Hoe snel voldoet de organisatie waar jij voor werkt aan een verzoek van een klant om een overzicht van alle persoonsgegevens die van hem of haar zijn opgeslagen? Wordt ook gecontroleerd of degene die de gegevens opvraagt ook echt degene is waarvan de gegevens zijn?
Hackers kunnen volgens veiligheidsonderzoeker James Pavur van de Oxford University dankzij de Europese privacywet heel eenvoudig aan persoonsgegevens komen. Pavur ontdekte tijdens een test dat hij zonder problemen de gegevens van iemand anders kon opvragen.
Bedrijven zijn op basis van de AVG verplicht om op verzoek in detail aan te geven welke gegevens zij van een gebruiker hebben opgeslagen.
Er wordt echter niet precies aangegeven hoe de bedrijven moeten controleren of de gebruiker de gegevens zelf of iemand anders met kwade bedoelingen opvraagt. Pavur probeerde uit of hij de gegevens van zijn vriendin – met haar toestemming – van de bedrijven kon krijgen zonder dat hij een identiteitskaart hoefde te tonen.
Het resultaat is schrikbarend: Pavur stuurde 150 onderzoeken om informatie op basis van de AVG.
In 72 procent van alle gevallen kreeg hij het antwoord dat de bedrijven daadwerkelijk gegevens opslaan.
In 24 procent van de gevallen sturen de bedrijven eenvoudigweg alle opgeslagen bestanden met gegevens zoals geboortedata, adressen of betalingsgegevens.
Nog eens 16 procent vroeg alleen om gemakkelijk te onderzoeken informatie, zoals de geboortedatum of creditcardnummers, die Pavur al van de eerste 24 procent van de verstrekkers had gekregen.
De conclusie van Pavur: “Bedrijven staan vaak onder druk om de Algemene Verordening Gegevensbescherming na te leven en snel te reageren op vragen. De aanvragen om inzage in persoonsgegevens worden vaak afgehandeld door bedrijfsjuristen of hun helpers en niet door veiligheidsdeskundigen, die misschien meer achterdochtig zijn.”
De Duitse stroomnetwerkbeheerder Innogy heeft in Essen een trainingscentrum geopend waar eigen medewerkers en van energieleveranciers worden getraind hoe ze aanvallen van hackers op het elektriciteitsnet kunnen afwenden.
Het belang van het trainingscentrum werd in 2018 duidelijk toen energiebedrijf RWE, dat net als Innogy ook actief is in Nederland, doelwit was van een cyberaanval. Bij een geschil over de bruinkoolwinning in het Hambachwoud, vlakbij de Nederlandse grens bij Limburg, werd de website van RWE platgelegd.
Deskundigen zeggen dat energienetten een aantrekkelijk doelwit zijn voor terroristen.
In het trainingscentrum worden praktijksituaties nagebootst met rollenspellen. Twee teams strijden tegen elkaar. Het ene team vertegenwoordigt de werknemers, het andere team kruipt in de huid van hackers.
Uit angst voor pedofielen kopen veel ouders tegenwoordig een GPS-horloge voor hun kinderen. Zo kunnen ze hun kroost overal volgen. Maar de kinderlokkers waar ze de kinderen juist voor willen beschermen kunnen dat ook. Het hacken van zo’n smartwatch met GPS-tracker en microfoon blijkt namelijk een fluitje van een cent.
De software van veel merken relatief goedkope kinderhorloges kan volgens de Britse ethical hackers Ken Munro en Alan Monie van Pen Test Partners heel eenvoudig op afstand worden gekraakt. Veel producenten maken gebruik van dezelfde standaard software.
De app waarmee de locatie van de kinderhorloges op smartphones kan worden uitgelezen is volgens de ethical hackers van Pen Test Partners zo slecht geprogrammeerd dat het voor een hacker een klein kunstje is om in te breken op het online account waarmee de smartwatch in verbinding staat.
Veel ouders hebben een gerust gevoel als ze op ieder moment van de dag weten waar hun kind is. De smartwatch voor kinderen maakt dat mogelijk. Het is eigenlijk een nieuw soort mobiele babyfoon waarmee je niet alleen de kinderkamer live kunt meeluisteren, maar overal waar het kind zich bevindt. Zonder dat de omgeving het weet.
