Tag: Beveiliging

domeinnaam opheffen cybersecurity datalek phishing

Beveiliging van je website via Security Headers testen en uitvoeren

Security Headers zijn een essentieel onderdeel voor de beveiliging van je website. In ons helpdeskartikel hierover hebben we de meest recente updates doorgevoerd en in het voorbeeld aangepast.

Via Security Headers is de beveiliging van je website snel en eenvoudig verbeteren. Voorkom dat anderen schade oplopen door je website!

domeinnaam opheffen cybersecurity datalek phishing

Wat zijn Security Headers?

Security Headers zijn stukjes code die aan de internetbrowser van de bezoekers van je website vertellen om iets te doen óf na te laten. Je internetbrowser is namelijkl het meest kwetsbare punt in de communicatie tussen de website/server en de computer, telefoon of tablet van de bezoeker. De Security Headers voorkomen dat er misbruik wordt gemaakt van de browser (van de bezoeker van je website). Daar ben je als website eigenaar verantwoordelijk voor.

Testen Beveiliging van je website

Het is eenvoudig online te testen of je website wel afdoende beveiligd is tegen diverse zaken als XSS (Cross Site Scripting) exploits en veel andere manieren waarop hackers kunnen inbreken op je site. Via de website “Security Headers” kun je je website testen of deze op dit gebied wel veilig genoeg is.

De bovenstaande test laat in veel gevallen, ook wanneer mensen wel de nodige security headers hebben ingesteld, zien dat de X-Frame-opties (nog) niet goed zijn ingesteld*. De X-Frame-Options HTTP-responsheader kan worden gebruikt om aan te geven of een browser een pagina moet kunnen weergeven in een <frame>, <iframe>, <embed> of <object>. Sites kunnen dit gebruiken om clickjacking-aanvallen te voorkomen door ervoor te zorgen dat hun inhoud niet wordt ingesloten in andere sites.

Kopieëren en plakken van onderstaande code in de .htaccess van uw website zorgt voor toepassing van de meest voorkomende instellingen. Dit voorbeeld kun je voor nagenoeg alle websites toepassen. Controleer uiteraard na aanpassingen of alles nog naar behoren werkt. Wanneer je bijvoorbeeld via een <iframe> tag content van elders in je website inleest (wat je overigens absoluut niet zou moeten doen!) kan dit problemen veroorzaken.

## SECURITY ##
<ifModule mod_headers.c>
Header edit Set-Cookie ^(.*)$ "$1; HTTPOnly"
Header edit Set-Cookie ^(.*)$ "$1; Secure"
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always append X-Frame-Options "SAMEORIGIN"
Header set X-Content-Type-Options nosniff
Header always set Permissions-Policy "geolocation=(), midi=(),sync-xhr=(),accelerometer=(), gyroscope=(), magnetometer=(), camera=(), fullscreen=(self)"
</IfModule>
## EINDE SECURITY ##

Nadat u bovenstaande hebt toegepast zou het resultaat als onderstaand moeten zijn.

Security Headers scan resultaat
(Security Headers scan resultaat)

Laat u de aanpassingen liever door ons uitvoeren, neem dan contact met ons op via deze link. Vergeet svp niet om aan te geven om welke website (domeinnaam) het gaat. Voor gedetailleerde informatie zie bijvoorbeeld de website van Mozilla.

___
*) voor de website brinkhost.nl ziet u dit ook, dit wordt veroorzaakt doordat wij CloudFlare gebruiken

helpdesk en handleidingen callcenter headset Afbeelding van Clker-Free-Vector-Images via Pixabay

Nieuwe Kennisbank Helpdesk BrinkmanIT online

BrinkmanIT heeft op de website een nieuwe Kennisbank Helpdesk beschikbaar gesteld voor cliënten die gebruik maken van de webhostingdiensten van BrinkmanIT. Handleidingen voor DirectAdmin, WordPress, Email en Installatron zijn nu overzichtelijk samengevoegd op één pagina.

De online kennisbank is te vinden via de Helpdesk-pagina.

kennisbank helpdesk brinkmanit

Kennisbank Helpdesk

De artikelen in de kennisbank zijn ook te gebruiken wanneer u elders hostingdiensten afneemt waar van DirectAdmin gebruik wordt gemaakt. Hou er wel rekening mee dat bij andere webshostingbedrijven bepaalde functionaliteiten anders kunnen werken of niet beschikbaar zijn. Immers, de artikelen zijn geschreven op basis van de webhostingpakketten en diensten die wij aanbieden.

Het is de bedoeling in de toekomst deze kennisbank verder uit te breiden!

 

StStatcounter Windows7 op computers in 2022atcounter Windows7 in 2022

Nog 14% Windows7 op computers in 2022

Windows7 is inmiddels ruim 2 jaar End of Life. Toch wordt Windows7 op computers in 2022 nog steeds veel gebruikt: bijna 14% van de computers (die via internet verbonden zijn) gebruiken Windows7. Dat terwijl er ruimschoots alternatieven voorhanden zijn: Windows10, Windows11 komt er aan, Linux (Linux Mint, Ubuntu Linux) en ChromeOS.

Het gebruik van Windows7 op een computer of laptop is een enorm veiligheidsrisico. Het programma wordt al jarenlang niet meer bijgewerkt door Microsoft. Het aandeel van computers en laptops met Windows7 blijft desondanks echter hangen rond de 14%.

