Hack-je-lek

Cqure platformblog

Vandaag (red,5 september 2013) weer een inbox 'gehackt'; Dit keer is de e-mail van Quote-hoofdredacteur Mirjam van den Broeke gehackt. Ze heeft aangifte gedaan van computervredebreuk. Pikant, nu net de 'Quote-500 bende' terecht staat de hoofdredacteur onvoldoende veiligheid maatregelen heeft genomen om vertrouwelijke gegevens te beschermen.

'Gehackt' of gewoon geraden?

De Quote-redacteur is in goed gezelschap van de Belgische premier Elio Di Rupo en de Amerikaanse presidentskandidate Sarah Palin en de advocaat in de Deventer-moordzaak wiens mailaccounts ook werden gehackt. “Gehackt” is misschien wel het woord dat vaak in de media gebruikt wordt, maar in dit soort gevallen is het gewoon een wachtwoord dat is geraden cq is achterhaald. Met wat gezond verstand, wat onderzoek op het internet en wat doorzettingsvermogen is toegang tot een webemailaccount daarom in veel gevallen gemakkelijk te achterhalen.

Misbruik blijft ook vaak onopgemerkt

Als de slachtoffers beroemd zijn, komt het soms in de media. Slechts een topje van de ijsberg is te vinden op het internet. Computervredebreuk komt op grote schaal voor. Jongeren worden zich vroegtijdig bewust van de ellende zodra hun privé email gehackt is door een klasgenootje of ex-vriendje en vervelende berichten met foto’s rondstuurt aan alle contacten. Maar misbruik blijft ook vaak onopgemerkt omdat hackers ervoor kiezen om langere tijd mee te lezen. Bij bedrijven staat er nog veel meer op het spel. Koersgevoelige informatie, intellectueel eigendom en stuurinformatie uit emails in handen van de concurrent kunnen grote financiële gevolgen hebben.

Voorkom achterhaald wachtwoord

De lijst met slachtoffers blijft groeien. Is er dan niks tegen te doen? Naar mijn idee krijg je het nooit waterdicht, maar je laten hacken door een achterhaald wachtwoord kan voorkomen worden. Zo heeft Google bv voor gmail een gebruiksvriendelijke en toch veilige oplossing bedacht; login met emailadres en wachtwoord, maar alleen gedurende 30 dagen vanaf een gevalideerd ip-adres waar je werkt. Indien je vanaf een andere plek werkt, wordt via sms een 6 cijferige code gestuurd om in te voeren alvorens je toegang krijgt. Hiermee wordt het zeer lastig om onopgemerkt te kunnen inloggen. Tevens zijn hackers voor Google en opsporingsdiensten als persoon goed te identificeren daar je locatie (ip-adres) en telefoon vastgelegd worden in de logbestanden. Deze beveiliging is optioneel voor gebruikers die daar belang aan hechten.

Any time, any where, any device

De trend anno 2013 is toegang tot informatie ‘any time, any where, any device’. Dit vertaald zich in een niet-functionele eis om eenvoudige credentials te versterken met 2-factor authenticatie. Logbestanden moeten daarnaast ‘user-id’, ‘ip-adres’ en  ‘mac-addres’ bevatten voor analyse doeleinden bij security incidenten. Tot slot moet in de service beschrijving iets staan welke informatie aan de klant opgeleverd voor analyse doeleinden bij security incidenten.

De opzet van deze ‘2-factor authentictie’ & logging - zoals bij gmail- is daarom een eenvoudige blauwdruk voor (zelfontwikkelde) diensten met eindgebruikers die een interface hebben met het internet.