Kerstcadeau

Kerstmis is voor mij traditioneel de tijd van de ‘grote cadeaus’. Dat was vroeger thuis in Limburg al zo, waar de mensen in groten getale meeliften met het Weihnachten van de oosterburen en Sinterklaas een ondergeschikte rol heeft. Dat is nu in mijn gezin nog steeds zo, want mijn vrouw komt uit dezelfde contreien als ik en de kinderen weten niet beter. Misschien zijn jullie ook nog cadeaus aan het inslaan (opschieten!). Voor het geval er een smartphone op iemands verlanglijstje staat, heb ik hier wat tips.

Een poos geleden schreef ik dat mijn eigen telefoon aan vervanging toe was, omdat hij geen updates meer kreeg. Ik stond voor een dilemma: ga ik een toestel, dat nog prima werkt, wegdoen, of neem ik nog een tijdje voor lief dat zo’n belangrijk stuk gereedschap geen beveiligingsupdates meer krijgt? Het dilemma had twee oorzaken: enerzijds waren daar de fabrikanten van Android-toestellen, die de meeste toestellen slechts twee jaar ondersteuning bieden (vanaf de introductiedatum, niet vanaf jouw aankoopdatum!), anderzijds voel ik weerstand tegen het vervangen van spullen die nog goed werken én nog voldoende bij de tijd zijn (dat laatste hoort er wel echt bij; ik ben niet zo conservatief als onze premier, die pas onlangs zijn oude tv heeft vervangen door een plat toestel).

Als je een smartphone wilt die lang meegaat, dan heb je drie opties*: een iPhone, een flagship van een Android-fabrikant en toestellen die op Android One draaien. Laat me, omwille van de overzichtelijkheid, de wereld eerst in twee kampen verdelen, omdat het daar toch voor vrijwel iedereen mee begint: iOS en Android. iOS, het besturingssysteem voor iPhones, krijgt duidelijk het langst ondersteuning. Zelfs bepaalde toestellen uit 2015 worden nog voorzien van iOS 14, de meest recente versie. We hebben het dan niet alleen over beveiligingsupdates, maar over volledige updates van het besturingssysteem; je krijgt er dus ook nieuwe functionaliteit bij. Kost een paar centen, maar dan heb je ook wat.

De Androidwereld is een stuk minder toekomstbestendig, zoals ik al zei. Koop je vandaag een toestel dat in 2019 is geïntroduceerd, dan houden de beveiligingsupdates in de meeste gevallen in de loop van volgend jaar al op. In de tussentijd krijg je (hopelijk) één keer een update van je besturingssysteem. Je toestel blijft het nog gewoon doen hoor, maar fouten in Android, die van invloed zijn op de beveiliging van je toestel, worden niet meer hersteld. Ja, dat is inderdaad waar beveiligingsupdates om draaien: het herstellen van fouten. Het is dus niet zo dat stoute hackers iets hebben gedaan waardoor je toestel kwetsbaar wordt, nee – het is de fabrikant van Android die steken heeft laten vallen, die op enig moment aan het licht komen en hersteld moeten worden. Gebeurt dat niet, dan komen die stoute hackers wél om de hoek kijken, want dan gaan ze mogelijk misbruik maken van zo’n kwetsbaarheid. Dat is op smartphones (inclusief iPhones) niet anders dan op andere computers.

Wil je een Android-smartphone die langer dan twee jaar meegaat, dan kom je uit bij de beste – en dus duurste – modellen, de zogenaamde flagships. Die gaan dan bijvoorbeeld maar liefst drie Android-generaties mee (je krijgt na aankoop twee keer een volledige update). De ‘levensduur’ verschilt overigens per fabrikant en daarbinnen per type toestel, pin me dus niet vast op het genoemde aantal jaren. Steeds meer fabrikanten beloven om steeds meer toestellen steeds langer te blijven ondersteunen, waarbij de kwaliteit van de informatieverstrekking overigens nog wel van fabrikant tot fabrikant verschilt. En o ja, dan is er ook nog grijze import. Als de webshop jouw toestel uit een ander Europees land heeft gehaald omdat het daar goedkoper is of hier niet door de fabrikant op de markt wordt gebracht, dan maakt dat het ook lastig om uit te zoeken hoe lang dat toestel updates krijgt (vooral bij fabrikanten waarbij je eerst op land en dan pas op toestel moet zoeken). Grijze import herken je vaak aan de afwezigheid van Nederlandse tekst in het handleidinkje dat in de doos zit.

En dan is er nog Android One. Een verwarrende naam, want One heeft niets te maken met de versie van het besturingssysteem. Het is de aanduiding voor een kale Android-versie, waar toestelfabrikanten niet nog een eigen schil (skin) omheen bouwen en die niet wordt vergezeld door allerlei apps die je meestal toch maar in de weg zitten. Omdat Android One zo dicht mogelijk tegen de originele Android van Google aan blijft zitten, kunnen beveiligingsupdates snel nadat Google ze uitbrengt naar jouw telefoon komen, en ook net zo vaak. En je krijgt ze minimaal drie jaar, zo luidt de belofte. Persoonlijk verkies ik Android boven iOS, en dan vind ik in Android One een mooie aanwinst voor levensduur en beveiliging.

* Ik weet dat er nog allerlei alternatieve Android-versies bestaan, maar die heb ik hier buiten beschouwing gelaten.

De komende twee weken verschijnt er geen Security (b)log.

  

En in de grote boze buitenwereld …

• moeten bedrijven, die in Duitsland willen meebouwen aan het 5G-netwerk en andere kritieke infrastructuur, garanderen dat hun spullen niet kunnen worden gebruikt voor sabotage-, spionage- of terroristische doeleinden.
• werd het beveiligingsnieuws deze week gedomineerd door een kwetsbaarheid die actief wordt uitgebuit en grote, wereldwijde impact heeft. Iets met een backdoor.
• Nederlands nieuwsbericht
• Relaas het beveiligingsbedrijf dat de zaak ontdekte
• kun je natuurlijk ook de Amerikaanse atoomwapenbeheerder hacken.
• acht het Openbaar Ministerie bewezen dat een Nederlander het Twitter-account van Donald Trump heeft gehackt. Het Witte Huis en Twitter ontkennen. Ondertussen staat het nieuws wel in de Washington Post, de Guardian en andere Engelstalige media.
• heeft de EU een nieuwe cyberbeveiligingsstrategie.
• heeft de EU ook het dreigingenlandschap voor kunstmatige intelligentie in kaart gebracht.
• hebben apps van Apple voortaan een privacy-label.
• dekken die nieuwe privacy-labels voor Apple-apps zich wel juridisch in.
• vergroot Europol zijn mogelijkheden om gegevens van criminelen te ontsleutelen.
• bellen ransomwarecriminelen hun slachtoffers tegenwoordig op.
• raakte een Gelders bedrijf miljoenen kwijt door phishing. De criminelen en een deel van de buit konden echter in Indonesië worden achterhaald.
• stort de MIVD zich vol op cyberspionage.
• komen er maatregelen tegen telefoonspoofing en smishing.

 

Wachtwoordsysteempje

Frans, Fred en Frits hadden alle drie een systeempje. Zonder het van elkaar te weten, hadden ze min of meer hetzelfde systeem bedacht. Niet om rijk worden in het casino, maar ze zouden er wel hun talloze wachtwoorden op een slimme manier mee kunnen beheren, dachten ze. Want, zo hadden ze geleerd, je moet voor al je accounts een ander wachtwoord gebruiken. Doe je dat niet en lekt je wachtwoord van account A uit, dan loop je ook gevaar voor accounts B tot en met Z.

