Herriebakje voor 007

 

Foto van auteur

Wat hebben Desmond Llewelyn, John Cleese en Ben Whishaw gemeen? Wel, ze speelden allemaal de rol van Q in James Bond-films. Je weet wel, die norse man die Bond van allerlei technische snufjes voorziet, zoals schoenen met een giftig mes erin verwerkt, een lipstickbom en een horloge met een krachtige ingebouwde laser. Niet dat ik zo’n grote 007-fan of Q-groupy ben, maar ik liep laatst tegen een bijzonder ding aan dat niet zou misstaan in het arsenaal van een dubbel-nul-agent.

Het lijkt wel op een sushi-doosje, zei iemand. Maar dan wel een zware, want het geval weegt 600 gram, mede door de dikke bodem en dito deksel. Het deksel sluit hermetisch en op het ronde dingetje aan de voorkant staat automatic pressure purge. Binnenin zie je een kleine schakelaar, plus- en min-knoppen en een paar ledjes. Nee, dit is geen sushi-doos. Dit is echt iets uit het laboratorium van Q.

Als je het apparaat – want dat is het – aanzet en het deksel sluit, dan hoor je ruis. De volumeknoppen geven je zes verschillende standen; in alle standen hoor je de white noise door het gesloten doosje heen, en in de hardste stand is het ronduit irritant. Zodra je het deksel opent, stopt de herrie.

Ben je er al uit? Ik zal het maar verklappen. Dit ding is bedoeld om je telefoon in op te bergen tijdens vertrouwelijke besprekingen. De ruis zorgt ervoor dat eventuele luistervinken, die je telefoon hebben gehackt om je stiekem af te kunnen luisteren, alleen maar ruis horen. En door het transparante deksel kun je wel zien als er iets op je telefoon binnenkomt, bijvoorbeeld een bericht of een gesprek. Dat is het voordeel van deze doos boven een kooi van Faraday, die alle elektromagnetische straling blokkeert en feitelijk een vliegtuigmodus creëert – waarbij overigens niet kan worden uitgesloten dat malware een opname maakt en die later alsnog verstuurt. Kortom, met deze doos ben je tegelijkertijd bereikbaar en niet-afluisterbaar. Wow.

Ik zie het helemaal voor me. James Bond in het kantoor van M, die op het punt staat om de volgende opdracht te onthullen. Maar eerst gaan de telefoons in zo’n box. Want tja, top secret natuurlijk, die bespreking. En dergelijke functionarissen zijn per definitie een doelwit van het soort hackers dat over de kennis en de middelen beschikt om afluistersoftware te planten (ik denk aan onze geliefde statelijke actoren). En onze filmhelden moeten natuurlijk wel te allen tijde bereikbaar blijven, want misschien belt hun Amerikaanse collega Felix Leiter wel met belangrijk nieuws.

In het echte leven zal de markt voor dit product ook wel de wereld van spionnen zijn. Daarnaast zullen ook top-industriëlen en andere mensen, die iets weten wat anderen ook dolgraag zouden weten, tot de klandizie behoren van het Nederlandse bedrijf dat dit ding heeft ontwikkeld. Je zult ‘m minder gauw tegenkomen in een webshop met leuke cadeau-ideeën voor de kerst, al was het alleen maar omdat ’ie nogal prijzig schijnt te zijn.

In minder spannende ecosystemen gebruiken ze een armeluisvariant van dit high tech apparaat: een weckpot. Je weet wel, zo’n glazen pot met een rubberen ring en een beugelsluiting, bedoeld voor het inmaken van groente en fruit. Nou, in zo’n hermetisch gesloten pot kun je dus ook prima je telefoon stoppen, terwijl hij toch zichtbaar blijft (wel eerst het voedsel eruit halen en goed schoonmaken hè). Bij gebrek aan een weckpot kan ik nu even niet testen of er inderdaad geen geluid doordringt, maar ik wil wel geloven dat het gebruik ervan niet zinloos is. Al was het alleen maar dat de bewustwording op het thema vertrouwelijkheid een boost krijgt als er opeens weckpotten op de vergadertafel staan.

Prettige feestdagen wenst Borsoi, Patrick Borsoi.

De Security (b)log keert na de jaarwisseling terug.

 

En in de grote boze buitenwereld …

• claimt een marketingbedrijf dat het via je telefoon of smartspeaker met gesprekken kan meeluisteren om doelgerichte reclame op je af te sturen.
• heeft de EU nu AI-regelgeving, maar er gebeurt nog even niet zoveel mee.
• rijdt deze Poolse trein niet meer, zodra een derde partij eraan sleutelt.
• valt het wel mee met die lekkende wachtwoordmanagers van vorige week.
• hebben Britse militairen nog wel eens moeite met het verschil tussen ‘aan’ en ‘bcc’.
• woedt ook de cyberoorlog in Oekraïne voort.
• leren Libische ambtenaren om te gaan met cyberdreigingen bij toekomstige verkiezingen.
• waarschuwt de overheid voor berichten van valse bezorgdiensten.
• vreest de Britse overheid een catastrofale ransomware-aanval.
• wordt Adobe voor de rechter gesleept wegens het plaatsen van trackingcookies.
• zijn chatbots zoals ChatGPT ‘in beginsel’ taboe voor rijksambtenaren.

USB-condooms

 

Afbeelding via Pixabay

Bij de Douane vroegen ze zich af of het geoorloofd is om je mobiele apparatuur op te laden bij openbare oplaadpunten. Die vraag kwam bij ons team terecht en toen wij erover spraken, werd gunnend naar mij gekeken: blogje?

We hadden natuurlijk gemakkelijk kunnen antwoorden: “Nee, niet doen!” (En dat ga ik straks heus wel doen.) Maar het is natuurlijk veel beter om uit te leggen hoe het snoer in de stekker zit en welke alternatieven er zijn. En het zou ook jammer zijn om alleen de collega’s in ’t groen te bedienen, terwijl dit voor iedereen – en ook voor jou privé – van belang is.

Het gaat hier over opladen via een USB-kabel. Iets wat je waarschijnlijk dagelijks doet met je telefoon of tablet – óók als je een iDing van Apple hebt, want weliswaar hebben de iets oudere iPhones en iPads aan de kant van het toestel geen USB-, maar een Lightning-aansluiting, maar welk stekkertje zit er ook alweer aan de andere kant, aan de kant van de lader? Juist ja, USB-A! En wat is er dan zo spannend aan USB? Nou, er kan dus meer mee dan alleen opladen: je kunt er ook data doorheen sturen. Misschien is je printer wel via een USB-kabel aan je pc aangesloten, of hangt je laptop met zo’n kabel aan een extern beeldscherm. Ziehier het bewijs dat er data door je USB-aansluiting gaat. Nou en? Ah, nu raken we mijn vakgebied. Als ergens data kan stromen, dan kan dat ook zonder dat jij dat merkt. En dat kan weer gevolgen hebben voor de vertrouwelijkheid van jouw gegevens, of die van je werkgever. Waarbij gegevens natuurlijk van alles kan zijn: foto’s, contacten, teksten, spreadsheets, noem maar op. All things digital.

