Friday, April 22, 2016

Je wachtwoord op een briefje

Het leven van de ISO gaat deze week over briefjes met wachtwoorden.

Er zijn heel slimme digitale wachtwoordkluizen te gebruiken voor al je wachtwoorden, zoals TrueCrypt en KeePass. Dat is heel handig, dan kun je immers door het onthouden van één wachtwoord toegang krijgen tot al je wachtwoorden in de kluis. En die wachtwoorden in de kluis kun je heel moeilijk maken (zelfs automatisch) en toch hoef jij maar één wachtwoord te onthouden. Criminelen maken hier graag gebruik van, niet om die kluis te openen maar om hun geheimen te bewaren. Maar dat moet je dan wel slim doen.

Een computer technicus uit Parijs die zich bij terreur organisatie IS had aangesloten bleek niet zo slim. Als onderdeel van zijn training werd uitgelegd hoe hij het encryptie programma TrueCrypt moest gebruiken. Eenmaal in het Syrische Raqqa aangekomen ontving hij een usb-stick met TrueCrypt. Vervolgens moest hij naar Europa terugkeren om daar een aanslag te plegen. Eén van de kameraden van de man werd in Spanje aangehouden, waardoor de opsporingsdiensten hem op het spoor kwamen. Na te zijn ingelicht volgde de Franse politie de man naar de woning van zijn moeder in Parijs. Tijdens een huiszoeking werd hij aangehouden en vonden agenten achter een bank zijn usb-stick van IS en in zijn tas het bijbehorende TrueCrypt-wachtwoord dat op een papiertje was geschreven. Zowel de stick als het wachtwoord bewaarde hij bij elkaar in dezelfde tas.

Als ISO van Naturalis juich ik het toe dat er gebruik wordt gemaakt van wachtwoordkluizen zoals TrueCrypt en KeePass maar gebruik dan een sterk wachtwoord dat je kunt onthouden en niet op een briefje schrijft. Persoonlijk vind ik het handig om gebruik te maken van van zogenaamde passphrases. Dit zijn korte zinnetjes, waarbinnen je hoofd- en kleine letters, cijfers en leestekens verwerkt. Deze zijn alleen al doordat ze langer zijn, lastiger te kraken met brute force, maar voor een mens relatief makkelijk te onthouden. Mocht je tips nodig hebben over het gebruik van een wachtwoordkluis of het verzinnen van een wachtwoord die je goed kunt onthouden kan je met me contact opnemen.

Mocht je nog andere vragen hebben dan mag je mij altijd een mailtje sturen, als je een security incident ziet kun je deze melden bij Support, zodat ik daar actie op kan ondernemen indien nodig.

Robert van Geenen | Information Security Officer

Monday, April 11, 2016

Even kijken van wie die USB stick is

Een van de leukste series van de afgelopen tijd vind ik Mr. Robot. In Nederland werd de serie uitgezonden door de VPRO. Behalve dat het gewoon een spannende en onderhoudende serie is, geeft het een realistische kijk in de wereld van cyberhacking. Eén van de methodes die gebruikt wordt door antiheld Elliot en zijn hackerscollectief fsociety is het achterlaten van speciaal geprepareerde USB flashdrives op de parkeerplaats bij een gevangenis. Uiteraard wordt een corrections officer verleid om een gevonden stick aan te sluiten op een officiële dienst computer, waardoor er meteen door de hackers toegang wordt verkregen tot de desbetreffende informatie systemen.

zou er wat interessants op staan?


Het op deze manier verspreiden van malware is uiterst succesvol. Zoals in het bovenstaande fragment uit de serie Mr. Robot kun je als hacker door het strategisch achterlaten van de USB sticks bij interessante doelen, zoals opsporingsdiensten, ziekenhuizen, overheidskantoren etc. relatief makkelijk toegang krijgen tot gevoelige systemen.

Onlangs publiceerden onderzoekers de resultaten van een onderzoek naar bovenstaand gedrag en kwamen tot de toch wel schokkende conclusie dat in bijna de helft van de gevallen, waarin een USB drive achtergelaten werd de ongelukkige vinder de gegevensdrager in een computer steekt om te zien wat er op staat.

Wees daarom altijd terughoudend met het gebruik van USB sticks, waarvan de herkomst niet duidelijk is. Mocht je een USB stick vinden, lever deze dan in bij Support en schrijf of vertel er duidelijk bij, dat de herkomst onbekend is.

Mocht je nog andere vragen hebben dan mag je mij altijd een mailtje sturen, als je een security incident ziet kun je deze in de self service desk vastleggen zodat ik daar actie op kan ondernemen indien nodig.

Robert van Geenen | Information Security Officer

Thursday, April 7, 2016

Kun je mijn computer maken?

De techniek staat voor niets. Als er iets gemaakt moet worden op je Naturalis computer kan je een melding maken bij Support via de SelfServiceDesk waarna de collega's daar via een programma, en na jouw toestemming, meekijken op je computer en problemen verhelpen.

De Amerikaanse toezichthouder FTC waarschuwt deze week dat er ook oplichters zijn die bellen naar computergebruikers thuis om problemen op te lossen, terwijl ze helemaal geen probleem gemeld hebben en al helemaal niet bij hen. Vervolgens moet je van de oplichters een programma downloaden waarmee zij toegang tot de computer krijgen. Nu zou je daar gewoonlijk niet zomaar intrappen maar deze vorm van oplichting wordt steeds slimmer toegepast. Oplichters doen zich nu in de VS voor als medewerker van het Global Privacy Enforcement Network en claimen dat het e-mailaccount van de thuisgebruiker is gehackt en voor het versturen van frauduleuze berichten wordt gebruikt en als dat niet wordt gestopt zullen er juridische stappen worden ondernomen.

Mijn tip als Information Security Officer is dat je nooit iemand die zomaar belt om je computer te “repareren” daartoe toegang geeft of financiële en gevoelige informatie verstrekt. Verbreek gewoon de verbinding. Zeker als er druk wordt uitgeoefend, moeten alle waarschuwingssignalen op rood staan. Onze support afdeling zal nooit druk op je uitoefenen, en als je twijfelt of het onze eigen support medewerker is die jou belt kun je altijd terug bellen op 071 751 9333 om de oproep te verifiëren. We staan telefonisch voor je klaar van 8:00 tot 17:30 van maandag t/m vrijdag en van 10:00 tot 17:00 uur op zaterdag en zondag en naast deze uren kun je altijd een call registreren in TOPdesk via deze link of een mailtje sturen naar support@naturalis.nl.

Mocht je nog andere vragen hebben dan mag je mij altijd een mailtje sturen, als je een security incident ziet kun je deze in de self service desk vastleggen zodat ik daar actie op kan ondernemen indien nodig.

Robert van Geenen | Information Security Officer