Het systeem van de drie F’s zag er als volgt uit: elk wachtwoord bestond uit twee delen; het eerste deel was voor alle accounts hetzelfde, het tweede deel was variabel. Frans gebruikte voor het eerste deel een stukje voornaam en een stukje achternaam, Fred en Frits hadden een vast woord waar alvast de meest voorkomende wachtwoordeisen in voorkwamen (hoofdletter, cijfer, symbool). Meteen maar even een tip: het verwerken van je naam is niet aan te bevelen, net zomin als het gebruik van geboortedata, adressen, namen van huisdieren, auto- en biermerken, de naam van je lief en al die andere dingen die aan jou te linken en dus raadbaar zijn.

Maar het echte venijn zat ‘m in het tweede deel. Dat was namelijk bij hen alle drie een rechtstreekse verwijzing naar de naam van de site of het systeem waartoe het wachtwoord toegang gaf. Stel dat het vaste woord van Fred ‘moTorf1et$’ was, dan had hij dus wachtwoorden als moTorf1et$linkedin, moTorf1et$gmail en moTorf1et$rabo.

Waarom dat geen goed idee is? Op een slechte dag bemachtigt een hacker het wachtwoordbestand van een site waar jij een account had (dat overkwam LinkedIn bijvoorbeeld in 2014). Wachtwoorden horen versleuteld te worden opgeslagen, en wel dusdanig dat de versleuteling onomkeerbaar is. Maar niet alle bedrijven doen dat netjes, waardoor hackers er soms in slagen om de wachtwoorden leesbaar te maken. En dan ziet zo’n hacker jouw wachtwoord moTorf1et$linkedin en denkt: hmm, Fred heeft de naam van het account in zijn wachtwoord verwerkt, zou hij een wachtwoordsysteem gebruiken met een vast en een variabel deel? Laat ik eens proberen of ik op die manier bij een bank of bij een mailaccount kan inloggen… Hackers zijn vaak slimme mensen, mensen.

Frits besefte al jaren geleden dat dit systeem risicovol was en veranderde de verwijzing naar de site in willekeurige tekens die hij, samen met de naam van de desbetreffende site, in een lijstje ging noteren. Omdat het vaste deel van de wachtwoorden daar niet bij stond, was het niet zo erg als dat lijstje zou uitlekken. Frans vroeg onlangs aan iemand met verstand van informatiebeveiliging wat die van zijn systeem vond en heeft hopelijk inmiddels de nodige aanpassingen gedaan.

En Fred, die kreeg onlangs een wake-up call. Hij had een account aangemaakt bij een webshop en zoals gebruikelijk ontving hij even later een welkomstmailtje. Tot zijn schrik bevatte het mailtje, bij wijze van goedbedoelde service, Freds wachtwoord. E-mail is nog vaak als een briefkaart: iedereen die ‘m ziet – de postbode, een huisgenoot, een toevallige passant – kan lezen wat erop staat. En dus, zo besefte Fred, was zijn wachtwoordsysteem gecompromitteerd. Bovendien slaat die webshop de wachtwoorden van zijn klanten waarschijnlijk onversleuteld op, waarvoor ze een ferme tik op de vingers verdienen.

Laten we twee afspraken maken. Eén: als je, net als Fred, een mailtje van een bedrijf ontvangt waarin ze je wachtwoord vermelden, neem dan even de moeite om hen te laten weten dat ze daarmee de veiligheid van hun klanten in gevaar brengen. Twee: als je ook zo’n Frans/Fred/Frits-systeempje voor je wachtwoorden gebruikt, kijk er dan eens kritisch naar. Als het verwijzingen naar jou bevat, of naar het object waartoe het toegang geeft, dan is er werk aan de winkel.

Maar je kunt het nóg beter doen. Gooi je systeem overboord en stap over op een password manager: een app die al jouw wachtwoorden veilig bewaart én sterke wachtwoorden voor je verzint. Lekker lange, willekeurige wachtwoorden, zonder systeem. Want dat zijn de beste. Je favoriete zoekmachine helpt je om de voor jou meest geschikte password manager te vinden. Of praat eens met wat mensen die er al eentje gebruiken.

Doe het vandaag.

En in de grote boze buitenwereld …

• heeft een wereldwijde phishing-campagne het voorzien op tweehonderdmiljoen gebruikers van Microsoft 365.
• worden fabrikanten en verkopers van IoT-devices op hun informatieplicht gewezen.
• krijgt Amerika een nieuwe wet, die regels oplegt aan IoT-devices voor de federale overheid.
• keurde de AIVD onveilige systemen van Buitenlandse Zaken goed.
• stal een statelijke actor de gereedschapskist van een beveiligingsbedrijf.
• waarschuwt deze admiraal voor het onzichtbare deel van de cybersecurity-ijsberg.
• trappen online daters van middelbare leeftijd zo vaak in datingfraude, dat er een informatiecampagne voor komt.
• rijzen de prijzen van ransomwarecriminelen de pan uit.
• is pixelen niet goed genoeg als je informatie echt geheim moet blijven.
• gaat de politie het zoekgedrag van alle medewerkers monitoren, om lekken naar criminelen tegen te gaan.
• gaat het NCSC meer informatie uitwisselen met beveiligingsbedrijven.
• loopt de overheid achter met het beveiligen van e-mail.
• onderzoekt de overheid ons digitale bewustzijn.

 

Slotje

Als je groen licht hebt, dan heeft het kruisende verkeer rood. Ik had ooit een speelgoed-verkeerslicht waar dat op bijzonder eenvoudige technische wijze was geborgd: het bestond uit een enkele balkvormige armatuur op een paal, met naar alle vier de kanten een rood, oranje en groen glaasje. Aan twee tegenoverliggende kanten zaten die glaasjes in de verkeerde volgorde: groen boven, rood onder. Binnenin de armatuur zaten drie lampjes. Als het bovenste lampje brandde, dan hadden noord en zuid rood en oost en west groen. Oranje hadden ze allemaal tegelijk. Kon niet fout gaan. Maar in Apeldoorn mag je er niet op vertrouwen dat als jij groen hebt het kruisende verkeer stilstaat. Er hangt in de hele stad nergens een roodlicht-camera en daar gedragen automobilisten zich ook naar – er wordt zelfs door donkerrood gereden. De waarde van het sein ‘veilig’ is dus relatief; je moet altijd even checken of het ook echt veilig is.

Sta me nog één observatie uit het verkeer toe voordat ik bij het echte onderwerp van deze blog kom. We zijn eraan gewend dat verkeer van rechts op een gelijkwaardig kruispunt (zonder borden of verkeerslichten) voorrang heeft. Maar tot mei 2001 hadden fietsers geen voorrang op auto’s: er werd onderscheid gemaakt tussen langzaam verkeer en snelverkeer en voertuigen uit die eerste categorie moesten de anderen voor laten gaan. Langzaam verkeer was in de wet gedefinieerd als alles wat niet hard genoeg kon om de snelweg op te mogen. Toen de wet veranderde, was het in het begin natuurlijk een beetje link om als fietser te veronderstellen dat die automobilist, die van links kwam, daar ook van op de hoogte was.

En zo hebben we er ook jarenlang op gehamerd dat je op het internet goed moet opletten of je een slotje naast de adresbalk ziet. Slotje betekende veilig, geen slotje was (misschien) onveilig. Achter dat slotje gaat een digitaal certificaat schuil, dat twee dingen doet: het identificeert een website (vergelijkbaar met een paspoort) en het zorgt voor een beveiligde verbinding tussen jouw browser en de website, zodat anderen niet kunnen meekijken naar wat er over de lijn gaat (bijvoorbeeld de adres- en betaalgegevens die je bij een webshop invult).

Zo’n slotje is er in verschillende varianten. Als je een certificaat op een website wilt hebben, dan moet je aantonen dat het desbetreffende domein (xyz.nl, abc.com enzovoorts) op jouw naam geregistreerd is. Net zoals je bij de gemeente alleen een paspoort voor jezelf kunt aanvragen, zo kun jij ook geen certificaat aanvragen voor rivm.nl, want dat domein staat niet op jouw naam. Bij een luxere variant worden daarnaast de bedrijfsgegevens gecontroleerd bij de Kamer van Koophandel: jij wilt een certificaat voor mijnbedrijf.nl, maar bestaat dat bedrijf ook echt? Bij de certificaten die de overheid gebruikt (onder het PKIoverheid-stelsel), komt de leverancier naar je toe voor een face to face-controle, waarbij hij je identiteitsbewijs controleert en checkt of dat ook echt jouw document is. En je moet aantonen dat jij gemachtigd bent om namens jouw overheidsorganisatie certificaten te bestellen.

