Methodes

Technische mensen – en misschien ook wel anderen – werken graag met methodes. Een methode geeft houvast, is gemakkelijk herhaalbaar en geeft resultaten die je onderling kunt vergelijken. Bovendien hoef je niet steeds opnieuw het wiel uit te vinden.

Van Dale definieert methode als volgt: “vas­te, wel­door­dach­te ma­nier van han­de­len om een bep. doel te be­rei­ken”. Je hebt methodes in soorten en maten. Soms is iets al een methode omdat je soortgelijke taken op steeds dezelfde wijze uitvoert. Denk maar eens aan je ochtendroutine. Voor mij – en waarschijnlijk ook voor jou – verloopt zo’n beetje alles wat ik doe tussen het uitzetten van de wekker en het beginnen met werken volgens een vast stramien. Is zo’n ochtendroutine dan een methode? Ja hoor, pel ‘m maar af: het is een vaste manier van handelen, er is een doel (fris en fruitig aan de werkdag kunnen beginnen) en op mijn leeftijd heb je inmiddels wel de nodige efficiencyslagen in je ochtendroutine aangebracht, zodat er sprake is van een weldoordachte handelswijze.

Naast deze huis-, tuin- en keukenmethodes zijn er ook meer formele methodes. Die zijn door knappe koppen bedacht om ingewikkeldere doelen te tackelen dan netjes achter je bureau te verschijnen. Die methodes dienen niet alleen om taken op de automatische piloot uit te kunnen voeren, maar ook om je te ondersteunen bij het vastleggen, ordenen en analyseren van gegevens. Vaak horen er templates en tools bij zo’n methode. En we weten allemaal welke verschijningsvorm dat vaak heeft: een Excel-sheet. Door de een verguisd, door de ander omarmd: Excel is het werkpaard van onze industrie.

Er is één methode die ik het vaakst uit mijn gereedschapskist haal, en dat is de methode die wij gebruiken voor het uitvoeren van risicoanalyses. Waar het bij die methode om draait is dat er gewerkt wordt met een vaste lijst van dreigingen, waar je op een bepaalde manier naar kijkt om te bepalen wat je belangrijkste risico’s zijn. Dat klinkt nu alsof we het over de belangrijkste risico’s voor de hele organisatie hebben, maar dat is niet zo. We voeren risicoanalyses doorgaans uit op het niveau van een dienst die we leveren of een systeem dat we beheren. We doen dus veel risicoanalyses en dan heb je baat bij vergelijkbare resultaten, die je soms kunt gebruiken om problemen te detecteren die groter zijn dan de scope van één enkele analyse. Soms leidt dat dan ook weer tot aanpassing van de methode.

In dat aanpassen zit wel een valkuil: als je teveel aanpast, dan zijn de resultaten mogelijk niet meer zo goed vergelijkbaar. Je moet dan de afweging maken wat zwaarder weegt: vergelijkbaarheid van resultaten of evolutie van je methode. Soms veranderen methodes trouwens min of meer vanzelf. Of hanteer jij nog precies dezelfde ochtendroutine als vóór de corona-ophokplicht?

Net zoals vele wegen naar Rome leiden, zo zijn er ook meerdere methodes voor hetzelfde doel. Voor risicoanalyses gebruiken wij IRAM, maar dat was destijds een vrij arbitraire keus: we vroegen aan een vergelijkbare organisatie wat zij gebruikten en of dat beviel. Soms kun je echter niet goed uit de voeten met welke risicoanalysemethode dan ook. Dan ligt er bijvoorbeeld een onderzoeksvraag in de trant van: als we dit-en-dat gaan doen, met welke risico’s moeten we dan rekening houden? Of: we willen een product voor bepaalde functionaliteit; welk van deze producten is vanuit beveiligingsoogpunt het meest geschikt? Bij zo’n vraag moet je gewoon relevante informatie verzamelen, analyseren en er een oordeel over vormen.

