Tien jaar bloggen

Naar aanleiding van klachten van beheerders over het vollopen van servers is onderzoek gedaan naar de aanwezigheid van mp3-bestanden. Dat bleken er heel wat te zijn. Momenteel  wordt aan verzamelaars duidelijk gemaakt dat onze storage-faciliteiten niet zijn bedoeld voor het opslaan van dergelijke bestanden. En natuurlijk ook niet voor je fotocollectie.

Het bovenstaande is een passage uit de allereerste Security (b)log, die op 24 juni 2011 werd opgetekend. Die blog bestond toen nog uit drie korte stukjes over verschillende onderwerpen, en de volledige titel luidde: Security (b)log: wat is er deze week gebeurd? De vroege blogs gingen met name in op observaties op het werk; in latere jaren kwamen daar steeds vaker privébelevenissen bij. Ik heb er een sport van gemaakt om onderwerpen, die ogenschijnlijk niets met informatiebeveiliging te maken hebben, toch via een twist aan mijn vakgebied te koppelen. Ook op vakantie kan ik het niet laten om af en toe een aantekening te maken of zelfs even halt te houden voor een foto waar ik een blogonderwerp in zie. Mijn gezin is eraan gewend.

Er is nog een ander jubileumpje. Precies vijf jaar geleden verscheen de Security (b)log namelijk voor het eerst ook extern, nadat mijn directeur, die ter ere van het eerste lustrum van de blog op taart had getrakteerd, daar toestemming voor had gegeven. Die blog was een verhandeling over de gelijkenis tussen Don Quichot en de informatiebeveiliger, en de conclusie was dat wij veel meer lijken op zijn schildknaap, Sancho Panza. Kijk, dat vind ik nou leuk: onderzoek doen en dan tot een verrassende conclusie komen. Er zit overigens best vaak onderzoek achter een blog. Zelden zo uitgebreid als het lezen van een heel boek, maar toch: als ik het over een onderwerp ga hebben, dan wil ik beslagen ten ijs komen. Als blogger heb je weliswaar de nodige dichterlijke vrijheid, maar de feiten horen natuurlijk wel te kloppen. Als dat toch een keertje fout gaat, is er altijd wel een wakkere collega die me daarop wijst.

Af en toe doe ik lezersonderzoek. Dan kijk ik naar de lezersaantallen per blog en over welk onderwerp die ging. Een spreadsheet met een grafiek verklapt al snel welke onderwerpen populair zijn. De absolute topper, met ruim tweeduizend interne lezers, was “Kerstcadeau”, die op 18 december vorig jaar verscheen en over de aanschaf van een smartphone ging – meer precies over het updatebeleid dat erbij hoort. Grappig om in die grafiek te zien dat de op één na vaakst gelezen blog precies een week verscheen. Met ruim negentienhonderd lezers was “Wachtwoordsysteempje” een goede tweede. Het gemiddelde aantal interne lezers tussen begin 2019  en half mei dit jaar bedroeg 550. Externe cijfers liggen moeilijker. Ik publiceer de blog op LinkedIn en op Blogspot. Dat laatste is een platform van Google. Dat werkt lekker makkelijk, maar de getoonde statistieken zijn waardeloos. LinkedIn geeft wel duidelijke cijfers, maar een totaalbeeld van de externe blog heb ik dus niet. Wat wel duidelijk is, is dat er ruim meer interne dan externe lezers zijn. Topper op LinkedIn was een paar weken geleden “De vermomde bank”, die erover ging dat veel bedrijven eigenlijk een bank zijn, zonder dat ze dat zelf lijken te beseffen. Gisteren meldde De Nederlandsche Bank trouwens dat ze scherp op big tech-bedrijven letten die bancaire activiteiten ontplooien. Zouden ze bij DNB ook mijn blog lezen…? Overigens gebiedt de eerlijkheid me te vertellen dat ik bij die blog Brenno de Winter had getagt, op wiens uitspraak ik voortborduurde. De positieve reactie daarop van Brenno heeft veel extra lezer opgeleverd.