Maar nu komt het. Stel, jij registreert het domein ikbeneenboef.nl op jouw naam. En je bestelt een eenvoudig certificaat voor dat domein. Dat certificaat wordt keurig geleverd – het domein is immers van jou. Er prijkt nu een mooi slotje op jouw website. Vervolgens gebruik je die website voor criminele activiteiten. Je lokt mensen naar die site – phishing! – en laat ze daar persoonlijke gegevens invullen, of je serveert malware. Bezoekers wanen zich veilig, want ze zien dat slotje en denken dat ze zich geen zorgen hoeven te maken.

Maar net zoals verkeersregels veranderen en ‘groen’ niet per se hetzelfde is als ‘veilig’, zo is ook internetveiligheid in beweging en is de waarde van het slotje betrekkelijk. Criminelen doen namelijk tegenwoordig precies wat ik in de vorige alinea beschreef: driekwart van alle phishingsites heeft keurig een certificaat (bron: ENISA). Het is een kleine investering en criminelen hebben geleerd dat het loont om betrouwbaar over te komen.

Een rood verkeerslicht betekent dat je sowieso moet stoppen en groen betekent dat je kunt rijden als het veilig is, en zo betekent de afwezigheid van een slotje dat je daar beter wegblijft (en in ieder geval geen moet gegevens invullen, want de verbinding is niet beveiligd) en de áánwezigheid ervan dat je kunt doorgaan, mits je ervan overtuigd bent dat je op een legitieme site bent. Ben je daar echter terechtgekomen door op een link in een mogelijk verdacht mailtje te klikken, dan is het slotje in de browser geen reden om opgelucht te denken dat het mailtje ‘dus toch’ oké was.

 

En in de grote boze buitenwereld …

• evolueert malware ook: dit Trojaanse paard kan doordringen tot de UEFI van je computer en dat is slecht nieuws.

• staat een virtueel toetsenbord ook al niet meer garant voor niet kunnen afluisteren.

• kan deze gemeente niet meer bij haar gegevens.

• bestaat er goede hoop dat de volgende Amerikaanse regering cybersecurity serieus zal nemen.

• waren iOS-apparaten volledig over te nemen via wifi.

• slaagde de Braziliaanse overheid erin om meer patiëntendossiers te lekken dan het land inwoners heeft.

• kun je je Android-toestel nog wat veiliger maken met deze tips.

• is het vervelend als iemand jouw persoonlijke informatie online zet. Dit artikel legt uit wat doxing inhoudt.

• bezorgde een postbode de pakjes bij zichzelf, terwijl de geadresseerden (die nergens van wisten) voor de kosten opdraaiden.

• komen er waarschijnlijk zwaardere straffen voor WhatsApp-fraude en phishing.

• investeert de politie weer eens in het bijspijkeren van agenten op het gebied van cybersecurity.

·         

Coronatest

Die ochtend werd Rik wakker, draaide zich om in bed en greep toen snel de rand van het bed vast, want hij voelde G-krachten die er in werkelijkheid helemaal niet konden zijn, hij lag immers in bed. Rik was duizelig, en niet zo’n beetje ook. Later die dag begonnen z’n darmen ook nog op te spelen, en wel aan beide uiteinden, als je snapt wat ik bedoel. Het werd een beroerde zondag.

Omdat Rik de volgende ochtend nog steeds duizelig was, belde hij met de huisarts. Die vertelde wat Rik ook al had gelezen: deze symptomen kúnnen duiden op covid. Testen dus, was het devies. En zo belde Rik naar de coronatestlijn van de GGD. Na het opdreunen van BSN, geboortedatum en nog meer persoonsgegevens kreeg hij te horen dat hij zich nog die middag kon laten testen. “Alleen nog even een paar vragen: bent u verkouden? Hoest u? Hebt u koorts? Benauwdheid? Verlies van reuk en/of smaak? Nee, allemaal niet? Dan kan ik helaas geen afspraak voor u maken, het spijt me.” “Ja maar, de huisarts…”. “Sorry meneer, ik kan niets voor u doen.” Een typisch geval van computer says ‘no’.

En toch kreeg Rik even later een bevestigingsmail voor zijn afspraak. Oh, die dame heeft zeker over haar hart gestreken en de afspraak alsnog doorgedrukt, dacht hij. En dus liet hij zich later die dag naar de teststraat brengen. De portier kon Rik echter niet vinden in de computer. Daar deden ze verder niet moeilijk over, alleen: zonder haakje in de computer konden ze nergens testgegevens aan ophangen. Of Rik dus even ter plekke naar de coronalijn wilde bellen voor een nieuwe afspraak. Maar dan mocht hij er wel even tussendoor, hij was er nu toch. En dus belde Rik andermaal. De afgezegde afspraak was nog zichtbaar, en dus moest Rik met de billen bloot. De dame aan de andere kant was vriendelijk, doch onverbiddelijk: duizeligheid kwam niet voor op haar lijstje en dus kon ze geen afspraak maken. Nee, aan de huisarts hadden ze daar geen boodschap. En ook niet aan het feit dan vanaf 1 december zelfs mensen zonder klachten getest mochten worden.

Rik had het bijna opgegeven, maar toen kreeg hij een ingeving. “En wat als ik nu een hoestaanval krijg?” “Dan,” antwoordde de GGD’ster na een lichte aarzeling, “maak ik nu een afspraak voor u.” En dus hoestte Rik voor de vorm een paar keer in zijn telefoon. Vijf minuten later wroette iemand met een wattenstaafje in Riks hersenen (die stokjes zijn zó lang hè) en keelholte en de volgende ochtend wist hij dat hij geen corona had.

In de informatiebeveiliging werken we met white- en ­blacklists, tegenwoordig ook wel allow- en denylists genoemd. Op de eerste staat wat wel mag, op de tweede wat niet mag. Afhankelijk van hoe je het inricht, mag iets wat op geen enkele lijst staat standaard niet of juist wel. Een voorbeeld hiervan is de wijze waarop wij met onze zakelijke werkplek het internet betreden. We mogen overal naar toe, behalve naar sites die in bepaalde categorieën vallen, zoals gokken, porno en bestandsuitwisseling. Die categorieën – en daarmee alle sites die erin vallen – staan op de blacklist. Soms komt het echter voor dat een medewerker een goede, zakelijke reden heeft om tóch een geblackliste site te bezoeken. Dan kan hij een verzoek indienen; als dat positief wordt beoordeeld, dan komt die site op de whitelist. Andersom kan ook: als bekend wordt dat een site, die normaliter bona fide is, door een hack opeens malware verspreid, dan wordt die site tijdelijk op de blacklist gezet en kan niemand er meer bij.

In tegenstelling tot het coronatestgebeuren kennen wij dus wél uitzonderingen en ontheffingen. En dat is ook goed zo. Je kunt geen organisatie runnen en daarbij in alle gevallen star aan de regeltjes vasthouden. Als iemand een erg goede reden heeft om van de regels af te wijken, dan moet dat kunnen. Met een risicoanalyse bepaal je of het verantwoord is om een uitzondering te maken. Dat is lang niet altijd een dik rapport; soms is het gewoon een instant afweging op basis van professional judgement, een andere keer gaat het helemaal tot aan de directeur of nog hogerop. Uiteraard hebben die managers dan wel goede informatie nodig. En dat beseffen ze zelf natuurlijk ook; laatst mailde zo iemand: “Gelet op jullie adviezen, in de veronderstelling dat de adviseurs hier meer verstand van hebben dan ik (daar is ook niet heel veel voor nodig), in het besef van de urgentie, geef ik toestemming”.