Criminelen weten dat ook. Onder het motto ‘data is de nieuwe olie’ (oftewel: daar kun je goud geld mee verdienen) bewandelen ze graag nieuwe paden. En wat heeft dat dan met die openbare laadpunten te maken, waar de Douane naar vroeg? Nou kijk, zo’n openbaar laadpunt is een USB-stopcontact in de trein, de bus, een hotelkamer, noem maar op; je ziet ze tegenwoordig overal. Of het is een USB-kabeltje dat ergens bungelt. Je ziet ook wel eens van die kleine lockers waarin je je telefoon aan het infuus kunt hangen (ik heb ze zelfs eens op een beveiligingsconferentie gezien…). Het probleem met al die genereuze stroomleveranciers is, dat je niet weet wat – en wie – erachter zit. En nou komt het: je kunt dus aan zo’n stopcontact of kabeltje iets toevoegen, of er iets achter hangen wat meer is dan alleen een oplader. Er zijn zelfs kabels verkrijgbaar met stekkertjes die via wifi informatie doorgeven naar hun baasje. Dat alles schetst het risico-scenario waar het hier om gaat: dat iemand, via een ogenschijnlijk onschuldige, gratis oplaadmogelijkheid gegevens van jouw apparaat steelt. Dit fenomeen heeft zelfs een naam: juice jacking. Met ‘juice’ als in stroom en ‘jacking’ als in hijacking. Via de stroomkabel worden je gegevens ontvoerd. Ook de algemene media hebben deze sappige term opgepikt; bij de research voor deze blog stuitte ik op artikelen van RTL Nieuws, de Cosmopolitan, Hart van Nederland en de Jan. En sommigen doen er best wel hijgerig over.

In ruim negen van de tien gevallen zal zo’n openbaar oplaadpunt echter geen enkel probleem zijn. Ik zie een hacker niet zo snel een trein openschroeven, iets in een USB-poort verstoppen en dan maar hopen dat ooit iemand met belangrijke informatie z’n telefoon aan precies dát oplaadpunt hangt. Bij zo’n bungelend snoertje aan een goedbedoelde paal in de stad, of bij zo’n laadlocker, wordt het verhaal al iets anders, omdat die veel gemakkelijker zijn te manipuleren. Het gros van de slachtoffers van dergelijke aanvallen is getarget: iemand heeft het gemunt op een specifieke persoon omdat die over specifieke informatie beschikt. Als ik naar mijn primaire doelgroep kijk en het over dergelijke aanvallen heb, dan noem ik altijd twee organisaties: de Douane en de FIOD. Beiden beschikken over informatie die interessant is voor criminelen, en in ieder geval van de Douane weet ik dat ze nog wel eens in het buitenland acte de présence geven, en dat maakt het soms net allemaal iets spannender.

Wat kun je doen om het gebruik van publieke oplaadpunten te vermijden? Ga van huis met een volle accu, en als je weet dat je het daarmee niet redt, wees dan voorbereid: neem je eigen lader én snoer mee. Bang dat je geen stopcontact vindt? Stop dan ook een powerbank in je tas. Liefst een iets duurdere, die je toestel lekker snel oplaadt. Kun je écht niet om een publiek oplaadpunt heen, gebruik dan een USB-condoom (of de preutsere variant, de juice-jack defender). Dat is een stekkertje dat je in je toestel prikt en waar aan de andere kant dat publieke laadsnoertje in gaat. USB-condooms laten alleen stroom door, geen data. Gebruik nooit een gevonden laadsnoer of oplader; die zijn misschien niet per ongeluk daar terechtgekomen. En als je toestel je de keus geeft tussen data-overdracht en ‘alleen opladen’, kies dan die laatste optie.

Het komt er dus, zoals bovenaan voorspeld, hierop neer: gebruik gewoon geen openbare oplaadpunten. Nergens, nooit, ook al ben je ‘niet belangrijk’. Als je dat principe hanteert, dan hoef je er verder nooit meer over na te denken.

 

En in de grote boze buitenwereld …

• construeerden onderzoekers een exploit die computers tijdens het opstarten compromitteert.
• kunnen QR-codes op allerlei manieren misbruikt worden.
• staat de jaarlijkse kerstpuzzel van de AIVD online.
• was deze kwetsbaarheid er toch geen.
• zijn gegevens van miljoenen cliënten van een commercieel DNA-testbureau gelekt.
• kun je veel geld verdienen als je de VS helpt om Noord-Koreaanse hackers te bestrijden.
• verstoppen deze phishers zich achter een verzonnen kwetsbaarheid in Wordpress.
• bestaat “Have I been pwned?” tien jaar.
• kun je natuurlijk ook een kerncentrale hacken.
• bekende een Russische hacker schuld in de VS.
• lekt je password manager mogelijk wachtwoorden naar apps.
• maakt de Nederlandse privacytoezichthouder zich zorgen om generatieve AI.
• geldt hetzelfde voor de Britten.

 

Quantumpadvinder

 

Foto Petra Wevers

Waar denk jij aan bij het woord kwantum? Het betekent hoeveelheid, maar ik denk vooral aan gróte hoeveelheid. Zal wel komen door de term kwantumkorting: koop veel van iets en het wordt goedkoper. Er schemert ook nog iets oranje voor mijn geestesoog, en dat komt door die woonwinkelketen met z’n oranje logo, die ooit begon onder de naam Kwantum Hallen.

Sinds een tijdje zoemt het woord door de ICT-gemeenschap in de Engelse spelling: quantum. En dan gaat het over de quantumcomputer, die vreemde machine die zo van de filmset van Back to the future lijkt te zijn ontsnapt, met z’n stelsel van sierlijke buizen, die voor koeling moeten zorgen. Want de quantumcomputer heeft het graag koud: in het hart van de machine bedraagt de temperatuur slechts tien milliKelvin (een ietsiepietsie kouder, 0 K of afgerond -273 °C, is het absolute nulpunt: kouder kan niet). ‘Quantum’ is in deze context niet veel, maar draait juist om minimale hoeveelheden.

Behalve het bizarre uiterlijk en de dito condities om te kunnen functioneren, heeft de kwantumcomputer nog een eigenaardige eigenschap. Zolang er computers bestaan, zijn we gewend aan de bit: een waarde die 0 of 1 kan zijn en waar de computer mee kan rekenen. Maar die gekke quantumcomputer werkt met qbits (‘kjoebits’), die 0 en 1 tegelijk kunnen zijn, en alles daar tussenin. Tot je ernaar kijkt, want dan moet de qbit kleur bekennen. Zo’n beetje als de kat van Schrödinger, die in een gesloten doos zit en daarom voor een observator tegelijk dood en levend is, tot het moment waarop hij de doos opent en vaststelt in welke staat het beest verkeert. Met die qbits kun je sommige berekeningen razendsnel uitvoeren, omdat je meerdere paden tegelijk kunt bewandelen. Terwijl gewone computers werken volgens het stramien ‘als dit waar is, doe dan zus, en anders zo’, doet de quantumcomputer gewoon allebei en ziet uiteindelijk wel waar hij uitkomt. Daardoor maakt hij veel fouten, maar omdat hij de berekeningen heel vaak uitvoert, tekent zich een winnende uitkomst af.