Statcounter Windows7 in 2022

Volgens de statistieken van Statcounter is het aandeel van andere Operating Systems maar klein. Maar sommige durven het zelfs nog aan om Windows Vista en WindowsXP te gebruiken. Al zijn dit gelukkig maar uitzonderingen.

Sinds 14 januari 2020 ontvangt Windows7 geen support meer van Microsoft, software- en beveiligingsupdates worden niet meer uitgevoerd. De computer met Windows7 blijft wel werken maar is kwetsbaard geworden voor beveiligingsrisico’s en virussen.

Heb je Windows7 nog steeds nodig? Koppel dan de computer waar het op staat af van het internet. Heb je het niet meer nodig maar wil je graag je oude hardware blijven gebruiken? Denk dan eens aan (gratis) alternatieven als Linux Mint of Ubuntu Linux.

Ondersteuning Windows7 op computers

Wij constateren dat sommige van onze cliënten, bijvoorbeeld wanneer we ondersteuning moeten bieden voor email instellingen, ook nog steeds gebruik maken van Windows7 op computers en laptops. Er wordt door ons géén ondersteuning (meer) gegeven voor problemen die daar aan gerelateerd zijn. Wij kunnen niet anders dan u zéér dringend adviseren te stoppen met het gebruik van Windows7 op computers en laptops, het is een enorm risico dat u neemt met uw eigen data en eventuele data van cliënten.

wordpress gratis open source CMS

Ninja Forms Plugin kwetsbaarheid in 1 miljoen WordPress websites

Het populaire Ninja Forms, een formulieren-plugin voor WordPress en in gebruik op meer dan een miljoen wordpress websites blijkt een ernstige kwetsbaarheid te bevatten, zo meldt het WordFence beveiligingsteam.

Ninja Forms is in gebruik bij ruim 1 miljoen WordPress websites. Deze websites zijn potentieel kwetsbaar hierdoor, wanneer niet zo spoedig mogelijk de Ninja Forms plugin bijgewerkt wordt naar de nieuwste versie. Wij hebben bij de bij ons in beheer zijnde websites direct na bekend worden van de kwetsbaarheid in de Ninja Forms Plugin websites die hier gebruik van maken van een update voorzien.

Doet u zelf het beheer en onderhoud van uw website, voer dan onmiddelijk een update uit. Vergeet niet vooraf een backup te maken!

Thuiswerken, Laptop, Wordpress

Miljoenen WordPress websites kwetsbaar sinds 2021

Rudy Brinkman - Brinkman.IT
Rudy Brinkman – Brinkman.IT

Naar schatting tot wel 45 miljoen WordPress websites zijn potentieel kwetsbaar voor aanvallers doordat plugins niet meer bijgewerkt worden in WordPress. Eigenaren van websites zijn zich hier niet van bewust omdat ze geen melding meer krijgen dat de plugin een update nodig heeft.

Het probleem wordt veroorzaakt doordat het WordPress update mechanisme ‘by design’ zo ontworpen is dat updates niet standaard geport worden naar oudere versies (dat is ondoenlijk) en ontwikkelaars van plugins vaak alleen de nieuwste versie ondersteunen.

In dit artikel de oorzaak en de mogelijk ernstige gevolgen hiervan voor veel websites, wereldwijd, die WordPress en ClassicPress gebruiken. Mogelijk ook úw website!

Wat zijn WordPress plugins?

WordPress is een populair systeem voor het beheren van je website, een “content management” programma. Oorspronkelijk begonnen als “blog software” is WordPress uitgegroeid tot een programma uitermate geschikt als CMS voor websites.

wordpress gratis open source CMSBinnen WordPress bestaat de mogelijkheid functionaliteit aan het programma toe te voegen middels stukjes extra software, “plugins”. Plugins vormen sowieso al een beveiligingsrisico. De afgelopen jaren is dit meerdere malen gebleken. Ze worden bijvoorbeeld niet meer door ontwikkelaars onderhouden (“abandoned” plugins) of ze worden doorverkocht aan kwaadaardige ontwikkelaars die zo de websites waar deze plugins gebruikt worden kunnen infecteren zonder dat de eigenaren het door hebben.

Naar nu gebleken is, is er echter een nieuw en nog véél groter probleem met plugins. Dit wordt veroorzaakt door de overgang van WordPress versie 4.9 naar versie 5. WordPress versie 5 is voorzien van Gutenberg. Gutenberg is niet alleen een wijziging in de ‘editor’ (de tekstverwerker waarmee je berichten maakt voor je website) maar grijpt ook diep in op andere onderdelen van de software. Dit blijkt alleen al uit het feit dat de code van het pakket bijna verdubbeld is door de implementatie van Gutenberg.

Wat is het probleem met WordPress plugins?

Als beta-tester van ClassicPress, gebaseerd op de WordPress 4.9-branch, constateerde ik een “tekortkoming” bij het updaten van plugins. Namelijk: dat plugins niet tonen dat er een update is zodra de plugin is gestopt met ondersteuning voor de WordPress 4.9-branch.

