Start today, secure tomorrow.

Nieuws

GCCS 2015 - Ethical Hacking

Monday, April 20, 2015 - 00:00

The S-Unit will present at the GCCS 2015 to promote Ethical Hacking. Please check out this teaser with our MD:

Let me introduce...The S-Unit

Monday, December 15, 2014 - 13:37

In de afgelopen jaren is de business unit security van ITQ uitgegroeid tot een volwaardig team offensieve security specialisten.
Door de groei en de behoefte om meer focus aan te brengen op ons vakgebied is het tijd voor de volgende stap: op eigen benen verder.
Met een eigen management team onder leiding van ondergetekende en ondersteund door een raad van betrouwbare, kundige adviseurs kunnen we ons nu aan u voorstellen als:

The S-Unit. Aangenaam.


Wat kenmerkt The S-Unit?

Wij zijn dé partij op het gebied van offensieve security. Onze dienstverlening is offensief, integer, professioneel, creatief en eigenwijs.
Security bestaat uit een aantal componenten, zoals een stevige infrastructuur en processen. Toch is dat niet voldoende; dagelijks worden we geconfronteerd met lekken in systemen die geacht worden ons veilig te houden.
Wij testen of uw organisatie zich wel kan beschermen tegen de hedendaagse dreigingen. Wij vertellen u waar uw organisatie kwetsbaar is zodat u niet verrast wordt. Door u op tijd van informatie te voorzien kunt u tijdig reageren en daar waar nodig bijsturen.
Daar draait het om bij The S-Unit: vandaag inspelen op wat u morgen te wachten staat.

Om u op de hoogte te houden van de ontwikkelingen in security-land én The S-Unit informeren we u via onze website en social media. (@the_s_unit )

Mocht u verdere vragen hebben, dan sta ik u natuurlijk graag te woord.

Met vriendelijke groet,
Barry van Kampen
Managing Director
maar bovenal Security Specialist

Houdbaarheid van wachtwoorden verstreken

Tuesday, September 2, 2014 - 15:48

Gisteren werd bekend dat er naaktfoto’s van meer dan honderd celebrities op het wereldwijde web terechtgekomen zijn (bekijk ook het fragment op NOS op 3). Hackers claimen gebruik te hebben gemaakt van een beveiligingslek in Apple’s iCloud. Apple laat weten de privacy van gebruikers erg serieus te nemen en de kwestie te onderzoeken.

De kwetsbaarheid van Apple

Een fout in het “Find my device” systeem zorgde ervoor dat er onbeperkt login pogingen gedaan konden worden. Hierdoor werd het mogelijk om wachtwoorden te raden op basis van “brute force” (het botweg uitproberen van alle mogelijke opties) of door zogenaamde woordenlijst aanvallen. Door structureel wachtwoorden te blijven proberen kan een wachtwoord worden geraden, al wordt die kans kleiner wanneer gebruik wordt gemaakt van complexe wachtwoorden. Maar niet alleen het systeem is kwetsbaar; de mens is meestal de zwakste schakel in computersystemen. Vandaar dat middels social engineering onbedoeld toegang kan worden verschaft tot vertrouwelijke informatie. Via beveiligingsvragen kan het relatief eenvoudig zijn om ongeautoriseerd toegang te verkrijgen tot accounts, zeker wanneer het gaat om mensen van wie veel persoonlijke informatie op internet te vinden is.

Wachtwoorden over datum

Het beschermen van wachtwoorden is in toenemende mate een probleem. Steeds vaker zorgt het er voor dat mensen “gehacked” worden omdat hun wachtwoord niet complex genoeg is of omdat andere mechanismen falen.
In essentie is een wachtwoord een flexibele reeks parameters en, mits goed gebruikt, een goed middel ter beveiliging.
Echter, we komen wel op een moment dat aanvullende maatregelen hard nodig zijn.
Enkele “wenselijke” aanvullende maatregelen zijn:

  • het gebruik van een tweede factor (2factor authentication): hierbij wordt een extra afhankelijkheid ingebouwd om toegang tot een dienst te krijgen. Een goed voorbeeld is Google Authenticator. Hierbij moet na het inloggen een reeks getallen ingevuld worden die tijdsafhankelijk wordt gegenereerd. Als een kwaadwillende het tijdelijke wachtwoord bemachtigd, kan hij hier slechts in een beperkte tijd gebruik van maken, wat de kans op inbraak verkleint.
  • het detecteren van misbruik: in dit geval detecteerde Apple het misbruik van accounts niet en werd er geen actie ondernomen. Een voorbeeld van actie ondernemen kan zijn het tijdelijk blokkeren van het account. Het nadeel hiervan is dat kwaadwillenden hiervan misbruik kunnen maken door accounts onbruikbaar te maken.
  • maatregelen op basis van reputatie: Dit betekent dat de account nog wel beschikbaar is vanaf bekende netwerken (vanaf welke eerder gebruik gemaakt is van de dienst) of er een extra “toegangsfactor” gevraagd wordt indien hieraan niet wordt voldaan.
  • het beter opslaan van wachtwoorden: Veel wachtwoorden worden als ‘hash‘ waarde opgeslagen. Als deze “hash” wordt gestolen dan kan door het gebruik van supercomputers het wachtwoord geraden worden. Het toevoegen van een “salt” waarde maakt het ingewikkelder maar nog steeds niet onmogelijk. Een salt is een verlenging van het wachtwoord: de cryptografische sleutel wordt daarom moeilijker te brute-forcen omdat ook de salt-waarde meegenomen moet worden. Bovendien kan de  salt-waarde bescherming bieden tegen aanvallen met “rainbow-tables“. Dit zijn tabellen waarin alle mogelijke combinaties van cryptografische sleutels met het bijhorende wachtwoord worden opgeslagen. Echter, wanneer deze “salt” ook gestolen wordt dan is de toegevoegde waarde minimaal.
  • Het stellen van eisen aan wachtwoorden: Een complex wachtwoord van 8 karakters kan zo’n 18 uur kosten om te kraken (afhankelijk van de rekenkracht; veiligheidsdiensten zouden het in 1.12 minuten kunnen).
    Test hier zelf je wachtwoord.

Wachtwoord check

En nu?

Gebruikers

Apple heeft inmiddels de kwetsbaarheid verholpen. Dit neemt niet weg dat je wachtwoord misschien al is geraden.
Gebruik je geen complex wachtwoord (langer dan 8 karakters met hoofd en kleine letters, cijfers en tekens en niet gebaseerd op een “woord”), dan is het verstandig je wachtwoord de wijzigen.
Realiseer je ook dat dit wachtwoord in deze combinatie misschien voor andere diensten gebruikt is. Verander in dat geval ook op deze diensten je wachtwoord en gebruik het liefst per dienst een andere.

Online dienstverleners vragen regelmatig om “beveiligingsvragen”. Deze vragen kunnen gebruikt worden om de identiteit vast te stellen tijdens een telefoongesprek of wanneer u geen toegang meer heeft tot de dienst (bijv. email). Geef bij voorkeur geen “eerlijk” antwoord op de beveiligingsvragen, maar geef een waarde op die voor een ander moeilijk te raden is. Ook kan men een wachtwoord kluis gebruiken waarmee sterke wachtwoorden worden gegenereerd en opgeslagen om te dienen als antwoorden op de beveiligingsvragen. Een wachtwoordkluis kan gebruiksvriendelijker zijn, omdat er slechts één of enkele wachtwoorden onthouden moeten worden in plaats van tientallen of zelfs honderden. Wel wordt het van extra groot belang om voldoende complexiteit toe te voegen aan het wachtwoord voor de wachtwoordkluis en deze regelmatig te veranderen. Denk aan wachtwoord zinnen, ook wel “pass phrases” genaamd.

Bedrijven en aanbieders van diensten

Hierboven beschreven we al enkele maatregelen die getroffen kunnen worden om het omgaan met wachtwoorden te beveiligen. Het risico van een gerichte aanval op een dienst of website is afhankelijk van hoe toegankelijk deze is en hoe waardevol de beoogde informatie is. Uit onderzoek blijkt dat bedrijven de risico’s die ze lopen structureel onderschatten. Dat betekent dat de kans op inbraak, informatiediefstal, kosten en bovendien imagoschade veel groter is dan acceptabel wordt bevonden.

Zorg dat u op de hoogte bent van de risico’s die u neemt. Neem contact op met de security experts van The S-Unit.

Ethisch hacken & responsible disclosure

Tuesday, August 26, 2014 - 20:51

Onlangs gaf Barry van Kampen, security consultant bij The S-Unit en ‘ethisch hacker’, een interview voor het Maatschappelijk en Sociaal Overzicht 2013 van UPC (blz. 28 & 29).

Interview Barry van Kampen UPC

Pages