In de voorbije tien jaar heb ik 390 blogs geschreven. Meestal iedere week eentje, behalve in vakanties en in korte werkweken. En er was een korte periode waarin een teammanager mij vroeg om de frequentie te halveren, omdat er veel werk moest worden verzet. Dat was begrijpelijk, maar het schrijvershart bloedde. Gelukkig weet ik mij nu nog steeds gesteund door het management. Ze snappen maar al te goed dat dit soort stukjes een rol spelen bij het nadenken over security, en bovendien vinden ze het zelf leuk om te lezen. Het is trouwens ook leuk om ze te schrijven. Ik mag graag een beetje spelen met taal en hier kan ik me uitleven. Al dat geblog heeft ook invloed op de manier waarop ik ‘echte’ stukken schrijf; die worden er wat luchtiger, misschien zelfs menselijker van. In deze ambtelijke omgeving moet je dat voorzichtig doseren, maar hier en daar permitteer ik me een frivoliteit, die meestal ongeschonden door de reviews komt.

Blijven jullie lezen? Dan blijf ik schrijven. En suggesties voor onderwerpen zijn altijd welkom.

 

En in de grote boze buitenwereld …

• vraagt de internetjurist zich af of het wel terecht is dat EU-persoonsgegevens mogen worden verwerkt in het jongste niet-EU-lid.
• hack je een geldautomaat gewoon door met je telefoon te wapperen.
• hebben eigenaren van een Western Digital My Book NAS wereldwijd last van een ongevraagde factory reset, waardoor ze al hun gegevens kwijt zijn.
• verzoekt deze phishingmail je om zelf een malafide callcenter te bellen.
• richt de EU een gezamenlijke cybereenheid op, die bij grootschalige beveiligingsincidenten moet optreden.
• https://ec.europa.eu/commission/presscorner/detail/en/
• treden de EU en de VS samen op tegen ransomware.
• breidt MITRE zijn ATT@CK-framework uit met D3FEND, een model om aanvallen af te weren.
• gaat de wifi van je iPhone stuk als je op een wifi-netwerk met een maffe naam terechtkomt.

 

Digitaal stof

Het internet der dingen, meestal internet of things (IoT) genoemd, krijgt vaak aandacht van informatiebeveiligers, omdat bij het ontwerpen van slimme deurbellen, beveiligingscamera’s en tandenborstels vaak niet al te lang bij de beveiliging ervan wordt stilgestaan, waardoor ze vaak de deur van je netwerk wagenwijd openzetten voor gespuis. Producten moeten zo snel mogelijk klaar zijn voor de markt, zodat er geld aan kan worden verdiend.

Je kunt nog een extra dimensie aan IoT toevoegen: het gedrag van de gebruiker. Onderzoeksbureau Gartner bedacht hiervoor in 2019 de term Internet of Behavior. Wat dat inhoudt, beschrijven ze op bijna poëtische wijze: “The internet of behaviors (IoB) is emerging as many technologies capture and use the ‘digital dust’ of peoples’ daily lives.” Technologieën die het digitale stof van ons dagelijks leven opvangen. Laat dat even op je inwerken.

Digitaal stof is een eufemisme, dat aan het vriendelijk klinkende magical dust (elfenstof) doet denken, waar in menige Disneyfilm rijkelijk mee wordt gestrooid door met name elfen. De term is een eufemisme voor ‘digitale sporen’. Die laten de meesten van ons overal achter – vaak onbewust en onbedoeld. Je smartphone is vanuit dat oogpunt je grootste vijand: het apparaat weet waar je bent, waar je naar toe wilt, wat je in welke winkel voor hoeveel geld hebt gekocht en wat je daarna nog vanuit je luie stoel hebt besteld. Bedrijven, die over deze gegevens beschikken, kunnen daar informatie van maken.

