Wachtwoorden - ja, alweer

 

Afbeelding via Pixabay

Vandaag is het Nationale Check-je-wachtwoorden-dag. Dat is een initiatief van techwebsite Tweakers en het Openbaar Ministerie, en de intranetredactie vroeg mij om een extra blog aan deze dag te wijden. Ik sta altijd open voor verzoeknummers, waar ik dan op geheel eigen wijze invulling aan geef.

Eerst maar eens kijken naar de website die bij het initiatief hoort. Daar lezen we het volgende: Als internetter word je geconfronteerd met veel websites die vereisen dat je een gebruikersaccount aanmaakt en een wachtwoord kiest. Veel mensen vinden het moeilijk om al die verschillende wachtwoorden te bedenken en te onthouden. Dat heeft helaas als gevolg dat veel Nederlanders niet veilig omgaan met hun wachtwoorden, door bijvoorbeeld wachtwoorden te kiezen die makkelijk te raden zijn, of wachtwoorden te hergebruiken. Via de Nationale Check je Wachtwoorden Dag willen we mensen hiervan bewustmaken en uitleggen dat het bedenken en onthouden van goede wachtwoorden niet moeilijk hoeft te zijn.

De pagina met wachtwoordtips bevat tot mijn verbazing slechts vier tips. Laten we eens naar die tips kijken. Nummer 1: gebruik een wachtwoord van minimaal acht tekens. Mwah, acht tekens is tegenwoordig wat aan de krappe kant. Tegenwoordig wordt twaalf als veilig minimum beschouwd. Zou men bang zijn dat het dan te moeilijk is om het te onthouden? Daar hebben we een oplossing voor; zie verderop.

Tip 2: stel nooit één enkel woord in als uw wachtwoord. Mee eens, want dan staat je wachtwoord in het woordenboek en hackers zijn er erg goed in om buitgemaakte wachtwoordbestanden geautomatiseerd tegen een woordenboek aan te houden. Dat maakt een wachtwoord als autoband kansloos. Net zo kansloos overigens als aut0b@nd, want dat trucje staat ook in de hackerwoordenboeken.

De derde tip luidt: gebruik minimaal één woord en een cijfercombinatie die alleen u kent. Dus zoiets als autoband2022? Daarmee wordt het wachtwoord in ieder geval langer, en lengte is echt de belangrijkste factor. De geadviseerde cijfercombinatie wordt helaas al gauw een jaartal, verjaardag of de pincode van je bankpas, die het wachtwoord niet echt sterker maken en misschien zelfs een risico introduceren (ja, ik doel op die pincode).

Maar gelukkig zeggen ze in tip 4: gebruik geen geboortedata, adressen of iets anders dat eenvoudig is te raden. Helemaal mee eens. Deze tip is vooral bedoeld om doelgerichte aanvallen op specifieke personen af te wenden. Als een kwaadwillende niet een willekeurig iemand, maar jou op het oog heeft, dan gaat hij alles wat hij over je kan vinden gebruiken voor zijn aanval. Alle persoonlijke informatie, ook al is het nog zo ver gezocht, is dus taboe voor gebruik als (onderdeel van) wachtwoord.

Na de genummerde tips komen er toch nog een paar extra tips. Dat je je wachtwoord niet op een post-it moet schrijven. En over beveiligingsvragen – er zijn nog steeds sites die je verplichten om op te geven hoe je eerste huisdier/schooljuf/liefje heette, of soortgelijke vragen – zeggen ze dat je geen vragen moet kiezen waarop anderen het antwoord weten. Ik zeg het krachtiger: lieg! Wat is uw geboorteplaats? Banaan. Hoe heette uw eerste schooljuf? Fotolijstje. Natuurlijk moet je die leugens wel ergens opslaan, anders heb je er niks aan.

En dat brengt me op de beloofde oplossing om al die geheimen te onthouden: de wachtwoordkluis/ passwordmanager/wachtwoordmanager – een app die je wachtwoorden en andere geheime informatie voor je onthoudt, terwijl jij zelf alleen het wachtwoord van die app hoeft te onthouden. Volgens onderzoek in opdracht van Tweakers gebruikt slechts 7% van de Nederlanders zo’n app. Dat is echt betreurenswaardig weinig. Dus bij deze een oproep aan de overige 93%: download nú een wachtwoordmanager en neem ‘m in gebruik. Kijk even welke het beste bij jou past; op de website staan er drie, maar er zijn veel meer (pssst: mijn favoriet is Bitwarden). En nog een extra tip: wachtwoordmanagers zijn ook geweldig in het verzinnen van sterke wachtwoorden.

