Archieven

Security

Waarom ik Chrome absoluut niet vertrouw

Steeds opnieuw lijken een aantal mensen verbaasd als ik heb zeg dat ik Chrome op geen enkele manier vertrouw. Ik wil het niet op mijn PC, en ik wil er niet mee werken. Zie hier waarom:

  • Vertrouwen is iets subjectief. Men heeft het of men heeft het niet. We vertrouwen niet meer wie ons bedrogen heeft, maar dikwijls complete onbekenden die gelijk wat gelijk waar beweren. Eigenlijk vertrouwen en geloven we de dingen die passen in ons perspectief, in onze epistemologisch en denkkader.
  • Veiligheid bestaat uit drie dingen (zie Quora) – drie dingen die niet samen optimaal kunnen zijn:
    • security
    • privacy
    • anonimiteit
    • Andere dingen zijn ook belangrijk, maar geen deel van veiligheid: snelheid bv., of respect van standaarden. Ook hier claimt Chrome de winnaar te zijn, en Edge ook… Volgens sommigen op support-fora is de snelheid van Chrome veroorzaakt door minder veiligheidsvoorzieningen.
  • Browserscope vergelijkt regelmatig de browsers onder elkaar – en daar komt Chrome’s security inderdaad goed uit. 16/17 voor Chrome, 14/17 voor FF, IE 10 en 11.
  • Secure dus, en dat komt blijkbaar vooral door een studie die Google zelf heeft laten uitvoeren in 2011 (zie Tiptopsecurity) en de bewering wordt sindsdien ad infinitum herhaald – zoals gelijk welk stuk fake news dat doet.
  • Private op geen enkele manier (Tiptopsecurity zet het als slechtste qua privacy) – met andere woorden: Google ziet alles wat je doet.
  • Misschien is Chrome “veilig”(wat dat dan ook moge betekenen: in, het beste geval dus één van de drie aspecten). Maar laat ons geen verstoppertje spelen: wat de gebruikers ermee doen is dat niet.
    • Mensen (en bedrijven) houden updates tegen ‘omdat dat lastig is’. Het updaten vertraagt de gewone werking, en het opnieuw opstarten wordt als bijzonder irritant ervaren. Het niet updaten is echter vele malen kostelijker in termen van tijd.
    • Gebruikers surfen met een admin account, waardoor ze zonder probleem (en soms zonder waarschuwing) software kunnen installeren, ook kwaadwillige.
    • Gebruikers loggen gelijk waar in met hun account – ook in Chrome dus, dat al hun wachtwoorden onthoudt en die de wachtwoorden ter beschikking houdt.
    • Er zijn veel componenten beschikbaar. De installatie vraagt meestal, maar dus niet altijd bevestiging.
    • Die componenten volgen de gebruiker – ook buiten de omgeving waar ze origineel werkten. Als ik op een PC zit, weet ik dus niet welke componenten er actief zijn in Chrome.
    • Chrome onthoudt logins en wachtwoorden van andere mensen die dezelfde sessie (dezelfde login op de die PC, op een school bv.) gebruikt hebben. Ontstellend te zien met welk gemak je andermans account kan kapen.
    • En Google ziet alles wat je doet.
    • En dan nog dit: ja, misschien is Google wel secure als het erop aankomt wachtwoorden in de cloud op te slaan [Tempusnova spreekt van sharding]. Dat neemt niet weg dat er met elk exemplaar van Chrome een mogelijk venster is op de schatkamer van al die wachtwoorden, tenzij de gebruiker voorzichtig is.

Adviezen: wat concludeer ik hieruit?

  • Niet surfen met een admin account. Als admin kan je alles wijzigen of installeren – ook gevaarlijke dingen, en soms zonder waarschuwing.
  • Niet surfen met Chrome als je ook maar één minimaal greintje geeft om je privacy. Niet, nergens, nooit. En ja, je kan privacy-instellingen wijzigen/aanpassen. Wat uiteraard niets verandert aan de architectuur van het platform en het businessmodel dat erachter zit.
  • Kies Edge (kleinere gebruikersbasis, weinig add-ons; dus weinig risico op aanval), Firefox of Opera.
  • Elke gebruiker moet surfen met zijn eigen gebruikersaccount.
  • Kan het niet? Ben je verplicht om een browser te gebruiken die ook anderen gebruiken met dezelfde Windows login? Gebruik dan InPrivate (Ctrl+Shift+P of Ctrl+Shift+N). Als dat niet kan, log dan niet in – op geen enkele website.
  • Er zijn kleine, specifieke browsers die specifiek gemaakt zijn voor security. Techworld en Lifehack noemen Epic, Comodo, Brave en Tor. 2-spyware plaatst Chrome bovenaan die lijst, maar ben het daar totaal mee oneens, voornamelijk omwille van provacy en hoe gemiddelde gebruikers surfen in gemiddelde omgevingen. Toptenreviews noemt Chrome ‘relatively safe’ – dat is iets héél anders dan ‘veilig’ (laats staan veiligste), en in mijn persoonlijke opinie absoluut onvoldoende.

