Hackers: De waarheid achterhaald - Part 1

Door Joseph op dinsdag 14 juni 2011 19:00 - Reacties (28)
Categorie: -, Views: 5.789

Waarschuwing: Ik probeer deze blog zo eenvoudig mogelijk te schrijven, zodat de minder ervaren gebruikers er ook wat aan hebben.

Voorwoord.

Nee, dit is geen verkapte cursus hoe-wordt-ik-een-hacker. Als u denkt van wel, kunt u nu beter afhaken. Dat voorkomt teleurstellingen. De reden van deze blog kan ik u simpel uitleggen: ik ben de misverstanden over “hackers” zat. Toch wordt hacken een steeds groter gevaar, en dat komt onder andere door de opkomst van cloud-computing. Alle data verhuist van uw computer naar een groot computer-centrum, waar allemaal computers bij elkaar staan. Dit centrum heeft gigantisch veel rekenkracht en héél véél opslagruimte. En de cloud? U gebruikt het al. Gmail, Hotmail, Grooveshark, deze termen klinken u vast bekend in de oren. Dat is een stukje cloud-computing. Allemaal heel mooi, met een gebruikersnaam en wachtwoord overal toegang tot uw data. Handig, zou u denken. Dat is zeker waar.

Maar wie garandeert dat uw gegevens (data) veilig zijn? Alle bestanden op een hoop gooien, een plek, maakt het veel makkelijker om die gegevens te hacken. Want als u de plek gehackt heeft, heeft u immers toegang tot duizenden, zeg, miljoenen computergebruikers. Bovendien, wie zegt dat die bedrijven coulant met uw gegevens omgaan? Ik heb zelf, en nu ben ik heel eerlijk, nog nooit de licentie-overeenkomsten gelezen van enig product wat ik gebruik. En toch staat daar in wat deze bedrijven mogen. En dat mogen ze toch ook, u hebt toch immers op het vinkje accepteren geklikt?

Een beeldscherm thuis, dat alleen werkt met een internet verbinding is voor mij ondenkbaar. Ik ben heel erg gesteld op mijn privacy, en wil heel graag weten wat er onder de motorkap gebeurd.

In deze serie blogposts ga ik u proberen uit te leggen wat u zich moet voorstellen bij “hackers”. Ook ga ik toelichten hoe ze te werk gaan (oppervlakkig), en vooral hoe u het kunt voorkomen. Ook sta ik stil bij de cloud, want vroeg of laat kunnen we daar niet meer omheen. En in mijn ogen is dit een ernstige digitale bedreiging voor uw Privacy.

Beveiliging.

Bedrijven die het hardste roepen dat ze veilig zijn, zijn vaak het minst veilig. Ze zijn bang dat hun iets overkomt, en daarom proberen ze hackers bang te maken door hun beveiliging groter voor te stellen dan die in feite is. Zeg nu eerlijk. Er zijn twee paradijzen met hele mooie vrouwen. U mag niet aan ze zitten, alleen kijken. De eerste heeft een heleboel bewaking bij de poort, maar als u eenmaal binnen bent is er van al die bewaking geen spoor meer te zien. U kunt uw gang gaan en hebt een heerlijke tijd. Dan nu de volgende. De poort van het paradijs staat wagenwijd open, en overal staan bewakers scherp op te letten dat u geen vrouw aanraakt. Dan zou u logischerwijs bij de eerste een achterdeurtje zoeken, of niet? Want dan kunt u immers ongestoord uw gang gaan.

Bij bedrijven werkt dit in de theorie ook zo. Een bedrijf wat niet over beveiliging rapt, is vaak veiliger dan een bedrijf die hun beveiliging van de toren blaast. Dan is de eerstgenoemde paradijs 2 en de tweede genoemde paradijs 1. Voor ‘hackers’.
En dan nog een belangrijke: door openstaande poorten wandelen is niet gelijk aan “hacken”.

Hackers.

