Ik ben vast niet de enige die zich in de kerstvakantie over bitcoins
heeft gebogen. Dat gebeurt in veel gevallen uit hebzucht of uit vrees iets
belangrijks mis te lopen – the fear of
missing out (FOMO). Gelukkig kan ik
me nog een beetje verstoppen achter beroepsmatige interesse, maar eerlijk gezegd
is het toch omgedraaid: ik zou best wel een graantje van de hausse willen
meepikken en zoals zo vaak let ik daarbij speciaal op de beveiligingsaspecten. En
die zijn er wel degelijk. Het is simpel: het gaat om geld en dús is de
veiligheid in het geding. Tot nu toe heb ik nog geen rooie cent in welke
cryptovaluta dan kunnen steken, maar ik heb wel al voldoende materiaal voor een
blog hierover.
Voordat je iets met cryptovaluta – de verzamelterm voor bitcoin en altcoins zoals ether, monero en ripple –
kunt doen, moet je iets hebben om ze in op te bergen. Euro’s heb je op je
bankrekening, in je portemonnee of desnoods in je broekzak en voor cryptovaluta
heb je een wallet nodig. In die
wallet sla je codes op die de virtuele muntjes die je bezit vertegenwoordigen.
Je kunt cryptovaluta op grofweg vier verschillende plaatsen opslaan: bij een
dienstenleverancier, in een programma op je eigen computer/smartphone/tablet,
in een hardware wallet of op papier. Om
met die eerste te beginnen: die vind ik nogal link. De euro’s op mijn
bankrekening zijn keurig gedekt door de bankgarantie, daar staat de overheid
achter. Cryptovaluta zijn niet door een overheid of een instantie gereguleerd
en daarmee ook niet gegarandeerd. Als je dus je bitcoins ergens online hebt
opgeslagen en een hacker of de eigenaar van de dienst gaat ermee vandoor, dan
heb jij het nakijken. Die optie viel daarom al snel af voor mij.
De paper wallet is wat mij
betreft de frivoolste uit het rijtje. Je bewaart je codes letterlijk op papier
en dat gaat gepaard met de nodige rompslomp. En als je papiertjes op de tocht
komen te staan en wegwaaien, dan is je fortuin ook weg. Een hardware wallet is wat dat betreft veel
robuuster en bovendien bevat hij geavanceerde beveiligingsmaatregelen. Het is
een speciaal soort USB-stick en geldt als de veiligste manier om je
cryptovaluta op te slaan. Maar daar hangt dan weer een prijskaartje aan dat
begint bij zo’n zeven tientjes en tot in de honderden euro’s loopt. Maar dan
kan er ook geen enkele hacker bij. Je kunt een back-up maken, want zo’n klein
ding kun je natuurlijk toch vrij gemakkelijk kwijtraken. En mocht je de
toegangscode vergeten, dan is er nog een lange passphrase die je centen kan
redden.
Optimaal beveiligen is het maken van afwegingen tussen enerzijds
veiligheid (bescherming) en anderzijds bruikbaarheid – het moet allemaal nog
wel zonder al teveel inspanning werken hè. En zo kom ik voor mijn doel uit bij
een software wallet op mijn eigen pc. Daarmee heb ik het geld in eigen beheer
en het kost niks. Natuurlijk moet ik mijn pc dan wel afdoende beveiligen. Ik
heb mijn walletsoftware op twee pc’s geïnstalleerd en ze beheren allebei
dezelfde wallet. Gaat één computer stuk, dan ben ik niet meteen alles kwijt.
Als je eenmaal een wallet hebt, dan wil je daar ook iets in stoppen. En
waar haal je dat vandaan? Dat was ook nog een hele zoektocht. Als bitcoin-newby weet je nog niet welke bitcoin exchanges goed staan
aangeschreven, maar als je diverse bronnen raadpleegt krijg je al gauw een
aardig beeld. Het leek mij handig om het dicht bij huis te zoeken: een
Nederlandse exchange waar je via iDeal kunt betalen. Leuk bedacht, maar ik was
dus inderdaad niet de enige FOMO’ist en daardoor zijn die bedrijfjes
geëxplodeerd. Ze nemen momenteel geen nieuwe klanten aan. Dan toch maar naar
het buitenland. Daar wilden ze me wel hebben, maar of ik nog even een kopietje
van een ID-bewijs wilde opsturen. Geen probleem: paspoort scannen, BSN afdekken
en een ‘watermerk’ maken met datum en doel van de kopie. Ik had er nog onder
geschreven dat ik het BSN had afgedekt om identiteitsfraude tegen te gaan.