Even tussendoor een paar definities. Je hebt data, gegevens en informatie. Tijdens mijn studie informatica werd verschil daartussen het heel beeldend als volgt uitgelegd. Data, dat is het krijtstof op het schoolbord (we hebben het over de jaren tachtig, oké?). Dat krijtstof vormt gegevens als je daarin bijvoorbeeld de tekst ’24-05’ herkent. De hoogste vorm, informatie, wordt bereikt als je weet dat dat mijn verjaardag is. In Engelstalige artikelen kom je alleen de termen data en information tegen – ze hebben niet echt een woord voor gegevens. Soms kom je echter ook knowledge tegen. Ik vermoed dat ze het dan over informatie hebben en dat information dan op het niveau van ons woord gegevens staat.

Bedrijven en overheden hebben niet zoveel aan data – dat is immers slechts stof. Gegevens worden al interessanter, maar informatie vormt het summum. Daar kun je geld aan verdienen (‘hij is op zoek naar een vakantiebestemming in Frankrijk voor een gezin van vier personen in juli), maar je kunt het ook gebruiken bij het berekenen van de lokale  energiebehoefte (‘dat gezin is in juli twee weken niet thuis’). En daar komt het internet of behavior om de hoek kijken.

Dat iemand op vakantie gaat in Zuid-Frankrijk, valt in de categorie gegevens. Als je weet dat die persoon de gewoonte heeft om met de auto te reizen, en niet meer dan 500 km per dag aflegt, dan kun je op basis van de gegevens over de vakantiedata en de kennis van zijn gedrag aanbiedingen voor geschikte hotels voor tussenstops presenteren. Of je stuurt hem onderweg een bericht: “Wordt het niet tijd om een pleisterplaats op te zoeken? We hebben het ideale hotel voor je op een kwartiertje rijden!” Het gaat bij het IoB niet alleen om het kénnen van ons gedrag, maar vooral om de beïnvloeding ervan.

Gezichtsherkenning wordt als belangrijke factor voor het IoB genoemd. Ik vind het altijd een beetje eng worden als mijn biometrische kenmerken zonder mijn medeweten ergens voor (waarvoor?) worden gebruikt. Tegelijkertijd realiseer ik mij dat ‘ze’ toch al weten dat ‘ik’ het ben, omdat mijn telefoon dat al heeft verklapt. Hoewel – het beeld, dat de eerste de beste winkelier je telefoon kan leegtrekken, is toch meer iets voor de populaire media. Daarentegen zou een winkelcentrum, dat investeert in gezichtsherkenning, zijn huurders een extra service kunnen bieden. En dan komt er dus een verkoper naar je toe en zegt: “Dag Patrick, die spijkerbroek die je laatst wilde, hebben we nu wél in jouw maat.” Ik blij, winkelier blij. Toch…?

Als we bij de bakker komen, weten ze daar ook wel zonder al die technologie welk brood we willen. Je zou het bijna vergeten, maar vroeger was het heel normaal dat een winkelier wist wie je was, waar je woonde en wat je wilde. Het gedraggestuurde internet heeft echter een bijsmaak door zijn omvang, alomtegenwoordigheid en ongrijpbaarheid.

 

En in de grote boze buitenwereld …

• maken de Britten zich zorgen over het breed inzetten van gezichtsherkenning.
• kun je zomaar met miljoenen beveiligingscamera’s meekijken.
• nodig je criminelen uit om je nóg een keer met ransomware te bestoken, als je het losgeld hebt betaald.
• wil de G7 dat Rusland ransomwarebendes stevig aanpakt.
• heeft president Putin geen belang bij optreden tegen ransomware.
• blijven die bendes ondertussen gewoon hun gang gaan.
• piekte het aantal phishing-websites begin dit jaar.
• doen ook cybercrimebendes aan personeelswerving.
• maakt Apple werk van het digitale rijbewijs.
• gaat PostNL je een soort tikkie voor inklaringskosten sturen als je pakketje van buiten de EU binnenkomt. Dat wordt een paradijs voor phishers, waarschuwde techjournalist Daniël Verlaan.
• dachten ze bij de Belgische politie: brood, daar zit wat in!