De GGD had Rik heus wel zonder vals voorwendsel willen testen, maar dat kon de computer domweg niet aan: er moest iets worden aangevinkt en duizeligheid kwam niet voor in het lijstje (waarom niet eigenlijk?). Soms word je niet gestuit door starre regels, maar door starre programma’s. Een vakje ‘overige’ doet dan wonderen.

 

En in de grote boze buitenwereld …

• wist een Nederlandse journalist zich kinderlijk eenvoudig toegang te verschaffen tot een videoconferentie van Europese defensieministers.
• leidde dit incident tot Kamervragen.
• is niet alleen de beveiliging van je eigen systemen van belang, maar ook van die van je leveranciers en providers.
• heeft zelfs het Vaticaan te maken met cyberaanvallen.
• heeft de EU richtlijnen voor het beveiligen van het internet der dingen gepubliceerd. Het gaat me niet zozeer om de inhoud van het rapport (dat is meer iets voor de liefhebbers), maar om het langzaam doorsijpelende besef dat er nog heel wat te winnen valt bij het beveiligen van IoT-devices.
• staan er neppe Minecraft mods in Google Play, die maar één doel hebben: advertenties tonen.
• luistert je robotstofzuiger je nu ook al af. Met z’n ogen.
• maken ook criminelen dankbaar gebruik van de diensten van Google.
• is iedereen even vatbaar voor internetfraude.

 

Vang de phish

Phishing is hot, want er is een heleboel geld mee te verdienen. Het Europese agentschap voor cybersecurity, ENISA, heeft daar een mooi rapport over geschreven. Ik zal daar in deze blog uit voorlezen, en uiteraard zal ik dat hier en daar aanvullen met een eigen kijk op de zaak, anders zou het geen blog zijn.

Voor de zekerheid eerst maar even de definitie die het rapport hanteert: phishing is de frauduleuze poging om gebruikersgegevens zoals gebruikersnamen, wachtwoorden, creditcardgegevens of zelfs geld te stelen, waarbij social engineering-technieken worden toegepast. Met andere woorden: ze willen gegevens of geld van je jatten en doen dat door je op slinkse wijze over te halen om daar zelf aan mee te werken. Een soort elektronische babbeltruc dus. Je kunt daar zowel zakelijk als privé mee te maken krijgen. Nee, ik moet het anders zeggen: ik weet zeker dat je er privé al vaker mee te maken hebt gehad (tenzij je volledig offline leeft) en de kans is groot dat je er vroeg of laat ook zakelijk mee te maken krijgt. Voor wat betreft dat laatste zien we nu al veel gevallen van collega’s die phishing-sms’jes (‘smishing’) ontvangen. Overigens is e-mail nog wel het meest gebruikte medium voor phishing, maar wees je ervan bewust dat het je dus ook via andere kanalen kan bereiken – bijvoorbeeld via social media en WhatsApp (dat laatste noemen we ook wel WhatsApp-fraude). Voor wat betreft je zakelijke e-mail ben je trouwens wel redelijk goed beveiligd door allerlei technische maatregelen, maar helaas kun je daar niet blind op varen.

Ik zei al dat er veel geld omgaat in deze vorm van criminaliteit. ENISA heeft becijferd dat bedrijven vorig jaar voor 22,2 miljard euro het schip in gingen. Hoe werkt dat dan? De crimineel gebruikt eerst phishing om credentials te verzamelen – de combinatie van gebruikersnaam en wachtwoord. Als hij die eenmaal in bezit heeft en zijn slachtoffer ruikt geen lont, dan kan hij die credentials gebruiken om op het bedrijfsnetwerk in te loggen en meer informatie over de organisatie te verzamelen. Als hij voldoende op de hoogte is van hoe de organisatie in elkaar zit en wat de namen zijn van bepaalde sleutelfiguren, dan kan hij een gerichte aanval (spearphishing attack) lanceren op een medewerker die bij het geld kan. De aanvaller doet zich daarbij voor als een bepaalde medewerker, de directeur of misschien zelfs een vertrouwde leverancier en vraagt met een slimme smoes om geld naar een bepaalde bankrekening over te maken. Hij verpakt zijn verzoek in een overtuigende smoes, waarbij hij vaak ook aangeeft dat dit supervertrouwelijk is en een beroep doet op de discretie van zijn slachtoffer. Ondertussen heeft die niets in de gaten omdat het mailtje van een bekende afzender lijkt te komen. Deze vorm van fraude heet ook wel business e-mail compromise (BEC).

De phishingmail, waar het allemaal mee begint, bevat vaak een kwaadaardige bijlage en dat is dan weer meestal een Microsoft Office-document (in 42,8% van alle gevallen in 2019, zegt ENISA). In één derde van de gevallen kwam het woord ‘betaling’ in het onderwerp voor. Webmail en SaaS-diensten (Software-as-a-Service), met Office365 als koploper, vormen de belangrijkste doelwitten. En daarbij maakt de cybercrimineel graag gebruik van PhaaS: phishing-as-a-Service. Voor slechts vijftig tot tachtig dollar kun je een maand lang gebruikmaken van dergelijke phishingdiensten, waarvan er vorige jaar ruim vijfduizend bestonden.

Maar er is ook goed nieuws: vrijwel alle kwaadaardige mail vereist menselijk handelen om effectief te zijn. Met andere woorden: als de ontvanger niet op de aangeboden link klikt, de bijlage niet opent of de waarschuwing voor gevaarlijke inhoud (macro’s) serieus neemt, dan sterft de phish. En dus luidt het belangrijkste advies van ENISA: leid uw medewerkers op. En doe vervolgens een phishing-simulatie om te testen of ze het ook gesnapt hebben.

Wat ook geweldig goed helpt is tweefactorauthenticatie/tweestapsverificatie. Als dat bij een account aan staat, dan moet je, in ieder geval als je op een nieuw apparaat aanlogt, een code opgeven die (meestal) op je mobieltje verschijnt. Omdat de phisher daar niet over beschikt, komt hij niet verder. Maar pas op: ze zijn tegenwoordig zo brutaal dat ze je appen, sms’en of bellen met de smoes dat hún code per ongeluk naar jou is gestuurd, en of ze die asjeblieft mogen hebben. Geef nooit een code af die jij ontvangt; mocht er werkelijk een misverstand zijn, dan moet die ander maar een nieuwe code aanvragen. En natuurlijk heb je voor iedere online dienst een ander, sterk wachtwoord, dat je handig laat beheren door een password manager-app.

Ten slotte nog leuk weetje: dertig procent van alle phishingmailtjes ontvang je ’s maandags. Wrijf dus na het weekend eerst je ogen goed uit voordat je je mail opent.

 

En in de grote boze buitenwereld …

• combineerden deze phishers het nuttige met het aangename: ze werkten vanaf een vakantiepark.
• verdwenen twee Hilversumse phishers voor langere tijd achter de tralies.
• helpen banken slachtoffers van WhatsApp-fraude door hen de naam van de oplichter te geven.
• was het mogelijk om ongezien een Webex-meeting binnen te dringen.
  Pro tip: je kunt een vergadering of je persoonlijke ruimte op slot doen; dat kan ook automatisch na bijvoorbeeld vijf minuten.
• maakt thuiswerken je vatbaar voor afpersing.
• testte AV-test beveiligingssoftware voor MacOS Catalina.
• trekt deze ransomware de aandacht van zijn slachtoffer via de printer.
• is vooral het eerste commentaar op dit artikel over slimme deurbellen interessant.
• mag niet zomaar iedereen de Erasmusbrug aanzetten.
• voldoen veel politiesystemen niet aan de privacyregels van de Wet politiegegevens.
• moet de Autoriteit Persoonsgegevens haar groeistuipen nog even ophouden.
• heeft ook de Fraudehelpdesk last van fraude.

