Mijns inziens heeft Nederland een heel groot nog lang niet onderkend probleem. Er zijn een aantal mensen in Nederland die erg goed zijn in het hacken van websites. In ditzelfde land word er steeds meer gedaan om burgers informatie te geven of te laten veranderen via websites. En al deze sites hebben een heel klein nadeel. Wie de weg weet is heer en meester, maar in ditzelfde land raken steeds meer mensen ook diep in de problemen. Alles word duurder en veel Nederlanders hebben gewoonweg het geld niet meer om hun rekeningen te betalen. Als vervolgens een bedrijf maatregelen neemt, dan gaat het snel mis. En goed mis. Ik schets een voorbeeld uit mijn omgeving.
Tien jaar geleden werkte ik bij de toenmalige Tas-groep en daar leerde ik Jan X kennen. Jan X maakte veel indruk op mij omdat hij in mijn beleving kon goochelen met een computer. Geweldig vond ik dat. In de drie jaar daarna leerde ik heel erg veel van Jan en ik durf wel te zeggen dat hij de basis legde voor wat ik nu allemaal weet. Uren heb ik bij hem doorgebracht om de fijne kneepjes te leren.
Een maand of twee geleden raakte ik weer in contact met Jan, nadat ik hem zeven jaar niet had gezien. Jan was door ziekte in de problemen gekomen en moest rondkomen van een minimum loon en derhalve kon hij zijn rekeningen niet meer betalen. Hij liep al een aantal jaren in de schuldhulpverleningstrajecten rond, maar als apotheose bleek dat hij dermate veel achterstand had bij Essent, dat Jan zijn gas en stroomleveringen werden gestopt.
Plots zat hij in het donker. Na bijna een maand alles proberen, was de eindconclusie dat Essent weigerde mee te werken. Ik heb zelf een drietal jaren juridische achtergrond en ik was vastberaden om Jan terug te betalen voor wat hij voor mij had gedaan. Ik heb alle stukken doorgenomen, telefoontjes gepleegd en afspraken gemaakt. Tot mijn verbazing bleek Essent erg stellig in hun afsluiting en kon ik praten als brugman. Het ging niet lukken om een doorbraak te krijgen.
Vervolgens heb ik Jan geattendeerd op artikel 93B van de Energiewet waarin staat dat mensen van 1 oktober tot 1 april niet afgesloten mogen zijn. Ik heb Jan er ook op gewezen dat afsluiting in strijd is met de rechten van het kind. Dus werd er een advocaat in hand genomen en er wordt op het moment van schrijven een zaak aangespannen om te kijken of dat levering voor in ieder geval de wintermaanden kan opleveren.
Maar Jan zat vol wraak. Hij zou de machtige heren van Essent wel eens even laten zien wat hij kon. En net vanuit deze wraak gebeurde wat ik zelf nooit als risico heb gezien. Jan ging naar www.essent.nl en deed daar zijn kennis even goed uit de doeken. Ik wilde hier niets van weten, maar heb Jan wel gevraagd om mij te vertellen hoe hij het heeft gedaan.
Essent heeft dus een website: www.essent.nl. Via deze website kun je gegevens opzoeken, maar ook gegevens veranderen. Dat doe je op Mijn Essent. Voor Mijn Essent heb je alleen klantnummers nodig en daar is wel iets aan te vinden. Jan is dus op zoek gegaan naar klantnummers.
Essent gebruikt klantnummers bestaande uit negen cijfers. De eerste twee getallen zijn altijd 15 of 16. Klanten die alleen transportkosten betalen hebben 10. Dus hield Jan zeven cijfers over. Door er vanuit te gaan dat de derde en de vierde een 0 is, hield hij er uiteindelijk vijf over. Dus maximaal 9999 kansen. In plaats van een naam of wachtwoord gebruikte hij de 'admin = <>1'-variant. Inderdaad, het is een SQL-database en zijn poging slaagde. Van daaruit bedacht hij zijn verdere strategie.
Hij ging naar een lokale bibliotheek en kocht daar een uurtje internet. Op de goed afgeschermde pc gebruikte hij een commando om admin-rechten te krijgen. Bij insiders is deze methode wel bekend. Hij spoofte zijn IP-adres en hij starte een scriptje op de website van Essent. Een dag later kreeg ik van Jan een briefje met daarop MIJN meterstanden die ik een week of drie eerder heb ingevuld met wat andere gegevens zoals mijn termijnbedragen, etc. Het scriptje wat hij gebruikte zal ik hier niet plaatsen.
Dat de hack mogelijk is, is geen nieuws, maar dat het uit wraak gebeurde geeft mij wel aanleiding om daar eens over na te denken. Wraak is een erg slechte raadgever en vele instanties in Nederland zullen in aanraking komen met mensen die verongelijkt wraak als raadgever zien. Hoe vaak hoor je niet: "Ik zal ze eens een lesje leren!"?
