Kwaadwillenden achterhaalden wachtwoord minister Kamp met phishing

De Nederlandse minister Henk Kamp van Economische Zaken blijkt geen slachtoffer van spoofing, maar van phishing. Dat zegt het Openbaar Ministerie in een verklaring aan Tweakers. Daarmee kunnen kwaadwillenden toegang hebben gehad tot het Gmail-account van de minister.

Volgens het OM gaat het niet om een gerichte aanval van phishing. "Vaak worden bij een dergelijke ongerichte phishingaanval duizenden e-mailadressen tegelijkertijd besmet. Van een dergelijke ongerichte aanval is de huidige minister dus zeer waarschijnlijk ook een van de slachtoffers geworden", aldus woordvoerster Elsbeth Kleibeuker.

Omdat het gaat om phishing, hebben kwaadwillenden de gebruikersnaam en het wachtwoord van het Gmail-account van Kamp in handen gekregen. Het is onbekend of de phishers zich toegang hebben verschaft tot het mailaccount. Het Openbaar Ministerie wilde hierover niets zeggen. Het is bovendien niet duidelijk of Kamp ten tijde van de phishing-aanval gebruikmaakte van tweetrapsauthenticatie.

Eerder op donderdag werd al bekend dat Kamp dat mailadres gebruikte voor communicatie met ambtenaren. Hij kreeg e-mails van ambtenaren op het Gmail-adres. Een woordvoerder van het ministerie van Economische Zaken claimde dat het ging om spoofing, maar haalde volgens het OM spoofing en phishing door elkaar. Het is onbekend bij welke dienst Kamp per ongeluk heeft ingelogd, waarbij hij gebruikersnaam en wachtwoord heeft prijsgegeven.

IT-banen

Reacties (168)

168

162

Wijzig sortering

Verwijderd 12 mei 2016 16:32

"Vaak worden bij een dergelijke ongerichte phishingaanval duizenden e-mailadressen tegelijkertijd besmet. Van een dergelijke ongerichte aanval is de huidige minister dus zeer waarschijnlijk ook een van de slachtoffers geworden"

Sinds wanneer is phishing een besmetting en een aanval?
Wat houdt een besmetting van een emailadres in?

Het OM wil doen voorkomen dat Kamp niets te verwijten is. Ach de meeste zullen dit wel slikken.

Bux666 @Verwijderd • 12 mei 2016 17:03

Dat vroeg ik me ook al af...
De woordvoerster weet (zoals te verwachten bij de regering) weer heel weinig van de feitelijke zaken en termen. Extreem triest als je het mij vraagt...

Verwijderd @Verwijderd • 12 mei 2016 18:47

Voorkomen dat iemand iets te verwijten valt en dan "slachtoffer van mass phishing" als verdediging gebruiken. Geniaal plan!

resma @Verwijderd • 12 mei 2016 22:36

Ik neem aan, gezien de quotes om de uitspraak, dat het hier een letterlijke uitspraak van de woordvoerster van de minister betreft. Het niveau van IT kennis van onze bewindslieden is weer om te janken.

postbus51 @Verwijderd • 13 mei 2016 00:07

Nog vreemder is dat Kamp niets geleerd heeft van de persoonlijke email adressen blamage van een zekere Mw. Clinton

Finraziel

12 mei 2016 15:34

Het wordt eigenlijk alleen maar erger, blijkbaar geen two-factor authenticatie aan staan en hij trapt in een phishing mail die blijkbaar ook niet afgevangen werd door beveiliging... gaat lekker dan.

.oisyn Moderator Devschuur® @Finraziel • 12 mei 2016 15:39

Waarom zou dit impliceren dat 2FA niet aanstaat? Dat kan gewoon met phishing, door onder water ook daadwerkelijk echt in te loggen en de gebruiker om de 2FA code te vragen. Daarna heb je een sessie die ingelogd is en dus tijdelijk (bij Google tot 30 dagen) bruikbaar is. Vervolgens kan 2FA ook gewoon uitgezet worden.

PostHEX @.oisyn • 12 mei 2016 16:04

Ligt eraan wat je als 2FA gebruikt. Als Kamp U2F zou gebruiken (wat hij dus niet heeft gedaan), dan is phishing niet mogelijk (of tenminste zeer lastig). I.t.t. OTP, is U2F gebaseerd op een CRA.

U2F voor Google accounts: https://www.youtube.com/watch?v=LeTkw6kmlzg
How U2F werkt: https://www.youtube.com/watch?v=v-GvJJEG9sw
U2F capabele sticks: https://www.yubico.com/products/yubikey-hardware/
Extra informatie: https://vimeo.com/72978755

Edit: U2F wordt op dit moment alleen ondersteund in Chrome, maar FF moet later dit jaar (ongeveer rond het einde van deze zomer) met U2F support komen.

Edit #2: maak dat tweede helft van 2016.

Browsers
Starting with Chrome, native browser support enables U2F to perform high-security public key cryptography from any computer without installing client software. A group of Mozilla developers are working with goal to add U2F support in Firefox in the second half of 2016.

Bron: https://www.yubico.com/20...f-ecosystem-coming-alive/

[Reactie gewijzigd door PostHEX op 22 juli 2024 21:52]

Fuzzillogic @PostHEX • 12 mei 2016 19:50

Voor Firefox is er reeds een add-on die U2F-support toevoegt. Werkt prima, met bijv. GitHub.

PostHEX @Fuzzillogic • 12 mei 2016 20:20

Klopt, maar werkt die ook altijd vlekkeloos? Ik gebruik op dit moment uitsluitend Google Chrome, dus nooit serieus naar gekeken. Laatste keer (een tijd geleden) had ik reviews met gemixte ervaringen vernomen.

Fuzzillogic @PostHEX • 12 mei 2016 21:55

Geen idee, er zijn immers véél te weinig sites met 2FA, laat staan U2F. Maar voor zover ik het hier (Linux) en op kantoor (Win7) heb gebruikt doet het wat het doen moet.

wica @PostHEX • 12 mei 2016 16:33

Wat is de volgende stap die we gaan ondernemen om onze accounts te beschermen?
- eerst was een wachtwoord goed
- toen verificatie via SMS
- toen 2FA via de telefoon, apparte app
- Nu een USBstick die alleen in chrome werkt.

Wat gaan we morgen bedenken?

Ik bedoel, we maken het inloggen op accounts wel steeds lastiger.

PostHEX @wica • 12 mei 2016 16:50

Klopt, veel 2FA methodes zijn omslachtig; U2F is echter ontwikkeld voor betere beveiliging en het inloggen weer gemakkelijker te maken.

I.t.t. OTP als 2FA, hoef je met U2F geen codes over te typen. Je typt gewoon je account naam en wachtwoord in zoals je gewend bent, en vervolgens om je te authenticeren steek je jouw U2F key in een USB poort van je systeem, je raak je het capacitieve contactje aan om de CRA te voltooien. Je hoeft geen codes in te voeren.

Indien je dat zelfs te veel moeite vindt, dan stel je in je Google account in om pas na 30 dagen weer te authenticeren (al is dat niet mijn voorkeur).

Maar je hoeft geen 2FA te gebruiken als je niet veel om je data geeft, of je potentiële identiteitsfraude prima vindt.

Arator @PostHEX • 12 mei 2016 17:20

Je typt gewoon je account naam en wachtwoord in zoals je gewend bent, en vervolgens om je te authenticeren steek je jouw U2F key in een USB poort van je systeem, je raak je het capacitieve contactje aan om de CRA te voltooien. Je hoeft geen codes in te voeren.

Kan ik wel niet meer inloggen op het werk, aangezien ik niet aan USB-poorten kan. De pc staat achter slot en grendel, en de sleutel hangt aan een genummerd loodje in een versleuteld bakje. Hou ik het maar op sms-authenticatie.

