De mogelijkheden van de digitale revolutie voor de Nederlandse Politie
Snuffelsoftware, een gevaar voor social media
Een nieuw (gratis) gevaar is opgedoken op internet; FireSheep.
Met deze extensie voor Mozilla Firefox kan iedereen hacken. Zodra u verbinding heeft met een draadloos (of bedraad) netwerk gaat de extensie op dat netwerk opzoek naar on-versleutelde (non-crypted) inlog-gegevens. Http is non-crypted, https is encrypted.
Social media website zoals Hyves en Facebook verzenden het wachtwoord via een non-crypted data-packet. Tot pas geleden was dit ook mogelijk met Twitter, tegenwoordig gaat de verbinding via een https verbinding.
Maar ook is het mogelijk om achter de gegevens van Hotmail-accounts te komen. En nog veel meer, waarschijnlijk ook bij deze site.
Iemand die bijvoorbeeld bij een CoffeeCompany gaat zitten met zijn laptop heeft binnen een aantal minuten inlog-gegevens van alle klanten die daar inloggen.
Er wordt nu opgeroepen om WiFi-netwerken te beveiligen middel een WPA of WPA2, dit heeft totaal geen nut, wel is het verstandig om dit te doen, want zodra iemand toegang heeft tot het netwerk dan kan hij of zij dit kunstje ook flikken. Bijvoorbeeld bij een restaurant of die internet aanbied is het nu vaak een onbeveiligd netwerk, beveiligen ze die dan kunnen 'goedwillende' klanten het internet niet op. Dus het wachtwoord wordt dan alleen aan klanten gegeven, maar wie zegt mij nu dat die 'goedwillende' klant wel een goedwillende klant is en niet iemand die zich zo uitgeeft en vervolgens met FireSheep aan de gang gaat.
Zodra FireSheep info heeft gevonden laat hij deze niet zien, het wachtwoord wordt dus niet zichtbaar, maar de snuffelaar kan wel op de naam klikken en heeft dan direct toegang tot de privé-pagina. Hier kan hij/zij doet wat die wilt (wachtwoord veranderen, contacten kopiëren/verwijderen, kwetsende berichten plaatsen, etc. etc.)
Wat te doen hiertegen?
Bijna niets, allereerst moet u weten op welk netwerk u inlogt en stel uzelf de vragen;
- Is het netwerk beveiligd?
- Wie hebben nog meer toegang tot het netwerk?
- Welke informatie ga ik bekijken?
- Is het erg als iemand dat ziet en kan die er dan iets mee?
Als u op een netwerk werkt wat u niet vertrouwd, bijvoorbeeld omdat iedereen een ethernet-kabel in de muur kan prikken, kunt u het programma FireShepherd laten draaien op uw computer. Dit programma stuurt een bulk aan informatie over het netwerk waardoor FireSheep bijna direct crashed, deze bulk aan informatie is niet schadelijk voor het netwerk en vertraagd het internet niet of nauwelijks. Download link: http://notendur.hi.is/~gas15/FireShepherd/
Vraag uw IT-beheerder om deze software op de server te installeren, maar het werkt ook 'stand-alone'.
Alexander Klöpping heeft een blog-item over het snuffelen ansich geschreven met screendumps.
http://alexandernl.tumblr.com/post/1431714612/het-is-verbazingwekke...
Bescherm u zelf tegen het grote boze internet en wees bewust als u (persoonlijke) informatie op internet zet.
Met deze extensie voor Mozilla Firefox kan iedereen hacken. Zodra u verbinding heeft met een draadloos (of bedraad) netwerk gaat de extensie op dat netwerk opzoek naar on-versleutelde (non-crypted) inlog-gegevens. Http is non-crypted, https is encrypted.
Social media website zoals Hyves en Facebook verzenden het wachtwoord via een non-crypted data-packet. Tot pas geleden was dit ook mogelijk met Twitter, tegenwoordig gaat de verbinding via een https verbinding.
Maar ook is het mogelijk om achter de gegevens van Hotmail-accounts te komen. En nog veel meer, waarschijnlijk ook bij deze site.
Iemand die bijvoorbeeld bij een CoffeeCompany gaat zitten met zijn laptop heeft binnen een aantal minuten inlog-gegevens van alle klanten die daar inloggen.
Er wordt nu opgeroepen om WiFi-netwerken te beveiligen middel een WPA of WPA2, dit heeft totaal geen nut, wel is het verstandig om dit te doen, want zodra iemand toegang heeft tot het netwerk dan kan hij of zij dit kunstje ook flikken. Bijvoorbeeld bij een restaurant of die internet aanbied is het nu vaak een onbeveiligd netwerk, beveiligen ze die dan kunnen 'goedwillende' klanten het internet niet op. Dus het wachtwoord wordt dan alleen aan klanten gegeven, maar wie zegt mij nu dat die 'goedwillende' klant wel een goedwillende klant is en niet iemand die zich zo uitgeeft en vervolgens met FireSheep aan de gang gaat.
Zodra FireSheep info heeft gevonden laat hij deze niet zien, het wachtwoord wordt dus niet zichtbaar, maar de snuffelaar kan wel op de naam klikken en heeft dan direct toegang tot de privé-pagina. Hier kan hij/zij doet wat die wilt (wachtwoord veranderen, contacten kopiëren/verwijderen, kwetsende berichten plaatsen, etc. etc.)
Wat te doen hiertegen?
Bijna niets, allereerst moet u weten op welk netwerk u inlogt en stel uzelf de vragen;
- Is het netwerk beveiligd?
- Wie hebben nog meer toegang tot het netwerk?
- Welke informatie ga ik bekijken?
- Is het erg als iemand dat ziet en kan die er dan iets mee?
Als u op een netwerk werkt wat u niet vertrouwd, bijvoorbeeld omdat iedereen een ethernet-kabel in de muur kan prikken, kunt u het programma FireShepherd laten draaien op uw computer. Dit programma stuurt een bulk aan informatie over het netwerk waardoor FireSheep bijna direct crashed, deze bulk aan informatie is niet schadelijk voor het netwerk en vertraagd het internet niet of nauwelijks. Download link: http://notendur.hi.is/~gas15/FireShepherd/
Vraag uw IT-beheerder om deze software op de server te installeren, maar het werkt ook 'stand-alone'.
Alexander Klöpping heeft een blog-item over het snuffelen ansich geschreven met screendumps.
http://alexandernl.tumblr.com/post/1431714612/het-is-verbazingwekke...
Bescherm u zelf tegen het grote boze internet en wees bewust als u (persoonlijke) informatie op internet zet.
Tags: Cybercrime, FireSheep, Online security, hacking, identiteitsfraude
Weergaven: 295
Berichten in deze discussie
-
Permalink Antwoord van Joost Geraets op -
Als ik het goed begrijp is de algemene tip (dus?!): log op een publiek netwerk, c.q. netwerk dat u niet vertrouwd alleen in op / via een HTTPS inlogpagina (beveiligde verbinding / uitwisseling van gegevens). Zoals bijvoorbeeld: https://twitter.com/ of https://login.facebook.com/.
Een ander artikel over dit 'fenomeen':
- Maak nooit gebruik van een onbeveiligd draadloos netwerk!.
Verdere berichten over dit onderwerp:
- Firesheep-ontwikkelaar woest op Microsoft;
- Hoe je mensen met Firesheep kunt plagen;
- Mozilla zal geen 'kill-switch' activeren voor omstreden Firesheep-a...;
- Veilig bankieren, Twitteren en mailen met Firefox NoScript.
Wellicht een (andere...) handige tool: Zamzom. -
-
Permalink Antwoord van Joost Geraets op
-
-
-
Permalink Antwoord van Joost Geraets op
-
Aanvullingen:
- Microsoft vindt Firefox Firesheep een bedreiging;
- Microsoft verplicht SSL niet voor Hotmail.
In dat laatste artikel staat een net overzicht welke webdienst gevoelig / kwetsbaar is voor wat. En als ik dat overzicht goed lees dan is de hierboven genoemde https://twitter.com niet veilig om in te loggen, bij SSL auth staat namelijk 'No' :-( . -
-
Permalink Antwoord van Kaj Zon op -
Er zijn inderdaad nog vele programmatjes die hetzelfde kunnen, echter er zit wel een heel groot verschil in nl; dat de andere programma's gecomplexer in elkaar zitten en voor snelle en goede resultaten moet iemand minimaal het niveau "Computer-nerd" hebben. FireSheep is zo laag drempelig dat ik het de bewoners van een bejaardentehuis binnen 3 minuten heb uitgelegd, dat is het grote gevaar.
Ook is het zo dat het, correct me if I'm wrong, ontvangen van radiogolven is toegestaan en bekeken/uitgeluisterd mag worden zolang er maar geen (complexe) decodering hoeft plaats te vinden. Het daadwerkelijk 'hacken' is dus strafbaar (computervredebreuk) maar een programma als FireSheep kan niet strafbaar worden gesteld aangezien het stukje software ongedecodeerde informatie (username en password) uit de lucht haalt, bij elkaar verzameld en aan de gebruiker laat zien. Er worden dus geen strafbare handelingen verricht door het stukje software.
Daarnaast zou ik toch willen vragen om geen namen van hacking-programma's hier te noemen, even google raadplegen en veel van die programma's zijn gratis of goedkoop te downloaden. Omdat dat dit zo'n privacy-gevoeliggebied is wil ik hier ook heel voorzichtig omgaan. Uiteraard graag post over counter-maatregelen! -
-
Permalink Antwoord van Joost Geraets op
-
Ik begrijp jouw redenering als je vraagt geen namen van hacking-programma's te noemen. Echter wanneer is het gewoon een beheer(ders)-tool en wanneer hacking-software...? Ofwel, je kunt tools links- of rechtsom inzetten, ander gezegd ter verdediging of juist om een aanval voor te bereiden. Ik stel voor om helder en open te zijn over reële dreigingen, hoe die werken (welke tools daarbij worden gebruikt) en wat je daar (zelf) tegen kunt (laten) doen.
Ik denk o.a. aan:
- Veilig internetten (heb je zelf in de hand);
- Waarschuwingsdienst;
- Waarschuwingssite van de banken: '3x klopppen' (veilig bankieren);
- GovCert
- links op 'Veilig internetten'.
Overigens mis ik een eenvoudig plan van aanpak aan de hand waarvan een willekeurige burger zijn computer, laptop, netbook, tablet of smartphone kan beveiligingen overeenkomstig de laatste inzichten. En dat niemand daar garanties aan kan verbinden beseft iedereen die met dit thema bezig is en waarvan de burger kennis 'mag', c.q. moet nemen.
Wellicht is het een idee dat de politie een vergelijkbare inspanning gaat leveren als rondom adviezen om woninginbraken te voorkomen?! Als ik het me goed herinner kon en kun je wellicht nog, iemand kosteloos in huis laten komen om beveiligingsadvies te geven. Wellicht is preventief adviseren over cybercrime aan burgers een idee? Of wordt dat wellicht al gedaan middels workshops voor het publiek of iets vergelijkbaars? -
-
Permalink Antwoord van Joost Geraets op
-
Mee eens Frans.
-
-
Permalink Antwoord van Kaj Zon op
-
@ Frans de Boer
Klopt inderdaad van die switched netwerken, dat dacht ik tenminste tot vorige week.
Toen ben ik naar de openbare biliotheek in Amsterdam geweest, je zou verwachten dat die daar ook gebruik van maken.
Resultaat na 30 minuten;
35 x toegang tot een twitter account
48 x facebook
14 x hyves
12 x toegang tot een hotmail account
3 x gmail / google account (en dan dus ook YouTube etc.)
Uiteraard niets mee gedaan, had bijna de neiging om bij iedereen een bericht achter te laten als waarschuwing maar kwam tot de conclusie dat dat computervredebreuk is :D -
-
Permalink Antwoord van Joost Geraets op
-
Indrukwekkend en ook wel schokkend vind ik...
-
-
Permalink Antwoord van Kaj Zon op
-
Ik begrijp wat je bedoeld, maar ik heb ook niet 'ingelogd' of zoiets.
Laat ik het zo uitleggen ik stond voor een open deur maar ben niet naar binnen gegaan. :D -
-
Permalink Antwoord van Peter Westerhof op
-
Dan zou per definitie geen sprake zijn van computervredebreuk, er wordt immers geen beveiliging doorbroken. Of heb ik nieuwe regelgeving gemist?
-
-
Permalink Antwoord van Joost Geraets op
-
Frans lijkt ook op deze / jouw lijn te zitten. Ik ben het met jullie eens.
-
Welkom bij
Politie 2.0
Wij, de overheid
ConnectedCops.net
Ambtenaar 2.0
Groepsdiscussies
Gebeurtenissen
-
Digitaal bewustworden binnen het politievak
Februari 15 2013 van 21.00 tot Mei 31 2013 bij 12.00 – Bij jouw in de buurt
-
Opleiding Beleidsmedewerker Openbare Orde en Veiligheid
April 4 2013 van 18.00 tot Mei 30 2013 bij 19.00 – La Vie Utrecht
-
Master in Safety
April 4 2013 van 18.00 tot Mei 23 2013 bij 19.00 – La Vie Utrecht
Politie op Twitter
© 2013 Aangemaakt door Politie 2.0
Verzorgd door
