Man steelt naaktfoto’s uit gekraakte e-mailaccounts

Een Amerikaanse man heeft de e-mailaccounts van honderden vrouwen gekraakt opzoek naar naaktfoto’s…Van december 2009 tot september 2010 verschafte Bronk zichzelf toegang tot de e-mailaccounts van de vrouwen door de geheime vraag juist te beantwoorden. Op de Facebook pagina’s van zijn slachtoffers zocht hij naar informatie en hun e-mailadres. Vervolgens benaderde hij de e-mailprovider van het slachtoffer en deed zich als klant voor die zijn wachtwoord kwijt was. Bronk wist in veel gevallen de geheime vraag van de provider te beantwoorden met de informatie van de Facebook pagina’s (bron).

Met deze titel heb ik waarschijnlijk direct je aandacht, toch? Nou, oké, hartstikke goed maar het gaat me niet zozeer om de naaktfoto’s die de man stal (sensatiezoekerij natuurlijk) want dat is al erg genoeg. Nee, het gaat er hier om dat hij dus eenvoudig in staat is geweest om de geheime vraag van de accounthouders te kunnen beantwoorden.

Er is meer en meer informatie over ons op internet te vinden. Met een paar klikken kan ik al een aardig profiel van je opbouwen. En nee, we hoeven niet als kluizenaar in de anonimiteit te blijven, maar we moeten ons wel bewust zijn van de informatie die we achter laten.

Wees eens eerlijk, wanneer heb jij jezelf voor het laatst geGoogled? Wanneer heb jij je profiel gecheckt met www.wieowie.nl? Nog nooit? Oh, dan zou ik dat maar eens snel doen en ga dan ook even na hoe eenvoudig die geheime vraag van jou te beantwoorden is.

Een geheime vraag als: wat was de eerste school waar je op hebt gezeten is via Schoolbank makkelijk te achterhalen. De meisjesnaam van je moeder moet ook niet al te ingewikkeld zijn en de foto’s en naam van je lievelingsdier zijn waarschijnlijk ook wel op Hyves te vinden.

De geheime vraag mag dan geheim zijn, maar het antwoord is dat in veel gevallen niet. Het wordt tijd dat er toch eens wat mensen opstaan die serieus nagaan denken over nieuwe en vooral veilige internettoegang. Inlogaccount, wachtwoord en geheime vraag zijn blijkbaar niet voldoende meer, op naar een nieuwe oplossing en wie hem weet mag hem zeggen.

Wachtwoorden veiliger op papier dan op PC

Het is veiliger om wachtwoorden op papier te bewaren dan op een computer, dat zegt beveiligingsexpert Gunter Ollmann. In het verleden werd vaak gewaarschuwd om wachtwoorden juist niet op te schrijven, maar steeds meer kenners komen daar op terug…Volgens Ollmann hebben gebruikers zowel op werk als thuis tientallen wachtwoorden die ze moeten onthouden. “Voordat je het weet zit je tot over je oren in de wachtwoorden.” Nu zijn er wel allerlei tools om wachtwoorden te bewaren en bieden de meeste browsers dit standaard aan. “Het probleem is dat cybercriminelen betere tools hebben”, merkt Ollmann op (bron).

Je ziet hier dat het succes van een bepaalde beveiligingsmaatregel voorbij is gestreefd door de praktijk. Een wachtwoord op zich kan best veilig zijn, maar het probleem is dat je het met één wachtwoord niet meer redt tegenwoordig. Zoveel systemen, zoveel wachtwoorden. Natuurlijk is het niet veilig om je wachtwoord op te schrijven maar het is in ieder geval veiliger dan je wachtwoorden op je computer te bewaren, dat kan best zo zijn. Het veiligst is natuurlijk om je wachtwoord(en) te onthouden en nergens te noteren, niet op papier en niet op je computer, maar dat is een ondoenlijke zaak tegenwoordig omdat je zoveel verschillende wachtwoorden moet onthouden.