Dit is een Security (b)log special. Daarom (en vanwege een paar vrije dagen) is er deze week geen nieuws uit de grote boze buitenwereld.

Bescherm het universum

 

Afbeelding via Pixabay

Het is geen eerlijke strijd. Een hacker hoeft maar één piepklein gaatje te vinden om ergens in te breken, terwijl wij het hele universum moeten beschermen. Als de hacker een systeem weet te vinden waar de laatste security patch ontbreekt en hij heeft een exploit waarmee hij het gevonden lek kan uitbuiten, dan is hij binnen. We hebben zóveel systemen waar zóveel software op draait, dat er altijd wel ergens een kwetsbaarheid is. Het is niet eerlijk. Deze verzuchting heb ik mijn gehoor tijdens talloze presentaties voorgehouden.  

Ken je MythBusters, het vaak spectaculaire programma van Jamie Hyneman en Adam Savage, dat op Discovery Channel werd uitgezonden? Afgelopen woensdag waande ik mij in een speciale aflevering hiervan, toen Etay Maor op het Risk Event van ISACA een keynote gaf getiteld “Busting cyber security myths”. De allereerste mythe, die hij fijntjes de grond in boorde, was precies wat in de alinea hierboven staat. Ai.

Hij deed dat aan de hand van de MITRE ATT&CK matrix (sorry, maar bij de MITRE Corporation vinden ze dat je “attack” zo hoort te schrijven). Die matrix is veertien kolommen breed, en in de laatste staat welke soorten impact een aanval zoal kan hebben: datamanipulatie en –vernietiging, versleuteling van gegevens (ransomware) en denial of service, om er maar een paar te noemen. En in alle andere kolommen staan activiteiten die een aanvaller kan ontplooien om de gewenste impact te bereiken. Dat begint in de eerste kolom met allerlei vormen van verkenning, daarna komen het vergaren van de benodigde spullen, het verkrijgen van toegang en vervolgens nog allerlei stappen om het beoogde systeem in je macht te krijgen. Iedere kolom is een soort keuzemenu. Niet dat een aanvaller deze matrix zal gebruiken om te bepalen hoe hij te werkt zal gaan – deze matrix richt zich op analisten, die zo tot een beter begrip van een aanval kunnen komen.

Om zijn punt te maken heeft Etay Maor de REvil ransomware gemapt op de MITRE ATT&CK matrix. Dat was trouwens vrij gemakkelijk, want op de site van MITRE is die ransomware al helemaal ontleed; Maor hoefde alleen nog de bijbehorende vakjes in de matrix in te kleuren. Dat leverde maar liefst veertien rode vakjes op, verdeeld over zeven kolommen. Veel van die vakjes kun je ook nog eens uitklappen. De laatste kolom, met de impact, bevat nog eens vier rode vakjes. De maker van REvil moest dus heel wat meer doen dan één gaatje zoeken. De complete tabel met activiteiten voor REvil is veertig rijen lang. Overigens is REvil niet zomaar ransomware, maar ransomware-as-a-service (RaaS). Dat betekent dat REvil een dienst is die door anderen kan worden afgehuurd. Ja mensen, ook de onderwereld kent dienstverleners.

Terug naar de vermeende oneerlijke strijd. Mijn startpunt was een verhouding van één op oneindig – één gaatje ten opzichte van het hele universum. Het voorbeeld van Maor brengt de verhouding naar veertig op oneindig. Ik blijft toch wel vinden dat het oneerlijk verdeeld is, al kijk ik er nu wat genuanceerder naar.

De vraag is: wat doe je eraan? Hoe bescherm je het universum, of specifieker: het cyberuniversum? Dat begint met security by design, het van meet af aan meenemen van beveiliging in het ontwerp van je applicatie en je infrastructuur. Want als het ontwerp van een nieuwe auto al helemaal klaar is en je er dan pas achter komt dat er nog remmen in moeten, dan wordt het knap lastig – en kostbaar. Verderop in het proces, tijdens de realisatie, is het zaak om die security mindset vast te houden. Daar komt het vakmanschap bij om de hoek kijken. De remleidingen moeten goed aangesloten worden en testen op lekkage is ook wel zo prettig. En als het product dan eenmaal draait, dan is het zaak om de boel goed te onderhouden (in de auto-analogie vind je dat vanzelfsprekend). Daar hoort het besef bij dat hard- en software per definitie fouten bevat, en dat een deel van die fouten niet alleen schadelijk kan zijn voor de beveiliging van het product zelf, maar ook impact kan hebben op andere producten. Je moet daar naar blijven zoeken zolang als het product in gebruik is, en gevonden gebreken moet je tijdig verhelpen. Voordat iemand anders ze vindt en er oneerlijk gebruik van maakt.