Login eisen na enkele minuten afwezigheid

V. Vorige week brandoefening op het werk. Na de oefening bleek mijn computer gewoon nog open te staan – gelijk wie had gelijk wat kunnen doen. Is dat op te lossen?

A. Twee dingen:

  • Direct: Win+L. Er is een login vereist om vedrer te werken. En als het niet jouw login is, kan die gebruiker niet aan jouw werk.
  • Of de instellingen wijzigen
    • Instellingen, Persoonlijke instellingen.
    • Vergrendelingsscherm, Instellingen voor schermbeveiliging
    • Kies een schermbeveiliging, een tijd (aantal minbuten na verloop waarvan de wachtwoordbeveiliging zal actief zijn) en vraag het aanmeldingsscherm weer te geven.

Een geautomatiseerd Twitteraccount

In een gesprek op de Spaanse website Gonzoo wordt vermeld hoe het publiceren van een tweet met de woorden Partido Popular binnen de kortste keren massaal veel likes en retweets oplevert.

Magie? Onderbetaalde krachten op verre eilanden? Neen hoor: het gewoon heel makelijk een geautomatiseerd Twitter account te maken, een Twitterbot . Dat gaat zo:

  • Maak een Twitteraccount
  • Ga naar Digitalinspiration om de bot te maken – die bot wordt dan gemaajkt met Google apps
  • Geef de identificatiegegevens
  • Definieer de actie (zoeken, …) en de reactie (beantwoorden, retweeten, liken, …)

 

2018.06.05-07 Infosecurity Europe 2018

Infosecurity Europe 2018
5-7 June
Olympia London
http://www.infosecurityeurope.com/

Internetverbinding slecht en onbetrouwbaar: opgelost

Sinds enkele dagen is internet op mijn laptops thuis van zeer slechte kwaliteit. Websites zijn niet bereikbaar, verbinding valt weg enz.

Mogelijke oorzaken leken me virussen (gescand met G DATA en ESET: niets), updates in de wachtij (niets), problemen met cache of extensies (alles opgeruimd: niets).

Het probleem blijk Malwarebytes te zijn. Het uitschakelen van actieve bescherming op het web lost het probleem op.

Instellingen, Actieve bescherming, Bescherming op het web: Voorkomt verbindingen met kwaadaardige of verdachte websites UIT.

Verkorte link checken vooraleer erop te klikken

V. Kan ik een verkorte link checken vooraleer erop te klikken? Kwestie van veilig te surfen, want je weet nooit wat er achter zo’n verkorte link zit.

A. Ja, je kan zo’n verkorte link previewen.

  • Bij een tinyurl, bit.ly of goo.gl link kan je een + toevoegen om te kijken waar die link naar toe gaat.
  • Bij tinyurl kan je ook preview. vóór het adres plaatsen
  • Een overzicht van deze truucs vind je op Dynadot
  • Voor alle diensten kan je een ‘verlenger’ als CheckShortURL of GetLinkInfo gebruiken.

 

Gastaccount in Windows 10

V. Men heeft me verteld dat ik andere gebruikers niet met mijn account op mijn computer mag laten werken. Maar ik kan toch niet voor iedereen apart een login maken?

A. Het is correct dat je andere gebruikers niet met jouw account mag laten werken – dan kunnen ze aan je mail, websites en -diensten waar jij beschermde toegang toe hebt (inloggen met voor jou opgeslagen wachtwoorden enz).

Als je geen login kan of wil maken voor die andere gebruiker(s) kan je een gastaccount maken. Dat doe je zo:

  1. Win, cmd (om de opdrachtprompt te vinden)
    Rechtsklikken – Uitvoeren als administrator (om de opdrachtprompt als beheerder uit te voeren)
  2. Typ
    net user Visitor /add /active:yes

    wat de gebruiker Visitor zal maken
    dan

    net user Visitor *

    en twee keer enter om een leeg paswoord te maken voor Visitor.

  3. Vervolgens
    net localgroup users Visitor /delete

    en

    net localgroup guests Visitor /add

    om die Visitor te verwijderen als gewone gebruiker en er een gast van te maken.