Tweakers had een nieuwsbericht over een hacker die software installeerde op MacBook’s van vrouwen, om ze daarmee te bespieden. “Hacker”? Pardon? Zo kan ik het ook wel. Beter gezegd: iedereen kan wel software installeren. En daar wringt de schoen. Mensen die a-digitaal zijn zien het DOS-prompt al als hacken en gevaarlijk, en raken dan ook meestal al in paniek. Als ze horen dat de computer van hun kennis besmet is of het wachtwoord van hun goede kennis gestolen is, praten ze al over “de grote hacker”. Nonsens. Hacken is niet moeilijk, iedereen kan het. Wat programmatuur downloaden en een poortje openzetten in uw modem is in feite al voldoende. Daarna gewoon de stappen op het scherm volgen. Vinkjes zetten. Hier wil ik in mijn volgende deel uitgebreid op ingaan.

Het is zo simpel tegenwoordig, dat hacken, dat je menig hacker als “scriptkiddie” kan zien.

Dit plaatje spreekt boekdelen!

http://graphjam.files.wordpress.com/2009/03/song-chart-memes-computer-skills.jpg


Methodes.

Ook hier ga ik in de volgende delen flink op in. Wat voor dingen zijn voor u gevaarlijk? Waarmee werken die “hackers” eigenlijk? Wist u eigenlijk dat die gratis-geurtjes actie al een manier is waarmee uw wachtwoord én contactpersonenlijst wordt buitgemaakt? Wist u dat zelfs gewoon rondbrowsen op het internet al een potentieel gevaar vormt?
Onthoud dat als u een paypal hacker van Youtube download, en daar uw gebruikers naam en wachtwoord invult niet PayPal geowned wordt. Diegene is, helaas, uzelf.

De Wolk-Hype. (Cloud-Hype)

Ook hier wil ik op ingaan. Wist u dat Google geld verdient met uw gegevens? Is uw ook niet opgevallen dat in de webversie van Gmail advertenties bij uw mails staan, die verdacht veel met de inhoud te maken hebben? Waarom bied Google eigenlijk elke klant gratis 7GB aan mailruimte? Hebt u er ooit bij stil gestaan waarom er zo vaak “beta” ergens bij staat, terwijl er zo goed als nooit problemen mee zijn?

Dit ga ik u ook uitleggen.

Preventie.

Het hoofd-doel van deze blog. Niet alleen u bewust maken van de gevaren, maar vooral: hoe voorkomt u het. Voorkomen is beter dan genezen. Want wist u dat u de spionage-tools van Google Chrome kunt uitschakelen? Wist u bijvoorbeeld u heel eenvoudig het kwetsbaarste onderdeel van Windows, het register, kunt beveiligen? Wist u dat er software is die malafide programma’s niet middels een grote database, maar aan gedrag kan opsporen?

Misschien komen er meer onderdelen bij, dat merkt u vanzelf wel. Ik ga nu eens rustig de tijd nemen om alles op een rijtje te krijgen, en er een duidelijk, makkelijk te lezen en interessant artikel van te maken.

Puntjes om nu alvast te onthouden.
  • De term hackers is vaak verkeerd opgevat. Niet iedereen die een wachtwoord steelt is een hacker.
  • Als u iets ziet wat te mooi lijkt om waar te zijn op het internet, dan is dat meestal ook zo.
  • Google bij een programma dat u niet vertrouwd eens wat rond, en kijk naar de reacties.
  • Bedrijven die de meeste herrie maken over hun beveiliging zijn meestal het zwakst beveiligt.
  • En nog niet genoemd, maar gaat ook aan bod komen: muziek-download programma’s zitten vol met rotzooi. Denk aan KaZaa (wie kent het nog?), LimeWire, BearShare.
  • Er is geen delete-knop op het internet. Als iets over u op het internet staat, en iemand vind het leuk, kunt u het schudden. Deze informatie zal waarschijnlijk voorgoed blijven bestaan. < Ik ben aan het kijken hoe u uzelf kunt 'ontgooglen'. Ik zal hier later ongetwijfeld nog een post aan wijden.
En alvast iets over internetbankieren, waar ik later aandacht aan wil gaan besteden:
  • Mijn ING is absoluut niet veilig. De wachtwoord-controle is niet hoofdletter gevoelig. Verder heeft u alleen het mobieltje van de eigenaar nodig om zijn rekening leeg te halen. Ik hoop absoluut niet nu mensen op verkeerde ideeën te brengen...
Ik heb tot slot nog wat leuke links voor u verzameld.

