Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 68 reacties

Een lid van de groep Crackas With Attitude heeft ingebroken op diverse accounts van James Clapper, hoofd van de Amerikaanse inlichtingendiensten. Hij zou onder andere toegang hebben gehad tot de e-mail van Clapper en zijn vrouw, en was in staat telefoonoproepen door te schakelen.

Volgens Motherboard gaat het bij de actie om dezelfde tieners die eerder toegang verkregen tot de e-mail van CIA-directeur John Brennan. Een lid van de groep, Cracka genaamd, claimt nu toegang te hebben gehad tot diverse accounts van Clapper, waaronder zijn persoonlijke e-mail en telefoon. Ook zou hij toegang hebben gehad tot de Yahoo-e-mail van Clappers vrouw.

Cracka zegt verder alle oproepen naar het telefoonnummer van Clapper doorgeschakeld te hebben naar een nummer van de Free Palestine Movement. Dit is een organisatie die zich inzet voor de mensenrechten van Palestijnen. Toen een Motherboard-journalist het nummer van Clapper belde, bleek dit inderdaad te zijn doorgeschakeld.

Een woordvoerder van het departement van Clapper heeft de hack tegenover Motherboard bevestigd. Volgens beveiligingsexpert Michael Adams zou het daarbij meer gaan om social engineering dan om een echte hack. 'Elke serieuze hack begint echter met social engineering', laat hij verder aan Motherboard weten. Hij voegt daaraan toe dat het 'waanzinnig' is, dat Clappers adres en telefoonnummer via Google te vinden waren. Cracka stelde dat hij de actie had uitgevoerd, 'omdat er mensen zijn die weten wat de overheid doet en het er niet mee eens zijn'.

Moderatie-faq Wijzig weergave

Reacties (68)

'Elke serieuze hack begint echter met social engineering', laat hij verder aan Motherboard weten. Hij voegt daaraan toe dat het 'waanzinnig' is, dat Clappers adres en telefoonnummer via Google te vinden waren. '
Wat een onzin. Voor een 'zuivere' hack is juist geen babbeltruc nodig.

[Reactie gewijzigd door breakers op 13 januari 2016 10:20]

Dat is niet helemaal waar. Als ik bij jouw mailbox kan, weet ik ook wie jij allemaal vertrouwd. Vervolgens kan ik en speciale email opstellen welke lijkt af te komen van zo'n kennis welke een zero-exploit gebruikt om malware op het systeem van een topman van de CIA/NSA/DNI. En die zou vervolgens weer andere systemen kunnen besmetten..

Social engineering is veel gevaarlijk en effectiever dan de meeste mensen op eerste gezicht denken. Het kan zeer verstrekkende gevolgen hebben. Deze hackers maakte hun aktie bekend, maar wat als zij het geheim hadden gehouden?
Niemand onderschat het gevaar van social engineering meer lijkt me, maar het niet hetzelfde als een zuivere hack. Echte hacks zijn veel gevaarlijker omdat ze altijd werken en niet alleen als het lukt het slachtoffer voor de gek kunt houden.

Als je bij m'n mailbox kan is dat in feite al meteen hét probleem.

Dat moet je ook nog 'even' een zero-day voor een bepaald systeem klaar hebben liggen wat werkt via een link.. wat zou betekenen dat alles klakkeloos gedownload en uitgevoerd wordt. Als het zo erg gesteld is loopt je ook zonder zero day grote risico's.
Wie interesseert het of het een "zuivere hack" was? Alleen het doel telt. En in dat opzicht is social engineering behoorlijk gevaarlijk, juist omdat er vaak heel weinig technische kennis voor nodig is, en het ook nauwelijks met technische middelen tegen te gaan is.
Het is een factor is waar je qua techniek niets aan kunt doen. Als je de juiste mensen kunt foppen, helpt geen enkele beveiliging. Daarom kun je feitelijk niet eens van hacken spreken. Als 'social engineering' er ook onder valt, zijn allerlei misdaden ineens hacken. Is het ook nog hacken als zijn vrouw een pistool tegen haar hoofd krijgt om het wachtwoord te zeggen?
Hoewel een "Zuivere hack" inderdaad veel gevaarlijker kan zijn, is deze ook een stuk lastiger om uit te voeren.

