[Dit artikel is van de hand van Kees Plas, van datacenterspecialist Terremark] Er kwamen dit jaar weer een hoop opvallende feiten naar voren in het data breach report. Er was echter een ding dat mij in het bijzonder bijbleef: 79% van alle aanvallen werd aangemerkt als “opportunistisch van aard”. Het rapport definiëren we een opportunistische aanvallen als volgt: “Het slachtoffer wordt niet specifiek als doelwit gekozen: ze worden herkend en aangevallen omdat zij een zwakte vertoonden waarvan de aanvaller misbruik kan maken.” Dat zette me aan het denken... Als cybercriminelen op internet rondstruinen en alles aanvallen wat een zwakte vertoond, dan moet het mogelijk zijn om deze opportunistische aanvallen naar een ‘honeypot’ (loksysteem voor hackers) te lokken. Hiervoor maakte ik een tamelijk simpele honeypot in de vorm van een namaak ssh-server die vastlegt welke gebruikersnamen en wachtwoorden worden gebruikt voor aanmeldingspogingen door hackers. Mijn systeem bijna onmiddellijk aangevallen en de login-pogingen bleven aan de lopende band binnenkomen. Inmiddels zijn we zes weken verder. Mijn honeypot is in deze periode is vrijwel onafgebroken in de lucht geweest. In deze periode heb ik via de SSH 63.303 wachtwoorden en gebruikersnamen verzameld. Wat deze lijst interessant maakt, is dat er sprake is van een onderscheid tussen de wachtwoorden die reguliere gebruikers en hackers hanteren. Wat mij als eerste opviel, was dat in 23,4% van de gevallen de wachtwoorden identiek waren aan de gebruikersnamen: bob/bob, alice/alice, root/root en ga zo maar door. Ik vermoed dat dit percentage hier veel hoger ligt dan bij andere netwerkservices. Als ik me niet vergis, was het bij sommige Unix-varianten zo dat bij het toevoegen van een gebruiker het wachtwoord automatisch gelijk werd gesteld aan de gebruikersnaam. Maar in plaats van een top X-lijst samenstellen van ‘slechte’ wachtwoorden, wilde ik eens analyse doen op de tekenreeks. Iedereen heeft vast wel eens te maken gehad met wachtwoord beperkingen zoals: “kies een wachtwoord dat hoofdletters en kleine letters, cijfers en/of speciale tekens bevat”. Maar hoe effectief kunnen deze beperkingen zijn? Kunnen we zien welke wachtwoorden hackers voor hun brute force-aanvallen gebruiken? En kunnen we op basis daarvan te bepalen welk type tekenreeks het best gebuikt kan worden? Plan van aanpak Als eerste identificeerde ik de vier basistekenreeksen: • Kleine letters (a-z) • Hoofdletters (A-Z) • Getallen (0-9) • Speciale tekens (!@#$ enzovoort) Vervolgens identificeerde ik de wachtwoorden en bracht ik deze onder in verschillende categorieën. Op basis hiervan maakte ik een visualisatie. Ik koos voor de vertrouwde Venn-diagram om de relatieve omvang van elke categorie weer te geven en te laten zien hoe de tekenreeksen met elkaar verband houden (elke categorie die niet van een naam is voorzien, vertegenwoordigt minder dan 1%). Veiligste optie Allereerst kijken we naar de grootte van de cirkels, maar liefst 86,7% van de wachtwoorden die hackers uitprobeerden bestonden uit kleine letters. Om brute force-aanvallen te vermijden is het dan wellicht aan te raden om een wachtwoord te gebruiken zonder kleine letters. Als we kijken naar grootte van de cirkel voor wachtwoorden met hoofdletters zien we dat deze het kleinste is van allemaal, wie zou dat gedacht hebben? Ter illustratie: het wachtwoord “password” komt met 1.125 pogingen op de tweede plaats; “Password” staat 6 in de lijst en “PASSWORD” slechts één keer (overigens verscheen “Password1” 50 keer). Maar laten we ook eens kijken naar de beste tekenreeksen. Welk type tekenreeks werd het minst door hackers uitgeprobeerd? De veiligste optie lijkt een combinatie van hoofdletters en speciale tekens. Van de in totaal 63.000 uitgeprobeerde wachtwoorden waren slechts 78 pogingen een dergelijke combinatie, gevolgd door wachtwoorden met louter hoofdletters (105 pogingen)… “PASSWORD!” heeft de lijst niet eens gehaald. Een paar opmerkingen Zoals ik in het begin aangaf, hebben deze aanmeldingspogingen betrekking op de SSH-service. We moeten deze conclusies dan ook beperken tot SSH-aanmeldingen. De woordenboeken en tactieken die hackers op een RDP-server loslaten, kunnen hier sterk van afwijken. Hetzelfde kan ook gelden voor aanvallen op sociale netwerken of pogingen om de wachtwoorden te hacken van offline lijsten. Nog een laatste waarschuwing: zelfs de sterkste tekenreeks is kansloos tegen een fenomeen zoals keyloggers (die in 41% van de in 2011 onderzochte incidenten werden gebruikt). Bovendien lijkt het gebruik van gestolen aanmeldingsgegevens een probleem te zijn voor zowel kleine als grote bedrijven. Dus laten we vooral in ons achterhoofd houden dat: het gebruik van ‘sterke’ wachtwoorden belangrijk is, maar het is een stuk moeilijker om de wachtwoorden uit de handen van de cybercriminelen te houden. [Kees Plas] Om het heel cynisch te zeggen: dankzij het internet, en in het bijzonder de sociale netwerken, heb je als het ware het eeuwige leven. Want tenzij een netwerk opgedoekt wordt (denk aan Google+), blijven al jouw postings bestaan. Ook nadat je overleden bent.
Dat heeft heel wat gevolgen. Zo heeft Facebook al een hele tijd een systeem in voege waarbij jij kan bepalen wie jouw 'executeur testamentair' zal zijn, degene die jouw account moet beheren na jouw dood. Om bijvoorbeeld een in memoriam pagina te maken, waar de mensen die om jouw overlijden treuren, hun verdriet met elkaar kunnen delen, herinneringen kunnen ophalen, en meer.
Een ander aspect is dat Facebook eigenlijk niet weet wanneer je overlijdt - en dus je vrienden ook na je dood nog uitnodigingen zal sturen om je bijvoorbeeld een felicitatie te sturen op jouw verjaardag.
Bij Wired vind je een interessant artikel over diegene die de taak van testament-uitvoerder toegewezen krijgt: hoe gaat dit in zijn werk, wat mag die persoon wel en niet, enz.
En bij The Guardian lees je meer over de inspanningen die Facebook doet om te verhinderen dat zijn Artificial Intelligence aan gebruikers gaat vertellen dat zij hun overleden vrienden eens dag moeten gaan zeggen...
|