Het gezegde dat eindgebruikers vaak de zwakste schakel worden genoemd in beveiliging is absoluut waar. Niet alleen in ict maar op alle gebieden waar beveiliging noodzakelijk is, is de 'onwetende' eindgebruiker ofwel normale gebruiker van een dienst de zwakste schakel. Al is het maar om het feit dat deze persoon weinig of geen interesse heeft om van alles, en in dit geval beveiliging, iets af te moeten weten.
Hier maken hackers, of criminelen, gebruik van. Soms is het een geval van teveel vertrouwen hebben in de andere persoon en soms is het gewoon zo gecompliceerd dat de intentie moeilijk te achterhalen is.
Social engineering
Bij social engineering wordt uitgegaan van de goedheid van de mensen. De meest voorkomende vormen zijn emailberichten of telefonisch (met of zonder een autoritaire toon) met een vraag om informatie. Met deze informatie kan zowel op kantoor als privé gegevens ontfutseld worden die men eigenlijk niet had moeten/willen geven. Het kan soms om ogenschijnlijk kleine zaken gaan maar met een aantal van deze acties kan een groter geheel gevormd worden. Het is dus van belang om altijd een gerede twijfel te hebben als onbekende personen om informatie vragen. De druk kan soms zo hoog worden gemaakt om de ander toch de informatie te geven. Het is zaak om vooral niet toe te geven aan deze druk, de andere persoon hoopt hier namelijk op dat hij op deze wijze de informatie toch krijgt.
Probleem met herkenning phising mails
Social engineering en phising mails zijn twee handen op één buik. Phising mails zijn e-mailberichten in (vaak) slecht geschreven Nederlands en vragen om op een link te klikken naar een ogenschijnlijk betrouwbare website. Echter is deze website een kopie van het origineel met als doel om informatie van je te krijgen. Een goed voorbeeld hiervan zijn de diverse e-mails die je krijgt van bijvoorbeeld een bekende bank. Een e-mail vraagt om je account gegevens van de bank te verifiëren op de link die in de e-mail is meegestuurd. Hier zie je toch dat mensen veel te goed gelovig zijn en zonder pardon klikken op de link die in de e-mail staat in plaats van. zelf een internet browser op te starten en zo naar de site van de bank te gaan. Dat de mail in slecht Nederlands is geschreven merken de meeste mensen niet op.
Thuis gebruiker met admin rechten t.o.v. standaard user rechten
Met de komst van Windows Vista en Windows 7 is er door Microsoft het 'User Access Control' geïntroduceerd. Hiermee moet de gebruiker actief akkoord geven voor het installeren van nieuwe software. Helaas wordt deze optie door veel gebruikers als irritant en onnodig ervaren en is dit één van de eerste zaken die wordt uitgeschakeld als Windows geïnstalleerd wordt. Tevens zijn de mensen standaard 'administrator' op de machine en kunnen ze zonder problemen alles installeren.
Een mogelijkheid om virussen, trojans en andere malware tegen te gaan is het standaard inloggen van gebruikers als 'user' en niet als 'administrator'. Hiermee verlies je het 'recht' om snel applicaties te installeren maar krijg je er meer voor terug. Je systeem blijft namelijk schoon van deze malware en virussen en je systeemwordt niet zo snel traag en je belet de mogelijkheid om gegevens te stelen. Als je dan software wilt installeren log je in met een 'administrator'-account en weet je wat je installeert. Op deze manier is de kans op besmetting door een virus een stuk kleiner geworden. Ook voor phising mails en drive-by downloads is de kans aanzienlijk kleiner dat het systeem geïnfecteerd raakt.
Exploits van pdf’s, office en andere applicaties
Een andere tak van sport voor hackers en virusschrijvers is het misbruiken van programmeerfouten in applicaties. Ze maken graag gebruik van de zogenaamde exploits in deze applicaties. Neem bijvoorbeeld Adobe Acrobat Reader of diverse Microsoft Office applicaties. Deze zijn regelmatig doelwit van hackers om toegang tot systemen te krijgen en op deze manier informatie te verkrijgen of toegang tot complete netwerken. Het is dus zeker van belang om dit soort 'kritische' applicaties goed en regelmatig bij te werken met de laatste updates. Hiermee verklein je zowel privé als zakelijk de kans dat je systeem misbruikt wordt door derden en ongewild informatie wordt misbruikt of wellicht je complete pc overgenomen wordt om een DDoS aanval uit te voeren.
Wachtwoorden
Het is algemeen bekend dat je wachtwoord niet te simpel mag zijn en hoofdletters, cijfers, vreemde tekens en ga zo maar door moet bevatten. Maar in de praktijk blijkt toch dat niet iedereen zich hier aan houdt. De een maakt voor alle websites, portals user accounts et cetera hetzelfde wachtwoord aan. De ander maakt een simpel wachtwoord dat eenvoudig te onthouden is. Ofwel, de manier om een goed en lastig te kraken wachtwoord te kiezen wordt niet gebruikt. Tips als gebruik geen jaargetijden, namen van familie of huisdieren, auto merken enz. worden soms op leuke wijze ingevuld met de vreemde tekens en cijfers maar blijven eenvoudig te kraken. Een wachtwoord generator brengt nog de meeste soelaas, alleen deze zijn weer slecht te onthouden. Persoonlijk denk ik dat het altijd een tweestrijd blijft tussen aan de ene kant het veilige wachtwoord en aan de andere kant het lastig te onthouden wachtwoord. Ga geen wachtwoorden opschrijven of onder het toetsenbord plakken. Pak een wachtwoord dat toch te onthouden is maar wel buiten de gebaande wachtwoordpaden blijft.
Conclusie
Heel veel security problemen worden, soms door onwetendheid, veroorzaakt door de (eind)gebruiker van een computer. Door het goed inregelen van een security beleid en het privé nuchter nadenken kan veel leed bespaard blijven. Met een goed wachtwoord beleid en het regelmatig wijzigen van wachtwoorden (dus ook het gebruik van complexe wachtwoorden) kunnen veel problemen tegen gegaan worden. Neem het recente DigiNotar verhaal waarbij, zelfs beheerders, een relatief simpel wachtwoord gebruikten om in te loggen op toch kritische en belangrijke systemen. Bedrijven (en ook thuisgebruikers) dienen zich er bewust van te zijn dat ze steeds meer moeten opletten op de diverse manieren waarop hackers en criminelen pogingen doen om toegang te krijgen tot gevoelige gegevens. Laat het bankrekeningen zijn of documenten of toegang tot een enkele computer om daarmee een grotere aanval te doen op andere partijen is niet belangrijk. Belangrijk is dat een ieder zich ervan bewust wordt of is dat beveiliging van je digitale leven bij jezelf begint. Met goed nadenken en logisch nadenken kan men al veel bereiken. Natuurlijk zul je geen 100 procent bescherming kunnen creëren. Helaas is dat een droom, maar je kunt er zelf veel aan doen om hier dicht bij te komen. Maak het de cyber criminelen lastig door de volgende punten aan te houden:
• Neem een zo lang mogelijk wachtwoord wat je toch kan onthouden (op welke manier dan ook zonder het ergens te noteren),
• Wijzig het wachtwoord regelmatig,
• Gebruik niet overal het zelfde wachtwoord voor,
• Denk na bij het ontvangen van e-mails met twijfelachtige bedoelingen,
• Laat je niet in een hoek drukken en onder deze druk informatie afgeven,
• Controleer websites of ze daadwerkelijk de website zijn die ze claimen te zijn.