Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 272 reacties

De eerste slachtoffers van identiteitsfraude als gevolg van hacks van LulzSec hebben zich gemeld. De groep leek aanvankelijk een hoger doel te hebben, maar nu dat zoek lijkt, brokkelt bij het grote publiek het begrip voor deze hackersgroep af.

LulzSec heeft donderdag een bestand vrijgegeven met daarin de mailadressen en wachtwoorden van meer dan 60.000 mensen, het leeuwendeel afkomstig uit de Verenigde Staten. Hoewel het bestand inmiddels is verwijderd door Mediafire, een gratis hostingdienst voor bestanden, is het veelvuldig gedownload.

Omdat nog altijd veel mensen voor diverse diensten hetzelfde wachtwoord gebruiken, zijn anderen met de gepubliceerde gegevens aan de slag gegaan. Via Twitter laten verschillenden onder hen weten dat zij met de gegevens toegang hebben gehad tot andere gegevens en diensten, waaronder mailboxen, Twitter- en Amazon-accounts.

Inmiddels verschijnen ook de eerste berichten van mensen die financieel zijn gedupeerd door de publicatie van hun inloggegevens. Zo is er een Twitteraar die LulzSec bedankt voor de verkregen toegang tot een PayPal-account met een tegoed van 250 Britse pond. ComputerWorld heeft bovendien iemand gesproken wiens Amazon-account was misbruikt om een nieuwe iPhone te bestellen.

Het is niet duidelijk waar de nieuwe lijst met gegevens vandaan komt. Het heeft er alle schijn van dat het een combinatie van enkele kleinere hacks is. Op het internet is inmiddels een doorzoekbare kopie van de gegevens opgedoken waarmee mensen kunnen kijken of hun gegevens zijn geopenbaard. De wachtwoorden zijn hierbij verminkt. Uit een snelle zoekopdracht blijkt dat de lijst 22 .nl-mailadressen bevat en enkele .be-mailadressen.

Eerder deze week kwam LulzSec in het nieuws toen de groep enkele websites, waaronder enkele gamesites en die van de CIA, platlegde met ddos-aanvallen. Hoewel de groep in het begin, ondanks de onorthodoxe methode, op de nodige goodwill kon rekenen van het grote publiek, lijkt LulzSec die goodwill nu in rap tempo te verspelen. Waar de groep voorheen vooral tot doel leek te hebben om het onderwerp beveiliging op de kaart te zetten, lijkt er nu geen sprake meer te zijn van een hoger doel.

Uit een eerder deze week gehouden steekproef via een poll op Tweakers.net blijkt dat nog net geen derde van de ruim 15.000 stemmers van mening is dat de acties van LulzSec geen schoonheidsprijs verdienen, maar wel iets aantonen. Dit percentage lag aanzienlijk hoger voordat de hackersgroep besloot ook ddos-aanvallen te gaan uitvoeren.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (272)

1 2 3 ... 8
Lulzsec toont naar mijn inzicht zeer goed aan hoe slecht de beveiliging van vele bedrijven is.

Ook nadat deze bedrijven eerder zijn gehackt blijkt te zijn dat de beveiliging vaak daarna niet veel verbeterd is.

Bedrijven draaien tegenwoordig te veel op winst en daarbij word er veel bezuinigd op beveiliging en goed personeel om deze beveiliging in orde te houden.

De digitale wereld brengt meer gevaar met zich meer dan wij zelf denken.
We maken overal voor elke dienst het zelfde wachtwoord aan..en gaan er maar vanuit dat alles veilig staat..en zodra er word ingebroken en je gegevens worden misbruikt brengt dat zware problemen vaak met zich mee.

Maar inderdaad dat lulzsec de wachtwoorden post op internet is gewoon crimineel gedrag naar mijn inziens.

Daar moeten ze zwaar voor gestraft worden niets meer niets minder..hacken en laten zien dat je hebt gedaan is 1 ding maar onschuldige burgers in de problemen brengen nee dat is 1 stap te ver.

Dat is gewoon echt Lullig lulzsec.
Lulz Security aan het woord:

Dear Internets,

This is Lulz Security, better known as those evil bastards from twitter. We just hit 1000 tweets, and as such we thought it best to have a little chit-chat with our friends (and foes).

For the past month and a bit, we've been causing mayhem and chaos throughout the Internet, attacking several targets including PBS, Sony, Fox, porn websites, FBI, CIA, the U.S. government, Sony some more, online gaming servers (by request of callers, not by our own choice), Sony again, and of course our good friend Sony.

While we've gained many, many supporters, we do have a mass of enemies, albeit mainly gamers. The main anti-LulzSec argument suggests that we're going to bring down more Internet laws by continuing our public shenanigans, and that our actions are causing clowns with pens to write new rules for you. But what if we just hadn't released anything? What if we were silent? That would mean we would be secretly inside FBI affiliates right now, inside PBS, inside Sony... watching... abusing...

Do you think every hacker announces everything they've hacked? We certainly haven't, and we're damn sure others are playing the silent game. Do you feel safe with your Facebook accounts, your Google Mail accounts, your Skype accounts? What makes you think a hacker isn't silently sitting inside all of these right now, sniping out individual people, or perhaps selling them off? You are a peon to these people. A toy. A string of characters with a value.

This is what you should be fearful of, not us releasing things publicly, but the fact that someone hasn't released something publicly. We're sitting on 200,000 Brink users right now that we never gave out. It might make you feel safe knowing we told you, so that Brink users may change their passwords. What if we hadn't told you? No one would be aware of this theft, and we'd have a fresh 200,000 peons to abuse, completely unaware of a breach.

Yes, yes, there's always the argument that releasing everything in full is just as evil, what with accounts being stolen and abused, but welcome to 2011. This is the lulz lizard era, where we do things just because we find it entertaining. Watching someone's Facebook picture turn into a penis and seeing their sister's shocked response is priceless. Receiving angry emails from the man you just sent 10 dildos to because he can't secure his Amazon password is priceless. You find it funny to watch havoc unfold, and we find it funny to cause it. We release personal data so that equally evil people can entertain us with what they do with it.

Most of you reading this love the idea of wrecking someone else's online experience anonymously. It's appealing and unique, there are no two account hijackings that are the same, no two suddenly enraged girlfriends with the same expression when you admit to killing prostitutes from her boyfriend's recently stolen MSN account, and there's certainly no limit to the lulz lizardry that we all partake in on some level.

And that's all there is to it, that's what appeals to our Internet generation. We're attracted to fast-changing scenarios, we can't stand repetitiveness, and we want our shot of entertainment or we just go and browse something else, like an unimpressed zombie. Nyan-nyan-nyan-nyan-nyan-nyan-nyan-nyan, anyway...

Nobody is truly causing the Internet to slip one way or the other, it's an inevitable outcome for us humans. We find, we nom nom nom, we move onto something else that's yummier. We've been entertaining you 1000 times with 140 characters or less, and we'll continue creating things that are exciting and new until we're brought to justice, which we might well be. But you know, we just don't give a living fuck at this point - you'll forget about us in 3 months' time when there's a new scandal to gawk at, or a new shiny thing to click on via your 2D light-filled rectangle. People who can make things work better within this rectangle have power over others; the whitehats who charge $10,000 for something we could teach you how to do over the course of a weekend, providing you aren't mentally disabled.

This is the Internet, where we screw each other over for a jolt of satisfaction. There are peons and lulz lizards; trolls and victims. There's losers that post shit they think matters, and other losers telling them their shit does not matter. In this situation, we are both of these parties, because we're fully aware that every single person that reached this final sentence just wasted a few moments of their time.

Thank you, bitches.

Lulz Security
Ze mogen van mij echt op de brandstapel, ze voelen zich zo stoer en goed met wat ze doen maar hebben ook geen graantja verantwoording en gevoelens over wat de gevolgen hiervan kunnen zijn. Maarja, gelukkig geloof ik in karma en weet ik wel zeker dat het niet lang meer zal gaan duren voordat hun op een andere toon kunnen gaan piepen.

Ik kan het nog steeds niet geloven dat er hier ook mensen zijn die gewoon achter hun staan, die denken dat hun hart op het goede plekje ligt... Seriously wtf?!? Hoe kun je dit nou in hemelsnaam goedkeuren. |:( |:( |:( |:( |:(
Kortom, Internet = lawless als ik het zo lees.
Vrij trieste constatering. Bringing down servers by request, pffff.
Ze schieten hun doel nu zo hard voorbij dat het gedoemd is te mislukken. En met zoveel exposure moet er wel ergens een aanwijzing zijn wie er achter zit(ten) als organisator(en).

Voorlopig denk ik te weten wat ik doe, en blijf Internet een top hulpmiddel vinden, ook om te shoppen en gamen. Dreigementen dat men x-duizend account namen hebben, triest en heeft niets met 'this is 2011' te maken.

Zolang ze in ieder geval maar de BF3 servers straks met rust laten :)
en ze blijven ook doorgaan met die hacks echt geweldig, zo zie je maar hoe lek alles is op het internet
Waarom wordt er altijd maar vanuit gegaan (staat niet zo in je comment maar dat leidt ik er wel van af) dat alles wat lek is gekraakt mag/moet worden om er dan een comment overheen te douwen in de trant van: "hadden ze het maar dicht moeten gooien"? Alsof iedereen die langs een voordeur loopt het recht heeft even in het slot gaat sleutelen om te kijken of het te kraken is, en het dan te rechtvaardigen is.... Dat een paar individuen het doen betekend niet dat het gerechtvaardigd is om op grote schaal uit te voeren. En zeker niet dat het geweldig is. Sterker nog (afgezien dat de aandacht voor dit onderwerp goed is, het is altijd al een ondergeschoven kindje geweest) had ik het fijner gevonden, en eervoller, als deze hackers de andere kant opkijken en vertellen hoe je je als burger kan beschermen tegen dit soort hacks. Ze hebben en bepaald doel (?) maar gebruiken dit naar mijn mening voorlopig alleen maar om alles naar de knoppen te helpen.

Weet je wat geweldig zou zijn...? Als deze groep nou eens komt met resultaten die er echt toe doen en daarbij ook de correcte mensen op de vingers tikt (op een normale en redelijke manier). Bijvoorbeeld een document met richtlijnen voor mensen die er minder verstand van hebben. Want hoe je het ook bekijkt, de mensen die de dupe zijn van deze acties zijn de mensen die er minder verstand van hebben. En die kan je hier niet op afrekenen. Wie je hier wel op af kunt rekenen zijn de bedrijven waarbij de beveiliging gekraakt wordt. En dan zou je niet alle gegevens zo op internet moeten plempen, waardoor jan met de korte achternaam er de dupe van wordt, maar deze bedrijven aan moeten spreken. Dit spelletje kan nog wel een tijd duren...want het maakt niet uit hoeveel sloten je op een deur schroeft, als je er lang genoeg tegenaan blijft beuken gaat het op een gegeven moment kapot.
Ik vrees dat jou aanpak niet zou werken. Ik gok dat 90% van de internettende bevolking zich niet zal bezig houden met een document met richtlijnen te lezen. De enige manier om de mensen echt bewust te maken, is de boel online gooien en voor media aandacht zorgen.

Ze hadden bijvoorbeeld ook naar alle accounts van die porno site een mailtje kunnen sturen met de melding, He leuk, je hebt een account op een porno site en dit is je paswoord. Die mensen zouden dan wellicht wel hun paswoord aanpassen maar de kans dat dit dan zoveel media aandacht krijgt, is wel een pak kleiner. Door de media aandacht bereik je veel meer mensen en ontstaat er misschien wel een bewustwording bij vele mensen dat je voor elke account een ander paswoord nodig hebt en dat 123456789 geen echt paswoord is.

Als media-aandacht en bewustwording hetgene is waarop LulzSec uit is, dan zijn ze goed bezig maar ik twijfel er aan dat dat het enige punt op hun agenda is.
Een website neerhalen met een DDoS is geen "lek". Dat is gewoon alles smijten tegen een server die niet krachtig genoeg is voor het aantal aanvragen.

Maar als je tijdens het kiezen van een server DDoS in gedachte moet houden is het einde ver zoek. Als de server krachtiger is dan smijt de "hacker" er gewoon wat meer clients tegen aan. Men kan maar moeilijk servers voorzien die bestand is tegen een request van elke mogelijke client tegelijk.

