Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 87 reacties

De Amerikaanse klokkenluider Edward Snowden, die onthullingen over de vergaande spionageprogramma's van de Amerikaanse en Britse geheime dienst naar buiten bracht, verzamelde zijn gegevens volgens persbureau Reuters met behulp van logingegevens van collega's.

Edward SnowdenSnowden, die als contractor van Booz Allen Hamilton bij de NSA werkte, overtuigde zijn collega's dat hij hun logingegevens nodig had voor zijn baan als systeembeheerder, meldt persbureau Reuters op basis van anonieme bronnen. Twintig tot vijfentwintig NSA-medewerkers gaven hem daarop inderdaad hun loginnamen en wachtwoorden.

Met behulp van die logingegevens wist Snowden een deel van de documenten te bemachtigen die hij later lekte naar media, claimt Reuters. Het ging om documenten die hij zelf niet bevoegd was om te zien.

Inmiddels is een deel van de NSA-medewerkers die hun gegevens aan Snowden gaven, van hun taak afgehaald, al is onduidelijk of ze een andere taak hebben toegewezen gekregen of zijn ontslagen. De onthulling is pijnlijk voor de NSA, omdat het duidelijk maakt dat de dienst zijn geheimen niet goed wist te beveiligen. Vorige maand werd al bekend dat de NSA geen software had geïnstalleerd op de pc van Snowden die het lekken van documenten moest voorkomen, omdat er te weinig bandbreedte was. De documenten die door Snowden zijn gepubliceerd werpen voor het eerst een licht op de omvang van Amerikaanse spionage in het digitale tijdperk.

Moderatie-faq Wijzig weergave

Reacties (87)

Social engineering 101. Een goede hacker zijn belangrijkste wapen is niet zijn programmeerkennis maar zijn vermogen om andere mensen te overtuigen dat hij betrouwbaar genoeg is om belangrijke informatie aan toe te kennen. Dit is niet alleen iets voor Snowden maar iets wat al sinds lange, lange tijd geld reeds lang voor computers zelfs bestonden.

Wat erger is, is dat deze truc ook gewoon werkt bij een grote geheime dienst zoals de NSA. Dit probleem wordt veroorzaakt door de inherent zwakke schakel 'mens'. Dat er vervolgens niet tot onvoldoende vangnetten waren om dit op te vangen is op zijn minst opmerkelijk te noemen.Snowden deed zich waarschijnlijk 'gewoon' voor als de systeembeheerder (wat hij was) potte wachtwoorden en gebruikersnamen op en kon dus schijnbaar via zijn computer aan de documenten komen en deze naar buiten smokkelen. Het zou mij nog niet eens echt verbazen als hij het gewoon op een USB-stick had gezet zonder al te veel vreemde trucjes.

Raising the question; hoeveel andere mensen in de NSA hebben zulke eenvoudig repliceerbaar en bekende methoden gebruikt om gebruikersdata te verduisteren voor minder nobele doelen dan het luiden van klokken?

In ieder geval staat de NSA reeds maanden in de media met zijn broek op de enkels. Met een groeiende vraag naar encryptie en het uitwijken naar oplossingen die minder snel geassocieerd kunnen worden aan de nine eyes kan worden gezegd dat Snowden een digitale revolutie aan het veroorzaken is.

[Reactie gewijzigd door Auredium op 8 november 2013 09:05]

Erg slecht dat je collega's je wachtwoorden geven en toevertrouwen. Ik snap niet dat je dit kan bedenken. Zeker als je bij de overheid zit of een andere overheids orgaan. Dan hoor je je wachtwoord voor jezelf te houden. Gelukkig is dit de realiteit en gebeurd het toch overal. Het is dus eigenlijk niet bijzonder dat het ook bij de NSA gebeurde.
Erg slecht dat je collega's je wachtwoorden geven en toevertrouwen.
Slecht of niet... het gebeurd inderdaad overal. Precies de reden waarom het EPD een slecht idee is. Eťn keer iemand die een belangrijk wachtwoord lekt, en de gegevens van alle patienten liggen op straat.

Verder gebruikt zelfs de NSA blijkbaar geen extra sleutel? Zoals een RSA-USB-key (/SMS-jes). Dan heb je nog niet veel aan inloggegevens van anderen - tenzij je als systeembeheerder zijnde ook bij het resetten van die keys kunt. Maar dat valt direct op (niet dat dat je tegen hoeft te houden), want dan werken de sleutels van die medewerkers niet meer.
offtopic:
Mensen weten niet wat het EPD is. Het is niet een centrale database waar de dossiers liggen. Het is een centrale verwijsindex (zie het als een telefoonboek) waar in vermeld staat bij welke arts een patiŽnt te vinden is. Je moet dan nog allerlei certificaten en door de overheid verstrekte UZI pas hebben en je moet zowel een server als client side certificaat hebben (kan je ook niet zelf installeren. Dat moet de beheer organisatie doen op een server waarop de HIS-huisarts software draait) voordat je iets MAG opvragen via het centrale telefoonboek. En dan zien de artsen zelf ook nog wie hun patiŽnt geraadpleegd heeft EN moeten ze er nog toestemming voor geven.
Dit soort onwetendheid zorgt ervoor dat iedereen meteen moord en brand schreeuwt terwijl ze technisch helemaal niet weten hoe het werkt (niet ten nadele van jou, bij de overheid snappen ze het zelf ook niet, daarom hebben ze daar ook tegen gestemd). Maarja. De meeste mensen zien dingen die in de media maar hard genoeg geroepen worden aan voor de waarheid.


Maar goed. Even on-topic.
Je wachtwoord aan een collega geven gebeurd erg vaak. Bij de meeste bedrijven is dat ook niet zo erg want wat kun je nu eenmaal met het wachtwoord van je collega. Waarschijnlijk hetzelfde als met je eigen wachtwoord. Maar bij een overheidsinstantie als de NSA is het toch wel een kwalijke zaak dat je zomaar je wachtwoord afstaat. Dit zou toch niet moeten kunnen. Een inlog met een keycard i.c.m. een wachtwoord of persoonlijke USB key zou toch wel minimaal moeten zijn als je bij zulke gevoelige informatie kan.
Maar goed. Gemak wint het bijna overal van beveiliging. Want beveiliging is alleen maar lastig.

