Blog

Reporter Radio: Privégegevens voor iedereen te zien

Op Twitter kwam ik het volgende bericht tegen

Hieronder het item op Reporter Radio:

Een fraudegevoelig digitaal lek

De boodschap die reporter wil geven is dat het vrij eenvoudig is om vertrouwelijke informatie te vinden via een speciale zoekmachine. Deze zoekmachine zoekt als het ware via internet toegankelijke computersystemen of randapparatuur. Eigenlijk is het een soort Google waardoor het met betrekkelijk weinig kennis mogelijk is om voor kwaadwillenden toegang te krijgen tot servers of apparatuur waar geen wachtwoorden of waarop de standaard wachtwoorden zoals admin/admin actief zijn. Deze standaardwachtwoorden zouden bij de installatie eigenlijk direct gewijzigd moeten worden!

Het probleem is dat particulieren en midden en kleinbedrijf vaak onvoldoende beseffen hoe belangrijk het is om   een externe harde schijf of andere netwerkapparatuur  goed te beveiligen. Zo ook het IT bedrijf in het voorbeeld van reporter. Men is  zich  vaak onvoldoende bewust van de risico’s die  er zijn wanneer de beveiliging van deze aan het netwerk gekoppelde apparatuur  onvoldoende is.

Hier het voorbeeld van een harde schijf die zowel door particulieren als kleinere bedrijven gebruikt wordt en die mogelijk de zojuist genoemde risico’s geeft:

LENOVO IOMEGA EZ MEDIA & BACKUP CENTER 2 TB

Vaak wordt er gezegd dat de installatie vrij eenvoudig is waardoor veel (met name) particuleren of kleinere  bedrijven zo’n schijf zelf installeren en aan het netwerk hangen. Vaak  wordt bij de installatie niet afgedwongen dat de standaard gebruikersnaam en wachtwoord (admin/admin) verplicht veranderd wordt. Kortom blijven de gebruikers altijd inloggen met admin/admin wat een erg zwakke authenticatie is.  Daarnaast heeft men vaak niet door dat de nieuwe harde schijf  (onbewust door een slordige installatie)  direct door iedereen via het internet te benaderen is.

De zoekmachine die deze kwaadwillenden gebruiken en ook in de uitzending genoemd wordt  zoekt dus zoals gezegd  het internet af naar die schijven en andere randapparatuur zoals netwerkprinters die voorzien zijn van de standaard inloggegevens  zoals admin/admin.  Hierdoor is het voor  een ieder kinderspel om aan vertrouwelijke gegevens te komen als die er door de onwetende gebruiker op zijn gezet.

Oplossing is 2 ledig:

1.) De gebruiker of het bedrijf moet dit soort apparatuur door professionals laten installeren  die ook de standaard wachtwoorden veranderen en het netwerk component vakkundig installeren en configureren. Daarnaast zou de professional  de gebruiker (of het bedrijf) moeten verifiëren of het noodzakelijk is om de schijf aan het internet te koppelen. Zo ja, dan moet dit adequaat beveiligd worden en moet het bedrijf op de risico’s gewezen worden.

2.) de Fabrikanten zouden er in de installatie procedure voor moeten zorgen dat de standaardwachtwoorden verplicht veranderd worden bij de configuratie van het device. Hierdoor wordt het voor de kwaadwillende of andere gebruikers van “de zoekmachine” veel moeilijker om toch toegang te krijgen tot het apparaat via het internet.

Daarnaast moet men in het bedrijfsleven  leren zorgvuldiger om te gaan met de gegevens die ze verwerken en zorgvuldig een partner zoeken die ze van advies kan voorzien op IT security gebied.

Het zou  goed zijn als de huidige IT partner de beveiliging  regelt maar de praktijk wijst uit dat dit toch vaak “vergeten” wordt. Daarom is het verstandig om de IT beveiliging eens te laten testen door een partij die daarin gespecialiseerd is. Een slager keurt namelijk ook niet zijn eigen vlees.

Vraag geheel vrijblijvend naar de mogelijkheden om uw bedrijf qua IT beveiliging  eens door Ernst IT Solutions onder de loep te laten nemen en te kijken of er ook zulke gaten in de beveiliging zitten als reporter bij veel bedrijven  aangetoond heeft. Controleren op de beveiliging van de IT omgeving kan zoals gezegd het beste worden uitgevoerd door een onafhankelijke partij en die partij wil Ernst IT Solutions graag voor u zijn. We kunnen dan samen met uw huidige IT leverancier of  IT beheerpartij kijken welke stappen genomen moeten worden om de beveiliging op het gewenste niveau te krijgen.

 

 

Zorg dat ALLE software op je computer regelmatig bijgewerkt wordt!

Microsoft heeft laatst een noodpatch voor het ernstige beveiligingslek in Internet Explorer uitgebracht, ook voor XP welke al een tijdje via “windows Update” te installeren is.

TIP/AANVULLING : Vergeet ook vooral niet de volgende al uitgebrachte updates (voor lekken die minstens zo ernstig zijn maar welke minder in de media genoemd worden) te updaten als je ze thuis rechtsonder in de taakbalk ziet verschijnen:

 

patches

In de media wordt naar mijn idee teveel aandacht besteedt aan lekken in webbrowsers terwijl de lekken die er in de plugins zijn vaak vergeten worden. Een kwaadwillende gebruikt nu juist vaak de lekken in deze plugins om toegang te krijgen tot een computer of netwerk.  Kortom is het belangrijk om naast de Windows updates ook altijd de overige software te updaten omdat oude versies van die software misbruikt kunnen worden door hackers en andere kwaadwillenden om je computer over te nemen.

Zie het volgende YouTube filmpje om te zien hoe makkelijk het is om met bepaalde tools een computer te hacken:

Wanneer je bovenstaand filmpje gezien hebt dan is het wel duidelijk dat zowel de browser als alle plugins in die browser up to date moeten zijn. Kortom geeft het advies van bijvoorbeeld de overheid om bij een lek in een browser over te stappen naar een andere browser een vals gevoel van veiligheid.

Zie ook de volgende 2 links die hierover gaan:

Digitale politie struikelt over Internet Explorer

Een falend waarschuwingssysteem

De moraal van dit verhaal: Update ALLE software op je computer regelmatig en klik de meldingen zoals hierboven in de tekst staan niet zomaar weg maar update ze gelijk waardoor de kans veel kleiner is om gehackt te worden. Je beveiliging is zo goed als de laatste update! Mis je  1 belangrijke update  dan is het vaak al “game over” en had je de moeite voor het updaten van de andere ook belangrijke updates kunnen besparen.