Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 29 reacties

Interne netwerken van Defensie zijn niet in gevaar geweest door het uitlekken van e-mailadressen en wachtwoorden van Nederlandse Defensiemedewerkers. Dat beweert de verantwoordelijk minister Hillen. LulzSec publiceerde de gegevens.

Defensie heeft de gebruikers van wie het wachtwoord is gepubliceerd, 'geadviseerd' wachtwoorden te veranderen, schrijft minister Hillen in antwoord op Kamervragen. Netwerken van Defensie vereisen andere logins en zijn dus niet in gevaar geweest, aldus de minister. Wel kunnen de gegevens worden gebruikt om toegang te krijgen tot 'andere internetdiensten'.

De gebruikersnamen en wachtwoorden van vijftien Nederlandse Defensiemedewerkers lagen op straat, doordat de inmiddels niet meer actieve hackersgroep LulzSec de gegevens had gepubliceerd. De gegevens kwamen in handen van de hackersgroep doordat de database van een e-boekwinkel van de NAVO kon worden uitgelezen. Het is nog altijd niet duidelijk hoe de hack is gepleegd.

Moderatie-faq Wijzig weergave

Reacties (29)

Er wordt 'geadviseerd' om het wachtwoord te veranderen? Ik kan echt niet begrijpen waarom dat niet wordt afgedwongen.. Blijkbaar niet belangrijk genoeg?
Bij defensie horen ze een hele strenge policy te hebben mbt wachtwoorden en als ze dan elke maand een nieuw wachtwoord moeten nemen dan is de kans dat ze die wachtwoorden voor andere zaken gebruiken kleiner.
Elke maand je wachtwoord veranderen zorgt er daarnaast ook voor dat je meer oproepen krijgt op de helpdesk van mensen die hun wachtwoord net veranderd hebben maar alweer vergeten zijn of die enkele keren hun oude wachtwoord ingegeven hebben en zichzelf dus uit het systeem buitengesloten hebben (elk deugdelijk systeem moet na een aantal pogingen blokkeren, al is het maar tijdelijk). Kortom: meer IT-kosten en zowel IT als gebruiker zal ontevreden zijn.

Daarnaast zorgen dergelijke policies er ook voor dat de entropie van je wachtwoorden dalen, wat dus helemaal een slecht idee is. Je krijgt dan veel mensen die wel een ander wachtwoord kiezen, maar een dat makkelijk af te leiden is uit een vorig wachtwoord. De veiligheid die je zo maakt, is schijnveiligheid. Hun wachtwoorden zullen dan iets zijn in de aard "*****1", "*****2", ... of "*****aug", "*****sep" waarbij het eigenlijke wachtwoord nog zo sterk mag zijn, eenmaal een hacker er één (of meerdere) van heeft, kan hij natuurlijk ook educated guesses beginnen maken naar wat het huidige wachtwoord zou kunnen zijn.

Je kan natuurlijk met policies beginnen afdwingen dat je wachtwoord "genoeg" moet verschillen (bv. dat er geen substring van N tekens overgenomen wordt uit vorige wachtwoorden). Maar eigenlijk is dat allemaal makkelijker op te lossen: als je met een OTP werkt bovenop je wachtwoord. Dus bv. met een Yubikey, RSA Token, DigiPass, of zelfs een complete challenge-response, dan is het voor een hacker bijna onmogelijk om in te loggen.
veel gebruikers bij defensie doen inderdaad dat "nummer-routlette" met de wachtwoorden elke maand. anders word je er zelf ook horendol van. 90% van de accounts zijn ook gewoon doorsnee en hebben geen speciale rechten of zo en is dus ook totaal niet interessant voor de hacker.

de echte belangrijke systemen van defensie en bijbehorende accounts zijn dusdanig beveiligd (zowel fysiek als digitaal) dat inbraak op zulke systemen practisch onmogelijk is.
die policiy van elke maand een ander wachtwoord is er ook voor het reguliere defensienetwerk, en oude wachtwoorden hergebruiken gaat niet.
systemen op het defensienetwerk waar een gebruiker toegang tot heeft (specifiek voor die gebruiker) zijn gescheiden en hebben weer een eigen login bovenop de accountwachtwoorden. rekening houdend dat men zoizo fysiek toegang moet hebben tot een defensiecomputer en meerdere lagen aan wachtwoorden doormoet (met 3x fout = geblokkeerd) kom je niet in het systeem zonder van je stoel af te komen. dus die hackertjes komen daar niet zo snel in.

[Reactie gewijzigd door flippy.nl op 27 augustus 2011 12:35]

Ik kan niet begrijpen dat men denkt dat het verplicht laten veranderen van wachtwoorden door gebruikers bijdraagt aan veiligheid. Misschien op de korte termijn, totdat mensen geen "onthoudbaar" wachtwoord meer kunnen verzinnen en het weer gaan opschrijven op een blaadje onder het toetsenbord. Dan heb ik liever dat een gebruiker 1x een echt goed wachtwoord verzint....
Het is allemaal een kwestie van de juiste balans vinden. Voor sommige systemen is het misschien best een goed idee om ieder maand een ander password te nemen. Dan moet je wel bereid zijn om bv. 2 uur per maand per medewerker te verliezen aan tijd om die wachtwoorden te onthouden en/of om bij de helpdesk langs te gaan voor een nieuw wachtwoord. Dat moet je echter niet aan duizenden mensen tegelijk opleggen, dan is je beveiliging niet goed gecompartementaliseerd.

Een aardig compromis tussen random wachtwoorden opleggen en mensen zelf wachtwoorden laten kiezen, is ze laten kiezen uit meerdere random wachtwoorden. Je computer genereert een lijst met 100 goede wachtwoorden en de gebruiker moet er 1 kiezen. Met 100 wachtwoorden zit er altijd wel 1 bij waar je iets in ziet waardoor het makkelijk te onthouden wordt.

Nog een laatste ei dat ik kwijt wil: je moet mensen niet straffen voor het vergeten van hun wachtwoord. Liever 100 keer iemands wachtwoord resetten dan dat ze het op een briefje gaan schrijven. Wel moet je een goede controle-procedure hebben, bv fysiek langsgaan en je paspoort laten zien, dat is al straf genoeg.
Kijk daar gaan we de fout in, zou nergens 2x zelfde paswoord mogen gebruiken, kijk voor wat online diensten zoals fora, games, facebook, etc die je privé gebruikt kan het nog niet zoveel kwaad. Als hackers dan op fora en facebook pagina kunnen komen dan is er niks aan de hand, is hoogsten vervelend maar verder niks aan de hand.

Maar ga je dat ook voor bedrijven adviseren dan ben je slecht bezig, dan is opschrijven nog beter, hacker kan niet fysiek het blaadje lezen dat op je pc zit geplakt en je collega's konden toch al in het systeem komen, zolang die ruimte niet toegankelijke is voor onbevoegde zal dat veel veiliger zijn dan overal hetzelfde paswoord gebruiken want systemen zijn niet veilig. Niet elke fora,dienst,game site is veilig, ga je overal hetzelfde paswoord gebruiken en ook nog leuk je profiel invullen en je waar je werkt en zo dan is dat uitermate onveilig.

Je moet gewoon nooit profielen invullen, nooit 2x paswoord gebruiken, een apart mail aders voor inschrijven op diensten, fora, etc gebruik daar niet je privé of werk email voor.

Hoe meer info je verspreid des te kwetsbaarder wordt je voor hack of ID diefstal.
Het beste is nog dat je elke dag een unieke login code laat genereren voor elke machine, en die uitdeelt vanuit een centraal punt, al krijgt de verkeerde een van de codes in handen dan werkt ie de volgende dag niet meer... nog beter zou zijn dat de code eenmalig werkt natuurlijk maar dat is gewoon niet handig.
Zoals je in de PDF kan lezen zijn deze accounts bedoeld voor de Ebook-shop van de NAVO, en is die Ebook-shop na het lekken van deze gegevens ook meteen gesloten (tijdelijk neem ik aan).

Het artikel geeft al aan dat deze accounts verder niet op het netwerk zelf gebruikt kunnen worden.

Dus zo belangrijk is het nu ook weer niet. Ok, hackers hadden eventueel ebooks kunnen bestellen met die gegevens (als de shop niet gesloten zou zijn), maar dat is het dan ook wel. Big deal verder...

En Defensie kan natuurlijk niet afdwingen dat ze die passwords moeten wijzigen. De shop is immers van de NAVO, niet van Defensie. Hooguit hadden ze de NAVO kunnen vragen het af te dwingen. Maar gezien de lage belangrijkheid lijkt me dat niet echt noodzakelijk.
Ik las het bericht iets anders in eerste instantie, je hebt helemaal gelijk :)
Alleen is het wel vaak zo dat mensen privé en zakelijk dezelfde wachtwoorden gebruiken, ondanks dat dat altijd sterk wordt afgeraden.

Als uit de emailadressen ook de namen van de mensen zijn af te leiden, en men kent de accountname-policy van Defensie, zou dat potentieel toch wel een risico op kunnen leveren?
Veel succes met het raden van de accountnamen, dat zijn semi-willekeurige letters en cijfers en er is geen enkele relatie met de naam van de gebruiker. Verder moet dat wachtwoord redelijk frequent gewijzigd worden, zodat het risico dat de wachtwoorden op die site en van het defensie-account hetzelfde zijn, minimaal is.
Wachtwoorden verplicht wijzigen is een gotspe. Iedereen die bij wat bedrijven op de werkvloer komt weet dat de gemiddelde gebruiker gewoon een cijfertje ophoogt aan het einde van zijn wachtwoord. Hier en daar kom je systemen tegen die dat blokkeren, maar dan valt er wel ergens anders een cijfer of een letter te veranderen. In ieder geval doet de gebruiker dat op een manier zodat zijn nieuwe wachtwoord sterk gelieerd is aan zijn oude (misschien computer technisch niet), maar een hacker kan dat dus ook raden.

En dan het advies om dat nieuwe moeilijke wachtwoord maar op de pc te plakken. Bij hoeveel bedrijven komen er niet soms of regelmatig schoonmakers/beveiliging/bouwvakkers weet ik wie over de vloer. Wat een hacker niet kan lezen, kunnen zij wel.

Als je op die manier veilig denkt te zijn, zit het niet best.

[Reactie gewijzigd door Malarky op 27 augustus 2011 20:26]

"En dan het advies om dat nieuwe moeilijke wachtwoord maar op de pc te plakken."

Ik heb dat de afgelopen 25 jaar nog nooit iemand horen zeggen.
Iedereen die bij wat bedrijven op de werkvloer komt weet dat de gemiddelde gebruiker gewoon een cijfertje ophoogt aan het einde van zijn wachtwoord.
Dit kan je prima afdwingen door een password policy. Ik snap echt niet waarom bij een organisatie die verantwoordelijk is voor de defensie van een land dit soort dingen altijd enorm ge-downplayed worden...
En dan het advies om dat nieuwe moeilijke wachtwoord maar op de pc te plakken. Bij hoeveel bedrijven komen er niet soms of regelmatig schoonmakers/beveiliging/bouwvakkers weet ik wie over de vloer. Wat een hacker niet kan lezen, kunnen zij wel.
Geldboete opzetten. Een ieder die bewust de security regelgeving binnen een bedrijf overtreedt moet een maandsalaris inleveren. Moet jij eens even kijken hoe snel mensen dan wachtwoorden kunnen onthouden.
Ik betwijfel of een compleet maandsalaris als boete wettelijk aanvaard zou worden door de arbeidsrechtbank...
[...]

Dit kan je prima afdwingen door een password policy.
En hoeveel bedrijven denk je dat dat werkelijk gaan doen? Het enige wat je dan krijgt is dat mensen naar de technische helpdesk gaan bellen omdat ze geen eenvoudiger wachtwoord dan 'E4qX%xaf;3#!" in kunnen voeren vanwege het beleid.

Veilgheid en gebruikersvriendelijkheid staan, als er mensen in de loop zitten, nu eenmaal haaks op elkaar en daar is niet veel aan te doen. De enige oplossing is veiligheids-kritieke taken overlaten aan mensen die weten wat ze aan het doen zijn, maar die zijn over het algemeen bij de overheid weer te duur en uitbezuinigd.
In principe hoef je niet een moeilijk wachtwoord te onthouden hoor:
http://xkcd.com/936/
waarom wordt er dan "geadviseerd" om de wachtwoorden te wijzigen en wordt da tneit hard afgedwongen als dat toch al met regelmaat gebeurd?
1: het verkrijgen van een email adres van iemand die toegang heeft tot interessante informatie is al goed begin voor een gerichte aanval
2: een een voorbeeld van een gebruikt wachtwoord maakt de kans op het vinden van andere wachtwoorden een stuk eenvoudiger. Daarnaast is de kans groote dat het zelfde wachtwoord zelfs wordt hergebruikt op andere plaatsen. Hiermee kan dus vermoedelijk toegang worden verkregen tot andere systemen
3: een gehackte omgeving die een gebruiker als vertrouwd beschouwd is een uitermate goed opstartpunt om een gebruiker te infecteren of meer info te verkrijgen

Dus als je de belangrijkste persoon van defensie bent en je doet deze uitlatingen dan ben je ofwel zeer dom door je op deze manier uit te laten of je doet het bewust om het gezichtsverlies zo beperkt mogelijk te houden en het klootjesvolk waaronder de politici in de 2e kamer een loer te draaien. Het maakt niet uit of je een crimineel bent, of een minister: altijd ontkennen!
Tja, Kunduz is ook veilig toch? Niets aan het handje.
Wij van wc eend...

...zeggen dat er niets mis is met wc-eend maar we weten nog niet hoe het fout heeft kunnen gaan.

Als je niet weet hoe de hack heeft plaatsgevonden is het per definitie onveilig.
Zou minister Hillen eerder stage hebben gelopen bij het Irakese Ministerie van Informatie?

:)
Zolang het bij emailadressen blijft
Kwalijke zaak dat het hoe ook niet bekend is

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True