Ga eens na, hoeveel systemen kun jij binnen een minuut bedenken waar je een ander wachtwoord voor nodig hebt? Ik kan er zoal een stuk of 15 tot 20 bedenken die ik allemaal probeer te onthouden en dan weet ik zeker dat ik er nog eens zo’n 15 tot 20 vergeten ben (en nee, ik schrijf ze nog steeds nergens op, het gaat me nog redelijk af). Voor de één moet ik 4 cijfers onthouden (pincode, telefoon, etc.) terwijl ik voor de ander 6 karakters moet onthouden (Windows, websystemen, etc.) en de volgende vereist 8 karakters waarvan 2 cijfers en 2 symbolen (websites, email, etc.).

Uiteraard proberen we er een soort logica in te bedenken voor onszelf zodat we het kunnen onthouden, probleem daarbij is dat alle systemen op andere momenten vragen om een nieuw wachtwoord waardoor het niet meer synchroon loopt en je haast wel gedwongen wordt om het op te schrijven.

Natuurlijk kun je onderscheid maken in privé gebruik en zakelijk gebruik maar het is van de gekken dat je voor zakelijk gebruik alleen al 10 wachtwoorden moet onthouden en dat alleen maar om in te loggen (dan heb je dus nog geen werk verzet). Er zijn allerlei systemen om het te vereenvoudigen maar die worden als snel te duur bevonden. Er wordt altijd gevraagd naar de terugverdientijd van een bepaalde maatregel en hoewel die niet voor alle beveiligingsmaatregelen even eenvoudig te berekenen is, is die voor een goed inlog-systeem wel te bepalen.

Bedenk eens hoe vaak je de helpdesk hebt moeten bellen voor een wachtwoord reset? Dat kost de medewerker van de helpdesk veel tijd maar jij kunt ook niet aan je werk beginnen. Daar kun je best gemiddelden tegenaan gooien, qua tijd en gemiddeld uurloon. Ik denk dat je verbaasd zult staan over de korte terugverdientijd van een goed (en veilig) inlog systeem.

Oh, wacht, Windows vraagt om mijn wachtwoord te updaten…

Computers op scholen slecht beveiligd

We horen vaak berichten over de jeugd van tegenwoordig en dat het niveau van de opleidingen achteruit holt. Jongeren krijgen nog nauwelijks les en kunnen nog maar met veel moeite een normaal Nederlands briefje typen.
Toch zijn de jongeren zo gek nog niet, ze hebben gewoon nieuwe methodes om “resultaten” te bereiken.

De beveiliging van computers op middelbare scholen is zo lek als een mandje. Leerlingen kunnen moeiteloos cijfers veranderen, proefwerken inzien en roosters naar hun hand zetten (bron).

Zeg nou zelf, als je vroeger de keuze had tussen: vroeg op, veel studeren en redelijke cijfers halen of uitslapen, chillen met je vrienden en jezelf allemaal 10-en geven via het netwerk van je school. Uiteindelijk moet je het echte werk toch in de praktijk leren, of niet?

Er is zelfs een levendige handel in cijfers, absentiebriefjes en roosters. Dit zijn de ondernemers van de toekomst, zullen we maar zeggen: Een leerling van een school uit Amstelveen ging verder en wiste voor vijf euro notities van absenties van zo’n twintig medeleerlingen. Ook paste hij roosters aan en speelde proefwerken door naar klasgenoten ‘om even het cijfer op te kunnen halen’.

Maar is het nu heel integer en naief van de leerlingen om het nieuws op te zoeken, of is het gewoon dom en schieten ze zichzelf in hun voet? Wie het weet mag het zeggen.

We worden gewoon ingehaald door de jongeren, daar kunnen we moeilijk over doen en we kunnen proberen onze “macht” (want van dat middel maken leraren toch vaak gebruik of misbruik) in te zetten. Maar moeten we de hand niet in eigen boezem steken? Moeten we niet gewoon de leraren beter op gaan leiden en de scholen betere middelen beschikbaar stellen ? Een andere leerling wijst erop dat wachtwoorden van leraren makkelijk te achterhalen zijn via hun eigen laptops. Leerlingen geven presentaties vaak op de laptop van hun docent. “Met de usb-stick kan ik binnen twee seconden al zijn wachtwoorden downloaden. Terwijl ik die presentatie geef bijvoorbeeld.”

