Natte laptop

 

Afbeelding uit eigen collectie

Gisteravond kwam mijn dochter (14) bij me: “Pap, mijn beeldscherm werkt niet.” Ze heeft op haar kamer een los beeldscherm waar ze haar laptop aan kan koppelen. Volgens het aloude adagium check cables first controleerde ik of beide uiteinden van de kabel goed op hun plek zaten. Vervolgens pakte ik een andere HDMI-kabel om te achterhalen of haar kabel misschien de boosdoener was. Geen resultaat.

Ze kwam gisteren vlak voor de wereldondergang thuis (het heeft hier nogal heftig geonweerd), dus ik vroeg of haar spullen nat waren geworden. Nou, dat niet echt, alleen was de dop van haar Dopper in de tas losgeschoten. Maar die drinkfles was gelukkig leeg. Dacht ze.

Ik schroefde de laptop open en zag meteen dat het mis was: op diverse plekken was het vochtig. Eerst maar eens de accu eruit gehaald en de vochtige plekken met tissues drooggedept, en ook de HDMI-poort een droogbeurt gegeven. De luidsprekers moesten ook gedroogd worden, want er kwam ook geen geluid meer uit de laptop, meldde dochterlief schoorvoetend. Ik heb aardig wat schroefjes losgedraaid om overal bij te kunnen. Dat ik dat durf, heb ik grotendeels te danken aan een collega, waarmee ik lang geleden wel eens naar een computerbeurs ging, waar we losse onderdelen kochten en daarmee zelf een pc in elkaar schroefden.

Je hoort wel eens dat je een telefoon, die in de wc of in zee is gevallen, in een zak rijst moet stoppen, omdat de rijst het vocht opneemt. Ik twijfelde even of ik de laptop ook zo’n behandeling zou geven, maar heb daar toch van afgezien omdat ik bang was dat de rijstkorrels op verschillende plekken klem zouden komen te zitten en dat leek me geen goede aanvulling op de hardware. In plaats daarvan pakte ik de föhn en heb op lage stand – voor zowel warmte als blaaskracht – de ingewanden van de laptop bewerkt.

“Gebruik nooit een föhn”, las ik zojuist in twee verschillende artikelen, die ik ging opzoeken omdat ik eigenlijk wilde weten hoe het met die rijst zat (daar rept trouwens niemand over). Ai, die föhn was dus niet zo’n goed idee, want de warmte kan de gevoelige onderdelen beschadigen en de wind kan het vocht in de richting van extra vochtgevoelige onderdelen blazen. Gelukkig dus maar dat de föhn op standje laag stond; ik ben er vrij zeker van dat de laptop zelf meer warmte produceert dan hij door mijn actie te verduren kreeg. En de boel was ook weer niet zo nat dat er veel vocht verplaatst kon worden. Althans, dat denk ik. Want ik heb ook weer niet zoveel componenten losgeschroefd dat ik overal zicht op had.

Bij een calamiteit moet je snel handelen, maar als je op dat moment moet nadenken over wát je dan precies moet doen, dan ga je misschien dingen doen die je niet had moeten doen. Zo’n natte laptop moet zo snel mogelijk helemaal worden uitgeschakeld, alle stekkers moeten eruit en vervolgens ga je hem in- en uitwendig zo goed mogelijk afdrogen. Tot zover heb ik de juiste dingen gedaan. Op dat moment had ik moeten doen wat ik vanochtend pas deed: informatie inwinnen over verder te nemen stappen. En nóg beter was natuurlijk geweest als dat allemaal parate kennis was geweest.

Ik heb mijn dochter erop gewezen dat ze meteen bij me had moeten komen toen ze zag dat de laptop vochtig was – want dat had ze wel degelijk gezien. Ze keek beteuterd toen ik haar vertelde dat haar laptop minstens een dag open zou blijven liggen om te drogen. “Maar dan kan ik niets voor school doen!”, riep ze verontwaardigd uit. Ja, dat klopt. En deze gebeurtenis herinnert ons er ook weer aan dat ze haar bestanden niet op de laptop, maar op de NAS (harde schijf in ons thuisnetwerk) moet opslaan. Dat heb ik wel ooit verteld, maar daarna niet meer gecheckt of ze dat ook daadwerkelijk doet, en of ze überhaupt snapt hoe dat moet.

Moraal van het verhaal: zodra je weet of vermoedt dat er iets mis is, moet je dat melden bij een bevoegde instantie. Mijn dochter had de vochtige laptop meteen bij mij moeten brengen. En als je in je werk iets tegenkomt wat de beveiliging zou kunnen schaden, dan meld je dat aan de servicedesk en/of de security officer. En je manager informeren is natuurlijk ook altijd goed – die wordt geacht je te kunnen vertellen wat je moet doen (zie vorige zin). Ga niet zelf iets proberen, behalve dan natuurlijk de stekker uit een rokend apparaat trekken en zo.

