Paspoortchip eenvoudig te kraken

We waren er al bang voor, maar hebben toch allemaal gehoopt dat het wat langer zou duren.

De RFID-chip in het nieuwe Nederlandse paspoort is via gratis verkrijgbare software eenvoudig te kraken. Dat liet de Nederlandse beveiligingsonderzoeker Jeroen van Beek gisteren in De Telegraaf weten. De paspoortchip bevat onder meer de naam, geboortedatum, burgerservicenummer, foto en vingerafdrukken van de houder. Volgens Van Beek is de chip van korte afstand uit te lezen en te kopiëren (bron).

Overigens gaat de discussie verder dan dit, omdat er aan alle kanten kopieën van paspoorten worden gemaakt. Met name in hotels vinden ze dat een kopie van een paspoort moet kunnen en veel medewerkers zullen zelfs denken dat het een eis is omdat ze je anders geen kamer mogen geven.

Het College Bescherming Persoonsgegevens (CBP) lanceerde donderdag een aantal richtlijnen om zowel consumenten als bedrijven bewust te maken van de wetgeving. Bedrijven mogen in sommige gevallen wel vragen om legitimatie, maar een kopie maken is in de meeste gevallen verboden (bron).

Nu zitten we dus met een paspoort dat gemakkelijk gekopieerd kan worden en we zitten met bedrijven die niet weten wat de richtlijnen zijn. Tijd voor de overheid om hier maar weer eens een campagne tegenaan te gooien?

Een mooie slogan heb ik al voor ze verzonnen: “Weet hoe het hoort met een paspoort” (oh ja, deze URL natuurlijk niet direct registeren want dan kan de overheid het niet meer doen).

Scholen niet opgewassen tegen hackende leerlingen

Nederlandse middelbare scholen erkennen dat systemen regelmatig gehackt worden door leerlingen. Dit is vooral mogelijk door onkunde van leraren en scholen.(Bron)

Ook dit is natuurlijk geen nieuw bericht en we hebben het hier al vaker aangehaald. De leerlingen weten nu eenmaal meer van computers dan de leerkrachten en de beveiliging van veel netwerken van scholen zal nog tot een minimum beperkt zijn. In het voorbeeld halen ze aan dat er met simpele keyloggers is gewerkt waarmee de leerlingen de inloggegevens wisten te achterhalen.

Het zit hem natuurlijk ook in het opvoedende karakter van middelbare scholen. Zij willen hun leerlingen slimmer maken en goed opgeleid de wereld in sturen. Daar gebruiken ze tegenwoordig uiteraard computers en netwerken bij. Een kleine zoektocht op internet en er zijn allerlei tooltjes voor handen die je uit kunt proberen op het netwerk. Kleine kans dat je ervoor gepakt wordt want monitoring gebeurt nog niet overal en als het al gebeurt dan is het een drama om al die gegevens te analyseren.

We hebben het wel eens over de BV Nederland die bestaat bij de gratie van kenniseconomie. Aan de andere kant zien we steeds meer gevallen waarbij leerlingen met te lage cijfers toch hun diploma krijgen (als is het maar om het jaarlijkse budget van de school op peil te houden). Dat is binnenkort allemaal verleden tijd. Ze kunnen zelf hun cijfers bepalen en de cijfers in de administratie van de school aanpassen.

Meer en meer leerlingen zullen cum laude slagen…tenminste, als we de beveiliging van de scholen niet verbeteren. Er is straks geen verband meer met de hoogte van het kennisniveau binnen Nederland en het aantal leerlingen dat cum laude geslaagd is. Eerder is er een verband tussen de slechte beveiliging van de netwerken van scholen en het cum laude percentage.

Ach, zo dom is de jeugd nu dan toch ook weer niet. Het gaat niet om de reis er naar toe maar om het eindresultaat en dat is voor velen nog steeds het diploma. Hoe dat gehaald wordt doet minder ter zake en daar zal later ook nooit meer iemand naar vragen. Maar toch ga ik anders aankijken tegen al die schooltassen die einde van het jaar in de vlaggenmast hangen.

Beveiligingscamera’s makkelijk te hacken

Hadden we het gisteren nog over het cameraplan dat verplicht gesteld wordt voor kleine bedrijven als ze aanspraak willen maken op subsidie voor beveiligingsmaatregelen dan gaan we vandaag nog even door op het hacken van beveiligingscamera’s.

Organisaties laten veelal na hun bewakingscamera’s te beveiligen. Daardoor is het voor mensen met kwade bedoelingen vaak heel eenvoudig om de besturing over te nemen of beelden op te vragen
(bron).

Voordat je denkt dat de beveiligingscamera’s met allerlei zware, ingewikkelde, technische tools aangevallen worden, zetten we je gelijk weer met beide benen op de aarde.