PostHEX @Arator • 12 mei 2016 17:46

Bedoel je dat je fysiek niet bij de USB poorten kan? Of dat de poorten simpelweg uit staan? Misschien een optie om te overleggen met je werkgever om een whitelist systeem te implementeren voor goed gekeurde USB apparaten? Geen ervaring mee of zoiets (goed en veilig) werkt. Yubikeys zouden makkelijk zijn om goed te keuren denk ik; de keys read-only sticks zijn, te weinig ruimte voor iets gevaarlijks (alleen een heel klein beetje opslag voor optionele statische 16 to 64 karakter wachtwoorden).

[Reactie gewijzigd door PostHEX op 22 juli 2024 21:52]

djwice

@PostHEX • 12 mei 2016 19:38

Probleem is dat de identificatie van USB devices niet waterdicht is, en dat hackers dus gemodificeerde devices kunnen maken die dan ook worden toegelaten. Zie o.a. nieuws: Onderzoekers kraken firmware usb-controllers

Arator @PostHEX • 12 mei 2016 20:50

In principe zou ik niet aan de pc (en de USB-poorten) aankunnen, doch aangezien er al eens een muis of toetsenbord sneuvelt, moeten we dit wel kunnen vervangen, dus moeten we in de kasten kunnen. (we werken in een 24/7 omgeving, met afdelingen in gans België, de ICT-techniekers werken in dagdienst

) Daarom is de sleutel verlood, en telkens we de sleutel nemen, moet dit worden ingeschreven in een register. De reden "ik moest even inloggen op mijn gmail-account" is dus geen geldige reden.

Yariva Moderator internet & netwerken @Arator • 12 mei 2016 17:40

Nogmaals de ene methode is niet beter dan de andere

Bij andere gebruikers werkt een stickie uitstekend.

.oisyn Moderator Devschuur® @PostHEX • 12 mei 2016 18:13

Klopt, veel 2FA methodes zijn omslachtig

Mwoa, ik heb een authenticator extension voor mijn browser op de twee computers die ik 100% vertrouw: thuis en op kantoor. Met twee muisklikken kan ik dan inloggen, dus erg omslachtig kan ik dat niet noemen

.

Natuurlijk wel een veiligheidsrisico, maar wel een weloverwogen risico. Als men toegang heeft tot een van die computers dan zijn er serieuzere problemen dan in kunnen loggen op mijn Google account.

.oisyn Moderator Devschuur® @wica • 12 mei 2016 16:42

- toen verificatie via SMS
- toen 2FA via de telefoon, apparte app

De een is niet echt een veiligere manier dan de andere. Beide kennen hun voor- en nadelen. Overstappen van SMS naar OTP maakt het niet veiliger. Misschien zelfs onveiliger (want als iemand je key heeft kan hij inloggen zonder dat je het doorhebt)

[Reactie gewijzigd door .oisyn op 22 juli 2024 21:52]

evilweed @wica • 12 mei 2016 16:50

En bedenk maar wat nieuws, dan is het een kwestie van tijd.

Waar een wil is ,is een hacker

.oisyn Moderator Devschuur® @PostHEX • 12 mei 2016 16:41

Heb je ook info links die geen video's zijn? Ik lees graag in mijn eigen tempo

U2F gebaseerd op een CRA

Het is vooral essentieel dat je de origin van de challenge controleert, want anders is het niet moelijker te attacken dan elke andere vorm van 2FA. Maar dat lijkt U2F dus wel te doen.

[Reactie gewijzigd door .oisyn op 22 juli 2024 21:52]

PostHEX @.oisyn • 12 mei 2016 16:59

Hier.

Op yubico.com (Yubico is lid van de FIDO Alliantie, en zijn een van de grootste drijfkrachten achter U2F) en fidoalliance.org kan je vrijwel alles vinden dat je nodig hebt.

Edit: nog wat meer:
https://developers.yubico...col_details/Overview.html

https://blog.rootshell.be...sword-vs-static-password/
^Gaat niet over wat je vroeg (dit is een extra feature van Yubikeys).

[Reactie gewijzigd door PostHEX op 22 juli 2024 21:52]

Soldaatje @.oisyn • 12 mei 2016 15:49

Als je bij gmail een herstel-emailadres instelt, krijg je bij wachtwoord-wijzigingen en dergelijke een email op dit adres en de mogelijkheid de wijziging ongedaan te maken.
Dit met 2FA zou genoeg moeten zijn.
Dan mag Gmail nog niet gebruikt worden uiteraard omdat VS.

Rafe @.oisyn • 12 mei 2016 15:59

Dat is trouwens precies het scenario waarom Google aan de slag is gegaan met nieuws: Google voegt inloggen via usb-sleutel toe aan Chrome (inmiddels ook bij oa Dropbox en GitHub) - door public key crypto en controle op de origin van een challenge is dat scenario niet meer uit te voeren.

[Reactie gewijzigd door Rafe op 22 juli 2024 21:52]

Coolstart @.oisyn • 13 mei 2016 00:30

Dan moet je wel op hetzelfde moment inloggen op zijn account en handmatig de 2FA code invoeren die de minister via zijn mobiel krijgt en denkt te geven aan Google.

Vervolgens zal hij wss een foutmelding krijgen om hem op het verkeerde been te zetten.

Dat is alles behalve ongericht want te hackers moeten klaarstaan op het moment hij op de verkeerde link klinkt die specifiek voorhem bedoeld was.

.oisyn Moderator Devschuur® @Coolstart • 13 mei 2016 08:41

Nonsens, dat hoeft toch helemaal niet met de hand, dat kan gewoon geautomatiseerd

Zoidberg_AvG @Finraziel • 12 mei 2016 15:39

Het gaat hier om een prive-account welke hij volgens de richtlijnen helemaal niet voor zijn werk had mogen gebruiken.

MSalters

Politiek en recht

@Zoidberg_AvG • 12 mei 2016 17:04

Dat is weer iets overdreven. Privé-accounts mogen niet gebruikt worden voor emails waarvan de inhoud staatsgeheim is.

Maar niet alles wat een minister doet is zo geheim. Als een ambtenaar 's avonds nog een mailtje stuurt aan Kamp met het adres voor het werkbezoek voor de volgende ochtend, dan mag dat mailtje best CC naar zijn prive GMail adres. Die werkbezoeken zijn toch openbaar, dus dat de NSA meeleest met GMail maakt niet uit.

En sommige dingen moeten wel geheim blijven, maar zijn daarmee nog geen staatsgeheim. Als Kamp met Rutte wil emailen over de VVD kandidatenlijst, dan hoeft dat niet publiek te gebeuren, maar anderzijds geld er ook niet de formele 50 jaar geheimhouding.

Niemand_Anders @MSalters • 12 mei 2016 17:26

Juist dan mag het helemaal niet. Want Google heeft dus toegang gehad tot staatsgeheimen!

Het gebruik van een gmail adres voor OFFICIELE communicatie is eigenlijk zelfs nog ergens dan zelf een mailserver gaan draaien zoals Hillary dat deed..

Er is geen enkele reden waarom Kamp onderweg niet zijn officiele emailadres kan gebruiken. Windows Phone, Android en Apple ondersteunen allen VPN mogelijkheden waarmee je overal ter wereld een veilige en versleutelde verbinding met de emailserver van de overheid kunt opbouwen..

Kamp mag best een gmail adres hebben voor prive gebruik. Echter dan moet het ook echt voor prive gebruik zijn..

MSalters

Politiek en recht

@Niemand_Anders • 12 mei 2016 18:38

Sorry, maar als je dat claimt, dan zul je het toch echt moeten onderbouwen.