 

Vertrokken

Onlangs hebben we een teamgenoot uitgezwaaid. Hij zet zijn carrière nu in een andere organisatie voort. Als iemand uit een vierkoppig team vertrekt, dan heeft dat alleen al een flinke impact voor het werkvolume. En als het iemand betreft die in de drie jaar, waarin hij in je team zat, ruimschoots zijn meerwaarde heeft getoond, dan gaat het gemis veel  verder dan alleen 25% capaciteit.

Het heeft mij aan het denken gezet: wat zijn de kwaliteiten die we nu missen, en die we dus in zijn opvolger terug willen zien? En meer in het algemeen: wat maakt je tot een goede tactische security officer bij een groot datacenter?

Toen deze collega drie jaar geleden vanuit een ander team en een andere discipline bij ons kwam, was er meteen een persoonlijke klik. Is het een open deur als ik zeg dat dat onontbeerlijk is? Ik denk dat er best wel beroepen en functies zijn waarin je effectief kunt samenwerken zonder elkaar aardig te vinden. Maar ik heb ondervonden dat het in ons vak enorm helpt als je op ongeveer dezelfde golflengte zit en niet iedere discussie op het nulpunt hoeft te beginnen.

En wat hébben we gediscussieerd. Hoe zie jij dit, hoe zullen we dat aanpakken, wat vinden we hiervan? Het waren discussies zonder hakken en zand; de winst ging naar degene met de beste argumenten, maar het voelde helemaal niet als winnen – het was overeenstemming bereiken. Bijna alsof je als buitenstaander naar een stapeltje argumenten kijkt en op basis daarvan tot een conclusie komt. Zo klinisch begonnen de discussies natuurlijk niet, iedereen had een bepaald uitgangspunt – daar kwamen die argumenten natuurlijk vandaan. Samen vonden we nog aanvullende documenten. En als we er zelf niet uitkwamen, haalden we anderen erbij. Sommige discussies duurden twee minuten, andere misschien wel twee weken of langer, altijd gericht op een optimale uitkomst.

Als er een nieuwe medewerker in een team komt, dan wordt er vaak wat plichtmatig over ‘vers bloed’ gesproken. Zo van: wij zitten hier al jaren, het kan geen kwaad om de boel eens wat op te schudden en nieuwe inzichten, werkwijzen en technieken te introduceren. Dat zie je ook wel bij sommige stagiairs: die hebben tijd en gelegenheid om zich in een bepaald onderwerp vast te bijten en het tot op de bodem uit te zoeken. Dat levert soms standpunten op die wat naïef kunnen overkomen, doordat er bij die jonkies wel diepte, maar nog geen breedte in zit; er zijn nu eenmaal vaak ook andere afhankelijkheden en belangen. Het verse bloed heeft vooral meerwaarde als het vermengd wordt met oud bloed, met de kennis en ervaring van de zittende teamleden. Zo versterk je elkaar, zo hebben we ook met deze collega gemerkt.

Dat brengt me op het onderwerp organisatiesensitiviteit. Daar heb je een flinke dosis van nodig. Onder andere om recht te kunnen doen aan het aloude adagium choose your battles wisely. Maar organisatiesensitiviteit gaat veel verder dan alleen weten hoe de organisatie in elkaar zit en aanvoelen hoe zij zal reageren. Sommige mensen hebben een gebruiksaanwijzing, en het is erg handig om die te kennen. En je moet ook kunnen aanvoelen hoe handig een bepaalde formulering is. We gingen een keer samen naar een overleg met een teammanager. In de uitnodiging hadden we slechts het te bespreken onderwerp (een productnaam) benoemd, zonder verdere toelichting. Dat zette onze gesprekspartner op het verkeerde been: hij dacht dat wij een lans wilden breken voor dat product, waardoor we veel energie moesten steken in het resetten van het startpunt. We hebben dit als leerpunt genoteerd.

Ik zou bijna vergeten om het over vakkennis te hebben. Maar ja, dat ligt ook voor de hand hè. Ik ben niet zo onder de indruk van de lange reeksen afkortingen die sommige mensen achter hun naam hebben staan, vooral omdat ik weet dat sommige daarvan (niet alle!) tamelijk hol zijn. Misschien heeft mijn houding ten aanzien van certificeringen te maken met het feit dat ik zelf uit de tijd kom dat er geen opleidingen voor informatiebeveiliging bestonden. Je moest het doen met boeken (Paul Overbeek!), losse cursussen en kennis die inhuurkrachten inbrachten (ik heb nog met Paul mogen samenwerken, maar zeker in de begintijd heb ik enorm veel van allerlei tijdelijke collega’s geleerd).

Ga nou niet meteen allemaal solliciteren. We hebben namelijk op dit moment helemaal geen openstaande vacature. Dat heeft te maken met organisatorische veranderingen, waardoor ons team op een andere plek terecht gaat komen. Vanuit de oude plek wordt geen vacature meer opengesteld en de nieuwe plek kán dat nog niet doen. We zullen het dus nog een tijdje met z’n drieën moeten zien te rooien. Gelukkig zijn de hier genoemde kwaliteiten ook bij de achterblijvers aanwezig. Ja, we zijn nog steeds een leuk teampje.

 

En in de grote boze buitenwereld …

• helpt corona om het tekort aan informatiebeveiligers terug te dringen. Maar we zijn er nog lang niet.
• was een ransomware-aanval op een ziekenhuis toch niet doorslaggevend in de dood van een Duitse patiënte.
• kun je natuurlijk ook een brug hacken.
• maken ransomwarecriminelen tegenwoordig gebruik van advertenties op Facebook om hun slachtoffers onder druk te zetten.
• pleit Microsoft voor het afschaffen van sms als middel voor tweestapsverificatie (two-factor authentication, 2FA). Bedenk wel: sms is altijd beter dan helemaal geen 2FA.
• is het Privacy Shield niet meer geldig, maar een nieuwe regeling voor doorgifte van persoonsgegevens aan bedrijven buiten Europa is er nog niet.
• verdienen datingscammers miljoenen aan hun Nederlandse slachtoffers.
• was er wel degelijk sprake van verkiezingsfraude – ten faveure van de kiwi.
• adviseert de Kiesraad om stemmen per brief te beperken. Helaas vermeldt het artikel daar geen redenen voor.
• kun je hier bijdragen aan de Digital Meet-up Privacy & Security van Tweakers.net bekijken.
• richt een Indonesisch botleger zich op Nederland.
• verplicht Zoom zich door een schikking om beter om te gaan met de beveiliging van hun videoconferencing-product.
• heeft Bits of Freedom een aantal tips voor de verbetering van je online veiligheid op een rijtje gezet. (En nu maar hopen dat de ouderwetse graphics de lezers niet afschrikken.)
• werden weer eens miljoenen hotelgasten de dupe van slechte beveiliging van hun gegevens.
• gebruikte een 17-jarige phisher een QR-code op een echte brief om mensen in de val te lokken.
• raden we altijd dringend af om apps te installeren uit andere dan de officiële app stores, maar nu blijkt uit onderzoek dat de meeste malafide Android-apps uit de Google Play Store komen.

 

Sensing

Sensing. Laat dit woord eens even smelten op je tong. Misschien heb je, zo zonder context, de neiging om er een Aziatische draai aan te geven: sen-sing. Maar nee, het is ‘gewoon’ Engels. Het woordenboek (Van Dale) vertaalt het werkwoord in ‘(zintuiglijk) waarnemen’, maar in de techniek kan het ook ‘opsporen, registreren, ontdekken, meten, aftasten’ betekenen. Met een combinatie van de algemene en de technische vertaling kom je aardig in de buurt van het onderwerp van deze blog.

