Twitter-account Reuters nu ook gehackt

Hackers hebben ingebroken op een Twitteraccount van het Britse persbureau Reuters. De hackers publiceerden nepberichten over het conflict in Syrië. Dat heeft het mediabedrijf in de nacht van zondag op maandag gemeld (bron).

Te vaak vertrouwen we al blind op wat er op internet geslingerd wordt. Het staat er, dus het is waar. Waar rook is, is vuur en ga zo nog maar even door. Als we iets sceptischer zijn dan accepteren we niet zomaar alles wat op internet verschijnt en denken we zelf ook nog even na.

Maar als er persbureaus gehackt worden en nepberichten de wereld in worden geholpen dan vertrouwen veel mensen dat wat er staat ook echt nieuws is. Het mag dan iets kleinschaligs lijken maar het kan enorm snel escaleren als we de bronnen niet checken en dubbel checken.

De nepberichten worden geplaatst en voordat het persbureau daarachter komt zijn we al weer een paar uur verder. Veel nieuwssites, kranten en journaals baseren hun informatie op dat van persbureaus en omdat ze graag de eerste willen zijn komt het controleren van de gegevens nog wel eens onder druk te staan. Voor je het weet is het nepbericht bij iedereen bekend als “de waarheid”. Natuurlijk kunnen we een rectificatie sturen maar slechts weinig mensen zullen die rectificatie ook daadwerkelijk lezen.

Ik moet er niet aan denken wat de gevolgen kunnen zijn van dit soort nepberichten. In ieder geval is het zaak om de “feiten” die we voorgeschoteld krijgen te checken bij verschillende bronnen, tenminste: als we niet zomaar alles voor waarheid aan willen nemen.

Bedrijven in zes sectoren moeten hack melden

Hadden we het gisteren nog over het tekort aan kennis op het gebied van informatiebeveiliging in 2016 en zagen we daarbij dat dat tekort er eigenlijk op dit moment al is? Dan sluiten we daar vandaag bij aan met een bericht waarmee nog duidelijker zal worden dat het tekort snel zal toenemen.

Er komt een meldplicht voor bedrijven die de dupe zijn geworden van een ernstige hack. De meldplicht geldt alleen voor bedrijven in zes sectoren, waar het gevaar bestaat dat een digitale inbraak het maatschappelijk leven ontwricht…De meldplicht moet er nog dit jaar zijn voor onder meer sectoren die zich bezighouden met nutsvoorzieningen, telecom en de luchthavens als Schiphol en Rotterdam The Hague Airport. Maar ook de overheid zelf en de financiële sector moeten zich aan de meldplicht houden. Nog voor het einde van het jaar moet de wettelijke verplichting een feit zijn (bron).

Nu is de meldplicht op zich al een reden voor bedrijven om er wakker van te liggen maar als we nog net even een paar stappen verder denken dan betekent een dergelijke meldplicht ook dat we daadwerkelijk “in control” moeten komen op het gebied van informatiebeveiliging. We moeten niet alleen het beveiligingsniveau op orde hebben maar moeten daar ook sturing aan geven. We moeten gaan meten wat we al goed doen en waar we nog achter lopen. We moeten meetbaar maken waar zich risico’s voor zouden kunnen doen en waar zich reeds incidenten voor hebben gedaan.

Een hele interessante want er zijn nog maar weinig bedrijven die echt “in control” zijn op dit gebied. Een aantal is nog niet eens compliant en heeft nog bergen werk te verzetten. En nu kun je concluderen dat je natuurlijk als bedrijf alleen maar hoeft te melden wat je ook daadwerkelijk weet. Maar zo makkelijk kom je er (hopelijk) niet vanaf.

Nee, vergelijk het met de jaarrekening die veel bedrijven op moeten leveren. Daarbij moet je daadwerkelijk zicht hebben op je financiën. En natuurlijk weet ik dat je een jaarrekening ook met een dikke of dunne pen in het rood of in het groen kunt kleuren…er is niets tegen een beetje creatief boekhouden als het de waarheid maar weergeeft (welke waarheid mag je deels zelf bepalen maar ga je daarin te ver dan komt je dat duur te staan).