Vroeger noemden we dat een JBF-risicoanalyse: op z’n janboerenfluitjes. Vakgenoten kennen die term wel, maar je loopt er het risico mee dan anderen je toch minder serieus nemen. Daarom heb ik er een naam voor bedacht waarmee je voor de dag kunt komen. De methode en de naam zijn vrij van rechten, ik doe ‘m je bij deze cadeau: RAZM (spreek uit: razm, dus niet: er-a-zet-em). De meeste mensen zullen onder de indruk zijn als je zegt dat je een risicoanalyse volgens RAZM doet en niet doorvragen. Maar voor het geval dit toch een keer gebeurt: dit acroniem staat voor RisicoAnalyse Zonder Methode. Graag gedaan.

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• draait Iraanse spyware in een Nederlands datacenter.
• had de politie nog zo gezegd dat criminele activiteiten op Nederlandse infrastructuur kansloos zijn.
• moet er meer aandacht komen voor memory safety.
• mag de politie een verdachte ‘licht dwingen’ om zijn duim op de vingerafdrukscanner van zijn telefoon te leggen.
• zie je hier hoe je bankpasje kan worden gekloond. Noot: dit verhaal speelt zich af in de VS, waar het nog gebruikelijk is om de magneetstrip te gebruiken in plaats van de chip.
• raadt de Autoriteit Persoonsgegevens scholen sterk af om te registeren welke leerlingen corona hebben en om actief aan ouders/leerlingen te vragen om een besmetting te melden.
• zijn weer een paar digifraudeurs veilig opgeborgen.
• is er politieke aandacht voor overheidsinstanties die in gebreke blijven op het gebied van privacy.
• helpt Windows je een handje bij het verwijderen van de verguisde Flash Player.
• word je bespioneerd via je inkomende e-mail.
• bestaan er privacyvriendelijke alternatieven voor WhatsApp.

Bluetooth

Er kwam een interessante lezersvraag binnen: is het veilig om een draadloos toetsenbord te gebruiken?

De gedachte achter die vraag is helder: een draadloze verbinding kan onderschept worden. Een aanvaller kan zien wat er over zo’n verbinding heen en weer gaat, en daarnaast kan hij eigen data in de verbinding injecteren. Als iemand op de verbinding met je toetsenbord kan inbreken, dan kan hij dus zien wat je typt. Bijvoorbeeld wachtwoorden, of vertrouwelijke tekst in documenten en mailtjes. Alsof hij een camera op je vingers heeft gericht. En hij zou ook zelf iets kunnen typen als jij even een kop thee gaat halen. Maar lees even verder, want dit is nog lang niet het complete antwoord op de gestelde vraag.

Draadloze apparaten maken verbinding via Bluetooth en soortgelijke protocollen, die data verzenden via radiofrequenties. Als ik om mij heen kijk, zie ik nogal wat draadloos verbonden spullen: toetsenbord en muis voor de besturing van de laptop, oortjes die ik zowel met de telefoon als met de iPad verbindt, een horloge dat informatie van de telefoon weergeeft en informatie over mijn sportieve activiteiten terugstuurt, en het toetsenbord van de iPad. Daarnaast maakt ook de auto verbinding met de telefoon en zijn er nog een paar draadloze speakers in huis. Allemaal Bluetooth.

Het Bluetooth-protocol kent verschillende beveiligingsniveaus. Het probleem voor de gebruiker is dat je daar nauwelijks invloed op hebt: je koopt een apparaat dat Bluetooth op een bepaald niveau praat, klaar. Als je een ander niveau wilt, moet je een ander apparaat kopen. Maar zo werkt het natuurlijk niet: je wilt díe oortjes omdat die voor jou het meest geschikt zijn, je wilt dát toetsenbord omdat het zo fijn typt. Niet omdat je hebt gelezen dat het gebruikmaakt van de nieuwste Bluetooth-versie en AES-versleuteling toepast. Maar het is wel degelijk zinvol om Bluetooth te beveiligen: door de jaren heen zijn er diverse aanvalsmogelijkheden ontdekt, met namen als Blueborne Attack, Bluebugging, Bluesnarfing en Bluejacking.

