Hoe makkelijk is hacken? – Keynote op #samboict

Ik ben vandaag te gast bij het Zadkine voor de 37ste saMBO-ICT conferentie. Op vrijdag start Rickey Gevers deze met de keynote “Hoe makkelijk is hacken?”. Actueel gezien de recente DDOS aanvallen op banken, al dan niet door Jelle S. Rickey geeft aan dat hij misschien bij ons op school zat en in ieder geval de volgende Jelle nu al in onze scholen rondloopt. Rickey zijn achtergrond ligt in pentesting, digital forensics, malware analysis, incident response en is developer.

Volgens hem zijn cyberaanvallen ‘heel eenvoudig’ te voorkomen door 2 problemen op te lossen: mensen en techniek. Dus zolang mensen fouten maken in gedrag en in het ontwerp van de techniek, blijf je werk houden. 😉

Een voorbeeld hiervan is onze keus in wachtwoorden: we besteden er het liefst zo weinig mogelijke mentale energie aan, we geven ze volgnummers en vervangen karakters op voorspelbare manier. Zijn advies, paradoxaal, is dan ook er ‘niet te ingewikkeld over na te denken’, zie hieronder. De gelekte LinkedIn wachtwoorden database is vaak z’n startpunt voor onderzoek, een goudmijn tot op de dag van vandaag. Sinds 2012 blijkt nu de helft nog hetzelfde te zijn.

Advies voor de Jelles in onze school: het lijkt leuk maar kijk even naar dit voorbeeld.

Gewetensvraag van Ricky aan ons: is de aanval op banken door een 18-jarige een zware misdaad of zijn banken eigenlijk veel te kwetsbaar? Nergens blijkt uit dat dit een geavanceerde aanval is, het volume van de aanval was natuurlijk wel hoog. Hier is wel discussie over maar anders moeten banken gewoon toegeven dat ze af en toe een uurtje platliggen.

Zijn advies:

  • Gebruik extra beveiliging, two-factor authentication.
  • Zo lang mogelijke wachtwoorden: gebruik een zin ipv één woord of term. Het is makkelijk te onthouden en moeilijk te raden.
  • Update Update Update
  • Backup Backup Backup
  • Segmenteer je netwerk, geen hergebruik dus.

Er gaat een dag komen DAT je gehackt wordt, dus ga er niet vanuit dat je dat niet overkomt. Bereid je er op voor hoe je de schade beperkt en de kans ervan verkleint. Indirect illustreerde het voorbeeld van Jelle ook dat “We hoeven als school niet zo veilig te zijn als een bank” roepen niet handig is. Aangezien de bancaire diensten met een kleine inspanning verstoord kunnen worden. Hoe erg vindt je het als een student even ontevreden is en dit botviert met een DDOS aanval?

Vragen uit de zaal:

  • Is SMS als extra beveiliging nog wel goed? SMS code onderscheppen is niet makkelijk, dus de kans dat je ‘gericht aangevallen’ wordt is heel klein. Voor de doorsnee mens althans, lijkt me. Voor sleutelfiguren is SMS niet meer voldoende voor 2FA vind ik.
  • Over de nieuwe privacy-wetgeving: dat bedrijven niet ongebreideld alles mogen verzamelen is natuurlijk goed. Camera’s overal in het straatbeeld lijkt hem onomkeerbaar.