Aflevering EenVandaag over Google.
http://www.eenvandaag.nl/...36567/de_macht_van_google

NOS over de cloud.
http://nos.nl/video/24764...e-kan-er-niet-omheen.html

NOS over de oprol van een netwerk met 30 miljoen besmette computers. (botnet) Een Armeense hacker zat erachter.
http://nos.nl/video/19400...redolab-gearresteerd.html

Ongetwijfeld ga ik nog véél meer behandelen, er kan mij mar iets te binnen schieten.

Dan wil ik nu graag eindigen zoals Al Gore dat ook heeft gedaan: “Er is tot op heden geen reden tot paniek. Gaat u allen rustig slapen.”

Edit: Ik zie dat er in de comments wat tips komen, en er zijn ook wat onduidelijkheden. Dit is slechts een pakkende samenvatting wat komen gaat. En @merlijn85: In een van de volgende post(s) ga ik precies toelichten wat cloud is. Verder zijn de meningen over veiligheid van bedrijven verschillend.

Wordt vervolgd…

Volgende: De drogredenering van Telco's 07-'11 De drogredenering van Telco's

Reacties


Door Tweakers user Beatboxx, dinsdag 14 juni 2011 19:11

Het is Al Gore ;) Maar wanneer ben je een hacker? Als je de wachtwoord database van $grootbedrijf/forum in handen krijgt door te googlen op: wachtwoord database $grootbedrijf/forum? Als je toevallig op www.$site.nl/passlist.txt stuit? Als je in de broncode ziet waar de wachtwoorden zijn opgeslagen? Waar ligt de grens?

Door Tweakers user florejaen, dinsdag 14 juni 2011 19:28

Beatboxx schreef op dinsdag 14 juni 2011 @ 19:11:
Het is Al Gore ;) Maar wanneer ben je een hacker? Als je de wachtwoord database van $grootbedrijf/forum in handen krijgt door te googlen op: wachtwoord database $grootbedrijf/forum? Als je toevallig op www.$site.nl/passlist.txt stuit? Als je in de broncode ziet waar de wachtwoorden zijn opgeslagen? Waar ligt de grens?
Zou het niet zijn dat als je echt op zoek gaa naar gegevens, lekken, .... Dat je aan het hacken bent? Ook al doe je niet veel spectaculair.

Als je nu een website hackt met een simpel programmatje of met zelfgeschreven scripts, programma's, het is (volgens mij) allebei hacken. :)

Door Tweakers user Mar2zz, dinsdag 14 juni 2011 19:29

Leuk, prettig leesbaar en leuk onderwerp. Ben benieuwd naar je volgende blogs. Praatje spreekt boekdelen inderdaad.

Laatst werd me gevraagd iets te cracken voor iemand, terwijl ik dan een crackje zou downloaden, ik kan helemaal niet cracken. Het bovenstaande plaatje spreekt boekdelen :)

Door Tweakers user xp7amrkr, dinsdag 14 juni 2011 19:46

Sef24, mijn complimenten voor dit stuk! Ik ben geen computer kenner, maar ook zeker geen beginner. Ik vond het een interessant stuk om te lezen, en ga zeker een aantal kennissen van mij door linken naar deze blog post, en de andere te komen blogs.

Wat betreft Mijn-ING, dit vind ik toch wel belangrijk nieuws! Ik heb inderdaad een wachtwoord met letters + hoofdletters + cijfers van acht karakters, maar ik kon inderdaad zonder de hoofdletters gewoon inloggen. Dit lijkt mij een groot beveiligings issue... Ik heb wel eens wat programma's in Visual Basic geschreven, en zelfs daar kon ik onderscheid maken tussen een letter en hoofdletter, hoe kan het bij zo'n pagina dan fout gaan!