Ik praat hierover met ons kersvers teamlid Petra Wevers, die zich padvinder op het gebied van quantum security noemt. Quantumcomputers vormen een bedreiging voor de huidige manier waarop we onze gegevens beveiligen. Die is namelijk in zeer belangrijke mate gebaseerd op een complex wiskundig probleem. Om bestanden te versleutelen heb je sleutels nodig, en die worden gemaakt door zeer grote priemgetallen met elkaar te vermenigvuldigen. Een aanvaller, die de sleutel wil bemachtigen, beschikt wel over de uitkomst van die rekensom, maar het terugvinden van de beide priemgetallen (factorisatie) is uiterst moeizaam. Althans, voor gewone computers. Voor quantumcomputers is het echter een peulenschil. En daarmee vormt de quantumcomputer dus een grote bedreiging voor de vertrouwelijkheid van onze gegevens.

De huidige quantumcomputers kunnen dat nog niet. De voorspellingen lopen ver uiteen, maar vaak hoor je dat het nog ergens tussen de 7 en 10 jaar zal duren. Ook gehoord: vanaf 2030 is er een reële maar kleine kans op het breken van cryptografie. Voor het breken van RSA 2048 (een bepaald cryptografisch algoritme, met een sleutellengte van 2048 bits) is naar verwachting een quantumcomputer met een miljoen qbits nodig, terwijl de krachtigste bekende (!) computer er slechts 433 heeft. Oh, denk je, we hebben dus geen haast. Fout. Veel informatie, die nu vertrouwelijk is, is dat over tien jaar ook nog. Aanvallers met een lange adem, zoals bepaalde landen, stelen die informatie nu al, ook al kunnen ze er nog niks mee. Maar als ze die informatie een decennium later wél kunnen lezen, hebben ze er alsnog iets aan. Steal now, decrypt later, is hun leus. Petra noemt de situatie, waarin we ons nu bevinden, de quantum sqeeze. Anderen spreken over Qday of zelfs over de Quantum Apocalyps, maar het komt allemaal neer op hetzelfde: we moeten iets doen voor het te laat is. En wel nu.

We hebben nog geen quantum-safe cryptografie, en de route daarheen is ook nog niet uitgekristalliseerd, aldus Petra. Er zijn wel lapmiddelen. Sleutels langer maken bijvoorbeeld, zodat zelfs een quantumcomputer er even zoet mee is. En – sta me toe dat ik heel even specifiek wordt – overstappen op TLS 1.3, omdat eerdere versies, die nu nog volop in gebruik zijn, geen hybride algoritmes (een opeenstapeling van verschillende algoritmes) aan kunnen. Daarnaast kunnen we de quantumcomputer ook nog pesten (‘quantum-annoying zijn’) door sleutels vaak te verversen, zodat de quantumcomputers omkomen in het werk. En als je als organisatie spullen inkoopt, neem dan quantum-veiligheid mee in je eisenpakket. Vraag je leveranciers naar hun plannen op dit gebied.

Overheden en de wetenschap maken serieus werk van onze veiligheid, zegt Petra. Zoals in het programma Quantumveilige Cryptografie Rijk. Volgend jaar komt het NIST (het Amerikaanse standaardisatie-instituut) met standaarden op dit gebied, die naar verwachting drie jaar later in commerciële producten zijn verwerkt. Maar Petra mist aandacht voor het feit dat straks iedereen via een website op quantumcomputers kan werken – ook criminelen. Net zoals we nu ook allemaal gebruik kunnen maken van kunstmatige intelligentie. Het is overigens niet alleen maar kommer en kwel: quantumcomputers gaan bijvoorbeeld ook helpen bij de ontwikkeling van nieuwe medicijnen en batterijen, zo luidt de verwachting. Laten we ervoor strijden dat het positieve gebruik van deze baanbrekende technologie het wint.

 

En in de grote boze buitenwereld …

• heb je niet altijd een quantumcomputer nodig om cryptosleutels te bemachtigen.
• ligt het gevaar van gehackte kunstmatige intelligentie op de loer.
• kampt de luchtvaart boven het Midden-Oosten met aanvallen op navigatiesystemen.
• deelt NameDrop op je iPhone (te) gemakkelijk jouw contactinformatie.
• snuffelden Chinese spionnen jarenlang in de computers van een Nederlandse chipfabrikant. [Je kunt de taal zelf op Nederlands instellen.]
• hebben internationale politiediensten een Oekraïense ransomware-bende opgerold.
• waren de verkiezingen best wel veilig.
• is er nu ook een matras met privacybeleid.

 

Kafka's kasteel

 

Afbeelding via Pixabay

Weet je nog dat kasteel waar ik vorige week over schreef?  Waar ze niemand vertrouwden, omdat ze ervan uitgingen dat de vijand al binnen de muren van het kasteel zat? Ik ben eens in de omgeving gaan rondlopen, en wat blijkt? Een eindje verderop staat nog een kasteel. En daar doen ze het helemaal anders.

Nog niet zo lang geleden hoorde ik op een congres de uitspraak: we moeten van ‘low trust, high tolerance’ naar ‘high trust, low tolerance’. Typisch zo’n uitspraak waarbij de zaal instemmend gromt, zonder nog precies te begrijpen wat dit betekent. Ik schrijf dat soort uitspraken dan op, om er later over na te denken. Het schrijven van een blog is een uitstekende manier om zo’n ei uit te broeden. Riemen vast, beste lezer, want ik weet op dit punt nog niet waar het verhaal heen gaat.

Die uitspraak bevat de veronderstelling dat veel organisaties werken vanuit een soort niet-vertrouwen (dat is iets anders dan wantrouwen), zo’n beetje als in het kasteel van vorige week. Daarom gelden er veel regels waar je je aan moet houden, want uit jezelf doe je waarschijnlijk niet het goede, zo is de gedachte. Niet omdat je het niet wilt, maar omdat je het allemaal niet kunt weten. Omdat er zoveel regels zijn, is het erg moeilijk om je overal aan te houden. Alleen al omdat je niet alle regels kent, maar ook omdat sommige regels niet werkbaar zijn, of omdat het soms niet uitkomt. Je weet wel, dat woordje ‘eigenlijk’. Als dat valt, dan weet je al dat er om een regel heen gewerkt gaat worden. De kasteelheer weet dat ook, en ziet daarom veel door de vingers: hij is erg tolerant, zolang de regels maar niet doelbewust en met kwade bedoelingen worden overtreden.

