Ken je Victor Mids? Victor heeft een merkwaardige combinatie van
competenties: hij is arts en illusionist. In die laatste hoedanigheid is hij op
tv te zien in het programma Mindf*ck (dat sterretje hoort zo). Naar eigen
zeggen past hij in dat programma de medische wetenschap toe om zijn trucjes uit
te voeren. Als je voor de buis zit weet je nooit in hoeverre zo’n truc –
ondanks ontkenningen – is voorgekookt, maar onlangs mocht ik een live optreden
van Mids meemaken tijdens Security Bootcamp, de door Securelink georganiseerde
conferentie voor informatiebeveiligers. En dan weet je eigenlijk wel zeker dat
de slachtofferselectie zodanig verloopt dat er geen sprake kan zijn van
doorgestoken kaart. Bijvoorbeeld doordat die selectie plaatsvindt door middel
van een schuimrubberen baksteen die de zaal in wordt geslingerd.
Het aardige aan Mindf*ck is dat Mids menige truc uitlegt. Hij is een
meester in het manipuleren van de menselijke geest. Op de conferentie liet hij
dat op verschillende manieren zien. Bij de eerste truc mocht de kandidaat
kiezen uit twee omgekeerde bekers, een blauwe en een rode. Wat hij en het
publiek niet wisten, is dat onder één van deze bekers een scherp, puntig mes
rechtop stond en dat Mids een van de bekers met zijn vlakke hand zou platslaan.
Het was natuurlijk nogal belangrijk dat hij dat met de lege beker mocht doen.
Hoe kreeg hij de kandidaat zover dat hij de juiste beker koos?
Niet. Je dénkt namelijk alleen dat de keuze van de kandidaat het verdere
verloop van de gebeurtenissen bepaalt. Maar dat is niet zo. Wijst de kandidaat
de beker met het mes aan, dan is dat “de beker die we wegdoen”. Wijst hij de
lege aan, dan is dat “de beker waarmee we verder gaan”. Zo simpel is het.
In een ander voorbeeld werd de keuze van het slachtoffer gemanipuleerd
door het favoriete item hoger te houden dan het ongewenste. Kijk, dat zijn dan
van die semi-wetenschappelijke weetjes waar je iets aan hebt: je bent eerder
geneigd om iets te kiezen wat hoger wordt gehouden.
Nog eentje dan: hypnose. Met hypnose-achtige technieken kreeg hij het
voor elkaar om iemand uit het publiek aan de grond te nagelen. Zo’n beetje het
enige wat Mids deed, was hem wijsmaken dat zijn voeten enorm zwaar werden, zo
zwaar dat hij ze uiteindelijk niet meer kon optillen. Dezelfde truc gaan we in
het nieuwe tv-seizoen (vanaf 1 april) zien, met Marc Rutte in de
slachtofferrol. Overigens is dit wel de categorie trucs waarbij ik het wat eng
vind worden. In een van de tv-programma’s was te zien dat hij iemand onder
hypnose bracht zonder dat die persoon ervan afwist. Dit gebeurde ter
voorbereiding van een stunt waarbij deze persoon zogenaamd naar Parijs
ge-teletransporteerd werd (je weet wel, à la beam me up Scotty!). In werkelijkheid werd hij onder hypnose in een
bus erheen gebracht.
Mindf*ck Mids legde in zijn show geen link met informatiebeveiliging.
Dat ga ik dan maar doen. Als je hem bekijkt door de bril van de
informatiebeveiliger, dan is er één term die acuut komt bovendrijven: social
engineering. Man, wat zou die kerel een fantastische social engineer zijn. Dat
draait immers allemaal om het ongemerkt beïnvloeden van mensen met als doel dat
zij dingen voor je doen, of je informatie geven, zonder dat ze dat uit zichzelf
hadden gewild. Als informatiebeveiligers moeten we nog meer aandacht geven aan
de kwetsbaarheid van de mens. En dan bij voorkeur niet door nóg meer
awareness-training, maar door te voorkomen dat mensen in een kwetsbare situatie
terecht kunnen komen. De Veilige E-mail Coalitie is wat dat betreft een mooi
initiatief: als je ervoor zorgt dat mensen geen valse e-mail meer krijgen, dan
kunnen ze langs die weg ook niet meer besmet of gephisht worden.
De ICT doet trouwens zelf ook aan verbale manipulatie. Zo wees Mikko
Hypponen ons tijdens de conferentie erop dat alle devices waar ‘smart’ voor
staat – smartphone, smartwatch, smart tv, smart toaster et cetera – eigenlijk
‘exploitable’ devices zouden moeten heten. Passend daarbij merkte Michel van
Eeten het volgende op over apparatuur in het internet der dingen: “A fridge is
a computer that can cool.”
Informatiebeveiliging kan misschien wel wat meer magie gebruiken, maar
het is een illusie om te denken dat we ons naar volledige veiligheid kunnen
toveren. Let op dat je niet gemanipuleerd wordt.
En in de grote boze buitenwereld …
... vind je hier drie
heldere argumenten tegen het periodiek wijzigen van wachtwoorden.
... konden aanvallers je
WhatsApp- en Telegram-account overnemen middels een plaatje.
... hoef je een keylogger
niet meer in een pc te prikken. Kan tegenwoordig gewoon via de cloud.
... kun je op deze site de sterkte van je wachtwoord
testen (zonder het wachtwoord in te voeren). En je krijgt er meteen een
indicatie bij hoe lang het duurt om je wachtwoord te kraken.
... worden ICT-middelen soms
als wapens voor terroristen gezien.
... zet Mikko Hypponen in
dit korte filmpje de landen op een rijtje die voorop lopen in de
cyberwapenwedloop.
... minacht je de rechtbank
als je beweert dat je je wachtwoord vergeten bent, vindt een Amerikaanse
rechter.
... verraden de hoofdletters
al een beetje wat met SMiShing wordt bedoeld.
... is de CIA in staat om
met een simpel commando meer dan driehonderd verschillende modellen
Cisco-switches over te nemen.
... heeft Duitsland een
hogere staat van 'cyber'-paraatheid ingesteld in verband met de verkiezingen
later dit jaar.
... zal deze ransomware in
het bijzonder tot de verbeelding van Trekkies spreken.
... waren wereldwijd
honderden Twitter-accounts gehackt. Zij verspreidden haatberichten in het kader
van het diplomatieke conflict tussen Nederland en Turkije.
... kunnen werknemers geen toestemming
geven voor het registeren van privacygevoelige informatie.
... werkt het vernietigen
van data op een SSD-drive anders dan bij een harde schijf.
... vertrouwt Google de
certificaten van Symantec niet meer.
Geen opmerkingen:
Een reactie posten