Door Tweakers user Jrz, dinsdag 14 juni 2011 20:34

Wat maakt hoofdletters veiliger?
Zorgt er alleen maar voor dat meer mensen gaan bellen / hun wachtwoorden gaan opschrijven.

Door Tweakers user ZpAz, dinsdag 14 juni 2011 20:55

Jrz schreef op dinsdag 14 juni 2011 @ 20:34:
Wat maakt hoofdletters veiliger?
Zorgt er alleen maar voor dat meer mensen gaan bellen / hun wachtwoorden gaan opschrijven.
Je bedoelt hoofdletters gebruiken in wachtwoorden? Als je dat niet doet heb je met brute-force methode's veel minder tekens af te gaan dan met hoofdletters er bij, hierdoor verklein je dus de mogelijkheid om via brute-force achter het wachtwoord te komen.

Door Tweakers user ZpAz, dinsdag 14 juni 2011 20:56

Mijn ING is absoluut niet veilig. De wachtwoord-controle is niet hoofdletter gevoelig.
Wat voor hash-methode (if any?) gebruiken ze dan? De meeste hash-methode's leveren andere hashes op met of zonder hoofdletters, of ze moeten een 'strtolower' toepassen voordat ze gaan hashen, maar waarom zou je express hoofdletter-gevoeligheid willen uitschakelen?

Door Tweakers user thefal, dinsdag 14 juni 2011 21:25

Aan de andere kant, als je aan het brute forcen bent weet je niet of de gebruiker wel hoofdletters gebruikt. Je zal er dus altijd op moeten testen.

In het geval van een dictionary attack maakt het wel uit, bij zo'n hack zal er waarschijnlijk vanuit gegaan worden dat woorden met kleine letters geschreven worden, of met een hoofdletter als eerste letter. Willekeurige hoofdletters zorgt er in dit geval voor dat zo'n aanval moeilijker, zo niet onmogelijk wordt (lijkt mij, niet dat ik een expert ben)
Je bedoelt hoofdletters gebruiken in wachtwoorden? Als je dat niet doet heb je met brute-force methode's veel minder tekens af te gaan dan met hoofdletters er bij, hierdoor verklein je dus de mogelijkheid om via brute-force achter het wachtwoord te komen.

[Reactie gewijzigd op dinsdag 14 juni 2011 23:15]


Door Tweakers user thefal, dinsdag 14 juni 2011 21:25

Oeps quote beetje verkeerd gegaan :P

Door Tweakers user vanaalten, dinsdag 14 juni 2011 21:31

Het case-sensitive zijn van een wachtwoord maakt op zich niet uit - als je de lengte van je wachtwoord maar aanpast ter compensatie.
Niet dat iemand dat doet, natuurlijk. Dus daarom zijn ING wachtwoorden onveilig t.o.v. een vergelijkbaar, case-sensitive systeem.

Edit: leuk inleidend verhaal, trouwens! Ik ga zeker het volgende deel afwachten en lezen!

[Reactie gewijzigd op dinsdag 14 juni 2011 21:31]


Door Tweakers user merlijn85, dinsdag 14 juni 2011 21:55

Prima initiatief dat je mensen op wilt voeden over waar hun data terecht komt en wat er mee gaat gebeuren, maar let wel op dat de grens naar paranoia behoorlijk snel om de hoek komt kijken. Kort door de bocht: "Als je niet gehackt wil worden, trek dan de stekker er maar uit - het is onveilig".

Je aannames over bedrijven en hun beveiliging kloppen ook niet echt. Een beetje bedrijf DURFT niet meer te claimen dat ze veilig zijn, omdat dat tegenwoordig een giga bulls-eye op je voorhoofd betekend. Als een willekeurige concurrent van Sony nu claimt dat ze het beter doen qua security - zijn ze binnen een maand zelf de klos met alle gevolgen van dien.