De uitspraak uit de tweede alinea impliceert dat die houding niet goed is, want tja, we ‘moeten’ immers naar dat andere model: veel vertrouwen, lage tolerantie. Deze kasteelheer gaat ervan uit dat iedereen die voor hem werkt zelf heel goed snapt wat wel en niet kan, omdat veel dingen nou eenmaal voor de hand liggen. Als je ergens naar binnen gaat, dan sluit je de deur achter je. Niet alleen omdat het anders tocht, maar ook omdat er anders misschien iemand naar binnen glipt die daar niet hoort te zijn. Als je de juwelen van de kasteelvrouwe beheert, dan snap je vast wel dat het niet de bedoeling is om ze voor een avondje aan je vriendin uit te lenen. Er zijn dus veel minder formele regels, maar wee je gebeente als je het vertrouwen beschaamt en ze erachter komen. Dan zit je binnen de kortste keren op water en brood in de kerker. Er is maar weinig tolerantie.

Ken je de roman Der Prozess van Franz Kafka? Dat verhaal draait om Josef K., die gearresteerd en uiteindelijk veroordeeld wordt zonder ooit geweten te hebben waarom. Kennelijk heeft hij gezondigd tegen regels, die hij niet kende – niet kon kennen. In zo’n kafkaëske situatie zou je wel eens gemakkelijk terecht kunnen komen als we op basis van ‘high trust, low tolerance’ werken. Geen fijne plek om te wonen, dat kasteel.

Wat te denken van een middenweg? Ik noem het ‘some trust, some tolerance’. Het zal vast wel zo zijn dat we wat teveel regels hebben, die toch niemand kent. Iedere burger wordt geacht de wet te kennen, zo heet het. Maar hoe realistisch is dat, als je het letterlijk neemt? Je weet toch ook zonder kennis van wetboeken dat je geen autobanden mag leksteken? Net zo zijn er tal van beveiligingsregels waar je je toch wel aan houdt. Of waar wat meer tolerantie geen kwaad kan. Ik erger me er steeds weer aan als de app, waarin ik het lesrooster van mijn dochter kan zien, me eruit gooit als ik eens een paar weken niet in die app heb gekeken. Dan moet ik opnieuw inloggen, en dan is het altijd even zoeken hoe dat ook alweer werkt, want het gaat anders dan elders (voor collega-ouders: ik heb het over Somtoday). Hoe spannend is nou helemaal wat er in die app staat? Laat hem toch lekker meeliften op de beveiliging van mijn telefoon. Zelfs de app van mijn bank is makkelijker (na een eerste strenge toelatingsprocedure).

We kunnen dus waarschijnlijk toe met wat minder regels, maar we moeten ook leren om minder tolerant te zijn. Het gebeurt nog te vaak dat iemand iets doet op een manier waarvan hij donders goed weet dat het zo niet hoort, maar het – uiteraard met de beste bedoelingen, daar twijfel ik niet aan – toch op die wijze voor elkaar bokst. Het werkt weliswaar, maar er kleven te grote risico’s aan, die mogelijk over het hoofd zijn gezien. Tolerantie moet je dan ook niet nemen, die moet je krijgen. Van degene die de verantwoordelijkheid draagt.

Een nieuw kasteel dus, op gepaste afstand van dat van Kafka. Met bewoners die zich in alle redelijkheid houden aan regels die vooral regelen wat niet voor iedereen voor de hand ligt. Dat werkt overigens alleen voor mensen. Voor systemen houden we toch maar liever vast aan zero trust.

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• heeft een ransomware-bende haar slachtoffer bij de autoriteiten aangegeven.
• is er een mapping gemaakt tussen NIS2, ISO27002 en de BIO.
• woont de peetvader van alle hackers in India.
• heeft de Duitse cybersecurity-organisatie BSI haar rapport over de ontwikkeling van quantumcomputers geactualiseerd. [DUITS]
• is de tweede podcast van het Team High Tech Crime uit.
• steelt deze malware je cryptomunten via foto’s op je Android-telefoon.
• is het goed om een ad-blocker te gebruiken.
• adviseert de Autoriteit Persoonsgegevens negatief op de ‘datasurveillancewet’.
• mogen ambtenaren straks geen ChatGPT meer gebruiken.
• is een alarmcentrale voor ouderen in nood platgelegd door een cyberaanval.

 

Het kasteel is lek

 

Afbeelding via Pixabay

Assume breach – ga er maar gerust van uit dat je systemen gecompromitteerd zijn, dus dat hackers zich toegang hebben weten te verschaffen tot jouw ICT-middelen zonder dat je het hebt opgemerkt. Het is natuurlijk geen fijn uitgangspunt. Het betekent zoveel als: mijn beveiliging zal falen en ik kan dat niet tegenhouden. Het klinkt alsof je het hoofd in de schoot legt, als een capitulatie. Zo is het echter niet bedoeld. Nee, de assume breach-gedachte wil je erop wijzen dat je tegenstanders zoveel kansen hebben om jouw kasteel binnen te dringen, dat het simpelweg ondoenlijk is om alle gaatjes altijd afdoende te beschermen.

Laat mij de kasteelmetafoor wat verder uitdiepen aan de hand van de aloude gelijkenis zoals we die in de informatiebeveiliging kennen, met de kasteelgracht, de ophaalbrug en de kroonjuwelen in de robuuste donjon. In die vergelijking wordt juist benadrukt hoe goed we het allemaal voor elkaar hebben met onze gelaagde beveiliging. Ik wil het er juist over hebben dat die laagjes allemaal hun zwakke punten kennen.

Laten we beginnen bij de slotgracht. Die is makkelijk: in de winter kun je er soms gewoon overheen lopen (ja jongelui, vroeger werd het in de winter zó koud dat ‘s lands wateren bevroren). Ik denk dat menige trotse, middeleeuwse kasteelheer lelijk op z’n neus keek toen bleek dat zijn geniale waterbarrière ook zonder bootjes eenvoudig kon worden genomen, als de vijand maar het juiste moment afwachtte. Voor het normaal oversteken van dat watertje hebben we de ophaalbrug. Wat gebeurt er als de kettingen of touwen, waarmee de brug wordt opgehaald, knappen? Dan valt het brugdek naar beneden en kan iedereen er overheen. Vanuit beveiligingsperspectief wil je niet dat als iets stuk is, de onveilige situatie de standaard wordt.

Maar gelukkig hebben we nog het valhek, dat de opening in de kasteelmuur afsluit. Als de kettingen daarvan knappen, dan valt het omlaag en is de toegang versperd. Tenminste, als het niet door de ongecontroleerde val scheef gaat en daardoor klem komt de zitten. Dan blijft het juist weer open en kan de vijand alsnog naar binnen.

Als laatste is daar nog de donjon, de kloeke woontoren van de kasteelheer. Die heeft dikke muren en smalle ramen. De dure spullen en de belangrijke mensen zullen wel bovenin hebben gezeten, het verst bij een indringer vandaan. Ik ben alleen bang dat ze geen kant op konden als de vijand een vuurtje ging stoken.

