Laatste nieuws
 
 
  Achtergrondartikelen  
 

Online games en online entertainment lijken een winstgevend doelwit voor criminelen te zijn. Neem het recente (enorme) datalek in de entertainmentindustrie. Dat lek lijkt voorlopig gedicht. Tijd om de wonden te likken. Jan Valcke, COO van VASCO Data Security, schetst in een (expert) column dat in zijn ogen de spectaculaire datalekken nog maar eens bewijzen dat het kiezen is tussen sterke authenticatie of financiële aderlatingen.

Wat als een spel begint, kan snel omslaan in bittere ernst. Dat is recent nog maar eens bewezen. Het door crisis geteisterde Japan krijgt nu een digitale tsunami te verwerken. Een hackersaanval doorbrak alle beveilingsbarrières wat resulteerde in een stortvloed van maar liefst 77 miljoen persoonlijke dossiers op het internet, waar ze al gauw wegsijpelden in de duistere steegjes van de ondergrondse economie.

De instanties waren wederom gealarmeerd: gegevensdiefstal, vooral dan van security-gerelateerde bestanden, zorgt niet enkel voor beschadigde reputaties, maar brengt ook de officier van justitie in het spel: zo zijn volgens de Duitse wet bijvoorbeeld, zij die persoonlijke gegevens verzamelen tevens verantwoordelijk voor de veilige bewaring ervan en moeten ze een schadevergoeding betalen indien deze worden misbruikt. De federale commissaris voor gegevensbescherming, Peter Schaar, windt er geen doekjes om: "het bedrijf wordt aansprakelijk gesteld voor de berokkende schade." En de compensatiecultuur in de Verenigde Staten is traditiegetrouw nog meer ongebreideld dan in Duitsland.

Het komt niet echt als een verrassing dat online gamingplatformen steeds meer worden geviseerd door criminelen: volgens een recente studie van PricewaterhouseCoopers "Globale vooruitzichten in het entertainment- en medialandschap 2008-2012", zou de industrie gemiddeld met 10,5 % per jaar groeien tegen 2012, met een gemiddelde opbrengst van 48 miljard euro.

Op het gebied van e-gambling - kansspelen en weddenschappen - zou de prognose voor 2012 naar verwachting zelfs de 445 miljard euro overschrijden. De kans is echter groot dat deze optimistische vooruitzichten naar beneden zullen moeten worden bijgesteld omdat het lekken van persoonlijke gegevens het enthousiasme van de spelers zal intomen.

Een catastrofe in de maak - de voornaamste zwaktes

De datalekken die nu de krantenkoppen halen kunnen echter vermeden worden en zijn vaak te wijten aan een lakse houding tegenover beveiligingsmaatregelen. Persoonlijke gegevens zoals paswoorden worden zomaar opgeslagen zonder geëncrypteerd te worden en toegang tot netwerken voor werknemers en klanten worden vaak beveiligd door verouderde en achterhaalde systemen.

Bedrijven blijven proberen om de veiligheid te verhogen op basis van twijfelachtige aanbevelingen. Andere fundamentele zwakheden blijven echter gelden. Gamingplatformen staan nog steeds wijd open voor aanvallen door hackers.

Kijk bijvoorbeeld maar naar de account van de klant. Via een pc-platform is er altijd een dreigend gevaar van aanvallen door keylogger- of snifferprogramma's. Ze nestelen zich vaak in de PC met behulp van Trojaanse paarden en houden alle ingegeven wachtwoorden bij om ze vervolgens door te sturen naar de server van de hacker, de ‘drop zone'. Zelfs virusscanners of voorzichtige gebruikers staan machteloos tegenover de uitgekiende strategieën die hackers gebruiken.

Deskundigen zijn het eens: computers van consumenten maken geen gebruik van professionele beveiligingsystemen en moeten net daarom als fundamenteel onveilig worden beschouwd. Ook wordt algemeen erkend dat het weinig zin heeft om de last van de verantwoordelijkheid over de veiligheid bij de gebruiker te leggen. Moeten we immers verwachten dat de eindgebruiker wekelijks met een nieuw gigantisch wachtwoord bestaande uit cijfers, letters en speciale karakters op de proppen komt? En dit dan liefst ook nog onthoudt zonder ergens neer te pennen? Dit concept slaagt er niet in om een duidelijke balans te vinden tussen gebruiksvriendelijkheid en veiligheid.

Betere preventive - sterke authenticatie

Zo hoeft het echter niet te gaan, wat het Japanse bedrijf Square-Enix duidelijk aantoonde. De online spelletjesfabrikant beschermt zijn online platform met baanbrekende twee-factor authenticatie. Alle spelers van het rollenspel Final Fantasy XI ontvangen een authenticatietoestelletje ter grootte van een sleutelhanger, zoals de VASCO DIGIPASS GO 6. Deze authenticator genereert met een druk op de knop, een dynamisch wachtwoord dat slechts 32 seconden lang geldig is. Elke keer dat de gebruiker zich aanmeldt, berekent het toestel een nieuw wachtwoord. Dit betekent dat wachtwoorden die door hackers worden onderschept, onbruikbaar worden. Gebruikers kunnen deze beveiligde manier van aanmelden overigens niet enkel op de PC gebruiken, het dynamische wachtwoord kan ook gebruikt worden om zich via PlayStation 2 en XBox 360 aan te melden. Bij Square Enix gebeurt de verificatie van de wachtwoorden door VASCO's authenticatieserver VACMAN Controller.