In 70 procent van de gevallen laten de kopers van dergelijke bewakingscamera’s na om de standaard inlognamen en wachtwoorden te veranderen. Terwijl de camera’s in kwestie in de configuratie waarin ze geleverd worden, wel op afstand te bedienen zijn.

Of je het hacken wilt noemen of dat je deze term vloeken in de kerk vindt, doet niet terzake. Het gaat er natuurlijk om hoe simpel het is om op dergelijke camera’s in te loggen. Ook dit is niet nieuw natuurlijk want dat bestond met de eerste netwerkcamera’s ook al. En voordat we camera’s aan het netwerk gingen hangen was het risico ook al aanwezig in modems en routers.

Weet je nog? Je kreeg je eerste ADSL-router. Plug-and-Play. Makkelijker kon niet. Uit de doos, kabel erin, activeren en na een paar minuten begonnen de lampjes te branden en kon jij razendsnel internetten. Met een draadloze router werd het allemaal nog makkelijker en kon je gewoon met je laptop op schoot vanaf de bank het hele internet onveilig maken.

Na een paar jaar kwam er ineens WEP (jij had geen flauw idee waar het voor stond, maar met 1 vinkje was ook jouw verbinding beveiligd). Later moest je over op WPA omdat WEP blijkbaar niet zo veilig meer was. Jij een ander vinkje aangezet en veilig was je weer. Nou ja, zo kunnen we nog wel even doorgaan.

Maar het feit dat er nu meer draadloze verbindingen beveiligd zijn, komt niet zozeer omdat de gebruikers zich bewust zijn geworden van de risico’s. Nee, het komt omdat de fabrikanten een trucje bedachten waardoor jij je standaard wachtwoord moest wijzigen en waarbij er automatisch een beveiligde verbinding werd opgezet. Jaren geleden heb ik al eens gekeken in mijn eigen omgeving en stonden er nog vele verbindingen open. Waarschijnlijk heeft iedereen in mijn omgeving inmiddels een nieuwe router, want alle verbindingen zijn nu wel voorzien van een slotje.

Nu kunnen we proberen om de bedrijven die de camera’s aanschaffen duidelijk te maken dat ze wachtwoorden moeten wijzigen maar dat gaat toch niet lukken. Nee, als de fabrikanten hetzelfde trucje toe gaan passen als ze bij routers hebben gedaan dan zijn de camera’s over een aantal jaren ook allemaal net iets beter beveiligd.

Tot die tijd moet het cameraplan (zie gisteren) ons dan maar beveiligen en dat dat een wassen neus is weten we allemaal maar een veel beter alternatief zien we helaas nog niet.

RTL laat expert 25 webwinkels hacken

Televisiezender RTL heeft een beveiligingsexpert gevraagd om bij 25 webwinkels in te breken, wat onder andere een database met de gegevens van 95.000 klanten opleverde…In totaal werden er bij vijf webwinkels ernstige problemen ontdekt, waardoor het mogelijk was om klantgegevens in te zien, schadelijke software te installeren of wachtwoorden te achterhalen (bron).

Informatiebeveiliging en het hacken van websites krijgt steeds meer aandacht. Op zich goed natuurlijk dat we ons meer en meer bewust worden van de risico’s. Maar nu moeten we met zijn allen ook weer niet doorschieten. Een Televisiezender die opdracht geeft om in te breken. Ik kan me zomaar voorstellen dat hier een strafbaar feit gepleegd wordt en ik ben dan ook benieuwd of hier stappen tegen worden genomen (als ik verantwoordelijk was voor een van de websites dan zou ik in ieder geval een advocaat raadplegen).

Misschien vind je dat ik doorschiet. Maar hoe zou jij het vinden als RTL besluit om uit te zoeken hoe makkelijk het is om bij jou thuis in te breken of hoe makkelijk het is om jouw auto te stelen voor een “joyride”?

De sociale discussie hierbij is natuurlijk wat zwaarder weegt: moet de eigenaar van de website privacy gevoelige gegevens beschermen en overtreedt hij de wet als hij dat onvoldoende doet? Of is en blijft inbreken bij wet verboden en mag niet zomaar iedereen opdracht geven om dergelijke tests uit te voeren? De vraag is natuurlijk of het maatschappelijk belang opweegt en of daar wel sprake van is als een televisiezender dergelijke opdrachten geeft.

Wat mij betreft begeven ze zich op glad ijs en is het eerder in het belang van een leuk nieuwsbericht dan dat ze het opnemen voor het maatschappelijk belang. Als hier geen duidelijke kaders voor komen dan wordt er straks, in opdracht van allerlei media, ingebroken in websites, bedrijfspanden en misschien zelfs bij jou thuis.