Het schillenmodel is gebaseerd op de hoop dat als de ene schil doorbroken is, de volgende schillen de aanvaller alsnog tegenhouden. Maar is het dan zo ondenkbaar dat alle schillen tegelijkertijd lek zijn? De slotgracht is bevroren, het valhek is vastgeroest en de vijand, die ongehinderd naar binnen marcheert, rookt de kasteelheer uit. Maar je vergeet de boogschutters! Tja, dat is dan een kwestie van aanvallen met een voldoende sterk en goed uitgerust leger.

Ga er dus maar van uit dat de aanvaller al binnen is, zegt de assume breach-mindset. Misschien staat hij nog niet bovenin de donjon, maar loopt hij wel al rond binnen de muren van je kasteel. Hij is vermomd en wacht op een goed moment om zijn slag te slaan. Wat doe je dan, als je denkt te weten dat de vijand in vermomming al binnen is? Dan vertrouw je niemand meer. In security-termen: zero trust. Je gaat ervan uit dat niemand te vertrouwen is en dat je dus iedere keer, dat iemand iets wil, je moet controleren of dat mag. Dus niet: “Ha Jan, kom binnen”, maar: “Ha Jan, even controleren of je er nog steeds in mag.”  Dat veronderstelt op zijn beurt weer dat helder is wát er allemaal mag: klopt het wel dat zóveel medewerkers toegang hebben tot dat belangrijke systeem? Of kun je dat aanvalsoppervlak verkleinen door een betere autorisatiestructuur? Hoe meer mensen iets kunnen, hoe meer mensen een aanvaller kan proberen te misleiden via bijvoorbeeld phishing. Een andere belangrijke maatregel in deze context is tweefactorauthenticatie: je zegt wel dat dit jouw user-id en wachtwoord is, maar dat alleen is niet goed genoeg om toegang te krijgen.

In het fysieke kasteel werkt nul vertrouwen maar tot op zekere hoogte. De kasteelheer zal uiteindelijk zijn lijfwachten en zijn kok moeten kunnen vertrouwen. Hij kan wel extra maatregelen treffen: de juwelen uit de vitrinekast halen en in een afgesloten kist opbergen bijvoorbeeld. Dan maak je het een aanvaller toch weer een stukje moeilijker. En dat is waar het in ons vak om draait.

 

En in de grote boze buitenwereld …

• torpedeert Flipper je iPhone en iPad.
• heeft het Team High Tech Crime van de politie een eigen podcast.
• frauderen criminele organisaties met zogenaamd niet aangekomen pakjes.
• zijn er aan de andere kant ook steeds meer malafide webshops.
• plaatsten diverse politieke partijen illegaal cookies.
• moeten topmanagers zich verdiepen in kunstmatige intelligentie.
• zijn in Bletchley Park belangrijke eerste stappen gezet richting veilig gebruik van kunstmatige intelligentie.
• is ‘ontkoppelen’ misschien wel het nieuwe toverwoord voor onze online privacy en veiligheid.
• is iedereen in de organisatie verantwoordelijk voor informatiebeveiliging.
• legt de Autoriteit Persoonsgegevens nog eens uit hoe gemakkelijk wachtwoorden te kraken zijn.
• uiten vijfhonderd wetenschappers hun bezorgdheid over artikel 45 van eIDAS.

 

 

Verraden door je telefoon

 

Afbeelding via Pixabay

Afgelopen dinsdag was ik in het auditorium van het Van der Valk-hotel in Venlo. Ja, dat was even slikken; zo’n collegezaal is een tikkeltje intimiderend, maar na vier presentaties aan groepen collega’s over de risico’s van je online bestaan zat hij me als gegoten.

Een belangrijk onderdeel van die risico’s heeft te maken met je privacy. Want terwijl jij lekker gratis allerlei apps zit te gebruiken, doen de meeste apps daarnaast ook nog iets voor zichzelf: ze verzamelen data over jou. En die informatie verkopen ze door aan advertentiebedrijven, die deze informatie weer gebruiken om profielen te maken. Daar hangt niet per se meteen jouw naam aan vast: mobiele toestellen werken met een advertentie-ID, die gekoppeld is aan je toestel. Is je privacy daardoor goed beschermd? Mwah.

Zoals wel vaker in de informatiebeveiliging draait het hierbij om wie je bent, of soms ook wat je bent. Neem bijvoorbeeld phishing. Dat kan op twee manieren: de crimineel gebruikt een sleepnet en ziet dan wel wat hij vangt, of hij gebruikt een speer om precies dat ene visje te verschalken dat hij wil hebben. Bijvoorbeeld omdat hij weet dat die persoon bij het geld van het bedrijf kan en daardoor een mooi doelwit is om een mailtje ‘van de directeur’ te ontvangen, waarin staat dat hij onmiddellijk een mooi bedrag naar een bepaalde bankrekening moet overmaken. Deze vorm van phishing heet spearphishing; je begrijpt nu waarom.

Terug naar de reclamewereld. Er worden dus profielen gemaakt voor reclamedoeleinden, maar wie zegt dat die profielen alleen voor dat doel kunnen worden gebruikt? Stel, je beschikt over zo’n verzameling profielen. Je zou dan  een kaart kunnen maken waarop je alle toestellen in een bepaald gebied ziet. Je weet niet van wie ze zijn, je ziet alleen de advertentie-ID’s. Vervolgens zou je een van die ID’s eruit kunnen lichten en de vraag als het ware omdraaien: waar is dit toestel overal geweest? Dat levert misschien een beeld op van plaatsen waar het toestel vaak is. En dat biedt dan weer de mogelijkheid om te achterhalen waar iemand werkt én waar hij woont.

Voor de meesten van ons is dat geen bedreiging – daar zijn we niet interessant genoeg voor. Maar je zult maar een crimineel zijn en dus de politie achter je aan hebben. Door het gebruik van informatie, die eigenlijk is bedoeld voor het plaatsen van advertenties, kunnen ze misschien dicht bij je in de buurt komen. Helaas werkt het ook de andere kant op: je zult maar opsporingsambtenaar zijn en met het soort criminelen te maken hebben dat óók over dergelijke informatie kan beschikken. Weliswaar heb je daar ook gespecialiseerde software voor nodig. Nette bedrijven, die zoiets zouden kunnen maken, zouden een dergelijk product waarschijnlijk alleen leveren aan opsporingsdiensten. Helaas wordt de georganiseerde criminaliteit ook steeds slimmer en bovendien hebben ze geld zat om iets dergelijks te laten bouwen. Dat kan een serieuze dreiging zijn. In het kader van personeelszorg heeft de FIOD dan ook gevraagd om een blog over dit onderwerp. Maar natuurlijk kan het ook voor andere collega’s en voor mensen daarbuiten relevant zijn.