Deze investering was verre van overbodig, zoals blijkt uit de officiële cijfers van de Japanse Ministeries: in 2009 waren er 2 289 gevallen van ongeoorloofde toegang tot online diensten - een stijging met ongeveer een kwart ten opzichte van het voorgaande jaar.

Ook het online gamingbedrijf PartyGaming beschermt haar spelers met sterke authenticatie. Er staat immers een hoop geld op het spel - geld waar hackers maar al te graag beslag op willen leggen. Bij de spelen PartyPoker, PartyCasino, PartyBingo en PartyGammon kunnen klanten zich registreren door de PartyGaming software te downloaden. Na registratie kunnen ze vervolgens aan authenticatietoestel, PartySecure genaamd, kopen in de online winkel. Ook hier gaat het om een DIGIPASS GO 6 die qua uitzicht in een PartyGaming kleedje werd gestopt. De verificatie van de wachtwoorden die door DIGIPASS worden gegenereerd, gebeurt eveneens door de authenticatieserver VACMAN Controller. "Het gaat hier om een heel schaalbare oplossing", benadrukt een woordvoerder van PartyGaming. "Het is een toekomstgerichte oplossing die met ons kan meegroeien en moeiteloos het groeiende aantal online spelers op ons platform aankan."

Een ander online platform voor poker en kansspelen is BetClic. Ook zij maken gebruik van DIGIPASS in combinatie met IDENTIKEY Server. "De integratie van een beveiligingsoplossing had als resultaat dat de omzet per speler is verhoogd en er minder fluctuatie is onder onze VIP-spelers", zegt Sargon Petros, IT Operations and Infrastructure Manager bij Betclic. "De implementatie van de nieuwe beveiligingsoplossing heeft onze winst een boost gegeven."

Uiteraard is een effectieve beveiligingsoplossing niet gratis, iets waar Square Enix, PartyGaming en Betclic zich terdege van bewust waren. De schade die echter keer op keer door hackers wordt veroorzaakt, heeft echter als gevolg dat deze bedrijven, net zoals vele andere in de industrie, uit voorzorg handelen. Dankzij de hardware oplossing zijn ze erin geslaagd om het onrechtmatig delen van accounts te voorkomen en tegelijkertijd het consumentenvertrouwen, de gebruiksfrequentie en de omzet te verhogen. Sterke authenticatie brengt dus ook economische voordelen met zich mee.

Het bedrijfsnetwerk als ultiem doelwit

Vaak kan het gehele bedrijfsnetwerk het slachtoffer worden van een digitale aanval. De grote hoeveelheid opgeslagen gegevens op het netwerk zijn meer dan verleidelijk voor criminelen. Er is een grote afzetmarkt voor gestolen accounts op het net. Zelfs indien elke account slechts een paar eurocent opbrengt op de zwarte markt, zijn er voldoende slecht beveiligde gegevens te vinden online om een hacker zijn drop-zone om te zetten in een goudmijn.

De zwakke schakel bij de beveiliging van een bedrijfsnetwerk is vaak de mens. In veel gevallen opent een zogenaamde spear phishing-aanval de poort naar het lokale bedrijfsnetwerk. Met deze zeer persoonlijke aanval maken hackers misbruik van het grote aantal vrij beschikbare persoonsgegevens. De moderne internetgebruiker heeft immers vaak een profiel op XING en Facebook en chat met vrienden via Twitter over waar hij op dat moment mee bezig is. Wat ze echter niet weten is hoeveel nepvrienden zij intussen hebben opgenomen in hun persoonlijke netwerk.

Spear phishing - Persoonlijke gegevens als lokaas

Hoewel de individuele stukjes informatie op zichzelf vrij banaal kunnen lijken, kunnen ze gecombineerd een grote impact creëren. Als je gelinkt bent op XING met je baas en je systeembeheerder en op Twitter aankondigt dat je nerveus bent ‘omwille van een databaseonderhoud', dan geef je een hacker voldoende munitie om een aanval te lanceren. Opeens krijg je een e-mail van de beheerder of IT-manager waarin wordt meegedeeld dat er problemen zijn met de database en daarom het wachtwoord moet worden veranderd: simpelweg op volgende link klikken en vervolgens het oude en nieuwe wachtwoord ingeven.

