Tom de Mulder: ‘Een wachtwoordmanager is het beste wat je nu kunt gaan gebruiken!’

Handboek IT-securityHet boek van de maand augustus is Handboek IT-security van Tom de Mulder. Het boek biedt een overzicht en uitleg van de verschillende domeinen binnen IT-security en de gevaren die daar potentieel achter verscholen zitten. We publiceren deze maand wat voorproefjes uit het boek. Het 1ste voorproefje behandelde antivirussoftware: moet je naast Windows Defender nog extra antivirussoftware installeren? Het 2de voorproefje uit het boek: hoe worden wachtwoorden gehackt? Een bespreking van het Handboek vind je HIER. We spraken Tom via Skype en vroegen hem onder andere naar doelgroep van boek…

Tom de Mulder

Een screendump met Tom de Mulder tijdens het Skype-gesprek.

Tom de Mulder: ‘Ik werk sinds 1997 in de IT. Ik begon als programmeur, systeembeheerder en heb daarnaast ook iOS-apps ontwikkeld en nu houd ik me weer bezig met Unix-systemen. Ik heb ook cursussen en documentatie voor computers en software geschreven. Vrienden en familie vroegen me regelmatig over veiligheid van hun systemen en ik keek of er al een boek bestond over IT-beveiliging. Dat was niet het geval en toen heb ik een voorstel gedaan aan Van Duuren om er een boek over te schrijven. In plaats van dat ik het nu telkens moet uitleggen, is er nu een boek waarin het allemaal duidelijk uitgelegd staat. Ik heb vroeger een cursus sterrenkunde gegeven op de volkssterrenwacht Mira te Grimbergen. Ik gaf daar ook rondleidingen en daardoor heb ik ervaring in het uitleggen van moeilijke concepten, op een manier waarbij de ‘leek’ niet meteen in slaap valt.’

Op wie heb je je gericht tijdens het schrijven?
TdM: ‘Ik had mijn moeder daarbij in gedachten. Zij is absoluut geen computerexpert. Ze heeft een Mac en de verbinding naar het internet is ofwel door mijzelf of door mijn vrouw in orde gebracht. Mijn moeder heeft geen achtergrondkennis hoe dat werkt, maar ze wil wel veilig zijn. Het is een boek geworden voor mensen die geen technische kennis hebben van computers, maar dat is ook niet nodig. Je kunt uitleggen wat er aan de hand is; je hoeft niet alles tot in de details te weten.’

Steeds onveiliger

Op een of andere manier heb ik het gevoel dat het online allemaal steeds onveiliger wordt…
TdM: ‘Het is inderdaad onveiliger aan het worden. Elk land dat een veiligheidsdienst heeft doet aan cyber warfare, aanvallen via zwakheden in hard- en software. Eigenlijk is alle software slecht geschreven. Laten we zeggen dat het om 99,9 procent van de software gaat. Het is vrijwel onmogelijk om bug-vrije software te hebben. De Nederlandse programmeur Wietse Venema, maker van Postfix software, gaat er vanuit dat goed geschreven code één fout bevat per tienduizend regels code. Windows heeft tientallen miljoenen regels code… Kun je nagaan hoeveel serieuze fouten daar in zitten. Veel van die fouten zijn onmogelijk te vinden, tenzij er een aantal dingen samen komen. Als dit gebeurt en dat en dat gebeurt , een combinatie van fouten dan ontstaat het probleem. Heel moeilijk te vinden dus. Er is net een fout gevonden in OpenSSH, software die ongelooflijk wijdverbreid is op internet. Apparaten van het Internet of things hebben dan ook aanstaan. Die fout maakt het mogelijk om te zien welke gebruikers er op het systeem geregistreerd zijn. OpenSSH wordt gezien als een van de veiligere pakketten en dan wordt er toch nog zo’n fout ontdekt en die fout is al minstens 20 jaar actief. Alles zit vol fouten!’

Maandelijkse beveiligingsupdates

Je kunt het een beetje zien aan al die maandelijkse beveiligingsupdates van Windows, Android en Mac. Dat geeft aan hoeveel zwakheden er in die software ontdekt worden…
TdM: ‘Dat zijn alleen nog maar de zwakheden die erin ontdekt zijn. Er zitten er nog veel meer in. Vorig jaar werden er ineens zwakheden ontdekt in de microchips van de computers: Spectre en Meltdown en die zijn een heel stuk moeilijker om te repareren dan software-zwakheden. Neem deze camera die ik bij mijn computer heb. Die heeft een chip aan boord, de software voor het besturen van de camera en veelal een oude versie van Linux. Die camera valt dus niet te updaten. De camera zit niet alleen vol met bugs, maar die zijn dus niet op te lossen. Veel mensen pluggen zo’n camera gewoon in hun thuisnetwerk. Een oplossing hiervoor is heel erg moeilijk, misschien zelfs onmogelijk.’

Je zult dan misschien moeten ingrijpen in je router…
TdM: ‘Om dit soort dingen op te kunnen lossen heb je veel technische kennis nodig. Je zult bijvoorbeeld poorten in je router dicht moeten zetten en dat is iets wat ik mijn moeder nog niet zie doen. Er is nog geen oplossing die zoiets makkelijker maakt. De interfaces van een router zijn niet gemaakt voor ‘gewone’ mensen maar voor techneuten. Apple was – zeker vroeger – heel goed in het maken van heldere gebruikersinterfaces.’