De reden waarom social engineering juist zo gevaarlijk is (vaker gevaarlijker dan een zuivere hack), is omdat het in vergelijking juist eenvoudig is om uit te voeren. Met eenvoudig bedoel ik niet dat iedereen zomaar naar binnen kan lopen met een vlotte babbel, maar dat je met een goed verhaal en wat voorbereiding behoorlijk ver kunt komen bij een groot aantal bedrijven over de hele wereld.

Dus je statement dat echte hacks veel gevaarlijker zijn ben ik niet helemaal met je eens. Social engineering kan veel gevaarlijker zijn vanwege de eenvoud die nodig is om het uit te voeren in tegenstelling tot een echte hack waarbij je tegen lastigere elementen moet vechten om de toegang te krijgen die je wilt hebben.
Juist vanwege de menselijke factor, dus het gevaar dat een helpdeskmedewerker over te halen is met een goed verhaal of omdat die vaak alleen wat info checkt die relatief makkelijk te achterhalen is, is vooraf goed in te schatten dat dat een zwak punt is. Weinig kans dat de CIA voor vertrouwelijke info Yahoo mail gebruikt, juist daarom.

Je kan vast wel van een paar mensen op deze manier hun mail inzien, met genoeg moeite en tijd. Het zal bij de een veel meer moeite en tijd kosten dan bij de ander, maar het zal best wel eens lukken. Het gaat een keer opvallen als je het vaak doet natuurlijk, vooral als het lukt.

Als je echt Yahoo Mail 'zuiver' hackt, heb je toegang tot de mail van miljoenen mensen. In één keer. Dan hebben we het ergens over.
De kans dat jij een bestand van een bekende opent is vele malen groter dan van een onbekende. Zeker als het een bekende is waarvan jij vaker bestanden krijgt toegestuurd.

Een hack is het binnen dringen van een systeem zonder toestemming. Op welke wijze dat gebeurt is irrelevant. Het kraken van mailboxen vormt echter een zeer goed startpunt van elke serieuze hack welke daarop volgt. Om die gevolgen te demonstreren hadden de hackers dus zijn VOIP telefoon doorgeschakeld. Want men kon een password reset procedure uitvoeren en de email daarna verwijderen uit de mailbox zodat Clapper niet in de gaten had.

Tegenwoordig heb je malware welke zich permanent in de firmware van USB sticks kan nestelen. Het zal niet de eerste keer zijn dat gevoelige informatie via USB stick wordt meegenomen. Vervolgens wordt de USB stick thuis besmet en daarna gaat ie natuurlijk in de computer op het werk en je kunt je vast wel voorstellen wat de gevolgen daarvan zijn.

Het targetten van een persoon als Clapper via zero-day exploits op websites is een stuk lastiger. Vandaar dat de hacker dus aangaf dat elke serieuze hack (op een persoon) begint met social engineering. Het feit dat niet alleen Clapper, maar ook al eerder Brennan is 'gehacked' door middel van social engineering.

Het gevaar van social engineering wordt door bijna iedereen onderschat. Vooral personen met prominente functies zijn hier zeer gevoelig voer. Jij en ik lopen hier minder kans op. De zwakste schakel in elke beveiliging blijft de mens.

Totdat iedereen een 'remote net hand' (http://ars.userfriendly.org/cartoons/?id=20021103) krijgt welke letterlijk een tik op vingers geeft bij elke stomme/ondoordachte actie, zal social engineering een steeds belangrijkere rol innemen voor een grotere hack..
Een hack is het binnen dringen van een systeem zonder toestemming. Op welke wijze dat gebeurt is irrelevant.
Volgens deze definitie van hacken, ben je een supersnelle hacker als je een wachtwoord verkrijgt onder bedreiging van een mes.

