Grote schoonmaak

 

Afbeelding via Pixabay

Het verzamelen van de artikelen voor de rubriek En in de grote boze buitenwereld… gaat de hele week door, dag en nacht bij wijze van spreken. Als ik een artikel tegenkom dat interessant zou kunnen zijn, dan stop ik de link in de app Pocket. En op vrijdagochtend, als ik de blog schrijf, haal ik die artikelen weer tevoorschijn, lees ze en bepaal of ze mee mogen.

Een enkele keer  stop ik ook een artikel voor privégebruik in Pocket. En toegegeven, soms bewaar ik best wel maffe artikelen, vanuit de gedachte: dit is iets waar je nooit over nadenkt, maar misschien kan ik er nog iets van leren. En zo kwam het artikel met de titel How to clean your toaster the right way van lifehacker.com daar ook terecht. Dat artikel fungeert al lange tijd als bladwijzer in Pocket: als ik daar ben aangeland, dan weet ik dat ik klaar ben met de artikelen voor de blog.

Deze week heb ik dat artikel eindelijk eens gelezen. En eigenlijk niets nieuws geleerd. Maar zoals bij zoveel dingen uit het dagelijkse leven vroeg ook hierbij mijn innerlijke stem: hé, zit daar niet een onderwerp voor de blog in? Moet je niet eens iets schrijven over het schoonmaken en –houden van je digitale leven? Dat heeft wel degelijk baat bij onderhoud. Weet jij nog waar je overal present bent op het internet? Op al die plaatsen ben je kwetsbaar en daarom is het zaak om de controle erover te behouden.

Begin eens met een eenvoudige oefening: google jezelf. Dat is leuk en leerzaam om te doen, en het heeft ook iets weg van het tevoorschijn halen van de doos met oude foto’s (ja jongelui, vroeger had je alleen foto’s op papier en die stopte je in een album of in een doos). Zo kwam ik een publicatie uit 2006 tegen waaraan ik heb meegewerkt, vond ik een naamgenoot in Zuid-Frankrijk (die ongetwijfeld z’n eigen voor- en achternaam verkeerd uitspreekt) en de nodige foto’s. Tot zover niets schokkends. Maar misschien kom jij wel iets tegen waar je iets aan wilt doen.

Een belangrijke vraag ten aanzien van je digitale leven is: wie mag waar bij, wat mogen ‘ze’ van je weten? Ik heb het hier al vaker gehad over de rechten voor apps op mobiele toestellen. In Android krijg je via Instellingen/Apps en meldingen/ Geavanceerd/Rechtenbeheer mooi inzicht in welke rechten er zijn en aan welke apps je ze hebt toegekend. Heb je ergens spijt van? Tik dan op die app en kies ‘Niet toestaan’. Daarnaast heeft Android tegenwoordig een aardig mechanisme: apps, die al langere tijd niet zijn gebruikt, verliezen automatisch hun rechten. Op Apple-apparaten ga je naar Instellingen/Privacy om te zien welke rechten aan welke apps zijn uitgedeeld. Ook hier kun je ze gemakkelijk aan- of uitzetten.

En dan zijn er natuurlijk de beruchte cookies. Ik weet het, we zijn geneigd om op ‘accepteer alles’ te klikken om snel verder te kunnen. Soms heb je mazzel – vanuit privacy-oogpunt – en is er ook meteen een knop ‘weiger alles’. Maar meestal is er alleen een knop ‘instellingen beheren’. Als je vervolgens op die pagina komt, staan alle opties standaard uit (als het goed is). Je hoeft dan alleen nog te klikken op ‘bewaar deze instellingen’, je hoeft dus niet alles langs te lopen.

Bij de eerste tip gebruikte ik ‘google’ slechts als werkwoord – ik bedoelde niet dat je per se de zoekmachine Google moet gebruiken. Als je je privacy beter wilt beschermen, dan kun je gebruikmaken van zoekmachines die je niet tracken, bijvoorbeeld startpage.com of duckduckgo.com. Van die laatste is er ook de DuckDuckGo Privacy Browser (Android en iOS).

Dan een tip die ik zelf eerlijk gezegd ook eens moet opvolgen: beëindig accounts die je al lang niet meer hebt gebruikt. Want via al die accounts ben je kwetsbaar – als iemand de bijbehorende site hackt, liggen er misschien gegevens van jou op straat. Het is vrijwel onmogelijk om te onthouden waar je overal een account hebt, want bij sommige webwinkels heb je vijf jaar geleden iets besteld en toen een account aangemaakt. Als je je daarbij hebt laten helpen door je password manager, dan kun je dat daarin terugvinden. Loop dus eens door de accounts in je password manager en kijk welke accounts weg kunnen. Als dat niet kan door op de desbetreffende site aan te geven dat je weg wilt, dan kun je ze altijd met een beroep op de AVG verzoeken om al jouw gegevens te verwijderen.

