Test

Dit is een popup

Beveiligingsfouten en naaktfoto’s: dit was 2014 in security

Van Heartbleed tot Poodle, van de Fappening tot de Snappening: het was een jaar vol creatieve namen voor serieuze problemen. Dit was het belangrijkste securitynieuws van 2014.

2014 was allereerst het jaar van de grootschalige gegevensdiefstallen. Van grote retailketens als het Amerikaanse Target tot lokale websites als 9Lives en van onbenullige apps als Yo tot grootheden als Dropbox, Yahoo en Gmail: het leek wel alsof onze gegevens nergens veilig waren.

Dat hebben ook een groot aantal gebruikers van de populaire fotochat-app Snapchat geweten, toen het beeldmateriaal uit minstens 200.000 accounts buitgemaakt en online gepost werd – beeldmateriaal dat, volgens de eigen gebruiksvoorwaarden van Snapchat, meteen na verzenden vernietigd had moeten worden.

[related_article id=”161920″]

Ook (vrouwelijke) beroemdheden kregen het hard te verduren toen een hackerscollectief het nodig vond om (vermoedelijk) via kwetsbaarheden in verschillende online opslagdiensten, waaronder Apples iCloud, en via individueel gekraakte accounts een berg naaktfoto"s uit hun private online cloudaccounts te stelen. De discussie over waar de gestolen informatie nu precies vandaan kwam barstte in alle hevigheid los en ontaardde al snel in een potje van wat in het Engels zo elegant the blame game genoemd wordt. Het hele debacle bracht wel het debat rond de veiligheid van privé-cloudopslag en de verantwoordelijkheid van de pers weer op gang, al waren de slachtoffers van de hack daar natuurlijk weinig mee geholpen.

Structurele problemen

De grootste veiligheidskleppers van het afgelopen jaar waren echter heel wat invloedrijker en schokkender dan een aantal gehackte accounts en gestolen foto"s. Heartbleed, Poodle en Shellshock brachten problemen aan het licht met de beveiliging van een aantal fundamentele software- en webprocessen, en raakten ongeziene hoeveelheden gebruikers en websites. Voor de serieuze SSL-zwakte Heartbleed werd een patch uitgebracht, al werd die niet per se snel genoeg overal geïnstalleerd, maar Poodle en Shellshock blijven hardnekkiger.

Om te ontsnappen aan Poodle moeten websites en webplatformen de overstap maken van het verouderde en nu ook lekke SSL naar modernere beveiligingssystemen, en dat is niet zo eenvoudig. Onder andere Mozilla en Google zorgden er naar aanleiding van Poodle wel voor dat hun browsers het protocol niet langer ondersteunen.

Ook van Shellshock, de zware kwetsbaarheid in de Bash-shell van Unix-systemen, hebben we het einde nog niet gezien. Zowel Apple als verschillende versies van Linux hebben al patches uitgebracht, maar omdat het hier gaat om een zwaar ingebakken fout, die zich al twintig jaar in het systeem bevindt en die ook nog eens zeer eenvoudig uit te buiten is, is het een huzarenstukje om op korte tijd een oplossing te vinden voor elk mogelijk misbruikscenario. De gevolgen van Shellshock zullen dan ook nog geruime tijd nazinderen.

De soap rond Sony

De vreemdste security-saga van het jaar is op dit moment echter nog volop aan de gang. Een hack bij Sony Pictures, waarbij een grote hoeveelheid data (van nog niet verschenen films tot persoonlijke gegevens en mailverkeer van werknemers) werd buitgemaakt, werd opgeëist door een hackerscollectief met de naam Guardians of Peace. Al snel deden geruchten de ronde dat Noord-Korea achter de aanval zat en dat het ware doel van de aanval het buitmaken van een nog niet verschenen komedie over een moordaanslag op de Noord-Koreaanse leider Kim Jong-Un was, The Interview.

Toen de hackers uiteindelijk inderdaad eisten dat de film nooit in de zalen zou verschijnen en dreigden met fysiek geweld tegen alle filmgangers, was het hek helemaal van de dam. Sony gaf toe, en Noord-Korea blijft ontkennen dat het iets met de aanval te maken had – maar keurt hem moreel wel goed, omdat de film “een terroristische daad” is. Ondertussen hebben de Amerikaanse veiligheidsdiensten de aanval wél tot Koreaanse servers herleid, en beloofde het beschuldigde land zijn volledige medewerking aan het onderzoek – tenminste, ze dreigen met “zware gevolgen” als de VS hen niet bij het onderzoek betrekt.

Ondertussen werd het filmfragment uit The Interview waarin Kim Jong-Un opgeblazen wordt door de hackers toch naar buiten gebracht, omdat het als bijlage aan een van de vele gelekte e-mails van Sony-werknemers bevestigd was. Foutje, vermoeden we. Geen soapschrijver die het zo gek had kunnen bedenken…

Dat belooft veel voor 2015.

