Security (b)log: maart 2020

vrijdag 27 maart 2020

Mening versus expertise

Het is verdomd moeilijk om geen mening over corona te hebben. In de media (al dan niet social) komen talloze artikelen langs over onderzoeken, vergelijkingen met andere landen en goedbedoelde tips. Ik beperk me tot het lezen van de feitenverslagen, want als je al die andere stukken ook leest, dan moet je daar vervolgens ook zelf een mening over hebben: mee eens, niet mee eens, wat een onzin, dat zouden meer mensen moeten doen of laten, enzovoorts. Als ik dat allemaal niet lees, dan hoef ik er ook geen mening over te hebben en dat geeft rust. Aan die mening heb je sowieso niets. Als ik zou vinden dat Nederland veel meer mensen zou moeten testen, dan zou dat geen enkel gevolg hebben. Ik bespaar me de moeite.

Zoals Nederland ten tijde van grote voetbalevenementen miljoenen bondscoaches heeft, zo lijkt het nu miljoenen virologen te hebben. Veel mensen geven hun eigen draai aan stukjes informatie of verzinnen een voor zichzelf acceptabele smoes. “Ja, het is inderdaad erg druk op de markt, maar ja, ik woon om de hoek.” Er zijn ook mensen die simpelweg niet geloven in corona, zoals de Braziliaanse president Bolsonaro. Alsof er iets te geloven valt! Ook president Trump sloot aanvankelijk zijn ogen voor de pandemie. Naar verluidt werd hij pas een beetje enthousiast toen adviseurs hem influisterden dat hij de geschiedenis kon ingaan als wartime president als hij daadkrachtig zou optreden. Diezelfde geschiedenis zal ons leren of dat voldoende is.

Gisteravond zag ik een stukje van een documentaire die Michael Palin maakte in Noord-Korea. Hij sprak daar bij de grens met het zuiden met een legerofficier. Die man meldde vol overtuiging dat zijn land destijds de Koreaoorlog heeft gewonnen. Dat is hem zo geleerd en dan is dat zo, klaar. Toen Palin hem voorzichtig vertelde dat we in het Westen denken dat ‘wij’ die oorlog min of meer hebben gewonnen, verstrakte de militair – dit paste niet in zijn denkwereld. Of zoals een jonge vrouw in dezelfde reportage het verwoordde: “Kritiek hebben op onze leiders is kritiek hebben op jezelf.” In feite bestaat het woord ‘kritiek’ in dat land helemaal niet.

Waarom is het voor ons, in de vrije wereld, soms zo moeilijk om te vertrouwen op deskundigen? Is dat een bijproduct van onze democratie? Oei, nou moet ik zelf opletten dat ik niet ga filosoferen over iets waar ik geen verstand van heb. Dit vraagstuk laat ik dan ook graag over aan psychologen en historici. Er zijn vast al hele boekenkasten over volgeschreven.

Veel mensen hebben niet bewust een mening over informatiebeveiliging, maar hanteren die onbewust wel. Als je bijvoorbeeld achteloos een pop-up wegklikt, dan zeg je daarmee: wat daar staat is niet belangrijk, of je weet uit ervaring dat die teksten soms onbegrijpelijk zijn. Of je weet best dat iets ‘eigenlijk’ niet mag, maar je doet het toch.

Soms hebben mensen wél bewust een mening over beveiliging. Die mening kan, net als bij corona, afwijken van wat de experts zeggen. Je kunt van mening zijn dat een wachtwoord van zes posities goed genoeg is, terwijl experts met cijfers kunnen aantonen hoe razendsnel zo’n kort wachtwoord kan worden gekraakt. Feiten veranderen niet doordat iemand een andere mening heeft.

Dezer dagen wordt mijn advies vaker gevraagd dan anders. Soms put ik bij de beantwoording uit vakkennis en soms heb ik een mening. Maar die mening is dan wel afkomstig van een professional, gebaseerd op kennis en ervaring met zowel de materie als de organisatie. En als ik het een keertje niet weet, dan zeg ik dat gewoon – ook dat is een kenmerk van professionaliteit. Samen komen we er altijd wel uit.

