KPN en de kunst van het IT-beheer

g1rlp0w3r.  Waarbij het getal 1 de letter i
voorstelt, de nul de letter o betekent en voor een
3 staat de klinker e.  Dat bleek een
beheerderswachtwoord te zijn bij KPN.

Volgens howsecureismypassword.net duurt het 4
dagen met een PC om dat wachtwoord te hacken.  De
password checker van het Safety & Security Center
van Microsoft geeft het de laagste waardering:
Weak.  Op makemeapassword.net zien we wederom de
truc die we ook bij KPN zien we gaan van
HyaluronicPapilloma, naar Hyalur0nicPapill0ma,
naar Hyalur0nicPa|>ill0ma, naar Hy@lur0nic
P@pill0m@.  Dit door successievelijk getallen toe
te laten, symbolen toe te laten, en ook spaties
toe te laten.  De algoritmiek achter deze
wachtwoorden staat bekend als the language of
leet.  Leet komt van elite, en dat werd ooit
gespeld als 31337 van eleet, en dat werd afgekort
tot 1337.  Het gaat om een heuristiek waarbij
letters creatief vervangen worden door symbolen,
precies zoals we dat zien bij zowel KPN als ook
bij deze wachtwoord generatoren.  Neem het
woordenboek en pas die heuristiek toe, en in 4
dagen ben je klaar.  Geen goed idee dus om zo
je wachtwoord te kiezen.

Als IT-professional weet je dat er lijsten zijn
met zeer algemene wachtwoorden.  Dat je met
simpele algoritmes wachtwoorden kunt achterhalen.
Dat er checkers zijn die de sterkte van een
wachtwoord voor je wegen.  Maar bovenal dat je
wachtwoorden NOOIT onversleuteld mag opslaan.
Daarnaast weet je dat het een race tegen de klok
is met zwakheden in systemen dus je zult keer op
keer patches uit moeten voeren om hackers voor te
blijven.  Wacht in ieder geval niet tot het mis
gaat.  Naar nu blijkt zijn er wachtwoorden "bloot"
opgeslagen bij baby dump.  Waar je alles kunt
krijgen voor je baby tegen dump prijzen, en men
dumpt ook meteen je gegevens plus wachtwoord voor
hetzelfde geld.  Hoe vaak moeten we dit nu
herhalen?  Nooit wachtwoorden ongecrypt opslaan.

Een grappenmaker heeft daar alle KPN klanten
uitgefilterd en de zaak online gezet.  Heel
vervelend voor die mensen, zeker omdat algemeen
bekend is dat wachtwoorden meerdere malen
herbruikt worden.  Dat jonge ouders met babies
deze praktijk bezigen is niet handig, maar behalve
zichzelf hebben ze daar verder vrijwel niemand
anders mee.  Als ik de nieuwsberichten moet
geloven presteert het IT-beheer bij KPN op
hetzelfde niveau.  Alleen zijn de belangen een
stukje groter.  Men heeft naar het schijnt in een
configuratiebestand het zwakke g1rlp0w3r password
gevonden, en dat zou op meerdere machines werken.
Klinkt als een geval van baby dump, of in leet
speak: 848y du/\/\|>.

We rommelen zo van incident naar incident in
plaats van structureel en integraal beleid.  Men
belooft beterschap, men gaat zijn best doen,
security wordt topprioriteit.  Ondertussen blijven
de n00bs aan het roer, doet B1FF nog steeds het
IT-beheer en zet de knutselsmurf nog steeds alles
in elkaar.  IT is geen beschermd beroep.  Er
is geen knetterhard IT-toezicht.  Er is niet
zoiets als een IT-bouwvergunning.  Er zijn geen
torenhoge boetes. Daardoor blijven bestuurders het
niet begrijpen, laten zij IT-beheer over aan
ondeskundigen en zullen ICT-dienstleveranciers die
het niet kunnen toch de opdrachten binnenhalen.
En uw identiteit belandt op straat.

Zonder dat soort drastische maatregelen gaat er
niets veranderen.  Er is simpelweg geen business
case voor security.  Wie is namelijk de verliezer
hier?  Juist: de consument.  Of u uw wachtwoord
even wilt wijzigen, want ja dat kan gestolen zijn,
maar dat weten we niet zeker.  Of u maar even wilt
betalen, want u heeft in China met uw credit card
afgerekend, en ja die data komt wellicht van baby
dump.  Email van KPN, maar nu even niet. 

Allemaal flauwekul die je niet meer tegenkomt bij
lik-op-stuk beleid.  Meteen torenhoge boetes
betalen vanaf 100 Euro per gelekt gegeven, en per
gedupeerde twee jaar monitoring van alle
financiele stromen om ID-fraude zo snel als
mogelijk vast te kunnen stellen.  Alle
gevolgschade betalen van ID-fraude.  Direct bij de
concurrent alternatieve service aan laten bieden.
Bestuurders persoonlijk aansprakelijk stellen en
andere maatregelen om al hun amateurisme uit te
bannen.  Kwaliteit is wat we nodig hebben,
goedschiks of kwaadschiks.  Beterschap beloven is
niet genoeg.

Om af te sluiten een citaat van Pirsig: "Quality
isn't something you lay on top of subjects and
objects like tinsel on a Christmas tree. Real
Quality must be the source of the subjects and
objects, the cone from which the tree must start."
Uit zijn klassieker Zen & the art of Motorcycle
Maintenance, waar de titel van deze column
uiteraaard op gebaseerd is.

X

Meer weten over de wondere wereld van ICT
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica
aan de Vrije Universiteit in Amsterdam en
wetenschappelijk adviseur voor overheid en
bedrijfsleven.  Hij schrijft regelmatig een
column in de AG.  Hij is te bereiken via email:
x@cs.vu.nl.  Deze tekst is copyright SDU.  Niets
van deze uitgave mag zonder schriftelijke
toestemming van de uitgever worden overgenomen of
worden gepubliceerd.