[edit]
Nog wat toegevoegd over het EPD

[Reactie gewijzigd door Fabbie op 8 november 2013 09:07]

Offtopic / EPD:
Dus als ik in een andere provincie een arts raadpleeg en die wil in mijn dossier kijken moet mijn eigen huisarts vooraf toestemming geven? En moet ik ook in dat systeem vooraf toestemming geven?
Normaal gesproken ja. In nood: nee. Artsen moeten instellen van wie ze willen dat die "standaard" mogen waarnemen. Maar in geval van nood is er een "rode knop" procedure. Maar dan nog moeten beide artsen beschikken over alle benodigde certificaten en de opvragende arts moet een door de overheid verstrekte UZI pas hebben. Anders kunnen ze je dossier niet opvragen.

Momenteel (zonder EPD) is het nog zo dat artsen zonder toestemming en benodigde certificaten je dossier kunnen opvragen in een bepaalde regio (van de desbetreffende huisartsenpost). Landelijk kunnen ze dit niet. Het enige wat ze met het EPD toe willen voegen was registratie / beveiliging en landelijk maken omdat ze nu ook al bij je dossier kunnen (alleen regionaal) maar dan zonder noemenswaardige authenticatie en beveiliging.
En hoe geeft in de normale procedure de patiŽnt zijn fiat aan een opvraging?
En heb je dan ook controle over welke deel van het dossier wel en welk deel niet? Of maakt dat het weer te ingewikkeld?
En alleen de arts zelf of bij een huisartsenpost of ziekenhuisafdeling de administratieve medewerkers die dan een stapeltje pasjes hebben?
En dat die UZI pas door de overheid verstrekt is: nou Ťn?
Met de huidige manier van opvragen (die al sinds 2005 zo werkt) heeft de patiŽnt nooit zijn fiat gegeven omdat de artsen vonden dat ze daar zelf over mogen beslissen (het is "handig" als ze op de huisartsenpost ook de dossier kunnen opvragen mochten ze dienst hebben).
Afhankelijk van de software die de huisarts gebruikt kun je per onderdeel van het dossier instellen wat wel en wat niet gedeeld wordt. Waar ik werkte kon je per bezoek (consult) opgeven wat wel en wat niet "bevraagbaar" was.
Het klinkt waterdicht, maar in de praktijk heeft bijna elk praktiserend zorgverlener dus die toegang en kan elke arts dergelijke gegevens opvragen. De 'rode knop' procedure is in essentie een carte blanche. De 'oude' methode is desondanks in zekere zin veiliger omdat het regiogebonden is en er een handmatige serie handelingen verricht moeten worden om jouw gegevens op te vragen. Dit maakt dat je je gegevens dus inherent al 'dicht bij huis' aan het delen bent en niet met het hele land.

Centrale opslag van gevoelige persoonlijke gegevens moet je gewoon niet willen, en al helemaal niet als het enige argument om dat te doen 'efficientie' is en een zorgpremie die ondanks deze besparing alsnog blijft stijgen.

[Reactie gewijzigd door Vayra op 8 november 2013 12:33]

Het klopt allemaal wat je zegt maar ze bevragen nu ook al allerlei dossiers op. Het EPD was alleen bedoeld om extra lagen van veiligheid in te bouwen (en het landelijk bevraagbaar maken) alleen ze hebben het wereldkundig gemaakt als iets nieuws in plaats van te melden dat het al bijna 10 jaar gebeurd en ze nu eindelijk de veiligheid gaan vergroten.
Ze hebben het ook wereldkundig gemaakt alsof alle dossiers centraal opgeslagen gaan worden. Ook dat is niet waar. De dossiers zijn al in een centrale database opgeslagen maar dan per software leverancier. Er zijn geloof ik 6 spelers op de huisartsen software markt en die gebruiken bijna allemaal een centrale database waarop de huisarts in kan loggen. Ze wilden alleen een centrale index aanmaken.

Want zoals met bijna alle software of standaarden die al enkele jaren bestaan, men maakte zich toen nog niet druk om veiligheid. Tegenwoordig wel alleen pakken ze het vaak verkeerd aan. Zeker de overheid is daar erg goed in.
Je kunt lang of kort zijn over het EPD, maar in de kern is het een kostenbesparing waarbij de risico's volledig bij de zorgafnemer liggen. Het blijft een database waaruit van afstand medische gegevens uit te lezen zijn.

Zelfs met een volledig gedisciplineerd zorgstelsel waarin NIETS fout gaat, hebben we dan wel een nieuwe, makkelijk te bereiken zwakke schakel gecreerd en een volgende stap gezet in het digitaliseren van onze volledige levens. Zodra iets niet meer 'fysiek' gedaan hoeft te worden, is er een vorm van controle weg waarvan het belang enorm wordt onderschat. Het stelen of in je voordeel gebruiken van persoonsgegevens, of het vervalsen daarvan, is een steeds vaker voorkomend verschijnsel - omdat het steeds makkelijker wordt. Heb je toegang tot een paar systemen, dan heb je al direct toegang tot een schat aan informatie. Je kunt zeggen dat je daar 'in principe' toch niets mee kan. Maar ik heb zelfs in mijn ongeschoolde bijbaantjes mee kunnen gluren in de verzekeringsgegevens van een groot aantal politici en BN'ers, om maar even te illustreren hoe toegankelijk 'privť-gegevens' daadwerkelijk zijn. Meerdere malen heb ik me verbaasd over de toegankelijkheid van die informatie, en hoe makkelijk het zou zijn om iemand op die manier te beschadigen.