Ik zag de term in het rapport Trends in Veiligheid 2020 van Capgemini. Om de context goed te begrijpen, moet je weten dat er een verschil is tussen ‘veiligheid’ en ‘beveiliging’ – althans in mijn wereld. Veiligheid gaat over de klassieke beleving: hoe veilig zijn mens en maatschappij? Denk daarbij aan terrorismebestrijding en het algemene gevoel van veiligheid. Dat is een abstracter niveau dan het niveau waarop beveiliging zich afspeelt, want daarbij gaat het bijvoorbeeld concreet om de beveiliging van een evenement of een gebouw (fysieke beveiliging) of om de beveiliging van ICT-systemen (dat noemen we doorgaans logische beveiliging, wat misschien niet de meest logische benaming is; digitale beveiliging had ook gekund (en hoor ik daar iemand ‘cyber’ roepen?)).

Het genoemde rapport kiest positie op het snijvlak van veiligheid en beveiliging en heeft een artikel gewijd aan sensing. De auteurs definiëren de term als volgt: “Onder sensing verstaan we slim digitaal waarnemen met behulp van sensoren, waarbij een waarneming wordt vertaald naar een melding of aanbeveling.” Als ik die definitie lees, dan moet ik aan het dashboard van mijn auto denken. Die bevat allerlei sensoren, die hem continu in de gaten houden en lampjes doen oplichten of piepjes doen klinken als een meting buiten de geldende bandbreedte valt (bijvoorbeeld bandenspanning te laag) of als ze denken dat ik op het punt sta iets stoms te doen (bijvoorbeeld van rijbaan wisselen terwijl er een andere auto in mijn dode hoek zit). Het rapport weet natuurlijk ook dat we dat soort dingen al langer doen, maar het haalt het internet der dingen erbij: de sensoren zijn IoT-devices geworden, die via het internet met elkaar verbonden zijn en er desnoods voor zorgen dat een automatische reactie volgt. Ze spreken dan van Informatie Gestuurd Optreden en voeren voorbeelden op uit het domein van de veiligheid: toezicht op afstand door NVWA, het monitoren van vitale infrastructuur, maar ook de beveiliging van de muur tussen de VS en Mexico (‘Smart Border’). Maar je kunt er ook zakkenrollers in een outlet center mee vangen, weten ze in Roermond.

Zouden we sensing ook kunnen inzetten voor informatiebeveiliging? Doorgaans beschouwen we de fysieke beveiliging van ICT-systemen als onlosmakelijk onderdeel van de integrale beveiliging ervan, en dan weet ik wel raad met sensing. Denk bijvoorbeeld aan camera’s die het hek rond een datacenter in de gaten houden en die zelf een seintje geven als iets groters dan een vogel of een kat in de buurt komt, zodat beveiligers niet de hele tijd naar beeldschermen hoeven te turen.

Bij digitale beveiliging maken we ook gebruik van sensoren, al zijn die niet zozeer fysiek en tastbaar van aard, zoals de ABS- en botssensoren in je auto dat zijn. Wij maken doorgaans gebruik van sensoren in de vorm van programmacode, die data in de gaten houdt, en noemen dat monitoring. Hoeveel data komt er binnen op onze webserver? Is dat meer dan de ingestelde drempelwaarde? Dan is er mogelijk sprake van een DDoS-aanval. Het systeem kan dat signaleren en aanbevelingen doen, keurig volgens de definitie van de term sensing. Maar je kunt nog een stapje verder gaan door geautomatiseerd maatregelen te treffen. Je moet dan vooraf goed bedenken wat wel en niet automatisch mag worden afgehandeld – het middel moet niet erger zijn dan de kwaal.

Een andere verschijningsvorm van monitoring is het Nationaal Detectie Netwerk (NDN). In dit samenwerkings-verband wordt dreigingsinformatie gedeeld onder de deelnemers, waardoor een organisatie gebruik kan maken van sensoren in andere organisaties. Maar ook de inlichtingendiensten en het NCSC (Nationaal Cyber Security Centrum) leveren en verrijken informatie. De doelgroep van het NDN bestaat uit de rijksoverheid en vitale organisaties.

Ondertussen zit ik met een schuin oog naar de Amerikaanse presidentsverkiezingen te kijken. Op dit moment (vrijdagmiddag 1 uur) is het nog steeds spannend, maar trekt vooral het gedoe eromheen de aandacht. De zittende president, die het onderspit dreigt te delven, slaat om zich heen met rechtszaken en leugens. Misschien zouden deze verkiezingen ook baat hebben bij sensing, om het proces transparant te maken voor de kiezers. En wat meer – of eigenlijk: veel meer – sense zou ook welkom zijn.

 

En in de grote boze buitenwereld …

• moeten ambtenaren eens wat minder whatsappen.
• is het pijnlijk als een site, die je ‘hacker-IQ’ wil testen, lek is.
• hebben we te kampen met ruim vierhonderd nieuwe dreigingen per minuut.
• zul je je favoriete aperitief misschien een tijdje moeten missen.
• is een jonge Hagenaar opgesloten op verdenking van het aanbieden van phishing panels.
• overspoelde verkiezingsnieuws deze week mijn tijdlijn, waardoor het beveiligingsnieuws bijna volledig ondersneeuwde. Dat maakt de grote boze buitenwereld deze week erg klein.

 

Uit-aan

“Zet je computer maar eens uit en vervolgens weer aan.” Ik weet eigenlijk niet of helpdesks deze toverspreuk nog vaak uitspreken, maar er was in ieder geval een tijd waarin je die handeling maar beter uitvoerde vóórdat je ging bellen, omdat je toch al wist dat die mantra over je zou worden uitgesproken. Iets soortgelijks heb ik ooit in het groot uitgehaald. Toen ik lang geleden nog technisch ontwerper en COBOL-programmeur was, liep op een avond de batchrun (‘bulkverwerking’) van “mijn” programma op het mainframe vast. Eigenlijk had ik op dat moment naar kantoor moeten gaan om het probleem op de lossen, maar ik waagde de gok: “Start het programma maar eens opnieuw op en dan hoor ik het wel.” Nooit meer iets van gehoord. Ach ja, ik had het programma immers goed getest, daar kon het dus niet aan liggen. Als het verkeerd was afgelopen, dan hadden de volgende ochtend door het hele land mensen met de armen over elkaar gezeten.

Dat uit-en-weer-aanzetten klinkt misschien wat knullig, maar toch is het niet verkeerd. Zie het als het opschudden van je kussen, dat daardoor weer heerlijk zacht wordt (tenminste, als er dons in zit). Het werkgeheugen (RAM) van de computer is vluchtig, wat betekent dat het alle data verliest als het wordt uitgeschakeld. Daardoor verdwijnt ook eventueel ‘aangeslibde’ rommel en is het geheugen weer fris en fruitig.

Dat geldt voor allerlei soorten computers, ook voor je mobiele devices (ja, ook je smartphone is ‘gewoon’ een computer – dat je er ook mee kunt bellen is tegenwoordig voor de meeste mensen bijzaak). Om met die laatste categorie te beginnen: er bestaan bepaalde kwetsbaarheden (programmafouten) die het mogelijk maken dat een kwaadwillende bestaande systeemsoftware vervangt door, eh, iets anders. En dat is dan natuurlijk iets waar de aanvaller baat bij heeft. Hij kan je toestel simpelweg laten doen waar hij zin in heeft. En aangezien hackers tegenwoordig vooral op geld en informatie uit zijn, kan een dergelijke aanval je geld kosten.

Toegegeven, een dergelijke aanval vereist vaak dat de aanvaller fysiek toegang heeft tot het ontgrendelde toestel, waardoor een dergelijke aanval vooral in het ‘hogere spectrum’ zal plaatsvinden, in de vorm van een gerichte aanval op een bepaalde persoon. Denk aan captains of industry, politici, opsporingsambtenaren – het soort gevallen waar in films een spannend muziekje en een tergend traag lopend voortgangsbalkje bij hoort. Er zijn echter ook aanvallen bekend waarbij dat fysieke contact met een ontgrendeld toestel niet nodig is, en dan komen jij en ik ook in beeld als potentieel slachtoffer. Overigens komt nogal eens de NFC-chip (onder andere gebruikt voor contactloos pinnen) in beeld als kwetsbaar onderdeel.

