Badmeester

We hebben al wekenlang het zwembad in de tuin staan. Het zwembad, dat is in ons geval een flinke lap zeil met een opblaasbare bovenrand waar je een paar uur lang water in laat lopen waardoor de zijwand van het gevaarte omhoogkomt en uiteindelijk een bak met Barbapapa-achtige consistentie vormt, met een diameter van drie meter en een inhoud van een kleine vier kuub (gevuld vóór de Grote Droogte).

Maar dan ben je er nog niet; het water is nog niet geschikt om in te badderen. Om te beginnen is het veel te koud, zo vers uit de kraan. Vanaf zo’n 26 graden is het warm genoeg om er even in te gaan; voor een langer verblijf moeten daar nog twee graden bij. Voor kinderen gelden overigens lagere normen, want die zitten toch niet stil. De zon zorgt ervoor dat de gewenste temperatuur – na een paar dagen –  wordt bereikt. Als je zo’n zwembad grotendeels in de schaduw hebt staan, dan is het een uitdaging om het water voldoende warm te krijgen, weet ik van onze vorige tuin. Daar legden we zwarte (schone!) vuilniszakken op het water om zoveel mogelijk zonlicht in warmte om te zetten en uiteindelijk kochten we zelfs een elektrische verwarming die tergend langzaam haar steentje bijdroeg.

Dan begint het echte werk, waarbij ik onwillekeurig aan Mijn eerste scheikundedoos moet denken. Ik weet nog goed dat we bij aanschaf van het zwembad een pot chloortabletten kregen aangereikt, met daarbij een drijver waar ze in moesten. "Tweemaal per week één tablet”, luidde het voorschrift. Inmiddels ben ik deze eenvoudige aanwijzing ver voorbij. In de garage staan, naast de chloortabletten, potten met chloorshock, pH^- (“peehaa min”), pH⁺, TA^- en anti-alg. En, heel prominent: de tester. Want ook hier geldt: meten is weten. Het probleem daarbij is dat je als amateur niet weet wát je allemaal moet meten. Toen na een tijdje bleek dat chloor alleen niet kan voorkomen dat het water eerst troebel en dan groen wordt, ben ik eens wat gaan opzoeken. Al gauw wist ik dat chloor alleen goed werkt als de zuurgraad, de pH, de juiste waarde heeft. Dat kun je bijsturen met pH^- en pH⁺. Dat ging beter, maar langer dan een week of twee bleef het water toch niet goed.

Om het water te testen gebruikte ik twee buisjes waaraan je twee verschillende vloeistoffen moest toevoegen. De ene voor chloorgehalte, de andere voor zuurgraad. Toen die vloeistoffen op waren en de winkel ze ook niet meer had, kocht ik teststrips. Je weet wel, van die kunststof strips met vlakjes die verkleuren en daarmee verklappen hoe het ervoor staat. Dat leverde een flinke frons op: de vloeistofjes zeiden dat de pH te hoog was, de strips daarentegen zeiden dat die juist te laag was. Wat nu? We kozen de kant van de teststrips, want met het oude systeem bleef het water immers niet echt lang goed.

Die strips hadden nog een derde vlakje, dat de ‘totale alkaliteit’ meet. En die was op een gegeven moment niet goed. Maar ik had niks om die waarde te beïnvloeden. Maar weer eens gegoogeld en toen bleek dat je éérst de alkaliteit op orde moet hebben, dán de pH en tenslotte het chloorgehalte. Iets met fundament, muren en dak, in die volgorde. Ik had een pot TA^- nodig, zo bleek. Dat spul is best duur en je hebt er veel van nodig, maar alla, met dit weer is verkoeling in eigen tuin toch erg prettig.