Je kunt hier vrij gemakkelijk iets aan doen. De advertentie-ID van je toestel kan namelijk worden uitgezet. Daardoor word je onzichtbaar op de kaart, en komt je toestel niet in beeld als iemand de vraag mocht stellen: welke toestellen zijn rond acht uur ‘s ochtends en vijf uur ‘s middags rond dit kantoorpand aanwezig? Advertentiebedrijven als Google en Meta zullen je erop wijzen dat je dan ‘minder relevante’ reclame te zien krijgt. So what! Die reclame voor kinderwagens schuif ik dan wel net zo gemakkelijk terzijde als reclame voor hardloopschoenen. En oh ja, als je tijdens je werk ook je privételefoon op zak hebt, dan wil je de advertentie-ID ook op dat toestel om zeep helpen. Hier staat compact beschreven hoe je dat doet in iOS/IpadOS en in Android. En in dit filmpje legt John Oliver (de Brits-Amerikaanse Arjen Lubach) nog eens uit hoe het verhandelen van jouw gegevens in z’n werk gaat. Het hele filmpje is interessant; spoel door naar 10:10 als je alleen het stuk over telefoonlocatie wilt zien.

Bovenstaande tips zijn natuurlijk alleen bedoeld voor mensen aan de goede kant van de wet. Voor criminelen is het juist aan te raden om de tips niet op te volgen, want dat zou allerlei nare consequenties kunnen hebben.

En in de grote boze buitenwereld …

• loopt Amerika voorop met het reguleren van AI.
• investeert Nederland in een eigen AI-taalmodel.
• lees je hier alles wat je nodig hebt voor een businesscase voor IAM-programma’s.
• is de CISO van SolarWinds aangeklaagd wegens fraude.
• hebben tientallen regeringen plechtig beloofd om nooit toe te geven aan ransomware-eisen.
• lees je hier de complete verklaring. Ook Nederland doet mee.
• is betalen wel vaak de gemakkelijkste oplossing bij een ransomware-aanval.
• helpen overheidssancties (een beetje) tegen ransomware.
• is een bedrijf als Boeing ongetwijfeld een vette vis voor ransomwarecriminelen.
• is de overstap naar post-quantum cryptografie voor veel organisaties helemaal niet zo moeilijk.
• heeft de rechter een Amersfoorter veroordeeld voor het maken en verspreiden van een deepfakevideo.
• wordt een botnet soms door anderen dan de politie om zeep geholpen.

 

 

Helpdeskfraude

 

Afbeelding via Pixabay

Noodkreet vanuit het publiek: “Help, ik ben erin getuind!” In zo’n geval spits ik beide oren: het linker luistert om te horen hoe ik kan helpen, het rechter of er misschien een verhaal in zit waar anderen ook iets aan hebben. Beide oren kwamen aan hun trekken. In dit geval vroeg de persoon in kwestie (laten we hem Bert noemen) zelf al of ik daar een blog over wilde schrijven, en anders had ik wel gevraagd of dat mocht.

De situatie was als volgt. Bert had thuis een oude, trage pc waarop hij de nieuwe versie van zijn virusscanner wilde installeren. Dat schoot maar niet op. Daarom wilde hij op de site van de leverancier gaan kijken of daar misschien een oplossing stond. Hij googelde de naam van z’n virusscanner, klikte op het bovenste resultaat en kwam op de gevraagde site terecht. Kort daarna popte er een chat op: we constateren een probleem op uw computer en we willen u graag helpen.

Ja graag, antwoordde Bert; hij was immers op die site omdat hij inderdaad een probleem had. Om geholpen te kunnen worden, moest hij wel even een programmaatje installeren (GoToAssist) om de vriendelijke helper mee te laten kijken op Berts computer. Dat deed Bert. Met zo’n meekijkprogramma (remote support) kun je de helper vaak ook de mogelijkheid geven om de computer over te nemen, zodat hij dingen kan doen; je kent dat vast wel van je werk. Even later rolde de mappenstructuur van Berts computer over het scherm, en plotseling kleurde er van alles rood. Ojee! Er waren een paar duizend Trojaanse paarden gevonden!

Een Trojaans paard is een bepaald soort computervirus. Terecht vroeg Bert waarom die niet door zijn virusscanner waren onderschept. Dat komt, antwoordde de helpdeskmedewerker, omdat de standaard scanner van het bedrijf helemaal geen Trojaanse paarden ziet. Maar gelukkig kon zij Bert een extra programma aanbieden dat dat wél kon. Hij kon kiezen tussen abonnementen voor 1, 2 of 5 jaar, voor slechts een paar honderd euro.

Op dit punt aanbeland – ongeveer een half uur na aanvang van de chat – voelde Bert nattigheid. Hij vroeg aan de helpdesker hoe hij er zeker van kon zijn dat hij echt met iemand van het antivirusbedrijf aan het chatten was. Daar kwam geen duidelijk antwoord op, waarna Bert de verbinding verbrak en, op advies van zijn zus, die hij inmiddels aan de telefoon had, de netwerkkabel uit de pc trok.

Wat is hier allemaal gebeurd? Om te beginnen was Bert helemaal niet op de echte site van zijn leverancier terechtgekomen. Criminelen bouwen websites na en zorgen ervoor dat ze bovenaan in de zoekresultaten terechtkomen. Bijna niemand kijkt nauwkeurig naar het adres (de URL) bij een zoekresultaat, dus als er staat dat je naar virusscanner.com gaat, dan zie je gemakkelijk over het hoofd dat je in werkelijkheid naar viruscanner.com gaat. Toen Bert op de valse site terechtkwam, startte de crimineel een chat en verleidde hij Bert om dat remote support-programma te installeren. Eenmaal binnen toverde hij wat vensters op het scherm, liet regels rood worden en zette een valse melding over Trojaanse paarden op het scherm. Zijn doel was om Bert bang te maken en hem ertoe te verleiden een ‘oplossing’ te kopen.

Dat de virusscanner van Bert geen Trojaanse paarden zou herkennen, is onzin. Dat zijn computer een hele manege zou herbergen, eveneens. Maar intussen zit Bert wel met een naar gevoel in zijn maag. Wat heeft die crimineel allemaal gedaan? Heeft hij misschien bestanden gestolen? Foto’s en andere belangrijke bestanden bewaart Bert op een externe harde schijf, die hij gelukkig al aan het begin van de chat afkoppelde.

Ik heb een aantal scenario’s besproken met Bert. Misschien heeft de crimineel het e-mailadresboek van Bert gekopieerd, om zich met de nodige voorkennis bij contacten van Bert te kunnen presenteren of misschien zelfs om zich als Bert voor te doen. Bert heeft er verstandig aan gedaan om meteen na het voorval zijn naaste contacten hierover in te lichten en hen in te prenten dat ze alert moeten zijn op vreemde berichten. Een andere mogelijkheid is dat de crimineel foto’s en documenten wilde kopiëren om Bert vervolgens te dreigen met publicatie. Die bestanden stonden gelukkig onbereikbaar op de afgekoppelde externe schijf. Maar het meest waarschijnlijke scenario is voor mij toch dat de crimineel er alleen op uit was om Bert te laten betalen voor de aangeboden Trojaanse paarden-killer. Daar hing een fors prijskaartje aan en het is de gemakkelijkste manier om aan geld te komen. De andere scenario’s vergen meer van de crimineel.