 

Flintstones

De auto van de Flintstones was een soort skelter, maar dan zonder trappers en zonder remmen. Gas geven deed Fred door met z’n voeten te trappelen – hij duwde in feite de planeet naar achteren en ging daardoor zelf vooruit. (Gek genoeg hoefde hij dat alleen het eerste stukje te doen, daarna reed de auto vanzelf verder.) Remmen was een kwestie van hakken in het zand zetten.

Vijfduizend jaar later (we weten niet precies wanneer de avonturen in Bedrock zich afspeelden) haalt niemand het in z’n hoofd om een auto af te remmen door een voet op het asfalt te zetten. Dat zie je hooguit fietsers met slechte remmen doen. Het zou natuurlijk ook helemaal niet kunnen: daarvoor heeft een auto een te grote massa en de snelheid is doorgaans ook te hoog. Bovendien zou je een vermogen kwijt zijn bij de hakkenbar.

En zo hoort het natuurlijk ook te zijn: de remmen moeten het gewoon goed doen. Goede remmen geven je het vertrouwen om hard te rijden. Omdat de remmen van auto’s het altijd doen, is er niet voorzien in een back-up-systeem, zoals een luikje in de vloer om op z’n Flintstones te kunnen remmen, of een remparachute. Dikke pech als iemand je remleidingen heeft doorgesneden, maar dat gebeurt bijna alleen in films.

Computerbeveiliging bevindt zich deels nog in het stenen tijdperk. We rijden zonder betrouwbare remmen over de digitale snelweg. Langs die weg staan vriendelijk ogende lifters. Je moet zelf beoordelen of ze zich niet als iemand anders voordoen en of de informatie op hun kartonnetje wel klopt. Als je het niet vertrouwt, dan rijd je door, maar als je er eentje meeneemt die te kwader trouw blijkt te zijn, dan kan dat lelijk uitpakken. Hij kan je gijzelen en beroven, hij kan stiekem iets verbergen en je ergens heen laten gaan waar je helemaal niet naar toe wilde.

In computertermen hebben we het dan over een Trojaans paard, dat bijvoorbeeld ransomware installeert en je bestanden of geld steelt, een achterdeurtje installeert zodat de hacker altijd naar binnen kan of je apparaat verandert in een zombie, die – zonder dat jij het merkt – meedoet aan een aanval op  een website (distributed denial of service attack, DDoS).

In zijn huidige staat is informatiebeveiliging een Tesla model F, met de F van Flintstone. Enerzijds hypermodern, want we hebben firewalls, detectiesystemen en virusscanners die ons doeltreffend tegen de meeste ellende beschermen. Ter illustratie: iedere maand wordt zo’n 70-80% van alle e-mail, die naar onze organisatie wordt gestuurd, al aan de poort tegengehouden. We zijn tamelijk effectief beschermd tegen DDoS-aanvallen. Malware wordt op diverse plekken opgewacht door verschillende producten. Maar anderzijds ontbeert onze auto dus nog enkele basale snufjes, met als meest dringende optie: phishing-detectie. Op dat vlak zeggen we nog steeds tegen onze digitale automobilisten: je moet zelf maar uitkijken, hier heb je wat tips.

Een moderne auto afremmen door je hakken in het asfalt te zetten. Lifters al rijdend beoordelen. Terwijl we zeggen dat je best wel hard mag rijden en dat het over het algemeen goed is om lifters mee te nemen. Dat is wat we nu al jaren doen met gebruikers van computers en mobiele apparatuur. Natuurlijk moet je automobilisten leren dat ze geen honderd moeten rijden in de bebouwde kom en dat ze voor rood licht moeten stoppen. En zo horen computergebruikers ook zelf enkele basishygiëneregels te hanteren. Maar ik wil ze wel graag met werkende remmen de weg op kunnen sturen.