Volgens de Algemene Verordening Gegevensbescherming (AVG) mag dat niet, maar het gebeurt wel. Als er kinderen met zo‘n smartwatch in de buurt zijn weet je nu dus dat je moet oppassen waar je over praat. Big papa en big mama are watching you…
Maar wat mama en papa kunnen, kan een kinderlokker ook. En dan wordt die smartphone een modern paard van Troje. De kindersmartphone kan een nachtmerrie worden.
Kwaadwillenden kunnen kinderen met zo’n horloge dankzij de GPS-tracker ook volgen. Ze weten ook exact waar de kinderen zich bevinden. En via de ingebouwde microfoon kunnen ze dus de kinderen en hun omgeving live afluisteren. Dat is handig als je de rollen omdraait.
Kinderlokkers weten zo dus ook of kinderen alleen zijn. Als ze een kind langer volgen kunnen ze gedragspatronen registreren. Ze kennen de routes waarlangs kinderen dagelijks lopen en fietsen. Waar ze spelen.
En ze weten dat mama en papa kunnen zien waar hun kind is en ook kunnen meeluisteren. Als ze het kind dus willen ontvoeren weten ze dat ze het horloge meteen af moeten doen en weggooien. En dan is het ‘veilige’ kind meteen van de radar van mama en papa verdwenen. Misschien hebben ze nog net de laatste woorden van hun zoontje of dochtertje kunnen horen… Horror! Je moet er niet aan denken.
Ach, zo‘n vaart zal het niet lopen, denken sommige mensen nu. Maar volgens Pen Test Partners is het naief om zo te denken. Helemaal als je zoals deze professionele ethical hackers weet hoe cybercriminelen dagelijks dankbaar misbruik maken van de fouten van slordige slechte programmeurs.
De verbinding die de smartwatch en de app voor smartphones maken met het internet blijkt tot afgrijzen van de ethical hackers onversleuteld te zijn. „Geen encryptie – wat is dit, de jaren negentig?“
Vrijwel alle gegevens worden in platte tekst verstuurd. Iedereen heeft daardoor toegang tot de gegevens.
Het hacken van een ‘slimme’ kinderhorloge blijkt bijzonder eenvoudig. Het gebruikers-ID-nummer kan eenvoudig onderschept worden. Een hacker die een smartwatch voor kinderen koopt kan aan de hand van de inloggegevens van die ene smartwatch inbreken in miljoenen andere smartwatches.
De hacker hoeft enkel te analyseren hoe zijn gekochte smartwatch verbinding maakt met de cloudomgeving. Nadat de onversleutelde communicatie tussen de smartwatch, de app en de backendserver in de cloud met standaard hackersoftware onderschept is hoeft de hacker alleen het ID-nummer te wijzigen om vervolgens toegang te krijgen tot de foto, de verblijfplaats en andere gegevens van een willekeurig kind van dat ID.
Als er miljoenen smartwatches zijn is de kans klein dat ze net die van jouw kind er uitpikken… denken sommige mensen nu. Verkeerd gedacht. Het is heel simpel om kinderen in een bepaalde omgeving te traceren. Kinderlokkers kunnen de smartwatch voor kinderen eenvoudig gebruiken als een soort buienradar voor kinderen. Een online catalogus voor pedofielen.
Ethical hacker Monro van Pen Test Partners zegt dat hij met een eenvoudig zelfgeprogrammeerd C#-programma automatisch de accounts van 12.000 MiSafe horloges had kunnen bekijken en ook een foto van elk kind kon downloaden, plus hun naam, andere persoonlijke gegevens, evenals het telefoonnummer van de ouders en van het horloge zelf.
Munro vertelde de BBC dat een pedofiel met behulp van gemakkelijk verkrijgbare software zich kan voordoen als een van ouders van het kind en rechtstreeks kan communiceren.
“Zodra een hacker het telefoonnummer van de ouder heeft achterhaald kan hij zich voordoen als papa of mama. Hij kan rechtstreeks contact opnemen met het kind en het overtuigen het huis of de speelplaats te verlaten en naar een bepaalde locatie te gaan. Het kind denkt dat papa of mama het zegt en zal de opdracht klakkeloos uitvoeren.”
Pen Test Partners zegt geprobeerd te hebben om met de fabrikant van de MiSafe Kids Watch Plus in contact te komen. Dat is niet gelukt. Het is volgens Pen Test Partners onwaarschijnlijk dat er ooit een beveiligingsupdate voor de kinderhorloges zal komen.