En dan heb ik het nog niet eens over de NSA die in elk systeem mee kan kijken (want de reikwijdte van deze spionage is nog steeds niet helemaal boven water), backdoors ingebouwd heeft en waarover onze overheid het liefst de schouders ophaalt. Die zelfde overheid pretendeert ons een 'degelijk' systeem aan te bieden. Net zoals de OV chip kaart zo oerdegelijk was. Of net zoals de banken en Ideal zo lekker stabiel waren de laatste tijd.

We zijn veel te makkelijk en naief in het overhevelen van fysieke handelingen naar digitale, vooral als het om 'checks and balances' gaat. Feit is dat zelfs een specialistische club als de NSA die denkfout dus heeft gemaakt, dat zegt mťťr dan genoeg over de rest van de wereld. Gemakshalve, en om voor een duppie vooraan te zitten zoals het een goed Nederlander betaamt, gooien we maar gelijk de oude manier helemaal overboord, want ja, twee methoden een periode naast elkaar laten bestaan, dat is duur. En dankzij een verplichte EU-aanbestedingsprocedure is het ook nog zo dat kiezen voor kwaliteit nooit de eerste overweging is.

[Reactie gewijzigd door Vayra op 8 november 2013 12:23]

Hier ben ik het mee eens. Het wordt misschien tijd om het wachtwoord opnieuw uit te vinden. Nu zie je maar wat er anders kan gebeuren. Betreft het EPD ben ik het helemaal met je eens.

Zeker als het weer op een laptop gebeurd en de gegevens niet versleuteld zijn. Dat gebeurd zo vaak, terwijl het versleutelen tegenwoordig gewoon een must have is.
Social engineering is zo krachtig en het helpen van anderen zit zo diep in de mens dat het heel moeilijk wordt om daar een passend antwoord op te vinden...

Het lastige van dit soort zaken is dat men iets psychologisch probeert te fixen met iets technisch. Het probleem dat de ene mens de andere helpt oplossen door one-time passwords, extra encryptie, etc. Dat lost het probleem dus niet op - dat bestrijdt de symptomen!

Het vervelende is dus dat voor een echt veilig netwerk je je eigen collega's dus niet meer mag vertrouwen. Je mag de deur niet voor ze open houden ("Security before Courtesy"), je mag ze niet een USB stickje lenen (welke malware staat erop als je 'm terugkrijgt) - eigenlijk moet je elke collega behandelen als ware het een potentiele vijand.
En dat gedrag moet geÔnternaliseerd worden. Mensen moeten niet beledigd raken als je nee zegt. Men moet snappen dat het niet persoonlijk is en zich aan procedures houden. Dat is erg moeilijk. Maar dat is omdat beveiliging niet ingebakken wordt tijdens de opvoeding.

En dat zou anno 2013 wel moeten.
En dat gedrag moet geÔnternaliseerd worden. [..] En dat zou anno 2013 wel moeten.
Anno 1984 zul je bedoelen? ;)

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety.
" -- Benjamin Franklin, 1775
Iedereen als potentiŽle vijand zien, is het niet juist die houding die de hele oorzaak is achter het hele NSA gespioneer? Vriend en vijand afluisteren omdat ze overal potentieel gevaar zien. Je wil dat kinderen van jongs af aan al veranderd worden in achterdochtige individuen die zelfs hun vrienden, of hun familie niet vertrouwen? Als dat de wereld is waarin je wil leven...

[Reactie gewijzigd door Bonez0r op 9 november 2013 15:59]

Ik ben hier de dagelijkse admin en als ik aan iemand z'n wachtwoord zou vragen, dan zal ik die denk ik wel in 90% van de gevallen krijgen.

Somminge geven het zelfs al op voorhand :? . Dus ja, social engineering is een heel sterk wapen.

Iemand vertrouwen met je login, no way!

De NSA zal nu denk ik wel weten welke bestanden er allemaal gekopieerd zijn adhv de logins.
Die wachtwoorden gaan via een encryptie kaart. De gebruiker heeft dus een encryptie kaart met sleutel nodig en het pin daarvan Inc username en wachtwoord. Is dus iets moeilijker dan alleen username en wachtwoord :-))
[...] - tenzij je als systeembeheerder zijnde ook bij het resetten van die keys kunt. Maar dat valt direct op (niet dat dat je tegen hoeft te houden), want dan werken de sleutels van die medewerkers niet meer.
hmm dat is vreemd me token werkt niet meer, ow wacht ik heb hier een nieuwe voor je ... Merkt 9 van de 10 mensen niet eens hoor.
[...]

hmm dat is vreemd me token werkt niet meer, ow wacht ik heb hier een nieuwe voor je ... Merkt 9 van de 10 mensen niet eens hoor.
Je zou toch verwachten dat er bij een organisatie zoals de NSA (waar ze sinds de koude oorlog al paranoÔde zijn tot op het bot) dat soort tokens gewoon in een kluis liggen, met een uniek serienummer, en iedereen die een token wil hebben voor een bepaalde informatieklasse, daarvoor gewoon moet tekenen. Stuk maken is terug brengen, kwijt maken en je hebt een groter probleem.

Bij het leger en de politiemachten gebeurt hetzelfde met de wapenkluizen.
Ziekenhuizen gebeurt dit op papier ook maar binnen de ict zelf word er veel makkelijker mee om gegaan en zoals het artikel zegt was hij een systeembeheerder

Als hij van andere systeembeheerders die wel een wachtwoord ergens van hebben de wachtwoorden krijgt of RSA token dan kan hij alsnog doen wat hij wil.
Ziekenhuizen gebeurt dit op papier ook maar binnen de ict zelf word er veel makkelijker mee om gegaan en zoals het artikel zegt was hij een systeembeheerder
Juist als systeembeheerder (sleutelbewaarder of houder van veel sleutels) hoor je onder een zwaardere scrutiny te staan dan andere NSA-medewerkers omdat de kans groter is dat je je macht misbruikt.

De enige manier om dat te doen is te zorgen dat er een strikte keten van gezag en verantwoordelijkheid in de organisatie aanwezig is. En dat mensen die dat gezag bewust ondermijnen, op de vingers worden getikt.