Mijn tip in deze moeilijke tijden: heb vertrouwen in de experts en haal je informatie alleen uit officiële bronnen. Negeer mensen die ongefundeerd iets roepen. Op social media schijnt een bericht rond te gaan dat het drinken van bleekwater je tegen corona beschermt. Als je zoiets doorstuurt en daarbij schouderophalend zegt dat jij het ook maar doorgestuurd kreeg, dan ben je medeplichtig aan het verspreiden van desinformatie.

Negeer desnoods zelfs je eigen mening, of onderdruk de neiging om er over alles eentje te moeten hebben.

En in de grote boze buitenwereld …

… moet je je slimme speaker misschien maar even uitzetten als je thuis werkt. Want eigenlijk is het een slimme microfoon hè.

https://www.zdnet.com/article/working-from-home-switch-off-amazons-alexa-say-lawyers/

... buiten cybercriminelen de coronacrisis schaamteloos uit.

https://www.rtlnieuws.nl/tech/artikel/5066201/corona-app-android-hack-malware-virus

... stuurt de iOS-app van videovergaderdienst Zoom gegevens naar Facebook, zelfs als de gebruiker daar helemaal geen account heeft. En zonder de gebruiker daarover in te lichten.

https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account

... heeft het Britse ministerie van Defensie ook zo zijn bedenkingen bij Zoom.

https://www.independent.co.uk/life-style/gadgets-and-tech/news/zoom-video-chat-app-security-coronavirus-boris-johnson-ministry-of-defence-a9426221.html

... kunnen soldaten uit datzelfde land hun orders nu ook via WhatsApp ontvangen. Ja, echt.

https://www.theregister.co.uk/2020/03/18/army_adopts_whatsapp_orders_coronavirus

... heeft de staat Kentucky een Coronavirus Fraud Task Force in het leven geroepen.

https://www.wkyt.com/content/news/Federal-state-Officials-launch-Kentucky-Coronavirus-Fraud-Task-Force-569099931.html

... zie je hier een voorbeeld van een zero-day exploit: een kwetsbaarheid in een systeem waar nog geen patch voor is en die wel reeds wordt uitgebuit.

https://www.zdnet.com/article/microsoft-warns-of-windows-zero-day-exploited-in-the-wild/

... is deze rubriek wat korter dan anders, vanwege coronadrukte.

vrijdag 20 maart 2020

Zegeltjes

De ene supermarkt geeft nog wel spaarzegeltjes, de andere niet meer. Uit vrees dat ze je besmetten, want de zegels gaan door hun handen en vervolgens lik jij eraan, dat idee. Volle spaarzegelboekjes worden niet meer ingenomen, want daar zit jouw opgedroogd speeksel in en wie weet waar dat nog toe in staat is. Bij de kassa’s hebben ze een soort rijbaanmarkering aangebracht om je te helpen de anderhalve meter afstand tot de medemens in acht te nemen waar onze premier zo op hamert. In de ene winkel waren ze daar handiger in dan in de andere; de mensen moeten de getapete strepen en kruisen ook gemakkelijk kunnen begrijpen. En de caissière is een soort lokettiste geworden, achter haar plexiglazen plaat.

Ja, het zijn onwerkelijke tijden.

Maar ondertussen zijn we wel aan het werk. Het ganse kantoorvolk zit thuis met de laptop aan de keukentafel – of, als je, zoals ik, geluk hebt, achter een heus bureau met beeldscherm, toetsenbord en muis. Allemaal privéspullen die ik ook op mijn reguliere thuiswerkdag gebruik en waar ik nu extra blij mee ben.