Hacken is het nou juist, als je toegang krijgt zonder de klassieke botte bijl methodes zoals afpersing, babbeltrucs of afluisteren, meekijken etc. Dat wordt vast onderschat, maar is zo oud als de weg naar Rome en heeft in wezen niets met computers te maken.
Klopt, maar het is geen zuivere hack. Niet dat de gevolgen daarom minder erg zijn.
Of je de software voor de gek houdt of iemand aan de telefoon maakt niet uit lijkt mij.
Je krijgt iets voor elkaar dat niet zou moeten lukken.
kevin mitnick deed ook gewoon aan social engineering.
Social engineering of niet, instellingen zoals two factor authentication op privé accounts helpt dat toch flink tegen gaan.

Neemt niet weg dat bijvoorbeeld telefoonmaatschappijen en internet providers daar zeer gevoelig voor zijn, ik merk dat iedere keer als ik bel, zelf bij de zogenaamde verificatie vragen:

"Hallo, ik wil graag iets wijzigen aan mijn abonnement".
- Jazeker meneer, en om welk nummer gaat het?
"12345678"
- En dat staat op naam van Meneer X?
"Ja zeker, dat ben ik."
- En u woont op straat Y, nr Z?
"Klopt helemaal!"
- Ok meneer dank u wel, dan brengen we dat voor u in orde.
Het geeft inderdaad aan dat mensen bewust of onbewust gebruikt kunnen worden voor social engineering zonder de juiste training en instructies. Zou geen onnodig item zijn bij de indiensttreding van een servicemedewerker.

p.s. Wel grappig dat ik beroepshalve dagelijks bel met allemaal van dit soort bedrijven en bij mij altijd de vragen andersom gevraagd worden. ;)
Precies mijn word het ook altijd andersom gevraagd.. nogal logisch natuurlijk.. iedereen kan wel zeggen 'dat klopt'

Ik heb een keer mijn creditcard aan de lijn gehad omdat ze wat verdachte transacties dachten gespot te hebben en ik moest toen aangeven waar ik hem gebruikt had.. toen ik het niet 1,2,3 wist gaf hij me een cryptische hint die mijn geheugen triggerde..
Heel slimme creditcard heb je als hij jouw belt :p

Ze doen dat inderdaad, als het anders is dan normale uitgaven gaat er ergens een lampje branden. Mijn vader had ineens betaald ergens in China terwijl we daar nooit geweest waren. Ze belden redelijk snel en hadden het antwoord al verwacht dat hij de transactie niet gemaakt had.
Ik heb ze uiteraard wel eerst teruggebeld om zeker te weten dat ik ook echt met de creditcard firma sprak.

Ik kreeg wel vaker telefoontjes van ze omdat mijn patroon blijkbaar wat ongewoon is.. goede service dat ze dat in de gaten houden :)
Dat vind ik ook wel goed. Natuurlijk kun je zeuren over privacy ook hierin maar ze houden je uitgaven bij en daar maken ze een profiel van. Als je daarvan afwijkt krijgen ze een melding en krijg je een telefoontje.


Edit:

Ik hoorde van iemand waarvan zijn credit card snel achter elkaar op verschillende plaatsen in de wereld 'gebruikt' werd en ze blokkeerden de kaart al zelf en belde de betreffende persoon. Of dat waar is? geen idee. Maar het zou kunnen.

[Reactie gewijzigd door Daniel_Elessar op 13 januari 2016 11:08]

Klopt. Aangezien credit cards voor een groot deel om vertrouwen draaien, en misbruik relatief eenvoudig is, zijn de CC-maatschappijen behoorlijk alert op misbruik.
Zo ben ik 10 minuten na een internetbetaling wel eens door de CC-maatschappij gebeld omdat er op de Bahama's met mijn CC was betaald. In dit geval klopte dat, aangezien het bedrijf in kwestie daar z'n hoofdkantoor had zitten, en na mijn bevestiging is de betaling gewoon uitgevoerd.
Het bewijst ook maar weer dat 100% digitale security ook niet zaligmakend is. De trigger komt bij de CC-maatschappijen wel uit de IT systemen maar de afhandeling is 100% mensenwerk. En dat werkt nog goed ook.
Dat heb ik ook een keer gehad dat dat bijna gebeurde, gelukkig was een belletje genoeg om het te voorkomen..
Ze belden redelijk snel en hadden het antwoord al verwacht dat hij de transactie niet gemaakt had.
Ik had er een keer zo een, waarbij binnen een slordige 10 uur tijd een CC transactie was gedaan in NYC en vervolgens in Nederland.

