Start today, secure tomorrow.

Nieuws

Houdbaarheid van wachtwoorden verstreken

Tuesday, September 2, 2014 - 15:48

Gisteren werd bekend dat er naaktfoto’s van meer dan honderd celebrities op het wereldwijde web terechtgekomen zijn (bekijk ook het fragment op NOS op 3). Hackers claimen gebruik te hebben gemaakt van een beveiligingslek in Apple’s iCloud. Apple laat weten de privacy van gebruikers erg serieus te nemen en de kwestie te onderzoeken.

De kwetsbaarheid van Apple

Een fout in het “Find my device” systeem zorgde ervoor dat er onbeperkt login pogingen gedaan konden worden. Hierdoor werd het mogelijk om wachtwoorden te raden op basis van “brute force” (het botweg uitproberen van alle mogelijke opties) of door zogenaamde woordenlijst aanvallen. Door structureel wachtwoorden te blijven proberen kan een wachtwoord worden geraden, al wordt die kans kleiner wanneer gebruik wordt gemaakt van complexe wachtwoorden. Maar niet alleen het systeem is kwetsbaar; de mens is meestal de zwakste schakel in computersystemen. Vandaar dat middels social engineering onbedoeld toegang kan worden verschaft tot vertrouwelijke informatie. Via beveiligingsvragen kan het relatief eenvoudig zijn om ongeautoriseerd toegang te verkrijgen tot accounts, zeker wanneer het gaat om mensen van wie veel persoonlijke informatie op internet te vinden is.

Wachtwoorden over datum

Het beschermen van wachtwoorden is in toenemende mate een probleem. Steeds vaker zorgt het er voor dat mensen “gehacked” worden omdat hun wachtwoord niet complex genoeg is of omdat andere mechanismen falen.
In essentie is een wachtwoord een flexibele reeks parameters en, mits goed gebruikt, een goed middel ter beveiliging.
Echter, we komen wel op een moment dat aanvullende maatregelen hard nodig zijn.
Enkele “wenselijke” aanvullende maatregelen zijn:

  • het gebruik van een tweede factor (2factor authentication): hierbij wordt een extra afhankelijkheid ingebouwd om toegang tot een dienst te krijgen. Een goed voorbeeld is Google Authenticator. Hierbij moet na het inloggen een reeks getallen ingevuld worden die tijdsafhankelijk wordt gegenereerd. Als een kwaadwillende het tijdelijke wachtwoord bemachtigd, kan hij hier slechts in een beperkte tijd gebruik van maken, wat de kans op inbraak verkleint.
  • het detecteren van misbruik: in dit geval detecteerde Apple het misbruik van accounts niet en werd er geen actie ondernomen. Een voorbeeld van actie ondernemen kan zijn het tijdelijk blokkeren van het account. Het nadeel hiervan is dat kwaadwillenden hiervan misbruik kunnen maken door accounts onbruikbaar te maken.
  • maatregelen op basis van reputatie: Dit betekent dat de account nog wel beschikbaar is vanaf bekende netwerken (vanaf welke eerder gebruik gemaakt is van de dienst) of er een extra “toegangsfactor” gevraagd wordt indien hieraan niet wordt voldaan.
  • het beter opslaan van wachtwoorden: Veel wachtwoorden worden als ‘hash‘ waarde opgeslagen. Als deze “hash” wordt gestolen dan kan door het gebruik van supercomputers het wachtwoord geraden worden. Het toevoegen van een “salt” waarde maakt het ingewikkelder maar nog steeds niet onmogelijk. Een salt is een verlenging van het wachtwoord: de cryptografische sleutel wordt daarom moeilijker te brute-forcen omdat ook de salt-waarde meegenomen moet worden. Bovendien kan de  salt-waarde bescherming bieden tegen aanvallen met “rainbow-tables“. Dit zijn tabellen waarin alle mogelijke combinaties van cryptografische sleutels met het bijhorende wachtwoord worden opgeslagen. Echter, wanneer deze “salt” ook gestolen wordt dan is de toegevoegde waarde minimaal.
  • Het stellen van eisen aan wachtwoorden: Een complex wachtwoord van 8 karakters kan zo’n 18 uur kosten om te kraken (afhankelijk van de rekenkracht; veiligheidsdiensten zouden het in 1.12 minuten kunnen).
    Test hier zelf je wachtwoord.

Wachtwoord check

En nu?

Gebruikers

Apple heeft inmiddels de kwetsbaarheid verholpen. Dit neemt niet weg dat je wachtwoord misschien al is geraden.
Gebruik je geen complex wachtwoord (langer dan 8 karakters met hoofd en kleine letters, cijfers en tekens en niet gebaseerd op een “woord”), dan is het verstandig je wachtwoord de wijzigen.
Realiseer je ook dat dit wachtwoord in deze combinatie misschien voor andere diensten gebruikt is. Verander in dat geval ook op deze diensten je wachtwoord en gebruik het liefst per dienst een andere.