Ik ben het niet eens met Jan zijn werkwijze en het feit dat hij Essent met deze actie op kosten jaagt, maar ik kan wel begrip hebben voor zijn machteloze situatie. Laten er in Nederland eens duizend mensen zijn die weten wat ze doen op het gebied van beveiliging. Laat van deze mensen er eens tien zijn die op een of andere wijze wraak zoeken. Dat zijn tien lopende tijdbommen. Afhankelijk van hun kennis kun je ze dan indelen in categorie rotje, strijker, dynamiet, TNT of semtex. Dat is dus een echte dreiging voor Nederlandse bedrijven. Al deze kennis, technieken, scriptjes en wat al niet meer staan gewoon op internet. Alleen op Youtube staan meer dan 150 methodes om websites te injecteren. Scripts, methodes en zelfs methodes om je identiteit te verbergen staan er op. In duidelijke, nette filmpjes.
Iedere op wraak beluste Nederlander kan potentieel een hack plaatsen door de juiste zoekquery's te geven. Zoek eens op 'net user *' en je kunt bij iedere electronicaverkoper pc's dusdanig bewerken dat ze iets doen wat jij wilt in minder dan tien seconden.
Een ex-werknemer van een Amerikaans bedrijf heeft een week of acht geleden een persbericht gemaakt wat over internet verspreid werd. Gevolg? De aandelen van het bedrijf zijn met bijna 60 procent gedaald. Zijn reactie? "Ik wilde wraak nemen omdat ik ben ontslagen." Wraak is een erg slechte raadgever, maar radeloze mensen zijn onberekenbaar.
Quote: “Iedere op wraak beluste Nederlander kan potentieel een hack plaatsen door de juiste zoekquery’s te geven.”
Een presentatie van een operationeel research systeem dat bewijsbaar veilig is, is te vinden op de link http://www.SwissItPro.ch door te zoeken naar het keyword “quantum”. De gegevens van dit systeem zijn beveiligd en redundant opgeslagen over meerdere gedecentraliseerde systemen binnen dezelfde gesloten groep. Geen enkele onbeveiligde informatie is te vinden op (gecentraliseerde) systemen. Ook kent dit systeem verschillende classificaties van confidentiele niveau’s te weten, computational-, provable- en perfect secure. De laatste 2 veiligheidsniveau’s zijn Informatie-Theoretische bewijsbaar, gebaseerd op wiskundige en natuurkundige wetten. Deze laatste 2 veiligheidsniveau’s zijn dus universeel en tijdsonafhankelijk. Op dit operationeel systeem zijn de aanvallen welke in dit artikel geschetst worden onmogelijk.
Wat jammer dat het woord, begrip “Hacker” hier in dit artikel (weer) negatief word gebruikt. Tuurlijk kan ik me – gevoelsmatig – voorstellen dat “jan” tot deze acties overgaat uit negatieve emotie genaamd “wraak”
Echter…
De ware oorsprong van het begrip hacker is geboren uit “a deep desired and a need to know how stuff works”
Dit beperkt zich niet alleen tot computer software, maar kan zich uitstrekken tot allerhande zaken op dezen aardkloot en “tussen hemel en aarde”.
Hackers (dus personen die NIET op destructie en vernieling belust zijn) tonen ook – keer op keer aan – dat sommige commerciele software gewoon NIET GOED ontworpen of geprogrammeerd is 😉 wat de marketings afdeling van dit bedrijf ook blijft rondblaten..
Jammer dat in deze context weinig aandacht uitgaat naar “Hackers”
Er zijn zelf hackersgroepen die zich laten inhuren als “security consultants” om bedrijven (of voor overheids instanties zoals FBI, CIA, NSA, KLPD??) te HELPEN om hun programma’s goed voor elkaar te hebben!
Laten we wel wezen…
Hackers (en geen click_clack_klaar_scriptkiddies) snappen beter “how stuff works” dan degende die de slechte software, hardware, beveiliging heeft ontworpen 😉
Meer achtergrond lezen >>
“Hackers – Modern Heroes of the Computer Revolution”
Steven Levy
Over het oorspronklijke van het begrip “hacken..” elkaars programma code debuggen, verbeteren en optimaliseren, gezamelijk werken aan het beste wat er mogelijk is volgens the state of the art of technology en echt willen snappen hoe iets werkelijk in elkaar zit
@Ronald,
Mijn excuses voor het woordgebruik ‘hacker’ in deze context. Ik zelf doe security audits en plaats zogenaamde hacks. Ik word regelmatig ingehuurd hiervoor en inderdaad zijn niet alle bedrijven die mij inhuren blij met mijn conclusies.
Ik maak in de praktijk altijd onderscheid tussen diverse groepen, te weten:
Geluks zoekers. Vinden iets en spelen ermee.
Script kiddies: Zoeken bewust om kwaad te doen.
Hackers: weten exact wat ze doen, en maken bedrijven daarvan bewust, al dan niet tegen betaling.