De laptop ligt nu op de vensterbank te zonnebaden. Hopelijk knapt hij daarvan op.

De komende twee weken verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• sla je je wachtwoorden liever niet op in de browser, maar in een password manager.
• leidt thuiswerken tot meer datalekken en beveiligingsincidenten.
• was Bluetooth nooit bedoeld om auto’s te ontgrendelen, waardoor het nu kan worden gebruikt om auto’s te stelen.
• moet je bij het boeken van je vakantie uitkijken voor (onder andere) digitale oplichting.
• lekte de Apeldoornse Stadspas login-gegevens van burgers.
• staat een man voor de rechter voor het verhandelen van persoonsgegevens van een kwart miljard mensen.
• botsen privacy en opsporing nog wel eens met elkaar.
• kun je natuurlijk ook een songfestival proberen te hacken.
• is er meer Linux-malware waargenomen.
• is een Zwitserse bankrekening ook al geen veilige haven meer voor cybercriminelen.
• geven de NCSC’s van verschillende landen (waaronder Nederland) gezamenlijk tips aan organisaties over veel gemaakte beveiligingsfouten.
• moet de Belastingdienst zich beter in de AVG verdiepen.

 

Veerkracht

 

Afbeelding via Pixabay

Amper bekomen van de Dag van het Wachtwoord, toont de kalender ons een campagne uit een aanpalend vakgebied: vanaf 16 mei is het Business Continuity Awareness Week. En omdat business continuity management (BCM) ongeveer net zo belangrijk is als informatiebeveiliging, verdient ook dit event aandacht in de Security (b)log.

BCM is het vakgebied dat zich – zoals de naam eigenlijk al verraadt – bezighoud met de continuïteit van de bedrijfsvoering, maar dan wat ze noemen ‘onder ongunstige omstandigheden’. Het woord calamiteit speelt daarbij een belangrijke rol. Die willen de BCM’ers namelijk voorkomen, en als er zich toch eens een keer eentje voordoet, dan willen ze ‘m zo goed mogelijk beheersen. Calamiteit wordt daarbij gedefinieerd als een onverwachte gebeurtenis met dusdanig negatieve gevolgen dat de reguliere probleemoplossende activiteiten onvoldoende zijn voor herstel van de normale situatie. Naast de continuïteit van het bedrijfsproces hebben ze ook oog voor de veiligheid van medewerkers en bezoekers en voor de reputatie van de organisatie.

De aankomende speciale week heeft als motto: ‘building resilience in the hybrid world’ (veerkracht opbouwen in de hybride wereld). Nou ben ik altijd een beetje huiverig voor motto’s van conferenties en andere activiteiten, want het klink al gauw pompeus terwijl het er uiteindelijk om gaat om het programma te vullen met zo aansprekend mogelijke bijdragen, die liefst ook nog een beetje leuk worden gepresenteerd. Maar goed, laten we dit motto toch maar eens afpellen.

Die hybride wereld uit het motto, dat is natuurlijk de wereld waarin wij leven sinds corona de wereld veroverde. Voordat de wereld voor ons kantoormensen hybride werd, was zij nagenoeg puur: we werkten standaard op kantoor, mensen met jonge kinderen hadden misschien een vaste thuiswerkdag, een enkele waaghals durfde het aan om zich op twee werkdagen niet op kantoor te vertonen. Je moest dat min of meer verdedigen tegenover je collega’s en je manager vond het misschien ook niet zo fijn. Tijdens de pandemie sloeg dit om in een situatie die nog puurder was dan de oude, maar dan helemaal aan de andere kant van de schaal: van de ene op de andere dag werkten we met z’n allen volledig thuis. In die twee jaar ben ik vijf keer op kantoor geweest, om dingen te doen die ook alleen maar daar gedaan konden worden. En dan had je nog toestemming nodig van je afdelingshoofd.

Toen het licht aan het einde van de covid-tunnel in zicht kwam, gingen we het omgekeerde doen van wat we vroeger deden: we gingen af en toe een keertje naar kantoor. En we bereidden ons voor op die nieuwe, hybride wereld, want een ding was zeker: we zouden nooit meer fulltime naar kantoor gaan. En dat doet iets met de manier waarop we tegen continuïteitsmanagement moeten aankijken. Dat is overigens een stelling, niet per se een feit.