Online dienstverleners vragen regelmatig om “beveiligingsvragen”. Deze vragen kunnen gebruikt worden om de identiteit vast te stellen tijdens een telefoongesprek of wanneer u geen toegang meer heeft tot de dienst (bijv. email). Geef bij voorkeur geen “eerlijk” antwoord op de beveiligingsvragen, maar geef een waarde op die voor een ander moeilijk te raden is. Ook kan men een wachtwoord kluis gebruiken waarmee sterke wachtwoorden worden gegenereerd en opgeslagen om te dienen als antwoorden op de beveiligingsvragen. Een wachtwoordkluis kan gebruiksvriendelijker zijn, omdat er slechts één of enkele wachtwoorden onthouden moeten worden in plaats van tientallen of zelfs honderden. Wel wordt het van extra groot belang om voldoende complexiteit toe te voegen aan het wachtwoord voor de wachtwoordkluis en deze regelmatig te veranderen. Denk aan wachtwoord zinnen, ook wel “pass phrases” genaamd.

Bedrijven en aanbieders van diensten

Hierboven beschreven we al enkele maatregelen die getroffen kunnen worden om het omgaan met wachtwoorden te beveiligen. Het risico van een gerichte aanval op een dienst of website is afhankelijk van hoe toegankelijk deze is en hoe waardevol de beoogde informatie is. Uit onderzoek blijkt dat bedrijven de risico’s die ze lopen structureel onderschatten. Dat betekent dat de kans op inbraak, informatiediefstal, kosten en bovendien imagoschade veel groter is dan acceptabel wordt bevonden.

Zorg dat u op de hoogte bent van de risico’s die u neemt. Neem contact op met de security experts van The S-Unit.

Ethisch hacken & responsible disclosure

Tuesday, August 26, 2014 - 20:51

Onlangs gaf Barry van Kampen, security consultant bij The S-Unit en ‘ethisch hacker’, een interview voor het Maatschappelijk en Sociaal Overzicht 2013 van UPC (blz. 28 & 29).

Interview Barry van Kampen UPC

Eerste sprekers Hack In The Box 2014 Amsterdam bekend

Wednesday, January 29, 2014 - 10:18

De Hack In The Box Security Conferentie in Amsterdam (HITB2014AMS) van 27 t/m 30 mei 2014 wordt een speciale editie. Naast de geheel vrouwelijk keynote line-up, waar veel enthousiaste reacties op volgden, is nu een deel van de sprekers gepubliceerd en ook dit jaar komen er veel grote namen uit de security wereld acte de présence geven. De volledige lijst met namen wordt in de eerste week van februari bekend gemaakt.

Wil je de ‘talks’ van de sprekers zelf bijwonen? Schrijf je dan nu in en profiteer nog twee dagen van de Early Bird Discount!

Ook de voorbereidingen voor de Haxpo verlopen voorspoedig! De gratis toegankelijke(!) Haxpo wordt gelijktijdig met de HITB Security Conferentie gehouden van 28 t/m 30 Mei 2014 in De Beurs van Berlage.

Op de Haxpo zullen ook korte presentaties worden gehouden. Heb jij een security-onderwerp dat je wilt uitdragen, houd dan de Call for Papers voor de Haxpo in de gaten: vanaf 1 februari kun je je onderwerp indienen en word je misschien gevraagd om te komen presenteren!

Volg Hack In The Box op Facebook, Twitter en LinkedIn

HITB2014AMS keynote – Kristin Lovejoy

Friday, January 17, 2014 - 13:30

Kristin Lovejoy

Kristin Lovejoy is een van de vrouwelijke sprekers die alle keynotes voor hun rekening gaan nemen op HITB2014AMS.

Kristin Lovejoy is General Manager van de IBM Security Services Division; deze is belast met de ontwikkeling en levering van “Managed Security Services” aan klanten van IBM wereldwijd. Voorafgaand aan deze rol, was Kristin VP of Information Technology Risk en Global CISO voor IBM. Ze was verantwoordelijk voor het beheer, de controle en het testen van de wereldwijde corporate security van IBM en was tevens voorzitter van IBM’s IT Risk Steering Committee, co-voorzitter van de IBM data Security stuurgroep, co-voorzitter van de IBM’s Social Networking commissie en lid van IBM’s Enterprise Risk Steering Committee.

Tegenwoordig is Kristin lid van een aantal externe boards en adviserende panels, waaronder de Editorial Board van SC Magazine, de Forrester’s Security and Risk Council en Grotech Ventures. Voordat ze bij IBM kwam, was ze de CTO, CIO en VP van Support and Services bij Consul dat werd overgenomen door IBM in 2007. Ook was ze VP van Security Assurance Services voor TruSecure Corporation.

Kristin is een erkend expert op het gebied van beveiliging, risico’s, compliance en governance en is verschenen op CNBC, NPR en WTOP. In de afgelopen vijf jaar is ze onderscheiden met titels als “2012 Compass Award Winner” door CSO Magazine, een van E-Week’s “Top Women Women in Information Security That Everyone Should Know”, lid van de “Top 25 CTO” door InfoWorld en ze is een van de “Top 25 Most Influential Security Executives” door Security Magazine.

 

Pages