Als ik een mooie stevige deur heb met een goed diefbestendig slot, en dan ramt de dief gewoon zijn auto in mijn inkomhal dan kan je toch niet zeggen dat mijn deur niet diefbestendig is. Of gaat men verwachten dat iedereen een deur heeft van gewapend staal of zo?
Vergeef me, maar hoe kun je zoiets geweldig noemen?

Websites hacken om de (slechte) beveiliging aan te tonen is tot daar aan toe. Maar als je daarbij ook nog lijsten gaat lekken met emailadressen/wachtwoorden
etc. dan verdien je wat mij betreft een celstraf.

Als je het nieuwsbericht ook gelezen zou hebben zou je kunnen zien dat er mensen hinder van ondervinden (die er NIET om gevraagd hebben):
- Paypal account met 250 Britse Pond
- iPhone besteld via amazon

Dat je de betreffende website met een slechte beveiliging aanpakt en bestraft door ze voor schut te zetten, kan ik inkomen, maar om mensen die daar verder in z'n geheel buiten staan en GEEN invloed op hebben gaat een stap te ver.

Wat hier geweldig aan is weet ik niet, maar wellicht kun je dit uitleggen?
Inderdaad, ze hadden gewoon de lijst met adressen online kunnen zetten en bijv. de eerste en laatste letter van het paswoord meegeven. Zo zouden de eigenaars van de adressen kunnen zien dat LulzSec wel degelijk de paswoorden heeft maar er zouden geen (of toch minder - bij q...y kan je bijvoorbeeld wel gokken dat het paswoord qwerty is) slachtoffers gevallen zijn.
Dit geeft ook maar weer eens aan dat ook de gebruikers niet erg 'veilig' omgaan met alle diensten waarvoor zij registreren. Voor alles het zelfde wachtwoord gebruiken is niet erg veilig.

Er wordt vaak alleen naar de crack/hackers gekeken, maar de gebruikers moeten, volgens mij, ook nog steeds een grote slag maken wat betreft veiligheid en wachtwoorden.

Daarnaast ben ik het volledig een dat ze ook de lijst hadden kunnen tonen met een (deels)verborgen wachtwoord. Had hun punt net zo duidelijk gemaakt.
Sorry maar zo kan je blijven wijzen.. Ik vind het anders niet gek dat de gemiddelde internetgebruiker 1 tot 3 dezelfde wachtwoorden gebruikt. Bedenk maar eens hoeveel accounts je tegenwoordig wel niet hebt..

Vind dan ook persoonlijk dat degene die je vaak verplicht een account aan te maken de nodige maatregelen moet treffen om te waarborgen dat dat veilig blijft... En daar gaat de laatste tijd jammer genoeg veel mis maar, nogmaals, dat ligt niet bij de gebruiker vind ik.
Je mag verwachten dat je gegevens veilig zijn, maar 1 tot 3 dezelfde wachtwoorden is echt niet nodig. Met een persoonlijk wachtwoorden algoritme kun je zeer sterke wachtwoorden maken die simpel te onthouden zijn en voor elke website anders zijn.

http://www.id-protect.org...password-in-3-easy-steps/
Het zou al een stuk eenvoudiger worden als je niet voor ieder wissewasje bij een site een account moet aanmaken. Als ik bij de bakker een brood koop dan hoef ik geen account aan te maken. Waarom dwingt bijna iedere online shop me daar wel toe? Als ik een reepje DIMM online wil kopen dan moet ik mijn complete doopceel opgeven. Nergens voor nodig, het moedigt aan om overal maar dezelfde account te gebruiken.
Ik kan aannemen dat veel mensen het een probleem vinden om meerdere wachtwoorden te gebruiken, maar het is volgens mij wel essentieel om je te wapenen tegen dergelijke aanvallen.

Het is leuk en wel om te zeggen dat het de taak is van de diensten die je gebruikt, en dat is voor een groot deel ook zo. Maar je moet ook zelf je verantwoordelijkheid nemen en tenminste een veilig wachtwoord gebruiken. Veel van die gelekte lijsten komen terecht in statistieken over wachtwoorden en de meest-gebruikte wachtwoorden zijn banale dingen: geboortedata, scheldwoorden, qwerty, ... Als je dergelijk wachtwoord gebruikt, vraag je er volgens mij om dat je problemen krijgt. Om maar vergelijkingen te maken: als ik mijn fiets op straat laat staan, maak ik hem ook niet vast met een koordje, dat kan iedereen losmaken. Je gebruikt een degelijk slot, dus ook een degelijk wachtwoord.

Het probleem is echter dat veel gebruikers nog steeds denken dat wat er op internet gebeurt, allemaal tussen hun en enkel hun gewenste tegenpartij gecommuniceerd wordt (en in volledige veiligheid gebeurt: ze zien immers niemand meekijken op hun scherm), maar er gebeurt allemaal zo veel meer. De dreiging van hackers is niet merkbaar aanwezig als je op je computer aan het werken bent, maar hij kan er wel zijn.

Nu, verschillende wachtwoorden hebben is zo geen probleem. Het minst veilige is natuurlijk om van een basiswachtwoord te beginnen en dat aan te passen aan waarvoor je het gebruikt, dat laatste natuurlijk liefst op een manier die niet makkelijk te achterhalen is: 'wachtwoord+facebook' is maar net iets beter dan gewoon 'wachtwoord', maar 'wachtwoord+gsvrnppl' zal je minder snel herkennen als facebook (dat is bv. allemaal een letter opgeschoven op je toetsenbord). Andere trucjes: een onthoudbare zin maken per site en daar bepaalde letters en tekens uit gebruiken, bv: van "Ik zit mijn tijd weer te verdoen op facebook" kan je "1zmtw3t^d0FB" proberen te maken.

Ik geef persoonlijk de voorkeur aan gewoon overdreven lange wachtwoorden (40 tekens, compleet random) die je op een centrale plaats opslaat en beveiligt met een iets minder sterk wachtwoord. Er zijn genoeg mogelijkheden daarvoor: LastPass, RoboForm, KeePass, ...

Dan zit je natuurlijk wel met het probleem dat je al het vertrouwen in die ene opslagmogelijkheid plaats. Maar voor bv. KeePass zou je kunnen kiezen om dat op te slaan in een geëncrypteerd formaat. Persoonlijk vind ik dat wat te ver gaan en ongemakkelijk (het is steeds een afweging tussen gebruiksgemak en veiligheid), ik gebruikt gewoon LastPass in combinatie met een extra authenticatiemethode (vergelijkbaar met RSA-tokens); bij LastPass claimen ze dat ze hun data compleet geëncrypteerd opslaan én dat je als gebruiker de enige met het wachtwoord ervoor bent. Als dat echt het geval is, is het theoretisch gezien in orde; het kan natuurlijk steeds zijn dat er ergens aan de implementatie iets schort.

Met zo'n techniek hoef je je trouwens niets aan te trekken van wachtwoorden of het ingeven ervan: dat kan door een programma gebeuren.

[Reactie gewijzigd door ILUsion op 17 juni 2011 12:03]

Dan nog is het de fout van een persoon zelf, als ik allemaal dezelfde sleutels gebruik voor m'n fiets, achterdeur, auto en schuur, moet ik niet gaan jammeren als nadat m'n fiets gejat is, ook m'n huis geplunderd wordt. Een beetje verzekeraar zal daar korte metten mee maken.
Ook digitaal zijn er ZAT manieren om je wachtwoorden degelijk te maken, varierend van een KeePass, gewoon de eerste letter(s) van de site erin prakken, of op een andere manier creatiever zijn dan User1978 of WachtWoord.
Goed, maar daar schets je een situatie waar je maar een handjevol sleutels hebt; Ik heb even gekeken in mijn keepass database en ik heb daar maar eventjes 105 persoonlijke paswoorden. Dat is toch al een serieuze sleutelbos. En ik geef ook toe dat minder belangrijke accounts soms een gemeenschappelijk paswoord hebben omdat ik niet steeds zin heb om keepass te openen.
Dat houdt je nog niet tegen om met wachtwoorden die je volgens een eigen te kiezen `algoritme' maakt te gebruiken. Je hangt dan natuurlijk af van de moeilijkheid van dat algoritme, dus geheel veilig is het ook niet. Stel bv. dat je wachtwoord in cleartext opgeslagen wordt in een database; het zou niet mogen, maar dat was bv. het geval bij Gawker Media (Lifehacker, Gizmodo, Jezebel, ...). Als je wachtwoordf "34j4g49$0&5@hg3LIFEhacker" is op dat moment, dan zal een hacker op facebook, GMail,... wel kunnen gokken wat je wachtwoord kan zijn.

Volgens mij is het al voldoende om het minder duidelijk te maken; in plaats van dat hele Facebook erbij, zet je er iets minder duidelijk bij, of voer je een simpele substitutieencryptie door: alle letters in het alfabet enkele plaatsen opschuiven (a -> b, b -> c, ...), op je toetsenbord de toets net links/boven/onder/rechts van je letter gebruiken; de eerste letter 1 plaats opschuiven, de tweede twee plaatsen, ... of weet ik veel wat je zelf kan uitvinden.

Je weet dan zelf hoe je dat wachtwoord opbouwt en kan het dus ook reconstrueren. Zeker dat met je toetsenbord de letters er net naast gebruiken is iets wat je makkelijk kan doen, in het alfabet opschuiven is toch net iets trager, lijkt me.

Je kan natuurlijk iets gelijkaardigs toepassen op je gehele wachtwoord: één wachtwoord kiezen, afhankelijk van de site een bepaalde substitutie doorvoeren (bv. voor facebook: 'F' is de zesde letter, dus alle letters bv. 16 = 10 + 6 plaatsen opschuiven en nadien mogelijk nog een variërend stuk erbij. Ook daar weer: kies gerust zelf een vervanging die je handig lijkt, maar het maak wel dat je meer wachtwoorden hebt die er verschillend uitzien, maar voor jezelf makkelijk te reconstrueren zijn.

Even terzijde: dergelijke substituties zijn niet veilig om over het algemeen gegevens te 'versleutelen', maar het is in deze situatie volgens mij wel afdoende. Het doel is niet compleet veilig te zijn, maar het wel moeilijk genoeg te maken voor de hacker om uit je wachtwoord voor site A niet het wachtwoor voor site B af te leiden. Gewoon de site erbij plakken zal een hacker wel zien, heel simpele dingen daarop doen (bv. Sony -> S0Nj o.i.d. zal hij ook wel merken). Maar over het algemeen zal hij niet de moeite doen om de eerste en laatste letters om te proberen zetten naar iets herkenbaars; dat kost gewoon veel te veel tijd terwijl hij honderden andere wachtwoorden heeft. Als hij natuurlijk de database van verschillende sites vast heeft, zou hij het kunnen proberen om ze te gaan vergelijken en weet hij dat er een deel varieert en kan hij daar gebruik van proberen maken om zo het veranderlijk deel te kraken. Maar hier alweer: waarschijnlijk doet hij de moeite daarvoor niet, want er zijn honderden anderen die zo dom zijn om overal hetzelfde wachtwoord te gebruiken en die kan hij direct misbruiken.

Nadeel van deze methode is wél dat je een beetje uitgaat van het feit dat je algoritme moeilijk te achterhalen is; helemaal veilig is dat nooit te krijgen (en al helemaal niet als je algoritme zo in elkaar zit dat je het manueel makkelijk moet kunnen uitvoeren). Dit alles steunt dus gedeeltelijk op "security by obscurity" (maasr dat kan je gegevens maar veilig houden in dergelijke situaties). Als een hacker er bovendien in slaagt om je algoritme te achterhalen, moet je eigenlijk al je wachtwoorden veranderen en je variërend deel sterker maken (dat betekent niet noodzakelijk langer; korter kan in deze context soms sterker zijn: 'tweakers' zal je wel uit het veranderlijk deel kunnen proberen te halen, maar iets als 'tws' is toch al moeilijker).
Ik gebruik de gratis browser plugin LastPass en genereer voor elke site een uniek password. Heb nu 300+ unieke passwords.

Tevens zit er een functie in die de wachtwoorden met elkaar vergelijkt en je op dubbele attendeert
Gaat lachen worden als die plugin ooit misbruikt wordt.
Typische reactie van iemand die niet denkt aan de gebruiker die er mee werkt. Denk je nu echt dat een normale gebruiker met KeePass gaat werken? Die weet niet eens wat dat is!

Dezelfde groep gebruikers hebben ook niet door dat je geboortedatum geen goed wachtwoord is. Daar kunnen die gebruikers niets aan doen...

De kern blijft gewoon: je blijft met je vingers van andermans spullen af.

Niets meer en niets minder.
Ik ben iedereen in mijn omgeving aan KeePass aan het helpen. Gewoon, voor familie en vrienden die wat minder digitaal onderlegd zijn. Ik zie dat als een soort plicht. Het duurt even voordat mensen die weinig met computers hebben (maar er niet onderuit komen) zover zijn. Echter, het zijn nu enthousiaste gebruikers en promoten KeePass verder.
Zie het maar als real-life socialnetwerken.
als je niets kent en niets wilt kennen, moet je eraf blijven of de gevolgen dragen.
Ik ga ook niemand opereren... waarom niet? omdat ik er niets van ken. Doe ik het toch en het gaat mis, is dat mijn fout. Zo is het misschien geen slecht idee om een beetje "awareness" te kweken en mensen leren hun ogen open te doen. De wereld is geen "happy happy joy joy" plaats meer, hoor!!!
Waar slaat dit nou op.

Ik heb het flauwste benul hoe een vliegtuig werkt, dus mag ik er geen gebruik van maken als ik partners ontmoet? Of op reis ga?
Ja ik neem de veiligheidsmaatregelingen in acht (Weten waar de zwemvest zit, ik doe mijn gordel aan bij het stijgen en landen,..)
Er zijn echter een paar dingen waar ik niet aan denk tijdens het opstappen. Bijvoorbeeld: Er zit een bom op het vliegtuig, het vliegtuig is in zo'n slechte staat dat het gaat uiteenvallen in de lucht. (Er van uit gaande dat je dit van buitenaf niet kan zien, anders stap ik er niet op.)

Op een website net hetzelfde, ik hou me perfect aan de maatregelen die een website voorschrijft (ik kies een gebruikersnaam en wachtwoord). En ik verwacht dat ik geen extra moeite hoef te doen. (Ik heb ook geen opleiding om bommen onschadelijk te maken) En ik verwacht dat de exploiteur van de website de zaakjes in orde heeft in verband met veiligheid. (Net zoals ik dat van een vliegtuigmaatschappij verwacht.)

Ohja, en iemand die inbreekt in een huis, is een dief, en moet naar de gevangenis! Of terug naar z'n land, dat schorem! (als het een allochtoon is) Hoevaak hoor ik de volksmond dat niet zeggen.

Maar bij een cracker komt iedereen te zeggen, oh joh, wou toch gewoon een lekkie aantonen?
net alsof je het graag zou hebben dat iemand een beveiligingslek in je huis wou aantonen.
enkele posts terug heeft iemand toch de persoon bedankt die hem meldde dat hij de sleutel op zijn deur had laten zitten.
Blijkbaar zijn er nog wel mensen die apprecieren dat iemand je meldt als je iets fout gedaan hebt en niet denken dat je onfeilbaar bent...
Jij behoort dus tot de groep mensen die de politie zou bellen daarvoor...
Jij bent dus de reden dat het niemand nog iets kan schelen en zorgt dat "goedheid" in de mens bestraft wordt. Oogklepjes op en de andere kant uitkijken... als er ingebroken wordt is het zijn eigen probleem.

ivm vliegtuig vergelijking: die gaat niet helemaal op. Het is eerder: zou jij je geld, adres, paswoord delen met iemand die je totaal niet kent (eigenaar van website X)?
Je moet er vanuit gaan dat iedere site slecht beveiligd is, en enkel daar zet wat relevant/nodig is en de velden moeten niet eens correct ingevuld zijn als dat niet strikt nodig is, want... het maakt toch niets uit! (waarom heb jij eigenlijk een nickname en niet je echte naam? ook uit veiligheid?)
Jij hebt het over helpen. Ik over inbreken.

Als ik als cracker een groot beveiligingslek zie (sleutel op de deur), kan ik gewoon melden. Hoef ik niet de tv en pc mee te nemen om te tonen dat het me gelukt is (database die wordt gestolen).

Dus jawel, ik zie goedheid in mensen, maar bij acties van LulzSec is gewoonweg geen goedheid te vinden. Origens moet je een webserver binnenste buiten draaien om een fout te vinden, ik kijk heus niet aan elke deur of er een sleutel aanhangt. En als ik die vind, sleutel binnengooien en deur toe.

En ja, mijn geld staat bij verschillende (al dan niet online) banken waar ik de eigenaars niet van ken. Mijn adres kan je opelijk op internet vinden, en mijn wachtwoord geef ik natuurlijk niet weg, mijn sleutels namelijk ook niet.

Over mijn nickname: zoek maar een carharttguy op google.be, ik geef je 5 minuten en je hebt m'n naam, leeftijd, adres, burgelijke stand, hobby's te pakken. Dus neen, niet uit veiligheid, maar gewoon omdat ik die nickname als jonge puber cool vond, en uit gemakzucht gehouden heb.
Daar kunnen die gebruikers niets aan doen...
Want ze zijn fysiek niet in staat om even te kijken bij tips voor goede wachtwoorden?

Iedereen loopt te zeuren als er wordt gevraagd om een ww met letter, hoofdletter, cijfer en speciaal teken. Iedereen. Dat geeft wel aan wat voor slechte wachtwoorden mensen kiezen.

Jij kiest je wachtwoord, dan ben je er ook zelf verantwoordelijk voor.

Dit vind ik overigens ook het grote nadeel van de gekoppelde diensten van oa. Google; als iemand een Gmail account hackt, heeft hij ook gelijk Stackoverflow, Buzz, Wave, Documents, en al het andere wat aan jouw GoogleID gekoppeld is.

Da's een slechte zaak; één wachtwoord voor alle sites wordt daar gewoon door aangemoedigd!

Er zijn dus twee kernen;
voor de crackers; je blijft met je vingers van andermans spullen af.
voor de gebruikers; bied je spullen niet aan als je er niet vanaf wil.

Je kan niet zomaar alles afschuiven op een ander. Beide zitten gewoon fout, alleen de gebruiker is niet illegaal (maar gewoon dom).
DAT is het punt, inderdaad!

er is niet 1 fout hier... inbraak is fout, maar slechte beveiliging is dat ook...
Maar ik neem aan dat je niet je adres (url) op je sleutels hebt staan of aan hebt hangen waardoor het opeens wel heel erg makkelijk wordt om binnen dat huis (account) te komen
Het probleem hier is niet de wachtwoorden van de gemiddelde gebruiker, maar van de inadequate beveiliging van de websites waardoor die wachtwoorden in bulk worden gestolen.

Hoe veilig je wachtwoord dan ook is, dat helpt helemaal niets hiertegen.
Het is helemaal niet de fout van de personen zelf. Zij zijn hun sleutels niet kwijt gespeeld.

Ik kan overigens niet begrijpen hoe de mensen van Lulzsec de wachtwoorden in plaintext bekomen?! Liggen deze dan niet geëncrypteerd opgeslagen?

Natuurlijk is een simpele hash van een zwak veelgebruikt wachtwoord als bv. "qwerty" eenvoudig te inverteren met bv. Google maar ik vind het vreemd dat het zoveel wachtwoorden zijn.

En dan nog had de site zelfs de zwakke wachtwoorden kunnen beveiligen door de wachtwoorden te salten en bv. gebruik te maken van de username van een gebruiker. Hierdoor kunnen rainbowtables ook al niet veel meer uithalen. Tenzij je username qwe en wachtwoord rty hebt natuurlijk ;-).

De websites waar deze gegevens zijn buitgemaakt, zijn dus wel degelijk ergens in de fout gegaan.
Alsof een sterk wachtwoord uberhaupt nog zin heeft, stond laatst nog ergens een artikel dat een sterk wachtwoord net zo zinvol is tegenwoordig als een simpel wachtwoord, puur vanwege de snelheid waarmee ze nu wachtwoorden te kunnen ontcijferen.. enige 'veilige' wachtwoorden zijn van 20 letters/cijfers of hoger, maar dat is ook al binnen aanzienbare tijd niet meer zinvol (laat staan dat een 20 characters lang wachtwoord dat bestaat uit allemaal verschillende tekens (en dus geen woorden) niet te onthouden is)..
Veel sites hebben een beperking dat je wachtwoord niet langer mag zijn dan 8 tekens. 20 tekens is voor veel sites helemaal onmogelijk!

Als mensen hier op tweakers denken dat programma's als Keepass onmogelijk te breken is dan hebben deze mensen het ook mis, alles is te kraken als je het bestandje maar op je eigen systeem hebt overgeheveld/gestolen van de eigenaar. Wachtwoorden op deze manier op je pc opslaan is dus ook geen optie meer.

Het enige wat je kunt doen is gebruik maken van 5-10 verschillende wachtwoorden waarbij je werk en privé gescheiden houdt. Zet deze gegevens in een tooltje op een verwijderbare schijf en met een beetje geluk is de kans op het uitlekken van je wachtwoorden zeer klein.

Uiteraard werkt deze methode alleen bij een kleine groep mensen waaronder:

Mensen met een functie waarbij veel is encrypt (of encrypt zou moeten zijn zoals hogere functies in het bedrijfsleven en overheid)
Mensen die weten wat er leeft op het internet, zoals de lezers van dit soort tweakers artikelen.

De rest van de mensen zal voorlopig blijven werken zoals ze nu doen.
kijk, als ik op mijn thuis-pc die achter een routertje staat, een keepass database geencrypteerd op mijn schijfje heb staan waar het paswoord van site X op staat, en iemand kraakt site X, dan ben ik veilig, want enkel dat paswoord is gekraakt.
verder ben ik mij ervan bewust dat een keepass database ook kraakbaar is (brute force om te beginnen), maar dan moeten de hackers (die het meestal op websites gemunt hebben en niet op jouw prive schijf) EERST op jouw systeem binnen geraken.

En ik denk niet dat de gemiddelde mens interessant genoeg is om zoveel moeite te doen om aan JOUW paswoorden te geraken. admit it, je ben niet interessant genoeg.

Dus een keepass database is WEL veilig, want zonder expliciet een hack op je computer waar de database opstaat, zijn je paswoorden WEL veilig

Security is niet 1 doel, het is een hoop drempels achtereen, hoe meer drempels, hoe veiliger/moeilijker te kraken.

Maar in the end... alles is kraakbaar
Het is soms triest gesteld met de mentaliteit van de gebruikers, maar anderzijds moet je wel merken dat bedrijven tegenwoordig eisen dat je gebruik maakt van hun diensten over Internet. En dat is dan ook fout, want niet iedereen heeft een super opleiding gehad en snapt niet dat zoiets snel wordt gekraakt. Je kan ook de eind gebruiker moeilijk kwalijk voor nemen.
Maar nu ze het gehele paswoord plaatsen, wordt het verhaal wel een tikje serieuzer. Hun actie heeft meer impact bij de gebruiker en in het nieuws, als gebruikers zien dat hun accounts misbruikt is.

Laat duidelijk zijn dat ik dat niemand gun dat zijn account misbruikt wordt.
Persoonlijk bezie ik dit met gemengde gevoelens.

+ prima dat ze hacken en zo redelijk wat bedrijven dwingen om eens werk te maken met hun security. Denk niet dat daar iemand wat op tegen kan hebben.

- Ze denken echter weinig na over de gevolgen van hun acties.
-² ze publiceren hun "trophy's" volledig. en daar heb ik grote problemen mee.
persoonlijk zou ik er weinig problemen mee hebben moest ik mijn naam weer vinden op een van die lijsten INDIEN bvb de paswoorden en andere gevoelige info verwijderd zou zijn.

een lijst met die user op die site gehacked, zou veel minder schadelijk zijn.

+(mineur) Wel is dit prima nieuws voor Sony, die hebben en nu wordt er aangetoond dat ze duidelijk niet alleen zijn.
Dat is dus onzin, hoe Sony er mee omgaat is principieel fout, daar doet dit niets aan af.

Wat is er mis mee trouwens? Als je wachtwoorden toch al 'koud' opslaat, zou een hack als dit zonder publiciteit veel meer schade aan kunnen richten. Op korte termijn doet het misschien wat pijn, dit soort signalen hebben we wel nodig om mensen vooral bewust te houden.

http://www.whatsmypass.co...rst-passwords-of-all-time

Suffer.
1) wat sony deed is misschien principieel fout maar sony is niet de enigste.. zie het geval citibank etc.. het enigste grote verschil is dat Sony ook Geohot ging aanklagen voor het hacken. Nu lijkt het steeds meer op dat Sony gelijk had met het aanklagen van Geohot maar alleen verder te moeten gaan.

Die smoes van the OtherOS is ook overdreven op deze moment... Nintendo hadden ze ook gehad ok ze het een leuke bedrijf vonden en een ministerie van de VS omdat ze een wet niet aanstonden.. en blijkbaar de CIA website voor een oorlogsverklaring

2) Publiciteit is ok.. maar als je om de week zo een schandaal hoort, wordt je ook immuun voor..en op een gegeven kan het de publiek niks meer schelen omdat alles toch gehackd word.. dus veel wantrouwen in het internet.. niet slechts gezond verstand. en het zorgt voor vertraging in innovatie.. tenminste als the consument zo slim is dat ze nu snappen dat iCloud ook te hacken is (en alles te hacken is)
We weten niet wat deze 'hacktivisten' denken. Wel geloof ik dat wanneer men dit blijft aanhouden het e-commerce hier de gevolgen van zal gaan voelen. Waarom zou ik als doorsnee consument mijn persoonlijke gegevens nog invullen bij het bestellen van een product. Ik lees tenslotte keer op keer dat er persoonsgegevens zijn buitgemaakt waarmee identiteitsfraude wordt/kan worden gepleegd.

En je kan wel raden wat er gebeurd met marketing wanneer je een database hebt gevuld met fictieve gegevens.
De vraag is wat je wil:

1. geen ruchtbaarheid over inbraak, grote exposure persoonlijke info en niemand weet het (zowel het bedrijf als de gebruiker niet)

of

2. wel ruchtbaarheid en massale dumps op internet, meer kans op short-term exploiting maar zorgt voor een snelle oplossing en meer awereness bij bedrijf en consument.

ik kies eerder voor 2

echter, hoe deze groep (als het daadwerkelijk een groep is en niet een overheid/organisatie die probeert dit soort zaken in een kwaad daglicht te stellen) het doet is inderdaad contraproductief.
Waar is optie 3:

3. Wel ruchtbaarheid en massale dumps voorzien van censuur (waardoor consumenten niet aan het korte eind trekken) op het internet, wat zorgt voor een acceptabele oplossing en meer awareness onder de bedrijven/consumenten.

Veel Tweakers roepen wel kreten als: "Zo leren ze het tenminste!", maar houden geen rekening met de enorme leed die bij een consument kan optreden nadat er identiteitsfraude plaatst vindt. Wat nu als jou buurvrouw die in de bijstand zit en 2 kinderen heeft ineens wordt berooft van 800 euro? De bank stort echt niet 2 dagen later het geld terug hoor, sterker nog, je komt in een administratieve hel terecht waarin jij verantwoordelijk bent voor het aantonen van je onschuld. En denk je dat de bedrijven die maandelijks jou vaste lasten innen daar ook maar een fluit om geven?

[Reactie gewijzigd door densoN op 17 juni 2011 13:32]

Helemaal mee eens, dat je iets wilt aan tonen ok, maar om daarna vrolijk die gegevens op internet tegooien gaat gewoon tever en verdiend iedergeval een gratis bezoek aan de rechtbank.
wat daar geweldig aan is is heel eenvoudig
die mensen tonen aan wat iedereen weet, maar niet wil horen en dus negeert!
en zoals altijd is er maar 1 manier om de mensen iets te leren, het laten voelen aan hun portefeuille. Je hoort het misschien niet graag, je zal mij waarschijnlijk een ongelooflijke eikel vinden en het oneens zijn, maar in je hart weet je dat de portefeuille de ENIGE manier is om mensen iets te leren...
en daarbij komt nog:
als lulzsec het publiek kan zetten, kunnen anderen dat ook. Alleen hebben die misschien meer malafide bedoelingen en gaan ze je gegevens dus niet direct online zetten voor iedereen, maar eerst "nog een stapje verder".

Ik herinner mij een kernel exploit van een bug die al 3 jaar in de linux kernel zat. Op de dag dat die bug publiek was, kwam er STANTE PEDE een 100% reliable remote root exploit uit... die de hackers al 3 jaar (bij introductie) hadden en gebruikte. Heb je dat dan liever? 3 jaar misbruikt worden zonder het te weten???

Ik vind het geweldig omdat het direct en in your face is!

[Reactie gewijzigd door harrydg op 17 juni 2011 10:05]

De fout die jij nu maakt is dat een huisvrouw of man die als klant van een website niets kan doen aan de beveiliging van die site.
Nu worden ze wel met de schade opgezadeld omdat anderen met hun gegevens dingen doen zoals bestellingen of leeghalen van hun (internet)bank rekening.

Ik denk dat jij heel anders zou piepen als jij ook tot die slachtoffers zou behoren.

Als die gasten van LulZec het netjes zouden doen dan was een hack plaatsen en aan de eigenaar doorgeven genoeg geweest, nu zijn het in mijn ogen gewoon een stel criminelen geworden die andere opzettelijk schade hebben toegebracht.
ABSOLUUT, maar de mensen kunnen daar niets aan doen. dat is inderdaad een spijtige zaak. MAAR on the bright side: ze zullen de volgende keer wel opletten dat ze hun privacy enzo niet zomaar te grabbel gooien en gegevens invullen op eender welke site. Ook (ijdele hoop) misschien zelfs hun paswoord niet op alle sites hetzelfde houden? ;)
Als je een emailadres + wachtwoord hebt van iemand dan kun je op veel websites proberen of daar een account van dit persoon bestaat. Dan kan iemand nog zoveel moeite hebben gedaan om wachtwoorden divers te houden wat dan allemaal niet uitmaakt want je kunt overal bij.

Jij legt de schuld keihard neer bij de gebruikers terwijl zij er geen moer aan kunnen doen en dus niets meer of minder zijn dan een slachtoffer. Issues in de beveiliging aantonen is één, lijsten met daarop gevoelige gegevens publiceren is een heel ander verhaal.

Zal je leuk vinden, mensen gaan met jouw emailadres + wachtwoord aan de haal waardoor jij uiteindelijk wordt gedwongen om een ander emailadres in gebruik te nemen. Bij hoeveel sites heb je dat emailadres gebruikt om te registreren? De kans is groot dat dit tientallen sites zijn. Je mag jouw emailadres op al die sites veranderen en voor de zekerheid mag je ook nog eens overal de wachtwoorden aanpassen.

[Edit]
@ Harrydg:
Ik vind het geweldig omdat het direct en in your face is!
Ja prachtig, de verkeerden zijn de dupe. Weet je wat geweldig zou zijn? Deze lijsten naar het betreffende bedrijf sturen met de mededeling dat ze niet goed bezig zijn en als een antwoord van het bedrijf uitblijft dan de media opzoeken. Als je de media dan opzoekt dan geef je de door jouw verstuurde communicatie richting het bedrijf door en je geeft een korte lijst met geanonimiseerde data mee. Dat is ook "in your face" maar dan wel in de face van het bedrijf.

[Reactie gewijzigd door bazs2000 op 17 juni 2011 10:30]

Ja prachtig, de verkeerden zijn de dupe. ... Dat is ook "in your face" maar dan wel in de face van het bedrijf.
mja, op zich een veel nettere methode, maar ik denk niet dat de mensen zoiets zal opvallen. zeker niet met alle 'geweld' waarmee de laatste dagen weken al deze hack verhalen naar buiten komen.
Ga jij alle (geanonimiseerde) lijsten door om te kijken of jouw account er misschien tussen staat? Ik iig niet, heb wel wat beters met mijn tijd te doen dan 4-5 lijsten per dag door te ploegen waar ik wellicht niet eens op sta.

De punt die HarryDG maakt is een hele pijnlijke, hele foute maar is wel de enige manier om een bedrijf VIA zijn klanten tot actie te dwingen. Anders zal een bedrijf misschien wat extra opties aan zetten welke nog steeds niet afdoende zijn, nu zullen ze wel 2 keer achter hun oren krabben om zoiets te doen(immers, HUN klanten zijn de dupe, zij draaien ook imagoschade op)

Ben er nog steeds niet mee eens met de methode, maar ik ben bang dat Harrydg gelijk heeft dat dit de enige manier is om het probleem bij de wortels aan te pakken.
Lulsecz is niks meer dan lame ass pubers want er voor waren ze aan het DDOSen en daar bewijs je niks mee behalve dat je sites er mee plat legt.
Dat is inderdaad wat ik probeerde te zeggen met mijn reactie, hulde.

Lulzsec legt de schade bij de verkeerde personen neer op deze manier, zeker met de geplaatste oproep erbij om de mensen publiekelijk te schande te brengen (met de lijst van de adult-site) afgelopen week.

Daarnaast vraag ik mij ook erg af of de wachtwoorden plain opgeslagen waren of dat ze een rainbow-table gebruikt hebben. Dit lijkt mij relevant in een eventueel proces.
Nu heb ik een vraag aan iederen, was hier ook zo veel media aandacht voor geweest als ze het gecensureerd gepost hadden? kijkt iederen hier alle gecensureerde lijsten na? Elke site en elk nieuws programma heeft het hier wel over gehad. Door het op deze manier te doen heb je een veel groter bereik dan dat je een gecensureerde lijst publiceert.
stel dat ongeveer de helft van de email/pass combinaties het nog ergens doen dan zijn dus 31.000 mensen de dupe, maar dit kan veel meer mensen in de toekomst behouden om deze fout te maken (voor meerdere sites het zelfde wachtwoord).

PS. waarom heeft Dazzlepod niet alle email adressen openbaar gemaakt? er missen 2201.
De naïviteit druipt er vanaf ...
Amazon en PayPal behoren bijvoorbeeld niet zomaar tot eender welke site. Zoals al gezegd: De problemen die ze aantonen met sites is tot op zekere hoogte prima, Maar val daar de gebruiker niet mee lastig.
Na de NHS hack, die ze ook melden, kreeg ik wel iets van respect hoe ze het aanpakten. Maar na hun de afgelopen weken gevolgd te hebben via oa. Twitter, zijn ze compleet door aan het slaan met ddos'sen en hacken. Leuk, de Eve server en site down krijgen ... En waarom, omdat het kan?
De digitale oorlog woedt verder, en het aantal slachtoffer zal helaas alleen maar verder oplopen ben ik bang.
zoals ik al gezegd heb: prive gegevens heb ik het ook moeilijk mee...
maar beveiliging is nu eenmaal een reeel risico en ook de gebruikers moet weten wat die risico's zijn... de manier waarop zal altijd moeilijk zijn

net als de manier waarop Greenpeace werkt, ook altijd net OVER de grens, maar het werkt wel om een punt te maken. als je er niet over gaat, luistert er niemand naar je
Dus wat je zegt: het Doel heiligt de Middelen?
Eigenlijk een soort van digitale Kruistocht: Wij vinden dat iedereen beter op informatie moet letten, dus we laten geen middel onbenut om dat aan een ieder op te dringen met elk middel dat nodig is, omdat wij dat bepalen.
Dat vindt ik, persoonlijk, een nogal extreme opvatting. Een waarvan je, wederom in mijn opinie, onmogelijk de gevolgen van kan overzien.
Want er is een zwakke schakel die nooit de status perfectie zal bereiken, wat je eigenlijk zou willen om je beveiliging waterdicht te krijgen. Uiteraard is dat de mens, jij en ik, iedereen.
Ik ben zelf betrokken bij diverse projecten met data beveiliging. Technisch en protocollair is het over het algemeen best op orde met veiligheid. Waar het fout gaat is de menselijke factor.
Dat bewust maken van kwetsbaarheden kan je op allerlei manieren doen, waaronder de manier die een aantal groepen nu doen: Veroorzaken van pijn (emotioneel, financieel ...).
Pijn veroorzaken leidt tot weerstand, veel weerstand, wat je ook hier kan lezen in de diverse reacties. Hiermee kweek je geen bewustwording, maar angst. En angst is, zoals misschien bekend, een slechte raadgever.
Bewustwording zit in herhaling, adviseren, iemand aanspreken op fouten en dringend verzoeken om fouten te verhelpen. En daar zijn legio middelen voor, van kleinschalig tot globale middelen. Resumerend: Over de grens is te ver. En maar weinigen kunnen nu inschatten wat de gevolgen zijn wanneer je te ver gaat. En daarbij: Greenpeace is meer dan een keer veroordeeld omdat ze OVER de grens gingen. Maar hoe straf je een organisatie/personen, die zich hullen in een deken van anonimiteit?
Greenpeace heeft inderdaad ook extreme opvattingen (lees je eerste deel van je post, en denk enkel aan Greenpeace).
Er zijn altijd extremisten nodig om laksheid van mensen aan te tonen, om aan te tonen wat er fout gaat. de gewone man in de straat leest geen tweakers.net, weet niet wat hacken is enzovoorts. Dus 99% van de wereldbevolking heeft hier niets aan. Je kan maar hopen dat de 1% die er WEL iets aan heeft, er ook iets van leert.

Net als Greenpeace, ze zijn tegen kernenergie en transporten, dus ze saboteren dat. Dat is fysiek, dus je moet fysiek daar zijn, en dus identificeerbaar (hoewel ze soms ook zichzelf onherkenbaar maken om niet gestraft te kunnen worden).

Nu, zo zijn er dus gelijkaardige groeperingen op internet, met als voordeel dat anonimiteit niet zo moeilijk is. Edoch geloof mij, als Greenpeace zo eenvoudig anoniem zou actie kunnen voeren, deden ze ook veel meer!

Het is trouwens dankzij dit soort groeperingen dat de beveiligingsindustrie werkt, dat wij "veilig" online kunnen bankieren enzovoorts. Net als Greenpeace ons wijst op de dingen die we op milieugebied fout doen.

Natuurlijk is het milieu beter "bekend" dan de werking van het internet, waardoor er dus inderdaad meer "angst" is op internet dan voor Greenpeace
... weet niet wat hacken is enzovoorts. Dus 99% van de wereldbevolking heeft hier niets aan. Je kan maar hopen dat de 1% die er WEL iets aan heeft, er ook iets van leert.
Je brengt het als iets wat je onderzocht hebt, of als iets dat onderzocht is. Ik werk in de Zorg, en veel van mijn collega's hebben echt geen verstand van ICT. Maar tijdens de koffie hoor ik ondertussen wekelijks, ook van mensen van wie ik het niet zou verwachten, de verhalen terug die in de media komen. Goed, ze weten de namen niet precies, maar weten wel dat inlognamen en CC gegevens op straat liggen.
Dus of er werken bij ons enorm bewuste mensen, of ze zijn stiekem toch bijna allemaal ICT-minded, of ze volgen gewoon het nieuws en wat er gebeurt. Ik denk dat laatste. En wat ze leren, en ik merk dat in de praktijk, is dat er angst gezaaid wordt: Ik shop bijna niet meer online, ik ga wel bij de gemeente langs ipv inloggen met DigiD, etc...
Het is trouwens dankzij dit soort groeperingen dat de beveiligingsindustrie werkt, dat wij "veilig" online kunnen bankieren enzovoorts.
Is dat zo? Reageren hackers op beveiliging, of reageert beveiliging op hackers? Dit is overigens een discussie die al jaren gevoerd wordt, en ook altijd gevoerd zal blijven worden. Feit is dat er al duizenden jaren informatie is, en net zo lang de behoefte bestaat om informatie te ontvreemden voor allerlei belangen. Wat anders is, is data vluchtig is geworden: De papieren in een dossierkast waren net wat lastiger te kopiëren/mee te nemen dan tegenwoordig, waar je een complete bibliotheek op bijvoorbeeld een USB stick ter grote van een grote munt kan zetten.Dat oa. maakt beveiligen lastiger.
Overigens, mijn auto is ook beveiligd met alarm, staat voor de deur met ramen dicht, radio eruit, niets van waarde erin, en toch wordt er ingebroken? Dan vraag ik me af: Wat moet ik nog meer doen om dat te voorkomen? Vervang auto voor informatie op locatie/serverpark x, geheel omheind, beveiligd, allerlei Firewalls en AV geïnstalleerd etc.. En toch wordt er data ontvreemd. Terwijl je weet dat nog meer maatregelen nemen nog meer kost, ten koste gaat van gebruikersgemak, performance etc..
Absolute beveiliging bestaat niet. En daarvoor heb ik geen groepjes nodig die mij dat onder de aandacht brengen door angst te zaaien.
Natuurlijk is het milieu beter "bekend" dan de werking van het internet, waardoor er dus inderdaad meer "angst" is op internet dan voor Greenpeace
Greenpeace heeft veel gedaan voor het milieu, maar ook daarvoor was milieu al een topic. Dat veranderen niet zo snel gaat als 'het volk' wil is een ander verhaal. Daarbij, mocht de vergelijking met Greenpeace opgaan, dan is het snel afgelopen met de clubjes hackers. Greenpeace is al jaren aan het vechten tegen een dalend aantal leden.

Ik verwacht niet dat extremisme de oplossing is. In het ergste geval keert het zich tegen je, en slaan we een weg in die we mogelijk helemaal niet willen begaan. Ik, en volgens mij velen met mij, zullen er voor waken dat dat niet nog eens gebeurt (chips, toch nog een verkapte Godwin ...).
Greenpeace heeft inderdaad ook extreme opvattingen (lees je eerste deel van je post, en denk enkel aan Greenpeace).
Er zijn altijd extremisten nodig om laksheid van mensen aan te tonen, om aan te tonen wat er fout gaat. de gewone man in de straat leest geen tweakers.net, weet niet wat hacken is enzovoorts. Dus 99% van de wereldbevolking heeft hier niets aan. Je kan maar hopen dat de 1% die er WEL iets aan heeft, er ook iets van leert.
En wat moet de gewone burger leren als een site ge-ddos'd wordt? Het is vrijwel niet te doen om alles volledig tegen DoS aanvallen te beschermen. Het enige wat lulzsec hiermee bereikt is het afbreken van het vertrouwen in vrij en open internet.

Een vrije samenleving werkt zolang er niet teveel mensen zijn die hem misbruiken.

[Reactie gewijzigd door RaCio op 17 juni 2011 14:32]

houd er rekenign mee als je wachtwoord van je email bekend is dan kunnen ze op websites gewoon na vragen wat het account is doorlaten sturen naar de mail daarna wachtwoord opvragen en hup vrij spel voor de mensen..
daarom kan ik iedereen aanraden bij gmail in te stellen dat je via sms een toegangscode krijgt als je inlogt op een pc waar je de afgelopen 30 dagen nog niet eerder hebt ingelogd.
Maar wat kan jij, als gebruiker van een website, doen aan de security?
Iedereen vindt het, denk ik, prima dat ze de security testen en mensen voor schut zetten die het niet goed voor elkaar hebben maar waarom de gebruikers van die site de dupe daarvan laten worden?
Ze overtreden hier gewoon een morele grens. Simple as that.
Dit soort dingen doe je niet.
OK, dus als jij door het rood rijdt op je fiets, dan vind je het prima als ik jou te barsten rijd met mijn auto? Gewoon om duidelijk te maken dat je wat fout doet....
Dus in jouw ogen is iemand levenslang verminken of dood rijden hetzelfde als iemand je mail laten lezen?

beangstigende redenering heb jij...
Dat is inderdaad niet te vergelijken. Maar wat lulzsec doet is meer dan mail accounts 'vrij maken'. Met de informatie die ze vrijgegeven hebben is bij een hoop mensen ook identiteitsfraude te plegen.
Het gros van de internetters heeft geen eigen mailserver, maar een mail account bij Google of zo. Waar ze allerlei zaken mee doen, waarbij naam, adres, bankgegevens en ook overheidsregistratiegegevens in kunnen staan.
Zo kan identiteitsfraude kan heel serieuze vormen aannemen. Het kan je leven een hel maken. Op TROS Radar liet men enkele gevallen van identiteitsfraude zien waarbij bijvoorbeeld een rijbewijs gestolen of gekopieerd was. Jarenlange ellende van vreemde facturen op jouw naam, afsluitingen e.d.
wat daar geweldig aan is is heel eenvoudig
die mensen tonen aan wat iedereen weet, maar niet wil horen en dus negeert!
Onzin. Ook (of juist) als mensen heel dom doen, is er geen enkele rechtvaardiging om daar misbruik van te maken. Dus geen wachtwoorden online zetten.
Ik vind het geweldig omdat het direct en in your face is!
Hopelijk wordt een website waar jij een account hebt ook gehacked waardoor je accountgegevens op straat liggen en misbruikt worden. Dan weet je rechtstreeks via je eigen portemonnee dat die site beveiligd werd door een paar sukkels.
Direct in your face! Geweldig! :)
ik heb een bundeltje paswoorden, een voor dingen die "veilig" zijn, en op mijn eigen server staan (die nogal paranoia beveiliging heeft). dan gestaag naar "minder veilig", waar het mij eigenlijk geen zier kan schelen of iemand iets via mijn account doet. (bijvb tweakers.net paswoord is er zo een... for christ's sake, it's just the internet!!!)
ps. het zijn allemaal wel "sterke" paswoorden, he... daar niet van, maar als iemand het zou kraken... yay.. post iets op tweakers in mijn naam... big deal!)

(ik ben een security paranoia freak, dus misschien niet zo relevante vraag naar mij toe, maar voor anderen is het misschien wel eens iets om over na te denken, ja)

[Reactie gewijzigd door harrydg op 17 juni 2011 10:51]

Als je het nieuwsbericht ook gelezen zou hebben zou je kunnen zien dat er mensen hinder van ondervinden (die er NIET om gevraagd hebben):
- Paypal account met 250 Britse Pond
- iPhone besteld via amazon
Als je zo stom bent om nu nog steeds hetzelfde wachtwoord te gebruiken voor meerdere sites (zeker sites waar geld mee gemoeid is), dan verdien je dit m.i. gewoon.

Er wordt al jaren aan alle kanten gezegd dat je nooit hetzelfde wachtwoord moet gebruiken, blijkbaar zijn er nog steeds mensen te dom om dat op te volgen, dus is dit de enige overgebleven manier om ze dat aan hun verstand te brengen.
Ware het niet dat vrijwel elke service een knop heeft met 'ik ben mijn wachtwoord vergeten, stuur een reset-link naar mijn e-mail'... en als je in die e-mail kunt, kan je dus al overal bij.
Klopt, maar dan moeten ze dus een wachtwoordendatabase van specifiek die e-mail provider zien te bemachtigen in plaats van een willekeurige database van whatever.
Het probleem is is dat ze hier helemaal niets mee aan tonen, zoals al in het bericht staat, ze weten niet waar de gegevens vandaan komen.

Wat hebben ze dan aangetoont? de organisaties / bedrijven waar deze informatie vandaan komt zijn niet bekend.
Nu vind je het nog geweldig. Totdat jouw gegevens op internet staan en mensen via jouw Paypal rekening iPhones kunnen kopen.

Prima dat LulzSec aantoont hoe slecht beveiligingen is, maar prive gegevens op straat gooien is belachelijk. Behoort een wachtwoord niet tot je privegegevens? Schenden ze dan niet je recht op privacy?
Als ze jou hacken en je bankrekening plunderen is het dan nog zo geweldig?

Hacks worden al decenia lang uitgevoerd. Punt is wel dat deze white/blackhats die het al decenia lang doen het melden en niets pubkliceren. Sterker nog echte hackers houden niet van aandacht en publiciteit over het algemeen! ;)

Sterker nog ik ken mensen die een hack vinden en bijna tegelijk een patch maken en deze opsturen! Kijk dat is knap.

Een DDOS heb je zelfs progjes voor waar je op een knop drukt en deze een ip adres aanvalt. Dat noem ik niet eens hacken!
Maak je geen zorgen. 1 op de 4 hackers werkt voor de overheid.
security.nl/artikel/37348..._is_FBI-informant%22.html
Blijkbaar ben je n00b genoeg om niet te beseffen dat niets in deze wereld 100% veilig is (en kan zijn als je er nog een beetje gebruik van wilt maken). Verder prima verhaal na de punt achter de zin.
Wat me opvalt bij het bekijken van de site met gegevens is dat er bar weinig mensen zijn die gebruik maken van hoofdletters en cijfers in hun wachtwoord (zover je kan zien bij de eerste drie tekens). Blijkt maar weer eens dat mensen erg onzorgvuldig zijn bij het kiezen van een wachtwoord.
Ja dat had ze erg veel geholpen...


Sterke wachtwoorden online zijn zwaar overrated, zolang de database redelijk beveiligd is (en als dat niet het geval is heb je sowieso een probleem).

Laten we een lekker onveilig wachtwoord pakken, geen hoofdletters, geen cijfers, geen speciale tekens, gewoon alleen kleine letters en 8 tekens lang. Dat zijn 2E11 mogelijkheden, laten we zeggen dat je hem halverwege vindt, dan zit je op 1E11 mogelijkheden. 10000 inlogpogingen per seconde en je bent nog steeds 242 dagen bezig om het wachtwoord te bruteforcen. En ik mag hopen dat de gemiddelde beveiliging voldoende is om te zorgen dat niet iemand 10k keer per seconde op een account voor het grootste deel van een jaar kan proberen in te loggen.
Om het er nog maar niet over te hebben dat de login server van de meeste dingen daarvan per direct dood zal gaan.
tsja, alleen beetje jammer dat je met een desktop pc en een graka blijkbaar al meer dan 2 miljard combinaties per seconde kunt uitvogelen, althans, volgens wikipedia

http://en.wikipedia.org/wiki/Password_strength
Daarom noemde ik ook expres het online gedeelte erbij. Uiteraard is het heel wat anders als je je schijf bijvoorbeeld encrypt, daar moet je zeker wel een sterk wachtwoord op zetten.

Maar het is leuk dat jouw graka 2 miljard combos per seconde kan uitvogelen, hoe ga jij 2 miljard combos per seconde naar een login server sturen? Dat ding ligt per direct dood erbij als je het al lukt om op een duizendste daarvan te komen, kort daarop gevolgd door je IP geblacklist omdat het gezien zal worden als een DDOS aanval.
Mwah, in dit geval had dat helemaal geen steek geholpen :)

Wees maar blij dat de meeste mensen geen hoofdletters in hun wachtwoord gebruiken. Dat maakt jouw wachtwoord met een paar hoofdletters sterker.

De dag dat we dat allemaal wel doen, is een wachtwoord met alleen kleine letters juist sterker omdat de kans kleiner is dat alle letters in een wachtwoord klein zijn.
Als mensen overal hetzelfde wachtwoord gebruiken, kunnen ze zoiets ook wel verwachten imho.
Overal hetzelfde wachtwoord is niet handig nee, overal andere wachtwoorden is volkomen onmogelijk.

Op mijn werk heb ik al iets van 4-5 verschillende logins. Dan hebben we tweakers en nog een zooi forums, digid, paypall, meerdere games, computer/laptop zelf, hotmail, gmail en een hele zooi webwinkels en soortgelijken. Veel succes om overal voor andere wachtwoorden te gebruiken. Ja dan kan je password manager gebruiken, totdat je vanaf een andere computer wilt inloggen.

Uiteraard heb ik de wachtwoorden die ik gebruik wel opgedeeld in verschillende sterkstes afhankelijk van hoe erg ik het vind als mijn account toegankelijk is voor andere (email is ernstig, vanaf daar kunnen ze ook weer paypal leegtrekken en paypal zelf natuurlijk ook, tweakers maakt me weinig uit), en hoe waarschijnlijk ik het acht dat mijn wachtwoord er veilig staat (van hotmail verwacht ik wel dat het goed geencrypt is, bij een willekeurige webwinkel lijkt me dat onwaarschijnlijker). Maar uiteindelijk gebruik ik en zo goed als iedereen wel hetzelfde wachtwoord voor meerdere dingen.

Niet dat het iets uitmaakt als ze je email wachtwoord hebben, vanaf daar kunnen ze zo overal nieuwe wachtwoorden aanvragen.
Wat een onzin, een password manager is hartstikke handig, gewoon op je telefoon kan je die dingen openen. (keepass werkt op zo een beetje elk platform) en kan je zo een beetje overal runnen zonder admin priviliges. En dan zijn er genoeg plugins dat je het centraal kan opslaan (ftp/dropbox).
Ah nu is een smartphone een verplicht iets?

En nee bedankt, weinig behoefte om al mijn wachtwoorden online ergens te zetten, dan hoeven ze maar 1 wachtwoord uit te vogelen en ze hebben letterlijk overal toegang tot.
Jij denkt dat het veilig is om keepass op je toestel te hebben? Een telefoon is een van de vele artikelen die makkelijk gestolen kunnen worden.
"Ik heb een wachtwoord op mijn toestel" Dit kan waarschijnlijk makkelijk worden gevonden door de criminele organisatie die jouw toestel in handen heeft.

Vanuit je toestel kun je weer makkelijk in je mail en online diensten als dropbox zijn m.i. veel minder veilig dan sites als Sony die onlangs gekraakt is.
Wat tegenwoordig wel veilig is? Niets is geheel veilig, wellicht alleen als je alles in je hoofd opslaat.
Ik vermoed dat lulzsec een hack/deur heeft gevonden die bij veel sites nog steeds open staat.
Het handigste is om een klein algoritme te gebruiken.

Kies bv een standaard, random paswoord: 5z6oCd2. Dat leer je dan vanbuiten. Dan voeg je bij elke paswoord vooraan de 2e letter van de domeinnaam toe ('w' voor tweakers) en achteraan bv de laatste letter, of het aantal klinkers in de domeinnaam.

Het is dan wel 2 seconden extra nadenken wanneer je inlogt, maar dan ga je van lijstjes als deze toch geen last hebben.
Maar dat geeft niemand een reden om het te misbruiken! Als ik voor al mijn sloten dezelfde sleutel gebruik wil dat ook niet zeggen dat iemand al mijn deuren zomaar mag openmaken als hij mijn sleutel ziet liggen.
Ik denk dat het meer met bewustwording te maken heeft. Nu dat deze groep alles zeer in de openbaarheid gooit en er inderdaad mee gerrotzooid word komt het wel in de aandacht van de media. En laten we eerlijk zijn, wachtwoord hergebruik is wel het stomste wat je kan doen, maar bijna iedereen doet het omdat ze niet doorhebben dat je heel kwetsbaar bent, mocht er ergens een lek/misbruik op een site zijn.

Voordeel is nu dat het wel onder aandacht gebracht word in de media en maakt mensen bewust. Ik zie dus wel voordelen.
Nee, maar je bent natuurlijk wel meteen de sjaak als ze 1 van die sleutels in handen krijgen en ja, daar kies je dan zelf voor (zal wel gemak zijn...).

Het gaat helemaal niet om een eventuele reden die een kwaadwillende in dit geval wel heeft waar hij dat bij meerdere sleutels/wachtwoorden niet zou hebben, dat weet degene immers niet vantevoren!

Het gaat gewoon om het risico dat je zelf loopt als je zo'n keuze maakt. En blijkbaar is het nodig mensen met hun neuzen op de feiten te drukken gezien de reacties van "getroffenen".
Slachtoffers van LulzSec, of slachtoffers van de slechte beveiliging van het bedrijf waar de gegevens gestolen zijn?
slachtoffer van lulzsec he? want als zij dat bedrijf niet hadden gehackt en de boel hadden gepubliceerd dan was er niks aan de hand..

ze konden ook de boel hacken en zeggen kijk is jullie zijn zo lek als een mandje zonder mensen te schaden..


als ik mijn fiets niet op slot zet en iemand jat hem is het nog steeds stelen en strafbaar..
Het probleem is niet zozeer, dat bedrijf X gehacked is. Ze hebben wel de plicht om gegevens goed te beveiligen, maar dat maakt dit niet de fout van het bedrijf.

Lulzsec is hier gewoon verkeerd bezig, omdat ze niet alleen een lek hebben gevonden, maar alles wat ze via deze lek, naar buiten hebben gebracht.

Als ik mijn voordeur open laat staan, dan kan een voorbijganger mij hier vriendelijk op attanderen, en ik zal mijn deur sluiten. Echter, besluit deze voorbijganger iets mee te nemen, dan hebben we het nog altijd over diefstal (insluiping). Ditzelfde doet Lulzsec nu, de deur staat open, maar toch halen ze iets weg (naja goed, een kopie van gegevens, neemt niet weg dat er nog wel schade geleden word).

Ik heb er dan ook geen problemen mee, dat Lulzsec lekken wilt aantonen, maar dat ze willens en wetens mensen schade berokenen, dat vind ik echt te ver gaan, mensen hun prive gegevens liggen te grabbel, waar anderen dan nog een keer misbruik van kunnen maken.


Deze mensen zijn echt slachtoffer van Lulzsec geworden, niet het bedrijf waar deze gegevens vandaan zijn gehaald, dan draai je de situatie om (en dat is ook precies wat er naar mijn idee mis is, met de maatschappij op het moment).

Gegevens MOETEN wel beveiligd worden, omdat er gewoon mensen zijn, die geen respect hebben voor het bezit (virtueel of niet), van anderen. Ik wil mijn deur niet op slot HOEVEN doen, maar omdat ik weet dat niemand meer respect heeft voor het bezit van en ander, moet ik wel. Dat iets open en bloot beschikbaar staat, betekend niet meteen dat je er met je grijpgrage handjes aan mag zitten. Lulzsec had wel een paar leuke acties met het aanvallen van de CIA en Overheids sites, maar dit gaat gewoon alle begrip te boven. Hier kan ik geen respect voor opbrengen, enkel en alleen walging.
Even een correctie: Je zet je fiets op slot, maar een ander heeft een kopie van je sleutel. Alleen springt die persoon er niet zorgvuldig mee om en de sleutel wordt gejat.

Wiens fout?

Ik ben het wel met je eens dat de dief de eerste verantwoordelijke is, maar een bedrijf dat weinig tot geen beveiliging heeft mag van mij aan de schandpaal EN gerechtelijk vervolgd.

En je kunt zeggen wat je wilt, maar er worden wel steeds meer mensen doordrongen van het feit dat je je wachtwoorden zorgvuldig moet kiezen en niet overal hetzelfde wachtwoord moet gebruiken.

Als je dezelfde sleutel gebruikt voor je huis, je fiets, je auto, je bank en je mobiele telefoon dan moet je niet raar staan te kijken dat je kaalgeplukt wordt als je je sleutel laat slingeren, of een ander dat voor je laat doen.
Tsja, als ik elke dag een opengebroken auto bij mij in de straat zie staan wordt ik ook wel doordrongen van het feit dat je geen dure goederen in de auto moet laten liggen. Sterker nog, dat dringt nog veel beter door als ik zelf daadwerkelijk getroffen wordt. Toch heb ik niet het idee dat degene die in de auto's inbreekt minder schuldig is omdat ik er wat van kan leren.

Zelfde geldt hier, leuk dat mensen met hun neus op de feiten worden gedrukt, maar dat doet niets af aan het feit dat hackers gewoon opgepakt en in de cel gegooid moeten worden.
"Even een correctie: Je zet je fiets op slot, maar een ander heeft een kopie van je sleutel. Alleen springt die persoon er niet zorgvuldig mee om en de sleutel wordt gejat."


Degene met de kopie sleutel is aansprakelijk op basis van gemaakte afspraken en met het in het oog houden van de wet. Nalatigheid is een van de pijlers waarom geleund kan worden.

Naast de verantwoordelijke is de derde partij in dit geval de wet overtreder die zit ook goed fout. Die zou je ook nog eens kunnen verwijten enigszins een meldings- verantwoordelijkheid zovan hé je hebt je portemonnee laten vallen of ik heb toegang tot je fiets. Maar bij wetsovertredingen zie je aspect weinig terug.. gek is dat toch hé. 8)7
volgens mij is het ook strafbaar dat je je fiets NIET op slot zet (http://frontpage.fok.nl/n...-niet-op-slot-zetten.html)
En heb je dan liever dat een voorbijganger hem op slot zet voor je, of dat ie hem meeneemt?
Het is heel eenvoudig: wanneer jij waardevolle (virtuele) spullen bezit of bewaart (of dat nu je eigen spullen zijn of die van een ander) dan moet je die voldoende tegen diefstal beveiligen. Een verzekeraar keert geen vergoeding uit voor gestolen huisraad als er geen sporen van braak zijn. Je krijgt je fiets ook niet vergoed als je geen sleutelset (hoofd- en reservesleutel) kunt inleveren. Kortom: het is je plicht goed voor je spullen te zorgen, juist omdat er figuren op je spullen uit zijn. Kom maar eens aan bij je verzekeraar met het argument dat het toch belachelijk is dat je tegenwoordig je fiets op slot te zetten.

Datzelfde geldt voor de digitale wereld. LulzSec toont op onsympathieke wijze aan waar de fouten zitten: bij de beheerders en/of gebruikers. Wie zo dom is om 1 wachtwoord voor al zijn accounts te gebruiken weet dat hij/zij daarmee een risico neemt. Immers: komt het wachtwoord op straat, dan zijn alle accounts van deze gebruiker te raden/gebruiken.

Verschillende wachtwoorden betekent verspreiding van risico. Ligt je wachtwoord op straat dan ligt alleen de informatie bij dat account voor het grijpen. De rest niet.

LulzSec dient geen enkel, laat staan hoger, doel, maar toont wel de achilleshiel van beveiliging aan: er wordt teveel gekozen voor gemak ten koste van de veiligheid. Wie die keuze bewust maakt moet ook de gevolgen accepteren en niet met het vingertje wijzen naar de hackers. Het is dan niet de schuld van de hackers maar van de gehackte persoon/instelling.
Nee, LulzSec, steelt de fiets... en zet hem elders neer. Sterker nog ze stelen niet van de persoon van wie de informatie is, maar halen het weg bij een derde. Van dat betreft gaan hier alle fiets en auto vergelijkingen gewoon niet op. Want het is niet stelen, maar copieren en informatie op een illegale wijze wereld kundig maken. :)

[Reactie gewijzigd door _Dune_ op 17 juni 2011 10:06]

Ik denk meer in de trant dat ze er een foto van maken en *overal* neerhangen met de mededeling "Kijk een fiets! Niet op slot, gratis af te halen, Lulz!".

Ze stelen het idd niet fysiek en doen er zelf blijkbaar ook weinig mee, tenminste, daar wordt nu van uitgegaan.

Desalniettemin, LulzSec is behoorlijk bezig en waar ik in het begin het nog wel interessant vond dat grote spelers eigenlijk best kwetsbaar zijn, kan ik het echter niet goedkeuren om persoonsinformatie van slachtoffers van slechte beveiliging te benadelen.
Maar van alles is er wel iets positiefs als negatiefs te bedenken. Dat het in elk geval een (grote) awareness creëert dat je persoonsgegevens bij welke internetsite potentieel ERG onveilig opgeslagen is, is wel duidelijk en dat is denk ik ook het doel (naast het 'lollig' vinden, zoals ze zelf zeggen) van de publicaties.

Daarnaast zou het ook helpen als bedrijven/instanties die (veel) persoonsgegevens op dienen te slaan, dit op zo'n manier doen dat het een stuk veiliger is. Er zijn tegenwoordig *meer* dan genoeg mogelijkheden om dit te doen:
  • Gebruik van HTTPS voor de verbinding.
  • Salten van wachtwoorden en de hashes opslaan ipv plain text passes.
  • Webservers / databaseservers scheiden van elkaar en niet onder 'root' access laten draaien.
Dit zijn maar een paar voorbeelden en voor elke is er wel een potentiële hack, echter wanneer ze allen in combinatie gebruikt worden, maar je het een stuk lastiger.

Conclusie:
  • Zorg dat je je gegevens zowieso niet zomaar verstrekt aan sites/instanties.
  • Zorg voor verschillende passwoorden op verschillende sites.
  • Verwacht niet dat als een bedrijf roept dat het 'veilig' is, dat het ook inderdaad veilig is.
Dit zou mijns inziens gewoon dé basis moeten zijn en zou iedereen moeten weten die ook maar de intentie heeft om zaken te doen op internet. Dan zou het probleem al veeeeeeel minder verstrekkende gevolgen hebben dan wat het nu heeft.
Het is inderdaad strafbaar dan, als je gepakt wordt. Kan je wel iets verwachten van justitie. Simpel ook gelegenheids-dieven blijven dieven en die zijn strafbaar wanneer ze een strafbaar feit begaan.

Maar wat er eigenlijk gebeurd als je je fiets zelf niet op slot zet is dat je jezelf in de vingers snijdt. Als de verzekering hier bewijs van kan leveren kan het nog wel eens zijn dat je de premie voor niets betaald hebt en dat ze je niet uitbetalen. Maar altijd zeggen dat de fiets op slot stond!! Leugentje voor eigen bestwil en beter voor de lokale economie.
Als je je fiets bij een bewaakte stalling zet, en je vergeet dan je fiets op slot te zetten, dan is de stalling toch echt aansprakelijk wanneer je fiets gestolen blijkt te zijn.

Het gehackte bedrijf heeft wel degelijk een gedeelte van de schuld.

[Reactie gewijzigd door Flumer op 17 juni 2011 10:01]

Slachtoffers van LulzSec, of slachtoffers van de slechte beveiliging van het bedrijf waar de gegevens gestolen zijn?
Ja, nogal wat mensen willen je het laatste doen geloven.
Maar als er bij jou wordt ingebroken zetten we de inbreker ook niet op een voetstuk omdat 'ie heeft aangetoond hoe makkelijk jouw voordeur open te krijgen is.

Zo lang je niet exact weet hoe eenvoudig het was om die gegevens te verkrijgen, kun je ook niet oordelen over de beveiliging van die bedrijven. Immers niets is 100% veilig. De ene voordeur duw je zo open, de andere heeft wat meer 'inspanning' nodig.
Feit blijft dat het in beide gevallen verboden is om naar binnen te gaan en wat mee te nemen.

[Reactie gewijzigd door edwingr op 17 juni 2011 09:34]

Het probleem is dat via het internet er niet altijd duidelijk is dat er ingebroken is.
Ik zou Lulz niet op een voetstuk plaatsen, maar het open publiceren van de data is een heel stuk minder schadelijk dan wanneer deze data niet openlijk naar buiten komt.

Als wij er vanuit gaan dat al onze gegevens veilig zijn en alle hackers zorgen er voor dat de gestolen data niet in de media komt, dan weten wij niet eens wanneer we gevaar lopen.

Openlijk bekend maken dat de data is gehacked is in mijn opinie beter dan wanneer we het helemaal niet weten dat er een website is gehacked.
Openlijk bekend maken dat de data is gehacked is in mijn opinie beter dan wanneer we het helemaal niet weten dat er een website is gehacked.
Mee eens. Maar dat is NIET hetzelfde als
... het open publiceren van de data is een heel stuk minder schadelijk dan wanneer deze data niet openlijk naar buiten komt.
Publiceren WELKE data er gehackt is: prima. Dat de website/het bedrijf daar schade van ondervindt: vervelend, maar hopelijk leren ze daar dan van.
De data zelf publiceren: niet okee. Daarmee schaadt je niet alleen het bedrijf maar ook alle gebruikers, die er niets aan kunnen doen.
En dan publiceren ze morgen dat deze het hele klantenbestand met pincodes en al van de ABN hebben geroofd. En dan weetje niet of het waar is of bluf. Melden inclusief data als bewijs, maar bij de politie of daar waar het gestolen is.
Slachtoffers van LulSec natuurlijk. Dat de beveiliging niet helemaal op orde is, dat is natuurlijk ook een slechte zaak maar dat is niet de reden dat er gegevens gestolen worden (wel de reden dat ze gestolen konden worden).

Als er bij jou thuis word ingebroken, ben je dan ook het slachtoffer van jou slechte beveiliging?

[Reactie gewijzigd door LOTG op 17 juni 2011 09:24]

bij mij is die grens duidelijk:
zodra er een bug bekend is en een patch bestaat, heb je geen reden om NIET te patchen

Als er publiek geweten is dat jouw deurslot met een koffielepeltje open te doen is, je weet het en je kan het (gratis) laten maken en je doet dat niet, dan ja... dan is het net zo goed als je deur open laten staan en ben je in mijn ogen deels verantwoordelijk

wacht neen... ik vind dat dat moet kunnen, je blijft van andermans spullen af... euhm... de WET acht je verantwoordelijk! ;)
Ze zijn slachtoffer van LulzSec, zij zijn degene die misbruik maken van de slechte beveiliging. En als ze echt een hoger doel hadden was publicatie niet nodig geweest.

Als ik mijn auto open laat dan is er nog geen reden om mijn autoradio zo maar mee te nemen toch?
volgens de regels is dat uitlokken van diefstal en ben jij (ook) strafbaar en zal de verzekering zich terugtrekken.
Welkom in de "nieuwe" maatschappij
Als je een slecht slot op je deur hebt en er komt een dief binnen, ben je dan slachtoffer van de dief of van de verkoper die je het slechte slot verkocht heeft?
Inbreken is en blijft illegaal, ookal wil je iets aantonen, het mag niet. En eender welke beveiliging een website opricht, als men wil, geraakt men binnen. Dus ik denk niet dat je de schuld zomaar naar de bedrijven mag schuiven... Want als er geen hackers of dieven waren hadden we geen beveiliging of sloten nodig.
klopt, maar als we moeten beginnen slechte mensen uitmoorden, dan komen we een beetje in een straatje zonder einde, he...

70 jaar geleden was er ook iemand die alle schuld altijd naar een bepaalde bevolkingsgroep schoof. Is het dat wat je dan wil?

Als ik vroeger op stap ging (15 jaar geleden), sloot ik mijn fiets NOOIT. Iedereen bleef er vanaf in ons dorp! nu moet je zoiets niet meer proberen!
de moraal is gewoon weg en dat is een zeer spijtige zaak!
Zelfs als ik mijn voordeur open laat staan, ben ik nog steeds slachtoffer van de dief die besluit daar misbruik van te maken.

Nee, het ontslaat me (en de getroffen bedrijven) niet van de verplichting om zorgvuldig met beveiliging om te gaan, maar dieven moeten ook gewoon met hun poten van andermans spullen afblijven.
Dit, naast vele andere voorbeelden, is een teken aan de wand van hoe de maatschappij is veranderd.

Vroeger kon je je deur open laten staan, (vrijwel) niemand kwam binnen, want had gewoon respect. Tegenwoordig is het een uitnodiging tot stelen bijna. Hetzelfde geldt voor de online deuren. Het feit dat de deur openstaat, betekent niet per definitie dat je naar binnen mag. Wat je kan doen, is virtueel hallo roepen om de aandacht van de eigenaar te trekken, zodat deze, dankbaar, de deur kan sluiten.

Ik denk dat dit hele Lul-zsec (what's in a name) als grapje is begonnen, zoals wel vaker gebeurt, maar dat nu de macht de overmacht heeft genomen en wellicht de aandacht. Ik denk niet dat ze ECHT beseffen wat ze hebben gedaan, als in: heel stoer om de CIA website plat te gooien, maar wat gaat de CIA doen om ze te bestraffen? Ze kunnen het zien als 'act-of-terrorism' en we weten allemaal wat de `Patriot-act' voor hen kan en mag laten doen.
ik heb ooit virtueel hallo geroepen en een documentje erbij gezet wat er mis was en hoe het op te lossen.
Dat heeft mij bijna mijn job gekost en een gerechtelijk proces. Geloof mij, ik doe het nu wel op een anonieme andere manier, hoor!
Bij computer security is 99% nog: shoot the messenger!
Vroeger kon je je deur open laten staan, (vrijwel) niemand kwam binnen, want had gewoon respect.
dat kan tegenwoordig ook nog wel hoor, de voordeur hier sluit niet altijd even goed, heeft wel eens een hele nacht opengestaan, niks geen problemen mee gehad.

Hoe vaak hoor je dat iemand de deur open liet staan en er iemand binnenkwam?
Toevallig eergister mijn sleutels + autosleutels in de voordeur laten zitten, echt uber-achterlijk natuurlijk. Maar gelukkig kwam iemand even om 0:00 aan de deur om dat even te melden. Pfew!!
daar had je ook 2 mogelijkheden...
1. the good way: bedanken die mens!
2. the bad way: de politie bellen en zeggen dat hij wou inbreken, want hij stond al aan je deur met jouw sleutels in zijn hand

of in IT termen:
1. accepteer de hack, wees blij dat iemand je fout meldt en laat het erbij
2. dreig met vervolging omdat hij poging tot inbraak deed

De keren dat ik zulke lekken gemeld heb, heeft het bijna mijn job gekost en een proces... dus bij IT valt het nogal snel onder 2... hoewel de 1, in mijn ogen toch iets beter is, en minder kwaad bloed zet. Als je 2 doet, zal die persoon in het vervolg zijn lesje wel leren en je sleutel laten zitten, zodat andere (minder goede) zielen het voor je komen aantonen...

Ik zit nu in een tussen stadium... ik doe het en meld anoniem, op die manier weten ze het, maar kunnen ze mij toch niets maken
Maar het heet nog wel insluiping en diefstal en is gewoon strafbaar. Ook zijn er veel inboedel verzekeringen die gewoon uit betalen.
mis. Dit heet aanzetten tot diefstal, uitlokken is strafbaar en je hebt het zelf gezocht.

triest, maar zo ver is het gekomen in onze maatschappij!

weet je trouwens dat ik mijn laptop niet in mijn wagen mag laten liggen omdat ik anders niet verzekerd ben?
Ik heb ook een break, en mijn "zeil" in de koffer MOET open zijn omdat dat anders ook al aanzetten tot diefstal is volgens de lease maatschappij?!

ZO ver is het gekomen al! Dus ja... diefstal is strafbaar, maar beveiliging negeren is ook fout en mag blijkbaar even zeer afgestraft worden. En zoals altijd... de portefeuille is de beste leerschool
Wat een onzin Harry. Dit is gewoon diefstal. Niks aanzetten tot diefstal, waar je dat nu weer vandaan haalt.

En je laptop niet in je auto laten liggen heeft te maken met VERZEKERAARS (die hun premie afhankelijk maken van de grootte van de kans dat iets gejat wordt). Voor jouw premie stellen zij dat je dat ding moet opbergen.

Heeft niets maar dan ook niets met de wet te maken maar met afspraken van je verzekeraar.

En nog minder te maken met het publiceren van privacygevoelige informatie waar dit topic over gaat.
Mis. Gelukkig voor jou kan ik best een keer vergeten mijn voordeur/auto op slot te doen zonder dat ik gestraft wordt. Het is pas strafbaar als je het bewust doet.

En zelfs als je het bewust doet, maakt dit nog niet dat de dief vrijuit gaat!

Dat de verzekering niet uitbetaald, is een ander verhaal. Er is een risico afgedekt onder bepaalde voorwaarden. Voldoe jij niet aan die voorwaarden, heb je geen recht op een uitkering. Maakt nog steeds niet dat jij strafbaar bent of de dief niet strafbaar zou zijn.
Dus als jij iemand doodschiet zeg je dat diegene een slachtoffer is van slechte politie in Nederland?
Ja, want waarom heb ik die persoon doodgeschoten? Is de politie nalatig geweest waardoor ik heft in eigen hand nam, of hadden ze mij voortijdig kunnen oppakken?
Ja, want hoe kom ik überhaupt aan een pistool... Legaal gaat via de politie, dus die hebben mij niet goed gescreend. Illegaal, dat is ook het probleem van de politie.
Dus dat kun je best in je verdediging meenemen ;)

OnTopic: hoewel ik het niet eens ben met de actie om alles op het internet te gooien, vind ik wel dat ze goed laten zien dat het internet een bron van informatie is waar iedereen bij kan. Het laat ook zien dat bedrijven nalatig zijn wat betreft beveiliging en ik zie dit ook elke dag voorbijkomen.

Hoewel ik het dan netjes meld, gebeurd het vaak genoeg dat er niets mee gedaan wordt. Misschien is het dus wel nodig om de klanten te laten boeten voor de fouten van de bedrijven.
Ja, want waarom heb ik die persoon doodgeschoten ... en de rest van de onzin die daarachteraan komt ...


Wat een onzin en kromme denkwijze. Sorry moest het even kwijt, maar als jij schiet ben jij verantwoordelijk en niet de politie en dat kun je al hélemaaaaal niet in je verdediging meenemen, fantast :)
waarom maken zo velen de vergelijking met moord enzovoorts...
toch even plaatsen misschien:
het gaat hier maar over internet, he!!! niet over iets wezelijks en belangrijks! hier gaat niemand dood, hier krijgt niemand pijn, hier verander je niemands leven mee.

dus alstublieft, stop met je login op een domme twitter site te vergelijken met het wegnemen van iemands leven!!!\

IT"S JUST THE INTERNET, NOTHING IMPORTANT!!!
Wat grappig hoe het resultaat van die poll ineens zo erg kan veranderen, ik blijf er bij dat ze wel iets aan tonen en wel om het fijt dat je niks kan aan tonen zonder ballen te tonen en gewoon gevoelige gegevens op het internet te dumpen geloof het of niet maar dat is de enige manier waarop mensen wat leren door te voelen.
Probleem hier is dat de mensen die het voelen niets met het beveiligingsbeleid te maken hebben.
Dat hebben ze wel. Sterke (en unieke!) wachtwoorden kiezen is onlosmakelijk verbonden met beveiligingsbeleid (je eigen beleid, dan wel).
En, vertel eens, hoe gaat de gemiddelde persoon tientallen sterke en unieke wachtwoorden onthouden?
Dat s onzin, ik heb meegemaakt dat iemand een bank heeft gehacked. De persoon heeft alle buitgemaakte informatie op papier in enveloppen gestoken en digitaal op DVD weggeschreven.

Daarnaast heeft hij precies uit de doeken gedaan hoe hij het gedaan heeft en hoe het wel te beveiligen, dit heeft de persoon alleen aangeboden aan de betreffende bank die er vervolgens dankbaar gebruik van gemaakt heeft.

Wat hier gebeurdt, zijn een paar kleuters die te weinig aandacht denken te krijgen (ongeacht de leeftijd) en heeft totaal niets te maken met het aantonen van iets (hooguit digitaal laten zien hoe groot (lees hoe klein) hun geslachts deel is. Dit is op geen enkele manier goed te praten of te verantwoorden. :)

[Reactie gewijzigd door _Dune_ op 17 juni 2011 09:44]

Tja, ze hadden ook de wachtwoorden weg kunnen strepen zoals de website hierboven, ipv alles doodleuk op het internet gooien wat veel schade met zich mee kan brengen. Hacken okay, maar doe daarna wel even normaal met andermans spullen.
En dossen is zozo triest
ik vraag me af: als je dat bestand ook heb gedownload, ben je dan medeplichtig?

en zo te zien is de poll verplaatst, of is het een nieuwe om de meningen nu te pijlen?

maar goed, lulzsec lijkt niet te stoppen, misschien is de cia druk bezig om informatie te verzamelen... en komt er toch nog een eind aan...

de gehackte sites worden er zeker niet beter op, door al die slechte publiciteit
De eerste poll (die op de Frontpage stond) is gesloten. Onder het artikel staat een exacte kopie van de vorige poll gepubliceerd.
Het is een andere pol (onder andere te zien aan het lage aantal stemmen).

Hier is overigens de originele van de frontpage, waarbij inderdaad "Het verdient niet de schoonheidsprijs..." de meest gekozen optie is.

edit: Is nu ook toegevoegd aan het artikel.

[Reactie gewijzigd door MochiGohan op 17 juni 2011 09:29]

ik vraag me af: als je dat bestand ook heb gedownload, ben je dan medeplichtig?
als iemand jou portemonnee steelt en dat laat zien aan iederen (behoorlijk brutaal in mijn ogen) en iemand anders gaat de inhoud daarvan misbruiken/besteden. dan is dat ook medeplichtigheid. (is dat een woord?)
"Ik vind het wel 4 the lulz. :)"

Het inbreken-met-deuren-voorbeeld gaat eigenlijk totaal niet op voor het internet, althans, nog niet, gelukkig.
In dit geval ligt het probleem voornamelijk bij de organisaties die de hacks toelieten. Hun beveiliging is brak, en dankzij hun zijn de gegevens ontfutseld. Hoewel ik merk dat veel mensen er anders over denken, is internet-beveiliging geen fysieke drempel zoals een deur. De deur staat immers altijd open op een website, je bent al binnen. Op het moment dat je bepaalde input gooit naar de website, en deze gooit weer output terug, wie gooit dan de wachtwoorden naar je toe? De website/organisatie inderdaad.

Ik vind dit in ieder geval nog steeds prachtig om te volgen. De humor van die gasten op onder andere twitter is echt geweldig. :+
Je maakt dat voorbeeld wel heel makkelijk irrelevant. Maar vergelijk het dan met een winkel of een bank. Je mag wel in de publieke ruimte komen, maar het is niet de bedoeling dat je zomaar artikelen uit de schappen of de inhoud van de kassa mee mag nemen bij de winkel. Of bij de bank uiteraard de inhoud uit de geldlades of kluis.

De basisregels voor beveiliging van websites zijn doorgaans wel vrij makkelijk, maar zoals bij alle software is het helaas vrij gebruikelijk om bugs te maken. Ook de input- en outputvalidatie van informatie die gebruikers aanleveren zal daar onderhevig aan zijn.

Verder is het niet altijd even triviaal om te herkennen wat wel en niet gevaarlijke situaties zijn of weet je niet eens dat bepaalde dingen uitgevoerd kunnen worden.
Leuk en aardig allemaal, maar is het dan echt nodig om ook wachtwoorden te publiceren ?

Dat is niet voor de lulz, en denk ook niet dat als het jouw gegevens waren dat je denk. Ach het is voor de lulz, ze tonen aan dat website lek is dus dat mijn gegevens op straat liggen boeit niet, ik vind het wel lachen dat ze een iphone op mijn kosten hebben besteld.

Goede zaak dat ze lekken aantonen, slechte zaak dat ze gegevens openbaar maken waar mensen het slachtoffer van worden.

En die DDoS voor de lulz is gewoon lame, het toont niets aan behalve dat ze media geil zijn.
ligt het probleem voornamelijk bij de organisaties die de hacks toelieten
Ga toch heen man.
Omgekeerde wereld. Recht praten wat krom is.
Het inbreken met deuren is een volledig rationele en bruikbare analogie.

De deur staat niet OPEN.
De deur heeft een gammel slot, en de deur is nog steeds een deur met een bord GEEN TOEGANG VOOR ONBEVOEGDEN.

LulzSec is fout. Er is niks nobels aan, niks grappigs.
Het is vooral heel sneu, helemaal vanwege de "outlaw" status die de kinders die zich hier mee bezig houden zo geweldig vinden.

grow up.
is het al iemand opgevallen wat een rare redeneringen jullie allemaal hebben?
- lulzsec hackt een bedrijf (en maken gegevens buit): WAAUW, mooi, jullie laten zien dat iets onveilig is... ook al kost dat het bedrijf massa's geld!!! (tienduizenden euro's is niets in zo'n geval)
- lulzsec publiceert enkele mailadressen (op een spam-veilige manier) en wachtwoorden maar misbruiken niets, dus het kost geen enkele prive persoon iets: lulzsec is schandalig bezig en moet op de brandstapel
- anderen misbruiken de gegevens van lulzsec: lulzsec verliest alle krediet en is "waardeloos"

dus: als het over "iemands mailadres" gaat en een wachtwoord op een site is het ineens VEEL erger dan wanneer het een bedrijf duizenden euros kost...

is dat niet een beetje ZEER egoistisch!?
Hoezo egoistisch?

Hun zijn toch de aanleiding van alles?
Als ze die informatie nu niet gepost hadden was er weinig aan de hand geweest behalve dan dat het een gehacked bedrijf eventueel geld kost. Zo'n bedrijf zou blij moeten zijn dat iemand hun security checked, wellicht hadden ze in een later stadium wel meer verloren en nu wellicht helemaal niks!

Door het plaatsen van de informatie van de gehackte sites compleet met username/emailadres/wachtwoord maken ze nog meer financiele schade maar dan bij andere instanties inclusief de gebruikers.

Tuurlijk verliezen ze credits, ze schieten hun doel voorbij en vinden zichzelf zo belangrijk en boven iedereen (de wet) staan.

Dus tja
Greenpeace doet dat toch ook? zich boven de wet stellen?
Als je altijd proper binnen de lijntjes blijft, gaat er nooit iets veranderen, he. Je moet er altijd even "over" gaan, zodat je de aandacht krijgt, want DAT is de incentive om te veranderen.

Dus de mailadressen geven wat EXTRA gewicht aan de ernst van de zaak, EXTRA aandacht, dus meer effect!

Betogingen doe je ook OP de straat ... je HINDERT mensen, daardoor is het iedereen duidelijk dat je iets wil zeggen. Als je gewoon ergens in een wei iets gaat roepen met 10 man en niemand is er in de buurt om het te horen/zien... dan verandert er niets, hoor...
hmmmmmm. Je hebt een punt hoor. Wat mij betreft gaat er echter weinig sympathie uit naar bedrijven: ze naaien ons toch ook waar we bijstaan?
Winst, meer winst en nog meer winst. Intussen mogen wij de broek ophouden van de ergsten, de banken. En daarna worden wij weer door onze regeringen gepakt met bezuinigingen....
Niet zo raar dus dat mensen wel maar bedrijven niet op medeleven kunnen rekenen.
Daarbij is er al die tijd wel geslapen bij een aantal it-afdelingen ( lees: managers ) van die bedrijven die te lullig zijn om een deel van hun intussen weer exorbitante winsten in goed beleid te steken..

Vandaar ( wat mij betreft )..
1 2 3 ... 8

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True