Op donderdag 24 november verschijnt een special naar aanleiding van Check-je-wachtwoorden-dag. De reguliere Security (b)log vervalt in die week.

 

En in de grote boze buitenwereld …

• heeft het Digital Trust Center al heel wat bedrijven gewaarschuwd voor kwetsbaarheden.
• betaalt Google honderden miljoenen dollars voor het onterecht verzamelen van locatiegegevens.
• kun je natuurlijk ook een satelliet hacken, zegt dit hoofd ruimtebeveiliging.
• moet je beveiligingscamera’s niet verstoppen.
• hebben Meta-medewerkers Facebook- en Instragram-accounts van gebruikers gekaapt.
• zit er misschien wel Russische software in je telefoon.
• moet de overheid de privacy-risico’s van het gebruik van Amerikaanse cloudopslagdiensten beter beschrijven.
• daalt het aantal meldingen van WhatsApp-fraude.
• vind je hier een aanpak voor het terugkrijgen van geld dat je door WhatsApp-fraude bent kwijtgeraakt.
• is het WK voetbal schadelijk voor je privacy.
• heeft een ziekenhuismedewerker bijna honderd patiëntendossiers ongeoorloofd ingezien.

 

Oplossing zoekt probleem

 

Afbeelding: Reviver

In Californië, Arizona en Michigan mag tegenwoordig iedereen z’n auto voorzien van een elektronische kentekenplaat. Toen ik dit las was mijn eerste gedachte: wat zou er mis kunnen gaan? (Of eigenlijk het veel cynischer klinkende: what could possibly go wrong?)

Eerst maar even de (vermeende) voordelen van zo’n beeldscherm op je auto. Het is hip, en zeker Californië is een staat waar veel hippe mensen wonen. En wat kan zo’n schermpje dan doen voor die hippe mensen? Wel, om te beginnen natuurlijk het voor de hand liggende: het kenteken van de auto tonen. Verder moeten Amerikanen hun registratie jaarlijks verlengen en dat kan met zo’n plaat automatisch. Daarna wordt het wat frivoler: je kunt kiezen tussen light en dark mode en een persoonlijke tekstregel toevoegen. En uiteraard kan het schermpje ook reclame tonen.

Het bedrijf Reviver, de patenthouder, dicht zijn product, de RPlate, diverse mogelijkheden  toe die de publieke veiligheid kunnen verbeteren. Zo kan het scherm een melding tonen als het voertuig gestolen is, of als er een amber alert is uitgegeven voor een vermist kind. En je kunt ‘m heel handig beheren met je smartphone, via bluetooth. En natuurlijk heeft hij 5G-connectivity en heeft de duurdere versie GPS, zodat je je auto altijd kunt terugvinden.

Natuurlijk heeft de fabrikant ook aan de beveiliging van dit apparaat gedacht: “encrypted TLS/SSL communication, advanced data encryption, zero hardware data storage”. Er worden dus – van achteren naar voren lezend – geen gegevens opgeslagen, maar die gegevens zijn wel geavanceerd versleuteld (wat dat ook moge betekenen). Communicatie is op dezelfde wijze beveiligd als tussen je browser en een website.

Tja. Even los van voor de hand liggende vragen rond nut en noodzaak, wil ik toch even naar de beveiligings- en privacy-aspecten kijken van deze oplossing-zonder-probleem (een typering van beveiligingsgoeroe Bruce Schneier). Een andere coryfee in mijn vakgebied, Mikko Hyppönen, zegt altijd: als het verbonden is, is het kwetsbaar. Je moet ervan uitgaan dat deze kentekenplaat in principe kan worden gehackt. Een voor de hand liggende ‘toepassing’ voor een gehackt kenteken is natuurlijk het vervalsen ervan. Maar wat dacht je van een onterechte melding dat een auto is gestolen? Zeker in Amerika, waar agenten al gauw de hand naar hun heup brengen, lijkt het me geen pretje om rond te rijden met een auto die roept dat hij gestolen is, of waar “HELP!” op staat. De uitvinders voorzien ook nog toepassingen voor betaald parkeren (waarbij de kentekenplaat het bonnetje achter de voorruit vervangt) en voor mindervaliden (het displayen van een rolstoel). Als je dat kunt beïnvloeden, dan ligt een oneerlijk leven van gratis parkeren – zelfs op gereserveerde plekken – in het verschiet.