Iets dergelijks zou je op basis van een dergelijke meldplicht ook voor informatiebeveiliging (of breder voor je hele bedrijfsvoering) in kunnen stellen. Dat is misschien voor nu nog een brug te ver en zal alleen nog maar meer druk zetten op de aantallen informatiebeveiligers die nodig zijn, maar als ons dat ooit lukt hebben we een grotere kans dat er meer organisaties ook echt serieus naar gaan kijken.

Man opgepakt na stelen naaktfoto’s van vrouw

Hadden we het gisteren nog over het “onschuldig” inloggen op een Facebook-account? Dan gaan we daar vandaag nog iets verder mee.

In de Verenigde Staten is een 28-jarige man opgepakt na het hacken van de computer en sociale netwerkprofielen van twee voormalige kennissen. Charles Estep bedreigde één van de slachtoffers omdat ze negatieve opmerkingen over hem op haar sociale netwerk had geplaatst. Estep dreigde dat als de vrouw de opmerkingen niet zou verwijderen, hij haar account zou hacken…De opmerkingen bleven online staan, waarna Estep inbrak op de computer van de tweede kennis. Daar vond hij naaktfoto’s van de vrouw, die vervolgens op een pornosite plaatste. Tevens hackte hij de social netwerkprofielen van beide kennissen (bron).

Het wordt al een stuk onschuldiger, vind je niet? Het gaat hier ineens niet meer om het inloggen alleen, het gaat om hacking maar ook om afpersing. Kreeg Crosskey “gisteren” slechts een jaar na het inbreken op een Facebook-account. Deze Estep kan op heel wat meer jaren brood en water rekenen.

Op computervredebreuk staat in de Verenigde Staten een gevangenisstraf van maximaal vijf jaar en een boete van 250.000 dollar. Voor afpersing kan Estep tot een gevangenisstraf van maximaal twee jaar en een boete van 250.000 dollar worden veroordeeld.

De markt zit te springen om goede techneuten die dergelijke trucjes kennen (maar niet toepassen voor eigen belang). Zonde toch van zo’n man. Hij had zijn skills ook in kunnen zetten om zijn carrière verder vorm te geven. Maar helaas, deze man zal waarschijnlijk de komende jaren naast gevangenisstraf en een geldboete ook geen toegang meer krijgen tot pc’s.

Jaar gevangenisstraf wegens hacken Facebook-account

Het klinkt allemaal zo mooi, het hacken van een Facebook-account en waarschijnlijk denk je hierbij direct aan allerlei ingewikkelde technische aanvalsmethoden. Maar sta er eens bij stil hoeveel mensen gewoon proberen om in te loggen op het account van een ander. Misschien een ex-vriendje of vriendinnetje die uit verdriet of boosheid besluit om nog even snel het wachtwoord te wijzigen van het Facebook-account van de ander. Je zou het je zomaar voor kunnen stellen en ziet er misschien zelfs weinig kwaads in. Maar het is goed om er bij stil te staan dat ook dit tegenwoordig niet meer door de beugel kan.

Een 21-jarige Brit is tot 12 maanden gevangenisstraf veroordeeld wegens het hacken van een Facebook-account. Op 12 januari vorig jaar wist Gareth Crosskey op ongeautoriseerde wijze toegang tot het account van een ander te krijgen. De inbraak werd bij de FBI gemeld, die het spoor naar Groot-Brittannië traceerde. Vervolgens wist de Britse cyberpolitie Crosskey op te sporen (bron).

Nu blijkt uit bovenstaand bericht helemaal niet hoe Crosskey heeft ingebroken, dus het feit dat hij een wachtwoord van een ander wist is een pure aanname (en een aanname is geen feit, natuurlijk). Feit is wel dat er een jaar gevangenisstraf staat op deze hack. En dat is op zich best opmerkelijk omdat Facebook nu eenmaal Amerikaans is terwijl Crosskey een Engelsman is.