Ik kon ze bevestigen dat ik direct bij thuiskomst wat besteld heb, inderdaad :)

was er wel blij mee, vooral omdat ik een keer heb meegemaakt dat de rekening opeens gigantisch hoog was omdat m'n CC geskimmed was in de USA. (dat was nog in de tijd dat die carbon afdrukjes werden gemaakt, dus dat was kinderspel).

Uiteraard heeft de CC maatschappij netjes alles geregeld destijds, maar de pro-actieve houding vind ik heel plezierig :)
'leuke' verhalen. Inderdaad goed dat ze zo pro-actief zijn.
En toch gebeurt het regelmatig. Vaak genoeg gaat het ook andersom(gelukkig). Maar gebeurt nog wel eens dat het zo makkelijk gaat.
Ik wilde 'even' tijdelijk mijn opname limiet aanpassen.
Toen kreeg ik echter een aantal wazige vragen over mijn betalingen.
"Welke bouwmarkt als laatste?", "lunch?", enz

Gezien ik meerdere passen heb was het echter wat lastig om te weten wat ik exact met die pas betaald had. Dat duurde dus best even voor ik snel genoeg goed reageerde.
Hij gaf aan dat ze vragen stellen die normaal makkelijk te herinneren zijn maar lastig even snel op te zoeken. Als je er te lang over doet vertrouwen ze het dus niet meer.

Ik ben graag 5min langer aan de lijn als ik een verdachte actie aanvraag :)
als ik opgebeld wordt vraagt de telco gewoon mijn adres ipv te wachten op een "dat klopt"... en als ik dingen laat aanpassen via de telco vragen ze ook nog een ander gegeven op dat in mijn profiel staat... bv welke lijnen/verbindingen ik nog heb of m'n bday of wat ik laatst hen aangekocht in hun online winkel met mijn klantenrekening en spaarpunten, of ze vragen het klantenreknr; of een controlpaswoord dat telkens op de laatste factuur staat (en dus elke maand veranderd)
Dat zijn meestal toch open vragen, geen ja/nee?
Tenminste dat zou het moeten zijn.
Two factor is nog veel te weinig beschikbaar bij niet-IT-sites en -bedrijven. Ik ken bijvoorbeeld nog geen mobiele providers waar je het aan kunt zetten.
Verificatie verkeerd om.

"Op welke naam staat dit abonnement?"
"Wat is het adres van de abonnementhouder?"

Dat leerde ik ruim 10 jaar terug op de helpdesk al. Je geeft nooit persoonlijke informatie uit om te verifiëren, die moet je krijgen van degene die belt.
Slechte provider dan ik moet meer info geven voordat ze iets veranderen voor me
Neemt niet weg dat bijvoorbeeld telefoonmaatschappijen en internet providers daar zeer gevoelig voor zijn, ik merk dat iedere keer als ik bel, zelf bij de zogenaamde verificatie vragen:
Is je dat in de laatste paar jaar nog zo gevraagd? Dan zou ik als de gesmeerde bliksem bij de firma weggaan. Ik moet dit soort nummers met regelmaat bellen en heb dat echt helemaal nooit meer.
Het is inderdaad minder geworden specifiek bij telecom/internet providers, maar het gebeurt absoluut nog en zeker bij b.v. verzekeraars.
Ik kan het nog bonter maken: m'n internetprovider had even een hele aparte policy door te vragen naar het unieke nummer van m'n ID kaart. Ik kon me niet voorstellen dat ze daar toegang toe hadden dus ik noemde een willekeurig nummer dat even lang was. Tot mijn verbazing zei men "Ok dat is in orde dan kunnen we verder". Uiteraard confronteerde ik de medewerkers met het willekeurig nummer waarna er toegegeven werd dat het een afschrikmiddel was en dat ze niet echt het nummer kon zien!
Overigens was dat de laatste keer aangepast: men had effectief het nummer bij de hand nu.
Welke provider is dat? Ik heb het nog niet eerder meegemaakt dat antwoorden op beveiligingsvragen worden voorgekauwd. Moet toch altijd zelf mijn naam, nummer en adres doorgeven. Nu is dat natuurlijk niet genoeg, maar wat jij schetst is nog kwalijker.
Je zou denken dat een topman van de Amerikaanse Inlichtingendiensten wel weet wat die niet/wel kan zeggen. Alsnog, social engineering kan het best wel zijn hoor, daar niet van.

Het zegt in ieder geval dat de veiligheid nog niet goed op orde is. :')
Social Engineering gaat zo makkelijk. Meestal ben jij ook niet echt fout, behalve dan dat anderen op een of andere manier informatie van je hebben achterhaald.
Gezien ze ook toegang hebben tot de mail van zijn vrouw, denk ik dat ze daar als eerste gegonnen zijn.

Bel een helpdesk, doe jezelf voor als de persoon waar je toegang van wil hebben en je kunt door. De andere kant vraagt wat dingen (geboortedatum, waar woon je, rekeningnummer) en vervolgens krijg je toegang tot het systeem via een nieuw wachtwoord wat telefonisch wordt doorgegeven...

Wat dat betreft is de film 'War Games' nog steeds een beetje van toepassing in deze tijd :)
Het boek Komt een vrouw bij de hacker ( http://www.mariagenova.nl/komt-een-vrouw-bij-de-hacker/ ) geeft ook wel een aardig beeld hoe er te werk wordt gegaan en welke resultaten het toe kan leiden.
Beetje helpdesk stuurt alleen nieuwe wachtwoorden naar een emailadres wat van de klant bekend is. Dan moet de hacker daar al bij kunnen. Veilig is gewone, niet-versleutelde email toch al niet bepaald dus je kan je afvragen in hoeverre je daarvan gebruik wil (of zal) maken voor 'serieuze zaken', als CIA-directeur.
Het ging om het persoonlijke account van hem en z'n vrouw. Nu heb je sukkels die ook gewoon vertrouwelijke info naar hun privemail sturen, maar als ie zakelijk en prive netjes gescheiden hield, is dit een "hack" van niks. Mailbox stond misschien wel vol met mailtje van het gehalte "Tante Truus komt zondag langs", "Vergeet je niet om na het werk even een pak melk mee te nemen".

Als er iets interessants op dat mailadres te vinden was, had de hacker dat ongetwijfeld wel aan de grote klok gehangen, dat heeft immers al vaker topfunctionarissen de kop gekost.
Precies. Daarom begrijp ik de ophef niet zo. Het is van het niveau: Kijk die man leeft ook maar in onze wereld, is ook maar een man met een gezin en goh, zijn vrouw gebruikt ook Yahoo mail. Goh. Dat de NOS hier aandacht aan schenkt is een beetje te veel eer.
Social engineering gebeurt zelden direct op de persoon in kwestie maar juist iemand in zijn (niet al te) directe omgeving, zoals bijvoorbeeld zijn secretaresse.

"I don't need to be a ninja coder if I can just bypass your secretary"
http://m.youtube.com/watch?v=YYPORnjyNKU
Je zou denken dat een topman van de Amerikaanse Inlichtingendiensten wel weet wat die niet/wel kan zeggen.
niet noodzakelijkerwijs. Het zijn politieke functies, het gebeurt niet heel vaak dat iemand uit het vak op die positie terecht komt. Je wordt voorgedragen, en dat moet door congres geaccepteerd worden. Denk bijvoorbeeld aan de vader van voormalig president George Bush. Voor hij zelf president was (en vice president onder Reagan), was hij het hoofd van de CIA.

Director of operations heb je meer kans iemand aan te treffen die kennis van zaken heeft, maar ook dat is vaak genoeg een politieke benoeming.
Wie zegt dat die informatie van die topman zelf is gekomen? Waarom niet van zijn vrouw, de kinderen, of zijn secretaresse? Misschien was de social engineering aanval zelfs op een medewerker van Yahoo of de telefoonmaatschappij gericht.
Je vergeet echter dat je vanuit daar verder kan. Stel de hacker ziet in de mailbox van zijn vrouw het werkmailadres van haar man. Stuurt vervolgens een bestand met een nieuw soort virus of botnetclient naar dat adres.
De kans dat de man van de vrouw de attachment opent is vervolgens heel groot. Of stuur er een mp3 of filmpje heen. Grote kans dat hij op een niet gepatchde Android phone wordt geopend.. Hoppa, binnen op de telefoon...
Ongelooflijk dat zo iemand geen 2FA gebruikt.
Hoeveel mensen gebruiken dat wel voor hun private diensten? En zelfs dan nog is er vaak met social engineering rond te geraken door bijvoorbeeld met een helpdesk te bellen en voldoende informatie te geven.
Bij elke dienst waar het beschikbaar is heb ik het aan staan.
Vervelend, zelf vind ik het veiliger dat zodra een onbekend IP op mijn mail/fb etc inlogt of dat probeert dat ik een berichtje krijg op mijn telefoon. 2FA is mij overal te omslachtig.
Ik log in vanaf veel verschillende ip adressen, dus dat is voor mij geen optie. Ik hoef ook niet elke keer 2FA te doen, alleen vanaf een niet vertrouwde PC/tablet.
Sorry voor het freeloaden hier, maar heb je misschien een suggestie voor goede 2FA? Ik heb het al voor Steam e.d., maar heb je nog wat leesstof?
Hoe bedoel je? Software? Ik gebruik voor zo veel mogelijk diensten de Google authenticator en anders de software die men ter beschikking stelt (zoals Steam Guard)
Ik blijf het bijzonder vinden hoe dit keer op keer mogelijk is. Wellicht omdat dit nog steeds meegesleept wordt door 'het internet' zoals het ontworpen was; Om data te transporteren, in eerste instantie dus tussen universiteiten e.d. Er was toen nog helemaal niet nagedacht over beveiliging etcetera.

Iemand die hier wat over kan vertellen c.q. mijn verhaal kan aanvullen?
Tegenwoordig is de lijn meestal veilig zat; veel mensen kunnen mee luisteren maar er staat compleet chinees. Die encryptie ontsleutelen is vrijwel niet te doen. Het gaat dus vooral om trucs en zoals hier al meermaals genoemd.. Social engineering. Men gebruikt een wachtwoord dat iets met geboorte datum of naam van een huisdier voor een privé adres, verstuurd hiervandaan een leuke foto naar werk adres en je hebt met een beetje mazzel een keylogger / back door op de PC. En dan kan je aan de slag :)
Daarom vind ik het ook zo bijzonder haha :)
Ik ben bekend met het Social Engineering concept.

Gewoon de hele werkwijze vind ik persoonlijk best knap omdat je best wel geduld moet hebben ermee :P
"Social Engineering" is natuurlijk maar een slap excuus. Een groot deel van de serieuze inbraken is gebaseerd op social engineering. Je zou ook kunnen zeggen dat er geen technische fout is gemaakt maar een menselijke fout. Een computer om de tuin leiden is tot daar aan toe, zo'n apparaat doet blind wat je vraagt. Een mens zou alert moeten zijn, zeker als het om het hoofd van een dergelijke organisatie gaat. Makkelijk gezeg natuurlijk, mensen maken nu eenmaal fouten, maar dat is al lang bekend, blijkbaar kunnen we nog steeds niet met dat gegeven omgaan.

Als deze man niet veilig is, wat voor conclusies moet je dan trekken over de rest van de wereld?
Als een paar tieners dit gedaan krijgen, wat kan een professioneel hackersteam dan wel niet gedaan krijgen?
Als een paar tieners dit gedaan krijgen, wat kan een professioneel hackersteam dan wel niet gedaan krijgen?
Leeftijd bepaald niet hoe goed jij bent in je vak. Nu kan ik natuurlijk niets zeggen over hoe goed deze mensen zijn in het vak. Het kan best zo zijn dat deze "tieners" zoals je ze noemt, hun vak beter verstaan dan menige "professionele" hackers.