Veel collega’s delen de ervaring dat het thuiswerken, nu iedereen dat doet, veel intensiever is dan het werken op kantoor. We chatten, bellen en videovergaderen wat af. Bellen met één andere persoon kan, via het gsm-netwerk, al best lastig zijn; de verbinding is lang niet altijd perfect (die vaste lijnen waren zo gek nog niet). Laat staan als je met meerdere mensen tegelijk belt. Het gsm-netwerk is dan in theorie wel full-duplex, maar in de praktijk blijkt toch dat er maar één tegelijk kan praten. Valt iemand je in de rede, dan stop je abrupt met praten, maar die ander doet dat ook, omdat hij beseft dat je nog niet was uitgepraat. Dan blijft het even stil, waarna beiden tegelijk zeggen: “Ja, zeg het maar.” Door kleine vertragingen in de verbinding is bellen zo soms een moeizame onderneming. En we bellen wat af dezer dagen. Want we moeten natuurlijk wel blijven vergaderen, anders droogt onze werkvoorraad op.

Mensen zijn creatief in het vinden van technische televergaderhulpmiddelen. Een kleine bloemlezing van wat ik deze week allemaal voorbij zag komen: Skype, FaceTime, WhatsApp, Signal, Facebook Messenger, KPN ‘mijn vergadernummer’, Zoom, Webex, iCloud, Google Drive, Dropbox, WeTransfer. En allemaal gingen ze vergezeld van de vraag: mogen we dit gebruiken?

Nee. Niet bij ons.

Kijk, dat zit zo. Al deze diensten zijn clouddiensten. Dat betekent dat ze op de computer van iemand anders draaien. Daardoor hebben wij geen controle over wie er meekijkt en -luistert en waar bestanden worden opgeslagen. Als overheidsorganisatie vinden we dat eng. En dus hebben we daar beleid voor. In het kort: we maken geen gebruik van de publieke cloud. Dat heeft alles te maken met het beveiligingsaspect vertrouwelijkheid, maar soms ook met privacy. De AVG bepaalt nu eenmaal dat persoonsgegevens niet buiten Europa mogen worden opgeslagen (nauwkeuriger: niet buiten de Europese Economische Ruimte: de EU plus Liechtenstein, Noorwegen en IJsland).

We hebben gelukkig wel alternatieven in de aanbieding (in de interne versie van deze blog staat hier een link naar een lijstje). Ja, ik weet ook wel dat deze diensten niet altijd perfect aansluiten bij wat je privé gewend bent, maar hé, we zullen het ermee moeten doen (tenzij het management mocht besluiten dat dit tot een onacceptabele situatie leidt).

Sommige diensten zijn misschien niet voor iedereen beschikbaar omdat het aantal licenties beperkt is. In zo’n geval kun je je afvragen of het ook een tandje minder kan: moet ik écht videovergaderen, of kan ik ook met alleen spraak uit de voeten? Misschien kun je een document vooraf met elkaar delen.

Cybercriminelen werken ook thuis. En sommigen maken misbruik van de crisis. Juist nu moeten we met z’n allen extra alert zijn en ons aan de regelgeving houden. De sociale controle, die ons op kantoor scherp houdt, is grotendeels verdwenen. Maar we kunnen elkaar ook telefonisch blijven aanspreken op het naleven van de richtlijnen. Juist nu. Je zet toch ook je virusscanner niet uit als de virusdreiging toeneemt?

En in de grote boze buitenwereld …

... hoor je het hier ook nog eens van een ander.

https://www.weforum.org/agenda/2020/03/coronavirus-pandemic-cybersecurity/

... zijn er wel meer samenwerkingsdiensten die het even moeilijk hebben onder de zware belasting.

https://www.grahamcluley.com/microsoft-teams-goes-down-as-europe-starts-working-from-home/

... blijft de AVG gewoon van kracht. Maar een land kan wel noodwetgeving introduceren om bijvoorbeeld niet-geanonimiseerde locatie-informatie te kunnen verwerken.

https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en

Formeel statement: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf

... kun je er best wel last van hebben als de politie kan zien dat je bij een plaats delict in de buurt was.