Inmiddels doen we al zes weken met dit water. Ik meet iedere dag en iedere dag moet er wel iets uit een van de potten in het water. Het is moeilijk om voor alle drie de waardes in het midden uit te komen, vooral omdat de TA^- ook de pH verlaagt… Bovendien zijn er nog andere factoren die het water beïnvloeden, zoals zonlicht en wij mensen. Toen ik gisteren nieuwe spulletjes moest bestellen zag ik dat ze ook teststrips met maar liefst zes meetvlakken hebben. Omdat het wel leuk moet blijven en ik geen nieuw beroep ambieer, heb ik die maar niet besteld.

Meten, grenswaarden, bijsturen, externe factoren – soms lijkt met wel alsof ik met mijn werk bezig ben als ik thuis aan het badmeesteren ben. Hoewel, we meten eigenlijk nog heel weinig in de informatiebeveiliging. Ja, hoeveel virussen onze scanners deze maand onderschept hebben weten we wel, en ook hoe vaak iemand aan onze firewalls heeft gerammeld. Daaruit kun je echter alleen afleiden dat die middelen een goede investering waren, maar het heeft geen enkele voorspellende waarde. Terwijl je toch liefst op voorhand al zou willen bijsturen – voordat het water troebel wordt. Van de externe factoren die ons bedreigen hebben we een aardig beeld. Denk daarbij aan diverse actoren – van script kiddies via malware-makers tot cybercriminelen en statelijke actoren aan toe – maar ook aan zaken als brand en menselijke fouten. Je kunt deze dreigingen niet uitsluiten, maar je kunt je er wel tegen wapenen. Een risicoanalyse laat je zien waar je op moet focussen, welke chemicaliën je nodig hebt om het water helder te houden.

Binnenkort ga ik het zwembad preventief leegpompen, want we gaan op vakantie. Als je het water gedurende die paar weken aan zijn lot zou overlaten, dan zou je bij thuiskomst zien dat de algen een staatsgreep hebben gepleegd. Eenzelfde effect alsof je je virusscanner een paar weken niet hebt bijgewerkt maar wel de computer ingeschakeld aan het internet had hangen. Ik hoop dat het aan de andere kant van de vakantie nodig is om het zwembad opnieuw te vullen omdat we dan nog steeds lekker warm weer hebben. En dat het in de tussentijd voldoende heeft geregend om dat zonder gewetensnood te kunnen doen.

Dit is de laatste Security (b)log aan deze kant van de zomervakantie.

En in de grote boze buitenwereld …

... zorgen trollen voor vertroebeling van de publieke opinie.

https://www.nrc.nl/nieuws/2018/07/15/de-russische-trollen-zijn-anti-islam-en-voor-wilders-a1610155

... zijn er nog steeds mensen die betalen als ze een dreigmailtje ontvangen.

https://tweakers.net/nieuws/141171/e-mailscam-over-uitgelekt-wachtwoord-levert-criminelen-minstens-8-bitcoin-op.html

... wordt geld witgewassen via games.

https://www.tripwire.com/state-of-security/featured/hackers-automate-the-laundering-of-money-via-clash-of-clans/

... mag je nu reageren op de voorgestelde wijzigingen op de Wet op de inlichtingen- en veiligheidsdiensten (de sleepwet).

https://tweakers.net/nieuws/141161/nederlandse-regering-vraagt-reacties-op-aanpassingen-sleepwet-wiv.html

... kun je natuurlijk ook navigatiesystemen hacken.

https://nakedsecurity.sophos.com/2018/07/17/how-to-spoof-someones-gps-navigation-to-send-them-the-wrong-way/

... zijn uiteraard ook stofzuigers te hacken.

https://www.security.nl/posting/570601/Aanvaller+kan+robotstofzuiger+door+lek+gebruiken+voor+spionage

... is Office 365 ook met twee-factorauthenticatie niet per se veilig.

https://www.theregister.co.uk/2018/07/13/2fa_o365_bypass_attacks/

... wordt vaak ten onrechte verondersteld dat iets niet meer mag van de AVG.

