Kerstcadeau

Kerstmis is voor mij traditioneel de tijd van de ‘grote cadeaus’. Dat was vroeger thuis in Limburg al zo, waar de mensen in groten getale meeliften met het Weihnachten van de oosterburen en Sinterklaas een ondergeschikte rol heeft. Dat is nu in mijn gezin nog steeds zo, want mijn vrouw komt uit dezelfde contreien als ik en de kinderen weten niet beter. Misschien zijn jullie ook nog cadeaus aan het inslaan (opschieten!). Voor het geval er een smartphone op iemands verlanglijstje staat, heb ik hier wat tips.

Een poos geleden schreef ik dat mijn eigen telefoon aan vervanging toe was, omdat hij geen updates meer kreeg. Ik stond voor een dilemma: ga ik een toestel, dat nog prima werkt, wegdoen, of neem ik nog een tijdje voor lief dat zo’n belangrijk stuk gereedschap geen beveiligingsupdates meer krijgt? Het dilemma had twee oorzaken: enerzijds waren daar de fabrikanten van Android-toestellen, die de meeste toestellen slechts twee jaar ondersteuning bieden (vanaf de introductiedatum, niet vanaf jouw aankoopdatum!), anderzijds voel ik weerstand tegen het vervangen van spullen die nog goed werken én nog voldoende bij de tijd zijn (dat laatste hoort er wel echt bij; ik ben niet zo conservatief als onze premier, die pas onlangs zijn oude tv heeft vervangen door een plat toestel).

Als je een smartphone wilt die lang meegaat, dan heb je drie opties*: een iPhone, een flagship van een Android-fabrikant en toestellen die op Android One draaien. Laat me, omwille van de overzichtelijkheid, de wereld eerst in twee kampen verdelen, omdat het daar toch voor vrijwel iedereen mee begint: iOS en Android. iOS, het besturingssysteem voor iPhones, krijgt duidelijk het langst ondersteuning. Zelfs bepaalde toestellen uit 2015 worden nog voorzien van iOS 14, de meest recente versie. We hebben het dan niet alleen over beveiligingsupdates, maar over volledige updates van het besturingssysteem; je krijgt er dus ook nieuwe functionaliteit bij. Kost een paar centen, maar dan heb je ook wat.

De Androidwereld is een stuk minder toekomstbestendig, zoals ik al zei. Koop je vandaag een toestel dat in 2019 is geïntroduceerd, dan houden de beveiligingsupdates in de meeste gevallen in de loop van volgend jaar al op. In de tussentijd krijg je (hopelijk) één keer een update van je besturingssysteem. Je toestel blijft het nog gewoon doen hoor, maar fouten in Android, die van invloed zijn op de beveiliging van je toestel, worden niet meer hersteld. Ja, dat is inderdaad waar beveiligingsupdates om draaien: het herstellen van fouten. Het is dus niet zo dat stoute hackers iets hebben gedaan waardoor je toestel kwetsbaar wordt, nee – het is de fabrikant van Android die steken heeft laten vallen, die op enig moment aan het licht komen en hersteld moeten worden. Gebeurt dat niet, dan komen die stoute hackers wél om de hoek kijken, want dan gaan ze mogelijk misbruik maken van zo’n kwetsbaarheid. Dat is op smartphones (inclusief iPhones) niet anders dan op andere computers.

