Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties
Bron: vnunet.com

Wie dacht met een computer-baantje veilig te zitten heeft het mis. Rienzilla waarschuwde ons voor het gevaar van ontvoering. IT-experts lopen namelijk volgens het 'UK's cybercrime police force' risico gekidnapt te worden in een poging toegang tot beveiligde gegevens te krijgen, zo staat te lezen in een artikel op vnunet.com. De systeembeheerder is een goed doelwit omdat deze toegang kan verschaffen tot bijna al het data op het netwerk. Niet alleen kidnappen wordt als een risico gezien. Ook het 'overkopen' of inhuren van personeel met veel kennis van IT teneinde die als hackers in te zetten wordt als een mogelijkheid gezien.

Len Hynds, hoofd van het 'National Hi-Tech Crime Unit' (NHTCU) maakt de vergelijking met een bank, waar gelijke tactieken worden toegepast op de 'bank manager' die de kluis kan opendoen of mogelijkheden tot kraken kan bieden. Als conclusie raad hij managers aan om goed na te denken bij het verdelen van rechten en taken en tijdens het aannemen van personeel:

Beveiligd'If you are a business and you are employing IT people you should be thinking about how valuable the information is that they have access to. In other areas people of importance have been the targets of organised crime. They will intimidate people with access to information,' he told Computing.And he warns that IT staff may also be hired by gangs as hackers, and urges companies to improve their recruitment and vetting policies. 'Organised crime always buys in expertise, like the getaway driver or safe blowers years ago. If the most valuable asset is a computer the expertise they bring in will be IT,' he said. [break] Gelukkig zijn sommige IT-managers zich al bewust van de gevaren. 'Er hoeft maar een iemand op het idee te komen om mensen hun passwords te laten overhandigen zodat in het netwerk kan worden binnengedrongen, en het is niet meer te stoppen' zegt Mike Rowland, 'group systems manager' bij Porsche Cars GB. Hij vertelt dat er al personeel naar speciale ontwijkend-rijden cursussen gestuurd worden. Steve Ash, hoofd IT bij Virgin's V.Shops ziet het echter anders. Hij denkt niet dat criminelen het gevaar vormen. Eigen personeel is volgens hem een groter probleem: [/break] But Steve Ash, head of IT for Virgin's V.Shops, sees a different threat:'It's a possibility, but I don't see IT as an area villains would really target. My team reckon there's more chance of being kidnapped by other internal departments who are trying to get data out of our system rather than being kidnapped by external villains.
Moderatie-faq Wijzig weergave

Reacties (45)

Een beetje it-er kan inderdaad heel makkelijk waardevolle informatie 'achterover drukken'. Ik denk dat managers er wel degelijk rekening mee moeten houden dat een werknemer dit kan doen.
Externe partijen (bijvoorbeeld concurrenten) kunnen hierdoor inzicht krijgen in hun postitie ten opzichte van het bedrijf en hier eventueel hun beleid op aanpassen.
Bij grote bedrijven die beursgenoteerd staan is er natuurlijk nog een groter voordeel te behalen, door hier informatie vandaan te halen waarmee je een mogelijke stijging/daling van de koers zou kunnen 'voorspellen'.

*edit*
Er ontbreekt nog het volgende:
- Bedrijven die 'data' als product hebben, kunnen op deze manier bestolen worden, al valt hierbij vaak wel te achterhalen wie de dader is omdat het spul verkocht moet worden.
- Denk ook aan het "inkopen" van een werknemer van een concurrent om zo inzicht te krijgen in de technologie die daar gebruikt wordt. In contracten wordt dit vaak verboden, maar het gebeurt wel degelijk... en wel zo dat het gedupeerde bedrijf daar niet achter komt.
Denk niet dat zoiets echt haalbaar is. Moet je elke keer als je op een server wil zijn, met 2 man inloggen, is gewoonweg niet te doen in de praktijk of iig heel erg lastig.
Daarmee creŽer je inderdaad een volstrekt onwerkbare situatie. Ik heb al gemerkt dat het hebben van beperkte toegangsrechten een factor 2 Š 3 vertraging kan betekenen in efficiŽntie. Dit lijkt zwaar overdreven maar is het niet. Moet je je voorstellen dat alleen het inloggen op een machine (waar je normaliter dus zů op in kan loggen) onmogelijk is zonder dat er een collega bij is? Neehoor, de grootste bedreiging komt nog altijd van binnenuit een organisatie.
Overigens lijk het me sterk dat criminelen precies weten welke personen toegang hebben tot welke systemen. Ga om 5 uur maar eens bij de poort van Abn-Amro staan en vis de hoofd-systeembeheer er maar eens uit. Dacht het niet.
Nee, jij out of the blue kan niet zien wie sysadmin is.