Crackers. Doen hetzelfde als Hackers, maar met verkeerde bijbedoelingen.
Een cracker maakt iets stuk of verkoopt informatie.
Ik distantieer me ook volledig van crackers die een bedrijf hacken en dan onder ‘chantage’ (zwaar woord overigens) proberen zaken te doen met het bedrijf of zelfs openbaren als er niet betaald word.
Bovenstaand lijkt mij een beter beschrijving.
Verder bedankt voor het aankaarten.
Lijkt me een leuke baan Erik 🙂 Hacken voor de kost…
En idd als je dan ook daadwerkelijk iets serieus vindt, zijn ze er idd niet altijd blij mee. Ben het ook regelmatig tegen gekomen in het verleden.
Maar ja, als je “A” zegt, zou je er over kunnen denken om open te gaan staan voor “B” toch??
Have fun “securiting the company”, Ronald
Misschien is het handig als je onderscheidt maakt tussen groepen dat je de juistere definities gebruikt.
Een hacker is iemand die systemen weet te gebruiken op een wijze waar ze niet voor zijn bedoeld.
Een cracker is iemand die beveiliging (copyprotectie, serialnumbers, etc.) ‘kraakt’.
Een scriptkiddie is iemand die op goed geluk tooltjes en scripts random gebruikt (de gemiddelde “security auditor” oversteigt dit niveau overigens niet).
Een penetratie tester is iemand die een systeem controleert op aanwezigheid van zwakheden o.a. door het verifieren op aanwezigheid van mogelijke bekende exploits, risk based analyses, abuse cases, etc.
@Bobby Digital
In aanvulling op de definitie van Hacker / Cracker is het wellicht informatief het artikel op de link http://iospress.metapress.com/content/nm0j5malubr5f90q/ te bekijken. Vrijwel alle huidige security systemen welke op dit moment operationeel zijn, zijn gebaseerd op computational security, inclusief de pseuso random generatoren. Gegeven het encryptie en decryptie algorithme is met geautomatiseerde deterministische programma inversie van elk computational security mechanisme een algoritme af te leiden dat gegegen de eerste n bits van een beveiligde string bits, de rest deterministisch kan afleiden. De waarde van n wordt de “unicity distance” genoemd en hangt sterk af van de mate van redundantie in de source welke encrypt is.
Om deze attacks onmogelijk te maken moet er gebruik gemaakt worden van unconditional information-theoretic provable security. Het operationele research systeem waarnaar ik verwijs in m’n eerste reactie op dit artikel ondersteund 2 levels van information-theoretic provable security: Provable en Perfect.
Vraag me af of ze bij Essent nog steeds de planning van hun centrales in excel sheets invullen die ongecontroleerd geparsed worden.
@r.heinen: Je scrabbelt zeker graag 🙂
Maar wat wil je precies zeggen? Artikel is niet vrij opvraagbaar.
@Bobby Digital
Wat ik wil zeggen is dat het gegeven de huidige veiligheidsproblemen ( zie bijvoorbeeld http://webwereld.nl/articles/52909/ongezond-vertrouwen.html ) het te adviseren is private informatie te encrypten. Dit kan in databases met bijvoorbeeld storage encryptie en bij communicatie met end-to-end public key of unconditional security. Als je gebruik maakt van public key cryptography (bijvoorbeeld PGP) of computational cryptography (bijvoorbeeld True-Crypt), dan is het zeer verstandig een private key te nemen welke met een true-random generator gegenereerd is. Beide voorgaande vormen van veiligheid zijn echter niet bewijsbaar en er zijn vrijwel altijd manieren bekend om informatie welke enccrypt is met deze systemen te decrypten zonder dat de private key bekend is.
De unconditional secure communicatie systemen bieden echter bewijsbare veiligheid en zijn onkraakbaar zonder dat je de private key hebt. Daarnaast is de veiligheid van unconditional security ook meetbaar. De 2 levels van unconditional security (provable en perfect) zijn operationeel in het aangehaalde FreeMove Quantum Exchange Systeem.
Erik, als ik de core message pak van je stuk heb je natuurlijk gelijk. Essentieel hierin is dat de persoon die op wraak uit is vaak moeilijk voorspelbare acties zal gaan ondernemen. Anything goes zolang de persoon maar het gevoel heeft daarmee z’n gram kwijt te zijn. Dat is anders bij de kapitalistisch ingestoken bedreigingen. Door de business case van de aanvaller te kennen zijn ze een stuk beter in te schatten en daarmee is er vaak (maar niet altijd) meer tegen te doen.
Idee: in het beveiligingspakket van een organisatie zou naast het controleproces bij het aannmeen ook standaard een exit proces van een paar weken moeten zitten. Daarmee zou de to-be ex-werknemer de mogelijkheid krijgen om los te komen en bijvoorbeeld stoom af te blazen en zou tegelijk aan het eind van het proces bijvoorbeeld een risicotoetsing gedaan kunnen worden.