Social engineering: van vuilnisbak naar Hyves-profiel

Een erg lastige vorm van computercriminaliteit is social engineering: niet een computer hacken maar de persoon er voor. Je voordoen als je slachtoffer, dat helaas zijn wachtwoord is vergeten (“en mijn gebruikersnaam is er-o-o-tee”) en zielig doen tot de helpdesk het wachtwoord verandert. Meer voorbeelden bij Microsoft en Securityfocus.

Daar heb je natuurlijk wel de nodige informatie over je slachtoffer bij nodig. Vroeger moest je dan diens vuilnisbak plunderen in de hoop een brief of bankafschrift te vinden. Tegenwoordig is dat een stuk makkelijker: bekijk iemands Hyves-profiel, blader door zijn Linkedin-contactenlijst of lees zijn weblog.

In Emerce een waarschuwend artikel over de risico’s van zulke Web 2.0-sites. Men citeert XS4All:

Met Web 2.0-toepassingen wordt van mensen verwacht dat ze informatie géven. Dat is wezenlijk anders dan de aard van het web een paar jaar geleden. Toen was internet er vooral om informatie tót je te nemen. Hoe meer je geeft, hoe meer risico je loopt. We vinden het verstandig om internetgebruikers erop te wijzen dat dat hun eigen risico is.

XS4All biedt ook een veiligheidstraining waar deze aspecten aan de orde komen.

Je voordoen als iemand anders kan computervredebreuk zijn. Het probleem is natuurlijk dat dat bijzonder lastig te bewijzen is als iemand jou je wachtwoord weet te ontfutselen. Dat laat geen sporen na die een echte ‘hack’ wel nalaat.

UPDATE: (6 september) ook Corcom heeft er een stukje over.

Arnoud

Berichten verwijderen op forumsites

Een nieuwe lezersvraag: mag een forumbeheerder berichten verwijderen van een deelnemer?

Wie zijn website openstelt voor anderen, doet er verstandig aan om meteen duidelijke regels in te voeren. Forums en andere discussiesites lopen, net als bloggers, het risico aangesproken te worden voor wat deelnemers doen.

Een moderator of beheerder mag berichten alleen inhoudelijk wijzigen (of weghalen) wanneer daar duidelijke regels over gesteld zijn. Het wijzigen van de strekking van iemands betoog mag niet zomaar.

Soms komt het voor dat een deelnemer zelf vraagt om een bericht te laten verwijderen. Ook dat kan niet zomaar. Een deelnemer moet weten dat alle andere lezers het bericht onder ogen zullen krijgen. Formeel is dat een impliciete toestemming tot publicatie van het bericht. Zo’n toestemming kan ingetrokken worden, maar niet zomaar. Er moet wel een bijzondere reden voor zijn. Bijvoorbeeld dat er iets in stond dat nooit gepubliceerd had mogen worden.

De deelnemer moet namelijk rekening houden met de andere deelnemers. Door het weghalen van een bericht kan de inhoud of strekking van berichten van anderen onbegrijpelijk worden, en dat is niet de bedoeling.

Een beheerder moet dus heel terughoudend zijn met het verwijderen van berichten. Ook als de deelnemer er zelf om vraagt.

Arnoud