Mobieltjes zijn eenvoudig te hacken

Vrijwel elke mobiele telefoon kan eenvoudig worden gehackt. Dat meldt Elsevier op basis van een onderzoeksrapport. Twee beveiligingsdeskundigen hebben 31 aanbieders van mobiele telefoons in verschillende landen onderzocht. Met behulp van goedkope apparatuur en gratis software lukte het de deskundigen om in te breken in andere telefoons. Ze konden bij telefoonnummers, sms’jes en voicemailberichten. Ook konden de twee gesprekken afluisteren en andere telefoons gebruiken om te bellen. In korte tijd konden de beveiligingsdeskundigen honderdduizenden telefoons hacken (bron).

Helaas staat de link naar het rapport van Elsevier er niet bij (zelf even Googlen als je het inhoudelijke rapport wilt lezen en je mag mij uiteraard even een kopietje sturen).

Vorige week hadden we het er nog over dat de mobiele telefoons door de politiediensten gemakkelijk gekraakt konden worden. Toen al dachten we dat het niet al te lang zou duren voordat deze technieken ook voor anderen beschikbaar kwamen. Dat het zo snel zou zijn, had ikzelf ook niet verwacht.

Het lijkt erop dat de fabrikanten van mobiele telefoons nu toch echt meer en meer na moeten gaan denken over de beveiliging van die toestellen. Tegenwoordig zijn het geen simpele telefoons meer maar zijn het mobiele computers waarop informatie staat die je liever niet op straat terecht ziet komen.

Je kunt natuurlijk voorzichtig omgaan met je telefoon en er voor zorgen dat er geen bijzondere foto’s, sms-jes en Whatsapp-jes op staan. Daarmee zou je kunnen denken dat het allemaal wel mee zal vallen als ze jouw telefoon weten te kraken. Daar zit hem op zich ook niet het probleem. Maar ontvang jij ook niet al je emails op je telefoon? Staan ook niet al jouw contacten er in en houd jij je agenda niet bij via je telefoon? Persoonlijk zou ik meer moeite hebben met het openbaar worden van die informatie dan dat iemand van mijn telefoon een foto weet te bemachtigen (geloof me, zo bijzonder zijn ze nu ook weer niet).

Enerzijds moeten we dus als gebruikers ons bewust worden van de risico’s van de informatie op onze smartphone. Anderzijds is het de taak van de fabrikanten om er voor te zorgen dat een telefoon toch over een minimaal beveiligingsniveau beschikt. Nog genoeg werk te doen en ons vakgebied wordt ermee nog verder uitgebreid.

China heeft elk groot Amerikaans bedrijf gehackt

Maakten we ons gisteren nog zorgen om onze smartphones die gekraakt kunnen worden. Dan zijn we vandaag weer met onze beide voetjes op de aarde (en zijn we daarnaast blij dat we geen groot Amerikaans bedrijf zijn).

Alle grote Amerikaanse bedrijven zijn inmiddels door China gehackt, zo waarschuwt Richard Clarke, de voormalig terrorisme-adviseur van Bill Clinton en George W. Bush…De Amerikaanse overheid is volgens hem betrokken bij het bespioneren van andere landen. “Maar er is een groot verschil tussen het soort cyberspionage van de Amerikaanse overheid en van China. De Amerikaanse overheid hackt Airbus niet om vervolgens de geheimen van Airbus aan Boeing te geven.” In een interview stelt Clarke dat de VS buitenlandse regeringen hackt en informatie van hun netwerken verzamelt. (bron).

Gelukkig, de Amerikanen verkopen de informatie in ieder geval niet aan commerciële organisaties, zij bemoeien zich niet met de concurrentiestrijd. Volgens hen doen de Chinezen dat wel. De vraag is natuurlijk wat we erger vinden en waar we meer last van zouden kunnen ondervinden bij een op handen zijnde “cyberwar”.

Feit is wel dat er ruiterlijk wordt toegegeven dat ook de Amerikaanse overheid druk bezig is met het bespioneren van andere landen. Nu kunnen we daar natuurlijk moeilijk over doen, maar ieder land is daar mee bezig en ieder land probeert andere landen te bespioneren (en blijkbaar zijn de Chinezen daar al erg ver mee). Dat heeft overigens niets met internet te maken, want dat gebeurt al jaren. Nu worden alleen de middelen anders dan in het verleden.

De hedendaagse spion zal niet met een gleufhoed achter zijn pc zitten. Het zullen ook niet meer de “special agents” zijn zoals we ze voor ogen hebben. Nee, het zijn techneuten die maar al te goed weten hoe ze netwerken kunnen binnendringen. En als het de Chinezen is gelukt om veel grote Amerikaanse bedrijven binnen te dringen dan hoeven we ons er natuurlijk ook niet over te verbazen dat ze ook al bij veel overheden ver zijn binnen gedrongen…om het over de grote Nederlandse bedrijven nog maar niet te hebben.