Achterdochtige lotgenoten zullen onmiddellijk onraad ruiken en telefonisch even verifiëren of dit klopt. Maar er is toch altijd wel een werknemer die in deze gesofisticeerde spear phishing val trapt. Vooral het populaire concept van thuiswerken loopt hier een groot risico.

Net daarom geldt de volgende regel zowel voor werknemers als voor consumenten: statische wachtwoorden om de toegang tot applicaties of netwerken te beschermen, zijn niet meer afdoende. VPN-gebruikers in het bijzonder moeten worden uitgerust met een effectieve twee-factor authenticatieoplossing. Daarbij moet de gebruiker iets ‘weten' - een PIN-code bijvoorbeeld - en iets ‘bij zich hebben' - een authenticatietoken. Deze berekent dan een eenmalig dynamisch wachtwoord dat slechts gedurende beperkte tijd geldig is. Zelfs indien de gebruiker het wachtwoord dan kwijt raakt, kan een crimineel nog niet aan de gegevens.

Digitale handtekening - bescherming tegen identiteitsdiefstal

Spear phishing aanvallen blijven zich voortdoen en dit is niet enkel te wijten aan slordigheid van werknemers. Hackers exploiteren immers de fundamentele zwakheden van e-mailcommunicatie, namelijk dat je nooit zeker bent of de afzender effectief is wie hij beweert te zijn. Niets is makkelijker dan naar een ontvanger een e-mail te sturen die ogenschijnlijk afkomstig is van een andere afzender. En zolang de ontvanger afhankelijk is van een eenvoudige plausibiliteitcontrole om een afzender authenticeren, volstaat slechts een handvol gegevens om een nepmail te sturen die zogezegd uitgaat van de baas. En niemand wil zich toch de woede van de baas op zijn hals halen door ‘orders van hogerhand' in twijfel te trekken?

Een duidelijke authenticatie van mails en berichten is binnen bedrijven eveneens belangrijk als bescherming tegen vervalsing in elektronische communicatie. Dit kan door middel van een elektronische handtekening waarbij de inhoud van een document wordt gecodeerd. Zowel afzender als ontvanger hebben een authenticatietoestel dat de integriteit van de berichten en afzenders garandeert. Het gebruik van de digitale handtekening zou daarom bij het uitwisselen van bedrijfskritische informatie eigenlijk een standaard moeten worden binnen elk bedrijf.

Schaalbare servers - Cloud computing biedt grootste uitbreidingsmogelijkheden

De invoering van een sterke authenticatieinfrastructuur voor alle medewerkers en klanten vereist natuurlijk ook een authenticatieserver met de bijbehorende capaciteiten. Vandaar het ook belangrijk is om rekening te houden met het feit dat in sommige gebieden van de online gamingindustrie, groeivooruitzichten van circa 30 procent per jaar worden verwacht. De stijgende gebruikersaantallen betekenen dat veel systemen hun limieten anderen. Het is dus noodzakelijk om te kiezen voor platformen die hun waarde reeds hebben bewezen in grote ondernemingen, zoals bijvoorbeeld VACMAN Controller. Een ‘in the cloud'-oplossing biedt echter de grootste mogelijkheden voor uitbreiding. Een voorbeeld daarvan is DIGIPASS as a Service. Deze oplossing laat globale authenticatie van gehoste sustemen toe. De klant hoeft niet langer te investeren in hard- of software en betaalt enkele voor de diensten die ze daadwerkelijk gebruikt.

Tsunami's en hacking hebben een ding gemeen: de vraag is niet of ze zullen plaatsvinden, maar wanneer en met welke ernst zij zullen toeslaan. Uit ervaringen uit het verleden is gebleken dat veiligheidsbarrières preventief moeten worden ingebouwd. Oplossingen met voldoende ruimte en veiligheidsmarges om bedrijven, werknemers en consumenten te beschermen tegen incidenten op een nog ongekende schaal. Gerichte aanvallen op bedrijven, met name in de entertainment industrie, zijn al gemeengoed. Alleen sterke authenticatie en de digitale handtekening bieden een afdoende bescherming tegen de verliezen voortgebracht door schadeclaims en verloren vertrouwen. Vandaar de noodzaak om ze over de hele lijn te implementeren.

Vooraleer de hel losbreekt.

Jan Valcke, COO VASCO Data Security

Plaats op:
Datum: 15 juni 2011
Categorie: Informatie- & databeveiliging
Bron: VASCO Data Security
Gerelateerde artikelen  
13-04-2011 Nieuws VASCO Data Security beveiligt Google apps
29-06-2009 Nieuws Social networkers onvoldoende bewust van online gevaren
15-03-2013 Nieuws Werknemers rapporteren kwijtgeraakte apparatuur te laat
14-05-2011 Nieuws BioXS: betalen met alleen vinger is per definitie onveilig
22-11-2017 Nieuws Nederlanders bewaren wachtwoord in e-mail of op papier
 
 

- partners -

 
 
 
 
 
� 2007 - 2019 Vakwereld. All rights reserved Pagina geladen in 0,35 seconden.