Er zijn hier drie soorten emails:
1. Staatsgeheim
2. Officieel maar openbaar
3. Prive

De eerste categorie mag niet via GMail, per definitie. De laatste categorie mag via GMail, want prive. Die middelste is de interessante categorie. Is dat toegestaan? Verkeerde vraag - alles is toegestaan wat niet verboden is. Is het verboden, en zo ja, via welke wet?

loki504 @MSalters • 12 mei 2016 18:53

Maar waarom werk dingen bespreken via je privé mail. Mag hopen dat kamp ook gewoon op zijn werk mail kan in privé tijd. En even een mailtje naar je privé met hey ik heb je werk mail gemaild en het is dringend. Zo voorkom je dat er iets uitlekt wat net niet openbaar mocht zijn.

Verwijderd @loki504 • 12 mei 2016 20:11

Maar waarom werk dingen bespreken via je privé mail.

Omdat een collega je uitnodigd voor een barbeque? Het is normaal dat dit soort dingen over je zakelijke email gaan. Hoeveel contacten heb JIJ waarbij je elke keer moet bepalen welke van de twee accounts je moet gebruiken? Ik geen enkele en gebruik mijn zakelijke accounts voor al dat soort 'prive zaken' als het collega's betreft. Ik heb net gekeken en zag dat ik alleen al vandaag 12 mails gestuurd heb die 'prive' waren op mijn werk mail server. Ik zie absoluut niets fout daarin.

Tot we weten of er inderdaad staatsgeheimen naar dit (in dat geval) incorrecte zijn gegaan is het allemaal een grote storm in een heel klein glaasje. Dat zal de tweaker die graag reuring wil niet deren natuurlijk.

loki504 @Verwijderd • 12 mei 2016 20:18

Dit is wat MSalters type is zijn gebricht.

Als een ambtenaar 's avonds nog een mailtje stuurt aan Kamp met het adres voor het werkbezoek voor de volgende ochtend

Neem aan dat je werk gerelateerd gewoon via werk mail doet. Wat die knapper prive doet mag hij lekker zelf weten. Maar werk gerelateerde mail(openbaar toegankelijk of niet). hoor je gewoon via werkmail te doen imo.

lever @loki504 • 13 mei 2016 02:13

Of het hoort of niet maakt niet uit. Het is niet via de wet verboden. Ik snap niet waar iedereen zich zo druk over maakt.

.oisyn Moderator Devschuur® @Verwijderd • 13 mei 2016 09:07

Hoeveel contacten heb JIJ waarbij je elke keer moet bepalen welke van de twee accounts je moet gebruiken?

Een stuk of 10? En dan heb ik her nog niet eens over de gevallen waarbij men een keer per ongeluk het verkeerde verzendaccount heeft gebruikt (altijd feest, linked inboxes) waar op gereplied is en dat adres dus in het adresboek belandt.

Wim-Bart @MSalters • 13 mei 2016 03:18

Werk gerelateerde e-mail zou verboden moeten worden om te sturen via privé e-mail. 100% kans dat privé e-mail adres na einde functie nog bij medewerkers in standaard lijntjes en reply en adresboekje blijft staan en per ongeluk gebruikt kan worden.

Verwijderd @Zoidberg_AvG • 12 mei 2016 16:13

En om deze reden vind ik dus eigenlijk wel dat er best koppen mogen gaan rollen. Dit is namelijk een zeer ernstige zaak te noemen.

Verwijderd @Verwijderd • 12 mei 2016 20:14

En om deze reden vind ik dus eigenlijk wel dat er best koppen mogen gaan rollen. Dit is namelijk een zeer ernstige zaak te noemen.

Exact WAT vind jij ernstig? Dat een collega de minister heeft gewezen op de nieuwe afleveringen van een TV series via zijn werk email? Of weet jij zeker dat er supergeheime zaken zijn gestuurd naar die email? Er is geen wet die verbied een schattige kattevideo link te sturen vanaf een zakelijk account nietwaar?

Dus precies WAT vind jij zo ernstig?

TheGhostInc @Zoidberg_AvG • 12 mei 2016 17:57

Het gaat hier om een prive-account welke hij volgens de richtlijnen helemaal niet voor zijn werk had mogen gebruiken.

Ik heb ook contact met collega's via gmail, maar dat betekent niet dat het over werk gaat of voor mijn werk is!

Je ziet dit vaak met telefoonnummers. Een privé nummer wordt een keer aan een collega gegeven voor een privé zaak of eenmalige situatie en voor je het weet word je op elk willekeurig moment gebeld. Soms zelfs tegen alle richtlijnen of geldende procedures in onder het mom van 'noodgeval' of 'sneller'.
Dus voordat ik de minister 'vooroordeel' wil ik wel even weten wat er precies aan de hand is.

Armin @Finraziel • 12 mei 2016 17:44

die blijkbaar ook niet afgevangen werd door beveiliging

Aangezien het GMail was, is dat niet zo raar natuurlijk.

Alhoewel, Google wellicht betere beveiliging/meer ervaring heeft dan de NLse overheid

Finraziel

@Armin • 12 mei 2016 18:23

Ja, maar volgens mij scant veel desktop security software toch ook de links waar je naar toe gaat en zo, daar doelde ik meer op.

herbinator 12 mei 2016 15:36

Waarom gebruikt de minister zijn gmail account om met ambtenaren te emailen?

StackMySwitchUp @herbinator • 12 mei 2016 15:38

Dit dus. en daar zijn wij, als land van afhankelijk.

Tukkertje-RaH @StackMySwitchUp • 12 mei 2016 15:42

Als iedereen waar dit land van afhankelijk zou zijn een expert zou moeten zijn in financiele contructies, politiek, manipulatie, social engineering, IT & Security, multinationals, etc, dan denk ik dat we weinig bestuurders over zouden hebben...

Het is achteraf makkelijk roepen dat het allemaal verkeerd is en heel erg dom en zo, maar deze man is niet opgeleid als ICT beveiliger. Hij is er om het land te besturen, en kennelijk geeft de afdeling IT hem daar niet de juiste tools & functionaliteit voor - en dus haalt 'ie dat elders.

ICT Security is altijd een mooi ding, maar de pest is dat het zoveel afbreuk doet aan de featureset en gebruiksvriendelijkheid dat een *echt* veilig tool nooit veel gebruikers zal kennen (de al-oude drie-eenheid: security, usability, features: select only two)...

Dus ja, dit was niet slim, maar om nou te suggereren dat we daar als land onder lijden...

[Reactie gewijzigd door Tukkertje-RaH op 22 juli 2024 21:52]

Cio @Tukkertje-RaH • 12 mei 2016 15:56

Vent is mooi wel verantwoordelijk voor DICTU (Dienst ICT Uitvoering van de Rijksoverheid) en blijkt nu als medewetgever, zelf niet in staat zich aan de regels te houden.

Als een minister besluit dat het werk van een dienst waar hij verantwoordelijk voor is niet goed genoeg is, moet je daar iets aan doen, niet regels overtreden om langs het probleem heen te werken.

[Reactie gewijzigd door Cio op 22 juli 2024 21:52]

emnich @Tukkertje-RaH • 12 mei 2016 15:51

Het afdoen als een foutje is echt te makkelijk.

Deze man was ooit onze minister van defensie en heeft al meerdere departementen geleid. Hij is 100% verantwoordelijk voor de gang van zaken op zijn ministerie. De beveiliging op zijn ministerie is niet op orde en hij mag wat mij betreft dáárom aftreden.

Dus niet omdat hij zelf een fout heeft gemaakt maar omdat zijn organisatie hem toestond dat die fouten gemaakt konden worden.

[edit]
Of het land er onder te lijden heeft gehad zullen we (hopelijk) nooit weten maar helemaal uitsluiten kan je het niet. De enige geruststellende gedachte is dat de hackers het hebben gebruikt om te spammen dus ik denk dat ze niet echt wisten wat ze in handen hadden.