Het is een geruststellende gedachte dat Bluetooth-signalen zo zwak zijn, dat hun reikwijdte beperkt is. Tien meter, wordt altijd gezegd. Ik heb even een proefje gedaan. Mijn bureau staat op de eerste verdieping, aan de voorkant van het huis. Ik ben, met het toetsenbord in de hand, naar beneden gelopen en heb op enkele plekken getypt waar ik me op dat moment bevond. In de keuken, recht onder mijn bureau, kwam het signaal nog prima door – dwars door de betonnen vloer heen. In het midden van het huis haperde de verbinding: “midn s” staat er, in plaats van “midden huis”. En van achter in het huis kwam helemaal niets meer door. Het Bluetooth-signaal heeft dus inderdaad een vrij beperkt bereik, veel kleiner dan bijvoorbeeld wifi. Maar: boeven hebben richtantennes, waarmee ze het signaal over een grotere afstand kunnen oppikken.

Als je op zoek gaat naar beveiligingstips omtrent Bluetooth, dan kom je steevast deze tegen: zet het uit als je het niet nodig hebt. Ja leuk, enkele jaren geleden deed ik dat inderdaad. Tegenwoordig is dat in de meeste gevallen  ondenkbaar. Op mijn smartphone staat het altijd aan om informatie op het horloge weer te geven, maar vooral om via m’n oortjes te kunnen bellen (zó veel prettiger dan met het toestel aan je oor). Op de iPad staat het altijd aan omdat anders het toetsenbord niet werkt en omdat ik de oortjes ook gebruik bij het videovergaderen. Computers weten niet eens dat het draadloze toetsenbord met Bluetooth werkt: zij zien alleen de bijbehorende dongel, die je in een USB-poort prikt. Voor de computer komen de signalen van je draadloze muis en toetsenbord dus gewoon via USB binnen, alsof er wél een draad tussen zit. Alleen de verbinding tussen dongel en muis/toetsenbord is Bluetooth.

Gelukkig heb ik een paar tips gevonden waar je wél iets mee kunt. Zoals deze: verwijder apparaten, die je niet meer gebruikt, uit de Bluetooth-lijst van je toestellen. Daarmee verklein je de mogelijkheden voor hackers om bepaalde aanvallen toe te passen. Zorg er ook voor dat je op alle apparaten altijd alle updates installeert (dit advies reikt veel verder dan alleen Bluetooth). En als je een nieuw apparaat koppelt (pairing), doe dat dan bij voorkeur op een veilige plek, zodat niemand de beveiligingssleutel kan afluisteren die de apparaten met elkaar afspreken. Op zoek naar informatie over mijn eigen toetsenbord, merk ik dat het niet gemakkelijk is om erachter te komen of dat ding versleuteling toepast. De tip “koop een toetsenbord met versleuteling” zou dus ook wel eens lastig op te volgen kunnen zijn.

Tot slot en ter geruststelling: de meesten van ons zullen niet gauw slachtoffer worden van een aanval op hun Bluetooth-verbindingen en kunnen dus zonder bedenkingen een draadloos toetsenbord en andere handige producten gebruiken. Zoals bij veel risico’s moet je ook bij het gebruik van Bluetooth meewegen in hoeverre je een potentieel doelwit bent. Politici, opsporingsambtenaren en BN’ers zijn voorbeelden van groepen die er in ieder geval goed aan doen om voor zichzelf te analyseren of iemand moeite zou willen doen om bij hen in te breken.

