Beheer

Security

KPN en de kunst van het IT-beheer

2 maart 2012

Volgens howsecureismypassword.net duurt het vier dagen met een pc om dat wachtwoord te hacken. De password checker van het Safety & Security Center van Microsoft geeft het de laagste waardering: Weak. Op makemeapassword.net zien we wederom de truc die we ook bij KPN zien: we gaan van HyaluronicPapilloma, naar Hyalur- 0nicPapill0ma, naar Hyalur0nicPa|>ill0ma, naar Hy@lur0nic P@pill0m@. Dit door successievelijk getallen toe te laten, symbolen toe te laten en ook spaties toe te laten. De algoritmiek achter deze wachtwoorden staat bekend als the language of leet. Leet komt van elite en dat werd ooit gespeld als 31337 van eleet, en dat werd afgekort tot 1337. Het gaat om een heuristiek waarbij letters creatief vervangen worden door symbolen, precies zoals we dat zien bij zowel KPN als ook bij deze wachtwoordgeneratoren. Neem het woordenboek, pas die heuristiek toe en in 4 dagen ben je klaar. Geen goed idee dus om zo je wachtwoord te kiezen.

Als IT-professional weet je dat er lijsten zijn met zeer algemene wachtwoorden. Dat je met simpele algoritmes wachtwoorden kunt achterhalen. Dat er checkers zijn die de sterkte van een wachtwoord voor je wegen. Maar bovenal dat je wachtwoorden NOOIT onversleuteld mag opslaan. Daarnaast weet je dat het een race tegen de klok is met zwakheden in systemen, dus je zult keer op keer patches uit moeten voeren om hackers voor te blijven. Wacht in ieder geval niet tot het mis gaat. Naar nu blijkt zijn er wachtwoorden “bloot” opgeslagen bij Baby-dump.nl. Waar je alles tegen dumpprijzen voor je baby kunt krijgen en men dumpt ook meteen je gegevens plus wachtwoord voor hetzelfde geld. Hoe vaak moeten we dit nu herhalen? Nooit wachtwoorden ongecrypt opslaan.

Een grappenmaker heeft daar alle KPN-klanten uitgefilterd en de zaak online gezet. Heel vervelend voor die mensen, zeker omdat algemeen bekend is dat wachtwoorden vaak meerdere malen gebruikt worden. Dat jonge ouders met baby’s deze praktijk bezigen is niet handig, maar behalve zichzelf hebben ze daar verder vrijwel niemand mee. Als ik de nieuwsberichten moet geloven presteert het IT-beheer bij KPN op hetzelfde niveau. Alleen zijn de belangen een stukje groter. Men heeft naar het schijnt in een configuratiebestand het zwakke password g1rlp0w3r gevonden en dat zou op meerdere machines werken. Klinkt als een geval van baby dump, of in leet speak: 848y du/\/\|>.

Zo rommelen we van incident naar incident in plaats van structureel en integraal beleid te voeren. Men belooft beterschap, men gaat zijn best doen, security wordt topprioriteit. Ondertussen blijven de n00bs aan het roer, doet B1FF nog steeds het IT-beheer en zet de knutselsmurf nog steeds alles in elkaar. IT is geen beschermd beroep. Er is geen knetterhard IT-toezicht. Er is niet zoiets als een IT-bouwvergunning. Er zijn geen torenhoge boetes. Daardoor blijven bestuurders het niet begrijpen, laten zij IT-beheer over aan ondeskundigen en zullen IT-dienstverleners die niet capabel zijn toch de opdrachten binnenhalen. En uw identiteit belandt op straat.

Zonder drastische maatregelen gaat er niets veranderen. Er is simpelweg geen businesscase voor security. Wie is namelijk de verliezer hier? Juist: de consument. Of u uw wachtwoord even wilt wijzigen, want ja dat kan gestolen zijn, maar dat weten we niet zeker. Of u maar even wilt betalen, want u heeft in China met uw credit card afgerekend, en ja die data komt wellicht van Baby-dump.nl. E-mail van KPN, maar nu even niet.

Allemaal flauwekul die je niet meer tegenkomt bij lik-op-stukbeleid. Meteen torenhoge boetes betalen vanaf 100 euro per gelekt gegeven en per gedupeerde twee jaar monitoring van alle financiële stromen om ID-fraude zo snel als mogelijk vast te kunnen stellen. Alle gevolgschade betalen van ID-fraude. Direct bij de concurrent alternatieve service aan laten bieden. Bestuurders persoonlijk aansprakelijk stellen en andere maatregelen om al hun amateurisme uit te bannen. Kwaliteit is wat we nodig hebben, goedschiks of kwaadschiks. Beterschap beloven is niet genoeg.

Om af te sluiten een citaat van Pirsig: “Quality isn’t something you lay on top of subjects and objects like tinsel on a Christmas tree. Real Quality must be the source of the subjects and objects, the cone from which the tree must start.” Uit zijn klassieker Zen & the art of Motorcycle Maintenance, waar de titel van deze column uiteraard op gebaseerd is.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!