https://blog.iusmentis.com/2020/03/20/als-google-zegt-dat-je-langs-een-crime-scene-fietste-ben-je-dan-verdachte/

... waarschuwt de politie voor cybercriminelen die de coronacrisis schaamteloos misbruiken.

https://www.politie.nl/nieuws/2020/maart/17/cybercriminelen-misbruiken-maatregelen-rondom-corona.html

... ziet de Fraudehelpdesk daarentegen nog nauwelijks gevallen van corona-phishing.

https://tweakers.net/nieuws/164762/fraudehelpdesk-ziet-geen-grote-toename-van-phishing-rondom-coronavirus.html

... zit er toch nog een greintje fatsoen in sommige cybercriminelen.

https://tweakers.net/nieuws/164856/ransomwarecriminelen-beloven-gezondheidsorganisaties-niet-aan-te-vallen.html

... worden slimme speakers (die eigenlijk slimme microfoon zijn) steeds beter in privacy.

https://www.mijnonlineidentiteit.nl/privegegevens-google-home-alexa-apple-homepod/

... kan Chinese technologie nu ook gemaskerde mensen herkennen.

https://arstechnica.com/tech-policy/2020/03/how-china-built-facial-recognition-for-people-wearing-masks/

... heeft een investeringsfirma in Hong Kong ruim vijf miljoen dollar verloren door een e-mailscam.

https://www.scmp.com/news/hong-kong/law-and-crime/article/3075455/hong-kong-investment-firm-conned-out-us525-million

... was het kantoornetwerk van de Europese organisatie van elektriciteitsnetwerkbeheerders gehackt.

https://www.cyberscoop.com/european-entso-breach-fingrid/

... maken hackers gebruik van verborgen mobiele apps.

https://www.helpnetsecurity.com/2020/03/06/hackers-target-consumers/

vrijdag 13 maart 2020

Monopoly

In 1935 bracht Parker Brothers het bordspel Monopoly uit. Het is er tegenwoordig in 26 talen en er zijn lokale varianten. Zo heb ik thuis de Apeldoornse versie in de kast liggen. Voor de Wii-spelcomputer is er een prachtig geanimeerde versie (die ons destijds onze eerste platte tv opleverde, omdat de resolutie van de oude beeldbuis te laag was om alle teksten goed te kunnen lezen). Vandaag presenteer ik u een nieuwe versie: cyberMonopoly.

Dit spel wordt gespeeld met binaire dobbelstenen en de lokale valuta is natuurlijk de bitcoin. Het belang van security en privacy in dit ecosysteem wordt onmiddellijk duidelijk als je de namen van de steden ziet: Cryptodam, Las Malware, Risan City, Biohuizen, Siemdoorn, Aestricht, Piistad en Avégéëradeel¹. De duurste straten heten niet Kalverstraat en Leidschestraat, maar Consultantgracht en Projectenlaan. De stations zijn vervangen door ISO27001, ISO27002, ISO22301 en ISAE3402².

Onze nutsbedrijven heten NCSC en Autoriteit Persoonsgegevens. De gevangenis blijft (functioneel gezien) intact maar heet nu ransomware-besmetting. De bijbehorende kanskaart ‘verlaat de gevangenis zonder te betalen’ krijgt de tekst ‘maak ransomware gratis onschadelijk met behulp van nomoreransom.org’. En ‘vrij parkeren’ – waar bij ons thuis altijd een pot geld groeit, wat het veld een positieve uitstraling geeft – verandert in ‘awareness’. De beide velden waarop je belasting moet betalen blijven uiteraard intact. Net als ‘start’, want cyber is niet goedkoop.

Ik heb lang nagedacht over huizen en hotels. Om toch een beetje in de buurt van de bouwkunde te blijven, worden dat firewalls en SOC’s³, omdat die allebei de waarde van de straat verhogen omdat ze beter beveiligd zijn. Het huisje voor op het speelbord wordt natuurlijk een muurtje. Een SOC wordt voorgesteld door een groot beeldscherm.