We klagen nog wel eens dat de wetgeving per land is, terwijl internet geen landsgrenzen kent. Blijkbaar is de wet ook aan het veranderen en kan iemand worden opgepakt op grond van zijn digitale overtredingen. Nu maar hopen dat niet iedereen direct de FBI inschakelt, want dan krijgen ze het nog druk.

Iedereen is dus gewaarschuwd en het mag misschien onschuldig lijken, maar inbreken op het account van een ander of het gebruiken van het wachtwoord van de ander zonder toestemming, kan je duur komen te staan.

Hackers vallen ruimtevaartorganisaties aan

Altijd al gedacht dat onze (ja ja, als het om ruimtevaart gaat zijn we ineens wereldburgers) ruimtevaarders aangevallen zouden worden door buitenaardse wezens? En altijd al gedacht dat die buitenaardse wezens technisch zoveel lichtjaren voorop lagen? Misschien moet je je beeld iets bij stellen na het lezen van dit bericht.

Een tot nu toe onbekende hackersgroep genaamd The Unknowns heeft een aanval uitgevoerd op de systemen van ruimtevaartorganisaties NASA en ESA. Dat hebben zowel de groep als de twee agentschappen bevestigd (bron).

Het kan natuurlijk betekenen dat die buitenaardse wezens helemaal niet geïnteresseerd zijn in ons “kikkerplaneetje” en het kan natuurlijk ook nog betekenen dat er helemaal geen buitenaardsleven is. Maar in ieder geval zijn we lekker bezig om dat beeld van de wereldburger om zeep te helpen.

Het grootste gevaar komt van binnenuit. Dat is een gezegde dat we binnen organisaties vaak gebruiken als het om informatiebeveiliging gaat. Dat geldt nu dus net zo hard voor de ruimtevaart.

Gelukkig bleek het in dit geval niet te gaan om zeer kritische systemen (dat maakt de hack natuurlijk niet minder erg, maar het risico wel). Ze wilden graag aantonen dat ook organisaties als NASA en ESA steekjes laten vallen op dit gebied. Allemaal prima, maar wordt het op deze manier niet wachten op een hack op het systeem dat ook de ruimteschepen bedient? Binnenkort wordt een spelletje Space Invaders wel erg realistisch op deze manier.

Het is natuurlijk onvermijdelijk dat dit soort clubs of hackergroepen bedrijven doorlichten en het liefst pakken we daarvoor bedrijven waarvan we allemaal verwachten dat ze het wel op orde hebben. Maar dat onvermijdelijke moeten we niet door de war gaan halen met het onacceptabele. Dat er hackergroepen zijn is bekend en (tot op zeker hoogte) ook prima, als ze zelf maar hun gezond verstand blijven gebruiken. En eerlijk is eerlijk: degene die weten wat ze doen, vrees ik minder dan degene die domweg op wat knoppen kunnen drukken.

André Kuipers, ik hoop in ieder geval dat het jouw tijd zal duren, want anders wordt het wel een hele lange ruimtereis.

“58% wil internetbankieren via vingerafdruk”

Hoe betrouwbaar de gegevens van dit onderzoek zijn, mag je zelf bepalen, maar blijkbaar speelt er nogal wat als het gaat om internetbankieren.

Ruim de helft van de Nederlanders (58%) wil internetbankieren via vingerafdruk of stemherkenning in plaats van een wachtwoord, aldus een aanbieder van biometrische oplossingen. De grote meerderheid (80%) van de 522 ondervraagde Nederlanders geeft aan zich zorgen te maken dat ze worden gedupeerd als hackers binnendringen in de computersystemen van zijn of haar bank (bron).

Prima natuurlijk dat een aanbieder van biometrische oplossingen met dit soort gegevens naar buiten komt. Als de markt er niet is, kun je altijd nog proberen hem zelf te creëren. Geef ze eens ongelijk. Maar ik volg zelf niet helemaal dat het komt omdat 80% zich zorgen maakt als de hacker het computersysteem van de bank binnendringt. Het computersysteem van de bank, is toch echt het probleem van de bank.

