- Oude computericonen zoals de floppy en folder zijn niet logisch meer
- Solliciteren? Dan willen we wel je Facebook-wachtwoord
- Wachtwoord medewerkers Syrische president: 12345
- KPN meldpunt voor schade door emailstoring
- Apple en Google zijn niet leuk meer
- Amerikaanse geheime dienst en Google mogen geheim bewaren
- Path houdt toch niet van privacy
- Twitter komende jaren nog niet naar de beurs
- Login-gegevens gebruikers YouPorn gelekt
- Foto's op Facebook zijn vaker reden voor ontslag
- Verzamelplaats voor social media wordt zelf social
- Siri heeft meer vertrouwen in Nokia dan in Apple zelf
- Human Birdwings: hoax of niet?
- Rutte beantwoordt Twitter-vragen
- Nederland loopt eindelijk weer eens voorop: wij zijn netneutraal
- iPhone-code met 3 verschillende cijfers is veiliger
- Nu even niet: schoudertas blokkeert bereik
- Asus Padfone voor wie niet kan kiezen
- Hyves maakt verwachtingen TMG niet waar
- Megaupload mogelijk niet voor de rechter
02 :: De Zwakste Schakel
De Paris Hilton-hack kan miljoenen anderen overkomen. Het kraken van e-mail is vaak verbluffend simpel. Als het antwoord op je geheime vraag al niet eenvoudig te achterhalen is, dan is er nog de helpdesk die de hacker van dienst kan zijn, getuige het relaas van een ex-medewerker van Bol.com. De directeur van de internetwinkel: 'Dit is het ergste wat ons ooit is overkomen.' Hoogste tijd om al je wachtwoorden te wijzigen.
door Francisco van Jole
Een chihuahua als waakhond is niet de meest voor de hand liggende keus, maar toch was het precies zo'n type hond die het privé-leven van de Amerikaanse societyster Paris Hilton moest beschermen. En inderdaad, het schoothondje faalde verpletterend. Maar anders dan verwacht.
Begin 2005 werd de e-mailaccount van de blondine, die schittert in haar eigen reality-tv-serie met de nietsverhullende titel The Simple Life, gehackt. Een paar weken later lagen de persoonlijke gegevens van haar vriendenkring en de intieme foto's die ze maakte met de camera van haar Sidekick II, op straat.
De spectaculaire kraak werd wereldnieuws en bleek verbluffend simpel te zijn verlopen. Paris Hilton maakte gebruik van een abonnement bij de mobiele provider T-Mobile in combinatie met de Sidekick II, een kruising tussen een telefoon, PDA en BlackBerry. Kenmerk van dit systeem is dat een deel van de gegevens, zoals e-mails, fotoalbum en adresboek online wordt opgeslagen. De toegang daartoe wordt beveiligd met een wachtwoord. Wie klikt op de optie 'wachtwoord vergeten' krijgt een zogeheten geheime vraag voorgelegd, en die vraag luidde bij Paris Hilton: Wat is de naam van je favoriete huisdier? Je hoeft natuurlijk geen meesterhacker als Kevin Mitnick te zijn om het antwoord weten. Het dier heeft vorig jaar zelfs een dagboek gepubliceerd getiteld The Tinkerbell Hilton Diaries: My Life Tailing Paris Hilton.
Wie de naam Tinkerbell invoerde kreeg de mogelijkheid het wachtwoord van Paris Hilton te resetten en een nieuwe te kiezen. Dat is precies wat er gebeurde. De hacker kreeg daarmee toegang tot al haar mail en gegevens, waaronder de namen, nummers en e-mailadressen van haar vrienden.
Verontrustend
Paris Hilton heeft weliswaar een reputatie als het gaat om het verliezen van uiterst persoonlijke gegevens - twee jaar geleden bijvoorbeeld belandde een uit haar huis gestolen privé-pornofilm online - maar in dit geval lijkt ze slachtoffer van een verontrustend onveilig systeem dat op grote schaal wordt toegepast. Wat haar overkwam kan miljoenen anderen ook overkomen. De methode van de geheime vraag wordt namelijk niet alleen door T-Mobile toegepast. Hotmail van Microsoft bijvoorbeeld past precies dezelfde geheugensteun toe. Een gebruiker die zich aanmeldt, moet kiezen uit een negental voorgeprogrammeerde vragen. De eerste mogelijkheid luidt saillant: De naam van mijn favoriete huisdier? Andere mogelijkheden zijn: favoriete film; geboortedatum; naam van mijn middelbare school; en tweede naam van mijn vader.