Ook over de cloud zijn nogal wat misconcepties - vooral omdat het zo'n vage term is. Een nogal aardige uitleg vind je hier - uiteraard wel de positieve insteek, maar zeer accuraat. Kort door de bocht komt het neer op het principe "wie vertrouw je met je informatie en hoe wordt dat behandeld" - en tegenwoordig zijn beide niet meer duidelijk voor de eindgebruiker. Maar dat heeft niets met Clouds te maken, de mensen bij je bank kunnen ook heel veel van jouw gegevens zien bijvoorbeeld.

En als we het toch over banken hebben - de andere banken zijn niet echt veiliger hoor: http://www.cl.cam.ac.uk/~sjm217/papers/fc09optimised.pdf

Door Tweakers user scorpie, woensdag 15 juni 2011 00:09

Zo te horen gaan de komende blogs alleen maar om je common sense gebruiken, dat zou erg jammer zijn. "Als je je username en wachtwoord van msn invult, dan krijg je een gratis proefexemplaar van blabla opgestuurd.." Tjah, van mijn part mogen ze die mensen meteen van internet afsluiten, ga maar een internet rijbewijs halen ofzo, meteen een aantal botnets minder in de wereld.. :')

Over die ING en case insensitive wachtwoorden: Dit is natuurlijk een kwalijke zaak. Ook al weet je niet of iemand hoofdletters in z'n wachtwoord gebruikt, je weet in elk geval bij een brute force actie dat je geen capitals hoeft te gebruiken, want het ING systeem accept ook gewoon wachtwoorden met alleen kleinletters. (Ik mag hopen dat de schrijver deze flaw ook aan wilde halen..)

Door Tweakers user sfranken, woensdag 15 juni 2011 09:25

Ga je ook de insteek van de Nederlandse wetgeving in deze behandelen? Dat lijkt me ook wel heel mooi om te lezen.

Door Tweakers user Juok, woensdag 15 juni 2011 09:34

Het zijn inderdaad dingen, die je met common sense zelf kan bedenken. Maja zoals hij al scrhijft bovenin, dat iedereen het moet kunnen begrijpen. Ik denk dat iedereen hier wel een vriend, vader/broer of wat dan ook heeft die zelfs met deze tekst nog moeite heeft.
Hoevaak ik mensen wel niet vertel dat ze een wachtwoord moeten gebruiken dat niet, of hun eigen naam/mobiele nummer/gebruikers naam is. Niet dat ze het doen, want anders onthouden ze het niet en als ze gehackt zijn komen klagen en vragen wat ze dan moeten doen.

Leuke tekst om te lezen en ik wacht op het vervolg.

Door Tweakers user loewie1984, woensdag 15 juni 2011 10:01

Dit vind ik wel een interessante opmerkinge:
Er is geen delete-knop op het internet. Als iets over u op het internet staat, en iemand vind het leuk, kunt u het schudden. Deze informatie zal waarschijnlijk voorgoed blijven bestaan. < Ik ben aan het kijken hoe u uzelf kunt 'ontgooglen'. Ik zal hier later ongetwijfeld nog een post aan wijden.
Jezelf ontgooglen is mogelijk, het kost alleen wat moeite en dat schijnt voor veel mensen toch een probleem te zijn. Zo heb ik tot op de dag van vandaag nog steeds berichten uit google weten te krijgen waar ik niet 'gelukkig' over was door gewoon de webbeheerder van het forum of site aan te schrijven met het verzoek mijn naam te verwijderen, af te korten of aan te passen naar mijn synoniem. Alleen zo ga je op in de grijze massa en komt je naam dus niet meer zoveel boven drijven op het internet.

De enige manier waarop je daarna nog te vinden bent is via een internethistory site en vaak vind je daar maar bar weinig

Door Tweakers user Xghost, woensdag 15 juni 2011 11:49

Ik vind het falen van mijnING eigenlijk schandelijk. Als mijnING-gebruiker vind ik de huidige methode super, ookal is de beveiliging niet super. Maar dat het wachtwoord niet eens case-sensitive hoeft te zijn vind ik echt erg, en heb daarom ook gelijk een klacht ingediend bij ING.