Ten slotte: kijk eens kritisch naar je vrienden op social media. Ken je die echt allemaal? Zo nee, weg ermee. Met name LinkedIn wordt nog wel eens gebruikt voor social engineering: iemand wordt vriendjes met je en probeert vervolgens op slinkse wijze via jou aan informatie te komen. Ik gebruik LinkedIn niet om zoveel mogelijk contacten te krijgen, maar accepteer alleen nieuwe contacten die bij ons werken of die ik eerder heb ontmoet.

Mocht je hierna nog tijd over hebben, kijk dan even of je broodrooster misschien ook een schoonmaakbeurt kan gebruiken.

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• is Oekraïne naarstig op zoek naar hackers en beveiligingsexperts.
• hebben ze die mensen inderdaad dringend nodig.
• beschrijft dit lange artikel uit 2017 hoe Oekraïne al jarenlang door Rusland werd gebruikt als proeftuin voor cyberaanvallen.
• moeten ze het daar nog even zonder Europese cyberhulp stellen.
• zouden die Europese experts best zinvolle dingen kunnen doen.
• wil het Nederlandse bedrijf, waar een server stond die werd gebruikt voor aanvallen op Oekraïne, informatie delen met de politie.
• gaat de gewone cybercrime daar gewoon door.
• is de privacy van Microsoft Teams, OneDrive en SharePoint onder de loep genomen.
• worden bepaalde beveiligingscamera’s gerekruteerd door botnets.
• wist de politie een bankhelpdeskfraudeur op te sluiten.
• is de DDoS’er, die onder andere de Belastingdienst aanviel, door de rechter veroordeeld.
• moeten Olympische sporters zich tegenwoordig ook druk maken om cybersecurity.
• worden deelfietsen gestolen door QR-codes te verwisselen.

 

Oorlog

 

Afbeelding via Pixabay

Oorlog zal, “dankzij” technologische ontwikkelingen, nooit meer hetzelfde zijn. Deze uitspraak past in elk tijdperk van de wereldgeschiedenis. De katapult, het kanon, het gifgas, de tank, de bommenwerper, de atoombom, de drone – allemaal technologie die haar eigen verderfelijke bijdrage heeft gebracht en zal blijven brengen aan oorlogsvoering.

Maar natuurlijk ga ik het hier niet over mitrailleurs hebben, maar over oorlogs-ICT. Het lijkt een schoon wapen: geen bloed, geen doden, geen kapotgeschoten steden. Alles is zuiver digitaal, van de ene computer naar de andere. Helaas is dat een veel te optimistisch beeld. Alsof je twee computers een potje laat schaken en afspreekt dat de verliezer ook meteen de oorlog heeft verloren en dat het baasje van de winnende computer het land van de verliezer mag inpikken, zonder op fysieke weerstand of een boze bevolking te stuiten.

Nee, zo werkt het dus niet. Kijk, tot in het recente verleden gold dat wie het luchtruim beheerste, oppermachtig was. Tegenwoordig is ‘de cyber’, zoals militairen het helaas graag noemen, het speelveld waarop je de grootste verliezen kunt lijden. Dat heeft er alles mee te maken dat we zo ontzettend afhankelijk zijn geworden van onze computernetwerken. Voor generaals in landen met een goed ontwikkelde offensieve ICT-capaciteit is het als een snoepwinkel: ze kunnen kiezen uit het openen van sluizen, het lamleggen van communicatie, het verspreiden van desinformatie en nog veel meer.

Je kunt ICT gebruiken om de vijand te verzwakken alvorens over te stappen op de meer conventionele oorlogsvoering. In het oosten van Europa is een paar jaar geleden al eens onder verdachte omstandigheden het licht uitgegaan. En nu zijn er weer geluiden dat Russische staatshackers op grote schaal zijn binnengedrongen in Oekraïense netwerken van het leger, de energievoorziening en andere kritieke systemen. Daar kunnen allerlei verschillende doelen achter zitten. Het hacken van een leger is een duidelijke, directe aanval op de defensieve capaciteiten van een land. Maar ook een black-out, veroorzaakt door een hack bij een energiebedrijf, kan een militaire actie ondersteunen. De Washington Post schreef onlangs een artikel over cyberoorlog, en de slogan van die krant luidt: democracy dies in darkness (democratie sterft in duisternis). Hoewel deze slogan ongetwijfeld wat meer filosofisch is bedoeld, past ook de letterlijke betekenis in het huidige tijdsgewricht.