Ze beweren zelf het toppunt te zijn van beveiliging omwille van de staatsveiligheid, maar als de interne (sociale) beveiliging al aan alle kanten rammelt, dan kun je hoog of laag springen maar dan wordt dichttimmeren technisch onbegonnen werk.

Vanuit hun escapades van de Koude Oorlog hadden ze toch kunnen weten dat letterlijk iedereen, tot de president aan toe, een spion kan zijn voor de communisten.
Wat natuurlijk ook kan is dat de NSA via deze "anonieme bron" ons wil laten denken dat niet 1 persoon in de organisatie toegang heeft tot zoveel vertrouwelijke informatie. Met andere woorden, niemand heeft zoveel macht en ze hebben zogenaamd procedureel de boel wel op orde (maar 20 tot 25 hardwerkende werknemers hebben de richtlijnen geschonden, de naievelingen!). Snowden wordt hiermee ook tot "social engineer" en "vertrouwen schender van collega's" gebombardeerd waarmee de publieke opinie een beetje beinvloed wordt, voldoende om Snowden weer net iets negatiever te laten overkomen.

"Henk & Ingrid" wordt ook niet verteld of de werknemers zijn ontslagen of niet. ("Verbazend" dat deze verder goed geinformeerde bron dat niet weet ...) Henk & Ingrid geven ook hun inloggegevens wel eens in goed vertrouwen aan anderen. De herkenning van dit soort situaties en daarmee hun medeleven voor deze werknemers wordt versterkt door de stille dreiging van de onwetendheid wat betreft hun lot. Dit kan overslaan in ergernis en zelfs woede naar "de dader".

We zullen de aankomende tijd nog wel meer voorzichtig gedoseerde brokjes informatie krijgen. Wat dat betreft is het ook interessant om deze casus te blijven volgen, het manipuleren van de massa is een vak apart.

[Reactie gewijzigd door Smekken op 8 november 2013 12:33]

Waarschijnlijk gebruiken ze wel een two-form authentication om in te loggen maar heeft hij de inlog gegevens alleen gebruikt om bij de bestanden te komen. Hij had als systeembeheerder zelf al toegang tot de systemen alleen niet tot directories met bepaalde klasse documenten
je kan patiŽntgegevens gewoon scheiden.
Alleen de behandelende arts mag de gegevens van zijn patiŽnten inzien.
Voor toegang moeten meerdere partijen je toestemming verlenen om deze in te mogen zien.

Daarnaast
- geen losse apparaten waar je zomaar bij de gegevens kan
- automatische uitlog
- er is geen ťťn EPD, ziekenhuizen hebben (gezamenlijk met andere) zelf zulke systemen, die al reeds wereldwijd geÔmplementeerd zijn, waar eisen vaak nog strenger zijn. De omvang van die systemen zijn 3-6 keer de omvang van het grootste ziekenhuis in NL.
Precies: ik snap niet dat username/wachtwoord de enige beveiliging is? Waarom niet een 2-step verificatie oid? Š la Google/Last pass? 8)7

Misschien toch tijd voor retina-scan oid?
Bij een van de bedrijven waar ik over de vloer kwam voor mijn werk was het verplicht je wachtwoord elke 40 dagen te wijzigen.... en dan aan een medewerker van Planning en Control door te geven. Vond men totaal logisch.
Elke 40 dagen is super. Echter het doorgeven van je wachtwoord nooit. Zelfs niet aan een systeembeheerder geef ik mijn wachtwoord. Zoals @kimborntobewild hierboven vermeld. Alle systeembeheerders kunnen het wachtwoord wel wijzigen. Dus waarom dan je wachtwoord aan iemand doorgeven. Ik durf overigens te weden dat de Plannen en Control de wachtwoorden in platte tekst bewaard(e). Dus niet versleuteld.
Ik heb die 30/40 dagen nooit begrepen, en vind het eigenlijk ook alleen maar onveiliger. Aangezien iedereen een paar weken erover doet om het nieuwe wachtwoord te onthouden hangen er ongetwijfeld overal briefjes/post-it's met wachtwoorden.
Hier ben ik het deels mee eens. 40 dagen is goed. Tevens ligt het er maar net aan hoe lastig je het je gebruikers maakt.

Het nadeel van elke 30/40 dagen is wel dat er wachtwoorden komen als maandperiode-jaar en dat is niet veilig. Dit heb ik heel vaak gezien. Ik ben het voor 99% met je eens.
Hier ben ik het deels mee eens. 40 dagen is goed. Tevens ligt het er maar net aan hoe lastig je het je gebruikers maakt.

Het nadeel van elke 30/40 dagen is wel dat er wachtwoorden komen als maandperiode-jaar en dat is niet veilig. Dit heb ik heel vaak gezien. Ik ben het voor 99% met je eens.
Hier zijn ook heel veel 02/03/04 cycles rond aan het gaan.
Ik gebruik persoonlijk de verjaardag en voorletters van een familielid die in betreffende maand jarig is/was
Samen met mijn google authenticator kom je een heel eind ;)

( gelukkig een ruime familie, en iedereen stort het wel op facebook ;) )
De enige optie die ik vol hou is de cijfers in men wachtwoord elke maan wijzigen.
Bijvoorbeeld: azer01 naar azer02.