Door Tweakers user Lemming, woensdag 15 juni 2011 12:37

Ik gebruik ook mijn ing en ben er net ook achtergekomen?!
Het is ook rot dat er geen vreemde tekens in de wachtwoord kunnen(geen haakjes, apenstaartje ofzo)
Het enige nadeel nu is dat mijn ing (gedeeltelijk) offline is
Conclusie:Je wachtwoord is alleen maar beveiligd met letters en cijfers :( zal wel makkelijk zijn voor hackers!

[Reactie gewijzigd op woensdag 15 juni 2011 12:43]


Door Tweakers user Xghost, woensdag 15 juni 2011 12:53

Ik zie inderdaad dat mijnING nu offline is. Zou dit hiermee te maken hebben? :)

Door Tweakers user Lemming, woensdag 15 juni 2011 13:20

Zou leuk zijn }>

Door Tweakers user Xghost, woensdag 15 juni 2011 13:45

ING weer online, en nog steeds hetzelfde probleem. :/

Door Tweakers user Qurius, woensdag 15 juni 2011 14:53

Leuk als je deze artikels gaat schrijven! Lijkt me heel interessant!

Door Tweakers user Mnstrspeed, woensdag 15 juni 2011 15:11

Niet om vervelend te doen, maar let op je werkwoordspelling ;) Tevens mag je de punt achter je kopjes gerust weglaten; deze hoort hier niet. Verder leest het lekker weg, zoals hierboven al werd opgemerkt.

Dit onderwerp is natuurlijk erg herkenbaar; ik denk dat iedereen hier wel regelmatig met "dit soort mensen" te maken krijgt.

[Reactie gewijzigd op woensdag 15 juni 2011 15:11]



Door Tweakers user jbvanvliet, woensdag 15 juni 2011 20:44

Top, beetje NOOB vraag maar hoe kan ik zorgen dat ik dit blijf volgen?

Door Tweakers user masauri, donderdag 16 juni 2011 12:59

leuke blog, met plezier gelezen, ik kijk uit naar t volgende!

Door Tweakers user Boyd, donderdag 16 juni 2011 15:32

Over ING (ik ben geen klant daar, zal ze dus ook niet ophemelen, maar): Je zegt: alleen gebruikersnaam en wachtwoord nodig, en mobieltje van de eigenaar.... toch?

Bij alle andere banken heb je een pinpas en 4 cijfertjes nodig........ Is dat wel veilig dan? 4 cijfers?!

Door Tweakers user ChojinZ, donderdag 16 juni 2011 16:14

Gamepie56 schreef op donderdag 16 juni 2011 @ 15:32:
Over ING (ik ben geen klant daar, zal ze dus ook niet ophemelen, maar): Je zegt: alleen gebruikersnaam en wachtwoord nodig, en mobieltje van de eigenaar.... toch?

Bij alle andere banken heb je een pinpas en 4 cijfertjes nodig........ Is dat wel veilig dan? 4 cijfers?!
Het gaat juist om de combi Pinpas + 4 cijfers. Zonder pinpas heb je niets aan die 4 cijfertjes (mits je pas niet geskimt is ;) )

Door Tweakers user Boyd, donderdag 16 juni 2011 16:23

ChojinZ schreef op donderdag 16 juni 2011 @ 16:14:
[...]


Het gaat juist om de combi Pinpas + 4 cijfers. Zonder pinpas heb je niets aan die 4 cijfertjes (mits je pas niet geskimt is ;) )
Maar zonder gebruikersnaam en wachtwoord heb je niets aan de mobiele telefoon?
Zonder mobiele telefoon heb je niets aan het gebruikersnaam en wachtwoord...
Zonder wachtwoord heb je niets aan de gebruikersnaam en mobiele telefoon.. etc... toch?

Reageren is niet meer mogelijk