Een goed voorbeeld van het verspreiden van desinformatie is het sms-bericht dat de geldautomaten in Oekraïne niet zouden werken. De Oekraïense cyberpolitie heeft dat vervolgens ontkend, terwijl de flappentappen naar verluidt op dat moment wel degelijk buiten bedrijf waren. Op de website van die cyberpolitie kun je niet terecht voor nadere informatie, omdat die site vanwege een aanval zelf ook niet beschikbaar is… Hoe dan ook, als mensen niet bij hun geld kunnen, dan worden ze nerveus, dus zo’n bericht kan gemakkelijk tot ontwrichting van de samenleving leiden.

Ondertussen heeft de Nederlandse regering Oekraïne hulp geboden in de strijd tegen cyberaanvallen. President Zelenksy sprong bepaald geen gat in de lucht toen premier Rutte dit aanbod op hun gezamenlijke persconferentie wereldkundig maakte, maar ik vind het een creatieve, moderne manier om een land te helpen. Ik vermoed dat Zelensky de reikwijdte van deze hulp niet helemaal overziet. Mits goed uitgevoerd, kan dit het verschil betekenen tussen een vleugellam land en een parate defensie. De digitale oorlog dient weliswaar slechts ter ondersteuning van de fysieke, maar kan wel het verschil maken.

Als dan vervolgens het nieuws komt dat een Nederlandse server betrokken is bij een cyberaanval op Oekraïense banken en ministeries, dan is dat zuur. Want de helpende hand van Rutte en het bedrijf waar die server staat hebben natuurlijk niets met elkaar te maken, maar voor het buitenland hangt aan beide het label ‘Nederland’. “Jullie bieden aan om ons te beschermen en tegelijkertijd vallen jullie ons aan?” Overigens is de bewuste server inmiddels op verzoek van de Nederlandse politie uit de lucht gehaald.

Zoals gezegd klopt het beeld van een schone cyberoorlog niet. Als er sluizen worden opengezet of de waterzuivering wordt beïnvloed, dan leidt dat wel degelijk tot slachtoffers. En als verkenningssatellieten worden uitgeschakeld om de aanvaller de kans te geven om ongezien zijn tanks een land binnen te laten rollen, dan vloeit er bloed zodra het eerste schot wordt gelost. Nee, zoals alle vormen van oorlog is ook de cyberoorlog uiteindelijk vuil, barbaars en de mens onwaardig.

 

En in de grote boze buitenwereld …

• hebben de Russen dus waarschijnlijk allerlei systemen in Oekraïne gehackt.
• was daar een server op Nederlandse bodem bij betrokken.
• hebben staatshackers het uiteraard voorzien op de defensie-industrie.
• nemen criminelen de identiteit van de GGD aan om hun snode plannen uit te voeren.
• kreeg de Microsoft-cloud de tot nu grootste DDoS-aanval voor haar kiezen.
• is het helemaal niet handig om cryptovaluta te stelen.
• heeft de Duitse hackersclub CCC een heleboel persoonsgegevens gevonden, onder andere bij ons ministerie van VWS.
• vindt de Belgische privacytoezichthouder dat een veelgebruikt systeem voor cookiepop-ups in strijd is met de AVG.
• is Microsoft Office voortaan strenger voor macro’s.
• doe je er goed aan om op LinkedIn alleen nieuwe vriendjes te accepteren die je al uit het echte leven kent.
• onderzoeken de Europese privacytoezichthouders het gebruik van de cloud door overheden.
• stelt het ministerie van BZK het gebruik van de Logius-cloud verplicht.

 

Zelftest

 

Afbeelding via Pixabay

Een jeugdig familielid heeft momenteel een moeizame verhouding met het testwezen. Als brave scholier doet hij tweemaal per week een zelftest en deze week was het raak: twee streepjes.

Het gezin was even in rep en roer, want dit hadden ze in twee jaar corona nog niet meegemaakt. Welke maatregelen moeten er allemaal getroffen worden? Wie moeten er ingelicht worden? En vooral gauw de officiële test bij de GGD regelen! Nou, dat laatste was een heel gedoe: de GGD zat vol en hij werd doorverwezen naar een commerciële teststraat een stad verderop. Daar kon hij gek genoeg op dezelfde dag nog terecht, wanneer hij maar wilde. Toen hij daar geweest was, werd duidelijk waarom deze teststraat misschien wat minder populair was: ze voerden een sneltest uit en dat deden ze erg slordig. De uitslag was negatief, maar dat vertrouwde deze jongeman niet en daarom deed hij thuis ook nog een zelftest. Hé, ook negatief!

De volgende ochtend voor de zekerheid nog maar een zelftest gedaan. En wat denk je: positief! Dat gezin wist even niet meer waar ze aan toe waren. De geraadpleegde assistente van de huisarts adviseerde, na het aanhoren van het relaas, om toch maar nog een test bij de GGD zelf te doen. Met de kanttekening dat zelftests zelden een false positive  geven, met andere woorden: ga er maar van uit dat je corona hebt. ’s Avonds kon de patiënt – die gelukkig slechts milde klachten had – terecht bij de GGD op ruim een halfuur rijden van zijn woonplaats. De uitslag liet een etmaal op zich wachten. Niemand was verbaasd dat die positief was.