Wil je een Android-smartphone die langer dan twee jaar meegaat, dan kom je uit bij de beste – en dus duurste – modellen, de zogenaamde flagships. Die gaan dan bijvoorbeeld maar liefst drie Android-generaties mee (je krijgt na aankoop twee keer een volledige update). De ‘levensduur’ verschilt overigens per fabrikant en daarbinnen per type toestel, pin me dus niet vast op het genoemde aantal jaren. Steeds meer fabrikanten beloven om steeds meer toestellen steeds langer te blijven ondersteunen, waarbij de kwaliteit van de informatieverstrekking overigens nog wel van fabrikant tot fabrikant verschilt. En o ja, dan is er ook nog grijze import. Als de webshop jouw toestel uit een ander Europees land heeft gehaald omdat het daar goedkoper is of hier niet door de fabrikant op de markt wordt gebracht, dan maakt dat het ook lastig om uit te zoeken hoe lang dat toestel updates krijgt (vooral bij fabrikanten waarbij je eerst op land en dan pas op toestel moet zoeken). Grijze import herken je vaak aan de afwezigheid van Nederlandse tekst in het handleidinkje dat in de doos zit.

En dan is er nog Android One. Een verwarrende naam, want One heeft niets te maken met de versie van het besturingssysteem. Het is de aanduiding voor een kale Android-versie, waar toestelfabrikanten niet nog een eigen schil (skin) omheen bouwen en die niet wordt vergezeld door allerlei apps die je meestal toch maar in de weg zitten. Omdat Android One zo dicht mogelijk tegen de originele Android van Google aan blijft zitten, kunnen beveiligingsupdates snel nadat Google ze uitbrengt naar jouw telefoon komen, en ook net zo vaak. En je krijgt ze minimaal drie jaar, zo luidt de belofte. Persoonlijk verkies ik Android boven iOS, en dan vind ik in Android One een mooie aanwinst voor levensduur en beveiliging.

* Ik weet dat er nog allerlei alternatieve Android-versies bestaan, maar die heb ik hier buiten beschouwing gelaten.

De komende twee weken verschijnt er geen Security (b)log.

  

En in de grote boze buitenwereld …

• moeten bedrijven, die in Duitsland willen meebouwen aan het 5G-netwerk en andere kritieke infrastructuur, garanderen dat hun spullen niet kunnen worden gebruikt voor sabotage-, spionage- of terroristische doeleinden.
• werd het beveiligingsnieuws deze week gedomineerd door een kwetsbaarheid die actief wordt uitgebuit en grote, wereldwijde impact heeft. Iets met een backdoor.
• Nederlands nieuwsbericht
• Relaas het beveiligingsbedrijf dat de zaak ontdekte
• kun je natuurlijk ook de Amerikaanse atoomwapenbeheerder hacken.
• acht het Openbaar Ministerie bewezen dat een Nederlander het Twitter-account van Donald Trump heeft gehackt. Het Witte Huis en Twitter ontkennen. Ondertussen staat het nieuws wel in de Washington Post, de Guardian en andere Engelstalige media.
• heeft de EU een nieuwe cyberbeveiligingsstrategie.
• heeft de EU ook het dreigingenlandschap voor kunstmatige intelligentie in kaart gebracht.
• hebben apps van Apple voortaan een privacy-label.
• dekken die nieuwe privacy-labels voor Apple-apps zich wel juridisch in.
• vergroot Europol zijn mogelijkheden om gegevens van criminelen te ontsleutelen.
• bellen ransomwarecriminelen hun slachtoffers tegenwoordig op.
• raakte een Gelders bedrijf miljoenen kwijt door phishing. De criminelen en een deel van de buit konden echter in Indonesië worden achterhaald.
• stort de MIVD zich vol op cyberspionage.
• komen er maatregelen tegen telefoonspoofing en smishing.

 

Wachtwoordsysteempje

Frans, Fred en Frits hadden alle drie een systeempje. Zonder het van elkaar te weten, hadden ze min of meer hetzelfde systeem bedacht. Niet om rijk worden in het casino, maar ze zouden er wel hun talloze wachtwoorden op een slimme manier mee kunnen beheren, dachten ze. Want, zo hadden ze geleerd, je moet voor al je accounts een ander wachtwoord gebruiken. Doe je dat niet en lekt je wachtwoord van account A uit, dan loop je ook gevaar voor accounts B tot en met Z.