Waar de Nederlander zich zorgen om moet maken is om de eigen pc. Zorg er maar voor dat je eigen pc een beetje veilig is en zorg er maar voor dat niet iedereen zomaar bij je wachtwoord kan. Dan zijn we al een stuk veiliger. Maar wacht even, het merendeel van de banken maakt gebruik van identifiers (of hoe alle banken ze dan ook mogen noemen). Daar komt geen wachtwoord aan te pas.

Ehm, volgens mij begint het bericht steeds meer te rammelen, maar goed. Daarnaast moeten we natuurlijk nog wel even nadenken over onze privacy. Waar worden die vingerafdrukken dan opgeslagen en wat kan ik in de nabije toekomst nog meer met een vingerafdruk?

Nee, ik hou het voorlopig toch maar bij een wachtwoord. Die is nu eenmaal makkelijker te wijzigen dan je vingerafdruk als je een keer gehackt bent.

Facebook klaagt over gebrek aan hackers

Hoewel het natuurlijk een beetje een vreemde titel is, zit er wel een verhaal achter.

Facebook is blij met de hackers die op verantwoorde wijze op de sociale netwerksite proberen in breken, maar klaagt over het aantal mensen dat dit kan. Sinds enige tijd betaalt Facebook beveiligingsonderzoekers die problemen op de website vinden en die vervolgens direct rapporteren.

“Als je ons een redelijke tijd geeft om op je melding te reageren voordat je die publiek maakt, en de moeite doet om privacyschendingen, het vernietigen van gegevens of het belasten van de dienstverlening tijdens je onderzoek probeert te voorkomen, zullen we je niet aanklagen”, zegt Chief Security Officer (CSO) Joe Sullivan (bron).

Het gaat er met name om dat de hackers er verantwoord mee om moeten gaan. Daarbij willen ze dan wel graag een redelijke tijd hebben om het op te lossen en als je buiten hun boekje gaat dan komen ze je alsnog van je bed lichten maar dat is niet meer dan acceptabel. Sterker nog, ze willen je er graag voor betalen als je een gat vindt.

Lijkt me een mooie uitdaging voor alle hackers. Hier heb je in ieder geval te maken met een bedrijf of site waarvan je mag verwachten dat ze de beveiliging goed op orde hebben. Dit is niet zomaar een website van een kleine onderneming. Wat mij betreft dus prima, laat die websites van kleinere organisaties met rust en richt je op de grote jongens.

Maar ja, dan moet ik Facebook toch gelijk geven. Er zijn te weinig echte hackers en teveel scriptkiddies die alleen maar weten hoe de standaard tooltjes werken. Jammer dus voor de kleine organisaties want die zullen nog net zo hard aangevallen worden. Maar hier kunnen de mannen zich wel van de jongens onderscheiden en grote kans dat Facebook de echte mannen niet alleen betaald voor de informatie maar ze daarna ook nog een leuke job aanbiedt.

Nou, als ik een echte hacker zou zijn, dan zou ik het wel weten. Zelfs als ik een scriptkiddie zou zijn dan zou ik het wel weten, dan zorgde ik er namelijk voor dat ik me tot de echte hackers mocht gaan rekenen zodat ik er ook nog flink voor betaald werd. Maar helaas, ik ben geen techneut en ik ben geen hacker. Facebook hoeft dus voorlopig aan mij geen geld over te maken, jammer want volgens mij weten ze van gekkigheid niet meer wat ze met al die dollars moeten.