Normaliter wordt er in het WordPress dashboard, waar je de website beheert, namelijk een melding gedaan dat er een update beschikbaar is voor een plugin en bij de plugin zelf zie je dat ook.

wordpress-udpates-plugins

(afb. meldingen update plugins in WordPress)

Veel mensen zijn hier laks in overigens. Maar in elk geval wordt je gewaarschuwd. Zodra echter ontwikkelaars van WordPress plugins overgaan naar het ondersteunen van alleen nog maar WordPress 5+ wordt er dus géén melding meer gedaan van updates. Immers: die zijn er ook niet (meer) voor de 4.9.x en oudere versies? Je hebt daardoor effectief een “abandoned” (een “verstoten” of “weeskind”) plugin in je WordPress website.

Een bekend voorbeeld hiervan is het ontzettend populaire ContactForm7, een plugin waarmee je contactformulieren op je website kunt toevoegen. Deze ondersteund alleen nog WordPress 5.x-versies.

Ik dacht in eerste instantie dat de constatering die ik deed bij het testen het een tekortkoming in ClassicPress was. Dit bleek niet het geval te zijn!

Voor de meeste ClassicPress-gebruikers is het niet zo’n probleem want ze gebruiken veelal alternatieve plugins of plugins speciaal voor ClassicPress. Maar voor gebruikers van verouderde WordPress installaties, en die zijn er heel veel, is het een enorm probleem zonder dat ze het weten en er wordt ook helemaal niets aan gedaan door de ontwikkelaars van de plugins en WordPress zelf.

Niljoenen kwetsbare WordPress websites

Op het forum van ClassicPress deed ik hier daarom een melding over, met als gevolg dat er een interessante discussie ontstond hierover want eerder was het ook gezien als potentieel probleem ‘voor de toekomst’ en nog niets aan gedaan. Eén van de deelnemers heeft het vervolgens ook gemeld op de WordPress Slack. De respons er op was nogal lauw.”I see no reason to backport it” geeft overduidelijk aan dat men het gevaar van dit probleem totaal niet ziet en ernstig onderschat.

wordpress security issue plugins

(afbeelding wp slack)

Binnen de ClassicPress community is het meteen opgepakt en is sinds ClassicPress versie 1.3 een plugin, gemaakt door een ClassicPress gebruiker, opgenomen in de core installatie. Deze plugin waarschuwt wanneer gebruik wordt gemaakt van verouderde, niet meer ondersteunde, plugins.

Oudere versies van WordPress worden nog steeds actief aangeboden (via WordPress) en WordPress wordt gebruikt op meer dan 42% van alle websites wereldwijd. In totaal, volgens Google, 455 miljoen websites gebruiken WordPress. Daarvan is meer dan 10% een versie <5.x (bron).

Dat betekent dat er zo’n 45 miljoen websites op oude, 4.x of nog oudere, versies van WordPress draaien. Deze websites ontvangen géén updates meer van plugins die zijn overgegaan naar WordPress 5.x en dit vormt daarmee een ernstig beveiligingsprobleem. Een probleem dat “by design” voorkomt in WordPress. Zoals één van de mensen op de WordPress slack zegt: “none of the current WordPress versions expect that, they only expect to recieve updates compatible with that particular WP version”.

Een oplossing zou kunnen zijn dat de WordPress ontwikkelaars een notificatie zouden geven als “deze plugin is verouderd en wordt niet meer bijgewerkt”. Maar helaas krijg je de handjes niet op elkaar voor zo’n kleine fix. Die echter wel héél belangrijk zou kunnen zijn.

Het is niet de vraag óf maar wannéér er een kwetsbaarheid wordt ontdekt in een dergelijke verouderde plugin en daar opeens (grootschalig) misbruik van gemaakt wordt. Zoals bijvoorbeeld de bekende kwetsbaarheden in ContactForm 7. De makers van ContactForm7 hebben direct een update gemaakt. Maar,.. níet voor de oudere versies die nog volop in omloop zijn. En dat is precies de kern van het probleem!

Hoe los je het probleem met WordPress op?

Uiteraard is het bekend dat je een website moet onderhouden en regelmatig van updates moet voorzien. En als je zelf geen tijd, kennis of kunde hiervan of -voor hebt dan kun je het uitbesteden natuurlijk. Maar anderzijds is er soms geen andere mogelijkheid dan oudere versies van WordPress te gebruiken wegens bijvoorbeeld maatwerk-oplossingen die nog niet beschikbaar zijn voor een nieuwe WordPress versie.

Daarnaast wordt er voor WordPress 4.8.x en 4.9.x nog steeds onderhoud gedaan door Automattic, de makers van WordPress, en updates en patches voor uitgebracht. Als een software product nog steeds ondersteund wordt is het, mijns inziens, dan ook van het grootste belang dat Automattic er voor zorgt dat de gebruikers geattendeerd worden op potentiële security problemen!

Vooralsnog ligt de bal bij u. Controleer regelmatig of u nog wel de laatste WordPress versie gebruikt, of de plugins up to date zijn (en vertrouw daarbij bij WordPress-versies kleiner dan versie 5 niet op de meldingen in het dashboard) en zorg dat ze bijgewerkt zijn en blijven.

Natuurlijk is de beste oplossing: zorg dat uw WordPress-versie up-to-date is en blijft.

beveiligen website ssl plugins wordpress hacks

Maakt verbergen van WordPress website veiliger?

wordpress gratis open source CMSAll in One SEO en sommige beveiligingsprogramma’s bevelen aan om te verbergen dat je voor je website WordPress (of Joomla of een ander CMS) gebruikt. Verbergen van WordPress wordt als een goede beveiliging gezien want: “zo weten hackers niet wat je gebruikt”. Maar maakt verbergen van WordPress je website veilliger?