https://blog.iusmentis.com/2018/07/16/nog-meer-dingen-die-van-de-avg-ineens-niet-zouden-mogen/

... is je smartphone ook prima te volgens als gps uit staat.

https://www.security.nl/posting/569941/Smartphone-gebruiker+ook+te+volgen+als+gps+uit+staat

... biedt Nederland zijn cybersoldaten aan de NAVO aan.

https://www.security.nl/posting/570462/Nederland+biedt+NAVO+cybercapaciteiten+aan+voor+verdediging

Eenpitters

Hij was zzp’er en had een administratiekantoor met een kleine tweehonderd klanten. Van elke klant had hij een dossiertje in de vorm van een Word-bestand. Ieder bestand bevatte een inlogcode. Voor DigiD. Hij sprak de vraag niet uit, maar zijn ogen vroegen: doe ik dat goed zo?

Tja, waar moet je dan beginnen? Nee, natuurlijk doe je het zo niet goed, maar dat wist je zelf eigenlijk ook al. Ik kende de man niet, kon dus ook niet goed inschatten welke toon ik moest aanslaan en welk deuntje ik moest spelen. In ieder geval eerst maar iets van “oei!” en dat hij dat toch echt anders zou moeten doen, omdat hij wel naar zijn eigen bedrijf zou kunnen fluiten als hij gehackt zou worden – en dat zou wel eens tamelijk gemakkelijk kunnen zijn, schatte ik zo in.

Een password manager leek me wel een goed idee voor deze meneer. Helaas gaf hij geen blijk van herkenning. Ik legde uit dat een password manager een programma is waarmee je op een veilige manier wachtwoorden kunt opslaan en dat je dan zelf maar één wachtwoord hoefde te onthouden, namelijk het wachtwoord om toegang tot de password manager te krijgen. Hij bleef me glazig aankijken.

Oké, ik mocht dus niet aan zijn werkwijze tornen, begreep ik. Dan maar deze suggestie: beveilig elk Word-document met een wachtwoord. Dan is het versleuteld en dus niet te lezen als iemand het bestand “vindt”. Of elk bestand dan een ander wachtwoord moest hebben, vroeg hij. Die vraag gaf me in ieder geval het gevoel dat hij nu wel begreep waar ik het over had, dat moest ik vasthouden. Ik ontraadde hem verschillende wachtwoorden te gebruiken, want dat zou weer een lijstje van wachtwoorden opleveren … in een Word-bestand, zo vreesde ik. Nee, dan maar liever hetzelfde – sterke – wachtwoord op alle bestanden en dat op een veilige offline plek bewaren (een briefje in een geldkistje of zo).

Bij een grote organisatie kom je gemakkelijker aan mensen en middelen om informatiebeveiliging goed in te richten. Bij een klein bedrijf – en al helemaal bij een eenmanszaak – lijkt me dat schier onbegonnen werk. Ik heb daar geen persoonlijke ervaring mee, maar ik denk dat de meeste eenpitters hun handen al vol hebben aan het draaiend houden van hun bedrijf – vaak trouwens omdat ze het zo ontzettend druk hebben, zoals in de bouw. Daarnaast is de kans groot dat ze niemand in hun omgeving hebben die hen op het belang van informatiebeveiliging wijst en dat ze er zelf ook niet aan denken. Pas als de pc stuk gaat komen ze in aanraking met de B in BIV: beschikbaarheid. Als het klantenbestand en de financiële administratie opeens foetsie zijn, dan heb je toch echt een probleem. Bij de Word-bestanden van onze man hierboven draait het in eerste instantie om de vertrouwelijkheid van die bestanden en uiteindelijk ook om de integriteit van de gegevens van de klant.

