Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties
Bron: News.com

Hacker klein Volgens Gartner is het grootste veiligheidsrisico voor bedrijven het zogenaamde 'social engineering', waarbij gebruikers om de tuin geleid worden door een hacker. In plaats van software te kraken of naar lekken in de beveiliging te zoeken, proberen kwaadwilligen gebruikers te overtuigen om een bijlage bij een e-mail te openen, hoewel ze zich ervan bewust zijn dat dit risico's inhoudt. Mensen zijn van nature onbetrouwbaar en ontvankelijk voor manipulatie en misleiding, aldus Gartner. Criminelen gebruiken dan ook verschillende vormen van 'social engineering' om iemands identiteit over te nemen en op die manier gevoelige informatie te pakken te krijgen.

Moderatie-faq Wijzig weergave

Reacties (44)

Heel toevallig is hierover net gisteren een topic op GoT geopend:
http://gathering.tweakers.net/forum/list_messages/972017
Ook wel interessant in deze context :)
Waar ik niet eens in mag komen, |:(
misschien kun je een mede-tweaker zover krijgen dat je zijn wachtwoord krijgt :+
svMp zou jij even je wachtwoord kunnen posten, dan kunnen wij ook meegenieten : )
Kopie van het draadje:

<span style="color:blue">...knip.... als het in een besloten forum staat is het dus niet de bedoeling dat je het mirrort</span>
Het blijkt dat jij op http://home.wxs.nl/~cbierman/got/972017.htm een topic mirrort uit een besloten forum van Gathering of Tweakers.

Ondanks het feit dat het in dit geval een weinig schadelijk onderwerp is is het expliciet *niet* de bedoeling dat dit gebeurt zonder toestemming van de crew van Tweakers.net. Ik wil je dan ook dringend verzoeken deze pagina per direct offline te halen.
Sommige mensen kunnen niet in de SG-topics komen.
Dit is meestal ook gewoon de 'schuld' van de IT afdeling...

* Gebruikers die beroepsmatig geen reden hebben om atachements te openen zouden daar ook geen mogelijkheid voor moeten hebben

* De gewone gebruikers zouden niet via het internet toegang moeten kunnen krijgen. Waardoor het niet uitmaakt of ze een hacker hun wachtwoord geven.

* De gewone gebruikers ook als gewone gebruiker laten inloggen, en niet als administrator

* Als algemene regel: gebruikers alleen toegang geven tot functies die ze werkelijk nodig hebben.

Ik denk dat je als bedrijf je je medewerkers tegen zichzelf moet 'beschermen'.
En mensen kunnen niet eens even hun webmail op werk kunnen checken raken ook alleen maar gefrustreerd op die systeembeheerder die zonodig alles blokkeert. En gaan dan zelf proberen om alles te omzeilen. Wat tot nog meer problemen leidt.
Je medewerkers tegen zichzelf beschermen is helaas wel een beetje nodig maar vergeet niet dat het ook een plezierige werkomgeving moet blijven. Je kunt niet zomaar alles dichtplakken en blokkeren.
De praktijk is vaak inderdaad dat systeembeheerders niet meer aan de functionaliteit van een systeem denken maar alleen aan de veiligheid. Alles wordt als kantoormachine gezien dus een beetje mail een beetje tekstverwerking en een beetje internet. Een zich zelf respecterende techneut schrijft zelf z´n software en gebruikt een pc netwerk of whatever voor veel meer dan dat.
Diezelfde techneut lacht om de meeste veiligheidvoorzieningen (even de harddisk mee naar huis een forensic tooltje eroverheen, ik zie jou twijfelen en voila u is administrator), geef die mensen de tools om de zaak veilig te houden, firewall virusscanner cryptopakketje en verder beperkte admin rechten. Log een aantal zaken om ze te kunnen aanspreken op fouten en verder heb je geen last van ze omdat ze de problemen zelf wel oplossen.
De meeste gebruikers (>90%) zijn typkippen (no offence) die niet eens weten wat een firewall DOET.
Je moet ze dus wel degelijk tegen zichzelf beschermen, en het zelf oplosssen kunnen ze echt niet. Bovendien wil je alle systemen een beetje gelijk houden.
Zet dan gewoon een losse pc neer die wel verbonden is met het internet maar niet met het bedrijfsnetwerk.

Daar kunne ze dan op surfen en hun eigen email checken.

Daarmee sla je twee vliegen in een klap:
# de veiligheid vergroot je ermee
# je ziet direct wie er bezig is met z'n persoonlijke zooi.
Ik neem aan dat men wat opgegroeid is dan... Om door cracken hacken tunnellen, is beghoorlijk kinderachtig, kun je ook voor ontslagen worden.
Ik heb hier maar 1 ding op te zeggen: voice-over-IP INVOLVES SPEEEEEEEECHHHH UITROEPTEKEN UITROEPTEKEN UITROEPTEKEN!!!!!

|:( :Z :r

Maargoed, valt hier op tweakers met de berber-praktijken (of liever gebrek daaraan als je beter weet) wel mee geloof ik, gelukkig!
Het gaat hier niet over 'technische' beveiliging. Je kunt bijvoorbeeld een verkoper gelimiteerde toegang tot het internet geven, maar hij zal altijd toegang hebben tot klantgegevens aangezien dat z'n werk is. Met social engineering benader je dan die verkoper op een andere manier (telefoon/mail) als je dan bijvoorbeeld achter zijn login naam weet te komen en hij heeft een redelijk simpel wachtwoord is dat ook binnen no time te cracken.
<quote>Met social engineering benader je dan die verkoper op een andere manier (telefoon/mail) als je dan bijvoorbeeld achter zijn login naam weet te komen en hij heeft een redelijk simpel wachtowoord is dat ook binnen no time te cracken.</quote>
Om m'n eigen post te quoten:
<quote>De gewone gebruikers zouden niet via het internet toegang moeten kunnen krijgen. Waardoor het niet uitmaakt of ze een hacker hun wachtwoord geven.</quote>
Het is technisch echt niet zo moeilijk om te bepalen welke gebruikers alleen in de winkel mogen inloggen en welke gebruikers ook via het internet mogen inloggen.

Voor dit soort toepassingen zijn biometrische systemen ook zeer intressant. Probeer maar eens iemand over te halen om z'n duim of oog af te staan.... zal niet zo makkelijk gaan.
Daar heb ik idd te snel over heen gelezen, maar 't blijft natuurlijk dat als je in een business to business situatie zit dat je vaak verkopers hebt die veel op de weg zitten. Wil je die efficient laten werken is toegang tot het bedrijfsysteem vaak handig.

Het veiligste zou dan idd inloggen i.c.m biometrische systemen zijn. Het lijkt mij echter dat dat extra kosten zijn die makkelijk afgewenteld kunnen worden als de betreffende personen een soort van agreement afsluit (met het bedrijf) dat ze dus persoonlijk aansprakelijk worden gesteld als ze wachtwoorden of bedrijfgevoelige info prijsgeven.
Voor dit soort toepassingen zijn biometrische systemen ook zeer intressant. Probeer maar eens iemand over te halen om z'n duim of oog af te staan.... zal niet zo makkelijk gaan.
Het zal je verbazen. Reden waarom bijvoorbeeld de automobiel industrie afziet van biometrische identificatie als vervanger van de autosleutel of chipkaart als toegangsmiddel tot je automobiel. Het risico van het aantal potentieele ongewilde amputaties leek, gezien de waarde van het te stelen object, onverantwoord.
<quote>Het zal je verbazen. Reden waarom bijvoorbeeld de automobiel industrie afziet van biometrische identificatie als vervanger van de autosleutel of chipkaart als toegangsmiddel tot je automobiel. Het risico van het aantal potentieele ongewilde amputaties leek, gezien de waarde van het te stelen object, onverantwoord.</quote>
jaja... bij vingerafdrukken zou dat nog wel kunnen gebeuren, maar bij netvlies- en gezichts-herkenning zie ik dat toch niet zo snel gebeuren. Bij infrarood-gezichts-herkenning is dat al helemaal onmogelijk.
Voor dit soort toepassingen zijn biometrische systemen ook zeer intressant. Probeer maar eens iemand over te halen om z'n duim of oog af te staan.... zal niet zo makkelijk gaan.
niet zo makkelijk....God verhoede dat ze zoiets op pinautomaten op straat gaan gebruiken, dan zal het 's nachts pinnen behoorlijk afnemen.
Hoeveel seconden mag ik gebruiken voor het uitnemen van een oog?
Even wat nuance....

1. De meeste gebruikers hebben de attachment functie hard nodig om verslagen en andere docs te kunnen mailen...
Nu zou je bepaalde extencies kunnen blokken, op die manier voorkom je al een hoop...

2. Waarom zou een gewone gebruiker geen internet mogen hebben???
Ook hier geldt dat wanneer je het goed geregeld hebt kan je ook dit goed beheren en in de gaten houden...

3. Helemaal mee eens..
Alleen sommige programma's werken alleen als iemand als admin is ingelogt, raar maar waar...

4. Ook mee eens, zie eerdere punten...

/edit
Reactie op Desktop
/edit
vaak is het niet alleen de schuld maar ook de oorzaak bij de IT afdeling. IT afdelingen zijn vaak erg bevattelijk om simpel antwoord te geven en toch teveel informatie weg te geven. admins zijn naar mijn idee erg gemakkelijk te bewerken ondanks dat ze beter zouden moeten weten. dus ipv naar de eindgebruiker te kijken lijkt het me belangrijker om naar de oorsprong te gaan en die op te leiden namelijk dat de admins weten welke informatie men weggeeft.
admins zijn vaak beta personen die naar mijn idee op technisch vlak wel genoeg kennis hebben maar op eq niveau toch wel achter liggen wat ze bevattelijk maakt.
En als blijkt dat het systeem gekraakt is geweest ?

Een paswoord heb je zo veranderd. Kom maar eens om een nieuw oog.

Biometrische beveiliging is echt niet zo geweldig.
Tegenwoordig heeft iedereen wel een bijlage nodig, tenzij ze natuurlijk geen e-mail hebben. Ook bepaalde attachments blokkeren, lijkt me drastisch en totaal overbodig. De meest vriendelijke optie is op de mailserver een anti-spamtool te zetten en natuurlijk een virusscanner die alles scant. Machtigingen zijn natuurlijk ook nooit overbodig: de gebruiker moet niet zelf zijn schijf kunnen formateren en als beheerder is zeker uit den boze.
Voor mensen die op afstand werken/vaak op een andere locatie werken, investeer je maar in een systeem als Vasco Digipass, dat een dynamisch wachtwoord genereert en natuurlijk moet je gebruikers dan verplichten om bij het verlies van hun digipass (dit is het apparaatje dat afhankelijk van enkele parameters (tijd+gebruiker/wachtwoord) een logincode geeft. Het veiligste zijn de hogere modellen waar de gebruiker een statisch wachtwoord moet ingeven en zo een toegangscode krijgt. Lagere modellen geven een toegangscode bij het openklikken ervan) www.vasco.com )
Als systeembeheerder weet je vaak niet wat personen moeten doen, en de medeling 'vraag het aan de systeembeheerd' is ook voor velen niet heel duidelijk. Goede afspraken maken goede vrienden: maak groepen aan, stel ze zo strak mogelijk in, schrijf een memo aan iedereen waarin je vraagt bij problemen met machtigingen het je te melden en bekijk de problemen dan. Zo kan je het voor gebruikers goed werkbaar maken, hoewel je op voorhand niet hun hele takenpakket moet doorworstelen en toch heb je veiligheid. Je moet eigenlijk ervoor zorgen dat je van iedere gebruiker een overzicht hebt wat hij kan met een computer en hoever zijn kennis rijkt. Tweakers kan je meer vrijheden geven, omdat ze weten wat ze kunnen doen, maar beginners hebben een vaster schema nodig.
Volgens mij mis je de essentie van het verhaal. Je kunt met technische oplossing maar tot een bepaald niveau komen. Uiteindelijk is er een mens die beinvloedbaar is. Die kun je niet patchen en er is ook geen firewall tegen. De enige manier is om alles uit en in de kluis te stallen. Maar wat nu als de inbreker de bewaking weet te overtuigen dat hij degene is die er even in moet. Tsja...
Een goed boek hier over : "the art of deception" by Kevin Mitnick.
Dit was trouwens zelf 1 van de grootste hackers ooit...tot hij werd opgepakt dan....
Zie ook "hackers takedown".
Een film over Kevin Mitnick's leven en meesterwerk.
Inderdaad erg interessant, verplichte lectuur voor de beginnende systeembeheerder denk ik zelfs. Het verbaast je keer op keer hoe simpele trucs door de social engeneer gebruikt kunnen worden om medewerkers dingen te laten doen die, in het totaalplaatje, erg gevaarlijk kunnen zijn voor de veiligheid van je bedrijf of instelling. Hij geeft niet alleen toelichting over hoe de trucs hebben kunnen gebeuren, maar ook hoe je dat het beste kunt voorkomen.

//edit
Overigens ook naar het Nederlands vertaald: "De kunst van het misleiden".
Kevin Mitnick schrijft een goed boek jah.
Hij was alleen geen "hacker" zoals de media deze groep tegenwoordig kenschetst.
Een directe kennis van onder andere Steve Jobs, en het onderwerp van een zeer interessante film over de paranoia van de Amerikaanse overheden (FBI en meer) op het voor hen schaduwachtige gebied van computernetwerken.
De enige criminaliteit die hij ten toon spreidde was - zoals altijd - het onderschatten van de idioterie en schuldzoekerij van de Amerikaanse overheid.

Als je echt wilt weten wie kevin Mitnick is moet je de film "Freedom Downtime" eens bekijken.
Is niet makkelijk te vinden, maar zeer de moeite waard, vooral als het gaat over de eindeloze stupiditeit van het Amerikaanse rechtssysteem.
People, by nature, are unpredictable and susceptible to manipulation and persuasion.
Mensen zijn van nature onbetrouwbaar en ontvankelijk voor manipulatie en misleiding, aldus Gartner.
euh... je bedoelt 'onvoorspelbaar'...
dit veranderd de inhoud nogal.................
Tijd voor een social firewall...... :?
Gezond verstand, argwaan :?
Da's een goede om mee te beginnen.
Paranoia is een zwaardere versie van the social firewall..
Daar heb ik gisteren een soortgelijk topic over geopend op GoT -> http://gathering.tweakers.net/forum/list_messages/972017///

Ik ben het er ook helemaal mee eens. Het is zo ontzettend makkelijk om dingen voor elkaar te krijgen waar je normaal van zou denken dat het niet mogelijk zou moeten zijn.


:o @ dawuss
Dit is volgens mij al net zolang bekend als dat het hacken bestaat. In de wat grotere bedrijven hebben ze daar ook weer contracten/policies voor. Lijkt een beetje op het gevalletje dat een helpdesk nooit om je wachtwoord vraagt. Maar als je als onbekende opbelt en je voordoet als iemand die het probleem van de user kan oplossen zijn er genoeg mensen die maar al te graag hun wachtwoord afgeven om geholpen te worden.
Echt nieuws is dit niet natuurlijk, diverse onderzoeken hebben al aangetoond dat mensen voor zeer weinig hun password afgeven. Heel veel mensen hebben ook geen flauw benul wat de implicaties kunnen zijn door het weggeven van hun password of het openen van e-mail attachments, een computer gebruiken is een verantwoordelijkheid waar niet iedere medewerker zich van bewust is. Uiteraard zijn er veel meer social engineering mogelijkheden die imho effectiever zijn dan IE en OE exploits naar binnen smokkelen, da's meer voor script kiddies en spamboeren. Bijvoorbeeld bedrijven die een hoog personeelsverloop hebben zijn ook uitermate kwetsbaar, je hebt immers minder zicht op wie nou eigenlijk wat gedaan heeft als je al 4 of 5 systeem beheerders verder bent. Gewoon solliciteren bij een target is altijd een optie natuurlijk, evenals aanpappen met bepaalde medewerkers van een bedrijf. Bedrijven cq personeelsleden geven vaak ook zelf gewoon informatie weg, trots als een pauw vertellen hoe goed je security wel niet is (want...) en wat voor super netwerk je hebt liggen kan zeker interessante informatie zijn voor een hacker.
Ach dit gebeurt toch al decennia lang. De eerste hackers belde toch gewoon op naar iemand in een bedrijf, en zeiden dat ze systeembeheerders waren, om vervolgens te vragen of die mensen het nummer van hun modem wilde oplezen.

Goed tijden veranderen, de aanpak is iets anders. Maar de slimmigheid blijft hetzelfde.

Ik vind dat dit soort witteboorden criminaliteit natuurlijk niet goed is, maar ik vind het nou ook niet zo'n probleem. Als de mensen, die echt zo stom zijn om in dit soort geintjes te trappen, toegang hebben tot informatie die mogelijkerwijs bruikbaar zou zijn voor een hacker, dat de echte systeembeheerder ze gewoon minder informatie of rechten had moeten geven. Beetje een eigen schuld dikke bult situatie IMHO.
Als ex helpdesk medewerker heb ik het maar al te vaak meegemaakt dat ik op een werkplek kwam om iets te regelen voor een gebruiker. Systeem gelocked. vaak staat het password op een postit-briefje dat onder het toetsenbord zit. Ook even geirriteerd naar de gebruiker bellen dat ik voor zijn PC sta, maar dat hij er niet is. Om het wachtwoord vragen is dan geen punt (en het krijgen ook niet trouwens).

Ander voorbeeld: een collega van mij had een ondoorbreekbare beveiliging ingebouwd. "Wedden dat je er niet inkomt!". Ik vroeg hem om 1 keer in te loggen zodat ik kon zien hoe het in zijn werk ging. 1 minuut later was ik binnen. Collega helemaal verbaasd. "Dit kan niet!". Als je een beetje oplet als iemand inlogd, kun je zo zien welk password hij intypt. Vooral bij lieden die met twee vingers typen. :+

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True