Als ICT’er heb ik moeite met dergelijke inconsistenties. Hoewel, ik heb lang geleden al geleerd dat zelfs computers niet altijd consequent zijn. Dertig jaar geleden programmeerde ik in COBOL op het mainframe. Eén van de programma’s, die ik onder mijn hoede had, was het zogenaamde dagwerk, dat – gek genoeg – ’s nachts werd gedraaid (het was batchverwerking; alle invoer van die dag werd ’s nachts in bulk verwerkt). Op een zekere dag ging ’s avonds laat de telefoon: het dagwerk was vastgelopen. Iets dergelijks was lang daarvoor ook al eens gebeurd en toen heb ik, samen met een collega, de hele nacht op kantoor gezeten om de fout op te lossen (nee jongelui, je kon toen nog niet thuis werken). Daar had ik deze keer niet zoveel zin in en daarom zei ik tegen de operator dat hij de verwerking gewoon opnieuw moest starten. Nooit meer iets van gehoord.

In ons beveiligingsbeleid staat dat beveiligingsfuncties van een systeem moeten worden getest, ook na aanpassingen aan dat systeem. Desgevraagd mompelen de mensen die dit zouden moeten doen dat systemen uiteraard worden getest, maar slechts zelden beamen ze volmondig dat ze daarbij expliciet aandacht besteden aan de beveiligingsfuncties. Dat is ook lastig: ze hebben vaak te maken met complexe systemen van diverse leveranciers. Verreweg de meeste van die systemen hebben beveiliging niet als primaire taak; beveiligingsfuncties worden vaak met de verfoeide term ‘non-functionals’ aangeduid. Beste mensen, zonder beveiliging zouden de meeste informatiesystemen niet eens kunnen functioneren, omdat we ze niet zouden kunnen vertrouwen! Beveiliging is dus zo functioneel als maar wat, al zij het, toegegeven, ondergeschikt aan de taken waarvoor het systeem is gebouwd.

Dat testen is echt wel nodig. Je moet je ervan vergewissen dat jouw processen en gegevens veilig zijn voor nieuwsgierige, doch niet-geautoriseerde collega’s, voor hackers, voor criminelen en voor spionnen. Soms volstaat een zelftest, soms moet je een formele test laten doen die in feite een gesimuleerde hackaanval is. Daarvoor gebruiken we mooie termen als attack & penetration test (aanvallen en binnendringen) of het kortere penetratietest (wat dan weer wordt afgekort tot pentest). Dergelijke tests moeten bij ons verplicht worden uitgevoerd bij alle systemen die aan het internet hangen. We hebben zelf pentesters in dienst, maar we hebben ook contracten met externe partijen die dit werk voor ons doen. Bij het inhuren van pentesters is het goed om naar de reputatie van zowel hun werkgever als van de personen zelf te kijken. Je wilt immers niet dat deze ethische hackers iets over het hoofd zien wat door een criminele hacker kan worden misbruikt.

Testen is geen binaire bezigheid: een negatieve uitslag betekent niet per definitie dat er niets aan de hand is en een positieve uitslag kan ook wel eens een vergissing zijn. En dan is het ook nog eens zo dat een negatieve uitslag positief wordt ontvangen en een positieve uitslag slecht nieuws is. Wie heeft dat nou weer verzonnen?

 

En in de grote boze buitenwereld …

• is het bij de GGD nog steeds slecht gesteld met privacybescherming.
• heeft de Belgische Gegevensbeschermingsautoriteit de advertentie-industrie op de vingers getikt.
• kunnen je persoonsgegevens zelfs via een lettertype lekken, en dat mag niet.
• is een Duitse oliedistributeur lamgelegd door cybercriminelen. (artikel in het Duits)
• ligt inmiddels ook een Nederlandse olieterminal plat.
• horen we nooit zoveel over malware voor de Mac, maar deze soort heeft een hele evolutie doorgemaakt.
• was er nóg een opvallend bericht over Mac-malware.
• vierden Spectre en Meldown alweer hun vierde verjaardag.
• zit cybercriminaliteit nog steeds in de lift.
• lopen de Olympische Spelen (uiteraard) kans op cyberaanvallen.
• worden sporters, journalisten en andere bezoekers aan China gewaarschuwd voor digitale spionage door het gastland.
• werd alweer een platform voor de handel in cryptovaluta beroofd.
• spreken forensische instituten voortaan wereldwijd dezelfde cybertaal.
• worden cybercriminelen steeds slimmer en rijker.
• kun je natuurlijk je laptop uit het raam gooien als de politie op de stoep staat.