Helaas, je mag niets afdekken. En o ja, een scan mocht ook al niet, het moet
een foto zijn. Een foto die ik maakte met de speciaal daarvoor bedoelde app
KopieID (van het ministerie van Economische Zaken) mocht ook al niet. Op de
site stond dat een watermerk is toegestaan, maar in de praktijk wordt zo’n foto
toch afgewezen (dat zal wel een geautomatiseerd proces zijn dat niet door het
watermerk heen kan kijken).
Schoorvoetend heb ik, na een afkoelperiode van een paar dagen, een foto
zonder extra’s geüpload (nou ja, ik heb er wel voor gezorgd dat duidelijk is
dat het een foto is). Maar ik kan nog steeds niets kopen, want door de grote
drukte hebben ze zo’n twee weken nodig om alles te controleren. Ik moest
trouwens ook nog bewijzen dat het opgegeven adres klopt. Dat mocht met
bijvoorbeeld een bankafschrift of een energierekening. Lijkt me geen heel
betrouwbare methode, maar dat is niet mijn probleem. Ik heb alle bedragen op een
bankafschrift afgedekt en dat mag kennelijk wel.
Als we het in de informatiebeveiliging over beschikbaarheid hebben, dan
doelen we daarmee doorgaans op het beschikbaar zijn van jouw gegevens en
processen. In de wereld van de cryptovaluta heerst momenteel een heel ander
beschikbaarheidsprobleem: als kritische nieuwkomer krijg je niet gemakkelijk
een voet tussen de deur. Ik heb dan ook te doen met ransomeware-slachtoffers
die bereid zijn om het gevraagde losgeld te betalen. De criminelen wensen
uitbetaling in bitcoins en die zijn dus moeilijk te bemachtigen. En nu maar
hopen dat die criminelen daardoor failliet gaan.
En in de grote boze buitenwereld …
... weet je dat een kwetsbaarheid belangrijk is als zij een naam en een
logo heeft. Momenteel kampt de wereld met twee van dergelijke kwetsbaarheden
tegelijk: Spectre en Meltdown. Meestal gaat het om kwetsbaarheden in software, maar
dit duo speelt zich af in processoren.
- Uitleg voor Jip en Janneke: https://ds9a.nl/spectre/
- Iets moeilijker: https://www.wired.com/story/critical-intel-flaw-breaks-basic-security-for-most-computers/
- Nerds only: https://nakedsecurity.sophos.com/2018/01/03/fckwit-aka-kaiser-aka-kpti-intel-cpu-flaw-needs-low-level-os-patches/
... veroorzaken de updates die Spectre en Meltdown moeten verhelpen zelf
ook problemen:
- https://www.volkskrant.nl/economie/microsoft-erkent-pc-s-en-laptops-met-oude-windows-trager-na-noodzakelijke-update~a4556132
- https://www.theregister.co.uk/AMP/2018/01/08/microsofts_spectre_fixer_bricks_some_amd_powered_pcs
... is een gratis tool beschikbaar om je Windows-computer te testen op
Spectre en Meltdown. Lees vooral ook de commentaren op dit artikel, die suggereren
dat je voorzichtig moet zijn met deze tool.
... brengen niet alleen de softwaremakers updates uit, maar ook de
hardwareboeren.
... speelt dit ook niet alleen op Windows-computers.
... heeft iemand de nieuwste Star
Wars-film onder het beveiligingsvergrootglas gelegd.
... word je afgeluisterd door gratis apps, want tja, gratis bestaat nu
eenmaal niet.
... is het niet verstandig om je browser wachtwoorden te laten
onthouden.
... gaat de Edge-browser behalve wachtwoorden ook creditcardnummers
opslaan.
... beschrijft dit artikel de verschillende soorten malware die we
kennen.
... moet je liegen als je beveiligingsvragen beantwoordt.
... bestaan er veiligere vormen voor tweefactor-authenticatie dan sms.
... heeft de Roemeense politie vijf cybercriminelen opgepakt op basis
van informatie van het Team High Tech Crime van de Nederlandse politie.
... werd aan cybercriminelen gevraagd waarom zij ransomware verspreiden.
... is het tv-programma Hunted
wel realistisch, maar niet altijd echt.
... krijgen Amerikaanse slachtoffers van Microsoft-bellers een vergoeding.
... zijn groepschats in WhatsApp en Signal niet veilig. In theorie
althans.
Geen opmerkingen:
Een reactie posten