Soms is de remedie simpel: zet je toestel even uit. Als het daarna opnieuw opstart, dan wordt namelijk de originele systeemsoftware weer geladen – je hebt dan als het ware het kussen opgeschud. Maar laat ik hier gelijk een waarschuwing bij plaatsen: deze handeling is natuurlijk geen remedie voor alles. Een virus zal er heus niet door verdwijnen. Zie het meer als een altijd goed-actie. Doorgaans weet je niet of je toestel gemanipuleerd is, maar áls het zo is, dan kan een herstart heilzaam werken.

Ook ‘gewone’ computers, zoals je laptop, hebben er baat bij om aan het einde van de dag uitgezet te worden. Uit intern onderzoek blijkt dat zo’n acht procent van onze laptops niet dagelijks wordt uitgezet – en sommige daarvan zo’n beetje nooit. Dat is om diverse redenen jammer. Denk alleen al aan het stroomverbruik. Een niet-uitgeschakelde laptop zal na verloop van tijd weliswaar in de slaapstand gaan, maar hij heeft dan toch nog stroom nodig om het werkgeheugen ‘levend’ te houden. Verder is de brandweer er geen voorstander van om apparatuur uit het zicht continu aan de oplader te laten liggen. En de volgende ochtend, als je weer aan het werk wilt, kun je wel eens verbindingsproblemen ondervinden doordat je laptop denkt dat de VPN-verbinding nog intact is, terwijl de andere kant daar een eind aan heeft gemaakt. Moderne computers starten lekker snel op, dus tijdwinst is amper nog een reden om ze niet uit te schakelen. Zet ‘m dus aan het einde van de werkdag maar gewoon uit.

Je telefoon iedere dag herstarten gaat misschien wat ver in de huidige always on-maatschappij, maar wat dacht je van eens per maand? Dat moet toch wel kunnen? Er zijn wel meer dingen in huis die met een soortgelijke frequentie moeten gebeuren; daar zou je dit aan kunnen koppelen. Zo krijgt bij ons de vaatwasser een schoonmaakbeurt in de week waarin de groene container wordt geleegd. Dan kunnen de telefoon en de tablet ook wel even uit.

En in de grote boze buitenwereld …

• doe je er ook verstandig aan om een virusscanner op je Android-toestel installeren. Lees hier een recente producttest.
• delen cyberanalisten graag informatie met elkaar.
• ontwijkt de NSA vragen over het plaatsen van achterdeurtjes in technische producten.
• wil deze tech-journalist je een beetje bang maken.
• deel je iemands contactgegevens alleen als dat netjes is.
• ziet deze bank een acute toename in het aantal phishing-aanvallen op haar klanten.
• nemen we altijd voetstoots aan dat pinnen veilig is. Dat is ook zo, tenzij criminelen je op hun eigen apparaat laten pinnen.
• trapten bezoekers van een veiligheidsconferentie in een phishingaanval.
• blijkt de markt voor cybercrime as a service veel kleiner te zijn dan gedacht.
• vermomt de Emotet-malware zich nu als Word-upgrade.
• zijn camera’s met gezichtsherkenning voor de meeste bedrijven uit den boze.
• hebben cybercriminelen het op de Amerikaanse gezondheidszorg gemunt.
• hebben phishers miljoenen gestolen van de Republikeinen.
• moet je goed nadenken over het backuppen van data die je in de cloud opslaat.

 

Wachtwoorden bewaren

Pff, ik gebruik op m’n werk nogal wat wachtwoorden. Als ik er daar eentje van vergeet, dan kan ik niet meer werken en moet ik door een moeilijke procedure heen om dat wachtwoord te resetten. Weet je wat? Ik mail een lijstje met al mijn wachtwoorden naar huis. Mocht het dan een keertje misgaan, dan hoef ik alleen even in mijn privémail te kijken en kan ik meteen weer door. Lekker handig!

Het bovenstaande is niet mijn gedachtegang, maar, getuige een recent geval, wel die van sommige mensen. Zoals zo vaak met de beste bedoelingen. Ik kan het er, als informatiebeveiliger, toch niet mee oneens zijn dat iemand de continuïteit van zijn werkzaamheden veiligstelt? Nee, dat laatste is inderdaad een prima initiatief, alleen valt er wel wat af te dingen op de manier waarop sommige mensen daar invulling aan geven. Ik zal je uitleggen waarom de werkwijze uit de eerste alinea géén goed idee is. En natuurlijk wat je in plaats daarvan wél kunt doen.

Eerst maar even afrekenen met de stelling dat het resetten van je wachtwoord moeilijk zou zijn. Omdat wachtwoordresets een aanzienlijke aanslag op de capaciteit van een helpdesk plegen, verzinnen organisaties daar slimme doe-het-zelf-oplossingen voor. Je doet er goed aan om bij jouw eigen organisatie na te gaan wat hiervoor beschikbaar is. En voor privéwachtwoorden geldt dat die in de meeste gevallen eenvoudig te herstellen zijn via de link ‘ik heb mijn wachtwoord vergeten’.

Dan terug naar de eigenlijke kwestie: wachtwoorden mailen is niet oké. Een wachtwoord is een best wel belangrijk ding, dat je toegang geeft tot systemen en gegevens. Zou je de sleutel van je voordeur op een briefkaart willen plakken en per post ergens heen sturen, onder vermelding van het afzenderadres? Dat is namelijk precies wat je doet door wachtwoorden te mailen – ook al vermeld je de bijbehorende accountnaam er niet bij, want dat is geen geheim gegeven en dus te achterhalen, of het nou om een zakelijk user-id gaat of om het e-mailadres waarmee je bij een webshop inlogt.

We beschouwen te beschermen gegevens niet alleen als ze onderweg zijn (het verzenden per mail), maar ook als ze op de bestemming zijn aangekomen (de opslag ervan). Een per e-mail verzonden wachtwoord woont dan op de mailserver van je provider, in de mailfile op je computer en in je mobiel en misschien ook nog ergens op je harde schijf (we zien wel vaker dat wachtwoorden in een Excel-bestand worden gemaild, dat thuis waarschijnlijk in de map ‘Wachtwoorden’ wordt opgeslagen). Al deze plekken zijn er niet voor gemaakt om wachtwoorden te herbergen, omdat iedereen die toegang tot die opslaglocaties heeft, daarmee ook toegang tot je wachtwoordlijstje heeft.

Maar ik kan dat Excel-bestand toch versleutelen door er een wachtwoord op te zetten?, hoor ik je denken. Ja, dat kan, maar ons mailsysteem staat het extern mailen van versleutelde bestanden niet toe (omdat het dan niet kan worden gecontroleerd op bijvoorbeeld virussen). Ik hoop dat je dat niet als tip opvat – wat ik hier zeg is: een wachtwoordlijstje versleuteld mailen kán niet, maar onversleuteld mailen mág niet. Doe je dat wel, dan geef je kwaadwillenden in potentie de sleutel tot ons datacenter, of in ieder geval tot het gedeelte van de informatie waar jij bij kunt. En omdat hackers erg goed zijn in het verwerven van steeds hogere rechten, kan het mailen van wachtwoorden ernstigere gevolgen hebben dan je op het eerste gezicht zou vermoeden.

Maar hoe kun je er dan wél voor zorgen dat je geen wachtwoorden kwijtraakt? Het antwoord daarop heeft verschillende namen: wachtwoordkluis, password manager, password vault – allemaal benamingen voor toepassingen die voor één doel ontworpen zijn: het veilig opbergen van wachtwoorden en ze alleen aan de rechtmatige eigenaar ter beschikking stellen als die erom vraagt. Voor je computer thuis en voor je mobiel kun je kiezen uit tal van producten die, als het even meezit, met elkaar samenwerken: een op je mobiel ingevoerd wachtwoord is dan ook op je computer beschikbaar – en andersom. In mijn ervaring mogen die programma’s nog wel wat doen aan hun gebruikersvriendelijkheid; het gebruik is niet altijd even intuïtief. De meeste password managers hebben nog een belangrijke functie: ze kunnen veel betere wachtwoorden bedenken dan jij en ik. En omdat je die toch niet zelf hoeft te onthouden en in te vullen, mogen ze lekker lang en ingewikkeld zijn (waarbij vooral de lengte er toe doet).

