+31 35 543 1000 info@kza.nl

Zelfs op vakantie kun je nieuwe dingen leren

aug 22, 2018 | KZA Blogs

Begin juli ben ik vertrokken naar Nice, Frankrijk voor een vakantie van twee weken. Daar verbleef ik bij een goeie vriend van me die in Grasse woont, in de buurt van Nice. Hij is daar werkzaam als IT-er bij een groot parfum conglomeraat en kent zo de fijne kneepjes van het vak. Op een van de dagen liet hij me zien hoe eenvoudig het is om iemand zijn (of je eigen) opgeslagen wachtwoorden te achterhalen. Hiervoor heb je wel toegang tot desbetreffende computer nodig). Het verbaasde mij hoe makkelijk dit is! Voor sommige mensen is dit common knowledge, maar dat was het in ieder geval niet voor mij. Een goede aanleiding om ook anderen op het risico hiervan te wijzen.

Stel, je werkt voor een bedrijf waar ze van oudsher werken met OptiPlex werkstations en het bedrijf heeft hier recent de nieuwste lijn van aangeschaft. Tot een maand geleden werkte alles nog perfect, echter hoor en merk je dat steeds meer van deze units problemen hebben met RAM-capaciteit. Door jouw achtergrond als IT’er en je onfeilbare loyaliteit vraagt de directie jou om hier een verklaring voor te vinden. Je komt er al snel achter dat bij alle units die klachten hebben RAM-modules ontbreken. Je vermoedt dat een medewerker de RAM-modules heeft verwijderd en meegenomen en, nog waarschijnlijker, zelfs doorverkoopt. Tijdens de lunch heb je weleens van een medewerker gehoord dat hij actief is op Tweakers en dat hij daar (oude) onderdelen verkoopt. Je besluit eens te kijken wat zijn reactie is als je met hem praat over de vertraging van de OptiPlexen. In eerste instantie reageert hij net als elke ander collega, maar op het moment dat je zegt het vermoeden te hebben dat een RAM is verwijderd, wordt hij ineens kortaf en breekt het gesprek af. Reden genoeg om eens te onderzoeken hoe het met zijn Tweakersaccount staat. Je wacht tot hij naar de wc gaat (gelukkig vergrendelt hij zijn pc niet) en gaat er eens goed voor zitten:

Stap 1: Ga in de browser naar de site toe en kijk of er een account automatisch is ingevuld. Op het moment dat dit het geval is, doe een rechtermuisklik op het wachtwoordveld en klik op inspecteren. Vervolgens kom je in de HTML-code terecht bij het desbetreffende veld.

Stap 2: Verwijder [type=”password”] en druk op enter.

Stap 3: Door bovenstaande acties uit te voeren is het wachtwoord in platte tekst zichtbaar geworden. Nu kun je op een later tijdstipinloggen vanaf een andere locatie en rustig zijn account bekijken.

Ik geef toe, mijn scenario is misschien wat onwaarschijnlijk en zal veel eerder worden gebruikt om iets negatiefs te doen dan om een kleptomaan binnen een bedrijf te ontmaskeren. Wat deze actie illustreert is hoe simpel het is om toegang te krijgen tot persoonlijke accounts als je even je laptop (of pc) onbeheerd en onvergrendeld achterlaat én gebruik maakt van de handige ‘wachtwoord onthouden’-functionaliteit. Met slechts een met kleine verandering in de HTML van een site kan iemand toegang krijgen tot bijvoorbeeld Gmail of Outlook accounts, social media accounts of andere gevoelige accounts.

Dan komt nu de morele vraag:.‘Zou het goed zijn als iedereen deze kennis bezit?’ Aan de ene kant, als mensen op de hoogte zijn van hoe simpel dit eigenlijk is dan zullen ze zich wel bedenken voordat ze hun computer onbeheerd of onvergrendeld achterlaten. Dit zal misschien zorgen voor minder account hacks en dus minder problemen en schandalen in de wereld. Verder zullen er meer mensen gaan nadenken over de voor- en nadelen die bepaalde functionaliteit biedt en dus ook misbruikt kan worden. Aan de ander kant kan het er natuurlijk ook voor zorgen dat meer mensen dit gaan proberen voor minder nobele doeleinden, met de daarbij komende problemen. Daarnaast kan het ook zorgen voor een hoop paranoia. Mensen die vrienden en familie niet eens meer durven te vertrouwen als ze vragen, “mag ik even wat opzoeken op je computer?” of iets in die trend.

Toch ben ik in dit geval liever een optimist. Dus wapen de grote groep ‘gewone’ mensen tegen de kleine groep kwaadwillende door uit te leggen waarom het zo belangrijk is een computer nooit onvergrendeld achter te laten. Wat denk jij?

Mocht je hier vragen over hebben of hier eens over door willen praten? Email ons dan zeker op: Security@kza.nl