De Kamer van Koophandel ziet deze problematiek ook en heeft daarom de webpagina ‘Een digitaal veilig bedrijf’* gemaakt, gericht op zzp’ers en het mkb. Daar staan heel basale tips, zoals: stel automatische updates in, maak backups en installeer beveiligingssoftware. ‘Basaal’ bedoel ik hier allesbehalve denigrerend; de natuurkundeles op de middelbare school begint ook niet meteen met de relativiteitstheorie. Je moet eerst een basis leggen door zaken als krachten, golven en energie uit te leggen. Ergens in de hogere klassen kun je dan voorzichtig beginnen over
E = mc². En zo werkt het overal, dus ook in de informatiebeveiliging.

De charmantste tip van de KvK vind ik deze: blijf ademhalen. Laat je niet bang maken, zeggen ze,  maar werk wel constant aan je digitale veiligheid. En geniet in de tussentijd van de voordelen van digitalisering en internet. Ergens vind je uiteindelijk de balans tussen risicobeheersing en gebruiksgemak. Trouwens, de meeste tips van de KvK zijn ook prima te gebruiken voor particulieren die beseffen dat ze eigenlijk iets moeten doen.

* https://www.kvk.nl/advies-en-informatie/fraude/een-digitaal-veilig-bedrijf/ 

En in de grote boze buitenwereld …

... hoeft het mkb de Autoriteit Persoonsgegevens nog niet direct te vrezen.

https://www.security.nl/posting/569535/Keijzer%3A+AP+richt+zich+bij+handhaving+AVG+niet+direct+op+mkb

... maakten scammers misbruik van de situatie in de Thaise grot.

https://www.grahamcluley.com/crypto-scammers-on-twitter-exploiting-thai-cave-rescue/

... heeft de nieuwste iOS-versie een feature die de iPhone moet beschermen tegen nieuwsgierige opsporingsdiensten.

https://www.theverge.com/2018/7/9/17549538/apple-ios-11-4-1-blocks-police-passcode-cracking-tools

... blijkt die nieuwe iOS-bescherming een grote achterdeur te hebben.

https://blog.elcomsoft.com/2018/07/this-9-device-can-defeat-ios-usb-restricted-mode/

... lekt een vliegmaatschappij op een knullige wijze passagiersgegevens.

https://www.grahamcluley.com/thomas-cook-airlines-poor-security-breach/

... hebben nu ook de Nederlandse strijdkrachten last van de positiebepaling van fitness-apps.

·         https://tweakers.net/nieuws/140707/defensie-blokkeert-fitness-apps-op-smartphones-na-datalek-polar-flow.html

·         https://decorrespondent.nl/8477/zo-haalden-we-binnen-2-minuten-staatsgeheimen-uit-een-fitness-app/723407242096-5e82cadb

... legt de baas van DuckDuckGo uit hoe hij met zijn privacy-vriendelijke zoekmachine toch geld verdient. (Hij praat ook over andere zoekmachines, waarbij je natuurlijk moet bedenken dat hij niet objectief is.)

https://www.quora.com/What-is-the-revenue-generation-model-for-DuckDuckGo/answer/Gabriel-Weinberg

... bepaalt deze malware aan de hand van een aantal karakteristieken op welke wijze ze jouw computer gaat uitbuiten.

https://thehackernews.com/2018/07/cryptocurrency-mining-ransomware.html

... kun je natuurlijk ook een parkeergarage hacken.

https://www.security.nl/posting/569576/Computersystemen+parkeergarages+Weert+gehackt

... sturen afpersers nu een van je gestolen wachtwoorden mee in de mail om je ervan te overtuigen dat ze over belastend materiaal beschikken.

https://isc.sans.edu/diary/23866

... hoef je een datalek pas te melden... als er een datalek is.

https://www.security.nl/posting/569506/Juridische+vraag%3A+Moet+elk+theoretisch+mogelijk+datalek+worden+gemeld+bij+de+toezichthouder%3F

... wordt het idee voor een digitale datakluis voor de burger weer van stal gehaald.

https://www.security.nl/posting/569669/D66+en+VVD%3A+Voor+elke+burger+digitale+kluis+met+persoonsdata

Veilige producten

Voor zover ik kan nagaan, was het publiek van de Security (b)log van vorige week groter en diverser dan gemiddeld. De titel was toen ‘Zoekt en men zal u vinden’ en het ging over het feit dat de meest gebruikte zoekmachines méér met je zoekopdracht doen dan alleen maar zoekresultaten opleveren. Jouw zoekopdrachten worden te gelde gemaakt en kunnen daarnaast tot heuse datalekken leiden.

