Flintstones

De auto van de Flintstones was een soort skelter, maar dan zonder trappers en zonder remmen. Gas geven deed Fred door met z’n voeten te trappelen – hij duwde in feite de planeet naar achteren en ging daardoor zelf vooruit. (Gek genoeg hoefde hij dat alleen het eerste stukje te doen, daarna reed de auto vanzelf verder.) Remmen was een kwestie van hakken in het zand zetten.

Vijfduizend jaar later (we weten niet precies wanneer de avonturen in Bedrock zich afspeelden) haalt niemand het in z’n hoofd om een auto af te remmen door een voet op het asfalt te zetten. Dat zie je hooguit fietsers met slechte remmen doen. Het zou natuurlijk ook helemaal niet kunnen: daarvoor heeft een auto een te grote massa en de snelheid is doorgaans ook te hoog. Bovendien zou je een vermogen kwijt zijn bij de hakkenbar.

En zo hoort het natuurlijk ook te zijn: de remmen moeten het gewoon goed doen. Goede remmen geven je het vertrouwen om hard te rijden. Omdat de remmen van auto’s het altijd doen, is er niet voorzien in een back-up-systeem, zoals een luikje in de vloer om op z’n Flintstones te kunnen remmen, of een remparachute. Dikke pech als iemand je remleidingen heeft doorgesneden, maar dat gebeurt bijna alleen in films.

Computerbeveiliging bevindt zich deels nog in het stenen tijdperk. We rijden zonder betrouwbare remmen over de digitale snelweg. Langs die weg staan vriendelijk ogende lifters. Je moet zelf beoordelen of ze zich niet als iemand anders voordoen en of de informatie op hun kartonnetje wel klopt. Als je het niet vertrouwt, dan rijd je door, maar als je er eentje meeneemt die te kwader trouw blijkt te zijn, dan kan dat lelijk uitpakken. Hij kan je gijzelen en beroven, hij kan stiekem iets verbergen en je ergens heen laten gaan waar je helemaal niet naar toe wilde.

In computertermen hebben we het dan over een Trojaans paard, dat bijvoorbeeld ransomware installeert en je bestanden of geld steelt, een achterdeurtje installeert zodat de hacker altijd naar binnen kan of je apparaat verandert in een zombie, die – zonder dat jij het merkt – meedoet aan een aanval op  een website (distributed denial of service attack, DDoS).

In zijn huidige staat is informatiebeveiliging een Tesla model F, met de F van Flintstone. Enerzijds hypermodern, want we hebben firewalls, detectiesystemen en virusscanners die ons doeltreffend tegen de meeste ellende beschermen. Ter illustratie: iedere maand wordt zo’n 70-80% van alle e-mail, die naar onze organisatie wordt gestuurd, al aan de poort tegengehouden. We zijn tamelijk effectief beschermd tegen DDoS-aanvallen. Malware wordt op diverse plekken opgewacht door verschillende producten. Maar anderzijds ontbeert onze auto dus nog enkele basale snufjes, met als meest dringende optie: phishing-detectie. Op dat vlak zeggen we nog steeds tegen onze digitale automobilisten: je moet zelf maar uitkijken, hier heb je wat tips.

Een moderne auto afremmen door je hakken in het asfalt te zetten. Lifters al rijdend beoordelen. Terwijl we zeggen dat je best wel hard mag rijden en dat het over het algemeen goed is om lifters mee te nemen. Dat is wat we nu al jaren doen met gebruikers van computers en mobiele apparatuur. Natuurlijk moet je automobilisten leren dat ze geen honderd moeten rijden in de bebouwde kom en dat ze voor rood licht moeten stoppen. En zo horen computergebruikers ook zelf enkele basishygiëneregels te hanteren. Maar ik wil ze wel graag met werkende remmen de weg op kunnen sturen.

Tot die tijd, beste mensen: doe een beetje als Fred Flintstone. Yabba-Dabba-Doo.

 

En in de grote boze buitenwereld …

• is de auteur van dit artikel het met mij eens, alleen heeft hij het dramatischer (en met veel meer woorden) opgeschreven.
• zouden we ook gebaat zijn bij technische bescherming tegen business email compromise (BEC), een vorm van phishing.
• herkent een nieuwe tool namaaksites aan de gebruikte logo’s.
• zal deze praktijk nu wel tandenknarsend een certificaat voor haar website aanschaffen.
• heeft dit bedrijf een ransomware-situatie resoluut het hoofd geboden.
• betaalde een ander bedrijf de hoofdprijs om z’n bestanden terug te krijgen.
• kan je mailserver je webserver verraden.
• wijzen media elkaar soms terecht. Trouw krijgt een tik op de vingers van RTL Nieuws voor een artikel waarin op verkeerde gronden wordt beweerd dat tientallen overheidswebsites kwetsbaar zijn.
• paste ook nu.nl zijn berichtgeving hierover aan. (Ik neem deze link hier op om meer context te verschaffen.)
• zaten Russische hackers in het MH17-onderzoek.
• leverde de politie wereldwijd ‘superveilige’ telefoons aan criminelen.
• bedreigt malware nu ook Kubernetes-clusters.
• konden opsporingsdiensten een flink deel van het door Colonial Pipeline betaalde losgeld terughalen.
• maakte een gelekt wachtwoord de aanval op Colonial Pipeline mogelijk.
• hebben cybercriminelen het kennelijk voorzien op Amerikaanse pijpleidingbedrijven.