Het is begrijpelijk dat Bert er toch niet helemaal gerust op is. Ik heb hem geadviseerd om eerst maar eens zijn oude virusscanner te draaien op de van het internet afgekoppelde pc. Stap twee is om de pc aan te sluiten en een gratis online virusscan te laten doen (googel op ‘online virus scan’). Als dat allemaal negatief is, kan Bert ook nog zijn harde schijf aankoppelen en daar dezelfde exercitie op doen. Tenslotte heb ik nog de suggestie gedaan om een andere zoekmachine dan Google te gebruiken, bijvoorbeeld Startpage of DuckDuckGo. Maar dat is eerlijk gezegd vooral uit privacyoverwegingen. Welke je ook gebruikt: ik geef er zelf de voorkeur aan om niet op de gesponsorde zoekresultaten te klikken, maar even door te scrollen naar de webresultaten. Succes, Bert!

 

En in de grote boze buitenwereld …

• kan een app levens verwoesten.
• legt de kat van Brenno uit dat je zelfbeeld er niet toe doet.
• kan Brenno z’n katten maar beter weghouden bij het toetsenbord.
• heeft de Spaanse politie een flinke slag geslagen tegen de georganiseerde cybercriminaliteit.
• geeft de Amerikaanse overheid adviezen over phishing-preventie.
• betaalt Google nu ook een premie voor het melden van kwetsbaarheden in kunstmatige intelligentie.
• was het Internationale Gerechtshof doelwit van cyberspionage.
• begrijpt zelfs de baas van Google niet hoe zijn privacy-instellingen werken.
• heeft de Nigeriaanse politie een cybercrime-recruteringsorganisatie ontmanteld.

 

Virtueel geweld

 

Afbeelding via Pixabay

Een conferentie is geslaagd als je in tenminste één bijdrage iets hebt gehoord waar je nog niet eerder bij hebt stilgestaan. Naarmate je langer in het vak zit wordt dat steeds moeilijker, maar de ONE Conference is er toch weer in geslaagd om mij zo’n moment te bezorgen. Niet over een onderwerp waar direct mijn interesse ligt, maar bij het kiezen van mijn parallelsessies probeer ik een gezonde mix te maken van bijdragen die nú voor mij interessant zijn, die me leuk/onderhoudend lijken, en waarvan ik denk: hé, waar zou dat over gaan? Een waarschuwing vooraf: dit wordt geen lichtvoetige blog. De bijdrage, waar ik op doel, ging namelijk over geweld in de virtuele wereld, en dat dit geweld zelfs tot de werkelijke wereld kan doordringen.

Je hebt slechts een tv nodig om de realiteit te ontvluchten, al word je daar meestal niet echt in een fantasiewereld ondergedompeld. In de bioscoop wordt het al realistischer, zeker als je naar een 3D-film (of eentje met nog meer dimensies) zit te kijken. De virtuele wereld waar deze presentatie over ging, gaat echter een aantal stappen verder: je draagt een virtual reality headset en je draagt misschien wel een pak vol sensoren en actuatoren, waardoor de computer jou voelt en jou ook dingen kan laten voelen.

Over dat soort virtuele werkelijkheid (een contradictio in terminis?) ging het. En dan dus over geweld in zo’n omgeving. Het doden van mensen in films en games is min of meer maatschappelijk geaccepteerd: reeds in de westerns van mijn jeugd werden de nodige cowboys en indianen van hun paard geschoten. Computergames, waarin je flink om je heen moet schieten om je doel te bereiken, zijn ook al lang populair; al in de jaren negentig hadden we Wolfenstein 3D, waarin ik heel wat nazi’s heb neergeknald en het bloed van de muren droop. Die games zijn alleen maar ‘beter’ geworden en er is al vaak een link gelegd tussen gewelddadige computerspellen en spelers die vervolgens in het echt ook heel verkeerde dingen gingen doen. Ik ga die discussie hier niet overdoen.

De focus in de presentatie van Anne-Sophie Fritschij en Vien Germawi lag op verkrachting. In een kunstmatige, maar dermate immersieve wereld zoals hierboven geschetst, kan verkrachting een effect op het slachtoffer hebben dat vergelijkbaar is met fysieke verkrachting, zo legden ze uit. In die uitgebreide virtuele wereld speelt haptische feedback namelijk een belangrijke rol – het is niet alleen horen en kijken, maar ook voelen; je wordt bijna letterlijk ondergedompeld in die andere werkelijkheid. Naar verluidt neemt het aantal  gevallen van seksueel misbruik in het metaverse, zoals deze schaduwwereld wel wordt aangeduid, schrikbarend toe. Er is zelfs een game die om verkrachting draait (en ik vind het niet nodig om de naam daarvan te noemen).

Uit de vergelijking die de dames maakten tussen virtuele moord en verkrachting kwam een duidelijk verschil naar voren, zowel in ervaring als in gevolgen. We doen niet moeilijk over moord in een spelletje, maar verkrachting vinden we moreel verwerpelijk. Een belangrijk verschil kwam overigens niet aan de orde: bij moord in een spelletje wordt er niet echt iemand vermoord, terwijl met de huidige technologie een verkrachting op afstand – of in ieder geval de sensatie daarvan – kennelijk wel tot de mogelijkheden behoort. En dat kan dan weer levenslang psychologische gevolgen voor het slachtoffer hebben, aldus de sprekers.

In een eerdere Security (b)log schreef ik al over het metaverse, met een citaat van Winn Schwartau: “We are digitally terraforming the future cognitive infrastructure. We have ONE chance to get it right.” Schwartau schetste een paar maanden geleden een niet bepaald rooskleurig beeld van het metaverse. De presentatie van Fritschij en Germawi vult dat beeld aan met nog meer donkere tinten.

Aldous Huxley schreef in 1932 Brave new world. Ik las het boek een halve eeuw later, en vorig jaar zag ik enkele afleveringen van een tv-serie op basis van deze beroemde roman. Huxley beschrijft daarin een bioscoop waarin je naar een feely kunt gaan: een film met niet alleen 3D beeld en geluid, maar ook gevoel (door twee handvatten op je stoelleuningen beet te pakken). Als in zo’n feely een seksscène voorkomt, gaat de ervaring van de kijker heel ver. Huxleys fantasie van bijna een eeuw geleden lijkt werkelijkheid te worden. Of moet ik zeggen: dreigt werkelijkheid te worden? Laten we ons de oproep van Schwartau ter harte nemen.

De komende twee weken verschijnt er (mogelijk) geen Security (b)log.

 

En in de grote boze buitenwereld …

• heeft het Rode Kruis oorlogsregels opgesteld voor burgerhackers.
• begon een aanval op een Spaans luchtvaartbedrijf met een valse recruiter op LinkedIn.
• worden deepfakes van bekende mensen gebruikt om jou te bedriegen.
• is de top-10 van configuratiefouten van de Amerikaanse overheid niet heel verrassend.
• is het geen goed idee om een wachtwoord in een applicatie mee te programmeren.
• heeft de conferentie een flinke aanslag op mijn agenda gepleegd, waardoor ik geen tijd heb om hier nog meer links op te nemen.