Qua privacy duiken de voor de hand liggende vragen op: wie kan mij allemaal volgen? Waar je wanneer bent kan een boel informatie over jouw leven prijsgeven. Hoe gemakkelijk voel je je bij die gedachte? Natuurlijk hebben we daar helemaal geen elektronische kentekenplaat voor nodig – afhankelijk van je instellingen weet je telefoon, die je nog vaker bij je hebt dan je auto, dat ook allemaal, en deelt dat met advertentiebedrijven als Google en Apple. Het privacy-aspect lijkt dus niet eens zo spannend bij dit product.

Blijft de vraag: waarom zou je? De marketing richt zich op twee speerpunten: lifestyle en de automatische kentekenverlenging. Het eerste punt zie je terug in de reviews, waarbij vooral auto’s zijn afgebeeld die jij en ik ons niet kunnen veroorloven. En over het tweede punt doen reageerders nogal cynisch: alsof het zo moeilijk zou zijn om je kenteken op de ouderwetse manier te verlengen. En waarom zou je zo’n ding niet kopen? Misschien vanwege de beveiligingsrisico’s, en anders vanwege de prijs: de goedkoopste versie kost $ 19,95 per maand.

Ik zie ons in Nederland niet zo snel met zo’n gimmick rondrijden. Mocht het er ooit wel van komen, dan hoef je niet bang te zijn voor grove taal op de persoonlijke tekstregel. Je kunt namelijk alleen teksten tonen die door de autoriteiten zijn goedgekeurd. Zonder deze beperking zouden de platen in Nederland natuurlijk over de toonbank vliegen.

 

En in de grote boze buitenwereld …

• had je natuurlijk kunnen voorzien dat betalen-voor-verificatie allerlei ongewenst gebruik veroorzaakt.
• vraag je je af wat er bij een bedrijf aan de hand is als op dezelfde dag de topmensen voor security, privacy en compliance allemaal ontslag nemen.
• hoef je bij online bestellingen niet je echte naam op te geven.
• hebben afpersers van een Australische ziektekostenverzekering, die hun zin niet kregen, informatie over abortussen openbaar gemaakt.
• konden Pixel-telefoons ontgrendeld worden door de simkaart er opnieuw in te stoppen.
• vertrouwt je browser ook certificaten die niet per se betrouwbaar zijn.
• schrijven tegenwoordig zelfs gewone kranten over het beveiligen van smartphones.
• heeft het NCSC de factsheet over het kiezen van berichtenapps geupdatet (maar ze geven nog steeds geen  waarde-oordeel).
• wacht een uit Oekraïne gevluchte dienstplichtige cybercrimineel op zijn uitlevering aan de VS door Nederland.
• bestelde een basisschoolleerling per ongeluk voor een half miljoen euro aan lesmateriaal.

 

Beestenboel

 

Afbeelding via Pixabay

Begeleid door een felle herfstzon wandelde ik afgelopen dinsdag met een teamgenoot door de afdeling Dinosaurussen van de dierentuin in Amersfoort. Gek hè, dat een dierentuin, die over het algemeen levende wezens verzamelt, ook een stukje bos heeft ingericht met beelden van al lang uitgestorven beesten. Net zo gek als de aanwezigheid van een speeltuin, trouwens. Kwam je nou om dieren te kijken of om te wippen?

Als je denkt dat onze aanwezigheid daar, tijdens werktijd, nog veel vreemder is, dan moet je bedenken dat dierentuinen ook ruimtes hebben die ze verhuren voor bijeenkomsten. En wij hadden die middag dus een bijeenkomst van ons organisatieonderdeel, het CTO Office, verantwoordelijk voor de optimale en effectieve inzet van technologie in de hele organisatie. Na een overzichtelijk praatje van onze directeur (de chief technology officer, ofwel CTO) moesten we in groepen uiteengaan om over een bepaald thema te praten. Je kent dat wel: de groepen zijn vooraf zó samengesteld, dat je vooral niet met eigen teamgenoten bij elkaar zit, zodat je ook eens met andere mensen in contact komt. Ik zat – lekker puh – in een groepje waarvan ik twee IT-architecten al kende; de een door het werk, de ander door een praatje bij de koffieautomaat. De anderen, een licentiebeheerder en een contractmanager, kende ik van gezicht.

Het thema, dat op ons bordje lag, heette: snel, beter, veiliger. Technologie moet snel ter beschikking van onze medewerkers komen. Kennelijk mag de kwaliteit daarbij ook wat omhoog en tja, het besef dat het veiliger moet is gelukkig ook doorgedrongen tot de hogere echelons. In menige organisatie betekent dat niet veel meer dan  comfortabel abstract roepen dat het veiliger moet, de werkvloer achterlatend in een vertwijfeld “hoe dan?” Want het gat tussen de erkenning dat het veiliger moet en de praktische uitwerking van zo’n oekaze heeft al gauw canyoneske afmetingen. Welkom in het spanningsveld tussen ‘dat mag zo niet’ en ‘maar anders werkt het niet’.

