Rolf wilde een bestand met vertrouwelijke inhoud naar Dolf sturen. Nou
was Rolf bepaald geen digibeet en hij had wel eens iets gelezen over de gevaren
die helaas gepaard gaan met het gebruik van computers. Daardoor wist Rolf dat
je ervan moet uitgaan dat mail niet beveiligd is. In de analogie met gewone,
papieren post moet je e-mail op gelijke hoogte positioneren als een briefkaart:
iedereen die de briefkaart ziet langskomen, kan lezen wat erop staat.
Omdat Rolf dit allemaal wist, en bovendien besefte dat hij een
vertrouwelijk bestand ging mailen, beveiligde hij het bestand met een
wachtwoord. Als je dat wachtwoord niet weet, dan kun je de inhoud van het
bestand niet lezen. Zo gezegd, zo gedaan: het mailtje met versleutelde bijlage
zocht zijn weg naar Dolf en niemand die het zag langskomen kon het lezen.
Ook Dolf niet, trouwens. Dat laatste snapte Rolf ook wel, en dus stuurde
hij er gauw een mailtje achteraan: “Beste Dolf, het wachtwoord voor het
bestand, dat ik je zojuist stuurde, is gY6lw3#p[F).” Oei, dat is nou jammer.
Rolf snapte zo’n beetje hoe e-mail werkt, maar hij was niet consequent
in zijn handelen. Want dat tweede mailtje is net zo transparant als het eerste.
En als je het eerste beveiligt, waarom zou je dan denken dat je met het tweede
mailtje wél zomaar vertrouwelijke informatie kunt versturen?
Stel, hacker Harry onderschept het mailtje met het versleutelde bestand.
Er is dan geen enkele reden om te veronderstellen dat Harry niet ook het
mailtje met het wachtwoord onderschept. En dus kan Harry gniffelend kennis
nemen van wat er in dat bestand staat. Vervolgens kan hij daarmee doen wat hij
wil, bijvoorbeeld laten uitlekken, of iemand ermee afpersen.
Misschien dacht je zonet: “Ja, nogal wiedes dat je dat niet zo moet doen!”,
of in een moderner jasje: “Duh!” Dan moet ik je toch teleurstellen. Bovenstaand
verhaal is namelijk niet tot stand gekomen doordat ik zat te mijmeren over wat
gebruikers zoal fout zouden kunnen doen. Nee, iemand ‘van de werkvloer’
vertelde mij dat de geschetste werkwijze daar schering en inslag is. En dat de
meeste van zijn collega’s ervan overtuigd zijn dat ze de boel op deze wijze
goed beveiligen.
Hoe moet het dan wel? Door het wachtwoord via een ander kanaal door te
spelen, zoals dat heet. Als de beveiligde informatie per mail is verstuurd, dan
geef je het wachtwoord langs een andere weg door – dat is alles behalve e-mail.
Dus bijvoorbeeld telefonisch, per sms, WhatsApp, desnoods huur je een postduif.
Waar het om gaat is dat het wachtwoord niet dezelfde route aflegt als het bestand.
Om dezelfde reden bewaar je in je laptoptas ook geen briefje waar je wachtwoord
op staat.
Er zijn tegenwoordig allerlei mooie afkortingen waar technologie achter
schuilgaat die ervoor moet zorgen dat e-mail wél veilig is: STARTTLS, DNSSEC en
DANE moeten samen je e-mail beschermen tegen afluisteren. Maar al dat moois
werkt alleen als de hele keten, van verzender tot ontvanger, eraan meedoet. Als
jouw organisatie of jouw provider dat niet doet, dan werkt het niet. En omdat
deze standaarden voor veilige e-mail nog niet overal zijn ingevoerd, moeten we
helaas nog stellen: ga ervan uit dat je e-mail kan worden afgeluisterd.
Binnen bedrijfsnetwerken kan e-mail trouwens wel prima beveiligd zijn.
Als je bij ons in een intern mailtje het vakje ‘Versleutelen’ aanvinkt, dan mag
je erop vertrouwen dat alleen de geadresseerden jouw mailtje kunnen lezen.
Zelfs collega’s, die gemachtigd zijn voor de mailbox van een geadresseerde,
kunnen deze mail niet lezen.
Gelukkig begrijpen steeds meer mensen het belang van
informatiebeveiliging. Vertrouwelijkheid van gegevens, waar het hierboven om
gaat, is waarschijnlijk het aspect dat het gemakkelijkst te begrijpen is. Het
is mooi dat veel mensen het snappen, maar nog mooier is het natuurlijk als ze
ook weten hoe ze moeten handelen. Maar dan wel graag van A tot Z, want anders
pleeg je schijnveiligheid. Je schrijft per slot van rekening ook niet je pincode
op je pinpas. Toch?
En in de grote boze buitenwereld …
... weet opeens heel Nederland wat Citrix is.
... hebben ransomware-criminelen een kliniek voor plastische chirurgie
aangevallen en vervolgens ook nog de patiënten afgeperst.
... zou de telefoon van Amazon-baas Bezos gehackt zijn door de
Saoedische kroonprins.
Journalistiek artikel: https://www.vice.com/en_us/article/v74v34/saudi-arabia-hacked-jeff-bezos-phone-technical-report
Populair artikel: https://www.grahamcluley.com/jeff-bezos-whatsapp-hacked/
... is de baas van Google voorstander van een moratorium op
gezichtsherkenningstechnologie. Microsoft is tegen.
... kun je allerlei trucjes toepassen om systemen voor
gezichtsherkenning om de tuin te leiden.
... ontstond er commotie nadat een beveiligingsbedrijf het advies
uitbracht om sms in de ban doen als middel voor tweefactorauthenticatie (2FA).
... heeft dat beveiligingsbedrijf zijn uiting gauw genuanceerd.
... kun je aardig onthand zijn als je password manager het even niet
doet.
... weet deze dashcam waar je bent. En vertelt dat aan iedereen die het
weten wil.
... heeft de baas van een bedrijf, dat andere bedrijven helpt om zich te
beschermen tegen DDoS-aanvallen, zelf DDoS-aanvallen laten uitvoeren.
... zijn er weer eens wat gegevens uitgelekt.
Geen opmerkingen:
Een reactie posten