Ruimtepuin

De NASA is boos op India. Die hebben namelijk deze week een van hun eigen satellieten kapotgeschoten met een raket. Waarom zou je dat doen? Om te testen of je,  als de ‘noodzaak’ zich voordoet, ook andermans satellieten uit de ruimte kunt knallen natuurlijk. Oké, dan zou de regering boos moeten zijn, maar waarom de NASA? Vanwege de rommel die het geeft.

Er vliegt nogal wat ruimtepuin om de aarde. Het Amerikaanse Ruimtecommando volgt met radar en optische instrumenten zo’n 23 duizend objecten die groter zijn dan een decimeter. Dat doen ze – en nu komt de bron van de boosheid – omdat al die rommel een directe bedreiging vormt voor satellieten en ruimte-vaartuigen zoals het ruimtestation ISS. In de ruimte gebeurt alles op hoge snelheid: bij een frontale botsing hebben we het over relatieve snelheden tot zestien kilometer per seconde – dat is 57.600 kilometer per uur. Als je op de fiets wel eens een bromvlieg in je gezicht hebt gekregen, dan begrijp je dat zelfs een klein deeltje, zoals een afgebladderd stukje verf, schade kan veroorzaken. En als je al die kleine rommel ook meetelt, dan zijn er meer dan een half miljoen door de mens gemaakte stukken ruimteafval. Dat komt niet alleen van proeven met antisatellietraketten; het gaat bijvoorbeeld ook om restanten van raketten, gereedschap dat ruimtewandelende astronauten hebben laten ‘vallen’ en een tandenborstel. Als ik naar bovenstaand plaatje kijk, dan vermoed ik dat astronauten vaak moeten bukken om niet geraakt te worden. Als de kans op een botsing groter is dan één op tienduizend, dan maakt het ISS een uitwijkmanoeuvre.

Er wordt natuurlijk nagedacht over een grote schoonmaak. Maar wie werpt zich op als ’s werelds ruimtevuilnisman? Dat klusje is goedkoop noch gemakkelijk, en men verstopt zich graag achter juridische vraagstukken als eigenaarschap en mandaat.  We komen nu op het punt waar ik de link naar informatiebeveiliging kan leggen. Daar hebben we namelijk ook last van zooi die niet wordt opgeruimd. En ook daar spelen de genoemde smoezen om voorlopig niet te hoeven opruimen een rol. Het bekendste voorbeeld zijn natuurlijk autorisaties, die zich bij iedere functiewisseling blijven opstapelen. Ik begon mijn werkzaam leven in de vorige eeuw als technisch ontwerper/programmeur. Pas jaren na mijn overstap naar de informatiebeveiliging werd mij voorzichtig gevraagd of ik die autorisaties voor het mainframe nog wel nodig had. Ons beleid schrijft al jarenlang voor dat de manager bij wie een medewerker vertrekt verantwoordelijk is voor het intrekken van diens autorisaties, maar dat blijft toch een moeilijke zaak. En dat zal bij andere organisaties niet anders zijn, wat dan natuurlijk weer geen argument is om het niet beter te gaan doen.

Een firewall is bedoeld om legitiem verkeer door te laten en de rest te blokkeren. In de loop der jaren zijn heel veel verzoeken om een poortje open te zetten gehonoreerd. Maar met het verstrijken der jaren zijn veel van deze openingen waarschijnlijk helemaal niet meer nodig, bijvoorbeeld doordat het product, waarvoor dat poortje open stond, er niet meer is. Als er geen goede administratie is, dan blijft zo’n poortje echter tot in de eeuwigheid openstaan, omdat niemand meer weet van wie het poortje is en wat er zou kunnen gebeuren als je het sluit. Soms wordt geopperd om dan maar het knijp-piep-systeem toe te passen: knijp maar dicht en wacht af of er iemand gaat piepen.