Anders is dit onmogelijk vol te houden.
Ik ook niet, maar de systeembeheerder wil het maar niet begrijpen en houdt vol dat het veiliger is. Ik had in eerste instantie een lang, random password van 16 karakters. Deze had ik net goed in mijn hoofd zitten toen ik gedwongen werd om hem weer te veranderen. En nu? Nu gebruik ik een heel simpel algoritme op basis van maand en jaar. Inderdaad: veel veiliger. 8)7
Hier moeten we om de 30 dagen een wachtwoord wijzen en het mag niet een al eerder gebruikt wachtwoord. Dan komt onze ouwer Baas en hij verplicht iedereen z'n inlog gegevens aan hem te geven zodat iemand kan je PC gebruiken als je OOO bent. Ik geef het nooit af en krijg altijd ruzie over.
Iemand zijn PC gebruiken is heel wat anders dan op die PC inloggen als iemand anders, met alle bijbehorende toegangsrechten van die persoon.
Als je op de pc kan inloggen en alle wachtwoorden staan in Windows of in de browser opgeslagen. heb je dus ook de toegangsrecheten voor alle onderliggende programma's
Waar het hier om ging was dat een wachtwoord van een enkele medewerker nodig was om uberhaupt te kunnen inloggen op een PC. Dat is natuurlijk op veel betere manieren te doen, meest voor de hand liggend is zorgen dat er meer mensen op een PC kunnen inloggen.

Ik noemde die toegangsrechten alleen maar als extra reden waarom het een slechte situatie is om als iemand anders in te loggen. Wat jij zegt is nog veel slechter, want die persoonlijke informatie staat normaal in het persoonlijke profiel van een gebruiker en is dus niet toegankelijk voor andere mensen die op de PC inloggen. Anders moet je de betreffende systeembeheerder op cursus sturen of eens kritisch kijken naar de rechten die normale gebruikers op een PC hebben.

[Reactie gewijzigd door Pogostokje op 8 november 2013 09:54]

Wij werken in een team en dus kan zijn dat mijn klanten alleen emails naar mij heeft verzonden en dus mijn Baas wilt mijn inlogs hebben om mijn emails te kunnen lezen.
Ook heb ik een hogere toegang in programmes (oracle/erp enz) dan mijn colleagues.en daar wilt hij ook gebruik van maken. Dus niet zeg ik altijd.
Doet iemand iets fout op mijn naam ben ik het schuld ook al ben ik op verlof.
Dan configureer je je mail omgeving zo dat anderen bij je mailbox of delen daarvan kunnen. Daar heb je geen toegang tot je complete systeem met je eigen wachtwoord voor nodig.
Het is dus eigenlijk niet bijzonder dat het ook bij de NSA gebeurde.
Het is zonder meer bijzonder dat dat _wel_ gebeurde; als NSA medewerker hoor je - lijkt mij - gebriefd te worden dat je je wachtwoorden ůůk niet aan de systeembeheerder mag geven.
Trouwens, normaliter kan een systeembeheerder de wachtwoorden ook resetten. Verder kan je als systeembeheerder (of als zijnde iemand anders) eenvoudig de wachtwoorden te pakken krijgen, door een softwarekeylogger of nog makkelijker: een hardwarekeylogger (dat kan iedereen plaatsen en later gewoon uitlezen of zelfs via een wegpagina op afstand).
Ja en nee. Niet alle syteembeheerders hebben rechten om wachtwoord te wijzigen. Dat heb ik tot nu toe meegemaakt bij een aantal bedrijven dat echt maar een zeer beperkt aantal mensen dat konden. Als het wachtwoord veranderd moest worden moest dan ook de persoon meekomen met het bedrijfsID waar zijn foto op stond. Waardoor het al een stuk lastiger wordt. Je hebt echter altijd wel mensen die zich niet aan het protocol houden.
Klopt en zo zou het ook moeten gaan vaak zijn die mensen de overal beheerders. Toch gebeurd het nog redelijk vaak dat alle beheerders wachtwoorden kunnen aanpassen.

Als ik m'n wachtwoord kwijt ben duurt het minimaal 24 uur voor ik weer gebruik kan maken van m'n (admin) account.

Eerst aanvraag sd. Dan goedkeuring manager dan goedkeuring project eind verantwoordelijke. Dan door naar een andere helpdesk die dan het wachtwoord aanpas en mij 4 uur de tijd geef om in te loggen en aan te passen anders mag het riedeltje opnieuw.
Dus als je een wachtwoord kwijt bent kan je 24 niet werken.
Wordt je dan ook niet betaald?

Als je wel betaald wordt, is het op z'n minst raar. Geen enkel bedrijf gaat jou betalen om niks te doen. En geen enkel bedrijf heeft veiligheid als bestaansreden, geld maken echter wel.
Lekker efficiŽnt voor je productiviteit.
En leer je dus dat je belangrijke WW moet onthouden / opslaan

Juist die 24u cooldown is een goede insteek, ik krijg regelmatig medewerkers admin aan de lijn om dezelfde vraag.
en het moet snel, sneller dan hetgeen waar ik mee bezig ben, want ZIJ zijn belangrijk.

( de opmerking dat ze dan het belangrijkste moeten onthouden, gaat volledig aan ze voorbij )

Die personen krijgen dan ook de protocollen aan hun vingers, ID noteren voor dossier, RSA-token inleveren en reset, en binnen 30 minuten passw. wijzigen in een eigen login.
< maar dat kan ALLEEN op eigen station/locatie, MET het RSA-token, wat nog moet synchroniseren ..... tenzij ze koffie meegebracht hebben :+ >
Ah nee... weer een systeembeheerder die het leuk vindt om even zijn macht te laten voelen. Ja, het echte werk is inderdaad belangrijker dan dat van jou. Je bent een ondersteunende dienst, en niet het primaire proces. En dat je dan maar direct het wachtwoord moet onthouden: fijn, prima. Maar geef mensen dan ook de vrijheid om hun eigen wachtwoord te kiezen, zonder allerlei arbitraire regelstjes, verlooptijden, etc. Want anders kan je er donder op zeggen dat mensen het inderdaad niet gaan onthouden. Mensen hebben ook wel wat beters aan hun hoofd...
Ah nee... weer een systeembeheerder die het leuk vindt om even zijn macht te laten voelen.
Helaas, ik ben geen beheerder, slechts uitvoerende functie .....