De interface van de Orbi-router.

Het laatste half jaar lees je regelmatig dat je je router moet updaten, omdat er oude firmware in zit. Ik kreeg spontaan een nieuwe router van Ziggo toen ik op een Ziggo-forum iets vroeg over een sterk verouderde firmware van de router die ik van ze gebruikte!
TdM: ‘Het is waarschijnlijk goedkoper om een nieuwe router te sturen dan om een oude router te updaten. Er is voor dat soort dingen ook niets geregeld. De meeste politici zijn geen techneuten en ook niet van de generatie waarbij technologie hun ganse leven doordrenkt. Als er bijvoorbeeld voedsel vergiftigd is, dan wordt dat meteen uit de rekken gehaald, als er in de medische wereld iets mis is wordt dat ook meteen aangepakt. Als er echter op computergebied iets mis is, bestaat er niet zoiets. Er zijn wel wat initiatieven van de EU, maar nog lang niet genoeg.’

Windows Defender van Windows 10.

‘Een ander probleem is natuurlijk dat die zwakheden misbruikt worden door kwaadwillende mensen. Als je opzoek bent naar beveiliging voor je Mac kom je bijvoorbeeld MacCleaner tegen. Dat is een voorbeeld van totaal nutteloze beveiligingssoftware, maar ze verdienen er goed geld mee. En ook voor Windows zijn er talloze voorbeelden van te vinden. CCleaner is daar een voorbeeld van. 9 van de 10 van dat soort applicaties zijn volkomen nutteloos of zelfs malware die je computer gaat infecteren. Het probleem met antivirussoftware is dat het evenveel toegangsrechten nodig heeft als het besturingssysteem zelf. In plaats van virussen tegen te houden moet je schrik hebben voor je antiviruspakket. Dat heeft nu ineens volledige toegang tot je machine.’

Er zijn natuurlijk steeds meer apparaten online, ook veel oude apparaten die nooit meer een update krijgen…
TdM: ‘Zeker en er wordt ook steeds meer gezocht naar fouten in soft- en hardware en niet alleen door de juiste mensen. Er is meer geld te verdienen als black hat hacker, dan als white hat hacker. Sommige bedrijven, zoals Google en Microsoft hebben programma’s waarbij je, als je een fout in de software vindt, geld kunt krijgen als die fout door het bedrijf bevestigd wordt. De tijd die je moet spenderen om een fout te vinden in een product van een groot bedrijf als Microsoft is enorm. Je verdient dan niet erg veel geld per uur. Als je zo’n fout vindt als black hat hacker, en je kan die verkopen aan een overheid als Rusland, dan kun je daar heel veel geld voor krijgen.’

Wachtwoordmanagers en tweestapsverificatie

Veilige wachtwoorden en tweestapsverificatie zijn een goed idee als je online veilig wilt zijn. Toch denken veel mensen: ik word toch niet gehackt. Waarom zouden ze mij moeten hebben?
TdM: ‘Een wachtwoordmanager is het beste wat je nu kunt gaan gebruiken, beter zelfs dan tweestapsverificatie! Die hackers zijn er inderdaad niet op uit om mensen individueel aan te vallen. Maar… elke online identiteit heeft waarde. Als jij als individu iets post op Facebook of Twitter heeft dat veel meer waarde als het een automatische bot is die dat doet. Je identiteit heeft waarde. Denk je eens in dat er posts onder jouw naam geplaatst worden, posts die niet van jou zijn! Je wordt dus niet zelf aangevallen, maar je wordt wel gebruikt voor aanvallen. Dat is gebeurd bij de Amerikaanse verkiezingen. Valse advertenties en leugens werden op die manier kunstmatig populair gemaakt zodat ze in je tijdlijn van Facebook verschenen.’

Je zegt: een wachtwoordmanager is belangrijker dan tweestapsverificatie…
TdM: ‘Ja, want er is geen globale ondersteuning voor tweestapsverificatie. Ik zie in mijn Authenticator voor tweestapsverificatie dat ik er slechts zeven verschillende accounts in heb staan. Het belangrijkste van een wachtwoordmanager is dat ze ingewikkelde, niet te kraken wachtwoorden kunnen genereren. Dat is de functie die je moet gebruiken. Maak zo’n wachtwoord zolang mogelijk, 16 of 24 tekens. Zo’n wachtwoord is dan volstrekt willekeurig samengesteld en zal dan niet te kraken zijn. Dan moeten ze ofwel die site hacken of jou rechtstreeks in je browser om het wachtwoord te onderscheppen en dat is nog moeilijker dan er naar te raden.’

Als iemand nu wat wil veranderen aan zijn of haar beveiliging, want is volgens jou dan de eerste stap?
TdM: ‘Updates installeren! Patchen! Als je een Mac hebt, ga dan naar de AppStore en installeer zelf die updates. Bij Windows gebeurt dat voor een groot deel automatisch. Update installeren is het allerbelangrijkste wat je kunt doen. Als je echt tijd hebt om wat aan die veiligheid te gaan doen, kijk dan eens naar de verschillende internet-apparaten die je in je eigen netwerk hebt aangesloten, zoals de router, een camera of een netwerkprinter. Ga eens kijken op de site van de leverancier van die apparaten of er een firmware-update voor is. Daarmee wordt het thuisnetwerk een stuk veiliger. De apparaten die je kunt updaten: doe dat voordat ze gehackt worden!’

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.