Kwestie van puzzeltje oplossen, de kettingreactie
Mat Honan heeft mogen ervaren dat het voor de hackers simpel een kwestie was van een puzzeltje oplossen op een regenachtige zondagmiddag. Hij zag door de hack zijn belangrijke 'in the cloud' opgeslagen informatie op slag verdwijnen. Een van de veiligheidsgaten die hij naderhand constateerde was dat Amazon in het gebruikersprofiel de laatste vier cijfers van de opgeslagen creditcards vermeldt. Op zich niet gevaarlijk, niemand kan daar in principe iets mee. Ware het niet dat bij Apple de laatste vier cijfers van de creditcards een andere functie hebben en als veiligheidscontrole worden gebruikt. Weet je dan via het kraken van het Amazonaccount die 'onschuldige' laatste cijfers, dan heb je voor de beveiliging van Apple cruciale informatie in handen. De laatste vier cijfers zijn ook bekend bij de pizzakoerier, waarmee je met de creditcard net hebt afgerekend. Door alle stukjes van de puzzel in elkaar te passen is het voor een hacker mogelijk een volledig beeld te krijgen van de 'infrastructuur' behorende bij het slachtoffer en zich toegang te verschaffen tot de andere accounts. Hierna kan de hacker het ene na het andere password resetten en zichzelf in korte tijd toegang te geven tot weer andere accounts. Honan zelf kon niet meer bij zijn eigen accounts omdat de passwords waren veranderd.
Honan's verklaring
Overgebleven na één enkel uur...
Mat Honan bekent zelf slordig te zijn geweest, hij had geen back-ups gemaakt. Nu, na dit incident, gaat hij dit wél doen. Hoewel het te betwijfelen valt of dit effect zou hebben gehad. Immers, het zou in de lijn van zijn gedragingen en gewoontes hebben gelegen dat hij de back-ups 'in the cloud' zou hebben gemaakt of, zoals hij zelf verklaarde, op zijn (eveneens gehackte en gewiste!) MacBook. Kennelijk heeft hij van de gebeurtenis nog niets geleerd, back-ups plaats je niet op een kwetsbaar medium.
Het hele kafkaiaanse relaas heeft Mat Honan gereconstrueerd en gepubliceerd in het Amerikaanse online magazine Wired.
Deze gebeurtenissen liggen dichterbij onszelf als gebruiker dan wij zelf vermoeden. Te denken valt aan de kraak onlangs bij LinkedIn, waarbij inlognamen en passwords werden 'ontvreemd'. Aangezien veel mensen hetzelfde password en zelfs de inlognaam voor verschillende diensten gebruiken is het niet onvoorstelbaar dat op deze wijze andere diensten met deze passwords ook gekraakt zouden kunnen worden. Met name diensten zoals LinkedIn die de eigen naam of het e-mailadres als gebruikersnaam aan de gebruiker voorschrijven (uit veiligheidsoogpunt eigenlijk een wel erg domme streek) vereisen een extra sterk password om de onveiligheid van de door derden wel erg gemakkelijk te achterhalen inlognaam te compenseren.
Ook 'Reuters' maakt deel uit van topje van ijsberg
Dit soort incidenten blijft ook de 'groten', die zich omgeven met allerlei veiligheidsmaatregelen, niet bespaard. Zo werden er onlangs pogingen ondernomen om 'Reuters' te kraken, En met succes. 'Reuters geeft dit zelf toe in een artikel. Op zich in eerste instantie verrassend, veel bedrijven komen nooit officieel naar buiten met dit soort incidenten omdat dit slecht is voor het imago. 'Reuters' kon op dit moment niet anders dan de kraak toegeven omdat Twitter een wel erg publiek domein is. Maar wij kunnen gerust aannemen dat wat naar buiten komt slechts het topje van de ijsberg is.
'The Cloud' en het beheersprobleem
Fotografen maken veelal gebruik van allerlei diensten via het internet en van de sociale media. PhotoNmagazine publiceerde reeds over een rapport en een nieuwe EU wet in het vaknieuws: Nieuwe wet moet inbreuk voorkomen op privacy in de cloud.
Niet alleen strooien wij vanwege onze begrijpelijke en noodzakelijke hang naar naamsbekendheid met allerlei gegevens die, gecombineerd met andere gedragingen op het internet, kunnen leiden tot een soortgelijk incident. Onlangs had ik een nogal heftige discussie in een Linkedin-groep met een bestuurslid van een Engelse beroepsorganisatie die bij hoog en bij laag beweerde dat de 'opslagservice in the cloud', die de organisatie haar leden aanbood, nooit op andere dan Engelse servers zou draaien omdat de hostingprovider dit zou hebben gegarandeerd. En wat wanneer deze hostingprovider wegens capaciteitsgebrek de back-ups in 'in the cloud' op servers in een of ander Verweggistaanse apenserver zou hebben geparkeerd? Uit nood? Of erger nog, ondanks de toezegging wegens capaciteitsproblemen 'tóch maar even' ruimte elders zou hebben ingehuurd? Tenslotte wordt de IT-sector geregeerde door de euro, de dollar en de West-Patagonische joet.