En dan hebben we natuurlijk nog de kans- en algemeen fondskaarten. Daar heb ik ook wel wat ideetjes voor. Zoals deze: “Als je aan je medespelers in drie zinnen overtuigend kunt uitleggen wat ‘de cyber’ is, dan mag je direct naar start." Of: “Je hebt de bullshitbingo gewonnen en ontvangt 0,1 bitcoin van iedere speler.” En dit is de klapper: “Jouw smart blockchain heeft indruk gemaakt op een puissant rijke ondernemer. Je ontvangt 50 bitcoins van de bank.”

Je hebt wellicht opgemerkt dat ik slechts twee straten heb benoemd. De overige straten wil ik volgens een nog te ontwikkelen licentiemodel beschikbaar stellen aan vendoren (die verschrikkelijke beursterm weer). Het model houdt in ieder geval in dat ze meer moeten betalen als meer mensen het spel spelen. Ze mogen ook de kaarten sponsoren, bijvoorbeeld met een dag gratis consultancy, een kaartje voor een conferentie of een gratis virusscanner. Dat stelt uiteraard wel eisen aan de beveiliging van het spel, want we willen natuurlijk niet dat iemand misbruik maakt van deze geheel belangeloze generositeit.

Overigens is het niet uniek om zaken als informatiebeveiliging en privacy in spelvorm onder de aandacht te brengen. Zo heb ik hier de Cyber Speelkaarten van het Defensie Cyber Expertise Centrum voor me liggen. Dat is in wezen een gewoon kaartspel, maar de plaatjes hebben plaatsgemaakt voor beleid en tips. Bijvoorbeeld: “Praat als Defensiemedewerker over je vak, niet over je werk. Hackers gebruiken HUMINT. Ze noemen het social engineering.” Of: “Sluit geen ongeautoriseerde apparaten aan op Defensie apparatuur. Ook niet om een mobiele telefoon op te laden.” En op een joker staat: “Stel de juiste prioriteiten. Cybersecurity is cruciaal!”

Nee, informatiebeveiliging is geen spelletje. Maar door er spelenderwijs mee om te gaan, komen meer mensen in aanraking met deze materie, die voor iedereen van groot belang is.

cyberMonopoly komt misschien goed van pas als je de komende tijd wat vaker thuis zit. Alleen jammer dat het spel in deze vorm nog niet bestaat. Ben benieuwd wie het idee oppakt/inpikt.

----------
Voetnoten

¹) Een kleine vertaalhulp voor wie ons jargon niet kent: Cryptodam – als in cryptografie; Las Malware – behoeft hopelijk geen toelichting; Risan City – risan staat voor risicoanalyse; Biohuizen – de BIO is de Baseline Informatiebeveiliging Overheid; Siemdoorn – SIEM staat voor Security Incident and Event Management; Aestricht – AES is een cryptografisch algoritme (Advanced Encryption Standard); Piistad – PII staat voor Personally Identifiable Information ofwel persoonsgegevens; Avégéëradeel – daar zit de AVG in, de Algemene Verordening Gegevensbescherming.

²) ISO27001 en -2 zijn internationale beveiligingsstandaards. ISO22301 is de internationale standaard voor business continuity management. ISAE3402 is een internationale standaard voor uitbesteding (met risicomanagement, informatiebeveiliging en anti-fraude als belangrijke componenten).

³) Een firewall beschermt je systeem tegen de grote boze buitenwereld. Een SOC is een Security Operations Center en dat is eigenlijk ook een soort firewall, maar dan een menselijke (met tools, zoals een SIEM-oplossing).