En waarom zou een organisatie waar jij diensten van af neemt jou anders moeten behandelen dan elke andere klant, puur en alleen omdat jij voor een bepaald bedrijf werkt?

Ik vind dat als jij voor zo een organisatie werkt, je zelf (gedeeltelijk) verantwoordelijk bent voor de veiligheid. Je moet in ieder geval rekening houden met je positie en je beveiliging daar aan aanpassen.

Jij bent waarschijnlijk ook verantwoordelijk als je de reden bent waardoor klantgegevens van je werk naar buiten komen. Dit is voor hem niet anders, alleen is de informatie van andere aard.
Leeftijd bepaald niet hoe goed jij bent in je vak. Nu kan ik natuurlijk niets zeggen over hoe goed deze mensen zijn in het vak. Het kan best zo zijn dat deze "tieners" zoals je ze noemt, hun vak beter verstaan dan menige "professionele" hackers.
Correct, sorry, dat was misschien niet handig, maar dat is nu eenmaal het woord dat het artikel gebruikt. Wellicht was "amateurs" beter geweest. Het gaat me er om dat alles er op wijst dat deze hackers het als hobby doen en er dus niet 40 uur per week mee bezig zijn en daarbij alle middelen van een gespecialiseerd bedrijf achter zich thebben.
af neemt jou anders moeten behandelen dan elke andere klant, puur en alleen omdat jij voor een bepaald bedrijf werkt?
Ik weet niet waar je dat op baseert, dat is niet wat ik probeerde te zeggen, volgens mij zijn we het hier eens, want:
Ik vind dat als jij voor zo een organisatie werkt, je zelf (gedeeltelijk) verantwoordelijk bent voor de veiligheid. Je moet in ieder geval rekening houden met je positie en je beveiliging daar aan aanpassen.
Klopt. Het is zijn eigen verantwoordelijkheid en die van de organisatie waar hij voor werkt. Als directeur van een inlichtingenorganisatie zou hij dat heel goed moeten beseffen en hij heeft alle middelen om er iets aan te doen. Ik kan me niet voorstellen dat hij dat niet weet of het niet kan betalen. Dan blijft over dat hij (of zijn team) het niet kan.

Dat is het punt dat ik wilde maken. De Amerikaanse geheime diensten lukt het niet om hun eigen directeuren te beschermen. Als het zelfs die organisaties niet lukt om zich te verdedigen dan weet ik niet wie het wel kan.
Als blijkt dat een stel amateurs voor de lol al zo'n hack kunnen doen dan kunnen goed betaalde proffessionals echt overal binnenkomen. (Dat wisten we eigenlijk wel maar niemand beseft echt hoe enorm groot het probleem is.)
Onacceptabel natuurlijk dat dit kan gebeuren, maar ligt in dit geval ook niet de verantwoordelijk bij de aanbieders (Verizon, AOL, etc) om ervoor te zorgen dat niet iedereen met een beetje social engineering toegang kan krijgen tot een account van iemand anders?

Ik bedoel als ik een account aanmaak bij een aanbieder en deze laat vervolgens iemand toe op mijn account omdat deze persoon claimt dat hij mij is, dan ben ik toch niet veratwoordelijk daarvoor?
2FA wordt hier genoemd als mogelijke oplossing - dat zou een afdoende stop kunnen zijn. Maar het gaat hier om het doorschakelen van nummers. Ik weet niet precies hoe dat in de VS werkt, maar bij mijn provider (KPN vaste lijn en Telfort mobiel) kan ik geen 2FA aanzetten voor zoiets.

