vervalst zijn, of -bij authenticatie op afstand- kan iemand anders een kopie van het paspoort van X hebben opgestuurd, of -bij digitale authenticatie- kan het apparaat van X waarmee dit plaatsvindt zijn gecompromitteerd? Of kan het e-mailaccount van de afzender zijn gehacked, zoals duidelijk werd in
https://www.omroepwest.nl/nieuws/4683225 en mogelijk ook het geval is in https://nos.nl/artikel/2470202-..dreigmail..?
https://www.omroepwest.nl/nieuws/4683225 en mogelijk ook het geval is in https://nos.nl/artikel/2470202-..dreigmail..?
M.b.t. die laatste link bleek mijn voorgevoel juist: zie https://nos.nl/artikel/2471882-jongen-van-14-onterecht-dag-vast-voor-bedreiging-zaandamse-school. Je zal het maar zijn, en het zal je kind maar zijn. Je moet als ouders sterk in je schoenen staan wil je jouw kind blijven geloven als de politie jouw woning komt doorzoeken en je kind een dag vast zit.
Iets anders: de kopregel bovenaan het stuk hierboven klopt niet (de dubbele ontkenning is weggevallen, maar niet niet maakt het er niet duidelijker op - waarbij het subtiele, doch essentiële, verschil tussen niet niet en wel kan wegvallen). Beter is:
1) Houdt iedereen er voldoende rekening mee dat de geclaimde X niet de echte X is?
Ook als alles erop lijkt te wijzen dat een 14-jarige jongen een dreigmail heeft gestuurd (en zo te lezen ook zijn telefoonnummer is gespoofed) moet je er rekening mee houden dat niet een school, maar juist die jongen het doelwit van zo'n actie is. Ik vind dat de media hier, bij hun initiële publicaties, meer aandacht aan zouden moeten schenken - vooral omdat het niet de eerste keer is dat dit gebeurt.
Voor de mensen die denken zelf niks te verbergen te hebben - of dat hun kinderen dat niet hebben: dat heb je wel, namelijk op z'n minst jouw geloofwaardigheid (en daarmee jouw identiteit). Leer je kinderen om hun e-mail- en social media-accounts goed te beveiligen en geen inloggegevens te delen met "betrouwbare" mensen (en kijk uit voor schoudersurfen). En zet een lang wachtwoord op je WiFi, en wijzig dat als ondertussen veel mensen het op hun apparatuur hebben ingesteld. Nb. een "gasten-WiFi" beschermt niet tegen kwaadaardige acties naar de buitenwereld, want die komen ook van jouw internetaansluiting. Voormalige "vriendjes" kunnen hier mogelijk vóór jouw deur misbruik van maken.
Nb. op mijn Android smartphone kan ik opgeslagen WiFi-wachtwoorden eenvoudig zichtbaar maken én er een "handige" QR-code voor genereren (daar moet ik wel mijn vingerafdruk voor gebruiken, maar op veel toestellen zou dat wel eens eenvoudig te omzeilen kunnen zijn). Dus ook vriendjes van vriendjes kunnen wachtwoorden eenvoudig doorgeven.
Dank, dank aan Erik, dat hij dit belangrijke topic aankaart.
Hoe je met autheticatie kan ´sjoemelen´ alsmede met heel wat 'ware' gebeurtenissen ook,
wordt wel heel duidelijk aan de hand van de volgende clip:
https://youtu.be/-9b5PVZU4-k .
Bron (source): scene from Iron Man - YouTube content, als gedeelde clip.
Met de huidige technische middelen wordt het dus al helemaal gemakkelijk
om via deep fake etc. mensen op het verkeerde been te kunnen zetten
(en vooral hen daar ook te kunnenhouden)
De 'man in the street' loopt veelal nog hopeloos achter bij de huidige technische stand van zaken.
Ook de gemiddelde IT'er aangaande de mogelijkheden van 'abuse'/misbruik van technische middelen.
Ach, wellicht leven we allemaal al wel in een soort van 'bewust lucide droom' (simulation reality).
oftewel in een aan de gang gehouden soort van giga-computer-simulatie (alles dat er is).
Wie zal het zeggen, toch?
Iets, dat we gewoonlijk de werkelijkheid noemen en met de steeds verder avancherende technologie
zouden we ook gemakkelijk in een soort van horror-film kunenn belanden, als we niet gaan opletten.
#webproxy
Hoe je met autheticatie kan ´sjoemelen´ alsmede met heel wat 'ware' gebeurtenissen ook,
wordt wel heel duidelijk aan de hand van de volgende clip:
https://youtu.be/-9b5PVZU4-k .
Bron (source): scene from Iron Man - YouTube content, als gedeelde clip.