En in de grote boze buitenwereld …

... proberen cybercriminelen een slaatje te slaan uit de actuele pandemie.

https://krebsonsecurity.com/2020/03/live-coronavirus-map-used-to-spread-malware/

... mag je werknemers en klanten niet temperaturen.

https://blog.iusmentis.com/2020/03/12/en-nee-ook-los-van-de-avg-mag-je-werknemers-of-klanten-niet-temperaturen-natuurlijk/

... mag je thuiswerkend personeel ook al niet met een camera in de gaten houden.

https://blog.iusmentis.com/2020/03/11/nee-het-coronavirus-is-geen-ontheffing-voor-de-avg/

... zouden heel wat bedrijven zich veel beter op een pandemie kunnen voorbereiden. Wat dacht je van risicomanagement?

https://www.helpnetsecurity.com/2020/03/12/coronavirus-risk-management/

... heeft Google een Iraanse corona-detectie-app uit de Play Store verwijderd. Gebruikers uitten hun bezorgdheid over spyware-achtige trekjes van de app.

https://www.zdnet.com/article/spying-concerns-raised-over-irans-official-covid-19-detection-app/

... gebruiken scammers graag andermans foto als hun eigen profielfoto.

https://www.grahamcluley.com/a-typical-day-in-the-life-of-my-twitter-inbox/

... moet je soms heel goed naar webadressen kijken om te zien dat ze niet kloppen.

https://krebsonsecurity.com/2020/03/crafty-web-skimming-domain-spoofs-https/

... is het slecht gesteld met de digitale hygiëne van veel medische apparatuur.

https://www.wired.com/story/most-medical-imaging-devices-run-outdated-operating-systems/

... dreigen ransomware-criminelen steeds vaker met openbaarmaking van jouw gegevens.

https://securelink.net/nl-nl/frontpage-focus/ransomware-2020-betaal-of-vind-uw-gegevens-online/

... ontleedt dit artikel een (vermoedelijk) vals Twitter-account.

https://nixintel.info/osint/signs-youre-following-a-fake-twitter-account/

... is een security-app op je Android-toestel écht zinvol. Google Play Protect onderschept slechts iets meer dan een derde van alle malware.

https://www.av-test.org/en/news/here-s-how-well-17-android-security-apps-provide-protection/

... geeft je slimme lamp straks alleen nog maar licht – omdat de fabrikant zijn server afsluit.

https://tweakers.net/nieuws/164432/osram-lightify-lampen-verliezen-volgend-jaar-functies-door-afsluiten-server.html

… is Rowhammer terug, waardoor vrijwel alle apparaten kwetsbaar zijn voor aanvallen.

https://www.volkskrant.nl/nieuws-achtergrond/vrijwel-elke-laptop-smartphone-en-server-ter-wereld-kwetsbaar-voor-aanvallen-ontdekt-vu~b23b8656/

donderdag 5 maart 2020

Mondkapjes

Militairen en mondkapjes. Dat zijn wel de beide elementen die vorige week het meest opvielen in het Romeinse straatbeeld. In beide gevallen ging het om beveiligingsmaatregelen, maar wel tegen heel verschillende dreigingen. De initiatiefnemers waren ook verschillend.

Eerst maar even die militairen. Die staan, in het kader van Berlusconi’s operatie Strade Sicure (veilige straten), al sinds 2008 zwaarbewapend op alle plekken waar veel mensen komen, zoals bij het Colosseum, het Vaticaan en de Piazza Navona, en ook elders in Italië. Om bijvoorbeeld bij een grote basiliek of het Colosseum binnen te komen, moet je tas door een scanner en jijzelf door een poortje. Dat zorgt voor lange rijen, waar de gidsen weer hun voordeel mee doen: ze vertellen je dat je urenlang in de rij staat, tenzij je je bij een gids aansluit, want daar zijn aparte ingangen met bijbehorende controlepoortjes voor. Daar zit natuurlijk een flinke dosis FUD in verwerkt (Fear, Uncertainty and Doubt). Zo bleek de op het oog lange rij bij het Vaticaan slechts twintig minuten te duren, terwijl gidsen graag bereid waren om ons – tegen een ruime vergoeding – te behoeden voor ‘urenlang’ in de rij staan.