Stuk voor stuk is het antwoord op die vragen veel gemakkelijker te achterhalen of te raden dan het wachtwoord zelf. Mensen in de directe omgeving van de persoon in kwestie weten de antwoorden meestal als vanzelf. Wraakzuchtige ex-en, geborneerde familieleden of van de wijs geraakte vrienden, de kans is verre van denkbeeldig dat ze langs deze weg toch nog in het privé-leven weten door te dringen. Een rondgang langs de accounts van vrienden en kennissen leert hoe simpel het is; ik weet waar ze geboren zijn, hoe hun huisdier heet. En je hoeft bepaald geen doorgewinterde detective te zijn om langs je neus weg te vragen: wat is eigenlijk jouw favoriete film?
Sleutel onder deurmat
Nieuwsgierige en gedreven buitenstaanders komen met hulp van internet ook al een heel eind. De naam van de middelbare school bijvoorbeeld is in veel gevallen eenvoudig via schoolbank.nl te achterhalen. En aangezien het maken van familiestambomen een van de populairste internethobby's is, valt de 'tweede naam van de vader' vaak ook al onder openbare informatie. Voeg daarbij de rage van de weblogs en profielpagina's waar mensen persoonlijke voorkeuren prijsgeven, en het wordt duidelijk dat de wachtwoorden die achterhaald kunnen worden met een geheime vraag net zo veilig zijn als een sleutel onder de deurmat.
Niet alleen Hotmail werkt op deze manier. Gmail bijvoorbeeld, een service van Google, gebruikt een soortgelijk systeem. Al kent dat zelfs nog minder hindernissen. Bij Hotmail moet eerst nog een land van herkomst ter identificatie worden afgeven, in het geval van Gmail wordt de geheime vraag meteen gepresenteerd als de naam is ingevuld. Voor Lycos geldt hetzelfde.
Nep
Het is in Nederland strafbaar om op deze manier toegang te krijgen tot de mailbox van een ander. Maar het is de vraag of dat nieuwsgierigen ervan weerhoudt. De pakkans is namelijk gering. Bij klassieke hacks om wachtwoorden te 'raden' worden speciale programma's gebruikt die duizenden pogingen ondernemen. Zo'n aanval valt op den duur op. Maar hier hoeft slechts één, of misschien een paar keer een vraag beantwoord te worden.
Doorgewinterde gebruikers zullen al snel zeggen dat je nooit een correct antwoord moet opgeven bij je eigen geheime vraag. Maar als je bewust voor een foutief antwoord kiest, is de kans groot dat je dat antwoord in geval van nood niet meer kunt herinneren. Het geven van een nepantwoord is juist in strijd met het hele principe van de geheime vraag. Bovendien wordt die strategie nergens vermeld. Bij geen van de systemen staat bij aanmelding 'geef een antwoord dat niet klopt'.
Social engineering
Naar aanleiding van de Hilton-hack pleitte de Amerikaanse beveiligingsgoeroe Bruce Schneier voor het afschaffen van de geheime vragen. Zelf gebruikt hij willekeurige cryptische termen als antwoord op de 'geheime vragen'. En inderdaad overkwam het hem een keer dat hij zo'n antwoord niet meer wist en de helpdesk moest bellen. Schneier: 'Ik kan me eerlijk gezegd niet meer herinneren hoe ik de helpdesk er destijds van overtuigd heb dat ik de eigenaar van de account ben.' Daarmee geeft hij een nog groter gevaar aan: social engineering, al sinds mensenheugenis een van de populairste technieken onder hackers. Het komt erop neer dat je informatie ontfutselt, bijvoorbeeld door de helpdesk te bellen en je overtuigend uit te geven voor iemand anders.
Bekentenissen
De helpdesk blijkt behalve een plek waar je hulp kan vragen ook een potentiële bron van gevaar te zijn als het gaat om beveiliging. 'In 2000 werkte ik bij een groot callcenter in Eindhoven dat onder meer de telefonische dienstverlening verzorgde voor internetwinkel Bol. Klanten konden bellen of mailen als ze problemen hadden met bijvoorbeeld de levering van spullen. Ik vroeg dan hun gegevens op. Daartussen zat ook het wachtwoord van hun account', vertelt een ex-medewerker die anoniem wenst te blijven. Hij begon er vanaf dat moment een bijzondere hobby op na te houden. 'Ineens realiseerde ik me dat de meeste mensen waarschijnlijk altijd en overal hetzelfde wachtwoord gebruiken. Omdat ik me nogal verveelde ging ik het uitproberen. Dan logde ik in op hun mailaccounts met de gegevens uit de database. In veel gevallen bleek dat te werken. Zo had ik bijvoorbeeld toegang tot de e-mail van filmjournalist René Mioch. Ik kopieerde zijn adresboek dat vol zat met namen van bekende mensen zoals Johnny Depp en Harrison Ford. Ik las zijn mail ook, waaronder een afwijzing van een interview door Anton Corbijn.' Ondanks herhaalde verzoeken wil Mioch tegenover Bright niet op de kwestie reageren.
