Slotje

Als je groen licht hebt, dan heeft het kruisende verkeer rood. Ik had ooit een speelgoed-verkeerslicht waar dat op bijzonder eenvoudige technische wijze was geborgd: het bestond uit een enkele balkvormige armatuur op een paal, met naar alle vier de kanten een rood, oranje en groen glaasje. Aan twee tegenoverliggende kanten zaten die glaasjes in de verkeerde volgorde: groen boven, rood onder. Binnenin de armatuur zaten drie lampjes. Als het bovenste lampje brandde, dan hadden noord en zuid rood en oost en west groen. Oranje hadden ze allemaal tegelijk. Kon niet fout gaan. Maar in Apeldoorn mag je er niet op vertrouwen dat als jij groen hebt het kruisende verkeer stilstaat. Er hangt in de hele stad nergens een roodlicht-camera en daar gedragen automobilisten zich ook naar – er wordt zelfs door donkerrood gereden. De waarde van het sein ‘veilig’ is dus relatief; je moet altijd even checken of het ook echt veilig is.

Sta me nog één observatie uit het verkeer toe voordat ik bij het echte onderwerp van deze blog kom. We zijn eraan gewend dat verkeer van rechts op een gelijkwaardig kruispunt (zonder borden of verkeerslichten) voorrang heeft. Maar tot mei 2001 hadden fietsers geen voorrang op auto’s: er werd onderscheid gemaakt tussen langzaam verkeer en snelverkeer en voertuigen uit die eerste categorie moesten de anderen voor laten gaan. Langzaam verkeer was in de wet gedefinieerd als alles wat niet hard genoeg kon om de snelweg op te mogen. Toen de wet veranderde, was het in het begin natuurlijk een beetje link om als fietser te veronderstellen dat die automobilist, die van links kwam, daar ook van op de hoogte was.

En zo hebben we er ook jarenlang op gehamerd dat je op het internet goed moet opletten of je een slotje naast de adresbalk ziet. Slotje betekende veilig, geen slotje was (misschien) onveilig. Achter dat slotje gaat een digitaal certificaat schuil, dat twee dingen doet: het identificeert een website (vergelijkbaar met een paspoort) en het zorgt voor een beveiligde verbinding tussen jouw browser en de website, zodat anderen niet kunnen meekijken naar wat er over de lijn gaat (bijvoorbeeld de adres- en betaalgegevens die je bij een webshop invult).

Zo’n slotje is er in verschillende varianten. Als je een certificaat op een website wilt hebben, dan moet je aantonen dat het desbetreffende domein (xyz.nl, abc.com enzovoorts) op jouw naam geregistreerd is. Net zoals je bij de gemeente alleen een paspoort voor jezelf kunt aanvragen, zo kun jij ook geen certificaat aanvragen voor rivm.nl, want dat domein staat niet op jouw naam. Bij een luxere variant worden daarnaast de bedrijfsgegevens gecontroleerd bij de Kamer van Koophandel: jij wilt een certificaat voor mijnbedrijf.nl, maar bestaat dat bedrijf ook echt? Bij de certificaten die de overheid gebruikt (onder het PKIoverheid-stelsel), komt de leverancier naar je toe voor een face to face-controle, waarbij hij je identiteitsbewijs controleert en checkt of dat ook echt jouw document is. En je moet aantonen dat jij gemachtigd bent om namens jouw overheidsorganisatie certificaten te bestellen.

Maar nu komt het. Stel, jij registreert het domein ikbeneenboef.nl op jouw naam. En je bestelt een eenvoudig certificaat voor dat domein. Dat certificaat wordt keurig geleverd – het domein is immers van jou. Er prijkt nu een mooi slotje op jouw website. Vervolgens gebruik je die website voor criminele activiteiten. Je lokt mensen naar die site – phishing! – en laat ze daar persoonlijke gegevens invullen, of je serveert malware. Bezoekers wanen zich veilig, want ze zien dat slotje en denken dat ze zich geen zorgen hoeven te maken.

Maar net zoals verkeersregels veranderen en ‘groen’ niet per se hetzelfde is als ‘veilig’, zo is ook internetveiligheid in beweging en is de waarde van het slotje betrekkelijk. Criminelen doen namelijk tegenwoordig precies wat ik in de vorige alinea beschreef: driekwart van alle phishingsites heeft keurig een certificaat (bron: ENISA). Het is een kleine investering en criminelen hebben geleerd dat het loont om betrouwbaar over te komen.

Een rood verkeerslicht betekent dat je sowieso moet stoppen en groen betekent dat je kunt rijden als het veilig is, en zo betekent de afwezigheid van een slotje dat je daar beter wegblijft (en in ieder geval geen moet gegevens invullen, want de verbinding is niet beveiligd) en de áánwezigheid ervan dat je kunt doorgaan, mits je ervan overtuigd bent dat je op een legitieme site bent. Ben je daar echter terechtgekomen door op een link in een mogelijk verdacht mailtje te klikken, dan is het slotje in de browser geen reden om opgelucht te denken dat het mailtje ‘dus toch’ oké was.

 

En in de grote boze buitenwereld …

• evolueert malware ook: dit Trojaanse paard kan doordringen tot de UEFI van je computer en dat is slecht nieuws.

• staat een virtueel toetsenbord ook al niet meer garant voor niet kunnen afluisteren.

• kan deze gemeente niet meer bij haar gegevens.

• bestaat er goede hoop dat de volgende Amerikaanse regering cybersecurity serieus zal nemen.

• waren iOS-apparaten volledig over te nemen via wifi.

• slaagde de Braziliaanse overheid erin om meer patiëntendossiers te lekken dan het land inwoners heeft.

• kun je je Android-toestel nog wat veiliger maken met deze tips.

• is het vervelend als iemand jouw persoonlijke informatie online zet. Dit artikel legt uit wat doxing inhoudt.

• bezorgde een postbode de pakjes bij zichzelf, terwijl de geadresseerden (die nergens van wisten) voor de kosten opdraaiden.

• komen er waarschijnlijk zwaardere straffen voor WhatsApp-fraude en phishing.

• investeert de politie weer eens in het bijspijkeren van agenten op het gebied van cybersecurity.

·