Tot die tijd, beste mensen: doe een beetje als Fred Flintstone. Yabba-Dabba-Doo.

 

En in de grote boze buitenwereld …

• is de auteur van dit artikel het met mij eens, alleen heeft hij het dramatischer (en met veel meer woorden) opgeschreven.
• zouden we ook gebaat zijn bij technische bescherming tegen business email compromise (BEC), een vorm van phishing.
• herkent een nieuwe tool namaaksites aan de gebruikte logo’s.
• zal deze praktijk nu wel tandenknarsend een certificaat voor haar website aanschaffen.
• heeft dit bedrijf een ransomware-situatie resoluut het hoofd geboden.
• betaalde een ander bedrijf de hoofdprijs om z’n bestanden terug te krijgen.
• kan je mailserver je webserver verraden.
• wijzen media elkaar soms terecht. Trouw krijgt een tik op de vingers van RTL Nieuws voor een artikel waarin op verkeerde gronden wordt beweerd dat tientallen overheidswebsites kwetsbaar zijn.
• paste ook nu.nl zijn berichtgeving hierover aan. (Ik neem deze link hier op om meer context te verschaffen.)
• zaten Russische hackers in het MH17-onderzoek.
• leverde de politie wereldwijd ‘superveilige’ telefoons aan criminelen.
• bedreigt malware nu ook Kubernetes-clusters.
• konden opsporingsdiensten een flink deel van het door Colonial Pipeline betaalde losgeld terughalen.
• maakte een gelekt wachtwoord de aanval op Colonial Pipeline mogelijk.
• hebben cybercriminelen het kennelijk voorzien op Amerikaanse pijpleidingbedrijven.

 

De vermomde bank

In 2011, toen Nederland op het punt stond om afscheid te nemen van de strippenkaart, hackte Brenno de Winter de OV-chipkaart. Het opmerkelijke aan deze hack was de eenvoud ervan, en het feit dat de (toen nog) onderzoeksjournalist er strafrechtelijk voor werd vervolgd. Hem hing een gevangenisstraf van zes jaar boven het hoofd.

Drie jaar eerder hadden Duitse hackers de chip, die nog veel meer toepassingen kent, gekraakt door hem fysiek te ontleden. In datzelfde jaar promoveerde een informaticus in Nijmegen op het klonen van de OV-dagkaart. Brenno kon zijn kaart steeds weer opnieuw van saldo voorzien. Dat kostte hem een investering van slechts drie tientjes, terwijl Translink Systems (het bedrijf achter de OV-chipkaart) beweerde dat de chip hooguit in het laboratorium kon worden gehackt en TNO stelde dat je daarvoor voor zesduizend euro aan apparatuur nodig zou hebben.

Onlangs gaf Brenno een presentatie onder de vlag van de Masterclass IT Security van Nyenrode Business Universiteit. In die presentatie zei hij iets dat bij mij is blijven hangen. Tijdens het verhoor naar aanleiding van drie weken gratis reizen met zijn gehackte kaart had hij tegen zijn ondervragers gezegd: “Ik ben geen zwartrijder, maar een bankrover. Want Translink is geen vervoersbedrijf maar neemt geld aan en verdeelt dat onder de vervoersbedrijven.” Dat vond zijn advocaat niet leuk, maar uiteindelijk gaf het journalistieke belang de doorslag en seponeerde het OM de zaak.

De boodschap van ‘Brenno de bankrover’ was: als je denkt dat je een vervoersbedrijf bent, dan beveilig je jezelf ook alsof je een vervoersbedrijf bent. En niet alsof je een bank bent. Iedereen voelt op z’n klompen aan dat een bank hogere eisen aan informatiebeveiliging stelt dan een andersoortig bedrijf. Doordat Translink zichzelf zag als een kaartjesverkoper, keken ze onvoldoende naar de beveiligingsaspecten van hun kaartjes. Ze hadden kunnen weten dat de chip die daar op zat niet meer veilig was. Voor sommige toepassingen voldeed die chip misschien nog wel, maar de combinatie van het zeer grote aantal gebruikers en de financiële waarde van zo’n kaart maakt de kans, dat iemand ermee gaat knoeien, toch wel erg groot.