Er zijn daarom speciale plugins beschikbaar voor het verbergen van je WordPress software. Zoals WP Hide & Security Enhancer. De makers zeggen over hun plugin het volgende:

The easy way to completely hide your WordPress core files, login page, theme and plugins paths from being show on front side. This is a huge improvement over Site Security, no one will know you actually run a WordPress. Provide a simple way to clean up html by removing all WordPress fingerprints.

Maakt verbergen van WordPress je website veiliger?

Wordt je website veiliger door het installeren van een dergelijke plugin? Het antwoord moet zijn: Nee. Dat zal veel mensen wellicht verbazen. Daarnaast maakt het je WordPress website mogelijk ook instabiel. Hoe zit dat?

Ongerichte aanvallen
De meeste aanvallen van hackers zijn niet gericht. Ze “schieten met hagel”. De aanvallen gaan namelijk nagenoeg altijd grotendeels geautomatiseerd via zogeheten bots of scripts. Dus welk bot of script ook op je site probeert in te breken het zal gewoon proberen bekende kwetsbare URL’s te raken, in de hoop dat je site een van de getroffen versies van een kwetsbare plug-in of WordPress versie gebruikt. Ze weten niet echt of de plug-in er is. U zult in uw logbestanden dan ook waarschijnlijk (kwetsbare) URL’s zien voor CMS’s die u ook niet gebruikt. Zoals exploiteerbare URL’s voor Joomla, Drupal, en andere.

Zo zien wij regelmatig op websites waar helemaal geen Joomla op staat geïnstalleerd scans voor een openstaande “administrator”-link. En andersom zien we scans op Joomla sites pogingen brute-force aanvallen te doen op een eventueel aanwezige WordPress installatatie. Pas zodra zo’n script een link aantreft zal eventueel de mens er achter in aktie komen.

Als iemand wil zien welke plug-ins je hebt, zijn erg genoeg manieren om dat te doen. Het verbergen van uw login, plugins of WordPress-versie wordt daarom niet langer echt als een beveiligingsoplossing beschouwd.

In de praktijk werkt het niet
In de praktijk hebben we vastgesteld dat het simpelweg niet werkt. Bij websites waar de WordPress inlog is ‘verstopt’ zien we dat binnen de kortste keren deze inlogpagina toch (weer) gevonden wordt.

Risico’s van het verbergen

1. Het wijzigen van WordPress-URL’s brengt het risico met zich mee dat de functionaliteit van WordPress-thema’s en plug-ins wordt gebroken. De functies van WordPress JavaScript XMLHttpRequest-object (AJAX) worden bijvoorbeeld geactiveerd via admin-ajax.php die zich in de map wp-admin bevindt.

2. Het wijzigen van de URL geeft ons een veiliger gevoel, maar het maakt de site niet echt veiliger. Het is wat veel beveiligingsexperts ‘security through obscurity’ noemen. Het is alsof je de voordeur van je huis verplaatst om jezelf te beschermen tegen inbraak… Elke doorgewinterde dief gaat gewoon op zoek naar een andere deur of ramen om binnen te komen. Elke aanvaller zal hierop anticiperen en ook andere manieren zoeken om binnen te komen.

3. Meer dan de helft van alle inlogpogingen die worden gedaan op WordPress-sites worden gedaan via xmlrpc.php. Dit was jaren geleden al zo, dat is nog steeds zo. Die worden niet gestopt door uw beheerders-URL te wijzigen.

Wat is wel een goede beveiliging?

Een goede beveiliging is een plugin als Wordfence of All-in-One WP Security. Ze hebben beide hun voor- en nadelen. Beide ondersteunen de Google reCaptcha, Wordfence tevens 2FA-beveiliging. Eén opmerking willen we wel maken over All-in-One WP Security: gebruik nooit de optie voor het hernoemen van de database prefix. Wij hebben diverse websites daardoor down zien gaan.

Boven alles is beveiliging een zaak van de software regelmatig backuppen en updaten. Een website die niet up to date is, is een kwetsbare website. Ook als deze “verstopt” is!

Verstoppertje spelen op internet heeft geen zin. Natuurlijk kunt u een plugin die dit aanbiedt gebruiken maar we hebben diverse tests uitgevoerd en het is gebleken zinloos.

Blokkeren aanvallen XMLRPC

Als u aanvallen op de xmlrpc.php wilt blokkeren in Wordfence, kunt u dit doen in de Wordfence-plug-in op de pagina Login Security > Settings. Raadpleeg de waarschuwing voordat u dit doet. Als u sommige functies van Jetpack of posten op afstand met de WordPress-app gebruikt, kunt u XMLRPC niet blokkeren.

Wordfence xmlrpc.php beveiliging

Als u de wp-admin- of wp-login-URL’s wijzigt, verliest u ook het zicht op wie probeert in te loggen op uw site en wanneer ze dit doen, omdat beveiligingsprogramma’s niet op zoek zijn naar logins op een willekeurige URL die iemand heeft verzonnen… daarmee ondergraaft u dus de functionaliteit van bijvoorbeeld WordFence. All-in-One WP Security biedt in de plugin ook features voor “hernoemen” van de WP-admin. Wanneer dat vanuit de plugin gedaan wordt breek je de beveiliging wellicht niet, maar zoals gezegd héél erg zinvol is dat niet. Soms zelfs juist niet. Omdat andere software er over kan struikelen.