Net buiten mijn woonwijk staat een datacenter. Ik kom daar af en toe langs en telkens staat er hooguit één auto binnen het hek. En zo hoort het in feite ook te zijn: er komt alleen een technicus langs als er iets mis is, of voor routine-onderhoud. Daarentegen hebben de complexen, die onze eigen datacentra huisvesten, tevens een kantoorfunctie. Een paar duizend medewerkers liepen er, pre-corona, dagelijks rond. In onze hybride wereld is dat drastisch veranderd. Op een willekeurige dag in de week werken meer collega’s thuis dan op kantoor. Wat betekent dat in het geval zich een calamiteit voordoet?

Enerzijds is dit een nadeel, omdat je veel minder snel de benodigde mensen bij elkaar hebt om de gebeurtenis het hoofd te bieden, gewoon omdat ze op dat moment niet op kantoor zijn. Maar ja, “bij elkaar” is tegenwoordig iets heel anders dan vroeger. We komen net zo gemakkelijk virtueel bij elkaar, al zal menigeen beamen dat je in bepaalde situaties soepeler kunt samenwerken als je in het echt bij elkaar bent. Ten tijde van een calamiteit mag je die soepelheid misschien als luxe beschouwen.

Anderzijds vormt dat thuiswerken een voordeel, om precies dezelfde reden: veel mensen zijn niet op kantoor. Als het een fysieke calamiteit is, zoals een brand, hoef je je niet druk te maken over collega’s die er niet zijn. Een ontruiming zal sneller kunnen worden afgerond en het aantal potentiële slachtoffers is kleiner. Verder hoef je, als door de calamiteit een deel van de kantoorwerkplekken niet langer beschikbaar is, niet naarstig op zoek naar een alternatieve locatie: de getroffen medewerkers moeten ‘gewoon’ weer een poosje continu thuis werken. Daar hoef je tegenwoordig geen technische hoogstandjes meer voor te verrichten, de benodigde infrastructuur is er al.

Alleen gaat de redenering in beide voorgaande alinea’s natuurlijk alleen op als de calamiteit de voor het thuiswerken benodigde infrastructuur niet heeft aangetast. Dáár moeten we de nodige veerkracht ontwikkelen, voor zover dat niet reeds is gebeurd. De rest van BCM is business as usual waarvoor in de hybride wereld amper iets verandert.

Het is vandaag trouwens vrijdag de 13^e. Een perfecte dag om het over calamiteiten te hebben.

 

En in de grote boze buitenwereld …

• slaan Apple, Google en Microsoft de handen ineen om een veilige, wachtwoordloze logins mogelijk te maken.
• mag je reclame niet vermommen als servicebericht.
• lagen gegevens over jou en jouw huis mogelijk op straat.
• geven bewindslieden een slecht voorbeeld met het gebruik van privémail en chat-apps.
• wil de Europese Commissie massasurveillance inzetten in de strijd tegen kinderporno.
• kunnen IT-diensten en -producten in Duitsland een veiligheidslabel krijgen van de overheid.
• zijn managed service providers vaak het doelwit van cyberdreigingen.
• lekken veel websites jouw e-mailadres en wachtwoord, vaak nog voordat je op verzenden hebt geklikt.
• krijgt Colonial Pipeline mogelijk een vette boete naar aanleiding van een ransomeware-aanval op het bedrijf.

 

Dag wachtwoord

 

Afbeelding via Pixabay

De dag van de tonijn, Star Wars-dag, de dag van het naakt tuinieren – zomaar een greep uit de talloze ‘dagen-van’ die je dezer dagen zou kunnen vieren. De ene dag spreekt je misschien meer aan dan de andere, maar de dag waar ik het met jullie over wil hebben is de dag van het wachtwoord. Of, chiquer: World Password Day. Die dag werd in 2013 in het leven geroepen door technologiebedrijf Intel “om bewustzijn te kweken over de rol die sterke wachtwoorden spelen in het beveiligen van ons hele digitale leven”.

Het wachtwoord heeft dus z’n eigen feestdag, maar het wordt ook verguisd. Je hebt er teveel van, ze moeten aan allerlei ingewikkelde eisen voldoen, je vergeet ze, ze willen regelmatig ververst worden en ze zijn veel te belangrijk voor de beveiliging van al die accounts. Wordt het dan niet tijd dat het wachtwoord die belangrijke rol, die Intel het een klein decennium geleden toedichtte, inlevert? Ten gunste van iets gemakkelijkers en veiligers?