Zie:
4 Ways to Enable and Disable Built-in Guest on Windows 10http://www.isunshare.com/windows-10/4-ways-to-enable-and-disable-built-in-guest-on-windows-10.html
How to Create a Guest Account in Windows 10http://www.laptopmag.com/articles/create-guest-account-windows-10
How to set up a guest account on Windows 10http://www.windowscentral.com/how-create-guest-account-windows-10

Kan jíj mijn wachtwoord terugvinden?

V. Ik ben mijn wachtwoord kwijt van mijn kalender. Mijn computer logt daar automatisch op in, maar ik weet mijn wachtwoord écht niet meer. Kan jíj me dat geven of achterhalen?

A. Neen, uiteráárd kan ik dat niet. Als dat wel zou kunnen, betekent dat zo maar gelijk wie gelijk welk paswoord van iemand anders kan achterhalen.

Wat je wel kan doen:

  • Je kan je wachtwoord resetten – en de precieze plaats hangt ervan welke agenda het is (‘kweenie’ is daarbij niet het juiste antwoord).  Voor Live gaat dat via https://account.live.com/ResetPassword.aspx, voor Google via https://www.google.com/accounts/recovery/forgotusername
    Resetten dat betekent 1/ dat het verloopt via het kanaal waarvan jij destijds zelf hebt beweerd dat het naar jou leidt (ander mailadres, gsm, …)  en 2/ dat het niet onopgemerkt kan blijven, want het wachtwoord is nadien anders
  • Als je op je computer naar die agenda gaat en je krijgt een login scherm, staat daar een paswoordveld met sterretjes. Als, zoals je zegt, de computer zelf inlogt, staat daar het paswoord ingevuld. Met een programma als Asterisk Key (http://www.lostpassword.com/asterisk.htm) kan je dat wachtwoord lezen.

 

 

Vreemde mail van verre vriend in nood

Krijg je een vreemde mail van een verre vriend in nood? Dat is waarschijnlijk een poging tot diefstal.
Hoe het gaat
Een eerste bericht: mail zonder begroeting of afsluiting (want daarmee zou de hacker zich kunnen verraden): “ik ben in nood, wil je me helpen? maar wees discreet”
Na het eerste antwoord: “Ik ben in X en alles is gestolen (geld, gsm, kaarten). Kan je me geld sturen?”
Hoe het werkt
Een hacker krijgt toegang tot de mailbox van iemand (steelt het wachtwoord). Die hacker stuurt een eerste bericht naar x mensen uit het adresboek met de melding dat de veronderstelde verzender in nood is, en absolute discretie vraagt. Dat bericht zal niet gaan naar mensen met bv. dezelfde familienaam, want dat kan familie zijn die weten dat die persoon niet op die plek is.
Een nietsvermoedende gebruiker zal de hacker bijkomende informatie geven (over de gehackte persoon, over de relatie van bedien, …) waarop de hacker dan verder kan borduren – om nadien het geld in ontvangst te nemen.
Wat je kan doen
Je kan kiezen niets te doen, maar het is natuurlijk mogelijk dat die andere persoon effectief in nood is.
Stuur een eerste bericht terug met zo weinig mogelijk bijkomende gegevens (die een mogelijke hacker informatie kunnen geven over de eigenaar van de gehackte mailbox, over jou, of over jouw relatie met die persoon. geen begroeting, geen handtekening. Vraag naar een aantal concrete dingen die jij en de veronderstelde kunnen weten, maar niet op Facebook staat of dat de hacker niet kan afleiden uit de mailbox of het adresboek (kleur van huis, nummerplaat wagen, voornaam grootmoeders, …)

Eén login, verschillende paswoorden?

V. Kan dat? Ik heb één enkele login (met mijn mailadres), maar met verschillende wachtwoorden. Wat kan ik doen?
A. Neen, dat kan niet – bij één login hoort één wachtwoord. En bij elke dienst die login vereist hoort zo’n login-wachtwoord combinatie. Enkele dingen op een rijtje:

  • Als je inschrijft op zo’n dienst (of ingeschreven wordt) krijg of maak je je een login.
  • Die login kan een woord (lettercombinatie) zijn, of een mailadres. Meestal hoort bij zo’n login een mailadres.
  • Dat mailadres wordt gebruikt om te controleren of je effectief kan antwoorden op mail. En dat adres wordt gebruikt om je paswoord te wijzigen of opnieuw in te stellen.
  • Maar dus 1 dienst => login+paswoord combinatie
  • Dezelfde login/paswoord combinatie overal gebruiken lijkt op het eerste gezicht misschien wel handig, maar het is niet altijd mogelijk. Die online diensten stellen bepaalde vormvereisten aan paswoorden om te vermijden dat ze makkelijk kunnen geraden worden (waar aparte softwarepakketten voor bestaan). Maar de eisen een wachtwoord fat je maakt en voldoet aan de eisen van dienst1 voldoet niet noodzakelijk aan de eisen van dienst2.
  • Bovendien is het niet veilig. Van tijd worden er lijsten van login/wachtwoord combinatie gestolen van servers, en nadien doorverkocht. Met die combinaties proberen kwaadwilligen dan, op verschillende online diensten in te loggen.

