Browsers

Klikkerdeklikkerdeklik. Je muis zou er bijna een, eh, menspoot van krijgen, zoveel klikken we als we aan het internetten zijn. We kennen het allemaal: je googelt iets, struint door de resultaten, vindt op een website weer een interessante link naar een andere pagina waar ook weer verwijzingen op staan. Soms is het heerlijk om jezelf zo te verliezen in de onmetelijke informatieoceaan, en soms moet je jezelf tot de orde roepen, vooral als je te ver off-topic bent gedrift.

Hoe kan dat toch, dat al die informatie gratis aan je voeten ligt, terwijl vroeger colporteurs met de kostbare 26-delige Winkler Prins Encyclopedie langs ’s lands voordeuren zeulden om de kennis van de wereld bij je thuis te brengen. Laat me je uit de droom helpen: ook de informatie op het internet is niet gratis. Daar geldt over het algemeen de regel: als iets gratis lijkt, dan ben jij het product, en dan meestal in de vorm van gegevens over jou. Laten we eens kijken hoe jij betaalt voor je dagelijkse dosis aan megabytes zonder dat je er erg in hebt.

Een jaar geleden had zakenblad Forbes een artikel met deze kop: Warning Over Chinese Mobile Giant Xiaomi Recording Millions Of People’s ‘Private’ Web And Phone Use. Daarin wordt verteld hoe de mobieltjes van dit merk informatie over bezochte websites doorsturen naar China, Rusland en Singapore, zelfs als je in incognito-mode surft of de privacyvriendelijke zoekmachine DuckDuckGo gebruikt. Maar ook het gebruik van andere apps en het benaderen van mappen zou gemonitord worden. Xiaomi reageerde met het uitgekauwde zinnetje “Privacy and security is of top concern” en ontkende de aantijgingen. Vervolgens erkenden ze toch dat browse-gegevens werden verzameld, maar dat zou geanonimiseerd en versleuteld gebeuren. De onderzoekers, die in het Forbes-artikel aan het woord komen, maken echter korte metten met deze bewering: de versleuteling kan eenvoudig teruggedraaid worden en er zaten voldoende gegevens bij om alles moeiteloos aan een individu te koppelen. Inmiddels heeft Xiaomi beterschap beloofd en zouden gebruikers de mogelijkheid hebben om het verzamelen van gegevens uit te zetten. Maar daar moet je dan dus wel zelf iets voor doen. Overigens geldt het bovenstaande niet alleen voor mobieltjes, maar ook voor de browsers die Xiaomi aanbiedt in Google Play (Mi Browser Pro en Mint Browser).

Ach ja, China, denk je dan, wat had je verwacht? Dat is immers het land waar je straf krijgt als de miljoenen camera’s met gezichtsherkenning zien dat je bij rood oversteekt. Vorige week publiceerde Forbes echter opnieuw een artikel over een hongerige browser en van de titel ga je schrikken: Why You Suddenly Need To Stop Using Google Chrome. Anders dan zijn grootste rivalen – Safari, Edge, Firefox – linkt Chrome de verzamelde gegevens aan toestellen en individuen. Daarmee maakt deze browser een veel grotere inbreuk op je privacy dan de anderen.

Maar waarom willen die browsers alles van je weten? Google heeft niet inhoudelijk op het Forbes-artikel gereageerd, maar wijst er alleen op dat ze gebruik(er)sgegevens nodig hebben ten behoeve van de geboden functionaliteit – bijvoorbeeld zoekresultaten bieden op basis van je huidige situatie. Maar daarvoor hoeft de browser alleen te weten waar je bent, niet wie je bent. Google is een advertentiebedrijf, dat zijn klanten voorhoudt dat ze in staat zijn om op maat gemaakte advertenties te presenteren aan de doelgroep van de klant. Dat kunnen ze alleen waarmaken door bij wijze van spreken meer over jou te weten dan je zelf weet. Oppervlakkig beschouwd lijkt Google nu een stap in de goede richting te zetten door cookies te vervangen door Federated Learning of Cohorts (FLoC), waarbij je niet langer als individu wordt geanalyseerd, maar als groep individuen met gelijke karakteristieken. Deze claim wordt echter neergesabeld door de elektronische burgerrechtenbeweging EFF.