Het systeem van de drie F’s zag er als volgt uit: elk wachtwoord bestond uit twee delen; het eerste deel was voor alle accounts hetzelfde, het tweede deel was variabel. Frans gebruikte voor het eerste deel een stukje voornaam en een stukje achternaam, Fred en Frits hadden een vast woord waar alvast de meest voorkomende wachtwoordeisen in voorkwamen (hoofdletter, cijfer, symbool). Meteen maar even een tip: het verwerken van je naam is niet aan te bevelen, net zomin als het gebruik van geboortedata, adressen, namen van huisdieren, auto- en biermerken, de naam van je lief en al die andere dingen die aan jou te linken en dus raadbaar zijn.

Maar het echte venijn zat ‘m in het tweede deel. Dat was namelijk bij hen alle drie een rechtstreekse verwijzing naar de naam van de site of het systeem waartoe het wachtwoord toegang gaf. Stel dat het vaste woord van Fred ‘moTorf1et$’ was, dan had hij dus wachtwoorden als moTorf1et$linkedin, moTorf1et$gmail en moTorf1et$rabo.

Waarom dat geen goed idee is? Op een slechte dag bemachtigt een hacker het wachtwoordbestand van een site waar jij een account had (dat overkwam LinkedIn bijvoorbeeld in 2014). Wachtwoorden horen versleuteld te worden opgeslagen, en wel dusdanig dat de versleuteling onomkeerbaar is. Maar niet alle bedrijven doen dat netjes, waardoor hackers er soms in slagen om de wachtwoorden leesbaar te maken. En dan ziet zo’n hacker jouw wachtwoord moTorf1et$linkedin en denkt: hmm, Fred heeft de naam van het account in zijn wachtwoord verwerkt, zou hij een wachtwoordsysteem gebruiken met een vast en een variabel deel? Laat ik eens proberen of ik op die manier bij een bank of bij een mailaccount kan inloggen… Hackers zijn vaak slimme mensen, mensen.

Frits besefte al jaren geleden dat dit systeem risicovol was en veranderde de verwijzing naar de site in willekeurige tekens die hij, samen met de naam van de desbetreffende site, in een lijstje ging noteren. Omdat het vaste deel van de wachtwoorden daar niet bij stond, was het niet zo erg als dat lijstje zou uitlekken. Frans vroeg onlangs aan iemand met verstand van informatiebeveiliging wat die van zijn systeem vond en heeft hopelijk inmiddels de nodige aanpassingen gedaan.

En Fred, die kreeg onlangs een wake-up call. Hij had een account aangemaakt bij een webshop en zoals gebruikelijk ontving hij even later een welkomstmailtje. Tot zijn schrik bevatte het mailtje, bij wijze van goedbedoelde service, Freds wachtwoord. E-mail is nog vaak als een briefkaart: iedereen die ‘m ziet – de postbode, een huisgenoot, een toevallige passant – kan lezen wat erop staat. En dus, zo besefte Fred, was zijn wachtwoordsysteem gecompromitteerd. Bovendien slaat die webshop de wachtwoorden van zijn klanten waarschijnlijk onversleuteld op, waarvoor ze een ferme tik op de vingers verdienen.

Laten we twee afspraken maken. Eén: als je, net als Fred, een mailtje van een bedrijf ontvangt waarin ze je wachtwoord vermelden, neem dan even de moeite om hen te laten weten dat ze daarmee de veiligheid van hun klanten in gevaar brengen. Twee: als je ook zo’n Frans/Fred/Frits-systeempje voor je wachtwoorden gebruikt, kijk er dan eens kritisch naar. Als het verwijzingen naar jou bevat, of naar het object waartoe het toegang geeft, dan is er werk aan de winkel.