[Reactie gewijzigd door emnich op 22 juli 2024 21:52]

leuk_he @emnich • 12 mei 2016 16:14

Dus nu ga je het slachtoffer aanpakken ipv de dader. Omgekeerde wereld!

Verwijderd @leuk_he • 12 mei 2016 16:40

Kamp heeft ook zijn verantwoordelijkheden te nemen net zoals jij en ik en ieder ander. Kamp al helemaal in zijn functie.

Net zoals jij je huis goed op slot moet doen zodat het niet leeggeroofd kan worden. De dief kan dan wel de dader zijn maar zelf ben je ook erg onverantwoordelijk bezig. Als je dat zelf niet vindt moet je het je verzekeringsmaatschappij maar vragen.

FreezeXJ @leuk_he • 12 mei 2016 16:42

Een 'slachtoffer' dat beter had moeten weten, als de politiechef bestolen wordt ga je hem ook aanspreken op de hoeveelheid stoute mensen, helemaal als je merkt dat hij z'n voordeur open laat als hij weggaat.

huntedjohan @emnich • 12 mei 2016 16:53

vooral ook gelijk beginnen over aftreden

emnich @huntedjohan • 12 mei 2016 17:13

Ja, als je:

niet zorgt dat je eigen organisatie veilig is
je e-mail stuurt/ontvangt via een Amerikaanse organisatie
je dat account laat hacken

Dan ben je wat mij betreft niet geschikt als minister. Verder zou ik nog wel graag willen weten waarom het OM plots met een andere verklaring komt dan ze in eerste instantie hebben gegeven maar Kamp is daar niet direct verantwoordelijk voor.

De meeste bewindslieden zijn al niet gekozen om hun kwaliteiten maar om hun politieke vrienden. Wat mij betreft mag je dan ook hard afrekenen als ze verwijtbare fouten maken.

En, nee, iemand hoeft niet bij elke scheet af te treden zeker niet als hij/zij daar niet direct voor verantwoordelijk is. In dit geval is dat wat mij betreft echter wel zo.

StackMySwitchUp @Tukkertje-RaH • 12 mei 2016 15:52

Je hoeft volgens mij geen IT expert te zijn om te weten dat het gebruik van een externe dienst, gevestigd in de USA, die niet door een ICT afdeling van de Nederlandse overheid is gemanaged gewoon not-done is.
Het gaat wel om de veiligheid van het land dat je bestuurt.
Als het zijn privé account was waar zijn privé mails op stonden, maar geen zakelijke mails naar collega ministers (wat per definitie best beschouwd mag worden als geheim) dan had ik het best een beetje dom gevonden, maar niet erg. Dit is andere koek, dit is gewoon idioot.

Als de heer minister nooit van de NSA of hackers (of bekende grote database hacks) heeft gehoord dan heeft hij onder een steen geleefd en zou ik sowieso al twijfelen aan zijn functie als bestuurder.

[Reactie gewijzigd door StackMySwitchUp op 22 juli 2024 21:52]

MSalters

Politiek en recht

@StackMySwitchUp • 12 mei 2016 17:08

Niet elke zakelijke mail is meteen staatsgeheim! Als je met de collega-ministers overlegt wie er naar de uitreiking van de Libris literatuurprijs gaat, dan is de veiligheid van het land niet in het geding hoor.

Minister zijn is een publieke taak, en daarmee hangt samen dat een heleboel van wat je doet sowieso publiek is. Met de Wet Openbaarheid Bestuur is een heleboel ook gewoon op te vragen. Om nu meteen aan te nemen dat de desbetreffende informatie staatsgeheim is, zonder de feiten te kennen ...

Armin @StackMySwitchUp • 12 mei 2016 17:49

Je hoeft volgens mij geen IT expert te zijn om te weten dat het gebruik van een externe dienst, gevestigd in de USA, die niet door een ICT afdeling van de Nederlandse overheid is gemanaged gewoon not-done is.

Of het gevestigd is in de USA of niet is niet zo heel belangrijk. Gebruik van Ziggo was net zo erg geweest. Het punt is namelijk niet enkel beveiliging (die bij GMail wellicht zelfs beter is dan die van de NLse overheid

) maar de wetten op openbaarheid van bestuur. Emails van ministers kunnen en worden X jaar bewaard. Die van Ziggo en GMail hoogstens tijdelijk zodat iemand de prullenbak kan herstellen.

lever @Armin • 13 mei 2016 02:23

Ik heb nog steeds alle email in mijn Gmail staan sinds de beta. Hoe lang is tijdelijk in jouw ogen?

Armin @lever • 13 mei 2016 19:40

Wat jij doet ("nooit deleten') is dan ook representatief voor de rest van de wereld, nietwaar?

Jeroenneman @Tukkertje-RaH • 12 mei 2016 16:01

Hij is er om het land te besturen, en kennelijk geeft de afdeling IT hem daar niet de juiste tools & functionaliteit voor - en dus haalt 'ie dat elders.

Het lijkt me meer een gevalletje "dit ken ik, en dit vind ik handig", dan een geval "ik kan mijn werk niet doen met dit andere pakket".

Also: alsof dat een excuus zou mogen zijn. Ik word als werknemer ook niet gevraagd of ik Outlook zo kan waarderen, maar ik laat het uit mijn hoofd om werkmail te ontvangen op een privémail. Ik vind Dropbox ook fijner werken dan die "sharepoint" prut, maar toch denk ik er niet aan om vertrouwelijke documenten op de Dropbox te zetten. Zoals iedere normale werknemer heb ik me namelijk wél gewoon te houden aan de richtlijnen die op kantoor gelden.

Maar natuurlijk is dat voor een minister totaal niet van toepassing. Die moet immers "zijn werk kunnen uitvoeren met de juiste tools en functionaliteit".

Proest...

DonChaot @Tukkertje-RaH • 12 mei 2016 16:12

Wat ook niet klopt is dat zijn ambtenaren kennelijk zonder na te denken info sturen naar gmail adressen. Ook daar moet een belletje gaan rinkelen.

Aan de andere kant weten we niet wat er in die mails staat. Voor hetzelfde geld zijn het allemaal mails met appeltaart recepten.

_root @DonChaot • 12 mei 2016 16:20

Het is verboden om departementaal vertrouwelijke informatie en hoger naar buiten te sturen.
Dus ik neem aan dat dit soort regels ook voor een minister gelden.
Ik neem aan dat het alleen recepten voor de cake van aanstaande zondag zijn.

MSalters

Politiek en recht

@_root • 12 mei 2016 17:14

De regels voor ambtenaren en politici zijn fundamenteel verschillend. Een ambtenaar kan alleen worden ontslagen als de regel vooraf op schrift was gesteld, en ontslag als sanctie daaraan verbonden.

De Tweede Kamer mag echter elke minister ontslaan, ongeacht regels of bewijslast. Sterker nog, om dat te kunnen doen mogen er geen regels zijn. Als de regel is dat een minister ontslagen kan worden om redenen A, B en C, dan volgt daaruit dat je'm niet kan ontslaan om reden D.

Verwijderd @Tukkertje-RaH • 12 mei 2016 16:47

Als iedereen waar dit land van afhankelijk zou zijn een expert zou moeten zijn in financiele contructies, politiek, manipulatie, social engineering, IT & Security, multinationals, etc, dan denk ik dat we weinig bestuurders over zouden hebben...

Door een betere ondersteuninig in IT en Security zal het aantal bestuurders niet toenemen. Wel het aantal IT-mensen.

ICT Security is altijd een mooi ding, maar de pest is dat het zoveel afbreuk doet aan de featureset en gebruiksvriendelijkheid dat een *echt* veilig tool nooit veel gebruikers zal kennen (de al-oude drie-eenheid: security, usability, features: select only two)...