Browsers zoals Chrome, Firefox en Safari bieden ook aan om je wachtwoorden op te slaan als ze zien dat je ergens inlogt. Maar die zijn nog niet zo goed als password managers, die speciaal voor dit doel gebouwd zijn, zo valt uit diverse artikelen hierover op te maken. En omdat ‘goed’ in deze context al gauw over veiligheid gaat, blijf je voorlopig beter nog even weg bij die ingebouwde wachtwoordkluizen.

En in de grote boze buitenwereld …

• wil het RIVM onze locatiedata gebruiken in de strijd tegen corona.
• is bedrijfscontinuïteit ook belangrijk als je ketchup produceert.
• kun je je data kwijtraken als je cloudprovider vindt dat daar iets onbetamelijks tussen zit.
• vinden cybercriminelen Office365 ook heel handig.
• geven grote winkels, na overleg met de Autoriteit Consument & Markt, betere informatie over slimme apparaten.
• krijgen slimme apparaten in Singapore een cybersecurity-label, waaraan de consument gemakkelijk kan aflezen of beveiliging is mee-ontworpen en of het apparaat op veiligheid is getest.
• heeft je slimme auto wel signaal nodig om gerepareerd te kunnen worden.
• blijven overheden steeds weer proberen om achterdeurtjes in versleuteling in te laten bouwen.
• adviseert de militaire inlichtingendienst grote bedrijven om smartphones uit de vergaderzaal te verbannen.
• is een digitale foto meer dan alleen een plaatje.

Roodkapje

“Zeg kind, waarom draag jij eigenlijk altijd dat malle kapje?”
“Wel grootmoeder, ter bescherming tegen de grote boze wolf!”
“Maar meisje, dat werkt toch helemaal niet.”
“Echt wel oma, mijn vriendinnen in het bos hiernaast lopen al met rode kapjes sinds de wolven kwamen en daar hebben ze veel minder last van die enge beesten.”
“Maar kind, de boswachter zei in de Fabeltjeskrant dat zo’n kapje niet werkt. De wolf kan maar matig kleuren onderscheiden, stond er, dus die laat zich echt niet afschrikken door zo’n felrood ding op je hoofd.”
“Ach grootmoeder, het lijkt wel alsof die boswachter gewoon niet wil toegeven dat zo’n kapje misschien toch wel een beetje werkt. Weet je, als het er ook maar voor zorgt dat één lief klein meisje minder door de grote boze wolf wordt verslonden, dan vind ik het al de moeite waard. En dan hebben we het er volgend jaar wel eens over of het echt maar een fabeltje was.”
“Nou Roodkapje, zal ik dan maar een extra mutsje voor je naaien? Welke kleur wil je?”

In dit verhaaltje wijzigde grootmoeder haar standpunt van ‘zinloos’ naar ‘baat het niet, dan schaadt het niet’. Maar het is lang niet altijd gemakkelijk om zo’n switch te maken, zeker als je je eerdere standpunt lange tijd te vuur en te zwaard hebt verdedigd. Bill Burr kan daarover meepraten. Hij bedacht in 2003 dat goede wachtwoorden een mix van hoofdletters, kleine letters, cijfers en speciale karakters moesten zijn, en dat ze regelmatig moeten worden gewijzigd. En omdat Burr voor het Amerikaanse standaardisatie-instituut NIST werkte, werden zijn ideeën breed geadopteerd. Niet alleen binnen de Amerikaanse overheid, maar wereldwijd.

Zo’n vijftien jaar later kreeg Burr spijt. Inmiddels was uit onderzoek gebleken dat mensen slecht zijn in het bedenken en onthouden van onvoorspelbare wachtwoorden (die onvoorspelbaarheid was het doel van de complexiteitsregels) en dat ze daardoor in vaste – en dus voorstelbare – patronen vervielen. Lengte maakt wachtwoorden sterk, en niet zo’n malle mix. Daarnaast zag hij in dat het regelmatig wijzigen van wachtwoorden averechts werkt, omdat dat eveneens het hanteren van patronen bevordert. Nou was Bills baas de kwaadste niet, en zo kon het gebeuren dat begin dit jaar, een kleine drie jaar na Burrs spijtbetuiging, een nieuwe serie NIST Special Publications verscheen (SP 800-63), waarin juist wordt afgeraden om complexiteitsregels en regelmatige vervanging voor te schrijven.

Nu de rest van de wereld nog. Op het werk en bij mijn bank worden nog steeds de oude regels gevolgd. Er lijkt een zekere vrees te zijn om ze los te laten. Vaak is er sprake van onbekendheid. Als een webwinkel bij het aanmaken van een account tegelijkertijd om een complex vraagt en de lengte daarvan sterk aan banden legt, dan zijn die nieuwe inzichten daar duidelijk nog niet doorgedrongen. Zeker voor mensen die een password manager gebruiken maakt het niet uit als een wachtwoord vijftig tekens lang is – ze hoeven het toch niet zelf te onthouden.

Begin jaren negentig kon ik op het werk nog alle programma opstarten die ik maar wilde (vanaf een floppy…). Daarna deed de Dichtgetimmerde Desktopcomputer zijn intrede: de baas bepaalde welk gereedschap je kon gebruiken. Dat is nog steeds zo; alleen is de desktop vervangen door een laptop. Maar er komt beweging in de zaak. Gebruikers zijn veel mondiger en veeleisender geworden en in de techniek is ook vooruitgang geboekt. One size fits all is niet meer van deze tijd en ook niet meer noodzakelijk om onze gegevens te beveiligen (daar was het immers allemaal om te doen – laten we dat vooral niet uit het oog verliezen). Over een poosje kies je zelf waar je op wilt werken en dan is dat apparaat zo ingericht dat er een strikte scheiding is tussen zakelijk en privé. In het privédeel kun je je gang gaan zonder dat dat het zakelijke deel beïnvloedt.

Ook bij het gebruik van de cloud is een voorzichtige kentering zichtbaar. Informatiebeveiligers vinden de cloud meestal levensgevaarlijk: je gegevens staan op de computer van iemand anders! Dat ís ook eng, maar je kunt je moeilijk aan dat standpunt blijven vastklampen als de hele wereld de cloud omarmt en veel moderne toepassingen alleen in de cloud bestaan. Je zult dan moeten shiften van ‘doen we niet’ naar ‘hoe kan het veilig?’ Om dat te onderzoeken gaan we een proef doen. Hoe werkt het, hoe bescherm ik mijn gegevens, wat komt er allemaal bij kijken? En dat doen we zónder echte gegevens. Kleine stapjes geven meer vertrouwen dan een grote sprong.

Als de grootmoeder van Roodkapje haar standpunt kan herzien, dan kunnen wij dat ook. Nu de boswachter nog.

En in de grote boze buitenwereld …

• hebben we nieuwe technologieën ook nodig om onze cyberweerbaarheid te versterken.
• mag je slimme deurbel niet zomaar alles filmen.
• mag je ook al niet zomaar screenshots van WhatsApp-gesprekken delen met anderen.
• waarschuwen ze ook in Amerika voor de Emotet-malware.
• heeft Microsoft enkele tonnen uitbetaald voor kwetsbaarheden die in Azure Sphere werden aangetroffen tijdens een bug bounty challenge.
• trekt Instagram ten strijde tegen online pesten.
• arresteerde de Franse politie horeca-ondernemers die geen wifidata bewaarden.
• moet er meer toezicht op internet komen, vinden het OM en burgemeesters.
• kun je nu ook privacyvriendelijk navigeren.
• kun je natuurlijk ook seksspeeltjes hacken.
• kon je zomaar iemands Grindr-account overnemen.