Natuurlijk kan het áltijd voorkomen dat er een menselijke hacker het specifiek op uw website heeft voorzien. In een dergelijk geval zou ‘security trough obscurity’ de aanval kunnen vertragen. Maar uitsluiten? Nee, absoluut niet.

 

 

Zaken onder het vloerkleed vegen. Datalekken niet verzwijgen

Datalekken: hoe schadelijk of gevaarlijk is dat?

Rudy Brinkman - Brinkman.IT
Rudy Brinkman – Brinkman.IT

GGD, Global Marketing Bridge, AlleKabels, Autobedrijven (RDC, een bedrijf dat autogarages ICT-diensten aanbiedt), Booking.com, Expedia, Hotels.com, bol.com, EasyJet, bouwbedrijf Heijmans. Datalekken zijn aan de orde van de dag.

Keer op keer worden duizenden tot zelfs miljoenen gegevens zoals email adressen, wachtwoorden, financiële gegevens inclusief bankrekeningnummers en vermogen alsmede ID-kaarten en BSN-nummers gelekt. Of gestolen. Is uitsluiten van een datalek mogelijk?

Hoe veilig zijn je privé gegevens nog in deze digitale wereld? Wat kun je doen om te voorkomen dat je privé gegevens gestolen of gelekt worden? Hoe gevaarlijk is al dat lekken van data en stelen van je gegevens door criminelen? En, wat zijn de gevolgen van een datalek voor je bedrijf en hoe voorkom je dat?

Voorbeelden recente datalekken

Bouwbedrijf mailt per ongeluk adressen en inkomens van woningzoekers rond
https://www.nu.nl/tech/6127712/bouwbedrijf-mailt-per-ongeluk-adressen-en-inkomens-van-woningzoekers-rond.html

Datalek bij telemarketingbedrijf Global Marketing Bridge
https://radar.avrotros.nl/uitzendingen/gemist/item/datalek-bij-telemarketingbedrijf-global-marketing-bridge-zegt-iets-over-bedrijfscultuur-radar-checkt/

Groot datalek bij autobedrijven
https://radar.avrotros.nl/nieuws/item/groot-datalek-bij-autobedrijven-criminelen-maken-miljoenen-gegevens-buit/

Datalek bij GGD: gegevens van miljoenen Nederlanders in criminele handen
https://www.volkskrant.nl/nieuws-achtergrond/datalek-bij-ggd-gegevens-van-miljoenen-nederlanders-in-criminele-handen~b7f17bea/

Meer artikelen over recente datalekken bij TROS Radar
https://radar.avrotros.nl/zoeken/#/&sort=datetime:desc&page=1&layout=list&q=datalek

Hoe gevaarlijk is het lekken van data?

Wanneer data ‘gelekt’ of gestolen wordt gaan deze gegevens meestal vrij snel zwerven in het criminele circuit. Dit betekent dat mensen met onzuivere bedoelingen gegevens gestolen bij bijvoorbeeld een webwinkel, zoals een gebruikersnaam met wachtwoord, gaan gebruiken om bijvoorbeeld op uw naam bestellingen uit te voeren. Aangezien er dan vaak een ander afleveradres opgegeven wordt (in de praktijk iets wat bij bol.com e.a. bijvoorbeeld vaak voorkomt) zijn de facturen die hier uit voortkomen niet rechtsgeldig.

Het is aan de webwinkel of leverancier om te bewijzen dat u het ook daadwerkelijk hebt besteld. Het geeft echter wel een hoop narigheid voor zowel de verzender van de goederen als de persoon die als “besteller” staat vermeld!

Het wordt erger wanneer er ook identificerende gegevens zoals een ID-kaart, BSN-nummer zichtbaar, of andere gegevens worden gestolen of gelekt waarmee mensen identiteitsfraude kunnen gaan plegen. Dit kan enorme consqeunties hebben.

Het lek bij de GGD bijvoorbeeld, waar ook BSN en adresgegevens zijn buitgemaakt, is ernstiger. Hoewel het een en ander gedownplayed wordt is het zeker niet ondenkbaar dat met een valse ID-kaart (wie ziet of een kopie van een ID-kaart wel of niet geldig is?) met juist BSN er op fraude gepleegd kan worden. Er wordt gesteld “De kans op identiteitsfraude met alleen het BSN is zoals aangegeven klein.”. Maar dus zeker niet uigesloten! Wie dat gelooft onderschat de kennis en kunde aanwezig in het criminele circuit alsmede het wijdvertakte netwerk waar zij gebruik van kunnen maken. Immers, zo ontstond dit lek ook?

Het Juridisch loket heeft de nodige informatie over wat u kunt doen als u slachtoffer van identiteitsfraude bent geworden.

Hoe voorkom je dat gegevens gelekt of gestolen worden?