Maar als je toegang hebt tot het netwerk, is het slechts een kwestie van tijd voordat je weet wie dat wel is.

Dus dan stuur je eerst een undercover receptionist oid om dat uit te vissen.
Moeten er 's nachts twee man hun bed uit als er weer zo'n bak is gecrasht... (Of twee man voor simpel server onderhoud)
Gaan de meeste bedrijven niet betalen....
(meestal is 1 al teveel.. :( )

/typo
Negen van de tien banken hebben toch ook 2 sleutels / mensen nodig om de kluis te openen.

Dit kan je toch ook doen met de IT?

Om bepaalde bestanden te openen moeten vanaf 2 locaties tegelijk passwords ingevoerd worden ofzow?
mmmmm, dus de kluis met 2 sleutels is verleden tijd ??

Dus als ik bank IT-er ben kan ik in me eentje de kluis openen ????

Sorry, denk niet dat het zo makkelijk gaat.
ik denk dat jij niet goed kan volgen...
hij heeft het dus niet letterlijk over een kluis maar gebruikt dit dus enkel als een voorbeeld om dus bijvoorbeeld 2 personen met een paswoord te gebruiken om toegang te krijgen
niet dat een IT-er toegang krijgt tot de kluizen
Tot je een stuk kout ijzer op je kop hebt dan gaan sommige dingen zoizo makkenlijker ook minder prettige dingen plas :)
Ja maar als ze je dood schieten hebben ze nog niks dus dat klopt niet helemaal.
Denk dat omkoping een grotere kans maakt.
Dat is moeilijker wanneer het om software sleutels gaat. Zelfs al zijn ze met 2 sleutels geencrypt, dan nog kan je als je het bestand maar eenmaal hebt altijd nog een kraakprogramma erop loslaten als je 1 van de 2 sleutels hebt. Het bestand ook niet leesbaar maken wanneer je alleen bent is ook niet te doen, want wat te doen als je als beheerder wordt gevraagd even iets terug te zetten, en de andere persoon is met vakantie? 'Sorry, ik kan die directory niet lezen, kom over 2 weken maar terug'?
Zowieso moet de backup het kunnen lezen, dus degene die bij de backup kan ontvoeren zou dan al genoeg zijn.

Ook is er het probleem van waar de softwarematige sleutels opgeslagen liggen (als 1 van de personen een ongeluk krijgt moet het bedrijf nog bij diens sleutel kunnen komen), en wie daar bij moet kunnen.

En wat dacht je van gewoon de beheerder die over het NOS gaat ontvoeren? Dan kan je maar niet bij de bestanden, maar je kan wel het hele netwerk van de concurrent uit de lucht gooien, of gewoon password sniffers installeren of zo. Junkmail naar klanten sturen. Informatie wijzigen... Etc.
Het afvangen van problemen als 1 van de sleutelhouders op vakantie is o.i.d. is doodgewoon procedureel af te vangen. Je dacht toch ook niet dat bij een bank tussen juli en augustus de kluis niet open kan?!?!

Dit geld natuurlijk hetzelfde voor back-up procedures e.d.

En tja.. je kan ook gelijk het hele bedrijf opblazen, dan ben je er ook.

De beveiling van het net werk is iets van 80% procedureel en de rest techniek
Met een combinatie van biometrische beveiligingsmethoden (voiceauthentication, irisscans, vingerafdrukken) kunnen zeer hoge veiligheidslevels bereikt worden. Iemand moet dan ook fysiek op een bepaalde plaats aanwezig zijn (waar de scanners zijn) om bij beveiligde gegevens te kunnen.
Dan ontvoeren ze twee mensen ipv 1 lijkt mij :Z
Tja, volgens mij bestaat deze mogelijkheid al een jaar of 30 ???

Beetje laat om er nu pas achter te komen.
"Veiligheidsdiensten" (zoals BVD en FBI etcetcetc) maken al jaren gebruik van dit soort mogelijkheden om bij criminelen binnen te dringen.