In de ruimtevaart wordt nagedacht over preventieve maatregelen. Als satellieten er na hun levensduur zelf voor zorgen dat ze in de atmosfeer verbranden, dan veroorzaken ze geen ruimterommel. Analoog hieraan zouden we aan bepaalde autorisaties en instellingen een houdbaarheidsdatum kunnen koppelen. De belanghebbende moet er dan zelf voor verlenging zorgen als dat nodig is. Doet hij dat niet, dan wordt zijn rommel netjes opgeruimd.

Tussen al die kosmische getallen wil ik nog even een bescheiden getal noemen. Je las net de driehonderdste Security (b)log (waarvan de laatste 107 afleveringen ook extern gepubliceerd zijn).

En in de grote boze buitenwereld …

... heeft de cybercharlatan weer toegeslagen.

https://www.volkskrant.nl/nieuws-achtergrond/cybercharlatan-van-rijbroek-stort-bedrijven-van-twentse-ondernemer-sanderink-in-bestuurlijke-chaos~b6541d3b

... zijn ook luchthavens kwetsbaar voor cyberaanvallen.

https://www.darkreading.com/vulnerabilities---threats/airports-and-operational-technology-4-attack-scenarios-/a/d-id/1334282

... arresteerde de Secret Service een Chinese vrouw die een karrenvracht aan malware bij zich had in het resort van president Trump.

https://www.nytimes.com/2019/04/03/us/politics/mar-a-lago-chinese-malware.html

... hadden de Chinezen ook een cyberaanval in petto voor een Duits farmaceutisch bedrijf. Althans, ze dénken dat het de Chinezen waren, want attributie is moeilijk.

https://www.reuters.com/article/us-bayer-cyber-idUSKCN1RG0NN

... toont ook nieuw onderzoek weer aan dat apps vaak te ruime permissies vragen. Dit artikel gaat over iOS, maar wees gerust: ook Android-apps kunnen er wat van.

https://www.wandera.com/mobile-security/ios-app-permissions/

... verkozen twee Amerikaanse huisartsen vervroegd pensioen boven het betalen van losgeld voor hun gegijzelde computers.

https://wwmt.com/news/local/west-michigan-doctors-office-hacked-doctors-held-for-ransom

... vormen homogliefen en homografen een serieuze bedreiging.

https://blog.blazeinfosec.com/what-you-see-is-not-what-you-get-when-homographs-attack/

... stipuleerde de baas van Facebook vier nieuwe regels voor het internet.

https://www.washingtonpost.com/opinions/mark-zuckerberg-the-internet-needs-new-rules-lets-start-in-these-four-areas/2019/03/29/9e6f0504-521a-11e9-a3f7-78b7525a8d5f_story.html?noredirect=on&utm_term=.25856083fed1

... reageerde de Britse privacy-toezichthouder heel ad rem op Zuckerbergs statement.

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/04/statement-on-mark-zuckerberg-opinion-piece/

... heeft de Amerikaanse digitale burgerrechtenbeweging EFF ook zo haar mening over het artikel van Zuckerberg.

https://www.eff.org/deeplinks/2019/04/mark-zuckerberg-does-not-speak-internet

... moet Facebook misschien toch maar eerst het eigen stoepje schoonvegen.

https://www.security.nl/posting/604005/Miljoenen+privégegevens+Facebookgebruikers+gelekt

... betekent de identificatieplicht niet dat iedereen zomaar om je paspoort mag vragen.

https://ictrecht.nl/2019/03/29/identificatieplicht-wat-mag-wel-en-wat-niet/

... staan jouw medische gegevens misschien in de cloud.

https://www.destentor.nl/binnenland/data-honderdduizenden-patienten-in-stilte-naar-google-verhuisd~af1950a9/

... wordt digitale spionage steeds complexer, zegt de AIVD.

https://www.security.nl/posting/603777/AIVD%3A+digitale+spionage+door+landen+steeds+complexer