Bij heel veel webwinkels is het mogelijk een bestelling te plaatsen zónder een account aan te maken. Persoonlijk kies ik daar áltijd voor als het mogelijk is. Zorg ook, en ik ben niet de eerste die dat zegt, dat je gebruik maakt van verschillende wachtwoorden voor elke website waar je een account aanmaakt. Dat vinden veel mensen lastig want “ik kan al die wachtwoorden niet onthouden”. Dat moet je dan ook niet doen, daar zijn hulpmiddelen voor zie: https://veiliginternetten.nl/themes/situatie/ik-kan-mijn-wachtwoord-niet-onthouden/

  • Gebruik, wanneer mogelijk, 2FA of tweestapsverificatie. Zie: Leer (van de hack) van Fred van Leer.
  • Gebruik alleen websites die veilig zijn. Die herken je aan het ‘slotje’ op een site. Dat zegt echter niet alles. Het slotje laat zien dat data tussen je computer en de website veilig over en weer gaan. Maar dat zegt niets over de persoon of organisatie achter de site.

Ik heb in het verleden meegemaakt dat een bedrijf alles keurig op orde had: SSL-certificaat, alle protocollen op orde, email beveiligd. Maar één dingetje waren ze vergeten: alle gebruikersnamen en wachtwoorden stonden open en bloot, in leesbaar format, in een tekstbestandje op de webserver. Gewoon leesbaar en te benaderen als je via Google er op zocht.. Ook al doe je zelf alles helemaal veilig, dan nog ben je afhankelijk van derden: de personen of bedrijven die je gegevens beheren. Verzeker je er zo goed mogelijk van dat zij dit veilig doen en controleer bijvoorbeeld hun privacy protocol.

Wat te doen als je bedrijf getroffen wordt door een datalek?

Helemaal uitsluiten van een datalek is onmogelijk, de blunder van de medewerker van bouwbedrijf Heijmans maakt dat maar weer eens duidelijk. Een menselijke fout kan altijd gebeuren! Voor een bedrijf is het echter een verschrikking: in het nieuws komen met een groot datalek. Maar hoe ga je daar mee om?

Zaken onder het vloerkleed vegen. Datalekken niet verzwijgenAls eerste dient er direct een melding te worden gemaakt bij de AP (Autoriteit Persoonsgegevens) en dienen alle betrokkenen geïnformeerd te worden. Dit laatste wordt vaak verzuimd.

AlleKabels laat bijvoorbeeld op 16 april jl. in een email aan haar klanten weten:

“Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack door cybercriminelen [..] Alleen de wachtwoorden van klanten die zich voor 1 september 2018 geregistreerd hebben, kunnen worden gekraakt. Voor u is het belangrijk te weten dat dit ook om uw gegevens gaat. [..] Om de belangen van u als klant maximaal te beschermen heeft Allekabels besloten om onmiddellijk de wachtwoorden van deze klanten te wissen. Dat geldt dus ook voor uw wachtwoord.”

Pas nádat de pers melding doet over het datalek neemt het bedrijf, acht maanden(!) later, actie richting de cliënten en downplayed de gevolgen ook nog eens door te melden dat het om “een minderheid” van de klanten gaat (waar wij één van waren). Ze maken hier mijns inziens twee fouten:

  • Het wissen van de wachtwoorden van de klanten heeft alléén gevolgen voor het inloggen op het systeem van het bedrijf zelf. De klant is hier absoluut niet mee geholpen;
  • Doordat de email een algemene mail is, weet de klant niet om welk email adres het gaat dat mogelijk misbruikt is (onvolledige informatie). Zeker wanneer klanten vaak dezelfde email/wachtwoord combinatie gebruiken is het mogelijk dat er ook bij andere webshops ingebroken kan worden met deze gegevens. Dit is een relevant, maar ontbrekend, gegeven voor de klant!

Ik schrijf hier niet over om AlleKabels in discrediet te brengen maar omdat zij het zelf zo melden in een algemene mail aan hun klanten.

Een bedrijf dient goed en volledig te informeren. De AP is hier helder over: “Zijn de risico’s van een datalek hoog? Dan moet u de betrokken personen zo snel mogelijk informeren. Het belangrijkste doel hiervan is dat mensen begrijpen wat er met hun persoonsgegevens is gebeurd. En begrijpen wat zij kunnen doen om zichzelf te beschermen.”

De eerste reactie van de veroorzaker(s) van een datalek is vaak: “hush-hush, niet over praten, snel onder het vloerkleed”. Dat is een absoluut verkeerde insteek. Het ’toverwoord’ is: informeren. Open, eerlijk en zo snel mogelijk! Informeer de AP, de betrokkenen. Ook als het niet verplicht is betrokkenen te informeren.

Voor ondernemers heeft de KvK een informatieve pagina over de AVG en datalekken.

Hoe is onze beveiliging geregeld?

Zoals gezegd: voorkomen van een datalek is nagenoeg onmogelijk. Net als inbraak op een systeem. Criminelen moet je absoluut niet onderschatten. Niemand kan 100% garanderen dat een systeem veilig is.

  • Om diefstal van gegegevens te voorkomen, slaan wij de inloggegevens van klanten niet op in een database. Ook niet off-line;
  • we maken gebruik van een SSL verbinding met de website
  • inlogverificatie op servers, toegang via beveiligde verbinding (SSL). 2FA is beschikbaar voor klanten
  •  geen ‘root’ toegang via internet op onze shared hosting servers
  • geen ssh-toegang voor cliënten en derden
  • Firewall op alle servers
  • Gebruik van Malware- en Virusscanners.

Tot slot testen en controleren we regelmatig onze servers en gebruiken zelf 2FA verificatie. Zie voor meer informatie ons Privacy Protocol.