Maar je kunt het nóg beter doen. Gooi je systeem overboord en stap over op een password manager: een app die al jouw wachtwoorden veilig bewaart én sterke wachtwoorden voor je verzint. Lekker lange, willekeurige wachtwoorden, zonder systeem. Want dat zijn de beste. Je favoriete zoekmachine helpt je om de voor jou meest geschikte password manager te vinden. Of praat eens met wat mensen die er al eentje gebruiken.

Doe het vandaag.

En in de grote boze buitenwereld …

• heeft een wereldwijde phishing-campagne het voorzien op tweehonderdmiljoen gebruikers van Microsoft 365.
• worden fabrikanten en verkopers van IoT-devices op hun informatieplicht gewezen.
• krijgt Amerika een nieuwe wet, die regels oplegt aan IoT-devices voor de federale overheid.
• keurde de AIVD onveilige systemen van Buitenlandse Zaken goed.
• stal een statelijke actor de gereedschapskist van een beveiligingsbedrijf.
• waarschuwt deze admiraal voor het onzichtbare deel van de cybersecurity-ijsberg.
• trappen online daters van middelbare leeftijd zo vaak in datingfraude, dat er een informatiecampagne voor komt.
• rijzen de prijzen van ransomwarecriminelen de pan uit.
• is pixelen niet goed genoeg als je informatie echt geheim moet blijven.
• gaat de politie het zoekgedrag van alle medewerkers monitoren, om lekken naar criminelen tegen te gaan.
• gaat het NCSC meer informatie uitwisselen met beveiligingsbedrijven.
• loopt de overheid achter met het beveiligen van e-mail.
• onderzoekt de overheid ons digitale bewustzijn.

 

Slotje

Als je groen licht hebt, dan heeft het kruisende verkeer rood. Ik had ooit een speelgoed-verkeerslicht waar dat op bijzonder eenvoudige technische wijze was geborgd: het bestond uit een enkele balkvormige armatuur op een paal, met naar alle vier de kanten een rood, oranje en groen glaasje. Aan twee tegenoverliggende kanten zaten die glaasjes in de verkeerde volgorde: groen boven, rood onder. Binnenin de armatuur zaten drie lampjes. Als het bovenste lampje brandde, dan hadden noord en zuid rood en oost en west groen. Oranje hadden ze allemaal tegelijk. Kon niet fout gaan. Maar in Apeldoorn mag je er niet op vertrouwen dat als jij groen hebt het kruisende verkeer stilstaat. Er hangt in de hele stad nergens een roodlicht-camera en daar gedragen automobilisten zich ook naar – er wordt zelfs door donkerrood gereden. De waarde van het sein ‘veilig’ is dus relatief; je moet altijd even checken of het ook echt veilig is.

Sta me nog één observatie uit het verkeer toe voordat ik bij het echte onderwerp van deze blog kom. We zijn eraan gewend dat verkeer van rechts op een gelijkwaardig kruispunt (zonder borden of verkeerslichten) voorrang heeft. Maar tot mei 2001 hadden fietsers geen voorrang op auto’s: er werd onderscheid gemaakt tussen langzaam verkeer en snelverkeer en voertuigen uit die eerste categorie moesten de anderen voor laten gaan. Langzaam verkeer was in de wet gedefinieerd als alles wat niet hard genoeg kon om de snelweg op te mogen. Toen de wet veranderde, was het in het begin natuurlijk een beetje link om als fietser te veronderstellen dat die automobilist, die van links kwam, daar ook van op de hoogte was.

En zo hebben we er ook jarenlang op gehamerd dat je op het internet goed moet opletten of je een slotje naast de adresbalk ziet. Slotje betekende veilig, geen slotje was (misschien) onveilig. Achter dat slotje gaat een digitaal certificaat schuil, dat twee dingen doet: het identificeert een website (vergelijkbaar met een paspoort) en het zorgt voor een beveiligde verbinding tussen jouw browser en de website, zodat anderen niet kunnen meekijken naar wat er over de lijn gaat (bijvoorbeeld de adres- en betaalgegevens die je bij een webshop invult).