Maar wel leuk dat je zo over de ondersteunende dienst denkt ...
Je hebt zeker ook een hekel aan de vrachtwagens op de weg, omdat die zoveel ongelukken veroorzaken ?

iets met belangrijkheid, en prioriteiten ....
Als je pc niet werkt, of je wil iets opzoeken, dan is de 'ondersteunende dienst' je vriend, maar verder is het overbodig en lastig....
Dat krijg je in een bedrijf met duizenden ops medewerkers..
Ik doe projecten en heb 24 servers in beheer. Maar zijn genoeg beheerders buiten europa die op andere vlakken verantwoording hebben.

Er is maar 1 afdeling die wachtwoorden mag aanpassen voor admins.

Als ik druk zet en ze gaan met me mee en passen me wachtwoord aan en geven me daartoe toegang aan servers waar ik niet meer aan mag komen. Dan gaat het juist fout. De managers die moeten controleren of ik wel rechten mag hebben is daarom juist goed. Zo ligt de verantwoordelijkheid bij de mensen die de wachtwoorden mogen aanpassen niet 100% bij hen. maar ook bij de bovenliggende managers.
Bij een niet nader te noemen grote multinational is dit schering en inslag. De systeembeheerders vragen gewoon je wachtwoord als je nieuwe hardware krijgt. Ze zeggen er wel bij dat je hem ook mag resetten (tijdelijk naar een of ander default wachtwoord), maar het resultaat is hetzelfde, dat ze dan bij alle bronnen kunnen waar je ook bij kunt, en aangezien mensen het gewoon doen zou iedereen dat kunnen vragen. Het bedrijf is te groot voor iedereen om te weten wie de systeembeheerders zijn (ja als geek weet ik het natuurlijk wel). Systeembeheer zou m.i. hier verantwoordelijkheid in hebben, door gebruikers aan te leren dat het NIET OK IS om je wachtwoord aan wie dan ook voor wat voor reden af te staan.

Ik heb overigens niet de illusie dat het bedrijf waar ik het over heb een uitzondering is. Het is niet de NSA, maar bedrijfsgeheimen zijn ook wat waard!

[Reactie gewijzigd door .Johnny op 8 november 2013 08:16]

Dit hele verhaal is toch gewoon smullen. De echte GROTE jongens van het internet, die afgaan als een gieter. Het moderne digitale Goliath en David verhaal. :9

Misschien komt er nog een tijd waar we niet meer zeggen:
"Ik heb root op die box" maar "ik heb NSA op die box"

Voor een No Such Agency zijn ze tegenwoordig toch wel erg in het nieuws. :)

Hopelijk gebeurd dit ook nog.
Ze mogen dan de beste wiskundigen en cryptografen in dienst hebben .... maar er zijn er nog genoeg over die niet willen meewerken aan kwaad. En hopelijk nu Snowden uit de kast is, komen er nog meer NSA medewerkers naar voren met hun verhaal.
Oh en ben ik de enige die Snowden een beetje vind lijken op Gordon Freeman uit Half-Life?

[Reactie gewijzigd door Kain_niaK op 8 november 2013 07:53]

Hoe we er ook van "smullen", er lijkt niets hierdoor te veranderen. En dat vind ik wel zorgwekkend, net als de schaal waarop de NSA mensen wereldwijd monitored.
Dat lijkt zo maar aan de plannen voor mesh netwerken worden hard gewerkt door verschillende communities. Het idee is simpel. Bouw zelf draadloze mesh netwerken en verbind deze netwerken onderling via het internet via een beveiligd protocol of iets zoals TOR. Wanneer er genoeg van deze kleine locale mesh netwerken zijn dan kunnen die ook onderling aan elkaar gekoppelt worden zonder het klassieke internet. In het geval dat er iets mis gaat, blijft er nog altijd filesharing over op het lokale netwerk. En het lokale netwerk kan volledig democratisch opgezet worden, eventueel met bitcoins als incentive voor de eigenaars van individuele nodes om eerlijk te blijven. Dus virtuele meshnetwerken aan de ene kant, en fysieke (bijna altijd draadloos) aan de andere kant. Wanneer er genoeg potentieel is kan het ene met het andere verbonden worden, of sterker nog, kan niemand weten wanneer zijn signaal over het oude internet gaat of over het nieuwe internet, of in vele gevallen over alle twee. Het delen van elkaars internet verbindingen kan ook meer bandbreedte geven aan het individu op bepaalde momenten. Providers overboeken hun connecties ook.

Kijk eens op http://www.reddit.com/r/darknetplan en http://projectmeshnet.org/ en http://www.reddit.com/r/Dorknet en wat CJDNS en Hyberboria nu precies is.

En een stap die jezelf kunt zetten? Zoek uit of openWRT of DD-WRT of Tomato werk op je eigen router en vervang de firmware!

Dit is niet iets voor morgen, maar dit NSA verhaal zorgt er wel voor dat er veel mensen zijn die eens goed gaan nadenken over eind naar eind versleuteling. Ook het hele bitcoin verhaal is sterker dan ooit. Laat dit allemaal eens goed brouwen met een sausje ontevreden burgers door de crisis en de corruptie van het politieke en financiŽle systeem en er zit nog een serieuze revolutie aan te komen. Ooit.

[Reactie gewijzigd door Kain_niaK op 8 november 2013 09:19]