Met de huidige technische middelen wordt het dus al helemaal gemakkelijk
om via deep fake etc. mensen op het verkeerde been te kunnen zetten
(en vooral hen daar ook te kunnenhouden)
De 'man in the street' loopt veelal nog hopeloos achter bij de huidige technische stand van zaken.
Ook de gemiddelde IT'er aangaande de mogelijkheden van 'abuse'/misbruik van technische middelen.
Ach, wellicht leven we allemaal al wel in een soort van 'bewust lucide droom' (simulation reality).
oftewel in een aan de gang gehouden soort van giga-computer-simulatie (alles dat er is).
Wie zal het zeggen, toch?
Iets, dat we gewoonlijk de werkelijkheid noemen en met de steeds verder avancherende technologie
zouden we ook gemakkelijk in een soort van horror-film kunenn belanden, als we niet gaan opletten.
#webproxy
Door Erik van Straten: Nb. een "gasten-WiFi" beschermt niet tegen kwaadaardige acties naar de buitenwereld, want die komen ook van jouw internetaansluiting. Voormalige "vriendjes" kunnen hier mogelijk vóór jouw deur misbruik van maken.
Gebruik een VPN voor je gasten WiFi, of gebruik de gasten mode van je provider. Dat werkt ook met een soort VPN.(het gastgebruik van jouw WiFi komt niet van jouw eigen IP)
Nb. op mijn Android smartphone kan ik opgeslagen WiFi-wachtwoorden eenvoudig zichtbaar maken én er een "handige" QR-code voor genereren (daar moet ik wel mijn vingerafdruk voor gebruiken, maar op veel toestellen zou dat wel eens eenvoudig te omzeilen kunnen zijn). Dus ook vriendjes van vriendjes kunnen wachtwoorden eenvoudig doorgeven.
Dat krijg je er van als je WPA2-PSK gebruikt (personal mode). Als je veilige WiFi wilt gebruik je WPA2-EAP. Dat werkt niet zoals je daar beschrijft, en bovendien kun je dan zien welke users inloggen en dus ook wie het wachtwoord evt aan wie doorverteld heeft, en individuele wachtwoorden intrekken zonder dat iedereen weer opnieuw moet inloggen.
19-04-2023, 21:10 door
Erik van Straten
Door Anoniem:
(het gastgebruik van jouw WiFi komt niet van jouw eigen IP)
Voor zover ik weet ondersteunen niet alle providers "roaming" WiFi voor kun klanten - waar je waarschijnlijk de kleinste risico's mee loopt.Door Erik van Straten: Nb. een "gasten-WiFi" beschermt niet tegen kwaadaardige acties naar de buitenwereld, want die komen ook van jouw internetaansluiting. Voormalige "vriendjes" kunnen hier mogelijk vóór jouw deur misbruik van maken.
Gebruik een VPN voor je gasten WiFi, of gebruik de gasten mode van je provider. Dat werkt ook met een soort VPN.(het gastgebruik van jouw WiFi komt niet van jouw eigen IP)
Maar als hufters jou of jouw kinderen een hak willen zetten, snappen zij heus wel dat het spoor niet heel sterk naar jouw aansluiting leidt als zij daar gebruik van maken, en bovendien hebben die providers mechanismes om niet iedereen gratis WiFi te geven - dus zijn hufters een stuk minder anoniem als zij van deze route gebruikmaken.
Aan een VPN heb je waarschijnlijk niets, want ik verwacht dat de meeste VPN-providers mee zullen werken aan politieonderzoek. En als de politie dan via zo'n VPN-provider bij jouw huisadres uitkomt, maakt jou dat waarschijnlijk extra verdacht.
Door Anoniem:
We hebben het hier over thuisgebruikers, dus WPA2-PSK (en met een beetje geluk WPA3-PSK).Nb. op mijn Android smartphone kan ik opgeslagen WiFi-wachtwoorden eenvoudig zichtbaar maken én er een "handige" QR-code voor genereren (daar moet ik wel mijn vingerafdruk voor gebruiken, maar op veel toestellen zou dat wel eens eenvoudig te omzeilen kunnen zijn). Dus ook vriendjes van vriendjes kunnen wachtwoorden eenvoudig doorgeven.
Dat krijg je er van als je WPA2-PSK gebruikt (personal mode). Als je veilige WiFi wilt gebruik je WPA2-EAP. Dat werkt niet zoals je daar beschrijft, en bovendien kun je dan zien welke users inloggen en dus ook wie het wachtwoord evt aan wie doorverteld heeft, en individuele wachtwoorden intrekken zonder dat iedereen weer opnieuw moet inloggen.Vraag jouw kinderen het te melden als zij ruzie hebben met voormalige vriendjes, vooral als er gedreigd wordt. Wijzig wachtwoorden zodra daar sprake van is. Better safe than sorry.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