2014 was allereerst het jaar van de grootschalige gegevensdiefstallen. Van grote retailketens als het Amerikaanse Target tot lokale websites als 9Lives en van onbenullige apps als Yo tot grootheden als Dropbox, Yahoo en Gmail: het leek wel alsof onze gegevens nergens veilig waren.

Dat hebben ook een groot aantal gebruikers van de populaire fotochat-app Snapchat geweten, toen het beeldmateriaal uit minstens 200.000 accounts buitgemaakt en online gepost werd – beeldmateriaal dat, volgens de eigen gebruiksvoorwaarden van Snapchat, meteen na verzenden vernietigd had moeten worden.

[related_article id=”161920″]

Ook (vrouwelijke) beroemdheden kregen het hard te verduren toen een hackerscollectief het nodig vond om (vermoedelijk) via kwetsbaarheden in verschillende online opslagdiensten, waaronder Apples iCloud, en via individueel gekraakte accounts een berg naaktfoto"s uit hun private online cloudaccounts te stelen. De discussie over waar de gestolen informatie nu precies vandaan kwam barstte in alle hevigheid los en ontaardde al snel in een potje van wat in het Engels zo elegant the blame game genoemd wordt. Het hele debacle bracht wel het debat rond de veiligheid van privé-cloudopslag en de verantwoordelijkheid van de pers weer op gang, al waren de slachtoffers van de hack daar natuurlijk weinig mee geholpen.

Structurele problemen

De grootste veiligheidskleppers van het afgelopen jaar waren echter heel wat invloedrijker en schokkender dan een aantal gehackte accounts en gestolen foto"s. Heartbleed, Poodle en Shellshock brachten problemen aan het licht met de beveiliging van een aantal fundamentele software- en webprocessen, en raakten ongeziene hoeveelheden gebruikers en websites. Voor de serieuze SSL-zwakte Heartbleed werd een patch uitgebracht, al werd die niet per se snel genoeg overal geïnstalleerd, maar Poodle en Shellshock blijven hardnekkiger.

Om te ontsnappen aan Poodle moeten websites en webplatformen de overstap maken van het verouderde en nu ook lekke SSL naar modernere beveiligingssystemen, en dat is niet zo eenvoudig. Onder andere Mozilla en Google zorgden er naar aanleiding van Poodle wel voor dat hun browsers het protocol niet langer ondersteunen.

Ook van Shellshock, de zware kwetsbaarheid in de Bash-shell van Unix-systemen, hebben we het einde nog niet gezien. Zowel Apple als verschillende versies van Linux hebben al patches uitgebracht, maar omdat het hier gaat om een zwaar ingebakken fout, die zich al twintig jaar in het systeem bevindt en die ook nog eens zeer eenvoudig uit te buiten is, is het een huzarenstukje om op korte tijd een oplossing te vinden voor elk mogelijk misbruikscenario. De gevolgen van Shellshock zullen dan ook nog geruime tijd nazinderen.

De soap rond Sony

De vreemdste security-saga van het jaar is op dit moment echter nog volop aan de gang. Een hack bij Sony Pictures, waarbij een grote hoeveelheid data (van nog niet verschenen films tot persoonlijke gegevens en mailverkeer van werknemers) werd buitgemaakt, werd opgeëist door een hackerscollectief met de naam Guardians of Peace. Al snel deden geruchten de ronde dat Noord-Korea achter de aanval zat en dat het ware doel van de aanval het buitmaken van een nog niet verschenen komedie over een moordaanslag op de Noord-Koreaanse leider Kim Jong-Un was, The Interview.

Toen de hackers uiteindelijk inderdaad eisten dat de film nooit in de zalen zou verschijnen en dreigden met fysiek geweld tegen alle filmgangers, was het hek helemaal van de dam. Sony gaf toe, en Noord-Korea blijft ontkennen dat het iets met de aanval te maken had – maar keurt hem moreel wel goed, omdat de film “een terroristische daad” is. Ondertussen hebben de Amerikaanse veiligheidsdiensten de aanval wél tot Koreaanse servers herleid, en beloofde het beschuldigde land zijn volledige medewerking aan het onderzoek – tenminste, ze dreigen met “zware gevolgen” als de VS hen niet bij het onderzoek betrekt.

Ondertussen werd het filmfragment uit The Interview waarin Kim Jong-Un opgeblazen wordt door de hackers toch naar buiten gebracht, omdat het als bijlage aan een van de vele gelekte e-mails van Sony-werknemers bevestigd was. Foutje, vermoeden we. Geen soapschrijver die het zo gek had kunnen bedenken…

Dat belooft veel voor 2015.

2014beveiligingeindejaarjaaroverzicht

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!