Xiaomi – en vast ook anderen – gebruikt de verzamelde gegevens ook voor gedragsanalyse. De resultaten daarvan kun je natuurlijk weer gebruiken voor advertenties op maat, maar het zou me niet verbazen als ze in het thuisland ook worden gebruikt voor het in de gaten houden van de bevolking. En dat is nog veel enger dan wat advertenties.

Zojuist heb ik de browser van DuckDuckGo op mijn telefoon geïnstalleerd. DDG laat zich voorstaan op privacy-vriendelijkheid, maar hoe verdienen zijn dan geld? Door niet te adverteren op basis van persoonsgegevens, maar op basis van trefwoorden, zegt DDG zelf. Als je de zoekterm ‘auto’ intikt, krijg je advertenties over auto’s. Ik had ook Firefox als browser kunnen kiezen, van het non-profit bedrijf Mozilla, dat van donaties leeft. Maar de DDG-browser ken ik nog niet, dat maakt nieuwsgierig.

Wat doe jij vandaag om je privacy beter te beschermen?

 

En in de grote boze buitenwereld …

• liggen de gegevens van miljoenen Nederlandse autobezitters op straat.
• keert het hacktivisme terug.
• wordt deze ransomware gefopt door een gewijzigd wachtwoord.
• is dit een handig model om met gebruikers te praten over de volwassenheid van authenticatie.
• moet je de kracht van rancuneuze (ex)medewerkers nooit onderschatten.
• moderniseer je een SOC met data.
• zitten je rijbewijs en autosleutel straks in je telefoon.
• crasht de chip in je ID-kaart als je de inlogfunctie via DigiD activeert.
• heeft een Britse inlichtingendienst een erg moeilijke puzzel gemaakt.
• moet je een datalek nooit stilhouden.
• kan ook een Zoom-uitnodiging een phishingmail zijn.

 

Context is alles

Deze blog zou beter door een socioloog of zo geschreven kunnen worden. Althans, het eerste stuk. Ik heb er even geen bij de hand, dus ik ga het toch maar zelf proberen. Maar houd bij het lezen in het achterhoofd dat ik tijdelijk buiten mijn eigen expertise treed. Zoals het een goede schoenmaker betaamt, keer ik daarna terug naar mijn leest.

Wij gaan iedere dag een stukje wandelen, ter compensatie van het niet naar kantoor fietsen. Daarbij komen we veel collega-wandelaars tegen (en af en toe zelfs een wandelende collega). Als we andere voetgangers tegenkomen vallen er twee dingen op. Ten eerste: bijna iedereen groet elkaar. Niet iedereen – jonge mensen lijken niet te durven en sommige mensen kijken stoïcijns voor zich uit, al dan niet verzonken in hun eigen gedachten of loopritme. Ten tweede: men maakt ruim baan voor elkaar. Langs onze route ligt een stoep en een fietspad. Steevast wijkt één van beide partijen uit naar het fietspad. Soms ligt er een strook gras tussen beide paden en zelfs dan neemt men de moeite om – liefst via een verbindingspaadje, maar desnoods dwars over het gras – de afstandsregel in acht te nemen. Op sommige plaatsen is er geen uitwijkmogelijkheid. Dan gaan koppels achter elkaar en zo ver mogelijk rechts lopen, om de afstand toch zo groot mogelijk te maken. Al deze manoeuvres worden tientallen meters voor het rendez-vous ingezet, om maar duidelijk te maken dat men zijn best doet om bij elkaar uit de buurt te blijven.

Hoe anders was dat (zeker tijdens de eerste coronagolf) in de supermarkt. Toen waren veel mensen zo op hun boodschappenlijstje gefocust, dat afstands- en fatsoensregels vaak het onderspit delfden. Als je er iets van zei, dan kon je soms een stom antwoord krijgen. Elkaar groeten en de ruimte geven waren dan bepaald niet aan de orde. Tegenwoordig schijnt dergelijk gedrag veel minder vaak voor te komen (tenminste, in onze plaatselijke supermarkten – ik heb geen zicht op wat er in de rest van het land gebeurt, je komt tegenwoordig nergens meer hè).

