“Veilige wachtwoorden bestaan niet”

Een kijkje geven in de werkwijze van hackers, maar vooral veel nadruk leggen op de gevaren van cybercriminaliteit was het doel van de lezing ‘Inbreken in andermans digitale netwerk.’ KIVI, de beroepsvereniging van ingenieurs, liet dinsdagavond in het Auditorium twee experts vertellen over ontwikkelingen van de cybercriminaliteit. “Gratis wifi gebruiken; handig, maar niet altijd verstandig.”

Nee, er zit niemand in de zaal die verwacht als volleerd hacker naar thuis te gaan. De groep van veertig mannen en één dame bestaat uit voornamelijk gepensioneerden die uit interesse komen luisteren. Er is, tot teleurstelling van organisator KIVI, slechts één student in de collegezaal. Uit Delft.

De twee experts van het bedrijf CYCO Cybercrime Cover willen de luisteraars ten eerste waarschuwen voor inbraken op digitale netwerken van vooral bedrijven. Robert van der Vossen: “Het is een goed georganiseerde criminele wereld. Met weinig investeringen – er is nog geen bivakmuts nodig - komen ze aan een hoge opbrengst. Op de zwarte markt zijn naam, adres en woonplaats een paar euro waard, maar voorzien van een Burgerservicenummer al meer. En met een creditcardnummer nog meer. Voor een elektronisch patiënten dossier vang je 35 euro.”

Zijn collega en voormalig politieagent Wouter Parent legt uit dat hackers met een mailtje, tegenwoordig in uitstekend Nederlands geschreven, een virus binnen kunnen brengen. Inbreken kunnen ze door phishing mail te sturen, een usb-stick met malware op een bureau te leggen of een besmette muis (als relatiegeschenk) te laten bezorgen. “Hoe denkt een hacker die bijvoorbeeld bij KIVI de klantendatabase wil jatten? Eerst zal hij onderzoek doen naar de leden. Begint bij LinkedIn om te weten wie toegang heeft tot belangrijke gegevens. Dan zoekt hij op Facebook naar hobby’s. Hij maakt een phishing mail die als twee druppels water lijkt op een officiële KIVI-mail met het verzoek het verlopen wachtwoord te wijzigen. Ook kan hij een pdf sturen met informatie over gevonden hobby’s. Bij openen heb je een virus, een firewall wordt makkelijk omzeild.”

Wil een usb–stick of muis met malware nut hebben, dan moet de hacker weten welke servers een bedrijf gebruikt. En weer helpt social media; een goede hacker kan via foto’s van de werkvloer (met beeldschermen op de achtergrond!) zien welke pdf-readers of servers gebruikt worden. Tot zover de –voorlopige- waarschuwingen.

Parent maakt ook duidelijk dat veilige wachtwoorden niet bestaan. Bloemetje 123, Bello1993, 23456789, maar ook #FG76^vb&* zijn niet veilig, “ook al mag het bij je DigiD.” Met een programma met wachtwoordlijsten kunnen 1600 wachtwoorden per seconde gecontroleerd worden. De security awareness consultant demonstreert het. En ja, na één minuut is een passend wachtwoord gevonden; 4s#^NSo9%. “Dit kantoornetwerk is nu van mij.”

“Het is niet slim om een creditcard te gebruiken op een wifi-hotspot. Een hacker kan tussen jouw laptop of smartphone en de router komen en de gegevens oppikken.” Draadloze verbindingen zijn altijd riskant, en gaan op kantoor zeker niet samen met veiligheid, hamert Parent nogmaals.

Het gaat ook over de Wet bescherming persoonsgegevens. “In Dropbox, Gmail en We Transfermag je geen privacygevoelige gegevens zetten. Met een ledenlijst van je vereniging ben je al in overtreding.” De wet is momenteel in behandeling bij de politiek. Van der Vossen: “Het moet nog door de eerste kamer, maar het plan is dat er voor bedrijven een 'meldplicht datalekken' komt.”

De mannen benadrukken tot slot nog dat cyberveiligheid geen ict-zaak is, “maar de verantwoordelijkheid van de directie van het bedrijf.” In ruil voor een visitekaartje geven ze de toehoorders een publicatie mee waar de boodschap van vanavond uitgebreid instaat.

Deel dit artikel