Kennelijk dus een onderwerp dat aanspreekt. Grappig, want dit wisten we stilletjes toch allang? We houden ons alleen soms Oost-Indisch blind, want tja, gebruiksgemak. Pas als je er redelijk gemakkelijk te hanteren alternatieven bij noemt, die bovendien een vergelijkbare gebruikservaring geven, zijn gebruikers – jij en ik – mogelijk bereid om ons los te weken uit onze soms wat roestige gewoontes.

Eerder deze week was ik bij een bijeenkomst waar we probeerden in de toekomst te kijken. Wat zijn de belangrijkste ontwikkelingen op security-gebied voor de komende jaren? Ik opperde dat het prima is dat wij als informatie-beveiligers al jaren roepen dat bewustzijn bij de gebruikers – onze zo gekoesterde zwakste schakel – van cruciaal belang is, maar dat het beter beveiligen van ICT-middelen meer zoden aan de dijk zet. Er is nu eenmaal een grens aan wat je de gemiddelde gebruiker kunt leren. Ik heb dat hier al eens eerder genoteerd, maar in deze sessie was het leuk om het instemmende geknik live gade te slaan. In overheidskringen, waar men dit inmiddels ook heeft opgemerkt, wordt gezegd dat we aan de vooravond van het post-awarenesstijdperk staan.

Maar hoe krijg je de industrie zover dat ze intrinsiek veilige hard- en software gaan leveren? Misschien via wetgeving: je mag jouw producten en diensten alleen in de EU – denk groot – aanbieden als ze aantoonbaar een bepaald minimaal beveiligingsniveau hebben. Vroeger bestond het keurmerk Goedgekeurd door de Nederlandse Vereniging van Huisvrouwen, dat je op schoonmaakmiddelen en zo aantrof. We willen iets dergelijks, maar dan wellicht uitgegeven door ENISA (het beveiligingsagentschap van de EU), werd op die bijeenkomst geopperd.

Eleganter is het natuurlijk als wetgeving overbodig wordt doordat de markt zichzelf reguleert of, nóg mooier, doordat producenten goede beveiliging als unique selling point gaan waarderen: hun producten verkopen beter omdat ze wél goed beveiligd zijn. Dat ‘unique’ moet natuurlijk niet te lang duren; andere producenten moeten met hun onveilige rommel blijven zitten en daardoor óf uit de markt verdwijnen, óf hun producten rap aanpassen. Voorwaarde voor dit mechanisme is natuurlijk wel dat de veilige producten niet of nauwelijks duurder mogen zijn, want de meeste consumenten en – hopelijk in mindere mate – bedrijven zullen security voorlopig nog niet als unique buying reason zien (ze blijven nog even Oost-Indisch blind).

Als lichtend voorbeeld voor dit alles dook vorig jaar een veilige, schappelijk geprijsde gloeilamp van Ikea op, die je met je smartphone kunt bedienen. (Vroeger dachten we ook dat een tv-afstandsbediening alleen voor oude mensen nuttig zou zijn, ik ga me dus maar niet afvragen waarom je een connected lamp zou moeten willen hebben.) Ikea toont met dit verlichtingssysteem (de aanduiding ‘gloeilamp’ doet het product te kort) aan dat het gewoon kán – een veilig, betaalbaar IoT-device maken. Ik heb het even gecheckt, het spul is nog steeds te koop. Alleen jammer dat Ikea zelf geen gewag maakt van de mee-ontworpen beveiliging. Zouden de Zweden hun tijd zó ver vooruit zijn dat ze het niet noemenswaardig vinden, want normaal?