Dat brengt me bij de stelling in de titel van deze blog: context is alles. De wandelaar wandelt in zijn vrije tijd en daardoor in een goede, of op z’n minst neutrale, bui (ik kom zelden woest uit hun ogen kijkende wandelaars tegen). De boodschapper daarentegen is op missie, loopt niet uit liefhebberij maar uit noodzaak door de supermarkt, is misschien getergd omdat-ie een ingrediënt voor het avondeten was vergeten en daarvoor speciaal terug moest komen. De context van de wandelaar nodigt veel meer uit tot voorkomend gedrag dan die van de shopper. Ik heb nog een tweede contextverschil in mijn verhaal naar binnen gesjoemeld: tijd. Het beschreven wandelgedrag speelt in het heden, het winkelgedrag is van een jaartje geleden. Voor de goede orde: ik weet niet of wandelaars destijds ook al zo coronabewust waren en of mensen in wijken buiten de mijne elkaar nog steeds de koppen inslaan in de supermarkt.

Kunnen we de constatering, dat context er toe doet, gebruiken om onze informatiebeveiliging te verbeteren? We doen ons werk tegenwoordig in een andere context dan we tot een jaar geleden gewend waren. Qua apparatuur die we thuis gebruiken maakt het niet uit: je laptop en de zakelijke toepassingen op je mobiele toestellen zijn thuis net zo veilig te gebruiken als op kantoor; ze zorgen zelf voor een goed beveiligde verbinding en zijn daarbij niet afhankelijk van de beveiliging van jouw wifinetwerk. We weten allemaal dat online vergaderen moeizamer verloopt dan in een echte vergaderzaal, maar de meeste dingen die je in zo’n zaal zou bespreken, kun je ook met een gerust hart in de virtuele zaal aankaarten. Voel je de slag die ik om de arm houd? Die is er voor de écht gevoelige zaken. Vaak is je gezonde verstand op dit punt een goede raadgever.

Ik zou me kunnen voorstellen dat thuiswerken tot meer whatsappen heeft geleid, omdat collega’s elkaar minder vaak en ook anders spreken. Dat is wel een punt om bij stil te staan. In een volgende blog zal ik stilstaan bij de wijze waarop berichtenapps zoals WhatsApp van invloed kunnen zijn op de veiligheid en de privacy van onze communicatie. Voor nu volsta ik met het vermoeden, dat de veranderde context gevolgen voor deze aspecten kan hebben. Organisaties doen er goed aan om daarover na te denken.

Momenteel haal je het waarschijnlijk niet in je hoofd om met je laptop in de tuin te gaan zitten werken, maar als de tijd rijp is, moet je je wel afvragen wie er dan allemaal kan horen wat je bespreekt. En als je nu bij een raam aan de straatkant zit, kunnen passanten dan op je scherm gluren? Op kantoor hoef je over die dingen niet na te denken (hoewel, bij sommige bedrijven staan de beeldschermen op de begane grond toch echt naar de ramen gericht), maar in de context van het thuiswerken moet je maar nog eens bewust aandacht schenken aan clear desk, clear screen en, eh, clear garden?

 

En in de grote boze buitenwereld …

• wilde een Rus een Tesla-medewerker omkopen om malware in het netwerk van zijn werkgever te planten.
• moet de overheid meer oefenen met cybersecurity-incidenten.
• kost het zestien dollar om iemands sms-berichten te kapen. (En toch is sms als methode voor tweefactorauthenticatie (2FA) beter dan geen 2FA.)
• stelt de Amerikaanse overheid gratis een tool ter beschikking waarmee bedrijven kunnen onderzoeken of ze door de recente SolarWinds- of Microsoft 365-kwetsbaarheden zijn geraakt.
• rijst internetcriminaliteit ook in de VS de pan uit, zegt de FBI.
• lekte de uitslagenwebsite van de gemeentes verkiezingsuitslagen.
• komt de EU met een digitaal coronapaspoort. (Ik houd hier alvast een plekje vrij voor de eerste melding van een hack op dat paspoort.)
• zijn vooral corona-apps van buiten de EU minder privacyvriendelijk.
• zet Twitter de volgende 2FA-stap.