Zo’n slotje is er in verschillende varianten. Als je een certificaat op een website wilt hebben, dan moet je aantonen dat het desbetreffende domein (xyz.nl, abc.com enzovoorts) op jouw naam geregistreerd is. Net zoals je bij de gemeente alleen een paspoort voor jezelf kunt aanvragen, zo kun jij ook geen certificaat aanvragen voor rivm.nl, want dat domein staat niet op jouw naam. Bij een luxere variant worden daarnaast de bedrijfsgegevens gecontroleerd bij de Kamer van Koophandel: jij wilt een certificaat voor mijnbedrijf.nl, maar bestaat dat bedrijf ook echt? Bij de certificaten die de overheid gebruikt (onder het PKIoverheid-stelsel), komt de leverancier naar je toe voor een face to face-controle, waarbij hij je identiteitsbewijs controleert en checkt of dat ook echt jouw document is. En je moet aantonen dat jij gemachtigd bent om namens jouw overheidsorganisatie certificaten te bestellen.

Maar nu komt het. Stel, jij registreert het domein ikbeneenboef.nl op jouw naam. En je bestelt een eenvoudig certificaat voor dat domein. Dat certificaat wordt keurig geleverd – het domein is immers van jou. Er prijkt nu een mooi slotje op jouw website. Vervolgens gebruik je die website voor criminele activiteiten. Je lokt mensen naar die site – phishing! – en laat ze daar persoonlijke gegevens invullen, of je serveert malware. Bezoekers wanen zich veilig, want ze zien dat slotje en denken dat ze zich geen zorgen hoeven te maken.

Maar net zoals verkeersregels veranderen en ‘groen’ niet per se hetzelfde is als ‘veilig’, zo is ook internetveiligheid in beweging en is de waarde van het slotje betrekkelijk. Criminelen doen namelijk tegenwoordig precies wat ik in de vorige alinea beschreef: driekwart van alle phishingsites heeft keurig een certificaat (bron: ENISA). Het is een kleine investering en criminelen hebben geleerd dat het loont om betrouwbaar over te komen.

Een rood verkeerslicht betekent dat je sowieso moet stoppen en groen betekent dat je kunt rijden als het veilig is, en zo betekent de afwezigheid van een slotje dat je daar beter wegblijft (en in ieder geval geen moet gegevens invullen, want de verbinding is niet beveiligd) en de áánwezigheid ervan dat je kunt doorgaan, mits je ervan overtuigd bent dat je op een legitieme site bent. Ben je daar echter terechtgekomen door op een link in een mogelijk verdacht mailtje te klikken, dan is het slotje in de browser geen reden om opgelucht te denken dat het mailtje ‘dus toch’ oké was.

 

En in de grote boze buitenwereld …

• evolueert malware ook: dit Trojaanse paard kan doordringen tot de UEFI van je computer en dat is slecht nieuws.

• staat een virtueel toetsenbord ook al niet meer garant voor niet kunnen afluisteren.

• kan deze gemeente niet meer bij haar gegevens.

• bestaat er goede hoop dat de volgende Amerikaanse regering cybersecurity serieus zal nemen.

• waren iOS-apparaten volledig over te nemen via wifi.

• slaagde de Braziliaanse overheid erin om meer patiëntendossiers te lekken dan het land inwoners heeft.

• kun je je Android-toestel nog wat veiliger maken met deze tips.

• is het vervelend als iemand jouw persoonlijke informatie online zet. Dit artikel legt uit wat doxing inhoudt.

• bezorgde een postbode de pakjes bij zichzelf, terwijl de geadresseerden (die nergens van wisten) voor de kosten opdraaiden.

• komen er waarschijnlijk zwaardere straffen voor WhatsApp-fraude en phishing.

• investeert de politie weer eens in het bijspijkeren van agenten op het gebied van cybersecurity.

·