Dan de mondkapjes. Die waren nadrukkelijk in het straatbeeld aanwezig, maar toch schat ik het percentage dragers op ruim onder de tien. De meeste kapjes waren van het type ‘bouwmarkt’ of ‘operatiekamer’, en die zijn niet geschikt om je tegen het coronavirus te beschermen. Bij verkeerd gebruik kunnen ze zelfs averechts werken. Ach, ik begrijp die mensen wel: het nieuws staat bol van de uitbraak in Noord-Italië, Rome ligt op slechts een uur vliegen van Milaan en dan wil je toch íets doen. Ik vermoed dat de mondkapjes ook in Italië schaars zijn, want ik heb slechts twee straatventers zien leuren met een paar exemplaren uit de bouwmarkt.

Zo’n maatregel gaat kennelijk ook snel vervelen, getuige de vele mensen die hun mondkapje niet voor neus en mond droegen, maar onder hun kin. Daar helpen ze dus écht niet. Maar ik zag ik ook nog een tweede maatregel: latex handschoenen. In de bus naar het vliegveld opende iemand met zo’n handschoen het luchtrooster boven z’n hoofd. Die heeft dus niet begrepen dat het virus zich via de lucht verspreidt en het daarom misschien minder slim is om in een gesloten ruimte met veel mensen de lucht rechtstreeks in je gezicht te laten blazen. Overigens las ik ergens dat nog niet onderzocht is of het virus de reis door zo’n beluchtingssysteem overleeft. Ik bedoel maar, op het gebied van mensenvirussen ben ik ook maar een leek (maar wel eentje met gezond verstand).

De vraag is altijd: waar wil je je tegen beschermen, en heb je daar eigenlijk wel goed over nagedacht? Ik heb me laten vertellen dat Japanners (los van de coronacrisis) met een mondkapje lopen als ze zélf verkouden of zo zijn, om anderen niet te besmetten. Ik wil best geloven dat ook de mindere mondkapjes in enige mate beschermen tegen het rondsproeien van virussen tijdens een hoest- of niesbui. Ik heb op het vliegveld van Rome één persoon gezien die z’n mondkapje even voordeed als hij een hoestprikkel voelde opkomen. Voor het overige zullen al die mondkapjes toch goedbedoelde pogingen zijn om de drager ervan te beschermen.

En die soldaten dan, waartegen beschermen die ons? Ze zien er wel stoer uit, maar met een mannetje of twee, drie kun je amper iets uitrichten tegen een professionele aanval. Dat zal hun doelgroep dus niet zijn, maar tegen een gewapende gek zijn ze, in combinatie met een dubbele rij dranghekken, ongetwijfeld behoorlijk effectief. Detectiepoortjes zijn ook maar zo sterk als de man of vrouw die erachter staat. Bij een kerk waar het niet druk was zat de beveiliger bellend achter het apparaat. Het poortje piepte, ik wees de gesp van mijn broekriem als vermoedelijke schuldige aan, hij gebaarde vragend naar z’n telefoon, ik liet zien dat ik er inderdaad ook eentje had en liep door. Ach ja, het was vast een heel belangrijk telefoongesprek.

Nieuwe computervirussen verspreiden zich sneller dan de antivirusindustrie kan bijhouden, waardoor de scanners de nieuwste virussen nog niet kennen als die zich bij jou aandienen. Is dat een reden om geen virusscanner te gebruiken? Nee! De meeste virussen worden gewoon herkend, en bovendien werken scanners al lang niet meer alleen op basis van informatie over de bekende virussen; ze kijken bijvoorbeeld ook of een programma zich ‘redelijk’ gedraagt en geen verdachte dingen van plan is. Er zijn veel maatregelen die in hun eentje geen volledige bescherming bieden, maar wel hun steentje bijdragen. Security by obscurity is daar een berucht voorbeeld van. Hopen dat iets veilig is uitsluitend door er geen ruchtbaarheid aan te geven is naïef, maar het hélpt wel. Maar we willen liever geen mondkapjes die schijnveiligheid bieden.