Hier speelt feitelijk een beheersprobleem een rol. Je kunt alleen instaan voor de veiligheid van je gegevens en een gegarandeerd beheer en beschikbaarheid wanneer je deze op een eigen opslag hebt staan en de kopie (back-up) zich op een eigen opslag bevindt die zich elders bevindt, dus niet fysiek op dezelfde plaats. Denk aan hierbij aan het risico van brand en inbraak. Gelukkig zijn er bij sommige banken en beveiligingsmaatschappijen kluisjes te huur, de woning van een betrouwbaar familielid of collega is vaak dichtbij, een stevig verankerde brandkast in de schuur is eventueel ook een mogelijkheid. En de gegevens zijn betrekkelijk eenvoudig onleesbaar te maken voor derden door ze te versleutelen.
Apple oprichter Steve Wozniak over 'The Cloud'
The Cloud,
het gat waar geld en data in verdwijnen?
Steve Wozniak vreest de tendens om 'alles maar in de cloud te zetten' omdat de rechten van gebruikers onduidelijk of ongunstig zijn. Tijdens een bijeenkomst onlangs verklaarde hij problemen te voorzien door de toenemende opkomst van cloud-computing. “Dat alles naar de cloud gaat maakt me echt bezorgd. Ik denk dat het afschuwelijk wordt. Er zullen zich een hoop verschrikkelijke problemen voordoen de komende vijf jaar.” Wozniak's volledige verklaring kunt u hier lezen.
Online betalen
Voor wat betreft online betalingen is het eenvoudig een 'Paypal'-account te openen of gebruik te maken van een betaaldienst als 'IDEAL' en hier zonodig unieke passwords voor te kiezen in plaats van hetzelfde password te gebruiken voor al je accounts. De veiligheid ligt hier in gelegen dat de betaalgegevens niet bij de afzender terecht komen. Met name in Nederland wordt vrijwel uitsluitend via deze methode gewerkt. In bij voorbeeld de Verenigde Staten is het gebruikelijk dat de creditcardgegevens bij de leverancier worden opgeslagen, het gebruik van deze onveilige methode lijkt echter langzaamaan af te nemen, vaak worden betalingen via 'Paypal' ook in de VS aangeboden.
Het is een onmogelijkheid alle passwords te onthouden, zeker wanneer zij 'sterk' zijn, dus diakritische tekens bevatten. Er zijn bepaalde programma's verkrijgbaar die de passwords 'in de kluis' zetten, zodat je dus maar één wachtwoord nodig hebt om bij de eigen beveiligde database met gecodeerde wachtwoorden te komen, zoals het veelgebruikte open source programma KeePass. Daar is de sterkte, maar eveneens de zwakte van dergelijke programma's. Sneuvelt je hoofdwachtwoord dan liggen de andere wachtwoorden op straat. Je zou je natuurlijk als wachtwoord een moeilijk kraakbare wachtzin van maximaal 63 tekens inclusief spaties (meer kan niet binnen onze huidige besturingssystemen) compleet met diakritische tekens kunnen gebruiken, alleen tik je dan bij iedere simpele inlog de vingers blauw...
Schier onoplosbaar probleem
Het passwordsysteem lijkt schier onoplosbaar omdat het berust op het gelimiteerde menselijk vermogen tot herinnering. Het laatste woord is hier dan ook niet over gezegd. Verreweg de meeste mensen, zo blijkt uit diverse onderzoeken, hebben hetzelfde password voor verschillende accounts.
Een oplossing lijkt te kunnen liggen in het klasseren van de accounts. Alle onbelangrijke accounts krijgen dan hetzelfde password. Hierboven komt een klasse die belangrijker is, zoals bij lidmaatschappen van beroepsverenigingen. Door de accounts die hierin vallen in groepen te verdelen kunnen deze accounts een gezamenlijk password krijgen. In de hoogste klasse waarin accounts zoals ‘PayPal’ of andere financiële accounts vallen, krijgt ieder zijn eigen password. Al zullen 'flaws' zoals boven genoemd (Amazon, AppleID) niet te vermijden zijn zolang dergelijke diensten hun veiligheidsbeleid niet veranderen. Of zolang er geen (ISO?) genormeerde veiligheidsprocedures algemeen worden aangenomen of zelfs verplicht worden gereglementeerd door de overheden. In ieder geval zullen de verschillende eindgebruikers hier voorlopig zelf hun weg in moeten vinden, totdat er afdoende wet- en regelgeving zal zijn ontstaan.