 

Bewolkt

Landen met onderdrukkende regimes daargelaten, kent onze moderne digitale wereld geen grenzen. Vanuit Nederland bestel je net zo gemakkelijk iets in China als bij de webwinkel om de hoek, onderwijl luisterend naar een Amerikaanse radiozender. De wereld ligt aan onze voeten en daar maken we volop gebruik van. Diezelfde open wereld maakt echter net zo gemakkelijk gebruik van ons, vaak zonder dat we het beseffen. Of weet jij wat er allemaal van en over jou in de cloud staat?

Eind vorig jaar stelde privacy-expert en hoogleraar Digital security Bart Jacobs dat de voorgenomen migratie van de Radboud Universiteit naar Microsoft 365 (voorheen Office 365) illegaal is. De overstap van on premise (ook wel on prem; opslag binnen de eigen organisatie) naar de Amerikaanse cloud is volgens de professor strijdig met de Europese privacywetgeving, de AVG. Deze Algemene Verordening Gegevensbescherming stelt dat persoonsgegevens van Europeanen alleen binnen de grenzen (!) van de Europese Economische Ruimte (EU plus Liechtenstein, Noorwegen en IJsland) mogen worden opgeslagen, tenzij er zekerheid over bestaat dat de gegevensopslag daarbuiten aan de eisen van de AVG voldoet.

Met deze regels krijgt de VS als het ware een koekje van eigen deeg. Met hun Patriot Act en Freedom Act hebben ze geregeld dat hun inlichtingen- en opsporingsdiensten ruimhartig toegang kunnen krijgen tot gegevens die bij Amerikaanse bedrijven zijn opgeslagen. En de AVG zegt dus dat onze gegevens niet zomaar in Amerika mogen worden opgeslagen. De volgende zet in dit trans-Atlantische schaakspel was het Privacy Shield-verdrag, dat inhield dat Europese persoonsgegevens wél bij een Amerikaans bedrijf mochten worden gestald als dat bedrijf zelf verklaarde dat het aan onze regels voldeed. Dat verdrag is echter door het Europese Hof van Justitie in juli weer van tafel geveegd.

De Nijmeegse hoogleraar zegt dat de privacy van de gebruikers onvoldoende is gewaarborgd. Als zijn universiteit doorgaat met de invoering van Microsoft 365, dan handelt zij daarmee in strijd met de AVG, zo betoogde hij in december in een interview in het universiteitsblad Vox. In januari werd bekend dat de universiteit haar plannen toch doorzet en de geuite bezwaren adresseert in SURF-verband (het universitaire ICT-samenwerkingsverband). SURF wil een aangepast contract met Microsoft afsluiten, maar lijkt zijn kansen bij voorbaat al niet hoog in te schatten. En ach, dan zien we wel  verder, lijken ze te zeggen.

Mijn verhaal gaat niet alleen over een universiteit; wat daar gebeurt is exemplarisch voor een worsteling die zich ook elders voltrekt. Enerzijds willen organisaties het onmiskenbare gemak van de cloud – zoals samenwerken, informatie delen, schaalbaarheid en plaatsonafhankelijkheid – benutten. Anderzijds moeten persoonsgegevens worden beschermd. Zodra je een memo schrijft en daar je naam op zet, bevat het een persoonsgegeven. Een klantenbestand puilt ervan uit. Het is erg moeilijk om ergens géén persoonsgegevens in te hebben staan.

Amerikaanse bedrijven willen de Europese markt niet verliezen en spelen handig in op de AVG door datacenters in Europa te vestigen. Dat alleen is echter niet voldoende: omdat het nog steeds Amerikaanse bedrijven zijn, vallen ook buitenlandse vestigingen onder de Amerikaanse wetgeving, waardoor die bedrijven nog steeds verplicht zijn om op bevel van een Amerikaanse rechter gegevens af te staan. Het vergt dus de nodige juridische constructies om zo’n Europees datacenter helemaal los te weken van de Amerikaanse moeder. En dan nog weet ik niet of je erop kunt vertrouwen dat je gegevens daar ook op termijn veilig zijn voor grijpgrage handen.