Die hebben p.s.v.r. ook geen papieren boekhouding, he?
Ik hoorde dit al enige tijd geleden. Ikzelf werk op een overkoepelende bank instelling en hier is er voor iedere functie al 2 man. De ene doet het werk en de andere het onderhoud en de documentatie maar beiden hebben ze de zelfde kennis en dezelfde opleidings schema's dus ja critical services genieten al van een DUAL HEAD (zoals ze dat hier noemen). Ik werk voor Euroclear bank op de Unicenter TNG monitoring afdeling.
Mike Rowland, 'group systems manager' bij Porsche Cars GB. Hij vertelt dat er al personeel naar speciale ontwijkend-rijden cursussen gestuurd worden.
Ja kunst! Doe mij zo'n auto van de zaak en ik kan ook ontwijkend rijden: Rechtervoet omlaag en je probleem verdwijnt in je achteruitkijkspiegel.
Ga om 5 uur maar eens bij de poort van Abn-Amro staan en vis de hoofd-systeembeheer er maar eens uit. Dacht het niet.
Er zijn simpelere manieren. Gewoon contact zoeken met het bedrijf, zeggen dat je het hoofd systeembeheer wilt hebben om een of andere zinnige reden (verkoop?) en je komt er vanzelf achter.

Ok, het vergt enige voorbereiding, maar dat doen dit soort misdaden sowieso.
Er zou eigenlijk een centrale instituut moeten komen die vastlegt wanneer een IT-er ooit informatie achterover heeft gedrukt ...

Dit mensen zijn niet te vertrouwen ... net als winkeldieven. Ze zouden nooit meer in de IT moeten kunnen werken ...
Zoals bijvoorbeeld de Nederlandse Vereniging van Registerinformatici: http://www.vri.nl/ en dan is er nog een waarvan de naam me even niet meer te binnen schiet. Feitelijk streven zij naar een beroepsethiek voor informatici. Andere beroepsgroepen hebben zo'n ethiek al, denk aan bijvoorbeeld artsen (zwijgplicht) en advocaten (enkel geregistreerde advocaten mogen verdedigen danwel aanvallen).

Met zo'n beroepsgroep stel je eisen aan je leden, volgen ze die eisen niet op, dan zijn ze geen lid meer. Een van de eisen kan zijn dat zij net als artsen een geheimhoudingsplicht hebben en alle informatie die zij verkrijgen door hun werk strikt persoonlijk dienen te houden. Bedrijven zien dat jij de ethiek hebt ondertekend, omdat je lid bent, en weten daarom dat je te vertrouwen bent; je zou immers anders geen lid meer zijn.

Probleem is nu alleen, deze twee verenigingen worden niet erkend, en dat is jammer.
Met zo'n beroepsgroep stel je eisen aan je leden, volgen ze die eisen niet op, dan zijn ze geen lid meer
Ik heb net die eisen voor toelating voor de VRI eens even bekeken, maar vind het een en ander nogal onzinnig. Het is een eliteclubje van hoger opgeleiden, niet meer en niet minder.
Controle op de gedragscode is er niet, die kan alleen achteraf plaats vinden (lees: als iemand een klacht indient tegen een lid).
Kortom: veel geblaat, weinig wol.
Beetje hypothetisch probleem:
als je geheime info over bij voorbeeld de financien van een groot bedrijf wil hebben, koop je gewoon iemand bij de boekhouding om. Veel effectiever dan inbreken, en Gigabytes aan data doorsnuffelen, en hoe dan ook sporen nalaten.

Nog makkelijker: Koop iemand van de beveiliging om.

Veel gemakkelijker, en beter te verdoezelen dan ontvoeringen.
(ik denk ook dat het "minder strafbaar" is)
Beetje hypothetisch probleem:
als je geheime info over bij voorbeeld de financien van een groot bedrijf wil hebben, koop je gewoon iemand bij de boekhouding om.
Klopt, maar dan ben je maar 1 stukje info!
Heb je toegang tot het netwerk, heb je ALLE info ter beschikking!!
Is dus een stuk "goedkoper / lucratiever" om je dan dus toegang te laten verschaffen.
Wil je met twee "key-holders" werken geldt ook dat je in dit soort procedures alles goed moet hebben afgetimmerd.
Wat gebeurt er als er eentje onder een trein loopt?
Wat geberut er als ze alle twee in een ongeluk verzeilt raken?
Of als er ontvoeringen plaats vinden?
Maar het meest kwalijke is dat beheerders vaak zelf een back-door inzetten om zo niet onnodig naar de zaak te hoeven omdat ze het dan vanuit huis kunnen doen.
Dat is gewoon het grootste lek wat je er maar kan maken.
Beveligigen betekent letterlijk dicht timmeren en dan ook zo dat je er ook zelf niet vanaf de buitenkant in kan komen, en ook niet kan bypassen.
Op die manier heb je een ontvoering als snel "opgelost", want ze hebben dan niets aan je en moeten ze je wel laten gaan.
In Hollywood hebben ze dit soort ideeen al jaren geleden al toegepast.
:D

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True