 

En in de grote boze buitenwereld …

• loop je als softwarebouwer risico’s bij het gebruik van open source software: er kan malware in zitten, die jij dan opneemt in jouw eigen product.
• heeft de Haagse Hogeschool onderzoek gedaan naar cyber-ketenweerbaarheid (omdat we allemaal onderdeel van een keten zijn).
• hebben de Britse royals een privacyzaak tegen een tabloid gewonnen.
• vatte de politie twee smishers in de kraag.
• wist Europol tien telefoon-hijackers achter de tralies te krijgen.
• probeerde een hacker het drinkwater van een Amerikaans stadje te vergiftigen.
• willen de Nederlandse inlichtingendiensten meer geld voor het bestrijden van de cyberdreiging uit Rusland en China.
• haalde de GGD alweer het nieuws met gebrekkige beveiliging.
• heeft die gebrekkige beveiliging gek genoeg geen onveilige situatie tot gevolg.
• hoeft een risicoanalyse helemaal niet zo ingewikkeld te zijn.
• heeft corona ook gevolgen voor security operations.
• is digitale tentamensurveillance niet erg privacyvriendelijk.
• wil Facebook een aantal internetdomeinen in beslag nemen, die een beveiligingsbedrijf gebruikt voor phishingtests.

 

Digitale avondklok

Bepaalde mensen hebben zich vreselijk opgewonden over de momenteel van kracht zijnde avondklok. Of ze hadden ‘gewoon’ zin om te rellen, supermarkten te plunderen en met de politie te vechten, en zagen in die avondklok een welkome aanleiding. Ik vind daar wat van, maar daar ga ik het hier niet over hebben. Dat idiote gedrag ligt simpelweg té ver van het onderwerp informatiebeveiliging af.

In menig huishouden voltrekt zich al sinds jaren in stilte een drama onder tieners: de digitale avondklok, beter bekend onder de bredere term ‘ouderlijk toezicht’. Voor wie daar niet in thuis is even een korte toelichting. Ouderlijk toezicht biedt ouders controle over wat hun kroost op allerlei apparatuur kan doen. Dat ‘wat’ kan van alles zijn: op een tv kun je bepaalde zenders achter een pincode stoppen, op een spelcomputer kun je leeftijdsrestricties instellen en bepalen hoeveel ‘echt’ geld eventueel mag worden besteed en op een smartphone kun je instellen hoe lang of tot hoe laat de telefoon kan worden gebruikt. Bovendien kun je de smartphone vanaf je eigen telefoon blokkeren – handig als het kind nog iets moet doen maar dat ‘vergeet’ omdat TikTok of Hay Day (“De boot gaat zo vertrekken!”) hem of haar gevangenhoudt.

Je kunt dus instellen wanneer zo’n apparaat op zwart gaat. Heb je dat wel eens geprobeerd? En kwam dat de sfeer in huis ten goede? Grote kans dat je kind er chagrijnig van werd en een gevoelige troefkaart speelde: er dreigt sociaal isolement als jouw kind ‘als enige’ niet meer online mag zijn en de rest vrolijk doorgaat. Je kind schiet dan al gauw in de FOMO-stand: the fear of missing out – de vrees dat je iets mist. Het is een duivels dilemma: aan de ene kant wil je niet dat je kind vierkante ogen krijgt van het urenlang naar een schermpje turen, aan de andere kant wil je z’n sociale leven niet in de weg staan.

Dat laatste kun je niet achteloos wegwuiven. Jezelf op je kamer opsluiten met een game lijkt op het eerste oog een nogal solitaire activiteit, maar die jongelui zitten veelal online te gamen en hebben daarbij contact met hun klasgenoten en vrienden. Tijdens het gamen wordt er gekletst alsof ze bij elkaar op de koffie zijn, en soms worden daarbij zelfs schoolinhoudelijke zaken besproken (“Hoe heb jij die som opgelost?”) – al kan dat al gauw tot protesten leiden van de minder studiebollerige kids die in de party zitten. Anderen zitten gerust een hele avond te videobellen en dat lijkt ook erg op sociaal gedrag, nietwaar?

