“Ja, dat daar, moeten we daar iets mee?!”, kwam een collega de kamer
binnengestormd, wijzend op de krantenpagina op
mijn beeldscherm waar in chocoladeletters vanaf spatte: “Verander NU uw
wachtwoord - Zoekmachine met 3,3 miljoen Nederlandse wachtwoorden massaal
geraadpleegd”. Gemakshalve had de krant, bij wijze van voorbeeld, onze
domeinnaam in de zoekmachine ingevuld en ruim driehonderd hits gescoord. Ja, daar moesten we inderdaad iets mee. Je wilt niet
het verwijt krijgen dat je je in stilzwijgen hult over iets dat all over the news is.
De zoekmachine leverde een e-mailadres en een wachtwoord, maar dan in de
vorm: ab.xyx*****@onsdomein.nl – pq*******. Een deel van de informatie was om
juridische redenen vervangen door sterretjes. Van de wachtwoorden werden altijd
de eerste twee tekens getoond, bij de e-mailadressen varieerde het aantal
leesbare karakters (en in het krantenartikel hebben ze zelfs díé onleesbaar
gemaakt). Dat maakte het lastig om die collega’s rechtstreeks te informeren.
Een paar kon je er weliswaar zó uithalen, maar we achtten het onmogelijk om op
die manier honderd procent correcte dekking te krijgen. De factor tijd speelde
daarbij ook een rol: we wilden snel communiceren. Bovendien was het vrijdag –
dit soort dingen gebeurt altijd op vrijdag, als het moeilijk is om de juiste
personen te pakken te krijgen.
We concludeerden dat we de gebruikers zélf op pad moesten sturen.
Iedereen moest controleren of zijn wachtwoord in de lijst voorkwam. Daar zat
echter nog een complicatie in. De zoekmachine was gevuld met gegevens uit
eerdere hacks waarbij wachtwoordbestanden zijn buitgemaakt. Dergelijke hacks
hebben plaatsgevonden bij onder andere LinkedIn, Dropbox, Playstation en eBay.
Als het goed is, dan worden wachtwoordbestanden versleuteld opgeslagen. Het was
daarom niet duidelijk of de twee getoonde tekens uit een versleuteld wachtwoord
kwamen, of dat het de echte tekens waren. We wilden niet dat mensen denken: “O,
dat is mijn wachtwoord niet” en vervolgens niets doen. Kortom: we gingen onze
collega’s niet naar die zoekmachine sturen.
Wat dan wel? De Australiër Troy Hunt heeft enkele jaren gelden de
website haveibeenpwned.com
opgezet. Daar kan iedereen controleren of zijn e-mailadres en wachtwoord in een
bekend geworden hack zijn buitgemaakt. Omdat Hunt en zijn website goed staan
aangeschreven, durfden we onze gebruikers die kant wel op te sturen. Het
bericht om dat te bewerkstelligen was gauw opgesteld. Nu moest het nog
verspreid worden. Dat wilden we in eerste instantie doen middels een ICT-bericht,
een vertrouwd intern communicatiekanaal dat medewerkers onder andere informeert
over updates, verstoringen en gepland onderhoud. Nadeel van dit kanaal is
echter dat het op basis van abonnementen werkt; je kunt als gebruiker zelf
aangeven over welke categorieën je geïnformeerd wilt worden. Maar je kunt ook
aangeven dat je helemaal niets wilt ontvangen, zelfs niet berichten uit het basisabonnement.
Daarom deed de helpdesk, waar ik mijn tekst had aangeboden om het als
ICT-bericht te verspreiden, de suggestie om een ander kanaal in te zetten: massmail. Via deze toepassing kun je een
bericht versturen naar een bepaalde doelgroep of desnoods naar iedereen. En dat
wilden we: met zekerheid iedereen bereiken. Zo gezegd, zo gedaan.
En toen ging het een beetje mis. Een ICT-bericht heeft een herkenbare afzender,
een standaard kop (datum, onderwerp, voor wie bestemd enzovoorts), een korte
introductie en een link naar het intranet. Als je een tekst, die eigenlijk
bedoeld was om als ICT-bericht uit te sturen, één op één overzet naar een
massmail, dan vallen die standaard kenmerken allemaal weg. En daardoor
vertoonde het bericht opeens allerlei kenmerken van phishing-mail: geen aanhef,
gevoel voor urgentie kweken, een externe link, verwijzing naar een autoriteit
(ons team) en een vage afzender (MassmailNoReply). Onze actie bracht aan het
licht dat onze medewerkers een heel behoorlijk beveiligingsbewustzijn hebben,
want op de helpdesk werd het al snel na verzending van het bericht best wel
druk – ondanks dat het vrijdagmiddag was. Zelfs zo druk dat ze mij belden: “Eh,
die actie van jullie, die loopt een beetje uit de hand.” Ook de mail-beheerders
kregen de nodige telefoontjes voor hun kiezen (een oneigenlijke sluiproute). Ik
heb toen met spoed een bericht op het intranet laten plaatsen waarin stond dat
de mail betrouwbaar en géén phishing-test was. Dat heeft kennelijk geholpen: de
verwachte drukte op maandag bleef uit.
Een volgende keer doen we dit dus anders. Dan plaatsen we eerst een
bericht op het intranet, het massmail-bericht krijgt een duidelijke afzender en
slechts een verwijzing naar het intranetbericht, géén externe link. Bovendien
lichten we eerst onze beveiligingscollega’s buiten de ICT in, want die kregen
ook vragen van medewerkers. Daarnaast gaan we onderzoeken of het mogelijk is om
ons hele domein centraal te testen als er weer eens een hack plaatsvindt, zodat
we daar niet alle medewerkers mee hoeven te belasten. Dat zijn de belangrijkste
verbeterpunten; we hebben er nog meer genoteerd.
Ik wil een paar pluimen uitdelen. Om te beginnen aan de collega’s die de
massmail niet vertrouwden. Klinkt misschien gek, maar achteraf gezien hadden
zij gewoon een punt. De volgende pluimen gaan naar de collega’s van de helpdesk,
het mailteam en de intranetredactie die ons snel hebben geholpen. En ten slotte
dank aan de collega’s die ons tips hebben gegeven waar we in de toekomst veel
aan hebben.
In de massmail hebben we ook de door het NCSC aangereikte adviezen
opgenomen om toekomstige problemen te voorkomen. Eén van die adviezen luidt: gebruik
voor elke toepassing een uniek wachtwoord. Dat is echter gemakkelijker gezegd
dan gedaan. Een password manager kan
uitkomst bieden: een programma dat al je wachtwoorden beheert. Jij hoeft zelf
alleen maar nog het wachtwoord van die password manager te onthouden. Bovendien
kan de password manager sterke wachtwoorden genereren, waardoor jouw accounts
nog beter beveiligd zijn.
De komende drie weken verschijnt er geen
Security (b)log.
En in de grote boze buitenwereld …
… was er ook opeens een zoekmachine die wél de volledige wachtwoorden
toonde. Die zoekmachine vraagt geld om jouw wachtwoord te verwijderen en doet
bovendien aan coinmining.
... stijgt het aantal geslaagde phishing-aanvallen.
... vindt deze auteur dat we alles rondom wachtwoorden verkeerd doen. Ik
vraag me alleen af waarom hij het met geen woord over password managers heeft.
http://josephsteinberg.com/why-you-should-ignore-everything-that-you-have-been-told-about-passwords/
... worden wachtwoorden deels overbodig gemaakt door nieuwe protocollen.
... kun je nagaan of jouw Facebook-gegevens bij Cambridge Analytica zijn
terechtgekomen. Maar Facebook informeert je ook uit eigener beweging.
... committeert Facebook zich nu toch wereldwijd aan de Europese
privacywetgeving (AVG). Vorig week werd dat nog ontkend.
... zal Facebook nooit een privacy-vriendelijk (want betaald) netwerk
worden.
... lekken de sites van diverse zorgverzekeraars informatie naar
Facebook.
... wil Facebook ook ziekenhuisgegevens verzamelen.
... mogen ziekenhuismedewerkers niet zomaar in medische dossiers
snuffelen.
... waarschuwt Europol maar nog eens voor de gevaren van publieke
wifi-netwerken.
... concludeert dit rapport dat ransomware de belangrijkste vorm van
malware is. Andere publicaties maakten eerder melding van een verschuiving naar
coinmining.
... valt er nog meer uit dat rapport te halen.
... kunnen twee veilige systemen samen een riskante combinatie vormen.
In dit geval: Netflix en Gmail.
... is een handesmissie naar China niet zonder gevaren. Maar dat neemt
niet iedereen serieus.
... moet je geen historische feitjes over jezelf verklappen.
... legt een Amerikaan uit hoe verschillend Amerikanen en Europeanen
over privacy denken. Opmerkelijk statement: “Almost no one in Europe uses the
term ‘privacy’”.
... kun je een lek identificeren aan de hand van onzichtbare codes in
een tekst.
... liegen fabrikanten van Android-toestellen over geïnstalleerde
patches.
... gaat Telegram in Rusland op slot omdat ze de inlichtingendiensten
geen toegang tot de verzonden berichten geven.