Voordat we afsluiten nog even voor degene die denken dat het allemaal wel mee zal vallen: Bij steekproeven door Kennisnet onder tien scholen in 2004 en 2007 bleek niet een school goed beveiligd.

Helft laptops zonder virusscanner en wachtwoord

Iets minder dan de helft van de laptopgebruikers installeert geen beveiligingssoftware of wachtwoord om de machine te beschermen, zo blijkt uit onderzoek. 44% van de ondervraagde consumenten zegt dat er geen virusscanner of firewall op de computer aanwezig is. Een wachtwoord tijdens het opstarten is bij 45% van de gebruikers niet ingesteld (bron).

Deze gegevens drukken ons toch weer even op de feiten. 45% gebruikt bijvoorbeeld geen wachtwoord voor het opstarten. De gegevens op die laptops liggen dus op straat zodra de laptop gestolen wordt. Jammer is dat er niet wordt aangegeven of het hier zakelijke of privé laptops betreft. Ik kan me bijna niet voorstellen dat ook bij zakelijk gebruik nauwelijks wachtwoorden worden gebruik, dit mag toch inmiddels wel een algemene bedrijfspolicy zijn.

Voor privé gebruik moet de gebruiker zelf besluiten. Als je er heel bewust voor kiest om geen wachtwoord te gebruiken dan kan dat natuurlijk, alleen moet je er dan wel zeker van zijn dat je geen vertrouwelijke gegevens op je laptop hebt staan.

Als daarnaast bijna de helft van de mensen geen virusscanner of firewall aanzet dan lopen ze wellicht een nog groter risico. Bij diefstal van je laptop houdt een virusscanner of firewall weinig tegen, maar op afstand je gegevens achterhalen wordt zo wel erg makkelijk. En maar klagen als er privé foto’s op internet verschijnen…hoewel je je natuurlijk ook af kunt vragen waarom je bepaalde privé foto’s (ja die met veel huidskleur) sowieso wilt hebben, maar dat is weer een heel andere discussie.

Uit het onderzoek blijkt dat mensen zich wel zorgen maken om de risico´s, maar vervolgens geen maatregelen treffen. Het lijkt er sterk op dat men nog steeds denkt: dat overkomt mij niet.

Er wordt aangegeven dat het er op lijkt dat mensen denken dat het hen niet overkomt. Blijkbaar wordt hier een conclusie getrokken die niet nader onderzocht is. Misschien ligt de oorzaak wel ergens anders, misschien is men zich toch niet bewust van de risico’s of misschien vindt men al die maatregelen wel veel te ingewikkeld.

Je moet tegenwoordig aardig wat verstand hebben van computers en besturingssystemen wil je je gegevens nog enigszins veilig houden en dan nog weet je nooit zeker of je nu ook echt veilig bent. Hoe vaak zien we niet dat mensen wel virusscanners en firewalls gebruiken maar overal vrolijk op “ja” of “ok” klikken?

Stel nu eens dat 44% helemaal geen virusscanner of firewall gebruikt en dat van degene die dat wel gebruiken ook nog eens 44% altijd op “ok” klikt. Dan staat een groot deel van de digitale wereld open. Een enge gedachte als je het mij vraagt.

Een gat in de markt hebben we misschien te pakken: maak een complete set aan software die de grootste risico’s afvangt (ja die zijn er, dat weet ik ook wel) maar maak die nu eens foolproof. Een beetje zoals ze ook met telefoons hebben gedaan: een telefoon met grote knoppen waarmee je alleen kunt bellen (sommige mensen zitten niet te wachten op internet, MMS, GPS en weet ik wat we er allemaal mee kunnen).

Kritiek op simpeler beveiliging ING

Meneer Lakerman, let u even op? Misschien kan u ze wakker schudden…

ING gaat het gebruikers van zijn online bankieromgeving gemakkelijker maken om een nieuw wachtwoord aan te vragen als ze het oude zijn vergeten. Critici vrezen dat dat tot minder veiligheid zorgt…In de oude situatie moesten klanten die niet meer konden inloggen naar de bank…vanaf maart is dat niet meer nodig: een nieuwe gebruikersnaam krijgen klanten voortaan per brief, maar wie alleen een nieuw wachtwoord nodig heeft, kan dat direct per sms laten opsturen..Critici waarschuwen dat die gegevens in de praktijk vaak samen te vinden zijn. Mensen bewaren hun telefoon en hun portemonnee met bankpasjes en legitimatiebewijzen bijvoorbeeld vaak samen in een tas, of stoppen ze in een kluisje in het zwembad. (bron).