De fabrikant kwam in februari ook al in opspraak vanwege een datalek bij populaire babyfoons.
De kindersmartwatches zijn in Noorwegen inmiddels verboden. De Britse consumentenbond pleit ook voor een verbod.
Advies van de ethical hackers aan ouders die zo’n smartwatch voor hun kinderen hebben gekocht: verwijder de app van je smartphone en vernietig de smartwatch met een hamer of een baksteen.
Vijf procent van de Nederlandse jongeren van 12 tot en met 18 jaar heeft weleens zonder toestemming in een computer of netwerk ingebroken. 12% heeft dit nog nooit gedaan, maar denkt wel dat ze het kunnen. Dat blijkt uit onderzoek van Veiliginternetten.nl.
Jongeren vinden hacken spannend. 80% van de jongeren associeert hacken met criminaliteit. Ze weten dat het niet mag. Toch geeft bijna de helft van de jongeren die nog nooit gehackt hebben aan dit wel eens te willen proberen.
Positieve keerzijde fascinatie voor hacken
De fascinatie van jongeren voor hacken heeft een positieve keerzijde. Er groeit een generatie op die beseft wat de risico’s zijn om slachtoffer te worden van cybercriminaliteit. Bovendien weten deze jongeren ook hoe eenvoudig het is om te hacken. Een kind kan het immers zichzelf leren.
Veiliginternetten.nl ziet nog een tweede positieve bijkomstigheid. Hoe mooi zou het zijn als een groot aantal van deze jongeren een opleiding tot cyberssecurityspecialist zou volgen?
Vacature ethical hacker
Er is nu al een tekort aan privacyspecialisten. Bedrijven kunnen moeilijk goed geschoolde gemotiveerde ICT-ers en privacymanagers vinden. Er is grote vraag naar ethical hackers.
Om hackende jongeren te laten zien dat zij met hackvaardigheden juist op een positieve, niet strafbare manier kunnen bijdragen aan onze samenleving, heeft Veiliginternetten.nl twee video’s gemaakt met de oproep: Hacktalent? Doe er iets goeds mee.
Jongeren bezitten uniek talent
“We willen jongeren laten zien dat zij een uniek talent bezitten. Door dit talent op de goede manier in te zetten en te ontwikkelen kunnen zij onze samenleving helpen minder kwetsbaar te worden voor cybercriminaliteit. Daar ligt ook een rol voor ouders en docenten. We hebben om die reden twee video’s ontwikkeld die daar een bijdrage aan kunnen leveren,” zegt Marjolijn Bonthuis, adjunct-directeur van ECP | Platform voor de InformatieSamenleving en een van de initiatiefnemers van Veiliginternetten.nl.
Jongeren vinden hacken crimineel, maar ook slim (27%), spannend (25%) en interessant (24%).
Jongens vinden hacken spannender dan meisjes
Jongens associëren hacken significant vaker met interessant en spannend dan meisjes. “Het is daarom belangrijk dat ouders en docenten met jongeren in gesprek gaan over hacken. Over de mogelijke consequenties voor de toekomst van hacken zonder toestemming, maar juist ook over hoe zij met dit talent organisaties kunnen helpen kwetsbaarheden in hun systemen op te sporen en op te lossen. Er is een groot tekort aan deze skills. Meer inzicht in en aandacht voor jongeren met kennis, ervaring of nieuwsgierigheid naar technologie en ICT is broodnodig.”
Denken versus doen
Een op de vijf Nederlandse jongeren heeft naar eigen zeggen wel eens gehackt.
De groep die aangeeft te kunnen hacken is in veel gevallen twee of drie keer groter. Zo is 3% van de jongeren zonder toestemming het schoolsysteem binnengedrongen en nog eens 12% zegt het niet gedaan te hebben maar wel te kunnen.
5% is wel eens een e-mailaccount binnengedrongen zonder toestemming en 21% geeft aan het te kunnen.
14% is wel eens in een mobiele telefoon binnengedrongen, 21% kan het.
De belangrijkste redenen om daadwerkelijk te hacken zijn het voor de lol proberen of het lukt (40%), nieuwsgierigheid naar gegevens van anderen (32%), testen hoe goed iemands systeem beveiligd is (21%) en anderen laten zien dat het lukt, bijvoorbeeld vrienden of andere hackers (15%).
Jongeren gevraagd als ethical hacker
Bijna een kwart van de hackende jongeren geeft aan dat zij hacken omdat de eigenaar van het (computer)systeem dat vroeg.