Kijk om je heen. Het ís er al. Hoe ontgrendel jij je telefoon? Dat kan heel gemakkelijk met je vingerafdruk of met je gezicht. Je vingerafdruk is veiliger dan een pincode, want niemand kan hem afkijken. En ja, ik ken ook wel die James Bond-scenario’s waarbij vingerafdrukken met een plakbandje van een bierglas worden geplukt om ze vervolgens in latex na te maken, maar gewone stervelingen hoeven daar echt niet voor te vrezen. Functionarissen, voor wie dit soort high-tech aanvallen wél een bedreiging kunnen vormen, beseffen dat zelf maar al te goed – mag ik hopen. Gezichtsherkenning van consumentenkwaliteit, zoals die in mobieltjes wordt toegepast, is vaak toch nog te gemakkelijk te omzeilen met een foto, daarom ontraad ik het gebruik ervan voor zakelijke/belangrijke toepassingen.

Microsoft propageert al een poosje ‘wachtwoordloze authenticatie’: het systeem kan dan vaststellen dat jij het echt bent zonder dat daar een wachtwoord aan te pas komt. Sinds een jaar kunnen zakelijke gebruikers zonder wachtwoord inloggen bij onder andere Outlook en OneDrive. In plaats daarvan gebruiken ze de Authenticator app, Windows Hello, een fysieke veiligheidssleutel of een verificatiecode die je op je telefoon of per e-mail ontvangt.

Zo’n authenticator app (je hebt ze ook van bijvoorbeeld Google en RSA) genereert voor ieder account dat je ermee beschermt een cijfercode, die meestal één minuut geldig is. Bij het inloggen moet je die code invullen. Momenteel gebruiken we dit mechanisme meestal in het kader van meerfactorauthenticatie (wachtwoord + iets extra’s), maar Microsoft wil ons hiermee helemaal van het wachtwoord afhelpen.

Windows Hello werkt bijvoorbeeld met een infraroodcamera, die onder andere kijkt naar het warmtebeeld van je gezicht, de afstand tussen je ogen en de diepte van je oogkassen en de positie van mond en neus. Zonder foto’s te maken. Maar het kan ook met een pincode. Huh? Een pincode is toch onveiliger dan een wachtwoord, omdat je slechts tien verschillende tekens gebruikt? Om te beginnen hoeft de Hello-pincode niet uit alleen cijfers te bestaan, maar wat belangrijker is: de pincode is gekoppeld aan een specifiek apparaat, bijvoorbeeld je laptop. Bovendien is de pincode niet zoiets als een surrogaat-wachtwoord, maar een code om jouw eigen geheime sleutel toegankelijk te maken voor het systeem. Met behulp van die sleutel wordt een cryptografisch beveiligd login-verzoek naar een server gestuurd. Daarbij wordt je pincode zelf niet verzonden. Er is ook geen server waarop jouw pincode is opgeslagen. Bij wachtwoorden is dat anders: bij een webwinkel weten ze je wachtwoord omdat ze het moeten kunnen controleren. Daarom is de wereld altijd in rep en roer als het wachtwoordbestand van een groot bedrijf gestolen is.

Windows Hello is slechts een voorbeeld van een wachtwoordloze toekomst, hier gekozen omdat ik denk dat de kans groot is dat dit jouw eerste ervaring hiermee zal zijn – of al is – op een computer. Voor het vertrouwen in dergelijke technologie is het belangrijk dat je enigszins begrijpt hoe het werkt. Toen ik een paar jaar geleden mijn nieuwe computer uitpakte en Windows 10 met alle geweld wilde dat ik een pincode verzon in plaats van een wachtwoord, vond ik dat ook raar. Maar met wat uitleg vallen de puzzelstukjes op hun plek.

Veel eigenschappen van wachtwoorden zijn inmiddels achterhaald, zoals complexiteitseisen en de eis om ze regelmatig te vervangen. We kunnen die eigenschappen moderniseren, maar we kunnen ook meteen een grote stap zetten en wachtwoorden helemaal afschaffen. Ook Intel, dat deze themadag verzon, werkt mee in de FIDO Alliance, een wereldwijde club waarin technologiebedrijven samenwerken aan een sterke manier om gebruikers zónder wachtwoorden te authentiseren, omdat ze geloven in de veiligheid ervan. We gaan gemakkelijkere, veiligere tijden tegemoet. Maar voor het zover is: gebruik een password manager, die wachtwoorden voor jou verzint en opslaat, en die geautomatiseerd voor jou inlogt. Dat is altijd veiliger dan zelf prutsen. Want dat is nou eenmaal wat wij mensen doorgaans doen als het om wachtwoorden gaat.

  

En in de grote boze buitenwereld …

… is ongetwijfeld weer het een en ander gebeurd, maar deze keer had ik helaas geen tijd om die informatie te selecteren en hier te presenteren.