Al in 1993 verscheen in The New Yorker de beroemde cartoon met twee hondjes die voor een beeldscherm zitten en tegen elkaar zeggen: “On the internet, nobody knows you’re a dog.” Er is inmiddels een nieuwe variant: “On the internet of things, nobody knows you’re fridge.” Inderdaad, in deze cartoon zijn de hondjes vervangen door een kloeke koelkast, als symbool voor alle IoT-devices die nu al onderdeel uitmaken van onze digitale wereld.

Ik wil graag met je afspreken dat we, als we spullen kopen die een ip-adres hebben, erop letten of die spullen afdoende beveiligd zijn. En dat we ons niet laten verblinden door alle handige eigenschappen van zo’n apparaat. En voor de fabrikanten onder jullie: maak veilige producten en gebruik dat als verkoopargument!

En in de grote boze buitenwereld …

... kan het stopzetten van je krantenabonnement tijdens je vakantie ook al riskant zijn.

https://www.volkskrant.nl/nieuws-achtergrond/hackers-stelen-e-mailadressen-en-rekeningnummers-bij-de-persgroep~b8f3f56e

... kun je natuurlijk ook een superjacht hacken.

https://edition.cnn.com/2018/07/03/sport/is-yacht-hacking-the-next-big-cybercrime-spt-intl/index.html

... waren de USB-ventilatortjes, die journalisten cadeau kregen via de goody bag van de Trump-Kim-top in Singapore, waarschijnlijk geen Trojaanse paarden.

https://www.comparitech.com/blog/information-security/usb-fan-malware-trump-kim-summit/

... kunnen sommige app-ontwikkelaars jouw Gmail lezen. En daar heb je zelf toestemming voor gegeven.

https://www.nrc.nl/nieuws/2018/07/03/google-laat-via-omweg-toch-prive-mails-scannen-in-gmail-a1608777

... kun je dat meelezen ook gewoon voorkomen.

https://webwereld.nl/security/105690-zo-voorkom-je-dat-apps-je-gmails-meelezen

... wordt cybersecurity een verplicht vak bij ICT-opleidingen in het MBO. Maar waarom alleen daar?

https://nos.nl/op3/artikel/2239183-minister-wil-ict-opleidingen-aanpakken-cybersecurity-wordt-verplicht.html

... kan de cloud je veiliger maken, mits je met beide benen stevig op de grond staat.

https://nrclive.nl/de-cloud-ict-in-de-wolken-benen-op-de-grond/

... trekken populaire games malware aan.

https://www.rockpapershotgun.com/2018/07/02/fortnite-viruses-rampant-rainway-find/

... sturen sommige Samsung-telefoons willekeurige foto’s die jij hebt gemaakt naar willekeurige mensen.

https://gizmodo.com/a-bug-in-samsungs-default-texting-app-is-sending-random-1827291759

... heeft de staat Californië nu ook AVG-achtige wetgeving.

https://siliconangle.com/blog/2018/06/28/california-governor-signs-gdpr-like-privacy-law-sign-things-come/

... bejubelt dit interview Mikko Hyppönen, een van de belangrijkste persoonlijkheden in de informatiebeveiliging.

https://www.infosecurity-magazine.com/magazine-features/profile-interview-mikko-hyppnen

... reconstrueert dit artikel de cyberaanval die een jaar geleden heel Oekraïne platlegde.

https://www.volkskrant.nl/nieuws-achtergrond/een-jaar-na-de-cyberaanval-hoe-heel-oekraine-op-zwart-ging-~ba2f4532

... helpt dit NCSC-document je bij het ontwikkelen van veilige software.

https://www.ncsc.nl/actueel/nieuwsberichten/beleids--en-beheersingsrichtlijnen-voor-de-ontwikkeling-van-veilige-software.html