“Ach, stel je toch niet zo aan!” Je kunt het je bijna niet voorstellen,
maar er zijn dus mensen die dat tegen je zeggen als je ze in de supermarkt
maant om afstand te houden. Die nog steeds de urgentie van de ons opgelegde
maatregelen niet snappen, of ‘gewoon’ zo recalcitrant zijn dat ze er zich per
definitie niet aan houden. Deze mensen waren vroeger waarschijnlijk de klier
van hun klas. Overigens gedragen ook sommige ouderen zich zo. Kunnen zij het
niet verkroppen dat ze extra kwetsbaar zijn voor het virus?
In de informatiebeveiliging spreken we van een kwetsbaarheid als een
systeem een fout bevat, die misbruikt zou kunnen worden om dat systeem aan te
vallen. De gangbare Engelse term hiervoor is vulnerability. Als iemand zo’n kwetsbaarheid heeft ontdekt, dan kan
hij op zoek gaan naar een manier om die kwetsbaarheid uit te buiten; heeft hij
daar eenmaal een programma voor gemaakt, dan is er sprake van een exploit (spreek uit: eksploit). En als
de aanvaller sneller een exploit heeft dan dat de ontwikkelaar/fabrikant van
het systeem een oplossing (een patch)
voor de kwetsbaarheid heeft, dan is er sprake van een zero-day exploit. ‘Dag nul’ staat hierin voor de dag waarop de
ontwikkelaar kennisneemt van de kwetsbaarheid, bijvoorbeeld doordat een
ethische hacker hem erop wijst.
De mens blijkt kwetsbaar te zijn voor het COVID-19-virus. De natuur (ik gebruik deze term bij gebrek
aan iets beters) heeft een exploit ontwikkeld en voert nu een 0-day-aanval op
ons uit – we hebben immers nog geen medicijn of vaccin ertegen. De parallellen
tussen mijn vak en het echte leven zijn soms stuitend.
Maar daar wilde ik het helemaal niet over hebben. Ik werd alleen even
getriggerd door het woord ‘kwetsbaar’ in de eerste alinea.
Als mensen zich niet aan regels houden omdat ze ze niet begrijpen, dan
moet degene, die de regel wenst te handhaven, ze beter uitleggen. Ik zou
overigens niet zo een-twee-drie weten hoe je het belang van anderhalve meter
afstand houden nóg beter kunt uitleggen dan de premier en het RIVM het al doen.
Als je het nu nog niet begrijpt, dan begrijp ik jou niet meer.
Je wilt dat mensen de regels snappen, waardoor ze zich als het ware
verplicht voelen om zich eraan te houden. Op sommige delen van de Duitse
snelwegen geldt ’s nachts een snelheidsbeperking. Op een onderbord staan de
tijden en de aanduiding ‘Lärmschutz’. Vooral het woord ‘Schutz’ hierin is
sterk: het betekent bescherming (en ‘Lärm’ is lawaai). Er wordt dus
geappelleerd aan het empathisch vermogen van de voortrazende automobilist: joh,
we moeten de mensen die hier wonen beschermen tegen teveel herrie, ook zij
willen rustig kunnen slapen.
Mij bereiken wel eens signalen van de werkvloer over het laconiek omgaan
met regelgeving. Zo van: ik ben niet overtuigd van nut & noodzaak van deze
regel en dus houd ik mij er niet aan. Deze mensen, die wel op de hoogte zijn
van de regels, maar er niet aan wíllen voldoen, zijn het moeilijkst te
bereiken. Ook de groep weet niet & wil niet is lastig. Daarom wordt wel
eens bepleit om deze groepen links te laten liggen en je aandacht te richten op
hen die welwillend zijn maar de regels nog niet kennen – daar kun je de
grootste winst behalen, dat is het laaghangende fruit. Ik heb echter de ambitie
om iedereen binnenboord te brengen en te houden. Dat ik daar niet volledig in
zal slagen weet ik ook wel, maar ik laat me daardoor niet tegenhouden – ik wil
niemand opgeven.
Iemand, die een bepaalde regel niet begrijpt, kan natuurlijk ook zelf op
onderzoek uitgaan. Moeite doen om de regel wél te begrijpen. Je hebt ook een
zekere haalplicht, ter aanvulling van de brengplicht van de deskundigen. Bekijk
bijvoorbeeld eens wat satellietfoto’s om te zien hoe dicht die mensen wel niet
bij de snelweg wonen. Of vraag aan een deskundige waarom het verstandig om die
ene spreadsheet met zeer gevoelige informatie, ondanks dat zij veilig in je
datacenter is opgeslagen, tóch extra te beveiligen met een wachtwoord.
Voor mij ben je niet dom als je niet weet in welk jaar de Slag bij
Nieuwpoort plaatsvond, of als je Novosibirsk niet op de kaart kunt aanwijzen.
Maar als je lak hebt aan zeer urgente maatregelen, die echt van levensbelang
zijn en ook nog eens uitstekend worden uitgelegd, dan behoud ik mij het recht
voor om je dom te vinden.
En in de grote boze buitenwereld …
... ontdekte onlangs iemand een zero-day vulnerability in de
Safari-browser: een aanvaller kon je camera aanzetten. Hij meldde dit netjes
aan Apple en verdiende er een bom duiten mee.
... waarschuwt de politie voor coronacybercriminaliteit.
... regende het deze week berichten over Zoom. Veel daarvan gingen over
de krakkemikkige beveiliging van de videovergaderapp, andere zijn voorzichtig
positief over de maatregelen die nu worden getroffen. Dit artikel belicht beide
kanten.
hebben we er een nieuw woord bij: Zoom-bombing.
... moet je ook nog eens oppassen voor vervalste versies van de
Zoom-app.
... is er bij een andere videobelapp waarschijnlijk juist sprake van een
onterechte beschuldiging van vervalsing.
... wordt de Wereldgezondheidsorganisatie aangevallen door een
statelijke actor.
... helpt de TU Delft de FIOD bij het opsporen van digitale
criminaliteit.
... voelen hackers zich thuis bij deze hotelketen.
... zijn veel servicedesks, die Jira gebruiken, van buitenaf
benaderbaar.
https://www.security.nl/posting/650497/Honderden+interne+servicedesks+door+configuratiefout+openbaar
Bedankt voor deze tips!
BeantwoordenVerwijderen