Dat ze ons met dit thema aan het werk zetten, toont zowel lef als de  behoefte om er daadwerkelijk invulling aan te geven. Het eerste wat wij opschreven, was dat je niet alleen snel, beter en veiliger moet zijn, maar ook flexibel. Dat is als het ware de katalysator die de andere drie eigenschappen een handje helpt. Flexibel in combinatie met veiliger betekent dat je niet maximaal beveiligt, maar optimaal. Dat betekent ook dat je in bepaalde situaties – ik denk bijvoorbeeld aan testomgevingen – soepeler kunt zijn. Beveiligingsbeleid en -normatiek voorziet daar echter niet in; dergelijke documenten lijken blind te zijn voor de complexe omgeving van een grote ICT-organisatie.

Dat brengt ons bij risicobereidheid (in het Engels pakkend risk appetite geheten). Hoeveel risico wil een organisatie nemen? Een bedrijf, dat dingen produceert met een korte time to market, zal over het algemeen een grotere risicobereidheid hebben dan, zeg, een overheidsinstantie. Dat product moet immers snel in de winkel liggen en dan kun je je geen al te frivole beveiligingsoverhead veroorloven. Kijk maar naar slimme apparaten zoals babyfoons, beveiligingscamera’s en broodroosters, die van het internet of things een gevaarlijke beestenboel maken.

Onze constatering was dat we meer moeten differentiëren in de risico’s waarmee we te maken hebben. Daar hoort onlosmakelijk bij dat eenduidig vaststaat wie waarvoor verantwoordelijk is. Een van de architecten wilde die verantwoordelijkheid zo laag mogelijk beleggen. Ik wist hem ervan te overtuigen dat we toch op z’n minst op het niveau van een afdelingshoofd moeten gaan zitten, omdat anders het eigen belang te zwaar gaat wegen: als een team een doel moet bereiken, dan zal een teammanager over het algemeen eerder bereid zijn om risico’s te accepteren. Risico’s hebben echter de neiging om een bredere uitwerking te hebben dan één team en moeten dus ook in die bredere context gewogen worden. Enige afstand tot de werkvloer helpt daarbij.

Gisteren sprak ik een afdelingshoofd dat vaak te maken heeft met risicobehandeling. We hebben namelijk een proces ingericht dat regelt dat wanneer iemand iets wil dat volgens de regels niet mag maar wel (op dat moment) nodig is om voortgang te waarborgen, moet opschrijven wat dat inhoudt en welk risico de organisatie loopt. En dat formulier moet worden voorgelegd aan het afdelingshoofd. Omdat het de laatste tijd de spuigaten uitloopt, gaat hij actief de boer op om verandering te bewerkstelligen. Het nemen van die risico’s is namelijk in veel gevallen niet echt nodig, mits men zich enige inspanning wil getroosten om aan een robuuste oplossing te werken. Dit afdelingshoofd neemt duidelijk zijn verantwoordelijkheid voor beveiliging, daarbij het belang van de operatie niet uit het oog verliezend. Want beveiliging gaat óók over beschikbaarheid.

Een andere dierentuingroep, die ook met het thema ‘snel, beter, veiliger’ was belast, had opgeschreven: lees de Security (b)log! Dat is natuurlijk een geweldige altijd-goed-actie.

 

En in de grote boze buitenwereld …

• legt Arjen Lubach uit wat ransomware is.
• valt het nog enigszins mee met de recent ontdekte bugs in OpenSSL.
• heeft TikTok-personeel in (onder andere) China toegang tot data van Europese gebruikers.
• is Dropbox gehackt via phishing.
• kan een datalek ook gewoon op papier.
• zouden de Russen de telefoon van de vorige Britse premier gehackt hebben.
• gaat de Amerikaanse overheid optreden tegen desinformatie op social media.
• wil het Rode Kruis een digitaal embleem, dat de IT van de organisatie in oorlogssituaties moet beschermen.
• heeft Oostenrijk een stokje gestoken voor een plan van de Europese Commissie om alle Europese chatberichten te controleren.
• verdiende dit bedrijf veel geld met het toepassen van dark patterns.
• stelen malafide PyPI-packages je inloggegevens.
• geeft de Amerikaanse overheid advies over multifactorauthenticatie die niet middels phishing kan worden omzeild.
• is de privacy zone van Strava niet waterdicht.