'Ik deed ook andere dingen. Er was een man die fraude had gepleegd in zijn bedrijf en daar een uitvoerige briefwisseling over had gevoerd met iemand die hij in vertrouwen nam. In mijn jeugdige baldadigheid heb ik toen uit zijn naam een mail naar het bedrijf gestuurd waarin ik hem alles liet bekennen en voegde de vertrouwelijke briefwisseling eraan toe. De man wist niet wat hem overkwam en beschuldigde de vriend die hij in vertrouwen had genomen van verraad. Tot hij na een week kennelijk concludeerde dat iemand toegang had tot zijn adres en het wachtwoord wijzigde.'
De medewerker werd na enige tijd om een andere reden ontslagen, verhuisde naar het buitenland maar gaf zijn hobby niet op. 'Er is een vrouw op de Antillen die er een erotische mailwisseling op na houdt met een man. In al die jaren heeft ze haar wachtwoord niet gewijzigd. Ik volg die mailwisseling nog steeds.'
Privacy
Daniel Ropers, managing director van Bol.com, reageert verbijsterd als hij geconfronteerd wordt met het verhaal van de ex-medewerker. 'Dit is het ergste wat ons ooit is overkomen.' De dertig tot veertig helpdeskmedewerkers die de internetwinkel via een callcenter betrekt, hebben inderdaad standaard toegang tot de geheime wachtwoorden van alle klanten. 'Dat is zo omdat de behoefte groot is. De meeste vragen die de helpdesk krijgt betreffen namelijk wachtwoorden. Privacy staat bij ons hoog in het vaandel, maar aan dit soort misbruik hebben we gewoon nooit gedacht.' Ropers erkent dat die beschikbaarheid niet noodzakelijk is, de klant kan het geheime wachtwoord immers ook zonder verdere tussenkomst toegestuurd krijgen, en kondigt aan dat hij onmiddellijk maatregelen zal nemen om herhaling te voorkomen.
Bij goed beveiligde systemen van providers en andere diensten kunnen medewerkers helemaal niet bij wachtwoorden. En soms is zelfs de klant beperkt in de toegang. KPN bijvoorbeeld gebruikt een systeem met nummerherkenning; om het wachtwoord te wijzigen moet gebeld worden vanaf het nummer dat in het klantenbestand zit. Maar dat doet niet af aan het gevaar dat de helpdesk vormt, want ook zonder die directe toegang tot de database is zo'n centrum voor hulpverlening een paradijs om wachtwoorden te bemachtigen. Bij problemen wordt immers gemakkelijk het wachtwoord prijsgegeven als de medewerker daar om vraagt. En niet iedereen zal het vervolgens meteen veranderen. Voeg dat bij het veelal tijdelijke karakter van helpdeskwerk en er ontstaat een enigszins nerveus makend beeld van uitzendkrachten die gevoelige gegevens in de schoot geworpen krijgen.
Vicieuze cirkel
Dat het achterhalen van geheime toegangscodes nog veel eenvoudiger kan, ontdekten enquêteurs van Infosecurity Europe, die zich in het voorjaar van 2004 bij Liverpool Street Station in Londen posteerden. Ze vroegen passerende forenzen of deze bereid waren hun wachtwoord te onthullen in ruil voor een reep chocolade. Zeventig procent van de ondervraagden ging daarmee akkoord. Een derde bleek de wachtwoorden zonder enige tegenprestatie te geven als er in een interview na een serie vragen plots naar gevraagd werd. Bijvoorbeeld door eerst te vragen: Gebruikt u een geheime vraag? Hoe luidt die? En vervolgens plompverloren rechtstreeks het antwoord te vragen: En hoe heet uw huisdier dan? De naam floept er vrijwel automatisch uit. Uit datzelfde onderzoek bleek bovendien dat tachtig procent van de ondervraagden een grondige afkeer heeft van het gebruik van wachtwoorden en ze het liefst zo veel mogelijk beperkt.
Daarmee zit de beveiliging in een vicieuze cirkel. Om wachtwoorden veilig te houden mogen ze niet voor de hand liggen, moeten ze uit een combinatie van letters en cijfers bestaan en moeten gebruikers per systeem een ander wachtwoord toepassen. Dat geeft enorm veel gedoe en dus kiezen veel mensen voor een eenvoudig te onthouden oplossing, die ze in veel gevallen ook nog eens overal invoeren. Dat maakt de beveiliging zwakker dan ooit. Alsof we voor onze bewaking afhankelijk zijn van chihuahua's. De vraag is of we het ooit zouden merken als onze mail stiekem gelezen wordt. Dat is dan weer het voordeel van Paris Hilton, die komt er via de media vanzelf achter.
- Ridley Scott heeft de sci-fi smaak weer te pakken
- Op en neer naar Zuid-Frankrijk op 1 liter benzine
- Geef cadeautjes aan je Facebook-vrienden met Karma
- Chrome is vooral een weekendbrowser
- De cyberpunkrevolutie van Douglas Rushkoff
- Opmerkelijk akkoord China voor overname Motorola door Google
- Chirurgen gebruiken Kinect voor foto's in de operatiekamer
- Andre Kuipers kan nog even oefenen
- Android houdt wel van een verkleedpartijtje
- Een regenboogbos van parasols
- Zeker 4 inch scherm in nieuwe iPhone
- Facebook nadert miljard gebruikers
- Nederland wint op RoboCup Dutch Open
- Uitlegparty: Online opslagdiensten
- James Cameron op zoek naar water in de ruimte
- Berichten vertalen via Gmail
- Pretpark en beursgang voor Angry Birds
- Siri heeft meer vertrouwen in Nokia dan in Apple zelf
- Nederlanders sms’en weer minder
- Andre Kuipers kan nog even oefenen
- De cyberpunkrevolutie van Douglas Rushkoff (4)
- ABC kopieert 1984-commercial van Apple (2)
- Laaghangend fruit (1)
- Andre Kuipers kan nog even oefenen (2)
- Chirurgen gebruiken Kinect voor foto's in de operatiekamer (3)
- Cinemagram (2)
- Designstation Arnhem CS krijgt vorm (3)
- Beursgang Facebook slecht voor iedereen (8)
- Tablet funest voor e-reader (12)
- Duurtest: Ford Focus (week 2) (11)
- Fietslampjes op je frame (11)
- Auto te water: ramen kapot (9)
- Tien miljoen dollar ingezameld voor iPhone-horloge (8)
- Het draait dus niet om Hitler (8)
- Beursgang Facebook slecht voor iedereen (8)
- Vanaf 20 mei moeten vrijwel alle providers The Pirate Bay blokkeren (8)
- Lamborghini's SUV heet Urus (8)
- Google Drive eindelijk live (8)
- 10 gadgets voor 2012
- 10 games voor 2012
- 10 films voor 2012
- Stand van de netwerken
- Cockpit: BMW ConnectedDrive
- Eerste indruk: Galaxy Nexus
- Eerste indruk: Nokia Lumia 800
- Uitpakparty: MacOS X Lion
- Eerste indruk: iPhone 4S
- Uitpakparty: Air Video
- Cockpit: Opel Ampera
- Eerste indruk: Galaxy S2
- 15 Beste iPad apps
- Netflix in Nederland
- Accept or Decline onderzoek
- Making of Bright Screenzine
- Report: iPad 2
- Waarom Wikileaks welkom is
- Cockpit: Nissan Leaf
- Bescherm je Facebook profiel
- Cockpit: Tesla Roadster
- Uitlegparty: Films op je iPad
- Uitlegparty: Hack je ov-chipkaart
- Uitpakparty: Kattensauna
- Twitter voor gevorderden
- Top 5 gratis films kijken
- Uitlegparty: BitTorrent
- Uitlegparty: Megapixel mythe
- Paybackparty UPC
- De Grote Bright DNA Test
- The Internet of Things
- Eindhoven de slimste!
- Het Grote Bitcoin Experiment
- Sexy versus Geeky
- Accept or Decline?
- Crowdsourcing for Dummies
- Whois Wikileaks.org
- Dutch Digital Design
- Zelluf doen met 3D Printing
- /b/tards
- Wapentuig
- My First Baby
- Copywrong
- Dieter Rams: Less but better
- Yes we should
- Requiem voor het Boek
- Whois YouPorn.com?
- 'aXXo, je bent een god'
- iPhone-oplichter Rob van Z.
- Allemaal gek op Mac
- De Stroomversnelling
- X-Prize: Revolutie door competitie
- 3D Printen kan je bijna zelf
- Dit is niet OK: Sekschantage op Hyves
- Kill Bill
- Het geheim achter Apple Design
- Robocup
- De Players van RelatiePlanet
- The Pirate Bay
- Eetse: genetisch gemanipuleerd voedsel
- Japanse jacht op de humanoid
- Mensen op Mars
- Privacy is passé: veel plezier ermee
- Lifehacking
- Web 2.0: Software wordt sociaal
- Sex and the Server
- P2P TV: Dump die decoder
- Whois Geenstijl.nl?
- ESA: 'Darmstadt, wir haben ein Problem'
- Hitmen manipuleren het net
heey ik heb heb iemand die mij w8woord weet en dat vind ik niet leuk ik wil heb verandere maar mij geheime vraag weet ik niet
ik ben gay
NB: Om te kunnen reageren dien je aangemeld en ingelogd te zijn op de Bright Bunch, het gratis lidmaatschap van Bright. Je bekijkt dan de site bovendien advertentie-vrij.