 

Creatieve oplossingen

 

Afbeelding via Pixabay

Professor Barabas was zo vriendelijk om zijn teletijdmachine aan mij uit te lenen. Ik neem je mee naar de jaren negentig van de vorige eeuw en we landen op het Walterboscomplex in Apeldoorn, destijds de enige locatie in deze plaats waar wij kantoor hielden. De beide hoge torens waren er nog niet, en de ondergrondse gangen evenmin – als je van het ene gebouw naar het andere wilde, dan moest je buitenom.

Het bedrijfsrestaurant, dat toen nog gewoon kantine mocht heten, stond op de plek waar nu toren H staat, naast gebouw G. De kantine had een tegelvloer en een schrootjesplafond; de schrootjes zaten een centimeter uit elkaar en daarboven zat zwart doek. Op een zeker moment werd dat plafond vervangen door een strak, gesloten plafond. Het zag er fris uit, maar had een vervelende bijwerking: de akoestiek van de kantine was enorm verslechterd. In de oude situatie werd het geluid deels geabsorbeerd door het open plafond, nu werd alles weerkaatst. De kantine was erg rumoerig geworden en dat was bepaald niet prettig.

Een tijdje later werd de vloer voorzien van tapijttegels. Ik weet eigenlijk niet of dat een akoestische maatregel was of dat deze aanpassing sowieso in de planning zat, maar ik heb altijd het vermoeden gehad dat men hiermee de aangerichte schade wilde compenseren. Het probleem, dat werd veroorzaakt door de aanpassing van het plafond, werd op de vloer opgelost. En het werkte. Alleen: hoe handig is dat, tapijttegels in een kantine? Gemorste tomatensoep op een tegelvloer is geen probleem. Op tapijt wordt het een lelijke vlek.

Terug naar het recente verleden. Afgelopen zomer was het soms erg warm. Zo warm, dat de apparatuur in een technische ruimte op onze verdieping het erg benauwd kreeg. Dergelijke ruimtes zijn voorzien van extra toegangsbeveiliging – alleen met de juiste autorisatie op je pas kun je de deur openen. Maar omdat smeltende apparatuur ook niet zo’n goed idee was, had men een mobiele airco laten aanrukken en die in de deuropening gezet. De warme lucht uit de technische ruimte werd de kantoorruimte ingeblazen. Probleem opgelost. Toch?

Aanhangers van out-of-the-boxdenken vinden die tapijttegels en die airco misschien geweldig. Ikzelf neig er toch meer naar om problemen daar op te lossen waar ze ontstaan. Slechte akoestiek door een gesloten plafond? Doe iets aan het plafond. Oververhitte technische ruimte? Zorg voor koeling in die ruimte. Zeker als een outside-the-boxoplossing (dat schijnt beter Engels te zijn) vervelende bijwerkingen heeft, zoals een vlekkerige vloer in de kantine. Of wat dacht je van het doorbreken van de beveiliging van een technische ruimte, in combinatie met het nog wat verder opstoken van een kantoorruimte waarin het toch al behoorlijk warm was?

Als de ideale oplossing niet snel beschikbaar is, dan snap ik dat voor een alternatief wordt gekozen. Maar als je daarmee nieuwe risico’s introduceert, dan moet je daar compenserende maatregelen tegenoverstellen. Ooit, op dat oude Walterboscomplex, werd het ook een keer te heet. Toen werden de deuren van het rekencentrum opengezet, en bij iedere deur werd een beveiliger neergezet. Bij de open deur op onze etage zat niemand. Dat ze dat nou net moesten doen op de plek waar het securityteam zit…

Soms ontkom je er niet aan om problemen ergens anders dan bij de bron op te lossen. Stel, jouw organisatie wil gegevens in de cloud zetten. Maar omdat dat toch de computer van iemand anders is, zie je ongeautoriseerde toegang tot jouw gegevens als risico, onder andere door die fijne Amerikaanse wetgeving én het feit dat je bijna per definitie zaken doet met de VS als je naar de cloud gaat. Dan kun je maar één ding doen: je gegevens zodanig beschermen, dat iemand die er de hand op weet te leggen er niks aan heeft. Versleutelen dus, en wel zodanig dat niemand behalve jouw organisatie de sleutel heeft. Als de cloudleverancier de sleutel niet heeft, kan hij hem ook niet afgeven, al wordt een overheid of opsporingsdienst nog zo boos.

Zelf je sleutel beheren maakt de zaak een stuk complexer en dan krijg je ook nog eens minder waar voor je geld, omdat de cloudleverancier bepaalde functionaliteit niet kan leveren, doordat hij de gegevens niet kan lezen (te denken valt aan allerlei statistieken die best interessant zouden kunnen zijn voor jouw organisatie). Als je het allemaal zelf doet en minder functies krijgt, zal dat wel in de prijs schelen, hoor ik je denken. Klopt, maar dan precies de verkeerde kant op: het wordt schrikbarend duurder, hebben we in een recente aanbesteding ervaren.

Nog even over dat Walterbos. Dat schrijf je dus zo. En niet Walter Bos, of zelfs (echt gezien!) Wouter Bos (voormalig staatssecretaris en later minister van Financiën). Meneer Walter was notaris te Apeldoorn en liet een bos aanleggen. Dat werd dus het Walterbos. De naastgelegen school hanteert de spelling Walterbosch, maar wij stoppen bij de s.

Mogelijk verschijnen er de komende weken geen of minder Security (b)logs in verband met een conferentie en vrije dagen/vakantie.

En in de grote boze buitenwereld …

• doen de grote cloudleveranciers onder politieke druk meer aan security.
• heeft Apple stiekem jouw privacy-instellingen aangepast.
• kun je niet alles zorgeloos verspreiden wat ChatGPT je influistert.
• moeten beleidsmakers misschien eens op dienstreis naar China, om daar te leren hoe we niet met biometrie willen omgaan.
• geeft Facebook toe aan de druk van regeringen en ziet desinformatie door de vingers.
• heeft (uitgerekend) TikTok een desinformatienetwerk blootgelegd.
• doet datzelfde TikTok niets tegen een account dat willekeurige mensen doxt.
• zijn bezorgrobots ook heel handig voor de politie, want ze filmen hun omgeving non-stop.
• toont Bing Chat giftige advertenties.
• is een zero day-kwetsbaarheid een dringende aanleiding om je software te updaten.
• zijn sommige zero day’s erg veel geld waard.
• bepleiten sommige Europese landen het toestaan van spyware op telefoons van journalisten.
• moet je als cybercrimineel natuurlijk wel je eigen informatiebeveiliging op orde hebben.
• heeft de Oekraïense overheid een rapport over de cybertactiek van Rusland gepubliceerd.