Leer (van de hack) van Fred van Leer

Wat kun je leren van de gelekte seksvideo’s van Fred van Leer (en de hack van de verkiezingssite van Donald Trump)? Op basis van de informatie die inmiddels bekend is geworden kunnen een aantal leerpunten en belangrijke beveiligingsaanbevelingen worden gedaan.

Foto Film Video Mobiele telefoon mage by Gerd Altmann from Pixabay

Fred van Leer is niet de eerste bekende Nederlander die dit overkomt, en daarnaast zijn er nog talloze andere onbekende Nederlanders het slachtoffer van dit soort ellende.

1. Hou privé wat privé is

Een telefoon is geen foto- of videocamera. Dat klinkt gek immers: met een telefoon kun je filmen en foto’s maken? Maar wat ik bedoel is dit: volgens informatie die gisteren bekend werd is de video van van Leer in eerste instantie gelekt via zijn eigen instagram-account. Kennelijk bevond de gewraakte video zich dus op zijn telefoon.

De reden dat zoiets kan gebeuren is deze: wanneer iemand inbreekt op of via je Instagram, iCloud of Google account (en vele andere apps van diensten die je gebruikt op je telefoon) kan die persoon effectief toegang tot je telefoon krijgen. Immers: deze apps hebben om te functioneren toegang tot (de data van) je telefoon! Wie denkt dat ik nu echt onzin verkoop zou eens moeten kijken naar deze berichten op TheHackerNews, Checkpoint en Opgelicht van AvroTros (waarschuwing politie).

In either case, the attack could lead to a massive invasion of users’ privacy and could affect reputations — or lead to security risks that are even more serious (TheHackerNews).

Wat je dus opslaat (foto, film, data) op je telefoon is daarmee potentieel beschikbaar voor een eventuele inbreker. Die kan dat vervolgens simpelweg stelen, je er mee chanteren, de gegevens misbruiken en/of het publiceren. Er zijn ook speciale spionage-programma’s hiervoor in omloop (waar uiteraard geen link naar gemaakt wordt, want: illegaal).

Q – A hacker got into my phone and saw all my info and they found me through Instagram. Is it possible to hack into a phone if all you have is their Instagram?
A – If you have uploaded photos from your phone to your Instagram account, which most people have, then yes. (Quora)

De éérste, belangrijke, les is dan ook: hou privé wat privé is. Sla, als je dingen privé wilt houden, dit niet op op je telefoon. Foto’s, Filmpjes, maar ook andere belangrijjke data, die niet in handen mogen komen van derden horen niet op een dergelijk kwetsbaar, vaak slecht beveiligd, apparaat. En al helemaal niet “in de cloud” (waar het vaak automatisch wordt opgeslagen door Apple en Google). Weet jij waar dergelijke data over tien jaar (nog) rondzweeft?

Let wel: het is dus niet de beveiliging van het apparaat zelf wat hier het issue is maar de toegang die je verleent tot het apparaat middels te zwak beveiligde apps en eigen onvoorzichtigheid!

2. Gebruik goede beveiliging voor je Social Media

Beveilig je social media accounts daarom maximaal. Ja, dat ís soms wat hinderlijk in gebruikt. Maar wat is hinderlijker? Dat je data op straat ligt of af en toe een verificatie-code invoeren of scannen?

Voorbeeld van hoe kwetsbaar sommigen zijn: heel veel mensen gebruiken hun Facebook-login ook voor allerlei andere diensten (media, webwinkels). Achterhaalt iemand je inloggegevens van je facebook-account dan heeft zo’n persoon, daar op ingelogd, ook toegang tot allerlei andere gegevens van je – inclusief eventueel financiële gegevens.

Instagram, Facebook en vele andere diensten bieden allemaal tweestaps-verificatie. Gebruik die!

tweestapsverificatie facebook beveiliging sociale media

Het instellen van deze verificatie op Facebook is eenvoudig. Gebruik deze link: https://www.facebook.com/settings?tab=security

tweestapsverificatie instagramOok in Instagram kun je eenvoudig tweestaps-verificatie aanzetten. Er zijn meer dan voldoende handleidingen online te vinden die uitleggen hoe je dit kunt doen.

En vergeet uiteraard niet het ook in te stellen voor uw Google account (want: Playstore, Youtube, Gmail, Google Drive etc hangen allemaal achter dat éne wachtwoordje!). Google heeft onder andere hier een handleiding geplaatst.

Dit is, nogmaals, absoluut noodzakelijk om je privé data (dus niet alleen dat filmpje of die foto die je in een dolle bui een keer hebt gemaakt) te beschermen. Helaas is deze beveiliging binnen apps als Instagram en sites als Facebook nog steeds optioneel en vinden veel mensen het “teveel gedoe”. Maar nogmaals, bedenk hoeveel “gedoe” je kunt krijgen als je vertrouwelijke snapshots, videos of andere data op straat ligt?

3. Ik heb niks te verbergen?

Het aloude “ik heb niets te verbergen” gaat niet op. Mobiele apparaten, met name telefoons (die je nog nauwelijks een ‘telefoon’ kunt noemen) en alle koppelingen die daarmee gelegd kunnen worden, zijn een enorm risico. Ook als je “niets te verbergen” hebt. Denk immers maar aan je app voor bankieren, de inloggevens voor je website of online shops etc.