Het verhaal van mesh netwerken klinkt erg mooi maar zolang gebruikers zelf iets moeten doen of dit voor elkaar te krijgen gaat dit nooit een succes worden. Pas als mensen zelf iets uit moeten zetten is er een kans voor. Maar dat zie ik niet gebeuren.
Ach, het internet is ook niet gestart door gewone gebruikers.
Maar net zoals e-mail voordelen bood over de gewone post, als het internet 2.0 dit ook bied boven het normale internet dan zullen de gewone gebruikers ook wel geinstresseerd zijn. Wie wil er nu niet, in de USA bv, ongestoord aan filesharing doen, zonder dat ze je IP via een torrent vinden en een subpoena naar je provider sturen zodat je kunnen aanklagen? Welke Nederlander wil nu niet over een systeem surfen waar Brein niet bepaald dat bepaalde sites illegaal zijn?. Of met je mobiele telefoon over een netwerk waar je provider je niet afsluit of blauw doet betalen wanneer je iets te veel bandbreedte heb gebruikt? :)
En waarom denk je dat de NSA's van deze wereld niet net zo vrolijk ook van dat soort nerwerken kunnen opzetten waarmee ze net als nu kunnen monitoren?
het is in ieder geval een stuk lastiger wanneer je netwerken hebt waar alles end-to-end encryptie heeft, en in het geval van een virtueel netwerk over het huidige internet en over toekomste meshnetwerken (waar af en toe een acces point naar het huidige internet is) is niet zo gemakkelijk te zien waar het verkeer vandaan komt en waar het naar toe gaat. Zie ook de problemen die de NSA al heeft met TOR.
Daarbij kunnen deze netwerken totaal anders werken. Het huidige netwerk werkt als volgt. Ik vertrouw A, en A zegt dat B en C ook te vertrouwen zijn. Dus vertrouw ik B en C. Maar met de technologie die we hebben kunnen we ook netwerken opzetten waar geen enkele peer zomaar gelooft word zonder dat die peer de juiste credentials aanbied. Credentials waarvan de meerderheid van het netwerk bepaald of ze geldig zijn of niet. Dit kan geÔmplementeerd worden met het huidige bitcoin systeem van zerotrust en in principe kost valspelen en hacken dan een grote som bitcoins. In ieder geval niet meer zo gratis als het zenden van 10 biljoen spam emails. Al deze systemen bestaat nog niet, maar als de programmeurs er vandaag mee beginnen dan kunnen ze binnen een jaar of 5 - 10 zeker wel bestaan. Heel veel code werkt goed en is opensource, maar alles wat nuttig is bij elkaar gooien en met een wereldwijde community een internet 2.0 bouwen zal niet gemakkelijk zijn. In tegendeel het lijkt een onmogelijke taak en zal jaren van trial en error nodig hebben. Daarom dat deze community in de eerste plaats vraagt dat iedereen meteen begint om met goedkope hardware kleine draadloze meshnetwerkjes op te zetten. 5 man bedienen met een paar goedkope dlink's in een mesh netwerk is eenvoudig. Maar bij 50 of 500 loop je toch al snel tegen de beperkingen aan. Wat die beperkingen zijn, en of daar een oplossing voor bestaat die niet te duur is daar willen we achter komen.

Dus hup aan de slag! Verdiep je in opensource router firmware en alle verschillende aanpakken die er al bestaan om netwerken op te zetten met een mesh structuur. Zoiezo is het al super bevredigend wat voor mogelijkheden je router opeens heeft wanneer hij OpenWRT. Nu heb je gewoon een klein linux computertje met uitgebreide netwerk ondersteuning waar je zelfs kleine software packetten voor kunt downloaden en runnen! Is mooi man! Ik vind helemaal tweaker.
Je laatste alinea; alleen de mensen die er toch al over nadachten. De 99,5% van de mensen zonder kennis van ICT begrijpt er niets van, haalt de schouders op, en leeft gewoon door. Die revolutie komt er niet, mensen hebben teveel te verliezen.
Veel mensen hebben al veel verloren. Vraag maar aan de jeugd in het zuiden van europa. Ik zag laatst een blogpost op tweakers met de titel: De crisis en ik.
Die tweaker kan nog maar 100 euro per maand sparen waar het eerst 200 was.
Dus hoezo teveel te verliezen? Alsof er niet een gigantische grote groep in Europa is die momenteel al redelijk aan het verliezen is. En wanneer ze genoeg verloren hebben en er niks meer te verliezen valt komt die revolutie er vanzelf, dat bewijst de geschiedenis wel. En volgens mij is dat exact wat de machthebbers willen. Want dan is een United Europe hoog nodig om antwoord te geven aan al het geweld.

[Reactie gewijzigd door Kain_niaK op 8 november 2013 16:45]

...ben ik de enige die Snowden een beetje vind lijken op Gordon Freeman uit Half-Life?
HL1 of HL2?
Ik heb dat nooit gespeeld... mis ik daarmee iets? :)
Als ie alleen maar een bťťtje lijkt, lijkt me dat trouwens ook niet zo'n bijzonder feit...
mis ik daarmee iets?
Ja :) ! Er is een hele mooie remake van HL1 gemaakt in de nieuwe Source engine

http://www.blackmesasource.com/

Praktisch hetzelfde, iets meer aangekleed en nieuwe textures en models. HL2 is nog prima te spelen. Spannend verhaal, klassieke FPS.
Die gordon duikt de laaste tijd ook overal op he. Ik zag m laast ook meth maken in breaking bad:)
De discussie of je je wachtwoord dient af te geven lijkt me hier niet op de plaats.

In het geval van Edward Snowden lijkt het me belangrijk om vooral naar de bronnen te kijken en dit te relateren aan het verhaal achter Snowden.

Snowden zelf heeft enkel gecommuniceerd via Greenwald, Poitras en een reporter van The British newspaper.

Het eerste wat ik dacht toen ik deze nieuwsberichten las is, "ze proberen hem in diskrediet te brengen door relatief kleine verwijten aan hem te linken".
Zoals velen hier weten die met data analyse en verwerking te maken hebben, zodra een gedeelte van je data besmet is, is dat een smet op de betrouwbaarheid van je gehele dataset.

zo sterk als de zwakste schakel. Ik heb het idee dat ze nu zwakke schakels aan het creŽren zijn in het verhaal om het weer hun eigen kant op te spinnen.

Eerste wat misschien opvalt aan mijn verhaal is het "alu-hoedje gehalte" echter dit soort berichten met een flinke korrel zout nemen lijkt me niet onverstandig. En ik denk dat we hier ook zonder "alu-hoedje" een interessante discussie over kunnen voeren.
Waarom zou een systeembeheerder dat uberhaupt doen als hij toch overal zelf al bij kon en daar de logfiles van kon aanpassen? Als je zelf al bezig bent om van alles en nog wat te vinden ga je nog niet eens extra op willen vallen door anderen hierin te betrekken. Hij wist zelf heel goed waar hij mee bezig was en dan is het wel erg dom om zo'n fout te maken.