Het is inderdaad minder gebruiksvriendelijk maar wat belangrijker is is de beveiliging van gegevens en informatie.
Door al het terrorisme hebben wij als burger ook te maken met ongebruiksvriendelijkheden die de veiligheid moeten verhogen (ga maar eens vliegen).
De politiek is al te bang voor terrorisme en verwante zaken. Dan zou je verwachten dat ze de boel goed op slot houden.
Blijkbaar mogen enkel de burgers de lasten dragen en rommelt met in Den Haag maar wat aan.

kathaar @Tukkertje-RaH • 12 mei 2016 18:44

Sommige bestuurders zijn nogal hardnekkig in hun gedrag, zoals in het gebruik van Gmail. Ondanks diverse waarschuwingen van ict-afdelingen.

Rannasha @StackMySwitchUp • 12 mei 2016 15:43

Ach, in de VS is de kans groot dat ze dit jaar iemand tot president verkiezen die alle communicatie via een thuisservertje liet lopen, een server met diverse kwetsbare remote-access diensten die vanaf het internet toegankelijk waren.

Zo vreemd is het dus niet

Armin @Rannasha • 12 mei 2016 17:52

... en initieel ook nog eens niet versleuteld was $_/-\o_$

CJ_Latitude

@herbinator • 12 mei 2016 15:49

Dat staat er niet. Er staat dat hij ze ontving.

Kan iemand toelichten hoe het phishing en het ontvangen van mails op het Gmail-account in relatie tot elkaar kunnen staan? Je zou toch eerder denken dat door het phishen juist e-mails zijn verstuurd vanaf dit account?

Durandal @CJ_Latitude • 12 mei 2016 16:13

Waarom denk je dat?

Phishisng; kamp logt in op nep Google mail via linkje in phising mail of zo en ze hebben zijn password.

Dat hij staatsmail ontving op zijn persoonlijk mail account staat los van het phising verhaal. Ook niet goed. Beide fout, maar niet gerelateerd (want mass-phising, en niet specifiek gericht op hem).

floppie86 @herbinator • 12 mei 2016 15:38

Ja, dat is volgens mij meer waar de discussie over moet gaan. Krijgt vast nog een staartje.

latka @floppie86 • 12 mei 2016 15:41

Zal wel een foei worden. Is een beetje het VVD beleid lijkt het, met zachte maatregelen en uitrekken proberen de streep te halen.

huntedjohan @latka • 12 mei 2016 16:57

ach dat is allicht beter dan het PVV beleid waarbij ze bij elke scheet al lopen te schreeuwen om aftreden. Waar gewerkt word, worden fouten gemaakt, en ook in het ministerie verdient met een 2e kans om te bewijzen dat ze beter weten en kunnen lijkt me zo.

latka @huntedjohan • 13 mei 2016 10:33

U zei: nieuws: Minister Kamp gaat door met gebruik Gmail voor communicatie met ambtenaren

En nee PVV is ook geen oplossing. De politiek is algemeen langzaam een probleem aan het worden voor dit land: geen oplossingen en leiderschap.

[Reactie gewijzigd door latka op 22 juli 2024 21:52]

huntedjohan @latka • 13 mei 2016 10:35

dan nog blijf ik bij mij bericht van gister. dat vd kamp blijkbaar niet wil bewijzen dat hij beter weet en kan is jammer, maar gister verdiende hij in mijn ogen die 2e kans

dat hij dat niet aangrijpt om de situatie te verbeteren wisten jij en ik gisteren niet.

latka @huntedjohan • 13 mei 2016 10:52

Het is een beetje de lijn van het beleid.Acties uit het verleden zijn sterk gecorreleerd met de acties van vandaag ;-)

huntedjohan @latka • 13 mei 2016 10:55

resultaten uit het verleden bieden geen garantie voor de toekomst toch?

AlphaWierie @herbinator • 12 mei 2016 15:47

Ik denk dat het makkelijker is om te ontvangen en versturen op je smartphone. Voor mijn eigen bedrijf gebruik ik ook een gmail account omdat dit makkelijk werkt met android. Het zakelijke mail .bedrijf.nl gebruik ik alleen om het te forwarden naar mijn gmail.

Aapmansz @AlphaWierie • 12 mei 2016 17:56

Zakelijke mail kan je ook via Google laten lopen:
https://apps.google.nl/products/gmail/
Kost je 4 EURO per gebruiker per maand.

Wim-Bart @AlphaWierie • 13 mei 2016 03:27

En in je arbeidscontract staat.dat je correspondentie, documentatie en data mee naar buiten mag nemen?

Verwijderd @herbinator • 12 mei 2016 16:07

Als er iets gemaild wordt waarvan de 2e kamer en de media niets mogen weten.

MSalters

Politiek en recht

@Verwijderd • 12 mei 2016 17:17

Het werkt eerder andersom. Als het dusdanig niet geheim is dat het via GMail mag, dan kan de media dus ook een WOB verzoek indienen en kan Kamp het verzoek niet afwijzen op grond van geheimhouding.

Armin @MSalters • 12 mei 2016 17:59

Alleen heeft GMail dus die oude email niet meer indien gedelete ...

Vandaar dat overheids email via overheids-servers moet. Dar is namelijk een wettelijk gefundeerd beleid betreft wat voor hoe lang bewaard moet worden.

MSalters

Politiek en recht

@Armin • 12 mei 2016 18:35

Dat maakt niet uit, zou je zeggen: het is WOB-waardig omdat het door ambtenaren verstuurd is vanuit de overheid, dus het zou daar nog op de server moeten staan.

(En als het gaat om informatie die ook z'n oorsprong buiten de overheid had, dan is het niet eens relevant dat Kamp het op z'n prive adres ontving. )

Armin @MSalters • 12 mei 2016 19:02

dus het zou daar nog op de server moeten staan.

Zoals ik zei: Alleen heeft GMail dus die oude email niet meer indien gedelete ...

Dat is het verschil tussen overheids-email en particuliere email. Wanneer de gebruiker iets delete is het bij GMail ook écht weg (na een bepaalde periode dat je je prullenbak kunt herstellen).

Dan kun je WOB'en wat je wilt, maar die email is weg. Hoogstens kun je hopen dat aan de zender-kant het nog bestaat.

Vandaar dat overheids email via overheids-servers moet. Dar is namelijk een wettelijk gefundeerd beleid betreft wat voor hoe lang bewaard moet worden.

toolkist @Armin • 12 mei 2016 21:37

En dus heeft de verzendende partij de mail spontaan ook niet meer?

Armin @toolkist • 12 mei 2016 21:45

En dus heeft de verzendende partij de mail spontaan ook niet meer?

Dat hangt - zoals je zelf ook wel weet - geheel af van de verzendende partij.

Een private organisatie die een email stuurt, mogelijk niet, en valt ook niet onder WOB dus heeft geen verplichting zo'n email te produceren. Een buitenlandse entiteit msischien wel, of misschien niet, maar valt geheel niet onder de Nederlandse WOB.

Wat jij zelf ook wel weet - is dat bij gebruik van GMail er geen garantie is dat er later aan WOB voldaan kan worden. En om die reden is het gebruik van GMail of andere private email niet gewenst. Dat is minstens zo belangrijk als eventuele beveiliging.

MSalters

Politiek en recht

@Armin • 13 mei 2016 13:40

Nogmaals, lees het artikel. De mails waar het over gaat zijn verzonden vanaf een overheidsserver, en bij een WOB-verzoek kunnen ze daar gevonden worden.

Als een prive-persoon naar Kamp's prive-adres email, is het niet WOB-waardig tenzij Kamp besluit dat hij in zijn hoedanigheid als minister is ge-emaild.

Armin @MSalters • 13 mei 2016 19:51

Als een prive-persoon naar Kamp's prive-adres email, is het niet WOB-waardig tenzij Kamp besluit dat hij in zijn hoedanigheid als minister is ge-emaild.