Rudy Brinkman - Brinkman.IT
Rudy Brinkman – Brinkman.IT

Privacy voert terug naar wat ons mens maakt en gaat daardoor vooraf aan het belang dat we al dan niet aan privacy hechten. (De Correspondent)

Zeker 15% van de Nederlanders heeft wel eens te maken gehad met inbreuk op de privacy. Inbreuk op privacy is een inbreuk op je ‘eigen ik’. Denk bijvoorbeeld aan ‘sexting’ wat veel jongeren overkomt.

Fred van Leer, Patricia Paay en vele andere bekende, maar ook talloze onbekende, mensen hebben dat op een verschrikkelijke manier moeten ervaren. Laat het u niet overkomen!

Donald Trump Image by Gerd Altmann from Pixabay

You’re Fired! Campagnewebsite Donald Trump gehackt

Campagnewebsite Donald Trump gehackt en gegijzeld afgelopen dinsdag. Hoe kon deze hack gebeuren? Hoe had deze hack voorkomen kunnen worden?

Na de hack van het Twitter-account van President Donald Trump was het afgelopen dinsdag de beurt aan de campagnewebsite van de President Donald Trump. De website was door hackers ‘gedefaced’ en achter een ‘betaalmuur’ gezet. De hackers wilden losgeld voor het ongedaan maken van de gijzeling. Hoe kon deze hack gebeuren?

website donald trump gehackt
(screenshot gehackte website DonaldJTrump.com)

“Deze website is in beslag genomen”, kregen mensen die op de categorie events klikten korte tijd te lezen. “De wereld heeft genoeg van het nepnieuws dat dagelijks door president Donald J. Trump wordt verspreid.” (Leeuwarder Courant).

Makkelijke wachtwoorden

Het Twitter-account van Trump was inmiddels al twee keer gehackt. Beide keren bleek dat Donald Trump (te) makkelijke wachtwoorden had gebruikt. De eerste keer was zijn wachtwoord ‘yourefired’ en bij de laatste, meest recente, hack (door een Nederlandse ethische hacker uitgevoerd) bleek zijn wachtwoord (maga2020!) wederom erg eenvoudig te achterhalen.

Hack campagnewebsite

Donald Trump Image by Gerd Altmann from Pixabay
Donald Trump Image by Gerd Altmann from Pixabay

De hack van de campagnewebsite moet volgens de onderzoekers van beveiligingsplugin Wordfence ook in dat licht worden gezien.

Ondanks gebruik van een hoog aangeschreven commercieel CMS systeem waarvan bekend is dat er niet of nauwelijks kwetsbaarheden in zitten en CloudFlare als CDN werd de website gehackt. Volgens WordFence kan uit hun onderzoek er maar één reden zijn waarom de campagnewebsite is gehackt: onvoldoende beveiligd. Er kan volgens hen alleen ingebroken zijn doordat er geen 2-factor authenticatie is gebruikt.

Een website van dergelijke importantie hoort eenvoudigweg 2-factor authenticatie te gebruiken. Dit is relatief eenvoudig te regelen. Gebruik je voor je website WordPress dan kun je zelfs met de gratis versie met Wordfence via de optie “Login Security” en een app als “Google Authenticator” er voor zorgen dat je website “dubbel beveiligd” is en niemand op die relatief eenvoudige manier kan inbreken.

Beveiliging installeren

Een dergelijke hack had dus voorkomen kunnen worden. Ook uw website is relatief eenvoudig te beveiligen voor dit soort inbraak, infecties met malware en andere hacks. Wij raden dan ook aan om een dergelijke beveiliging te gebruiken bij onze hostingproducten. Hebt u een WordPress website en ondersteuning nodig voor het installeren van de beveiliging, neem dan contact op met ons.

Voor een snel herstel van een website, na een inbraak, is tevens een actuele backup noodzakelijk. Lees hier hoe je in WordPress gratis een dagelijkse backup kunt instellen. Duidelijk is dat het campagneteam van Trump dit wel goed geregeld had: de website was vrij snel weer hersteld.

 

Wijziging geldigheidsduur SSL Certificaten

De levensduur (=geldigheid) van commerciële SSL certificaten is maximaal 2 jaar. Dit wordt gewijzigd; de duur wordt ingekort tot maximaal één jaar. De gratis ssl-certificaten van Let’s Encrypt, geldig voor een periode van 90 dagen, worden automatisch vernieuwd en niet gewijzigd.

De “commerciële” certificaten, dat zijn certificaten met een hogere dekking en veiligheidsgraad dan de gratis SSL’s van Let’s Encrypt, worden niet automatisch verlengd en ook handmatig door ons, of door cliënten zelf, geïnstalleerd. Van één van onze leveranciers kregen wij het volgende bericht over de SSL-certificaten:

Per 1 september 2020 wordt de levensduur van SSL-certificaten wereldwijd ingekort naar maximaal 398 dagen. U kunt vanaf deze datum enkel nog 1 jarige SSL-certificaten bestellen. [..] SSL-certificaat aanvragen tot 1 september 2020 kunnen nog voor 2 jaar worden uitgegeven.

Bestaande en vóór 1 september aangevraagde certificaten die een levensduur van 2 jaar hebben worden dus niet ingetrokken maar kunnen na verval niet weer voor een periode van twee jaar worden verlengd.