Misschien hoorde het wel gewoon bij zijn werk en heeft hij dat gewoon uitgevoerd zoals het hoorde. Dan is het maar al te makkelijk om daar het label misbruik op te plakken als je het alleen al vermoed. En laten we wel zijn, de NSA zal niet schuwen om halve of hele onwaarheden te gebruiken om de publieke opinie te beinvloeden.
Waarom denk je dat een systeembeheerder dat kan? Het is makkelijk zat om een laag encryptie te gebruiken, waarvan alleen gebruikers de keys hebben, zodat de systeembeheerder alleen nog maar met encrypted bestanden werkt waar hij alles mee kan doen - behalve de inhoud ervan lezen.
Afgezien van de privacy-gerelateerde bezwaren tegen het NSA (waar ik geheel achter sta) is dit dus nog een reden waarom de NSA opgeheven moet worden.

Blijkbaar zijn de mensen die daar rond lopen niet helder genoeg om ONZE GEHEIMEN te bewaren. Kortom, wanneer zij iets over jouw hebben opgeslagen (wat hoogstwaarschijnlijk al zo is) is de kans aardig aanwezig dat jouw data uitlekt. We moeten blij zijn dat Snowden besloot er iets heldhaftigs mee te doen. Het had ook ťťn of andere pannenkoek kunnen zijn die de gegevens ging gebruiken voor personal gain.

Edit: ik realiseer me net dat er ook nog andere mensen werken, die wellicht allang onze data hebben verspreid voor personal gain.

[Reactie gewijzigd door Dan0sz op 8 november 2013 10:11]

wanneer zij iets over jouw hebben opgeslagen (wat hoogstwaarschijnlijk al zo is)
Het gaat hier over de NSA, niet Google, die is nog een paar 100x erger. Want Google wil alles van de gewone man weten, de NSA alles van de bijzondere man. Dus captains of industry, terroristen, politici (inderdaad variaties op hetzelfde thema) maar niet jij en ik.
De NSA wil ůůk alles over jou en mij weten.
Want wij zijn mogelijk potentieel terroristen.
Als ik volgende week voor 3 maanden naar de Verenigde Arabische Emiraten ga, dan willen ze weten met wie ik de afgelopen jaren contact heb gehad. Als ze me vanaf volgende week gaan volgen zijn ze te laat.
De zwakste schakel in beveiliging is de mens. Wederom bewezen. Kijk maar naar de zaak van de inbraak in het patienten dossier door een politicus die wachtwoorden afkijkt. Op welk bureau je ook komt er is grote kans dat de wachtwoorden gewoon aan de muur hangen, in de bureaula op een post-it staan of aan de onderkant van een toetsenbord. Maar waarom hebben we tegenwoordig allemaal wachtwoorden? Onze brieven gaan in de oudpapierbak en staan aan de straat terwijl mijn mail met een wachtwoord beveiligd is.

Ik ga steeds meer smullen van verhalen over beveiliging. Ze weten toch alles al van je, why bother? Het is de nieuwe hype en straks komt er een ontnuchtering en is niets meer interessant.
Mijn geadresseerde post gaat in de schredder hoor ....
Al lang voor Snowden.

tijd geleden kregen mijnouders een boete voor het 'illegaal dumpen' van afval
( vuilniszak 2 dagen te vroeg aan straat - van de buren )

Maar omdat er een reclamesticker van mijn ouders bijzat, werden die als dader aangewezen, 40§ betalen.

Er gaat voor 99% geen te naam gestelde post meer 'heel' het huis uit.
( de kleine van 5 heeft het nog niet helemaal door, de oudste al wel ... leuk spelletje .. lawaai en rommel maken )
Zelfs de NSA is niet veilig tegen social hacking. Dat bewijst maar weer eens dat alle mensen die niets te verbergen hebben zich toch redelijk onveilig mogen voelen. Want hieruit blijkt dat je gegevens gewoonweg niet veilig zijn (bij welke overheid of geheime dienst dan ook).
Het massaal verzamelen van persoonlijke gegevens maakt je ook gewild doelwit van hackers waardoor het alleen maar onveiliger wordt.
Dus zelfs bij het bedrijf dat over de hele wereld codes kraakt, gegevens steelt en privacy schendt is het gewoon mogelijk om bij de geheimen van het bedrijf te komen als je een wachtwoord bietst bij een collega. Ongelofelijk.
Ik kan je 1 ding vertellen dan hebben ze code of conduct niet goed gelezen want hun password is prive en dien je ten alle tijden prive te houden.

Mijn collega's beheerders, goede vrienden of niet buiten het werk om, zullen nooit en te nimmer mijn wachtwoorden krijgen. Zelfs mijn manager niet op wat voor manier dan ook.

Komen ze erachter door naast me te staan of mee te kijken dan wijzig ik hem daarna meteen!

Lijkt mij vrij logisch maar waarschijnlijk zijn ze bij de NSA een beetje beroepsgedeformeerd. Of geloofden ze die Snowden op zijn mooie blauwe ogen. Nu dit is gelekt heeft hij dus misbruik gemaakt van vertrouwen van mensen in zijn toenmalige postie. Als beheerder zijnde behoor je gebruikers niet te verzoeken om hun password. Niet alleen uit goed fatsoen maar ook vanwege het feit dat als er iets mis gaat dat jij aangewezen wordt als beheerder zijnde dat jij die fuck-up gemaakt hebt.

Ik vind deze vent een schande voor de beheerders die wel weten hoe het hoort.

Zodra ik deze man tegenkom dan zou ik er serieus overwegen om hem aan te geven.

[Reactie gewijzigd door tijgetje57 op 8 november 2013 12:24]

"op basis van anonieme bronnen"
Dit kan dus gewoon een poging zijn om Snowden onderuit te halen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True