Precies, maar dat weet je dus enkel achteraf. Als een buitenlandse mogendheid, organsiatie of wie/wat dan ook iets stuurt naar GMail en Kamp delete het is het weg.

Als iemand of een organisatie Kamp email naar GMail kan die email NOOIT geWOBt worden. Of dat nu volgens de wet wel of niet eronder valt, is irrelevant, want het kan dus NOOIT.

En dat is het probleem. Elke email naar een ministers moet daarom via overheidsservers gaan zodat het geWOBt kan worden.

Uiteraard is niet elke email WOB-waardig, maar dat is irrelevant in deze discussie. Want ...

Als een prive-persoon naar Kamp's prive-adres email, is het niet WOB-waardig tenzij Kamp besluit dat hij in zijn hoedanigheid als minister is ge-emaild..

... waar het in deze context dus om gaat is emails die naar hem gestuurd zijn als hoedanigheid als minister. Prive emails zijn niet relevant, en als Kamp's prive GMail hehacked was, was dat ook geen nieuws geweest als hij daar geen emails als hoedanigheid van minister ontving.

Al die emails horen dus via overheids-servers te gaan, zodat bije en eventueel WOB verzoek gekeken kan worden of ze onder die wet vallen of niet. Immers het is niet aan de minister om te bepalen wat er wel of niet onder valt.

Prive emails mogen best/van naar Kamp's GMail, niet emails van/naar ambtenaren in de context van zijn werk. Juist vanwege WOB.

CopyCatz @herbinator • 12 mei 2016 15:40

Meer storage waarschijnlijk.

Bij mij op de zaak zit de helft van de mensen via gmail te mailen vanwege de restricties die er op de zakelijke email zit. Op zich is dat al triest, maar dat dan zelfs de allerhoogste minister die handelswijze gaat volgen is echt tragisch. Kennelijk is er ergens in Den Haag dus een systeembeheerder met meer macht dan een minister

CivLord

@CopyCatz • 12 mei 2016 16:21

Kennelijk is er ergens in Den Haag dus een systeembeheerder met meer macht dan een minister

Dat is maar goed ook, anders had die systeembeheerder waarschijnlijk op last van de minister de beveiliging op de mailserver van het ministerie kreupel moeten maken.

Verwijderd 12 mei 2016 15:49

Het is heel simpel om te stellen dat minister Kamp in een eenvoudige phishing mail is getrapt. Als hij het slachtoffer is geworden van bijv. whaling ( https://en.wikipedia.org/wiki/Phishing#Phishing_techniques ) dan kan ik mij zo voorstellen dat hij daar is ingetrapt.

Overigens door middel van multi-factor authenticatie kan inderdaad heel wat van dit soort ellende worden ondervangen. Maar ook aan multi-factor authenticatie zitten haken en ogen.

Omer @Verwijderd • 12 mei 2016 16:27

Welke haken en ogen bedoel je?

Tomaat @Omer • 12 mei 2016 16:46

Stel dat je Google Authenticator gebruikt en je doet een factory reset van je telefoon, dan ben je je keys kwijt en kun je niet meer inloggen.

delirium @Tomaat • 12 mei 2016 16:51

Daarom krijg je recovery codes, die print je uit en leg je in een kluis.

Tomaat @delirium • 12 mei 2016 17:11

Ah ja, dat klopt. Ik heb gewoon de DB met keys op een USB-stick gezet en deze bewaar ik op $geheime_locatie

R4gnax @Tomaat • 12 mei 2016 20:03

Ah ja, dat klopt. Ik heb gewoon de DB met keys op een USB-stick gezet en deze bewaar ik op $geheime_locatie

Dom. USB sticks blijven niet eeuwig goed. Als je die codes over 5+ jaar nodig hebt en het geheugen is gedegradeerd ben je gloeiend genaaid.

Het is niet voor niets dat geadviseerd wordt om ze op papier uit te printen en vaak zelfs om ze dan ook in duplo op verschillende locaties te bewaren i.v.m. verlies door brand, etc.

mrdemc @Tomaat • 12 mei 2016 16:51

Voor dat soort gevallen heb je een tweede emailaccount die je kunt koppelen en in sommige gevallen, bij google dacht ik wel en in ieder geval bij microsoft, ook per sms/bellen. Dus dat lijkt me geen probleem.

lololig @mrdemc • 12 mei 2016 17:23

Je kunt bij Gmail idd een 2e account koppelen. Koppelen van een telefoon nummer kan ook. Maar als je op allebei je Google accounts authenticator gebruikt en je telefoon gaat stuk heb je dus wel een probleem. Dus die keys zijn wel handig.
Weet niet of alle accounts keys hebben, vroeger was dat namelijk niet zo en ik weet niet of de betreffende accounts nog keys krijgen. Die keys krijg je namelijk volgens mij bij het aanmaken van je account.

Wim-Bart @lololig • 13 mei 2016 03:33

Je kan bij google en Microsoft meerdere keys hebben voor meerdere accounts. Heb zelf 2x Google, 3x MS en 1 x Facebook in mijn authenticator.

Verwijderd @Omer • 12 mei 2016 16:51

Namelijk dat ook met multi-factor authenticatie zorgvuldig moet worden omgegaan. Vormen van authenticatie kan je normaal gesproken in 5 kolommen indelen. We spreken van multi-factor authenticatie als er gebruikt wordt gemaakt van ten minste twee verschillende kolommen. De kolommen zijn:

- Iets wat je weet
- Iets wat je hebt
- Iets wat je bent
- Waar je bent
- Iets wat je doet

Een voorbeeldje. Als ik je nu vertel dat een bankpas (iets wat je hebt) en een pin (iets wat je weet) ook een vorm van multi-factor authenticatie is. Dan weet je nu ook dat ook multi-factor authenticatie niet altijd zaligmakend is

lololig @Verwijderd • 12 mei 2016 17:19

Toch lijkt 2 stap authentiecatie dmv een wachtwoord en een gegenereerde token (zoals Google dat heeft met de authenticator app) best veilig als je er maar voor zorgt dat minstens 1 van de dingen(username, ww,token) niet in handen van een kwaadwillende komt. Een wachtwoord is relatief makkelijk af te troggelen als je een beetje slim te werk gaat.

R4gnax @lololig • 12 mei 2016 20:05

Toch lijkt 2 stap authentiecatie dmv een wachtwoord en een gegenereerde token (zoals Google dat heeft met de authenticator app) best veilig als je er maar voor zorgt dat minstens 1 van de dingen(username, ww,token) niet in handen van een kwaadwillende komt. Een wachtwoord is relatief makkelijk af te troggelen als je een beetje slim te werk gaat.

Een smartphone is tegenwoordig ook redelijk eenvoudig door malware te infecteren. Dus een authenticator app is ook niet zaligmakend.

Als je dan two-factor gaat doen, dan ook echt met een compleet gescheiden apparaat. Dus een hardware token dat nooit direct met een ander systeem verbonden wordt, maar altijd air-gapped is.

lololig @R4gnax • 13 mei 2016 00:06

Maar ook al is je smartphone verbonden, dan kom je er nog steeds alleen in met een gerichte aanval. Je moet de telefoon nog steeds koppelen met het betreffende account.

Losse tokens zijn natuurlijk beter. Die worden ook gewoon gebruikt in allerlei systemen (bijvoorbeeld voor vpn van bedrijven). Voor Google is het natuurlijk niet echt haalbaar om iedereen een hardware token te geven. Je kunt het natuurlijk ook op andere manieren doen zoals de ING bijvoorbeeld printbare tancodes heeft /had.

Verwijderd @Verwijderd • 12 mei 2016 16:04

Alleen heeft het OM geen reden om dat te vermoeden. Ze gaan zelf uit van een algemene aanval, geen specifiek gerichte zoals bij Whaling.

DonLexos @Verwijderd • 13 mei 2016 09:38

Ja los nog even dat Google je vrijwel realtime op de hoogte brengt van een (succesvolle) login vanaf een IP adres dat ze niet eerder hebben gezien. Ontvang ze zelf ook als ik bijv ergens anders inlog of vanaf een bekende computer maar via een (tot dan toe) onbekende browser.

floppie86 12 mei 2016 15:36

De Nigeriaanse loterijprijs was nog maar één inlog van hem verwijderd?

Wel ongelooflijk dat een minister er in trapt.

Rob Coops @floppie86 • 12 mei 2016 15:49

Overheid en ICT... ongelooflijk nou nee ik zou eerder zeggen geheel volgens het tot opheden geschapen verwachtingspatroon.

CivLord

@Rob Coops • 12 mei 2016 16:05

Je denkt dat de top van bv. Ahold wel uit ICT-experts bestaat?

Rob Coops @CivLord • 12 mei 2016 16:10

Dat zeg ik niet maar ze zijn niet zo stom om dit soort fouten te maken tot op heden. In het bedrijfsleven weten ook de hoge heren en dames zich meestal redelijk goed aan de geldende regels te houden. Waar dat binnen de overheid veel al toch net even anders ligt.

CivLord

@Rob Coops • 12 mei 2016 16:27

De topmensen uit het bedrijfsleven komen uit dezelfde 'pool' als de toppolitici, dus die zijn geen haar slimmer.
Alleen zijn bedrijven er beter in om dit soort zaken uit het nieuws te houden. En om een legertje PA's aan de topman te koppelen zodat die niet in de gelegenheid/ verleiding komt om op deze manier te blunderen.

Tunaflish @Rob Coops • 12 mei 2016 16:18

Nee hoor, die zijn net zo deprimerend. Paar jaar geleden was ik bij een klein demo van een beveiligingsbedrijf die liet zien hoe makkelijk het is om een pc over te nemen. Waren ook een paar bobo's uit de regio bij, waaronder enkele van grote internationale bedrijven. Kerel liet zien hoe makkelijk een phishingmailtje te verzenden is en er kwam letterlijk de vraag 'Dus ik moet niet op links in mails klikken?' van een van die lui.

Hoe hoger in de keten, hoe minder verstand van dit soort simpele praktijken, lijkt het soms.

CivLord

@floppie86 • 12 mei 2016 16:17

Die Nigeriaanse loterijprijs trapt niemand meer in. Het gaat tegenwoordig een stuk geraffineerder.

Ik heb een tijd geleden regelmatig mailtjes ontvangen die van PayPall afkomstig leken. De Algemene voorwaarden zouden gewijzigd zijn en ik moest even via de link inloggen om ze te lezen en goed te keuren. Ik was er zelf bijna ingetrapt, totdat ik me bedacht dat het erg ongebruikelijk is om in dergelijke mails een inlog link te plaatsen. Meestal staat er in dergelijke mails alleen een openbare link naar de nieuwe algemene voorwaarden en de vermelding dat ze er van uit gaan dat je akkoord bent wanneer je de dienst blijft gebruiken.

Hoewel er nog genoeg mailtjes van Nigeriaanse en Saoedise prinsen met een wereldaanbod rondgestuurd worden, zijn er ook genoeg fishing mails waar die een stuk lastiger te herkennen zijn. Ook foute spelling komt lang niet altijd meer voor. Vaak is alleen een link naar de inlogpagina van een dienst de enige reden om de mail te wantrouwen.

MSalters

Politiek en recht

@CivLord • 12 mei 2016 17:19

Ik heb een tijd geleden regelmatig mailtjes ontvangen die van PayPall afkomstig leken. ... Ook foute spelling komt lang niet altijd meer voor.

lololig @floppie86 • 13 mei 2016 00:10

Je kan toch zomaar een mailtje krijgen van iets wat op een of andere bekende organisatie lijkt (al dan niet van de overheid) als minister. Als je dan even 1 sec niet goed kijkt hebben ze je.
En als jij je privemail gebruikt doet je college het misschien ook wel en krijg je een mailtje met bijlage van mrutte@gmail.com ofzo. Mooi verhaaltje er in en daar ga je.

Dus gewoon dom om je privemail op je werk te gebruiken en niet goed genoeg op te letten. Zeker als je op een dergelijke positie zit.

bluecupra 12 mei 2016 15:34

Hebben dergelijke personen dan geen twee weg authenticatie op de hun G-mail account? Lijkt mij toch een kleine moeite en bied wat meer beveiliging dan enkel een username / password combinatie

.oisyn Moderator Devschuur® @bluecupra • 12 mei 2016 15:39

Want met 2FA ben je veilig tegen phishing?
.oisyn in 'nieuws: Kwaadwillenden achterhaalden wachtwoord minister Kamp met phishing'

[Reactie gewijzigd door .oisyn op 22 juli 2024 21:52]

Verwijderd @.oisyn • 12 mei 2016 15:45

Ja? Ga je anders je gsm ook opsturen?

.oisyn Moderator Devschuur® @Verwijderd • 12 mei 2016 16:00

Hoeft toch niet? De phishing site gaat in het echt ook inloggen, die stuurt op zijn beurt een code naar de telefoon van minister Kamp (bij SMS dan, OTP is ook een optie, maar zelfde verhaal), en die vult die code nietsvermoedend op de phishing pagina in. En hopla, men zit in zijn account.

Armin @.oisyn • 12 mei 2016 19:43

die stuurt op zijn beurt een code naar de telefoon van minister Kamp

Want die Chinese of Braziliaanse website kent het prive telefoon nummer van Kamp

.oisyn Moderator Devschuur® @Armin • 12 mei 2016 20:34

Met die refereer ik natuurlijk aan de officiele site van Google, waarop ingelogd wordt door de phishing site

. Is dit nou echt zo moeilijk te bevatten?

- Meneer Kamp wordt getruct door te browsen naar https://mail.googl3.com, in het echt natuurlijk een site van een phisher, en probeert daar in te loggen.
- Meneer Kamp vult nietsvermoedend zijn username en wachtwoord in.
- De phishing site gebruikt dat username/wachtwoord door daadwerkelijk in te loggen bij https://mail.google.com
- Komt die laatste met een 2FA melding? Dan vraagt de phishing site dat doodleuk ook gewoon aan Meneer Kamp.
- Meneer Kamp gebruikt OTP, of krijgt van de echte Google een SMSje (want er wordt immers ingelogd op zijn account) en vult die in op de phishing site.
- Phishing site gebruikt 2FA code om het inloggen af te ronden, en heeft nu vrij spel met het account.

[Reactie gewijzigd door .oisyn op 22 juli 2024 21:52]

lololig @.oisyn • 13 mei 2016 00:16

Google 2fa hoeft niet met sms te werken. Je kunt ook de App hebben die elke 20 sec ongeveer een nieuwe token genereert.

Ik jouw verhaal moet de hij wel compleet vergeten om ook maar 1x naar de URL te kijken en of de beveiliging OK is (https etc)

.oisyn Moderator Devschuur® @lololig • 13 mei 2016 00:24

Dat zei ik al in mijn post, OTP (One Time Password). TOTP in dit geval, omdat het om een tijdelijke code gaat.

Dat heel veel mensen niet naar de url kijken wordt bewezen door het feit dat phishing effectief is, 2FA doet daar verder niets aan af. En certificaten voor valse domeinen zijn geen enkel probleem, dus daar naar kijken zegt niet zoveel.

Liger

@.oisyn • 12 mei 2016 15:44

Veiliger, ja.

.oisyn Moderator Devschuur® @Liger • 12 mei 2016 16:38

Hoe dan precies?

