Category Archives: InfoSec Archive

"Wie kraakt mijn wachtwoord als ik sterf?"

Langzaam maar zeker begint encryptie in steeds meer apparaten standaard te worden, maar wat als de eigenaar overlijdt, hoe komen de nabestaanden dan nog bij de data? Binnen een paar jaar zullen de meeste harde schijven gegevens kunnen versleutelen en ook programma’s als Windows BitLocker maken het eenvoudig om gegevens tegen buitenstaanders te beschermen. E-mail, foto’s, rapporten en brieven, alles is tegenwoordig digitaal. Het opschrijven van een passphrase om de gegevens mee te ontsleutelen is geen optie, wat het lastig maakt als de persoon in kwestie er niet meer is.

Cory Doctorow worstelde met dit probleem, aangezien hij zijn passphrase ook niet aan zijn vrouw of executeur wilde geven. Niet alleen is dat beter voor de passphrase, in veel landen is er wettelijke bescherming die voorkomt dat iemand zijn of haar encryptiesleutel moet afstaan. Een bescherming die minder sterk is als de sleutel bij meerdere mensen bekend is.

Shamir’s Secret Sharing Scheme
Doctorow overwoog Shamir’s Secret Sharing Scheme (SSSS), waarbij je een sleutel in verschillende delen deelt. Je zou de sleutel in tien stukjes kunnen splitsen en aan tien vrienden of kennissen geven. Dit zou echter voor de meeste mensen te complex zijn. Daarnaast zou het mogelijk zijn om, als je een deel van de mensen bij elkaar weet te krijgen, de sleutel te achterhalen. “En ik moet al die tien mensen de rest van mijn leven volgen, om er zeker van te zijn dat de sleutel te achterhalen is.”

Oplossing
Als oplossing bedacht de in Engeland woonachtige Doctorow dat hij zijn passphrase in tweeën deelt. De ene helft krijgt zijn vrouw, de andere helft de advocaat van zijn ouders in Toronto. Een bevel van een Britse rechter is niet op de advocaat van toepassing. In het geval de sleutel “heel” moet worden, kan de advocaat zijn deel mailen, doorbellen of naar Engeland vliegen om hem daar te vertellen.

Toch is ook deze oplossing niet waterdicht. “Wat doet mijn vrouw om haar deel van de sleutel te beschermen als ze met mij overlijdt?” In dit geval zou die aan een advocaat in Groot-Brittannië moeten worden toevertrouwd. Daarnaast moet de sleutel ook nog naar de advocaat toe. Daarvoor maakte hij een lijst met instructies die hij aan de Canadese advocaat zal overhandigen. Doctorow noemt het opmerkelijk dat er geen standaard oplossingen zijn voor het uitwisselen van sleutels via derde partijen. Hij concludeert. “Als je nog niet je gegevens versleutelt, dan moet je dit doen. En als je dit doet, dan moet je hierover nadenken voordat je door een bus wordt aangereden en je digitale leven in de crypto vergetelheid raakt.”

"Censureren geldautomaat hack in belang publiek"

Het annuleren van een presentatie over het hacken van geldautomaten is in het belang van het algemeen publiek, zo laat netwerkbedrijf Juniper weten. Het reageert op de onthulling dat de live demonstratie van werknemer en onderzoeker Barnaby Jack tijdens de Defcon hackerconferentie niet doorgaat. In eerste instantie had Juniper hier geen problemen mee, maar kwam hier later op terug. Barnaby heeft een manier gevonden zodat hij geldautomaten biljetten kan laten uitspugen.

Volgens de netwerkleverancier heeft het beveiligingslek dat Barnaby ontdekte vergaande gevolgen, aangezien ALLE fabrikanten van geldautomaten kwetsbaar zijn, wat uiteindelijk ook het publiek raakt. Door het geven van de demonstratie voordat alle fabrikanten hun machines konden repareren, zouden gebruikers van geldautomaten risico lopen. “Dat is iets wat we niet willen zien gebeuren”, aldus Juniper op het bedrijfsblog. Aangezien fabrikanten het probleem niet binnen vier weken kunnen oplossen, komt daarmee de presentatie van Barnaby te vervallen.

“We zijn niet zo maar tot deze beslissing gekomen. We vinden dat Barnaby’s onderzoek belangrijk is voor de ontwikkeling van security en in een open forum besproken moet worden. Juniper is voorstander van het op verantwoorde wijze melden van beveiligingslekken en het publiek hier tegen te beschermen. We kijken ernaar uit om op z’n tijd onze bevindingen met de security gemeenschap te delen, en wees gerust, dat zal zeker gebeuren.”

Conficker worm vernietigt 1600 verkeersboetes

1609 Britse verkeersovertreders mogen de makers van de Conficker worm dankbaar zijn, aangezien de worm ervoor heeft gezorgd dat ze geen boete krijgen. De worm wist in februari het stadhuis van Manchester te infecteren. De daarop volgende computerproblemen zorgde ervoor dat een aantal verkeersboetes niet binnen de geldende termijn van 28 dagen werden verstuurd, waardoor ze vervielen. Het ging om automobilisten die op de busbaan hadden gereden. Door het niet kunnen innen van de boetes, loopt de stad 50.000 euro mis. In totaal veroorzaakte Conficker een schade van 1,75 miljoen euro.

Daarvan komt 1,4 miljoen op rekening van de automatiseringsafdeling. Die moest experts van Microsoft over laten komen om het probleem op te lossen, wat 700.000 euro kostte. Verder ging 210.000 op aan het inzetten van extra personeel in het stadhuis, waaronder 200.000 euro voor het verwerken van de achterstallige administratie. Naast alle kosten is het personeel verboden om voortaan USB-sticks mee te nemen en zijn alle USB-poorten uitgeschakeld, aangezien de worm zich waarschijnlijk op deze manier verspreidde.

Creditcardmaatschappij monitort koopgedrag

Wie bij een tweedehandswinkel koopt, het casino bezoekt of massages krijgt, loopt in Amerika de kans dat de creditcardmaatschappij de kredietwaardigheid aanpast. Het aanschaffen van tweedehands kleding is mogelijk een aanwijzing dat iemand in de financiële problemen zit en daarom zijn of haar leningen niet meer kan afbetalen. Door het koopgedrag te monitoren hopen de maatschappijen eerder de mensen eruit te pikken die een kredietrisico vormen. Inmiddels heeft de Amerikaanse overheid een onderzoek naar de praktijken ingesteld om welke bedrijven en informatie gaat. American Express heeft inmiddels bekend dat het koopgedrag analyseerde om kredietlimieten te verlagen.

Contant geld
Bij elke creditcard transactie wordt die in de database van de creditcardmaatschappij opgeslagen. Privacyvoorstanders waarschuwen consumenten dan ook wat ze met de kaart kopen. “De meeste mensen denken hier niet over na”, zegt Paul Stephens, directeur van het Privacy Rights Clearinghouse. “Contant geld is de ultieme privacy beschermer.” Dit is namelijk moeilijker te traceren, terwijl alle andere vormen van betaling een spoor achterlaten. Het niet gebruiken van een creditcard vanwege de privacy is voor sommige Amerikanen een probleem. Als ze contant geld zouden hebben, was ook de creditcard niet nodig.

"Wachtwoord sterretjes noodzakelijk kwaad"

De opmerking van beveiligingsgoeroe Bruce Schneier dat het afschermen van wachtwoorden met sterretjes onzinnig is en moet stoppen, heeft voor verhitte discussies gezorgd. Twee Britse virusbestrijders zijn het er in ieder geval niet mee eens. Volgens Schneier en Jakob Nielsen heeft het tonen van de wachtwoorden als gebruikers die invoeren tal van voordelen en zou schoudersurfen geen echt probleem vormen.

Trend Micro’s Rik Ferguson vraagt zich af of schoudersurfen werkelijk geen probleem is en ziet graag bewijs voor de uitspraak van Schneier. “Het grootste gedeelte van het kantoorpersoneel is niet gelukkig genoeg dat ze veilig in hun eigen kamer zitten.” Ferguson herinnert zich de kantoren waar hij werkte en hoeveel schermen daar direct zichtbaar waren. Er was daar volgens hem voldoende gelegenheid om wachtwoorden af te kijken. Daarnaast is hier mogelijk sprake van een kip-ei situatie. Doordat wachtwoorden gemaskeerd zijn, vindt er ook weinig schoudersurfen plaats.

Deurslot
Het maskeren van wachtwoorden is dan ook de slimste keuze, aangezien het de veiligste optie is en “standaard veilig” is het doel voor zowel systeem als infrastructuur ontwerpen. Daarbij wijst Ferguson naar Schneier, die zelf aangaf dat systemen standaard veiliger horen te zijn. “Het is lastig om dat standpunt te verenigen met de mogelijkheid om gebruikers het maskeren van hun wachtwoord uit te laten zetten.” Daarnaast zijn de sterretjes ook handig voor het verslaan van malware die screenshots van het scherm maakt. Een manier die Trojaanse paarden gebruiken om virtuele toetsenborden te omzeilen.

“Als het maskeren van wachtwoorden een systeem minder bruikbaar maakt, dan moet ik misschien ook het slot van mijn voordeur verwijderen? Het is vreselijk onhandig om mijn sleutel uit mijn jas te vissen als ik mijn handen vol boodschappen heb.”

Browser keuze
Graham Cluley van Sophos is het met Ferguson eens. Het is vervelend als je ergens bent om in te loggen terwijl er anderen in de buurt zijn, ook al zijn dit je vrienden. “Stel ik ben bij mijn vriend en wil snel even mijn webmail lezen. Natuurlijk is hij mijn vriend en verwacht ik niet dat hij zich misdraagt, maar ik vind niet dat ik mijn wachtwoord met hem moet delen.”

De grootste fout die Schneier en Nielsen volgens Cluley maken, is dat het niet de websites zijn die de wachtwoorden maskeren, maar de browser die de HTML van de website interpreteert en vervolgens maskeert.