“Volgens acht op de tien jongeren is hacken altijd strafbaar. Ondanks dit gegeven, lijkt de wens te kijken hoe ver ze kunnen komen, nieuwsgierigheid naar wat ze zullen aantreffen, of het idee toch niet gepakt te kunnen worden, groter, voegt Marjolijn Bonthuis toe.”
Hacktalent? Doe er iets goeds mee
Met deze oproep vraagt een groot aantal partijen aandacht voor jonge hackers en hun talent. Dit zijn Veiliginternetten.nl, ECP, het Openbaar Ministerie, de Nationale Politie, Hack Talk, Zerocopter, dcypher, Hack in the Class en Meldknop.nl. Deze partijen hebben meegewerkt aan de totstandkoming van de video’s. Bekijk de video’s.
Safer Internet Days
Om aandacht te vragen voor veilig internetgebruik door jongeren wereldwijd vinden ieder jaar de Safer Internet Days plaats. In Nederland gebruiken we deze dagen om aandacht te vragen voor online veiligheid en digitale vaardigheden van kinderen en jongeren. De eerstvolgende editie van de Safer Internet Days start op dinsdag 5 februari 2019. Kijk voor meer informatie op www.saferinternetcentre.nl/saferinternetday/.
De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) zoekt via een advertorial op de nieuwssite Nu.nl mensen die cyberspion willen worden. Als je wordt aangenomen mag je thuis niet over je werk vertellen.
“Ben jij ict’er en wil je meewerken in een wereld waar elke dag nieuwe bedreigingen op de loer liggen? Kijk dan snel op werkenvoornederland.nl/security. Of neem direct contact op met mivd@mindef.nl voor meer info over het werk van de MIVD”, staat er aan het eind van het uitgebreide wervende commerciele verhaal van de MIVD.
De MIVD-advertorial luidt als volgt:
Cyberaanvallen voorkomen, hackers onschadelijk maken en de veiligheid van Nederlandse militairen in het buitenland vergroten.
De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) analyseert dreigingen en verzamelt inlichtingen, zodat Nederland niet voor akelige verrassingen komt te staan.
Begin oktober maakte het Ministerie van Defensie en de MIVD bekend dat zij in april 2018 een Russische hackoperatie op chemische-wapenwaakhond OPCW in Den Haag hebben verijdeld.
Hoe hebben zij dit gedaan?
Het inlichtingenproces is zeer nauw verweven met ict. Talloze ict-experts werken samen in de digitale jacht naar cyberspionnen uit het buitenland die een bedreiging vormen voor Defensie en defensiebedrijven.
Goedkoop en anoniem
Hacken is goedkoop en – mits goed uitgevoerd – anoniem. Het is populair onder landen die op het gebied van geopolitiek een machtspositie willen verwerven.
Daarom is de MIVD continu bezig het deze hackers zo moeilijk mogelijk te maken en waar mogelijk te ontmaskeren: zo werd de identiteit van de vier Russische spionnen van de hack op OPCW door de MIVD onthuld.
Afluisteren, inbreken en kraken
Om dreigingen goed te kunnen onderzoeken, hebben de MIVD’ers bevoegdheden die hun collega’s in het bedrijfsleven niet hebben.
Denk bijvoorbeeld aan afluistertaps plaatsen, op afstand inbreken op laptops van hackers en malware kraken.
Wat precies wel en niet mag, staat omschreven in de Wet op de Inlichtingen- en Veiligheidsdiensten.
Wie werken er bij de MIVD?
Wie de digitale jagers en ict’ers van de MIVD zijn?
Het zijn doorzetters, creatievelingen die hun weg weten te vinden op de digitale snelweg en eindeloos kunnen puzzelen en hun hersenen laten kraken.
Ze werken met geavanceerde technologie, bijvoorbeeld als het gaat om cloudoplossingen, wereldwijde netwerken, big data-analyse, of cryptografische producten.
Daarnaast analyseren en visualiseren ze dagelijks grote hoeveelheden unieke data om zo verbanden te kunnen leggen tussen verschillende zaken.
Wereld veiliger maken
Het is ook belangrijk dat MIVD’ers goed hun mond kunnen houden. Want thuis inhoudelijk over je werk vertellen zit er niet in. Dit komt omdat zij met gevoelige informatie werken om zo samen de wereld veiliger te maken.