Clowns

Jaren geleden vierden we vakantie op het Canarische eiland Fuerteventura. ’s Avonds flaneerden we graag door het centrum van Corralejo. Onze zoon, destijds kleuter van beroep, liep een paar meter voor ons uit over de brede stoep. Plotseling sprong iemand met een lelijk masker op uit een portiek tevoorschijn en maakte hem met groteske gebaren en geluiden flink aan het schrikken. Zelden heb ik iemand zó de huid vol gescholden (helaas ken ik geen Spaanse en te weinig Engelse scheldwoorden). Beroepshalve gewend om in worst case-scenario’s te denken zie je zo’n kind voor je geestesoog van het gevaar wegvluchten, zó de drukke straat op. Die kerel stond daar onnozel naar mijn gefoeter te luisteren, kennelijk niet in staat om te begrijpen waarom zijn actie niet leuk werd gevonden. Hij hoorde trouwens bij een pretpark een eindje verderop, waar ze onder andere een spookhuis hadden. Hij was een wandelend reclamespotje.

Fast forward naar 2016. De horrorclowns zijn in het nieuws. Bij wijze van onderzoek voor deze blog heb ik een paar van die filmpjes bekeken en ik kom tot de conclusie dat die maffe Amerikanen nogal wat in scène moeten hebben gezet. Waarom zou je in hemelsnaam langzaam met een paar man in de auto door het pikkedonker rijden en een camera op de verlaten weg richten? En dan duikt daar ineens geheel spontaan zo’n engerd op. Sure. Maar goed, een in scène gezet filmpje kan mensen op ideeën brengen. Bij de meer overtuigende filmpjes staat de cameraman verdekt opgesteld en filmt hij de bijbehorende clown als die iemand te grazen neemt. Het wordt natuurlijk écht vervelend als die clown iets wapenachtigs bij zich heeft. Dan is er al gauw sprake van bedreiging.

In de ICT is het niet anders. Ook daar hebben we te maken met anonieme lieden die ons bedreigen. Soms zijn ze, net als de horrorclowns, daadwerkelijk gemaskerd – het Guy Fawkes-masker is het symbool van hacktivistencollectief Anonymous. De dreiging bestaat vaak uit DDoS-aanvallen, waarbij de site van het slachtoffer wordt platgegooid. Dat kan om ideële redenen zijn, zoals bij de steun van Anonymous voor WikiLeaks en de vergelding voor de aanslagen in Parijs, om redenen van concurrentie (“Als de site van mijn concurrent niet bereikbaar is komen de klanten naar mij toe”) en om politieke redenen, zoals bij aanvallen op mensenrechtenorganisaties of politieke organisaties. Gewoon om te klieren kan natuurlijk ook.

Een belangrijk verschil tussen de horrorclowns en ICT-beveiligingsincidenten is dat het bij die laatste meestal niet bij dreigementen of leuk bedoelde bangmakerij blijft – ze dreigen niet met DDoS’en, ze doen het gewoon. Dreiging gaat wel uit van het motto van Anonymous: "We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us." Ik weet trouwens niet of ze het zo bedoeld hebben, maar dit motto doet mij erg denken aan een nogal vijandige volkje uit Star Trek: “We are the Borg. You will be assimilated. Resistance is futile.”

De belangrijkste overeenkomst tussen beide fenomenen is toch wel dat de daden niet in de haak zijn. De politie roept op om 112 te bellen als je zo’n zieke grappenmaker ziet lopen en grote DDoS-aanvallen mogen ook op belangstelling van oom agent rekenen. Maar er is nog een overeenkomst: de neiging van slachtoffers om eigenrichting toe te passen. In die – al dan niet in scène gezette – Amerikaanse filmpjes zie je hoe clowns in elkaar worden geslagen. Ook in Nederland is zoiets al voorgekomen: een veertienjarige kickbokser uit Delft heeft een paar rake klappen uitgedeeld aan iemand die het stoer vond om zijn broertje bang te maken. In de ICT is terughacken al vaak onderwerp van discussie geweest. Als het ene technologiebedrijf bij het andere inbreekt (economische spionage), mag die partij dan terugslaan? Mag de politie hacken?

Voor eigen rechter spelen mag niet. Als plotseling zo’n enge clown (wat eigenlijk een contradictio in terminis hoort te zijn) dreigend voor je staat, kan ik me ergens wel voorstellen dat je in een reflex om je heen gaat slaan. Als een computer wordt aangevallen zullen weinigen van ons in staat zijn om terug te slaan. Je verdediging op orde hebben is dus erg belangrijk.

En in de grote boze buitenwereld …

... zegt de auteur van dit artikel het heel duidelijk: begin niet aan een tegenaanval.
https://nakedsecurity.sophos.com/2016/10/10/is-it-really-a-good-idea-to-scam-the-scammers/

... wil TNO de juridische wereld bijspijkeren op het gebied van cybercrime.
https://time.tno.nl/nl/artikelen/hoe-we-cybercrime-willen-aanpakken/

... kampt de Amerikaanse luchtmacht met verstoringen op het geheime netwerk voor de aansturing van drones.
https://www.buzzfeed.com/aramroston/air-force-investigating-outage-of-classified-computer-system

... bestaat er een (ietwat academisch) verschil tussen twee-factorauthenticatie en twee-stapauthenticatie.
http://lifehacker.com/the-difference-between-two-factor-and-two-step-authenti-1787159870

... hengelt deze nieuwe Android-malware naar veel informatie en vraagt zelfs om een selfie met je ID-bewijs.
https://www.grahamcluley.com/enjoy-taking-selfies-plays-right-hands-this-malware/

... is niet iedereen het eens met Bruce Schneiers opinie dat het zinloos is om te trachten het gedrag van gebruikers te beïnvloeden (zie de Security (b)log van vorige week).
https://securingthehuman.sans.org/blog/2016/10/13/why-bruce-is-wrong-about-fixing-the-user

... zeggen de banken dat online bankieren veilig is. De moeilijkheid zit echter in hun derde veiligheidsregel.
https://www.alertonline.nl/experts/veilig-bankieren

... hanteren cybercriminelen het principe: eenmaal dom, altijd dom.
https://www.fraudehelpdesk.nl/nieuws/als-naam-op-sucker-list-staat/

... maken bedrijven zich grote zorgen over cloud storage, maar ze doen daar vervolgens weinig aan.
https://www.helpnetsecurity.com/2016/10/14/cloud-encryption-misconceptions/

... is de waarde van een CEH- of CISSP-certificering betrekkelijk.
https://www.alienvault.com/blogs/security-essentials/are-security-certifications-worth-your-time

... hebben eigenaren van de Samsung Galaxy Note 7 een beschikbaarheidsprobleempje.
http://money.cnn.com/2016/10/10/technology/samsung-galaxy-note-7-turn-off/index.html

... vinden er cyberaanvallen plaats op nucleaire installaties.
http://linkis.com/mobile.reuters.com/a/3Db8v