Het dilemma, waar wij Europeanen mee worstelen, wordt in feite veroorzaakt doordat all the good stuff uit de VS komt. Ze maken prachtige software die onze zakelijke en privélevens een stuk aangenamer maken. De kwaliteit van hun producten heeft ervoor gezorgd dat het machtige bedrijven werden. Hadden we maar net zo’n volwassen software-industrie in Europa…

Ik hoorde net op de radio dat de Autoriteit Persoonsgegevens het zo druk heeft, dat een nu ingediende klacht pas over een half jaar wordt opgepakt. Het wordt hoog tijd dat de AP toegerust wordt om haar taak serieus te kunnen uitvoeren en waar nodig haar tanden te kunnen laten zien. En misschien kunnen ze dan ook nog proactief adviseren bij ingewikkelde kwesties als het toepassen van Microsoft 365 en andere grote cloudapplicaties.

 

En in de grote boze buitenwereld …

• levert ook de combinatie van Google en onderwijs privacyproblemen op.
• wordt onze privacy net zo goed vanuit het oosten bedreigd, zo laat het gedrag van de opstomende app Clubhouse zien.
• willen ook onze eigen inlichtingendiensten beter kunnen rondsnuffelen.
• betekent het zetten van een privacyvriendelijke stap niet per se dat je privacy erop vooruitgaat.
• spioneert Huawei natuurlijk niet, zegt Huawei.
• kun je in Dublin de studie Internet of things technology volgen. Gelukkig staat ook beveiliging op het programma.
• toont deze hack op beveiligingscamera’s in ziekenhuizen en gevangenissen maar weer eens aan dat zo’n opleiding hard nodig is.
• kun je natuurlijk ook een IoT-seksspeeltje hacken.
• leidde Instagram gebruikers naar desinformatie over corona. Instagram vindt op zijn beurt het onderzoek waar dat uit blijkt misleidend.
• kan het publicitair heel vervelend uitpakken als een organisatie een datalek heeft door een fout in ingekochte software.
• heeft de politie alweer een crimineel communicatienetwerk gekraakt.
• kunnen digitaal ondertekende pdf-bestanden toch nog gemanipuleerd worden.
• maakt het NCSC zich ongerust over het grote aantal nog niet gepatchte Exchange-servers.
• versleutelt WhatsApp binnenkort ook je back-up.

 

Frappez toujours au phish

We hebben een nieuw wapen in de strijd tegen phishing. Toegegeven, op een schaal van proppenschieter tot kruisraket is het niet meer dan een schaar om het lijntje van de gegevenshengelaar mee door te knippen, maar toch.  Het is weer een stap op weg naar een wereld zonder mensen die op slinkse wijze proberen gegevens te ontfutselen aan argeloze computergebruikers.

Het nieuwe wapen is uiterst goedkoop. We hebben het bij anderen afgekeken. Om het aan te zetten hoefde een beheerder slechts eenmalig een tekstje te kopiëren en ergens een vinkje te zetten. Sinds afgelopen maandag wordt aan alle e-mail, die wij van buiten de eigen organisatie ontvangen, deze melding toegevoegd: [EXTERNE E-MAIL] Dit bericht is afkomstig van een externe afzender. Wees voorzichtig met het openen van linkjes en bijlagen.

Helaas moeten we de gebruiker nog steeds inzetten als schakel in de verdediging tegen criminelen, die proberen om wachtwoorden of andere gevoelige informatie te bemachtigen door mensen op linkjes te laten klikken of bijlagen te laten openen, waardoor ze bijvoorbeeld op de nagemaakte website van een bank of ander bedrijf terechtkomen, of waardoor hun computer besmet raakt met malware die de crimineel kan gebruiken om zichzelf toegang tot die computer te verschaffen. Om de gebruiker niet onvoorbereid ten strijde te laten trekken, steken we nogal wat energie in voorlichting: hoe herken je phishing, wat doe je als het tegenkomt, welke gevolgen kan het hebben, enzovoorts.