Long running script

V. Ik krijg veel meldingen over langlopende scripts in Internet Explorer. Ergerlijk! Wat kan ik doen? Maar ik ben op het werk, dus ik mag bijna niets doen en kan niets installeren.
A. Eerst iets over de oorzaken

  • Die scripts lopen in invoegtoepassingen als bv. Flash of Java. Mogelijk moeten Flash of Java aangepast worden naar de laatste versie – maar dat kan jij niet doen.
  • Veel waarschijnlijker zijn kwalijke invoegtoepassingen, die binnenkomen via een browser. In mijn ervaring is dat bijna steeds (in meer dan 75% van de gevallen) veroorzaakt door Chrome, de kampioen van de malwaremagneten.

Wat je kan doen?

  • Als je Windows 10 gebruikt (druk op start; zie je tegels?) heb je Edge op je toestel staan. Die kent geen (nog) extensies en is (nog) ongevoelig voor kwaadaardige extensies; dat moet sneller gaan
  • In Internet Explorer kan je via Extra, Internetopties, Programma’s, Invoegtoepassingen de invoegtoepassingen beheren. Gaat het beter als je die allemaal uitschakelt?
  • En: In Internet Explorer, ga eens InPrivate (ctrl+shift+P). Dat zou beter moeten gaan. De browser kent alleen je paswoorden niet meer voor de duur van die sessie.

Verstuur ik spam?

V. Sinds enkele tijd kan ik geen mail meer versturen in Outlook.

error-0x800ccc6F can’t send mail – under investigation for spam mail

A. Twee dingen:

Wachtwoord gelekt?

A. In de pers staat een artikel dat er paswoorden gestolen zijn. Wat kan ik doen?

Gigantisch datalek: wachtwoorden van 272 miljoen e-mailgebruikers gestolen
http://www.standaard.be/cnt/dmf20160505_02274399?_section=60215732

V. Enkele dingen:

  • Blijf kalm, maar toch voldoende achterdochtig.
  • In dit geval: lees het artikel in kwestie. Als je een account hebt bij Yahoo, Microsoft Live, Gmail, wijzig je wachtwoord.
  • Als je datzelfde wachtwoord nog gebruikt op andere diensten, wijzig dat ook daar.
  • Kies een uniek paswoord – iets waarvan je redelijkerwijs kan uitgaan dat het zo specifiek is dat niemand anders het gebruikt. Je kan via Google zoeken of dat paswoord nergens opduikt!

Nog even dit: Mijn Live wachtwoord (dat ik nergens anders voor gebruik) staat inderdaad op een Chinese lijst. Stond, wat nu is het een totaal wachtwoord…

Interessante lectuur:

Hackers are trading millions of Gmail, Hotmail, Yahoo logins
http://www.engadget.com/2016/05/04/gmail-hotmail-yahoo-email-data-breach/

Gmail, Hotmail and Yahoo Mail breach: 42.5 million never-before-leaked credentials stolen
http://www.theinquirer.net/inquirer/news/2456948/huge-data-breach-sees-millions-of-gmail-hotmail-and-yahoo-mail-account-details-stolen

Has YOUR account been hacked? Hundreds of millions of passwords stolen from Google and Yahoo users in major security breach
http://www.dailymail.co.uk/sciencetech/article-3573203/Big-data-breaches-major-email-services-expert.html

Onenote notitie delen

Je kan een Onenote notitie delen via het Delen menu. Maar let op: Onenote delen is niet één notitie maar meteen het hele notitieblok. Alsd at niet is wat je wil, deel via mail – en alleen de tekst van die ene notitie wordt verzonden.

Paswoord op internetconnectie

V. Hoe kan ik een paswoord zetten op internet zodat mijn kinderen niet constant online zijn?

A. Twee stappen:

  1. Maak een aparte login (met telkens een apart Microsoft accdount) voor elk van de andere gebruikers van je computer
    http://windows.microsoft.com/nl-nl/windows-10/getstarted-set-up-accounts
  2. Stel je familie in zoals uitgelegd op
    http://windows.microsoft.com/nl-nl/windows-10/getstarted-set-up-your-family

De lo que no se puede hablar, es mejor callarse