Natuurlijk is het prettig als er een zeker evenwicht is tussen schermtijd, schooltijd en andere activiteiten. Gelukkig gaat mijn zoon (17) nog graag naar buiten om de skeeleren, skateboarden of een balletje te trappen, en mijn dochter (morgen wordt ze 13) wordt blij van dansen en taarten bakken. Op z’n tijd met het hele gezin een offline spelletje (je weet wel, een bordspel) wordt ook door iedereen gewaardeerd, net als samen naar onze favoriete tv-programma’s kijken.

Is ouderlijk toezicht een beveiligingsmiddel? In gedachten loop ik de aspecten beschikbaarheid, integriteit en vertrouwelijkheid af. Tja, het doet in ieder geval iets met beschikbaarheid, maar niet in de zin zoals we dat doorgaans beschouwen in de informatiebeveiliging: gegevens en processen moeten beschikbaar zijn als je ze nodig hebt. Het doel van die digitale avondklok is juist het creëren van onbeschikbaarheid. En met integriteit en vertrouwelijkheid heeft het ook niks te maken, of je zou het blokkeren van pikante websites onder de noemen integriteit moeten scharen – maar dan gaat het om een ander soort integriteit, niet om het juist en volledig zijn van gegevens.

Dus ja, deze keer heb ik een onderwerp te pakken dat wél een haakje naar de actualiteit heeft, maar niet naar mijn vakgebied. Dat laatste ontwikkelt zich vaak pas tijdens het schrijven van de blog: ik heb een onderwerp waar ik iets mee wil en ik zie al schrijvend wel waar ik uitkom. Deze keer dus niet op mijn vakgebied. Maar dat mag ook wel een keertje hè.

Ik heb nog wel een ideetje over ouderlijk toezicht. Bouw de mogelijkheid in om contactgegevens van ouders op te nemen, of een chatfunctie of zo voor ouders. Dan kun je het er eens samen over hebben: mijn kind zegt dat het voor joker staat als het ‘al zo vroeg’ moet stoppen, maar hoe zit dat eigenlijk bij jullie? Het zou kunnen helpen om te voorkomen dat ouders tegen elkaar worden uitgespeeld.

                                                   

En in de grote boze buitenwereld …

• melden de inlichtingendiensten in het Dreigingsbeeld Statelijke Actoren dat Nederland (ook) op cybergebied kwetsbaar is voor spionage.
• verwoestte een hack het leven van deze voetbalster. (Helaas laat de schrijver de kans liggen om het over het voorkómen van dergelijke lekken te hebben, maar van de andere kant mag je dat ook niet verwachten van de sportredactie. Maar als ook maar één hacker het artikel leest en zich schaamt, dan ben ik toch blij dat ik de link heb opgenomen.)
• heeft ENISA een rapport over pseudonimisatie gepubliceerd.
• kan een back-up je systeem redden na een malware-aanval, maar dan moet hij wel betrouwbaar zijn.
• mag de Fraudehelpdesk nog steeds geen gegevens van oplichters opslaan.
• schreef deze krant een klaagzang op het wachtwoord, die eindigt in een ode aan biometrie.
• zijn de winnaars van de Nederlandse Privacy Awards bekendgemaakt.
• mag de politie schadelijke software van je computer verwijderen.
• gebruikt de Douane in Rotterdam scanners van Chinese makelij, en daar maakt de Tweede Kamer zich zorgen over.
• wist de politie een vette vis te vangen: een jeugdige tiener die via phishing ruim drie ton wist te vergaren. Ze vonden ook nog een vuurwapen bij hem.
• druppelen GGD-medewerkers, die verdacht worden van het verhandelen van coronatestgegevens, de cel binnen.
• Nummer drie
• Nummer vier
• Nummer vijf
• houdt de GGD zelf ook grote schoonmaak onder zijn medewerkers.
• voldoet de Belastingdienst over vier jaar ook aan de AVG.