Laat me raden? De klant wil het zo…althans dat denken we (echte reden is natuurlijk een kostenbesparing, minder mensen op kantoor betekent minder medewerkers of zelfs minder kantoren). De afdeling Beveiliging bij zo’n project betrekken? Vooral niet doen, die gasten doen toch alleen maar lastig, die zullen wel weer tegen zijn en dat moeten we niet hebben. Geloof me, er zijn echt wel manieren te vinden waarop het voor de klant makkelijker is terwijl het nog steeds erg veilig is.

Gelukkig hebben ze er goed over nagedacht: Volgens Bouwmeester is uit uitvoerig onderzoek van de bank echter gebleken dat het “heel onwaarschijnlijk” is dat van de nieuwe procedure misbruik wordt gemaakt. De bank voldoet volgens haar aan alle beveiligingseisen.

Heel onwaarschijnlijk betekent dus niet onmogelijk. Ehm, toch nog maar een keer extra nadenken over het verschil tussen “compliant” en “in control” zijn? Natuurlijk kun je nog steeds voldoen aan alle eisen (die schrijven echt niet voor hoe je exact de procedure uitvoert), maar of je hiermee echt nog “in control” bent zal de toekomst uit moeten wijzen.

123456 meest gebruikte Hotmail wachtwoord

Een onderzoeker die de lijst met gestolen Hotmail wachtwoorden heeft onderzocht, ontdekte dat ‘123456’ het meest voorkomende wachtwoord is en wachtwoorden het vaakst uit 6 karakters bestaan (zie bron).

Het langste wachtwoord was “lafaroleratropezoooooooooooooo”. Dan vraag je je toch af hoe vaak hij een fout maakt bij het aanmelden op Hotmail. Ik hoop dat hij automatisch ingelogd wordt of dat hij zijn Hotmail niet al te vaak gebruikt, je zou er bijna RSI van krijgen. Of bestaat dat niet meer? volgens mij is die hype alweer voorbij. Gelukkig maar, kunnen we gewoon weer aan het werk.

Het kortste wachtwoord bestond uit 1 karakter, “)”.
Hierbij denk je dan weer waarom in hemelsnaam een haakje? Zou hij ieder jaar zijn wachtwoord wijzigen en begonnen zijn bij het uitroepteken!? Dan wordt zijn volgende wachtwoord vast “-“. Of hij moet natuurlijk een ander toetsenbord hebben dan mijn laptop. Maar wees eerlijk, dit wachtwoord had je niet snel geraden.

Het meest gebruikte wachtwoord is “123456”, gevolgd door “123456789” en “alejandra”. De eerste twee kan ik me nog indenken, maar waarom in hemelsnaam alejandra in de top 3? Zijn er zoveel Alejandra’s op de wereld? In Nederland in ieder geval niet, in 2008 is de naam aan 1 meisje gegeven en stond daarmee op plaats 4671, kleine kans dus dat je daarmee een Nederlands account kraakt. Of betekent het wachtwoord op zijn Spaans? Eh nee, het betekent: beschermer van de mensheid…maar blijkbaar dus niet beschermer van jouw e-mailberichten.

Er zijn natuurlijk allerlei tips te geven om tot een sterk(er) wachtwoord te komen, sommige zijn handiger dan andere, maar even googelen op “sterk wachtwoord” en het moet toch lukken om een mooi wachtwoord te fabriceren. Als je eenmaal een mooi en moeilijk te raden wachtwoord hebt gekozen kun je via passwordmeter kijken hoe sterk hij is. Heb je liever een Nederlandstalige site dan kun je ook kijken op de tool van VPNMentor.Maak hem niet te moeilijk voor jezelf, want dan schrijf je hem op en dat is natuurlijk ook niet veilig.