En nu dus dat zinnetje. Want zoals de kracht van reclame in de herhaling zit, zo zit ook de kracht van training in de herhaling. Frappez toujours, zeggen de Fransen – blijf aankloppen. Door dat ene zinnetje telkens te presenteren als het gevaar loert, willen we onze collega’s een “oh ja”-momentje bezorgen. Als in: “Oh ja, dit mailtje komt van buiten. Als er een link of een bijlage in zit, dan moet ik me even afvragen of ik er wel op moet klikken. En bij twijfel doe ik even niks.” Elders leggen we uit wat je zelf kunt doen om te bepalen of je met phishing te maken hebt.

Er zijn vragen gekomen over dat zinnetje. Bijvoorbeeld: hoe doe ik dat, een bijlage voorzichtig openen? Maar dat staat er niet (en het kan ook helemaal niet). Nee, de boodschap is: denk na óf je het bestand moet openen. Komt het van een bekende afzender, past het in je contacten met die afzender en is de tekst van het mailtje logisch? Dan is er waarschijnlijk niets aan de hand. Die tweede vraag is belangrijk omdat, als een bedrijf of persoon gehackt is, de hacker ‘echte’ mailtjes kan versturen namens zijn slachtoffer. Kortom, zo luidt het vriendelijke verzoek: laat je niet gek maken, maar als je nattigheid voelt, negeer dat gevoel dan niet maar handel ernaar.

Sommigen maken zich zorgen over ons imago. Ze vrezen dat het onprofessioneel overkomt als ze een extern mailtje beantwoorden en de ander dan ziet dat wij zo’n waarschuwing aan zijn oorspronkelijke mail hebben toegevoegd. Ik zie dat anders: het getuigt van een proactieve houding als een organisatie zijn medewerkers en zichzelf op deze wijze beschermt. Ik vertelde al dat we het idee gejat hebben; dat ging als volgt. Een collega zag een dergelijke waarschuwing in het antwoord op een mailtje dat hij privé naar een bedrijf had gestuurd, vond dat een goed idee en vertelde het aan mij. Mensen, die ons mailen, zullen heus niet denken dat we specifiek hún mail niet vertrouwen. Ze zullen begrijpen dat die waarschuwing aan álle mail wordt toegevoegd en menigeen zal denken: die zijn goed bezig!

Het zou fijn zijn als we onze collega’s niet in de frontlinie van de strijd tegen phishing zouden hoeven te plaatsen. Er bestaan wel degelijk mogelijkheden om phishing (en spam) op technisch niveau een halt toe te roepen. Protocollen als SPF, DKIM en DMARC zijn echter alleen effectief als ze breed worden ingezet. Een organisatie of provider, die ze niet implementeert, laat de deur voor internetcriminelen openstaan – die wandelen als het ware naar binnen en doen alsof ze iemand anders zijn. Met de genoemde protocollen wordt onder andere vastgelegd dat een mailtje, dat beweert dat het afkomstig is van bijvoorbeeld belastingdienst.nl, vanuit specifieke mailservers moet worden verzonden. Als een mailtje met zo’n afzenderadres ergens anders vandaan komt, dan is het af – althans, als aan de kant van de ontvanger daarop wordt gecontroleerd.

Of een bedrijf of provider deze protocollen toepast, kun je gemakkelijk testen op internet.nl. Daar krijg je een mooi (of minder mooi) rapport met uitleg over de mate van beveiliging van een e-maildomein of website.

 

En in de grote boze buitenwereld …

• is het aantal hacks en datadiefstallen in Nederland vorig jaar flink gestegen.
• weten criminelen nu of je wel eens in de dierentuin of het pretpark komt.
• tornt de overheid weer aan sterke versleuteling.
• is een Nederlandse cryptocurrencyhandelaar gehackt en zijn klantgegevens gelekt.
• zijn fouten in Microsoft Exchange misbruikt door Chinese hackers, zegt Microsoft.
• zijn die Exchange-exploits ook in Nederland toegepast.
• biedt een VPN geen waterdichte garantie tegen criminelen.
• heeft het Donorregister dringend behoefte aan beveiligingsprocedures.
• stort de Universiteit Twente zich op cybersecurity (met een geinige afkorting).
• mag je hopen dat je Android-toestel nog beveiligingsupdates krijgt.
• is tweefactorauthenticatie (2FA) best wel belangrijk.
• staat 2FA nu ook op de politieke agenda.