Lek in IP-camera’s laat hackers meekijken

Een beveiligingslek in TRENDnet IP-camera’s zorgt ervoor dat iedereen zonder inloggegevens kan meekijken…Het gaat om camera’s in gebouwen, maar ook in woonkamers en slaapkamers van kinderen…Om met de streams mee te kijken volstaat het bezoeken van de webserver URL van de camera, ongeacht of er een wachtwoord is ingesteld. TRENDnet heeft inmiddels firmware uitgebracht die het probleem oplost. (bron)

Nu we meer en meer apparaten koppelen aan het internet worden ook meer en verschillende apparaten gehackt. Apparatuur waar je misschien niet direct bij stil zou staan, maar die het toch waard is om beveiligd te worden. Nu moeten we natuurlijk ook niet net doen of dit een nieuwe ontwikkeling is.

Jaren geleden was het al mogelijk om IP-camera’s te bekijken en bedienen via sites als: “johnny i hack stuff”. Deze site bestaat inmiddels niet meer maar de gegevens en databases zullen ongetwijfeld nog ergens op het internet rond zweven. Dodelijk simpel, gewoon door de juiste zoektermen in Google te gebruiken kon je printers gebruiken, bestanden met wachtwoorden vinden en IP-camera’s op afstand bedienen. Grote kans dat de kwetsbaarheden van toen nu nog in veel gevallen gebruikt kunnen worden.

Bij TRENDnet hebben ze de destijds opgedane “lessons learned” in ieder geval niet bij hun productontwikkeling gebruikt. Jaren later zijn de camera’s nog gewoon kwetsbaar voor bediening op afstand. Best ernstig en ook best grappig, maar je moet wel heel veel geluk hebben wil je een camera vinden die interessant genoeg is om te blijven kijken.

Waarschijnlijk ben je nu benieuwd geworden naar de links naar camera’s die inderdaad gewoon te gebruiken zijn. Hier ga ik in ieder geval geen lijstjes opnemen. Kijk naar het bron bestand, daar vind je er vast al een paar en voor de rest weet je vast hoe je Google moet gebruiken om anderen te vinden.

Feit is natuurlijk wel dat je op moet passen met het zomaar koppelen van dit soort apparatuur, zonder dat je de minimale beveiligingsmaatregelen treft. “plug and play” is leuk, maar voor veel apparatuur nog onvoldoende als het om beveiliging gaat.

Beveiligingsproblemen bij 160 webwinkels

Een 17-jarige student heeft beveiligingslekken gevonden op de websites van 160 webwinkels met een Thuiswinkel.org-certificaat. De organisatie achter het keurmerk wil meer aandacht aan beveiliging geven. De gevonden kwetsbaarheden waren hoofdzakelijk cross site scripting-kwetsbaarheden, waarmee cookies kunnen worden achterhaald en malafide code kan worden uitgevoerd (bron).

Vreemd eigenlijk, als een 17 jarige student het voor elkaar krijgt om de lekken van verschillende sites bloot te leggen dan wordt het nieuws en wijst iedereen naar de slechte beveiliging van die webwinkels. we vergeten ineens dat we ons hier op een hellend vlak begeven.

Hoe zou de reactie geweest zijn als er stond dat het een 17 jarige jongen, afkomstige van een ethnische minderheid, was gelukt om bij 160 huizen in te breken omdat het raampje boven de keukendeur open stond? Zouden we dan nog een zelfde reactie vertonen? Het antwoord laat ik aan jou over.

Toch opmerkelijk. Als we ons in de digitale wereld begeven dan is onze blik ineens anders. Niet alleen als het gaat om mogelijke hack-pogingen maar ook als het gaat om privacy. Via sociale netwerksites geven mensen informatie prijs die ze normaal toch liever voor zich zouden houden. Hoewel we zelf die informatie vrijelijk het internet op slingeren, klagen we aan de andere kant wel steen en been als organisaties innovaties door willen voeren die mogelijk onze privacy schaden.

Ik ben er nog niet uit waardoor het verschil tussen de fysieke en de virtuele wereld is ontstaan. Zou het toch wat te maken hebben met het anonieme karakter? Voelen we ons veiliger als we van achter onze laptop allerlei acties ondernemen omdat we dan minder met onszelf geconfronteerd worden? Wie het weet mag het zeggen en eerlijk gezegd ben ik wel benieuwd wat jullie er van denken.