Als Translink zich een bank had gevoeld, dan zouden ze veel meer hebben gekeken naar financieel gemotiveerde dreigingen, en zouden ze de kwaliteit van de kaart beter onder de loep hebben genomen. Als je dan tijdens zo’n onderzoek erachter komt dat de chip al door verschillende partijen gefileerd is, dan krab je je eens achter de oren en kijkt of er misschien een robuustere chip op de markt is.

Het verhaal zette mij aan het denken: zouden er nog meer bedrijven zijn, die ‘eigenlijk’ een bank zijn? Ja, concludeerde ik al snel. Neem nou bol.com. Dat bedrijf knip ik even in tweeën: het ene deel heeft een groot magazijn van waaruit het producten naar klanten stuurt. Het andere deel fungeert als bemiddelaar tussen de klant en andere winkels, net als Amazon en AliExpress. En dat deel van bol.com is dus eigenlijk een bank. Ze nemen jouw geld aan en sluizen dat door naar de winkel waar je iets besteld hebt. Stuur je iets retour, dan vloeit het geld de andere kant op. Maar met de goederenstroom bemoeien ze zich niet.

Wat moet je doen als je plots beseft dat je een soort bank bent? Je zult om te beginnen willen weten bij wie het financiële risico ligt. Het is weliswaar jouw geld niet, maar de beide partijen waar jij tussen zit vertrouwen er wel op dat je de transactie in goede banen leidt. Een buitenstaander, bijvoorbeeld een hacker, mag dat proces niet kunnen verstoren. En als dat wel gebeurt, dan gaan de partijen aan weerskanten van de transactie naar jou kijken – beiden willen dat het betaalde geld op de juiste bestemming landt, en desnoods moet dat uit jouw portemonnee komen. Dat werkt ook zo bij echte banken, bijvoorbeeld als aan het licht komt dat iemand boodschappen heeft gedaan met jouw gekloonde creditcard. Bij bol.com trapte onlangs een medewerker in een krakkemikkig nepmailtje waarmee ‘Brabantia’ een nieuw rekeningnummer doorgaf. Er verdween vervolgens 750.000 euro naar deze Spaanse (!) bankrekening. Dit zou niet zijn gebeurd als bol.com zijn processen als een bank had ingericht.

Zoals altijd gaat het ook hier niet om maximale beveiliging, maar om optimale beveiliging: niet teveel, niet te weinig. Bepaal hoeveel risico je wilt nemen en stem daar je beveiligingsmaatregelen op af. En als jouw bedrijf sterk op een bank lijkt, dan moet je daar eens extra kritisch naar kijken.

 

En in de grote boze buitenwereld …

• helpt een risk appetite statement je ook niet veel verder.
• hebben de grootbanken afspraken gemaakt over de vergoeding van de schade door bankspoofing.
• worden tankstations opgelicht door zogenaamde doorrijders.
• moet je in bepaalde gevallen ook de aanwezigheid van zonnepanelen als dreiging beschouwen.
• vindt de Amerikaanse justitie de bestrijding van ransomware net zo urgent als de bestrijding van terrorisme.
• levert phishing aardig wat geld op, maar als ze je pakken, dan is de straf ook niet mals.
• hebben Russische hackers het voorzien op de westerse vleesindustrie.
• weet een crimineel nu welke pizza jij lekker vindt, en waar je woont.
• is een supply chain attack moeilijk te bestrijden.
• mochtenthuiswerkende Amerikaanse soldaten heel even geen IoT-devices om zich heen hebben.
• heb je straks een Europese digitale identiteit.
• mogen ook politiemensen zakelijke gegevens niet voor privédoeleinden gebruiken.