*21 nog iets is dat voor de vaste lijn en dan is het nummer doorgeschakeld. Ook inloggen op de site bij Telfort doe ik met een wachtwoord (wat te kraken is). Een 2FA heb ik nog niet ontdekt.
Volgens mij kan dit ook via mijnkpn, of je hier 2fa kunt inschakelen geen idee.
Geen idee of dit nu nog van, toepassing is, maar Telfort sloeg klantenwachtwoorden plaintext op die al in te zien waren met enkel postcode+huisnr.
Argh, en dat wachtwoord gebruik ik voor al mijn 200+ accounts .. Facebook, Hyves, Hotmail .. :P
Vind het wel erg lomp van zo'n tiener. Het lijkt uiteraard stoer. Maar als die gepakt wordt, plakken ze er meteen het stempel terrorist op en die komt dus van zijn leven niet meer vrij.
Voor Clapper is dit natuurlijk op de plaat gezet worden met de broek omlaag. De geheime diensten van de VS hebben enorm veel bevoegdheden tot het niveau waarop het democratie direct in gevaar brengt. Ook hebben de geheime diensten van de VS toegang tot extreem veel privegegevens van mensen.

Als een hoofd van een geheime dienst zo snel kan worden opgerolt door een hackersgroep die niet gerelateerd is aan een overheid; hoe veilig is dan de geheime dienst als geheel.
Na Snowden heeft de VS veel eraan gedaan om de inlichtingendiensten nog meer onder het wateroppervlak te duwen. Maar klaarblijkelijk is het nog steeds een probleem.

Uiteindelijk bestaat een geheime dienst uit mensen; de mensen maken fouten of kunnen besluiten andere doelen en middelen te gaan nastreven die niet zo 'nobel' zijn. Gegevens van NSA en CIA databases kunnen naar buiten komen aan het openbaar bijvoorbeeld. Ze kunnen worden doorverkocht door agenten hoe goed een overheid ook controleerd.

That said; Clapper zal zeker onder de spotlight komen bij de overheid en hij zal zich moeten verklaren, zelfs als het niet direct zijn schuld is.
je kunt niet al je informatie managen. Craig, de security expert wiens achternaam ik even niet meer weet, had met kerst zijn paypal gehackt. De hacker belde gewoon naar Paypal op en gebruikte social engineering om Craig buiten te sluiten. Alle info die ervoor nodig was kwam van publieke records en bekende informatie en Paypal hield het niet tegen.

Clapper mag dan wel een grote bobo zijn, hij is uiteindelijk ook maar een mens. Als zijn vrouw de gegevens weggeeft en hij wordt als gevolg gehackt kan hij daar niet veel aan doen. Hij is natuurlijk uiteindelijk wel verantwoordelijk maar dat is wat anders dan 'schuld hebben'. Verantwoordelijkheid hoort bij zijn positie.
Ah maar jij vergelijkt een persoonlijke hack met een nationale hack. Het is vervelend voor Craig dat zijn persoonlijke Paypal account gehackt is. Maar dat heeft niks met het land of zelfs zijn bedrijf te maken. Als dat wel het geval was, was er aan Craig gevraagd waarom hij betalingen aangaande een nationaal orgaan via Paypal verliepen. Het gaat er hier om dat er nationale geheimen zijn blootgelegd doormiddel van social engeneering. Terwijl deze geheimen of de toegang daartoe helemaal niet in het sociale arena thuis (no pun intended) horen. Dus als zijn systeembeheerder zijn mond voorbij heeft gepraat betekend het dat zijn systeembeheerder niet afgeschermd is. Hij moet het niet eens kunnen. En Clapper moet het niet doen.
Ah maar jij vergelijkt een persoonlijke hack met een nationale hack
Er is hier ook sprake van een persoonlijke hack, en geen "nationale" hack.
Er is toegang verkregen tot zijn persoonlijke accounts, niet zijn zakelijke accounts.
Het gaat er hier om dat er nationale geheimen zijn blootgelegd doormiddel van social engeneering.
Welke nationale geheimen zijn er dan blootgelegd?
Daarom vind ik het ook niet zo indrukwekkend, dat social engineering. Het is ook gewoon een financiele afweging: Als Paypal het veiliger maakt – wat ze heus wel kunnen – wordt het "zo'n gedoe" om je wachtwoord te resetten en lopen ze omzet mis.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True