Wat je van ver haalt is lekker…dat gezegde krijgt nu toch een andere betekenis. De Chinezen hoeven miljarden minder uit te geven aan (product)ontwikkeling en kopiëren er vrolijk op los om zo de concurrentiepositie onder druk te zetten. Maar ach, hoe nieuw is dit nu eigenlijk? Was er honderden jaren geleden al niet Delfsblauw porselein dat in China vakkundig werd nagemaakt? We kunnen daar natuurlijk de Chinezen de schuld van geven, maar misschien moeten we ons ook intern herorganiseren (jaja, ik noem het bewust niet reorganiseren want dan vallen er weer ontslagen). Nee, we moeten kijken hoe we onze kennisvoorsprong (voor zover die er nog is) kunnen beschermen om onze concurrentiepositie te behouden. Een interessante uitdaging voor innovatieve bedrijven, lijkt me.

Onderzoeker laat zien hoe je hackers kunt hacken

De Franse beveiligingsonderzoeker Laurent Oudot heeft dertien ernstige lekken in beruchte exploitkits ontdekt, waardoor slachtoffers van een webaanval hun aanvallers kunnen hacken…Oudot wil slachtoffers op deze manier te wapens geven om terug te vechten. Via de kwetsbaarheden is het mogelijk om de applicatie of servers van de aanvallers over te nemen of uit te schakelen (bron).

Erg leuk natuurlijk dat een beveiligingsonderzoeker aangeeft dat je hackers kunt hacken maar volgens mij bevind je je op een erg gevaarlijk gebied als je zijn advies in de praktijk brengt. Allereerst is de kans natuurlijk erg groot dat je de wet overtreedt maar daarnaast moet je dus technisch beter onderlegd zijn dan de hacker die je gehackt heeft. Dat gaat voor een techneut misschien nog als hij is aangevallen door een scriptkiddie maar anders wordt het toch al een lastig verhaal.

Als je gehackt bent dan had je blijkbaar je systemen niet op orde en de techneuten met verstand van beveiliging zal dat toch niet gebeuren? Het is waarschijnlijker dat iemand met weinig verstand van computers gehackt wordt en die zie ik echt geen tegenaanval inzetten.

Nee, een typisch advies waar je in de theorie misschien iets mee kunt maar in de praktijk heb je er niks aan. Sterker nog het kan de zaken alleen maar erger maken, je bent eigen rechter aan het spelen en neemt het als computeranalfabeet op tegen iemand die iets meer van de techniek weet.

Mijn advies? Sla het advies van deze onderzoeker maar in de wind en doe je dat niet wees dan bereidt om de consequenties te aanvaarden.

Website Stegeman gehackt: zijn beveiliging faalt ook

Onderzoeksjournalist Alberto Stegeman is slachtoffer geworden van hackers. Terwijl hij in zijn televisieprogramma anderen wijst op falende beveiligingssystemen blijkt zijn eigen website ook niet waterdicht (bron).

Ja, wie een kuil graaft voor een ander, hoge bomen vangen veel wind…en zo kunnen we er natuurlijk nog wel meer noemen. Waarschijnlijk had meneer Alberto het te druk met kijken naar anderen…verbeter de wereld…

Op zich ben ik er helemaal niet op tegen als iemand een bedrijf wijst op de beveiligingslekken die hij ontdekt heeft, maar over de middelen die ingezet worden om die fouten te achterhalen kunnen we nog wel een boompje opzetten. Vergeet niet dat als wij, gewone burgers, de beveiliging van allerlei bedrijven gaan testen we in overtreding zijn. En terecht als je het mij vraagt. Ik vind het geen prettige gedachte als iedereen maar aan mijn voordeur rommelt om te kijken of hij op slot zit.

Natuurlijk begrijpen we de media aandacht en de kijkcijfers die men wil proberen te bereiken, maar wees dan een vent en kom met oplossingen (geloof me, dat is een stuk moeilijker dan je denkt). Dat is direct ook mijn grootste bezwaar tegen de manier waarop dit soort presentatoren nieuws willen maken, van alles roepen maar geen oplossingen aandragen.

Alberto geeft zelf de volgende reactie:
Nu weten we dat dit kan gebeuren, daar ben ik hem dankbaar voor. Ik heb niet de illusie dat als de sites van Microsoft en ABN AMRO gehackt kunnen worden, dat bij mij niet zou kunnen gebeuren. Opmerkelijk dat hij zomaar twee namen van gerenommeerde bedrijven noemt. Heeft hij aanwijzingen dat deze sites gehackt zijn?

Voor de duidelijkheid: ik keur het natuurlijk niet goed dat zijn website gehackt is maar ben wel zeer benieuwd wat er nu aan gedaan is om de website beter te beveiligen en wanneer zijn website weer doelwit wordt van een aanval.