Armin @.oisyn • 12 mei 2016 17:45

Dat nadat je je GMail wachtwoord ingevuld hebt op hun website, de aanvaller nog steeds geen permanente toegang heeft tot jouw account. Immers bij de volgende inlogpoging zal GMail weer om die SMS/App-code vragen.

.oisyn Moderator Devschuur® @Armin • 12 mei 2016 18:09

En dus kan de attacker 2FA stopzetten. Dan krijg je weliswaar een mailtje, maar als je geen herstel emailadres hebt ingevuld dan krijg je die op je Google mail zelf waar de attacker natuurlijk controle over heeft. Maar die ene inlogpoging is wel goed voor 30 dagen overigens.

[Reactie gewijzigd door .oisyn op 22 juli 2024 21:52]

Armin @.oisyn • 12 mei 2016 18:10

En dus kan de attacker 2FA stopzetten

Nee, met enkel een username en wachtwoord kan dat nu juist niet. Immers anders zou 2FA onzinnig zijn.

.oisyn Moderator Devschuur® @Armin • 12 mei 2016 19:16

Lees mijn overige reacties. De phishing site kan gewoon om de 2FA code vragen, daarmee inloggen en vervolgens 2FA uitzetten. Net gecheckt bij Google, je hebt de 2FA code maar 1 keernodig.

Armin @.oisyn • 12 mei 2016 19:41

Uiteraard, maar de phishing site moet dan realtime inloggen. De meeste phishing scams zijn niet-relatime en enkel een vergaarbak van username/wachtwoord. Die worden dus gestuit.

Ook werkt de phishing site zelfs als die realtime inlogt enkel indien de 2FA method een app is. Immers de valse site kan geen echte 2FA forceren via SMS of 'voice call'.

Ofwel 2FA beschermt zoals gezegd wel degelijk tegen phishing. Niet perfect, maar dat was dan ook niet de stelling van de OP.

.oisyn Moderator Devschuur® @Armin • 12 mei 2016 20:32

Uiteraard, maar de phishing site moet dan realtime inloggen

En? Als iemand deze daadwerkelijk wil achterhalen, dan is het een koud kunstje om te implementeren.

Ook werkt de phishing site zelfs als die realtime inlogt enkel indien de 2FA method een app is. Immers de valse site kan geen echte 2FA forceren via SMS of 'voice call'

Natuurlijk wel. De phishing site logt gewoon achter de schermen in het echt in op jouw account met jouw user/pass. En dan krijg jij als nietsvermoedend slachtoffer gewoon het telefoontje/smsje, wat je verwacht aangezien je aan het inloggen bent.

[Reactie gewijzigd door .oisyn op 22 juli 2024 21:52]

Armin @.oisyn • 12 mei 2016 20:53

En? Als iemand deze daadwerkelijk wil achterhalen, dan is het een koud kunstje om te implementeren.

Targetted attacks zijn inderdada moeilijk tegen te gaan, maar zoals ik zei de meeste phishing scams zijn niet-relatime en enkel een vergaarbak van username/wachtwoord. Die worden dus gestuit.

Natuurlijk wel. De phishing site logt gewoon achter de schermen in het echt in op jouw account met jouw user/pass. En dan krijg jij als nietsvermoedend slachtoffer gewoon het telefoontje/smsje, wat je verwacht aangezien je aan het inloggen bent.

Daar heb je een punt, maar jouw stelling dat 2FA niet beschermt is dus nog steeds onwaar, daar het de drempel flink verhoogd. Je moet een actieve site maken, welke én niet alleen realtime inlogd maar ook de 2FA schermen (welke verschillend zijn per methode van 2FA) van Google realtime doorlust.

Dit soort aanvallen zijn dan ook vrij zeldzaam, en worden doorgaans enkel gebruikt bij non-generieke aanvallen op specifieke personen waar men al heel veel weet van het doelwit. Dat is echter niet het soort aanval waar Kamp en de meeste andere phising slachtoffers last van hebben.

En als de gebruiker een FIDO U2F USB key gebruikt als 2FA methode faalt zelfs het doorlussen. GMail is een van de (helaas weinige) aanbieders die dit ondersteunt.

lololig @.oisyn • 13 mei 2016 00:18

Dat is dan lekker dom van Google. Ik zou verwachten dat je om 2fa uit te zetten nog weer een token nodig hebt.

Ikkerens @.oisyn • 12 mei 2016 15:49

Veilig is een groot woord.

Maar het zou er in ieder geval voor zorgen dat toegang tot een gmail account significant moeilijker wordt.

.oisyn Moderator Devschuur® @Ikkerens • 12 mei 2016 18:09

Blijvende toegang wordt vooral moeilijker.

ParaVince 12 mei 2016 15:37

Met zijn allen internet voor dummies cursus volgen daar. Volstrekt belachelijk dat een persoon met zo'n maatschappelijke functie daarin trapt.
Schaam je diep Kamp.

latka @ParaVince • 12 mei 2016 15:42

En schaam je diep ambtenaren die niet direkt aan de bel trokken toen Henk ze vroeg de stukken te mailen naar henk.kamp@gmail.com. Prutsers.

Triogap @latka • 12 mei 2016 16:08

Zal waarschijnlijk henkie.is.de.bom.52@gmail.com zijn geweest. (Sorry kon het niet laten)

zonoskar @latka • 12 mei 2016 16:26

In welk email pakket zie je het email adres tegenwoordig nog? Ik zie alleen de naam die gekoppeld is aan het adres, als ik het adres zelf wil zien, moet ik 3 keer klikken. Dus als je een email krijgt van gmail.com zie je dat niet eens en klik je gewoon op reply als de email valide overkomt.

lololig @zonoskar • 13 mei 2016 00:19

Als je de zaken een beetje veilig willen houden moeten ze er gewoon voor zorgen dat je het adres ook gelijk ziet.

Karmic Bob 12 mei 2016 18:39

"Vaak worden bij een dergelijke ongerichte phishingaanval duizenden e-mailadressen tegelijkertijd besmet. Van een dergelijke ongerichte aanval is de huidige minister dus zeer waarschijnlijk ook een van de slachtoffers geworden", aldus woordvoerster Elsbeth Kleibeuker.

Het ontvangen van een phishing-mail wordt hier gebracht als een "besmetting"(!) Alsof de minister hierin passief is geweest en geen blaam treft..

mashell @Karmic Bob • 12 mei 2016 18:59

Alsof de minister hierin passief is geweest en geen blaam treft..

Suggereer je nou serieus dat je blaam treft als je een phishing mail ontvangt. Dat je dan iets verkeerd gedaan hebt? Wat is dat verkeerde dan, leven of überhaupt bestaan?

Karmic Bob @mashell • 12 mei 2016 19:15

Ik suggesteer dat ontvangen van phishing mail niet gelijk staat aan besmetting, de woordvoerster doet het klinken alsof er een infectie is opgetreden en oorzaak is van het relaas.

Ik zie een phishing mail niet als besmetting. Ik ontvang zelf natuurlijk ook de nodige phishing-mails.. er in trappen is een actieve (domme) handeling. Dit reken ik mensen aan, in dit geval een minister.

Er intrappen is geen doodzonde, maar wel een teken van onopletzaamheid. (Zeker een minister van economische zaken valt dit aan te rekenen!)

PeterBezemer 12 mei 2016 15:37

Hij is nu minister van aardbevingen, maar was ook ooit defensie-minister...

Jelmer505 12 mei 2016 15:44

Waarom hebben hun niet op hun Google account 2 factor authetication aanstaan? Dan heb je aan een inlog naam en een wachtwoord nog niks.

Lijkt me toch dat zo voor mensen met zulke functies di verplicht moet zijn...

Armin @Jelmer505 • 12 mei 2016 18:00

Waarschijnlijk om dezelfde reden dat hij GMail gebruikte ipv zijn overheids email: makkelijker.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (168)

Sorteer op:

Weergave: