Hacker Comodo claimt DigiNotar-inbraak

De hacker die verantwoordelijk wordt geacht voor de hack van systemen van Comodo in maart, heeft de aanval op DigiNotar opgeëist. Onderzoekers van Fox-IT hadden al vermoedens dat er een verband bestond tussen de twee hacks.

Beveiligingsbedrijf F-Secure heeft ontdekt dat ComodoHacker, die zoals zijn naam al doet vermoeden waarschijnlijk verantwoordelijk was voor het hacken van Comodo, de DigiNotar-hack heeft opgeëist. De hacker plaatste een tekstbestand op zijn Pastebin-account.

De hacker spreekt van een 'geavanceerde' hack, omdat een groot aantal beveiligingsmechanismen is omzeild. Dat is opvallend, omdat uit het onderzoek dat Fox-IT uitvoerde, juist blijkt dat de beveiliging van DigiNotar op een dermate abominabel niveau was dat een hack slechts een kwestie van tijd zou zijn. Uit de post van ComodoHacker blijkt verder dat het wachtwoord van de certificaatservers 'Pr0d@dm1n' zou zijn geweest.

De hacker schrijft toegang tot nog vier andere certificaatproviders te hebben en claimt dus nog steeds valse certificaten te kunnen genereren. Hij zegt DigiNotar te hebben gehackt vanwege de betrokkenheid van Nederland bij de val van Srebrenica in 1995, waarbij duizenden moslims werden vermoord.

De Fox-IT-onderzoekers schrijven in hun onderzoek te vermoeden dat er een link tussen de twee hacks bestond, omdat in een script een 'fingerprint' werd aangetroffen die bij beide hacks werd gevonden. Bij de aanval op Comodo werden, net als bij die op DigiNotar, valse certificaten gegenereerd. Van de DigiNotar-hack is bekend dat de certificaten waarschijnlijk zijn gebruikt om man in the middle-aanvallen op Iraniërs uit te voeren, waardoor internetverkeer kon worden onderschept.

IT-banen

Reacties (165)

Anoniem: 8510 6 september 2011 09:40

Pr0d@dm1n wordt door veel Password Strength Checkers als Very Strong getypeerd:
http://www.passwordmeter.com/
http://passwordstrength.net/
http://www.hammerofgod.com/passwordcheck.aspx
http://howsecureismypassword.net/

Maar met Cain and Able is het wachtwoord echter wel wat sneller te achterhalen:
http://en.wikipedia.org/wiki/Cain_and_Abel_(software)

Anoniem: 112442 @Anoniem: 8510 • 6 september 2011 10:14

Moet je in de links die je geeft een het password: "Dictionary" invullen.

Alleen http://www.passwordmeter.com/ ziet het als weak.

Ik heb mijn twijfels over de andere 3.

psyBSD @Anoniem: 8510 • 6 september 2011 15:48

Offtopic:
Ik verdacht dit soort sites ervan om stiekem een dictionary op te bouwen van veel gebruikte wachtwoorden.

moreasy @Anoniem: 8510 • 6 september 2011 11:10

Probeer deze:
https://www.microsoft.com...r.aspx?WT.mc_id=Site_Link

Geeft aan : Pr0d@dm1n = Medium

OverSoft 6 september 2011 10:23

Ik twijfel ernstig over deze claim. Hij staat maar een beetje op te scheppen in zijn pastebin en maakt een aantal fouten.

you can't have remote desktop connection in a really closed and protected network by firewalls which doesn't allow Reverse VNC, VNC, remote desktop, etc. by packet detection.
Oh? SSH tunnels? Succes met packet detection...

you can't access 6th layer network which have no ANY connection to internet from internet
Nee, klopt, tenzij ze aan het intern netwerk hangen en een van de externe servers dat ook hangt. Als er geen fysieke koppeling is, is dat uiteraard absoluut niet mogelijk.

you can't even dump hashes of domain if you don't have admin privilege to crack them
Niet? Ik kan anders heel makkelijk SAM databases dumpen vanuit user-mode hoor...

Daarnaast zegt hij dat de Domain Administrator van het netwerk deze inlog heeft. Leuk, maar een CA heeft helemaal geen DA op z'n certificaat netwerk, aangezien dit allemaal Linux/UNIX/BSD bakken HOREN te zijn. (Er draait geen Windows op bedrijfskritische CA systemen, omdat je dan helemaal niet door de keuring heen komt)

jacobvdm @OverSoft • 6 september 2011 12:10

Inderdaad, maar ik zet nog grotere vraagtekens bij de motieven; Een Iraanse tiener (althans, dat moeten we geloven) die wraak neemt wegens Srebrenica? Door vervolgens de Iraanse overheid in staat te stellen om via GMail man-in-the-middle attacks nog meer duizenden Iraanse jongeren en activisten naar een martel-dood te sturen?

Volgens mij zit de clue in de tijdslijn; "ComodoHacker" ontstond ruim een maand nadat de volksopstand ook in Iran helemaal tot stand kwam, en uit ComodoHacker's eerste pastebin;

Anyway, at first I should mention we have no relation to Iranian Cyber Army, we don't change DNSes, wejust hack and own.

Right. En die "we" waar die 't over heeft, moeten we geloven, is dus "I'm single hacker with experience of 1000 hacker".

Rule#3: Anyone inside Iran with problems, from fake green movement to all MKO members and two faced terrorist, should afraid of me personally. I won't let anyone inside Iran, harm people of Iran, harm my country's Nuclear Scientists, harm my Leader (which nobody can), harm my President, as I live, you won't be able to do so. as I live, you don't have privacy in internet, you don't have security in digital world, just wait and see...

Oftewel, een ander alias van Iranian Cyber Army. Ik bedoel, een pers-officier van de Basij-militie zou het nog niet beter kunnen verwoorden: "ComodoHacker" is sinds het begin (clue - tijdslijn) puur tegen de Iraanse volksopstand gericht geweest, en deze hack is dat ook. Dat ze 't getimed hebben om samen te vallen met Mladic's binnenval in Srebrenica is denk ik puur om te verhullen dat ze 't hier op eigen bevolking gemunt hebben ("we don't change DNSes").

tszcheetah

6 september 2011 10:10

Ik heb sterke twijfels bij de echtheid van 't bericht. Ook in de originele Comodo pastebin staat voornamelijk bekende informatie, of het is niet te verifiëren. Ook nu kunnen wij niet nagaan of het genoemde wachtwoord inderdaad het gebruikte wachtwoord is, en er is ook geen reden voor Fox-IT, DigiNotar of de overheid om dat bekend te maken.

De hacker spreekt zelfs het onderzoeksrapport behoorlijk tegen:

I'll talk technical details of hack later, I don't have time now... How I got access to 6 layer network behind internet servers of DigiNotar, how I found passwords, how I got SYSTEM privilage in fully patched and up-to-date system, how I bypassed their nCipher NetHSM, their hardware keys, their RSA certificate manager, their 6th layer internal "CERT NETWORK" which have no ANY connection to internet, how I got full remote desktop connection when there was firewalls that blocked all ports except 80 and 443 and doesn't allow Reverse or direct VNC connections, more and more and more...

(met dank aan Merkoss hierboven voor de link).

Juist het gebrek aan security bij DigiNotar wordt bekritiseerd in het Fox-IT rapport. Dus deze meneer heeft een hoop moeite voor niks gedaan?

Iedere malloot kan roepen dat 'ie vanalles heeft gekraakt zonder in details te treden. Die hele Pastebin post is gewoon een hoop geblaat van een aandachtsgeil persoon.

roy-t 6 september 2011 09:29

Het pastebin bericht spreekt het onderzoek van Fox-IT wel heel erg tegen. "Pr0d@dm1n" is nu niet bepaald een simpel te raden wachtwoord maar meer dan adequaat. Ook snap ik niet welke beveiligingen deze hacker heeft omzeilt als er geen firewall en virusscanners waren en de software niet up to date was.

Misschien dat deze hacker het nu gewoon claimt om stoer te doen, want ik denk dat een hacker van de Iraanse overheid (wat toch erg waarschijnlijk de bron is) nooit de hack zou opeisen. Waarom Fox-IT toch concludeert dat dit waarschijnlijk is snap ik niet, maar de fingerprint waar ze het over hebben zou kunnen betekennen dat misschien een zelfde exploit gebruikt is als bij commodo (die nog werkte ivm de niet ge-update software).

Uiteindelijk maakt het ook niet heel veel uit wie het gedaan heeft, maar wat er met de hack gedaan wordt. En het spieken over de schouders van heel veel mensen door zo'n overheid is toch wel heel gevaarlijk. Misschien is het in Iran ook tijd voor een arabische lente?

Edit:

Ik zie nu pas dat het wachtwoord eigenlijk leetspeak is voor prodadmin. Maar dit doet maar weinig af aan de veiligheid van het wachtwoord, met een dictionary attack is het wachtwoord niet te raden en het staat vermoedelijk ook niet zo snel in een rainbow table.

[Reactie gewijzigd door roy-t op 24 juli 2024 23:27]

Korvaag

@roy-t • 6 september 2011 09:44

Hoezo adequaat. Er hoort geen gebruikt gemaakt te worden van een generiek account met zo'n wachtwoord. Een root/administrator wachtwoord hoort iets van '43%Ggjgo84RGKJico285crmo2um5c2' te zijn waarna dat een kluis in verdwijnt. Personen die op een dergelijke server aan de slag gaan moeten vervolgens een echt wachtwoorden kiezen wat je desnoods opslaan in een keystore die je kan openen met een client certificaat in combinatie met simpeler wachtwoord of fingerprint.

Dit is echt debiel.

26779 @Korvaag • 6 september 2011 11:34

Dat een administrator/root account een lang wachtwoord moet hebben ben ik met je eens. Maar dit mag best een menselijk 'onthoudbaar' wachtwoord zijn. Wel zou ik hoofd/kleine letters, cijfers en tekens gebruiken.

Lees maar eens het stukje over tabbing op https://www.grc.com/haystack.htm (net boven het midden van de pagina)

Which of the following two passwords is stronger,
more secure, and more difficult to crack?

D0g.....................

PrXyc.N(n4k77#L!eVdAfp9

You probably know this is a trick question, but the answer is: Despite the fact that the first password is HUGELY easier to use and more memorable, it is also the stronger of the two! In fact, since it is one character longer and contains uppercase, lowercase, a number and special characters, that first password would take an attacker approximately 95 times longer to find by searching than the second impossible-to-remember-or-type password!

gmj2 @Korvaag • 6 september 2011 12:05

Het wachtwoord is prima.
De grootste fout is dat het certificaat generatie systeem tegen alle regels in benaderbaar was via het netwerk en internet. Dit systeem moet altijd offline/geisoleerd zijn, en certificaten via een ander medium (usb stick oid) worden overgebracht naar de juiste systemen die aan het internet zitten. Dan was deze hack nooit gelukt op deze simpele manier.
Stelletje prutsers daar bij Diginotar. Gelukkig is het rapport van FOX-IT daar ook erg duidelijk in !

Amito @roy-t • 6 september 2011 10:02

Inderdaad, de beveiliging lijkt redelijk goed als ik zijn post op pastebin mag geloven. Al moet wel zeggen dat hij wel erg opzichtig op zoek is naar roem, en alles veel moeilijker laat overkomen als dat het waarschijnlijk is. Daarmee wil ik niet zeggen dat het een simpele hack was overigens.

I'll talk technical details of hack later, I don't have time now... How I got access to 6 layer network behind internet servers of DigiNotar, how I found passwords, how I got SYSTEM privilage in fully patched and up-to-date system, how I bypassed their nCipher NetHSM, their hardware keys, their RSA certificate manager, their 6th layer internal "CERT NETWORK" which have no ANY connection to internet, how I got full remote desktop connection when there was firewalls that blocked all ports except 80 and 443 and doesn't allow Reverse or direct VNC connections, more and more and more...

Anoniem: 146814 @Amito • 6 september 2011 11:03

Ik vraag me vooral af waarom het certificerings-systeem op "6 layer behind internet servers" sowieso een netwerkverbinding had. Door fysieke of bijna-fysieke afscheiding van systemen icm handmatig accorderen had dit voorkomen kunnen worden.

Voorbeeld: aangevraagde certificaten worden op een wachtrij gezet op een USB stick. 4x per dag pakt een medewerker het usb-stickie uit het aanvraag-systeem, plaatst 'm in het certificerings-systeem en keurt de aanvragen 1-voor-1 goed.

Dit is wel arbeidsintensief, en daarom voor een comodo niet te doen. Maar voor een club van de klasse van diginotar was dat een prima methode.

Een iets zwakker maar minder arbeidsintensief alternatief: een losstaand systeem die alleen via RS232 een verbinding heeft met de aanvraag-server. Een daemon aan andere kant van de seriele verbinding die niets anders kan doen dan CSRs aannemen en neerzetten op het systeem. Een wachtrij-systeem die aan de hand van de CSRs certificaten genereert en neerzet op het filesystem, uiteraard na goedkeuring door een medewerker. Vervolgens wordt het antwoord door de daemon opgepakt en weer over RS232 teruggestuurd.
Kort gezegd: nergens wordt een tcp verbinding gebruikt die voor andere doelen gebruikt kan worden en elk certificaat moet goedgekeurd worden door iemand die fysiek toegang heeft tot het pand.

gmj2 @Anoniem: 146814 • 6 september 2011 12:08

Precies. Dat zijn de regels ook. Diginotar heeft er een potje van gemaakt.
Systeem voor generatie van certificaten mag nooit benaderbaar zijn via het netwerk en al helemaal niet via internet....

psyBSD @Anoniem: 146814 • 6 september 2011 12:39

Dit is wel arbeidsintensief, en daarom voor een comodo niet te doen. Maar voor een club van de klasse van diginotar was dat een prima methode.

'Hacker comodo' staat niet voor zijn handle, maar voor een eerdere hack van een andere CA, genaamd 'comodo'. Het gaat hierom dat de man of vrouw die eerder heeft zou hebben ingebroken bij 'comodo' nu ook claimt ingebroken te hebben bij DigiNotar.

Comodo Hack

Dit lijkt mij ook een CA die we niet meer kunnen vertrouwen.

Anoniem: 146814 @psyBSD • 6 september 2011 14:50

I know. (Ik heb zelf ooit nog een keer een gat in de beveiliging van comodo gerapporteerd waarmee iedereen voor elk domein certificaten kon maken.)

Wat ik met die zin probeerde te zeggen: Voor een organisatie als comodo, die certificaatjes uitgeeft van 30 euro per stuk, is het onmogelijk om mijn procedure met usb-stickjes tbv fysieke scheiding te volgen.
Diginotar, in tegenstelling tot Comodo, is geen budget-CA, dus die heeft wel de opbrengst per certificaat om het wat arbeidsintensiever te maken.

MrR0b3rt @Amito • 6 september 2011 10:09

Ik ben wel benieuwd naar de details eerlijk gezegd. $_/-\o_$

edit:
Waarom wordt interesse gemod als Ongewenst?

[Reactie gewijzigd door MrR0b3rt op 24 juli 2024 23:27]

Onoffon @MrR0b3rt • 6 september 2011 12:23

Omdat het geen toegevoegde waarde heeft voor de discussie

Woy Moderator PRG/SEA @roy-t • 6 september 2011 09:37

Ik zie nu pas dat het wachtwoord eigenlijk leetspeak is voor prodadmin. Maar dit doet maar weinig af aan de veiligheid van het wachtwoord, met een dictionary attack is het wachtwoord niet te raden en het staat vermoedelijk ook niet zo snel in een rainbow table.

En je denkt dat dictionary attacks niet zo slim gemaakt worden dat alternatieve characters ook getest worden? Het is gewoon niet handig om voor dergelijk belangrijke systemen dergelijke wachtwoorden te hebben. Ook is het eigenlijk wel een vrij kort wachtwoord voor een belangrijke server.

Anoniem: 80466 @Woy • 6 september 2011 11:01

En je denkt dat dictionary attacks niet zo slim gemaakt worden dat alternatieve characters ook getest worden?

Dictionary attacks kunnen je beter onmogelijk maken door het login mechanisme aan te passen zodat je geen duizenden of zelfs miljoenen pogingen kan doen om een wachtwoord te kraken.

Anoniem: 19339 @roy-t • 6 september 2011 09:39

"Pr0d@dm1n" is nu niet bepaald een simpel te raden wachtwoord maar meer dan adequaat.

Nee, dit is niet adequaat. Ik heb redelijk wat wachtwoorden bij klanten gezien, en er zijn er een hoop met "admin" erin, al dan niet in l33tsp34k.

We hebben het hier niet over een intern fileservertje of zo, maar over een bedrijf wat z'n geld verdiend met het vertrouwen wat de wereld in ze heeft. Als hun hele core business is gebouwd rond dit relatief simpele wachtwoord...

ExYNne2DBevi8tnX vind ik een veilig wachtwoord. Pr0d@dm1n niet.

ArnoutV

@Anoniem: 19339 • 6 september 2011 09:47

Moet je wel op een post-it op je monitor plakken.
Lekker veilig, maar niet te onthouden.

toxicunderGroov @ArnoutV • 6 september 2011 10:17

Prima te onthouden, pen/type het 20x --als het er daarna nog niet in zit is het wellicht tijd voor wat minder TV of iets anders cliches

Rudy @ArnoutV • 6 september 2011 15:17

Onder je toetsenbord is een betere plek!

Brupje @ArnoutV • 6 september 2011 09:59

Net alsof je zo een wachtwoord de hele dag gaat lopen in te tikken... Ctrl-c ctrl-v uit een Excel bestand of opgeslagen in FIrefox

Springuin @roy-t • 6 september 2011 09:35

Over de wachtwoordveiligheid: een fatsoenlijke dictionary attack neemt ook standaardvervangingen mee. De wachtwoordveiligheid is hier dus ernstig onder de maat.

biomass @roy-t • 6 september 2011 09:42

niet te raden? alle voor de handliggende leetspeak letters zijn gebruikt; waarom zou er dan geen dictionary attack mogelijk zijn? Dit is zoiets als een wachtwoord uit twee normale woorden opstellen en dan denken dat het wachtwoord in het Frans wel veilig is?

Left @roy-t • 6 september 2011 09:44

Ik heb het idee dat de media het gebrek aan beveiliging bij Diginotar nogal overdreven hebben.
Ok het wachtwoord kon veiliger maar als je het nieuws kijkt dan krijg je de indruk dat er wachtwoorden werden gebruikt van de categorie 'wachtwoord' of 'geheim' o.i.d.

Ook bij het feit dat er geen virusscanners waren geinstalleerd op de servers heb ik mijn twijfels, het zou me niets verbazen als de servers gewoon op Linux draaiden en dan hebben virusscanners weinig nut.

Het scoort nou eenmaal goed in de pers om een bedrijf dat fouten heeft gemaakt zo zwart mogelijk af te schilderen, maar meestal liggen te zaken toch wat genuanceerder.

Sorcerer8472 @Left • 6 september 2011 11:02

Het waren Windows-servers, en het pr0d@dm1n-wachtwoord staat maar een klein stukje hoger dan een wachtwoord als 'geheim'. Een beetje slim bruteforce-script dat 'prod' en 'admin' in verschillende combinaties gebruikt, waarbij leetspeak-shifts worden toegepast (@dmin, @dm1n, etc.), kan daar wel achter komen lijkt me.

SuperDre @roy-t • 6 september 2011 10:38

En het spieken over de schouders van heel veel mensen door zo'n overheid is toch wel heel gevaarlijk.

uhm... hoe naief ben je wel niet als jij denkt dat er geen andere overheden, INCLUSIEF de onze, dit ook niet doen..

En je hebt gelijk mbt wachtwoord, voor mij zou dat ook een redelijk sterk wachtwoord zijn vanwege de gebruikte tekens. Als ze dat een simpel wachtwoord vinden, dan is elk wachtwoord wel simpel..

Rinzler @roy-t • 6 september 2011 09:48

Misschien dat deze hacker het nu gewoon claimt om stoer te doen, want ik denk dat een hacker van de Iraanse overheid (wat toch erg waarschijnlijk de bron is) nooit de hack zou opeisen.

Klopt, daarom dat het ook om een onhafankelijke Iraanse hacker gaat

(volgens dit artikel toch)

In mijn ogen kan het even goed iemand zijn die zich voordoet als iraanse hacker, ik vind het echt een af en toe 'lachwekkende' claim.

Wel grappig dat ze Diginotar hackten om de 'Nederlandse betrokkenheid bij de val van Srebrenica'. Ik dacht dat de VN-troepen daar juist waren om de Moslim-gemeenschappen te beschermen?

(ze zijn daar natuurlijk niet volledig in gelukt maarja...)

Ik heb het artikel uit de volgende reactie:
Vastloper in 'nieuws: Overheid dwingt vertraagde Windows Update af bij Microsoft'
edit: typo's

@GalaxyNote: Sorry dat je het sarcasme achter 'grappig' niet ziet... Bij mij draait het probleem vooral om het feit dat de hacker naar Nederland wijst ipv naar de (godverdomde) dader himself... Er heerst kritiek omdat er te weinig is gedaan om die slachting te voorkomen. Maar VN-troepen mogen enkel uit zelfverdedeging geweld gebruiken. In hoeveel conflicten staat de VN gewoon op de achtergrond zonder iets te mogen doen? Laten we anders gewoon de verenigde naties aanklagen voor al hetgene dat ze niet/te weinig hebben gedaan. Ok, er is toen zwaar geblunderd, maar moet je daarvoor deze hackpraktijken uitvoeren? Is de huidige Nerderlandse overheid (mede)verantwoordlijk voor de dood van die vluchtelingen van +15 jaar geleden?

Of misschien hadden ze gewoon de moslims moeten verdedigen en zelf overrompelt worden door bosnische troepen. Ze waren immers volledig omsingeld door de toenmalige dictator. Had een oorlog met de andere Europsese landen beter geweest?

[Reactie gewijzigd door Rinzler op 24 juli 2024 23:27]

rob12424 @Rinzler • 6 september 2011 10:24

[...]

Wel grappig dat ze Diginotar hackten om de 'Nederlandse betrokkenheid bij de val van Srebrenica'. Ik dacht dat de VN-troepen daar juist waren om de Moslim-gemeenschappen te beschermen? (ze zijn daar natuurlijk niet volledig in gelukt maarja...)

[/small]

Wij krijgen constant de schuld van wat er in Srebrenica gebeurt is te terwijl er toch meerere malen om luchtsteun van de Fransen is gevraagd omdat er van tevoren al bekend was dat de situatie niet te houden was!

Dit werd door de Fransen overigens keer op keer afgewezen terwijl er wel degelijk noodzaak toe was op dat moment! @ hieronder dat was op de dag zelf ja, luchtsteun zou 3 dagen eerder wel uitgemaakt hebben! Je kan veel zeggen maar wat hadden die blauwhelmen anders moeten doen? (iedereen zegt schieten, en dan tegen een overmacht die 3 tot 4x zo groot was?) Dan waren ook de vrouwen en kinderen omgekomen! Er is x op x tegen de vn gezegd dat er te weinig soldaten waren (zelfs aan het begin van de missie al!)

On-topc

In iedergeval wat betreft het wachtwoord er zijn ook leetspeak woordenboeken, en vaak maken hackers hun eigen woordenboek.

Linux heeft wel degelijk virusscanners, maar dan nog daar gaat dit niet om. Met een virusscanner bereik je niet veel op een linux bak.
Al mag je verwachten dat van een instantie als dit ze zeker SElinux draaien met apparmor (LIDS is nog in Beta) 3x iemand die het passwoord probeert te raden en er komt een log allarmmelding als de boel goed is afgesteld. 1 wijzing aan een programma wat belangrijk is en er komt weer een melding! Aantal verbindingspogingen --> ook een melding.

Zulke dingen zijn gewoon in te stellen!

SElinux is overigens door de NSA ontwikkeld!

[Reactie gewijzigd door rob12424 op 24 juli 2024 23:27]

SED @rob12424 • 6 september 2011 11:39

even googlen en voila..

Voorhoeve en Kok blazen luchtsteun af
Dezelfde krant, schrijft drie jaar en één dag eerder: 'Premier Kok en de ministers Voorhoeve van defensie en Van Mierlo van buitenlandse zaken zagen het Servische dreigement als uiterst serieus. Zij vreesden een bloedbad onder de vluchtelingen en de mogelijkheid dat tientallen Nederlandse soldaten zouden sneuvelen. Een persbericht over die ramp was zelfs al bij voorbaat gemaakt. Voorhoeve nam op zich het hoofdkwartier in Zagreb te bellen. Zou daarmee de luchtactie niet te stoppen zijn, dan moest premier Kok de hoogste Navo-militair bellen op een nabij gelegen vliegdekschip. Dat bleek niet nodig. Na de oproep van Voorhoeve werd de derde luchtactie afgeblazen.'

'Nadat de Servische legerleider Mladic had gedreigd de Moslim-bevolking onder vuur te nemen en gegijzelde Nederlandse VN'ers te executeren, belde Voorhoeve naar VN-gezant Akashi om de luchtaanvallen te annuleren. Dat deed hij na kort beraad met premier Kok en minister Van Mierlo van Buitenlandse Zaken', aldus Het Parool van 31 mei 2000.

Pamela Hemelrijk in het Algemeen Dagblad van 17 april: 'Nou, laat ik u dan vertellen dat die luchtsteun is gestaakt op uitdrukkelijk verzoek van Nederland. Het staat allemaal in het `echte' NIOD-rapport, vanaf pag. 2300: terwijl de Dutchbatters vergeefs op ondersteuning wachtten, zaten hun eigen ministers Kok, Voorhoeve en Van Mierlo vanuit de Haagse bunker koortsachtig stad en land af te bellen, om de NAVO te bewegen de close air support (die rond drie uur 's middags was begonnen) te staken. Bij de eerste aanvalsgolf waren nog bommen afgeworpen, bij de tweede al niet meer. Toen kwam in Den Haag het bericht binnen dat de gegijzelde Nederlandse militairen zouden worden gedood als er een derde aanvalsgolf zou komen. "Na enkele minuten overleg tussen de ministers was de conclusie dat de luchtsteun onmiddellijk moest worden gestopt. De bijeenkomst werd onderbroken om Voorhoeve in de gelegenheid te stellen de Unprofor-autoriteiten te bellen. In de woorden van voorlichter Bert Kreemers: 'Na enig overleg, Voorhoeve kalm, Kok stil, kwamen de bewindslieden een werkverdeling overeen: Voorhoeve zou VN-vertegenwoordiger Akashi bellen, Kok - indien nodig - NAVO-admiraal Leighton Smith. Het gezicht van Wim Kok was asgrauw'." (NIOD-rapport, pag. 2302).
[...]
Maar Voorhoeve was er nóg niet gerust op; hij was bang dat de VN niet snel genoeg de NAVO zou inlichten. Daarom belde hij ook nog persoonlijk met de NAVO in Brussel. Maar die liet weten de beslissing aan de VN te willen overlaten. Voor de zekerheid liet Voorhoeve toen de Nederlandse luchtmacht in Napels en Vicenza bellen, om de operatie langs díe weg af te blazen. Daartoe miste hij de bevoegdheid (want zo werkt de NAVO-bevelsstructuur niet), maar niettemin liet hij weten dat het tóch moest gebeuren. Het staat op pagina 2303, als het u interesseert.'

volstrekt off-topic inderdaad..

albatross @SED • 6 september 2011 15:05

Met andere woorden: Voorhoeve en Kok hebben 6000 Moslims af laten slachten om een handjevol Nederlanders te redden? Onbegrijpelijk dat deze oude bewindslieden nooit aangeklaagd zijn voor hulp bij massamoord.

Het is inderdaad allemaal wel erg offtopic; maar zo leer je nog eens wat.

GalaxyNote @Rinzler • 6 september 2011 10:58

Grappig?!?! Ik hoop dat je begrijpt dat je woord keuze erg ongelukkig is in dit geval. Nederland heeft zwaar gefaald en ik kan me voorstellen dat nabestaande het ervaren als regelrecht verraad! Zelfs de mannen die op de compound van Dutchbat werkte als bijvoorbeeld tolk en dus als militair onderdeel van het leger gezien diende te worden zijn overgeleverd aan de agressor. Hiervoor is de Nederlandse staat onlangs nog voor aanspraak gesteld door de rechter http://www.rechtspraak.nl...annennavalSrebrenica.aspx

Blijft over dat het om deze rede rechtvaardige van deze hack kant nog wal raakt. Hoeveel mensen er slachtoffer zijn geworden door dat regiems belastende informatie hebben weten te onderscheppen van onwelwillige onderdanen en deze vervolgens een kopje (penis of andere martelinge) kleiner te maken is vooralsnog gissen.

Edit: link & kleine aanpassing.

[Reactie gewijzigd door GalaxyNote op 24 juli 2024 23:27]

Rembert @Rinzler • 6 september 2011 11:47

In het bericht van 'ich sun' staat dat Nederland 1600 moslim soldaten heeft geruild voor 30 Nederlandse soldaten. De Diginotar hack zou de NEderlandse staat 16 miljoen dollar hebben gekost (certificaten waardeloos geworden). Ich Sum rekent dan uit dat per geruilde moslim soldaat Nederland $1000 schade heeft.

Tsjah, dit is een behoorlijk andere uitleg van wat er in Srebrenica is gebeurd dan wat wij lezen in de pers.

Left @Rembert • 6 september 2011 11:57

Hoe dan ook, het lijkt me dat je eerder de sites van de Servische overheid zou moeten hacken als je kwaad bent over Srebrenica.
Maar ja, dat zal wel teveel voor de hand liggen.

Freee!!

@roy-t • 6 september 2011 09:31

Misschien is het in Iran ook tijd voor een arabische lente?

offtopic:
Lastig, Iran behoort niet tot de arabische landen (er wordt ook geen Arabisch gesproken).

MrR0b3rt @roy-t • 6 september 2011 09:50

"Pr0d@dm1n" is nu niet bepaald een simpel te raden wachtwoord maar meer dan adequaat.

Ik denk dat een dergelijk wachtwoord wel in menig hacker dictionary staat. Dus ja, het voldoet aan de eisen van lengte en complexiteit maarja dat doet "Welkom@01" ook.

edit:
Zo te zien ben ik niet de enige.

[Reactie gewijzigd door MrR0b3rt op 24 juli 2024 23:27]

smesjz 6 september 2011 09:40

Hij zegt DigiNotar te hebben gehackt vanwege de betrokkenheid van Nederland bij de val van Srebrenica in 1995, waarbij duizenden moslims werden vermoord.

Ja, zo lust ik er nog wel een paar. Alle Amerikaanse CA's wegens betrokkenheid van Amerika bij invallen in Irak en Afghanistan....

Amito @smesjz • 6 september 2011 09:48

Dat dacht ik ook. Dit zegt hij alleen maar om zijn daden goed te praten. Als hij het echt zo met de moslims voor heeft had hij ze er ook voor moeten behoeden dat de Iraanse autoriteiten hun internetverkeer kunnen onderscheppen.

Anoniem: 171671 @Amito • 6 september 2011 10:00

Zijn daden goed praten?

Wat mij betreft maakt het de situatie alleen maar erger.

Nederland is nog steeds in oorlog met het moslim terrorisme.

CMG @smesjz • 6 september 2011 10:30

Als je zijn pastebin berichtjes zou lezen zou je zien dat hij voor elk land wel wat kan bedenken

Er zijn genoeg internationale conflicten waarbij Iran of Moslims in het algemeen een partij zijn, dus er is altijd wel een reden te bedenken bij welk target dan ook.

Ik ben het met zijn statements eens over het algemeen, maar betwijfel of het doel daadwerkelijk is om wraak te nemen; ik denk eerder dat het is zoals het met meeste hackers gaat: Interesse & macht above all. Dat is ook de manier waarop hackers ontstaan; een diepgewortelde drang om dingen volledig te begrijpen.

ThijsWTF @smesjz • 6 september 2011 09:44

Dat is ongeveer waar Anonymous/LulzSec mee bezig is (geweest)

begintmeta 6 september 2011 09:48

Ik zou verwachten dat men naast een wachtwoord tenminste ook nog een bijvoorbeeld smartcard zou gebruiken.

Moartn @begintmeta • 6 september 2011 09:55

Precies. Dat wachtwoord vind ik niet heel onveilig. Hij had misschien nog een paar tekens langer gekund, maar hij is wel te onthouden en dat is veel belangrijker.

Wat het probleem is dat het wachtwoord de enige beveiliging is. Met zo'n belangrijk systeem had ik toch een smartcard of token verwacht als extra beveiligingslaag. En waarom was dat systeem überhaupt aangesloten op het internet?

graceful @begintmeta • 6 september 2011 10:02

Ze hadden niet één wachtwoord om overal bij te komen, lees de bron maar eens. Zo te lezen hadden ze wel wat security maatregelen..

tc982 6 september 2011 09:57

Ik begin mijn twijfels toch te hebben in een Bedrijf als VASCO dat notabene bekend is voor zijn "Access Security".

Je zou toch denken dat zijn hun eigen tokens zouden gebruiken voor het aanmelden? Zelfs wij, als toch een kleine KMO met beperkte security kennis hebben alreeds klanten uitgerust met deze VASCO tokens en hun paswoorden zijn allemaal 15 characters, en onbekend voor hen. Deze liggen allemaal in een kluis!

Waarom is een bedrijf dat dan ook nog eens een onderdeel is van VASCO niet uitgerust met hun eigen producten. Voor mij is het dan ook eens tijd om een ander alternatief voor de VASCO tokens te zoeken.

_JGC_ @tc982 • 6 september 2011 10:28

Ze zijn pas in Januari overgekocht door VASCO, integratie stond pas volgend jaar op de planning. Waar ik meer mijn twijfels over heb is of VASCO wel heeft onderzocht wat ze nou eigenlijk aangekocht hebben. Ze hebben DigiNotar aangekocht om in Europa voet aan de grond te krijgen, maar ik denk dat die voet nu redelijk afgezaagd is.

Anoniem: 80466 @_JGC_ • 6 september 2011 11:11

VASCO zit al jaren in Europa en heeft bijvoorbeeld in Belgie al eerder forse overnames gedaan.

tc982 @_JGC_ • 6 september 2011 12:11

Maar dan nog kan je alreeds de producten gebruiken, het is niet omdat je nog geen deel uitmaakt van hun netwerk, zowel administratief als netwerk dat ze dit niet hadden kunnen toepassen. En dat per direct, je bent tenslotte toch een security bedrijf...

masgreece 6 september 2011 10:26

Waar het nu dus op neer komt is dat er 5 Root Ca's zijn gehacked, die van diginotar is ontdekt. Welke 4 zijn er nog over?? En bij wie hebben die hun certificaten uitstaan?? Welke landen zijn gehacked?? is er nog meer data buit gemaakt, dan alleen gmail gebruikers van Iran? Zo ja welke data?

Zo heb ik nog wel honderd andere vragen. Met andere woorden,alle dingen die JIJ op inet hebt gedaan, waar certificaten voor nodig waren die uitgegeven zijn door EEN CA, zijn niet veilig meer te noemen.

Dit is geen kattepis wat er nu gebeurd, zeker nu er ook weer bij gezegd wordt dat iemand niet zo blij is dat er moslims zijn omgekomen in sebrenica. Zo begint terrorisme zich misschien wel te verplaatsen naar een digitaal iets. Veel minder gewonden, maar des te effectiever, alle info die je wil weten over bepaalde personnen onder handen hebben via hacks en valse certificaten.

Als ik even heel simpel reken, waren er bij diginotar 534 certificaten uitgegeven. De hack is in juli ontdekt. Als ik dat getal x5 doe kom ik op zo'n kleine 2700 certificaten. En dan reken ik de tijd, dat die andere 4 gehackte Ca's nog certificaten kunnen uitgeven, even niet mee. Want die 4 geven op het moment nog steeds VALSE certificaten uit, via de hackers!!!!!!

Ik zei het gister al, zeg het nog maar een keer. Iemand heeft hier in datamining waarschijnlijk google voorbij gestreefd. Als je jezelf nl de juiste certificaten toebedeeld tot de juiste systemen kan je zoveel data vergaren over gebruikers die op internet zitten, belachelijk veel.

Moet je je voorstellen dat ze zich toegang hebben verschaft tot data van gebruikers van gmail, facebook (of andere profiel sites linkedin), belasting dienst, RDW en eventueel nog andere data van andere overheids instanties. En deze data wordt gekoppeld, dan kan je dus precies tot bijna op minuut af wat iemand heeft gedaan, mensen houden tegenwoordig superdriftig allemaal hun facebook bij. Combineer dit met de zoek gegevens van die persoon. Doe daar iemand zijn belasting schuld bij, hoppa is even kijken hoeveel mensen chanteerbaar zijn, en met die gegevens kan je nog zoveel meer. En dan praat ik nu alleen nog maar over huis tuin en keuken gebruikers.

Als ik dan lees dat er ook geheime diensten zijn gehacked middels deze valse certificaten. Me nekharen gaan recht opstaan bij de data die daar mee buit gemaakt kan worden, dan kan je prima landen tegen elkaar opzetten!. Wilde er geen darwin in gooien, dus doe ik ook niet

. Maar er is een land, groepering, of iets of iemand die de boel na 9-11 even weer op scherp aan het zetten is.

nog een kleine toevoeging: Die wet die amerika er een paar maandjes geleden doorheen heeft gedrukt begint ineens wel eng te worden!!!!!!

[Reactie gewijzigd door masgreece op 24 juli 2024 23:27]

ovigo @masgreece • 6 september 2011 10:46

[quote]Als ik dan lees dat er ook geheime diensten zijn gehacked middels deze valse certificaten. Me nekharen gaan recht opstaan bij de data die daar mee buit gemaakt kan worden, dan kan je prima landen tegen elkaar opzetten!. Wilde er geen darwin in gooien, dus doe ik ook niet

. Maar er is een land, groepering, of iets of iemand die de boel na 9-11 even weer op scherp aan het zetten is.[\quote]

Pardon: er zijn certificaten aangemaakt waarmee derden zich zouden kunnen voordoen als de website van die veiligheidsdiensten. Dat is wel iets anders als een veiligheidsdienst hacken. De informatie intern komt daarmee absoluut nog niet vrij.

Zie ook: xkcd

masgreece @ovigo • 6 september 2011 10:56

Dat vind ik nog steeds vrij ernstig, en dan weet ik nog steeds niet hoe geheime diensten werken, en hoe die met data omgaan, kan me best voorstellen dat er wel wat web diensten zijn bij de geheime diensten. En welke andere services zouden ze aanbieden voor hun spionnen en agenten waar die certificaten voor nodig zijn.

In mijn optiek, als je een aantal root ca's kan hacken dan kom je hoogst waarschijnlijk bij een geheime dienst ook wel een endje!! En als dat zo is, denk je nou echt dat wij hier wat over gaan horen. Denk zelf van niet.

Hoe dan ook blijf ik erbij dat iemand de boel op scherp aan het zetten is.

NEO256 @sHELL • 6 september 2011 09:33

Kwa teken gebruik heb ik daar niet zoveel op aan te merken. Als het gaat over dictionary search valt er wat over te zeggen. Maar wat is dan nog een sterk wachtwoord?
Dan ben je overgeleverd aan een reeks tekens die nergens op slaat en dus niet te onthouden is. Ik beaag dat dat het beste is, maar makkelijk is anders als je elk moment gevraagd kunt worden in te loggen en iets te bekijken.

CJ_Latitude

@NEO256 • 6 september 2011 09:36

Maar wat is dan nog een sterk wachtwoord?

"correct horse battery staple" natuurlijk!

bron

drdelta @CJ_Latitude • 6 september 2011 15:58

Grappig, want dat is namelijk incorrect. Met een dictionary attack ben je hier zo door heen, geeft het wat tijd, maar dan heb je het password gewoon. Daarentegen, als je een korter daadwerkelijk random wachtwoord zou gebruiken, moet je het bruteforcen, en dát is een heel ander verhaal.

Dus leuk om XKCD even klakkeloos over te nemen zonder te denken, maar hiermee leer je mensen dus verkeerde dingen aan.

CyBeR @drdelta • 6 september 2011 16:55

Grappig, want dat is namelijk incorrect. Met een dictionary attack ben je hier zo door heen, geeft het wat tijd, maar dan heb je het password gewoon. Daarentegen, als je een korter daadwerkelijk random wachtwoord zou gebruiken, moet je het bruteforcen, en dát is een heel ander verhaal.

Dat is dus niet zo.

Reken maar eens uit het aantal combinaties dat je kunt maken van vier woorden uit een lijst van 2048.

Dat zijn er best veel: 17592186044416 (uitgaande van een compleet random selectie van die woorden, met herhalingen toegestaan).

Als je een écht goed wachtwoord genereert van printable characters (uitgaande van 128 stuks daarvan, wat iets te veel is) van 8 karakters lang is dat inderdaad nog iets beter met 72057594037927936 mogelijkheden, maar het punt is dat niemand dat doet.

Het punt van die strip is dat je, als je een idee hebt van hoe het wachtwoord in elkaar zit, je sneller door 'Tr0ub4dor&3' bent (ruwweg 268435456 mogelijkheden als we z'n ideeën over entropy aannemen) dan door 'correct horse battery staple'.

En dat is dus als je een idee hebt van de structuur van het wachtwoord; dus als je weet dat er een woordenlijst gebruikt is, wélke woordenlijst er gebruikt is én hoeveel woorden er gebruikt zijn. Vice versa dat er een woord als basis gebruikt is met bepaalde substituties (iets waar moderne password crackers zo doorheen zijn.)

Uiteindelijk weet je dat in de meeste gevallen natuurlijk niet, en dan moet je sowieso brute forcen. En dan duurt 'correct horse battery staple' opeens een stuk langer.

robvanwijk

Beveiliging
Politiek en recht
Privacy

@CyBeR • 6 september 2011 23:18

Voor een heel groot deel ben ik het met je eens, behalve

En dat is dus als je een idee hebt van de structuur van het wachtwoord; dus als je weet dat er een woordenlijst gebruikt is, wélke woordenlijst er gebruikt is én hoeveel woorden er gebruikt zijn.

Je hoeft alleen te weten dat het een "XKCD-password" is (gewone, Engelse woorden, zonder substituties, maar wel vier (veel meer dan je verwacht bij een password mét substituties)) en een zo goed mogelijke benadering van de woordenlijst.
Als er een paar woorden ontbreken maakt waarschijnlijk niet uit (tenzij die toevallig daadwerkelijk in het password voorkomen) en als je er teveel hebt maakt ook niet uit (dan duurt het kraken alleen iets langer). En hoeveel woorden er precies op de lijst staan is helemaal irrelevant (als je op de een of andere manier weet hoeveel het er zijn kun je misschien schatten welk van je woordenlijsten je het best kunt proberen, maar verder...?).

ps. Ik zal meteen toegeven dat "correct horse battery staple", intuitief niet een heel sterk password lijkt, maar ik kan geen fout in Randall's beredenering vinden. (Nou ja, behalve dan bij al die sites die een maximum password length hebben

daar werkt dit niet.)

Edit:
Nu ik het opnieuw lees zie ik waar we elkaar verkeerd begrepen. Bij "hoeveel woorden er gebruikt zijn" dacht ik dat je (bijvoorbeeld) die 2048 of 4096 bedoelde; bij nader inzien had je het waarschijnlijk over het aantal gekozen woorden (vier dus)? In dat geval maakt het wel enorm uit natuurlijk.
Als ik niet precies dezelfde dictionary gebruik als jij (2000 hetzelfde, 48 andere bijvoorbeeld) dan is de kans dat ik je password kan kraken nog steeds erg groot; tenzij toevallig (tenminste) één van die 48 woorden ook echt in je password voorkomen lukt het gewoon.

[Reactie gewijzigd door robvanwijk op 24 juli 2024 23:27]

CyBeR @robvanwijk • 7 september 2011 03:44

Je hoeft alleen te weten dat het een "XKCD-password" is (gewone, Engelse woorden, zonder substituties, maar wel vier (veel meer dan je verwacht bij een password mét substituties)) en een zo goed mogelijke benadering van de woordenlijst.

Dan gaat op wat ik al zei, dat je de structuur van het wachtwoord kent. Een "XKCD wachtwoord" is dan in deze gewoon een wachtwoord bestaande uit vier willekeurige woorden.

Als er een paar woorden ontbreken maakt waarschijnlijk niet uit (tenzij die toevallig daadwerkelijk in het password voorkomen) en als je er teveel hebt maakt ook niet uit (dan duurt het kraken alleen iets langer).

Als je een dictionary attack doet en je hebt geen volledige dictionary, ga je 't wachtwoord dus niet kraken. Tenminste, niet zonder terug te moeten vallen op een exhaustive search (in de volksmond ook wel brute force.)

Het laatste strookt niet met:

En hoeveel woorden er precies op de lijst staan is helemaal irrelevant (als je op de een of andere manier weet hoeveel het er zijn kun je misschien schatten welk van je woordenlijsten je het best kunt proberen, maar verder...?).

Nou en of dat relevant is. Een woordenboek van 2^11 woorden (2048 woorden) biedt je per woord 11 bits aan entropy. Een woordenboek van 2^12 woorden (4096 dus) biedt je per woord 12 bits aan entropy. Onthoud: elke bit extra is een verdubbeling van de werklast van een exhaustive search, en 't gaat met een dictionary attack ook hard. Bijvoorbeeld, 2048 woorden (2 * (4*11)):
17592186044416
Tegenover 4096 woorden:
281474976710656

Dat is 16 keer zo veel mogelijkheden voor 4 extra bits aan entropy (inderdaad, 2^4).

ps. Ik zal meteen toegeven dat "correct horse battery staple", intuitief niet een heel sterk password lijkt, maar ik kan geen fout in Randall's beredenering vinden. (Nou ja, behalve dan bij al die sites die een maximum password length hebben daar werkt dit niet.)

Het is inderdaad een prima tactiek, voor die plaatsen waar je niet (en dat is echt héél dom) gelimiteerd bent tot een heel kort (of nog erger, fixed-length) wachtwoord.

BeosBeing @CyBeR • 15 september 2011 13:58

Probleem is echter dat veel systemen beperkt zijn tot maximaal 8 tekens (sommige zelfs 6), en sommige andere dat als minumum gebruiken. In een bedrijf waar beide type systemen in gebruik zijn, zal de gebruiker, omdat hij/zij dus liefst niet teveel verschillende passwords wilt onthouden (hij heeft ook al een password thuis en een pincode) dus al snel op een wachtwoord uitkomen van dat aantal.

Met minimaal 6 tot maximaal 8 tekens heb je ook niet veel speelruimte, vooral omdat men het ook moet onthouden én vaak ook nog eens om de twee of drie maanden moet wijzigen waarbij men niet het vorige mag gebruiken (dus niet om de beurt 'Zeven7' en 'Negen9' (tenzij je ook bv 'achtAacht' er tussen heb) en evenmin na 'poesje' over mag gaan op 'poesjes' (één letter toevoegen) of na 'ikenjij1' naar 'ikenjij2'.

Waar het hele xkcd- over gaat is dat de regels die men stelt aan passwords vaak ingewikkeld gemaakt worden om ze raden moeilijker te maken terwijl dit nauwelijks helpt en wat men wel zou moeten doen, ze gewoon langer maken en de gebruiker voorlichten, wordt nagelaten, mogelijk ook vanwege technische beperkingen. Zoals er voor cobol slechts 2 tekens waren voor het jaartal is bij veel oudere systemen het aantal tekens voor het password ook beperkt.

ThijsWTF @CJ_Latitude • 6 september 2011 09:42

Of, ACollectionOfDiplomaticHistorySince _1966_ToThe_PresentDay#

Eagle Creek

@CJ_Latitude • 6 september 2011 09:43

9 tekens met een dergelijke mix van karakters is thuis prima. Voor een simpel bedrijfsinlogaccount ook nog, want hij voldoet in principe aan alle regels.

Voor een dergelijk belangrijk systeem, mag die eerlijk gezegd nog wat langer. Want size does matter ;-). Verder is een relatief standaardwachtwoord als dit (proud admin) bijna een even grote blunder m.i. Leuk voor de grappige sysad, totaal onacceptabel voor een dergelijk verantwoordelijk systeem....

Wat mij ook opviel: in het AD stond: "het bedrijf dat wordt geleid door Tony van den Bos, voorzitter van CDA Zuid-Holland, is daarmee waardeloos geworden".

Een privaat bedrijf dat in dienst is van de overheid maar geleid wordt door een CDA-politicus. Zijn hier wel alle regels gevolgd toen Diginotar zei "ja wij willen CA voor de overheid spelen"? Ik wil natuurlijk niets of niemand onterecht beschuldigen, maar het viel mij wel meteen op. Het zou me dan vanuit dat licht niet verbazen dat een paar audits en regels erg luchtig zijn opgenomen om een vriendendienst uit te voeren..

Zou een heel kwalijke zaak zijn.

Kan iemand mij uitleggen waarom ik 8x een offtopic moderatie heb?? Volgens mij is er niets offtopic aan mijn bericht. Zelfs niet voor mijn edit, waarin ik het stukje uit het AD nog niet had geplaatst.

[Reactie gewijzigd door Eagle Creek op 24 juli 2024 23:27]

Dlocks @Eagle Creek • 6 september 2011 17:07

Wat mij ook opviel: in het AD stond: "het bedrijf dat wordt geleid door Tony van den Bos, voorzitter van CDA Zuid-Holland, is daarmee waardeloos geworden".

Een privaat bedrijf dat in dienst is van de overheid maar geleid wordt door een CDA-politicus. Zijn hier wel alle regels gevolgd toen Diginotar zei "ja wij willen CA voor de overheid spelen"?

Inderdaad, is de aanbesteding wel helemaal volgens de regels gegaan of is er hier sprake van vriendjespolitiek? Moet een dergelijk bedrijf bijvoorbeeld niet voldoen aan bepaalde ISO-standaarden om mee te mogen pitchen? Lijkt mij wel een eis bij een aanbesteding als deze.

In zijn profiel op computable.nl is overigens onderstaande te lezen:

Steeds meer wordt Internet op een serieuze wijze gebruikt om business te doen. Het gebruik van virusscanners en andere technische oplossingen is dan niet genoeg. Denk bijvoorbeeld aan identiteitsdiefstal, misbruik en zelfs fraude.

Tony is expert op het gebied van identiteitsmanagement en digitale bewijsbaarheid. Hij kan uitgebreid ingaan op de mogelijkheden als ook de noodzaak voor bedrijven om ook in deze vorm van beveiliging te investeren.

[..]

Vakkennis Tony de Bos
Zeer deskundig: Security, Overheid.

Bron: http://profile.computable.nl/profile/tobos#ixzz1XBW6gx8l

[Reactie gewijzigd door Dlocks op 24 juli 2024 23:27]

Jester-NL @Eagle Creek • 6 september 2011 09:47

Een bedrijf dat gisteren in een persbericht aangaf graag het vertrouwen terug te winnen...

(vreemd, die verklaring staat niet meer op de site

)

Anoniem: 231832 @Jester-NL • 6 september 2011 10:34

De bron voor dit artikel zou natuurlijk ook gefabriceerd kunnen zijn door Diginotar of een andere betrokken partij om eigen gezichtsverlies te beperken.

Met name als gekeken wordt naar de volgende passage:

"De hacker spreekt van een 'geavanceerde' hack, omdat een groot aantal beveiligingsmechanismen is omzeild. Dat is opvallend, omdat uit het onderzoek dat Fox-IT uitvoerde, juist blijkt dat de beveiliging van DigiNotar op een dermate abominabel niveau was dat een hack slechts een kwestie van tijd zou zijn."

En die zogenaamde 'fingerprint' waarop gesproken wordt kan ook van het type copy - paste zijn.

Waarschijnlijk zijn de betrokken partijen (terecht) behoorlijk wanhopig op dit moment.

[Reactie gewijzigd door Anoniem: 231832 op 24 juli 2024 23:27]

sygys @Anoniem: 231832 • 6 september 2011 12:07

Wellicht heeft hij een paar wachtwoorden geprobeert en uiteindelijk de goede gevonden. waarna hij niks heeft hoeven hacken maar gewoon kon inloggen...

Felyrion @Eagle Creek • 6 september 2011 11:01

Verder is een relatief standaardwachtwoord als dit (proud admin) bijna een even grote blunder m.i. Leuk voor de grappige sysad, totaal onacceptabel voor een dergelijk verantwoordelijk systeem....

offtopic: Ik neem aan dat de login slaat op prod (als in productie) admin

pe1dnn @Felyrion • 6 september 2011 11:20

Ik durf wel te gokken wat het wachtwoord was voor het test systeem: 'Te$t@dm1n'...

Pink Fandango @pe1dnn • 6 september 2011 14:21

Je bedoelt 'T3st@dm1n'

moreasy @Eagle Creek • 6 september 2011 11:02

@Eagle Creek : niet 'proud' maar 'prod' van productie admin...

Onoffon @Eagle Creek • 6 september 2011 12:20

Omdat het niet gaat om het wachtwoord, maar om Hacker Comodo die de DigiNota hack claimt. Of het wachtwoord nou wel of niet veilig is, is niet relevant.

Verder nog vragen?

i-chat @Eagle Creek • 6 september 2011 14:28

ik heb ooid een 'diy' pki opgezet waar het wachtwoord van de rootkey bestond uit de 2048bit hash van een bekend engels gedicht... was je je password file kwijt moest je alleen even dat gedicht uit typen, en de juiste hash creeeren... werkte prima...

dit was gewoon een interne pki... voor de locale werkstations... (waarvan sommige via wifi en straalzenders... ) .. het was trouwens een stage opdracht... voor school...

? ? @NEO256 • 6 september 2011 10:28

Laat die rare tekens toch uit wachtwoorden als je ze 1 op 1 vervangt. Als elke o een 0 wordt, elke L een 1, elke a een @ en elke E een 3, dan kun je net zo goed een blanco wachtwoord kiezen... Misschien vergeten ze dat wel te testen.

En 'prodadmin' als wachtwoord? Te belachelijk voor zo'n systeem. Zoals CJ_Latitude hieronder met de XKCD comic aantoont is het toch vele malen makkelijker om een lang wachtwoord te kiezen dan een tekenreeks die je niet kan onthouden met rare karakters? Dat Windows 2008 je standaard verplicht om speciale tekens in je wachtwoord te hebben is slechter voor de veiligheid eigenlijk !

Voor belangrijke dingen kies je volzinnen (voor certificaat bedrijven nog wat ingewikkelder)
wachtwoord: "s morgens ga ik altijd om 2 lekkere pistoles"

Dát is een sterk wachtwoord. Afgezien van random tekenreeksen die je toch niet kunt onthouden. En als je die ene tekenreeks al kan onthouden, dan gebruik je het overal = weeral onveilig.

[Reactie gewijzigd door ? ? op 24 juli 2024 23:27]

Siira @? ? • 6 september 2011 10:44

Neem eens een kijkje op:
https://www.grc.com/haystack.htm

En maak dan nog eens de opmerking over rare tekens. Zelfs als je 1 op 1 vervangt. Bedenk wel, zodra een 'bad-guy' moet gaan brute-forcen, maakt het niet uit hoeveel vreemde tekens je gebruikt. 1 of 100 maakt geen verschil in het aantal mogelijkheden dat getest moet worden.

Anoniem: 36355 @Siira • 6 september 2011 12:04

Test de tool dan maar eens goed. Hij geeft namelijk aan dat donzig_eendje meer tijd kost om te kraken dan donzigeeendje (speciaal teken vs een karakter). Dus de tekens die je kiest zijn volgens deze tool wel zeker van belang. Zowel kleine- als hoofdletters, cijfers en leestekens gebruiken zorgt ervoor dat de totale hoeveelheid te testen tekens groter wordt. Dat is net zo veel van invloed als alleen de lengte van het wachtwoord.

CJ_Latitude

@Anoniem: 36355 • 6 september 2011 13:10

Rare tool. Zodra je een speciaal teken of hoofdletter invult, gooit 'ie de grootte van de brute force search space omhoog. Ja, dan is het niet zo gek dat er de brute forcing langer duurt.

Dit impliceert dat de hacker op één of andere manier weet of er speciale karakters dan wel hoofdletters worden gebruikt in het password. Wat hij volgens mij niet kan weten, tenzij er expliciet eisen zijn gesteld aan het password en die eisen bekend zijn.

SKiLLa @CJ_Latitude • 6 september 2011 16:05

Duh ... vrijwel alle wachtwoord-policies vereisen minimale lengte van 7 of 8 en minimaal 1 hoofdletter en vaak minimaal 1 lees-teken/cijfer. Dictionary attacks en/of brute-forcen begin je dus op lengte 7 met de minimale 'extended karakterset' (= standaardleestekens +Az + cijfers).

En als je de ww-hash hebt, knal je er gewoon een paar GB aan rainbow-tables tegenaan !

robvanwijk

Beveiliging
Politiek en recht
Privacy

@CJ_Latitude • 6 september 2011 23:47

Rare tool. Zodra je een speciaal teken of hoofdletter invult, gooit 'ie de grootte van de brute force search space omhoog. Ja, dan is het niet zo gek dat er de brute forcing langer duurt.

Dat wordt op die pagina zelf uitgelegd... Tuurlijk weet de hacker niet wat voor zooi je in je password hebt, maar aangezien heel veel mensen alleen kleine letters gebruiken probeer je dat natuurlijk eerst:
a, b, (..), z, aa, ab, (..), zz, aaa, (...), zzz, etc.
Pas daarna ga je alle mogelijkheden met (minstens één) hoofdletter af; waarom daaraan tijd verspillen als het waarschijnlijk niet nodig is? Als ook dat niks oplevert voeg je cijfers toe en dan pas leestekens.

Dus waarom duurt het met alleen kleine letters zoveel korter? Omdat de aanvaller natuurlijk stopt zodra ie je password gevonden heeft en dan dus nog niet eens is begonnen met het proberen van mogelijke password met hoofdletters, cijfers en/of leestekens. (Wat ik dan wel weer vreemd vind is dat "AAA" even lang duurt als "aaa", dat is niet in overeenstemming met "hoe een aanvaller zich gedraagt".)

26779 @Siira • 6 september 2011 11:12

Daarom kan je beter een langer password/passphrase gebruiken dan met vreemde karakters gaat werken. De aanvaller weet niet of hij zich kan beperken tot alphanummeriek lowercase. Hij zal alle ascii tekens mee moeten nemen in zijn bruteforce.

humbug @Siira • 6 september 2011 11:30

Punt is wel dat ook hackers die "leuke" vervangen kennen en dus aan hun woordenboek aanval toevoegen. Een wachtwoord als "@dm1n" is dus niet beter dan "admin". Gebruik je tekenreeksen die geen woorden zijn is de kans groter dat die niet via een woordenboek aanval zijn te vinden en moet de hacker dus een brute force aanval doen. En ja, daarbij speelt het gebruik van speciale tekens wel een rol.

De meeste wachtwoorden worden niet via brute forece gehacked maar ofwel via een dictonary attack ofwel door rainbow tables.

SKiLLa @humbug • 6 september 2011 16:01

Het wachtwoord "@dm1n" is slechts lichtjes sterker dan "admin" omdat de karakterset uitgebreider is en in theorie dus meer aanvallen vereist. Een wachtwoord sterk maken doe je echter gewoon door ze lang te maken (password-phrases !) en zeker niet met die kinderachtige '1337-5p34k', dat is zo anno 1984.

Daarnaast kan het imho niet zo zijn dat een zodanig belangrijk wachtwoord zo kort en voorspelbaar is; dan snap je gewoon duidelijk niet waar je mee bezig bent ....

mcmd @Siira • 7 september 2011 22:17

Ik maak zelf gebruik van random wachtwoorden voor bv mijn bank accounts. Dit had er eentje kunnen zijn: #vLO7PuhBvVEv#SEzbz9

Volgens de website:

Exact Search Space Size (Count): 3,622,996,024,341,650,240,846,169,344,922,329,517,120 = 3.62 x 10^39
(count of all possible passwords with this alphabet size and up to this password's length)

Online Attack Scenario: 1.15 thousand trillion trillion centuries
(Assuming one thousand guesses per second)

Offline Fast Attack Scenario: 11.52 million trillion centuries
(Assuming one hundred billion guesses per second)

Massive Cracking Array Scenario: 11.52 thousand trillion centuries
(Assuming one hundred trillion guesses per second)

Dat lijkt me veilig genoeg! Zwakke punt zit natuurlijk elders, bv hoe goed is mijn wachtwoord beveiligd e.d.

BeosBeing @mcmd • 15 september 2011 14:49

Als je password zo is, dan kun je er hooguit één onthouden (tenzij je autistisch bent) en zullen de meeste mensen het zowiezo niet kunnen. Op dat moment krijg je dat mensen het gaan omzeilen.
1) briefjes op schermen (nog niet eens zo gek als je ervan uitgaat dat fysieke toegang beperkt is. Als je eerst via de bewaking moet en dan met een sleutel van de directeur de serverkast moet openmaken, dan gaat iemand die nooit binnen is geweest en evenmin de bouwtekening van het pand heeft gezien het niet snel vinden.
2) password in een mobieltje bewaren
3) gebruik maken van een programma (zoals keepass) om het te onthouden en daarop zit een makkelijker te raden password.

Zoiets is alleen goed als je beperkt ben tot precies dat aantal tekens en het zelf dagelijks invoert.

Magic @NEO256 • 6 september 2011 09:36

Precies, een random tekenreeks die elke paar weken veranderd moet worden heeft alleen maar tot gevolg dat mensen hem met een post-it op hun monitor plakken. Wat is dan het nut van een sterk wachtwoord? Natuurlijk hadden ze wel iets kunnen doen als "Dih0sPP@ss" (Dit is het 0ntiegelijk sterke Prod Password" maar ook dat zou een kwestie van tijd zijn.

[Reactie gewijzigd door Magic op 24 juli 2024 23:27]

Sir Isaac @Magic • 6 september 2011 09:43

Neem dan een favoriet boek en plak de eerste letters van de woorden uit de eerste zin achter elkaar, vervang wat letters door cijfers en tekens en je hebt een stevig wachtwoord dat je zelf altijd kan reconstrueren als het nodig is.
Verversen heeft weinig zin, dat leidt tot het gebruik van volgnummers.

Vastloper @Sir Isaac • 6 september 2011 10:36

Jij denkt dat "3rWas33ns" een sterk wachtwoord is?

Anoniem: 80466 @Vastloper • 6 september 2011 10:48

Verschilende grote hash rain tables kennen de hash daarvan nog niet in ieder geval.

musiman

@Anoniem: 80466 • 6 september 2011 13:16

Onder welke boom heb jij gelegen? Al tot en met 13+ karakters met alle tekens op je toetsenbord zitten in de rainbowtables. Oftewel, dit zeer zwakke 9-karakter wachtwoord staat er gewoon in.

Zelf predik ik al jaren dat wachtwoorden alleen niet meer voldoende zijn. Maar MOCHT je een redelijk wachtwoord willen maken, gebruik dan een aantal ALT codes, zoals ALT-254, ALT-0235 etc. etc.

i-chat @musiman • 6 september 2011 14:33

lol - leuke verzonnen, maar ik heb hier een oude p3 die al een tijdje bezig is om dergelijke tekens in wachtwoorden te hashen... mocht ik ooit merken dat daar veel gebruik van gaat maken, ga ik ook daar mischien de tables wel van vrijgeven...

bovendien alt-254 en dat soort tekens... worden niet altijd correct ondersteunt in alle vormen van domain controllers (nu weet ik niet wat 2008r2 doet maar 2003 kan het iig niet fatsoenlijk aan met default paswoord policies... (bij ons op werk draaien we nog steeds 2008 met een 2003 functional domain)

BeosBeing @musiman • 15 september 2011 14:24

Met zo'n code heb ik me ooit eens buitengesloten. Op het systeem waarmee ik inlogde (386) om mijn wachtwoord (vaxvms) te wijzigen kon ik dat invoeren, op het systeem waarmee ik vervolgens inlogde kon dat niet.

Op het moment dat je het zowiezo te moeilijk maakt gaan mensen het omzeilen of ezelsbruggetjes maken en is het effect teniet gedaan.

Verschillende tekens die wel op het toetsenbord staan kunnen trouwens ook problemen opleveren als je toetsenbordinstelling opeens op een andere taal staat.

Met een Azerty (Frans) of Qwertz (Duits)ipv een Qwerty kom je daar nog redelijk snel achter, maar bij een Spaans of Nederlands Qwerty-tobo is dat moeilijker en vooral in combinatie met Windows komt dat laatste redelijk vaak voor.

offtopic:
Windows heeft er een handje van om, als je Nederlands als taal hebt ingesteld, ipv Us-international de antieke Nederlandse indeling in te stellen, helemaal uit zichzelf. Slechts het volledig verwijderen van deze indeling is hier afdoende.

Ongeacht de oorzaak, deze tekens gebruiken is vaak vragen om problemen, zelfs de y,z, a, q en m worden soms afgeraden, juist omdat deze op verschillende toetsenborden anders zitten.

Je moet jezelf altijd de vraag stellen wat erger is, dat een onbevoegde toegang krijgt tot je gegevens of dat je zelf echt niet meer bij je gegevens kunt, en je beveiliging moet met beide rekening houden. Één admin-account is daarom ook onverstandig, mocht dit beschadigd raken, dan moet met een ander admin-account de eerste hersteld kunnen worden of een derde account gemaakt kunnen worden.

Rob Coops

Beveiliging

@Sir Isaac • 6 september 2011 10:40

Vervangen van wachtwoorden is heel erg belangrijk, met name in geval van mensen die van positie veranderen dan wel het bedrijf verlaten etc... een wachtwoord als dit is duidelijk nog nooit verandert omdat het anders waarschijnlijk: Pr0d@dm1n23 was geweest of iets in die richting.

Hoe dan ook men moet zich af vragen of zo'n systeem dat deze certificaten genereert aan een netwerk zo als het internet dient te hangen? Ik zou persoonlijk toch zeggen dat dat niet hoort. Als het systeem dat de certificaten genereert niet aan een netwerk hangt en de bestanden simpel weg op een USB weg schrijft zo dat men deze dan aan de klant kan sturen dan is een volledige hack van het netwerk van de CA nog steeds geen probleem omdat niemand in staat is een certificaat te genereren zonder in te breken in het gebouw van de CA.

Persoonlijk kies ik ten alle tijden voor Verisign simpel weg omdat hun track record erg goed is en omdat zij dankzij hun grote en bekendheid ongetwijfeld met enige regelmaat worden aangevallen zonder dat de hacker zelf certificaten kan genereren als he ze al lukt om binnen te komen.
Ik betaal liever iets extra's voor deze zekerheid dan dat ik met dit soort dingen een goede deal wil hebben en voor een dubbeltje op de eerste rij wil zitten...

Anoniem: 63072 @Sir Isaac • 6 september 2011 10:57

Om nog niet te spreken over de systemen waar ik om één of andere reden 8 tot 10 tekens moet gebruiken langer en korter mogen niet.

Ik pak namelijk ook een zin van een boek gevolgd en doe wat substituties met cijfers en hoofdletters. En niet erwaseens, dat is te kort en te bekend.

Eagle Creek

@Magic • 6 september 2011 09:46

Dan moet je een andere oplossing bedenken als bedrijf, bijvoorbeeld met een passwordmanagementsysteem en/of tokens en/of andere vormen van authenticatie.

Natuurlijk brengt dit kosten en management met zich mee. Maar met alleen een password policy ben je er niet (mensen gaan dit negeren middels de bekende post-its)..

i-chat @Eagle Creek • 6 september 2011 14:36

ik weet niet maar een smartcard reader ano 2011 ???? die dingen zitten bijna standaard al in moderne computers...

rjhe @NEO256 • 6 september 2011 09:44

Wie telefoonnummers kan onthouden, kan tekenreeksen onthouden.
Wie systemen van een CA beheert kan...

Pr0d@dm1n staat dan misschien niet als zodanig in een dictionary, maar is wel via erg voor de hand liggende stappen afgeleid uit woorden. Als je graag woorden gebruikt, zal je password langer moeten zijn dan een even veilige tekenreeks.

herbalx @rjhe • 6 september 2011 10:42

Het gaat ook om het systeem dat het wachtwoord beheerd, in dit geval gaat het om een Windows password in een LM of NTLM hash. Deze hash is vrij wel altijd te kraken .... als je gebruik je 15 tekens maar dit is nog niet het ergst want met dit in het achter hoofd moet je dus voorkomen dat een kwaadwillende deze hash kan kapen.

Om een LM of NTLM hash te extraheren uit een live systeem heb je admin rechten nodig, dit geeft al aan dat de hacker al admin rechten had voordat het het wachtwoord had gekraakt (al dan wel niet lokaal). Een fatale fout die natuurlijk nooit mag gebeuren is de CA systemen in het zelfde domain hangen als de DMZ systemen waardoor je met een lokaal account de domain wachtwoorden van de CA systemen kan sniffen in een hand omdraai!

We kunnen daarom wel moeilijk doen over het gebruikte wachtwoord (wat trouwens ook gewoon in een beetje password dictionary staat) Maar het feit dat de hacker al admin rechten had wijst op een verkeerd ingerichte structuur en het niet goed onderhouden van je netwerk/servers. Kort gezegd is het onderhoud van de server min of meer amateuristisch werk geweest, het is daarom denk ik ook van belang om te weten of diginotar haar eigen infrastructuur beheerde of dat dit geoutsourced was.

De hack op zich was nog niet eens zou boeiend, want het lijkt erop dat de hacker met kinderspel is binnen gekomen op het netwerk van diginotar (gezien het rapport van FOX-it) ik verwacht ook niet dat dit een briljante hacker is, maar iemand met een specialisme (cryptografie), een boos plan en een boel frustratie. En door de handelen van Diginotar heeft de hacker precies gekregen wat deze wilde namelijk imago schade bij Diginotar en een mogelijk faillissement in de nasleep van deze problemen!

[Reactie gewijzigd door herbalx op 23 juli 2024 09:56]

High-Voltage2 @herbalx • 7 september 2011 11:40

en een mogelijk faillissement in de nasleep van deze problemen!

Mogelijk? Wees er maar zeker van dat dit bedrijf de fles op gaat. Geen enkele browser vertrouwt nog certificaten die iets of wat met Diginotar te maken hebben. Laat die certificaten nu net de core business zijn van het bedrijf... Aangezien niemand de certificaten nog vertrouwt zal ook niemand nog certificaten aanvragen bij Diginotar met als gevolg verlies van inkomsten.
Tenzij ze erin slagen op een zéér korte tijd hun volledige core business om te gooien...

Toolskyn @NEO256 • 6 september 2011 10:10

Om dat van elke willekeurige persoon te verwachten is volledig onrealistisch, maar voor een beheerder van een CA hoort wat mij betreft bij de taakomschrijving het goed kunnen onthouden van wachtwoorden die niet zomaar te raden zijn. Of dat nu 'zinnen' zijn (die makkelijker te onthouden zijn en lastiger te raden zijn) of lange willekeurige tekenreeksen (die wat lastiger te onthouden zijn), daar gaat het niet om.

Een visser moet ook altijd opletten dat hij niet in z'n netten vast komt te zitten een meegesleept wordt in het water. Op een olieplatform kun je nu eenmaal niet even een sigaar opsteken of een kampvuurtje aanmaken. Evenzo hoort bij het beheerder van een CA zijn nu eenmaal het onthouden van gecompliceerde wachtwoorden. Het niet voldoen aan die taak is wat mij betreft het gebrek aan enig verantwoordelijkheidsgevoel, en is wat mij betreft de beheerders volledig aan te rekenen.

Fermion @NEO256 • 6 september 2011 10:34

Het zou gewoon niet mogelijk moeten zijn op van buiten af op het domain te mogen inloggen. Als ik alles zo lees, is het totale opzet gewoon totaal fout. Het lijkt wel of een paar beginners bij Diginotar aan het werk zijn gegaan. Alles wat ik lees komt allemaal zo klungelig over.

Je vraag wanneer een password werk sterk genoeg is, is hier van niet op toepassing. De implementatie van deze infrastructuur was gewoon fout. Het sterkte van je password is dat van ondergeschikt belang.

Wel blijft de vraag interessant, hoe kwam hij aan het password?

[Reactie gewijzigd door Fermion op 24 juli 2024 23:27]

Olaf van der Spek @NEO256 • 6 september 2011 10:53

Maar wat is dan nog een sterk wachtwoord?

Een semi-random tekenreeks van 8 - 12 tekens.

Anoniem: 368883 @NEO256 • 6 september 2011 12:48

Er bestaat natuurlijk nog altijd zoiets als smart-cards voor authenticatie. Zeker in zulke omgevingen geen overbodige luxe.

26779 @NEO256 • 6 september 2011 11:05

ik gebruik daar eigenlijk altijd een relatief eenvoudig te onthouden passphrase voor.

voorbeeld: !mijn33rsteh0ndis13jaargew0rden#

eenvoudig voor mij, met bruteforce meerdere jaren nodig om te kraken en staat vast niet in een dictionary.

volgens https://www.grc.com/haystack.htm duurt het wel even voordat deze gekraakt is

:
Time Required to Exhaustively Search this Password's Space:
Online Attack Scenario:
(Assuming one thousand guesses per second) 3.26 hundred million trillion trillion trillion centuries
Offline Fast Attack Scenario:
(Assuming one hundred billion guesses per second) 3.26 trillion trillion trillion centuries
Massive Cracking Array Scenario:
(Assuming one hundred trillion guesses per second) 3.26 billion trillion trillion centuries

deze passphrase gebruik ik dus niet, is slechts als voorbeeld

[Reactie gewijzigd door 26779 op 24 juli 2024 23:27]

trogie @NEO256 • 6 september 2011 11:20

Maar wat is dan nog een sterk wachtwoord?

Ik gebruik steeds volledige zinnen waarbij ik dan de eerste letters of cijfers neem van de woorden en de punctuatie.

Jester-NL @sHELL • 6 september 2011 09:34

Meer dan acht karakters, hoofd- en kleine letters, cijfers en leestekens... Kortom, een wachtwoord volgens het boekje

SidewalkSuper @Jester-NL • 6 september 2011 09:48

Een wachtwoord volgens het boekje is tegenwoordig (zeker voor dit soort systemen) een phrase ipv 1 woord. Passphrase is daarom ook een steeds normalere term.

De gebruikte leestekens zijn trouwens ook precies leestekens die normaal gesproken al meegenomen worden in een dictionary attack als substitute of in het maken van een rainbow table. Voor een paar honderd euro kan je een complete MD5/SHA1 rainbow table krijgen met letterlijk alle mogelijke combinaties voor een bepaalde range letters/cijfers/leestekens.

Dit soort wachtwoorden is dus echt niet meer volgens het boekje te noemen denk ik.

psyBSD @SidewalkSuper • 6 september 2011 10:42

Ik heb een mooi voorbeeld:

Helaas stelt de password-policy van de ICT-afdeling hier mij niet instaat om een degelijke passphrase te gebruiken. Ik heb een passphrase van 56 characters om in te loggen op mijn laptop. Op de systemen van de klant had ik een vergelijkbare passphrase (qua lengte), maar die moest ik na 28 dagen vervangen.

Nu is het een password van 9 characters en een counter.

[Reactie gewijzigd door psyBSD op 23 juli 2024 04:18]

Anoniem: 80466 @psyBSD • 6 september 2011 10:59

Ik heb een passphrase van 56 characters om in te loggen

Heel veel mensen zijn niet in staat om zonder fouten blind een 56 tekens lange pasphrase in te vullen.
Je vraagt daarmee dan om accountblokkades

pe1dnn @Anoniem: 80466 • 6 september 2011 13:12

Natuurlijk wel! Je kan zonder meer foutloos een pass-phrase als "Diginotar had beter sterke wachtwoorden kunnen gebruiken" typen (ja, 56 tekens). Ik denk dat je daar minder snel fouten in maakt dan woorden met @, 0, 1 of ! enz omdat je niet lekker door kunt typen en je handen niet in allerlei vreemde bochten hoeft te wringen. Als je gekke tekens gebruikt waarbij je de vingers van het toetsenbord moet halen wordt het lastiger. Maar dat is voor een passphrase niet echt nodig. Het voorbeeld van een reactie hierboven:

!mijn33rsteh0ndis13jaargew0rden#

waarom niet gewoon:

"Mijn eerste hond is 13 jaar geworden!"

Heus, dat raad ook niemand en vol uitgeschreven is nog langer ook (al 37 tekens) en veel beter te onthouden.

Wat ook wel leuk is, het root password in Unix/Linux instellen op een console en daarin een TAB gebruiken. Met geen enkele GUI kun je nu nog inloggen want alle bekende GUI's vangen TAB af om naar een ander veld te springen...

Puch-Maxi @pe1dnn • 6 september 2011 19:20

Voordeel ervan is dat het niet op een wachtwoord hoeft te lijken. Denk hierbij bijvoorbeeld aan een boodschappenbriefje: 'Patat meloen cola ijs en salade'. Dit lijkt in geen geval op een wachtwoord, maar wel eenvoudiger om mee te lezen. Voor ons gevoel is 'P4t4t m3l03n c0l4 1js 3n s4l4de' een veel sterker wachtwoord en grc.com/haystack is het hiermee eens

psyBSD @Anoniem: 80466 • 6 september 2011 12:30

Ik denk dat dit niet anders is dan &%@HS&Vw.

FragNeck @Jester-NL • 6 september 2011 09:35

Maar wel eentje die zo vaak gebruikt wordt door admins.

Aragnut @sHELL • 6 september 2011 09:41

is iemand wel creatief geweest. Ik neem aan dat dit wachtwoord achterhaald is door of een keylogger of dat het ergens unencyrpted opgeslagen heeft gestaan.

FiXeR.nl @sHELL • 6 september 2011 11:13

PrU7@dm1n was meer van toepassing geweest.

Op het NOS Journaal werd ook verteld dat de computers daar geen virusscanners hadden en er allerlei andere systeembeheerzaken zeer slecht geregeld waren. Ik hoop dat het hele Diginotar gebeuren ook positief effect heeft op bedrijven die met zeer gevoelige informatie te maken hebben.

ekimpadd @sHELL • 6 september 2011 10:16

'Pr0d@dm1n' *facepalm*

Deze ICT bedrijven moeten toch beter weten. Dit soort wachtwoorden is het creëren van "schijnveiligheid". Kijk mij een slim wachtwoord hebben, niet dus.
Elke hacker weet allang dat een a = @, een o = 0, een i = 1....

Ayera 6 september 2011 09:38

De hacker schrijft toegang tot nog vier andere certificaatproviders te hebben en claimt dus nog steeds valse certificaten te kunnen genereren.

Verontrustend bericht .. ? Als dat zo is, hoe komen we erachter welke dat zijn dan? Naar welke certificaat provider zou je dan moeten overstappen, voor je het weet is die dan ook de klos om wat voor reden dan ook, kan je gelijk weer alles aanpassen.

Op dit item kan niet meer gereageerd worden.

Hacker Comodo claimt DigiNotar-inbraak

Lees meer

IT-banen

Reacties (165)

Sorteer op:

Weergave: