Als ik in een krant of ergens anders een boektitel tegen kom, dan voeg ik schrijver en de titel toe op mijn WIKI. Als ik dan weer eens in de bibliotheek ben kan ik het lijstje raadplegen: welke boeken ga ik mee nemen? Zo heb ik ook een keer Maria Genova met het boek "Komt een vrouw bij de h@cker" genoteerd. Ik vermoed dat dit boek een keer genoemd is in de Ingenieur of in het Technisch Weekblad. Niet elk boek wat ik zoek is beschikbaar (soms in een andere bibliotheek, die kan ik later altijd nog reserveren) of helemaal niet. Maar ik had mazzel: dit boek is er wel! Meegenomen dus en doorgelezen.
Maria zegt dat ze de titel zelf bedacht heeft (ze liep rond met het idee om een hacker haar pc te laten hacken om te zien of dat makkelijk gaat (of niet) en wat er met de informatie die daarop staat (en waarvan je zelf denkt: dat is "onschuldige" informatie), wat een hacker daarmee kan doen. Natuurlijk is het zo dat juist doordat Kluun zo'n succesvol boek had met de titel "Komt een vrouw bij de dokter", je wel meteen zelf die associatie maakt. Dat boek moet ik ook nog een keer lezen trouwens.
Voor de mensen die denken: nu krijgen we een overzicht van trucjes hoe we kunnen hacken: nee. Het boek geeft uitleg hoe gegevens (die je voor een groot deel zelf deelt of met een bepaalde partij gedeeld hebt) in verkeerde handen kunnen komen en hoe ze vervolgens misbruikt kunnen worden. Schokkend om te lezen hoe mensen op jouw naam spullen kunnen bestellen, door het in bezit krijgen van een kopie van je identiteitsbewijs aankopen op jouw naam kunnen uitvoeren en hoe de politie daar eigenlijk niets aan kan of wil doen. De eerste druk van het boek is van 2014, dus hopelijk kan de politie er "iets" meer prioriteit aan geven.
Zoals timmermannen soms in een huis wonen, waarbij de rotte kozijnen bijna naar buiten vallen, bij tuinmannen het zo is dat ze prachtige tuinen inrichten, maar waar thuis de brandnetels het tuinpad overwoekeren, zo is het bij IT-ers ook wel eens zo dat ze op "de zaak" goed hun werk doen, maar thuis hun beveiliging een zootje is.
Door het boek van Maria ben ik gaan nadenken over "waar ik een kopie van mijn ID-bewijs mee gedeeld heb". Dat gebeurt niet zo vaak, de mensen die naar het buitenland naar vakantie gaan, zullen waarschijnlijk net als ik de ervaring hebben dat bij het hotel redelijk vaak een foto-kopie gemaakt wordt. Dus eigenlijk moet je zelf al een kopie maken en die aan het hotel geven. Dan kun je al een paar veiligheidsmaatregelen doorvoeren: schrijf op de kopie "dat het een kopie is", schrijf erop "datum + voor wie" en streep je burgerservicenummer door (ook in de lange cijferreeks onderaan). Zie de tips van de overheid: link.
Als je een app voor beleggen op je mobiel zet en je daar inschrijft wordt ook een ID-bewijs gevraagd. Ik vraag me nu af of ik die veiligheidsmaatregelen wel doorgevoerd heb... en mogelijk wel, maar gaf de ene app terug dat de invoer ongeldig was en heb ik toen mogelijk wel een "ongecensureerde" versie ingediend?
Als je een ID bewijs inscant en doorstuurt, verwijder deze dan weer van je pc. Anders kan iemand die op je pc binnen dringt deze misbruiken. Maar dat gaat dus ook over de ontvangende partij. Ik kan me voorstellen dat iemand mijn ID-bewijs nodig heeft om te valideren of ik die rekening mag/kan openen. Maar als die goedkeuring er is, dan moet het document verwijderd worden.
Ik denk dat dit ook steeds meer de kant is die een "developer" op gaat. "Vroeger" was de focus gericht op het mooi/werkend maken van je (web-) applicatie. Een upload van een bestand was een grijze knop, wilde je er de boel wat "fancy" uit laten zien, dan moest je zelf met javascript en toolkits aan de slag. Browsers ondersteunen nu veel meer, dus daar hoeft minder aandacht aan besteed te worden. Daarna kwamen zaken als "SQL injection". Je vangt je input niet goed af? Boem: "ze" zijn binnen. Hoewel dat nog steeds actueel is, zijn nu vooral de datasets interessant. Als ergens ID-bewijzen geĆ¼pload worden, dan moeten ze ook ergens opgeslagen worden. Dat is interessant voor hackers. En als "ze" dan binnen zijn, dan is dat natuurlijk een groot probleem, maar als je in ieder geval zorgt dat ID-bewijzen die er langer dan 2 weken staan "automatisch verwijderd" worden, dan scheelt dat met de impact: alleen de ID bewijzen van de laatste 2 weken "gehackt" of die van de laatste 10 jaar...
Wij, developers, moeten dus niet alleen nadenken over "hoe krijg ik iets werkend" maar ook "hoe zit het met security, moeten we ook zaken weer opruimen"?
In het boek van Maria noemt ze ook nog dat haar eigen website via een plugin gehackt was en ze via-via iemand het heeft laten fixen. Dat vind ik dan wel weer frappant. In theorie kun je niemand online vertrouwen. Degene die zegt "mister X" te zijn kan voor hetzelfde geldt "bad guy A" zijn. Aan iemand die ik niet ken ga ik niet via mail mijn FTP-credentials voor een website doorgeven. Ik heb ooit wat voor een oud collega wat gefixt, maar hij wist wie ik was en wat hij aan mij heeft.
Ook de Kamer van Koophandel wordt genoemd. Heb je een bedrijf, dan moet je jezelf daar inschrijven. En is je adres openbaar. Waar iemand anders dan weer misbruik van kan maken.
Moraal van het verhaal? Deel zo weinig mogelijk. Ik heb een tijd geleden mijn geboortedatum op Facebook al verborgen ( niemand die me meer feliciteert, dan zie je wie je echte vrienden zijn ;) ). Als je wat deelt denk altijd na: "als iemand die ik niet ken dit leest, kan hij/zij hier misbruik van maken?". Want hoewel het een private bericht of chat is, als er ergens een datalek is en het bericht wordt toch publiekelijk inzichtelijk, dan heb je mogelijk een probleem.
Zelf ben ik nog een beetje van de "oude stempel". Dus ik krijg nog steeds mijn bankafschriften op papier. En als ik ze krijg bekijk ik alles, ik heb online zaken kunnen checken, maar valideer zo nog een keer dat er toch niet toevallig een onbekend bedrag tussen staat. Want met die ene goedkeuring van 1 cent kan er een hele hoop shit ontstaan. Zeg eens eerlijk: als jij niet die afschriften op papier krijgt, controleer jij al je af- en bijschrijvingen of check je alleen zo nu en dan je saldo en zou zo'n soort overboeking er tussendoor kunnen glippen?
Dan nog even wat handige linkjes:
Identiteitsfraude, de pagina's van de rijksoverheid: link.
Expertisecentrum van de marechaussee: link.
Natuurlijk de bekende fraudehelpdesk: link.
Zit je in de shit? -> slachtofferhulp: link.
opgeletopinternet.nl -> is in 2017 opgeheven.
En het leuke filmpje wat Maria deelde: link. Promo-filmpje waarin mensen denken dat ze naar een "medium" gaan die op TV een serie gaat maken, maar ondertussen zijn hackers bezig om de gegevens bij elkaar te zoeken.
Lijkt me een gescript filmpje, want die klikkende toetsenbord-aanslagen hoor je natuurlijk dwars door dat gordijn wat er voor hangt. Maar goed, de boodschap is wel duidelijk. Gooide je vroeger soms nog overschriften door een brievenbus bij de bank en had je mogelijk te maken met "brievenbus-hengelaars", boefjes die deze enveloppen eruit hengelden en rekeningnummers aanpasten, op dit moment met je online internetbankieren kan iedereen je te grazen nemen: die hacker in Siberiƫ, die nerd in China, maar ook die vervelende buurjongen die op jouw open WIFI zit...
Voor de volledigheid ook nog even een link naar de eigen site van Maria Genova: mariagenova.nl
En ik zie dat redelijk recent de site datalekt.nl aangemaakt is: een kaartje met dataleks vanaf 2016: link.