Grote getallen

 

Afbeelding via Pixabay

Ik ben dol op cijfers. Mijn horloge toont mijn hartslag en hoe hard ik ren, de fietscomputer weet waar en hoe hard ik ga en het weerstation toont niet alleen de binnen- en buitentemperatuur, maar ook luchtdruk, neerslaghoeveelheid, luchtvochtigheid en windkracht. In Excel-sheets houd ik mijn sportieve en financiële prestaties bij. Ter geruststelling: ik laat mij niet regeren door al deze cijfers (behalve de financiën dan); de cijfers zijn er voor mij – niet andersom.

Soms krijg je cijfers voorgeschoteld waar je van schrikt. Zo heb ik sinds een poosje een tracker blocker op mijn telefoon draaien. Als een willekeurige app of website een poging doet om mijn gegevens te verzamelen, dan blokkeert deze app dat. Terwijl mijn telefoon hier ligt en ik er niets mee doe, zie ik de teller van het aantal geblokkeerde trackingpogingen in de laatste zeven dagen oplopen. Het zijn er op dit moment 63.849 en ze zijn afkomstig van 31 apps. Snap je wat ik bedoel met schrikken? Inmiddels zijn het er trouwens al 63.855. Terwijl ik dus niks doe hè.

Wat me nog meer verontrust, is het lijstje van apps dat me probeert te tracken. De Ziggo GO-app is daarbij een van de drukste apps die iets van mij willen weten. Hij heeft tot nu toe 1.409 pogingen gedaan – en dat is alleen al voor vandaag (het is net negen uur ’s ochtends geweest). Het punt is alleen: ik gebruik die app vrijwel nooit, en zeker in de laatste week heb ik hem niet gebruikt. Als ik doorklik, dan zie ik dat al die pogingen in de Ziggo-app afkomstig zijn van Adobe. Je weet wel, dat bedrijf van pdf-bestanden en Photoshop. Maar daarnaast zijn ze ook actief op het vlak van mobile app analytics. Zelf leggen ze als volgt uit wat ze doen: “Adobe Analytics levert uitvoerige analytics voor mobiel, web en apps, plus ongekende visualisatie- en rapportagemogelijkheden, zodat productteams snel en eenvoudig voor optimale interesse op mobiele apparaten kunnen zorgen. Of het nu gaat om het verbeteren van de retentie of het verhogen van de conversie, wij bieden de voorspellende inzichten die je helpen om maximaal rendement op je mobiele investeringen te halen.”

Ziggo maakt dus gebruik van de diensten van Adobe om z’n klanten te tracken. Maar wat houdt dat tracken dan allemaal in? Ik zie een lijst van twintig items die ze graag zouden willen zien. Bijvoorbeeld mijn e-mailadres, postcode, GPS-coördinaten, allerlei informatie over mijn telefoon en zelfs de oriëntatie van de telefoon (staand of liggend). Nog zo’n app die ik amper gebruik is Reddit, en die app heeft, via de diensten van Branch Metrics, vandaag al 431 pogingen op z’n naam. En mijn agenda-app DigiCal, die ik wél vaak gebruik, heeft “slechts” 243 pogingen gedaan, maar maakt daarbij wel gebruik van de diensten van twee bedrijven: Google en Facebook. Ik heb zelf geen Facebook-account, maar Facebook heeft wel een account óver mij. Ze willen maar liefst 31 items tracken, waaronder het geluidsvolume, mijn geslacht, hoeveel geheugen mijn telefoon heeft, versnellingsmetergegevens (kennelijk willen ze zien of ik onderweg ben) en waar ik ben. Google wil daarnaast ook nog weten hoe vol m’n batterij is. Zo kan ik nog wel even doorgaan. Nu.nl gebruikt maar liefst vier trackers, die allemaal grotendeels dezelfde informatie vragen. PostNL bestookt me met drie trackers en die zijn net zo druk als Ziggo.

En waarom dit alles? Adobe verklapte het al: via advertenties is veel geld te verdienen, en hoe gerichter de advertentie, hoe groter de respons. Je moet mij niet bestoken met advertenties voor luiers, maar voor gadgets. En om te weten wat ik leuk vind, heb je een zo uitgebreid mogelijk profiel van mij nodig.

Op mijn telefoon worden al deze trackingpogingen geblokkeerd door een functie in mijn browser, de DuckDuckGo Private Browser. DuckDuckGo is al bekend als privacyvriendelijke zoekmachine, maar ze hebben dus ook op zowel Android als iOS een eigen browser. De bescherming tegen app-trackers verkeert nog in de testfase. Overigens heeft de browser zelf ook nog wel een paar nukken en dat maakt hem op dit moment minder geschikt voor bijna-digibeten (echte digibeten hebben geen smartphone). Er zijn talrijke andere blockers beschikbaar. Zoals bij alle apps het geval is, moet je uitkijken dat je geen Trojaans paard binnenhaalt: een app die belooft om je privacy te beschermen en vervolgens zelf het grootste lek vormt wil je niet hebben. Ik kijk daarvoor altijd even naar het aantal downloads en de recensies.

Onlangs blokkeerden trekkers onze snelwegen en vonden politiek en politie het kennelijk moeilijk om daar tegen op te treden. Op de digitale snelweg heb jij als gebruiker de mogelijkheid om trackers te blokkeren. Mijn weekteller staat inmiddels op 64.159 en het voelt goed om al deze pogingen geblokkeerd te hebben.

 

En in de grote boze buitenwereld …

• moeten we ons niet blind staren op TikTok, want ook andere apps willen ons tracken.
• mogen Franse ambtenaren helemaal geen ‘recreatieve apps’ meer op hun werktelefoon hebben.
• koopt de FBI tracking-gegevens gewoon bij een bedrijf.
• geven de gelekte Vulkan-files inzicht in de cyberoorlogplannen van Rusland.
• lees je in dit EU-rapport welke cyberdreigingen ons in 2030 te wachten staan.
• is het nooit verstandig om na een datalek te zwijgen.
• moet medische apparatuur nu ook eindelijk deugdelijk beveiligd zijn – althans, in de VS.
• steelt een nep-Tor-browser je bitcoins.
• heeft de Britse politie nepsites opgezet om cybercriminelen te vangen.

Spelletje spelen?

 

Afbeelding via Pixabay

“Laten we een spelletje spelen.” Het jaar was 1983, ik was eerstejaars informaticastudent en de film War Games voelde als vakliteratuur: we moesten wel naar deze film over het hacken van de computer van het Pentagon die de Amerikaanse kernbommen aanstuurt.

<spoiler alert>

In de film weet een jeugdige hacker avant la lettre via zijn modem (waar je destijds de telefoonhoorn in moest drukken) contact te leggen met die Pentagoncomputer – niet doelbewust, maar gewoon door zijn modem willekeurige nummers te laten bellen. Zonder het te willen staat hij op het punt om een nucleaire oorlog te ontketenen, mede doordat de computer het voorgeprogrammeerde pad volgt. De hacker gaat naarstig op zoek naar een manier om de computer te stoppen. Uiteindelijk lukt dat met een potje boter, kaas en eieren: de computer ziet in dat je dat spel, evenals een nucleaire oorlog, niet kunt winnen. Op het nippertje een happy end.

</spoiler alert>

Een simpel spelletje was dus geschikt om een computer iets te leren. Het is ook algemeen bekend dat mensen spelenderwijs goed leren. Het zal je dan ook niet verbazen dat spelletjes ook worden gebruikt om mensen iets te leren over informatiebeveiliging. Al in de vroege jaren negentig hadden we zo’n spel laten ontwikkelen. Het stond op een 3,5 inch floppy en zat in een CD-doosje – dat was toen heel hip. Je liet een mannetje door een gebouw lopen om daar allerlei misstanden aan het licht te brengen. Ik herinner me nog dat wanneer je op de prullenbak klikte, daar een achteloos weggegooid vertrouwelijk document in bleek te zitten. Het spel was vermakelijk, grafisch (zij het 2D) maar vooral ook leerzaam.

Tegenwoordig hebben we ook weer een spel om het beveiligingsbewustzijn van onze medewerker een boost te geven: de Online Security Awareness Game (OSAG). Nu ben ik al lang geen gamer meer, maar om één ding kun je niet heen: dit is geen game. Je moet kaartjes, waar stellingen of feiten op staan, naar de juiste plek op het scherm slepen. Vervolgens krijg je de status van Rijksbeschermer. Dat zijn de enige speelse elementen. Dus, beste makers, wijzig de naam asjeblieft in Online Security Awareness Programma (OSAP) of zo. Zo, dat moest ik even kwijt.

Los daarvan hoor ik best wel positieve geluiden over OSAG. Dat heeft misschien wel te maken met de fasering ervan: eerst hadden we level brons en een tijdje later zilver. Het verschijnen van zilver was een trigger om weer opnieuw aandacht aan je informatiebeveiligingsbewustzijn te schenken. Weer even een stapeltje vragen door en testen hoe goed je op de hoogte bent. Elk level is ook weer in een aantal stappen verdeeld, zodat je de stof, die je voorafgaand aan een setje vragen gepresenteerd krijgt, in prettige porties kunt verorberen.

In level brons leer je bijvoorbeeld over de vertrouwelijkheid van gegevens, de AVG, datalekken en informatiebeveiligingsincidenten. Maar ook phishing, wachtwoordhygiëne en fysieke veiligheid komen aan bod. Level zilver completeert de basiskennis met onderwerpen als het melden van incidenten, specifieke AVG-onderwerpen en tweefactorauthenticatie. Daar horen vragen bij als: wat betekent het ‘verwerken’ van gegevens (bijwerken/opslaan/versturen/wissen/alles), is het getoonde voorbeeld phishing of legitieme mail, is het erg als iemand in de trein openbare informatie van je laptopscherm kan aflezen?

De aanduidingen ‘brons’ en ‘zilver’ doen vermoeden dat er ook een level goud zou kunnen zijn. En jawel hoor, beste collega: als je dit op vrijdag leest, dan moet je nog even een weekend lang iets anders doen. Lees je dit na het weekend, dan kun je – als het goed is – meteen aan de slag met level goud! Dat gaat onder andere over toegangsrechten, fysieke beveiliging en de AVG (je ziet hoe privacy voor ons is!).

Werk je niet bij ons? Ach, ook jouw organisatie besteed vast wel op de een of andere wijze aandacht aan informatiebeveiliging. Ga ernaar op zoek of vraag ernaar.

 

En in de grote boze buitenwereld …

• mogen nu ook Nederlandse rijksambtenaren niet meer tiktokken op hun werktelefoon.
• lost een verbod op TikTok het probleem niet op.
• kunnen trackers worden gebruikt om iemand te stalken.
• is een ChatGPT-clone van de Stanford-universiteit offline gehaald omdat hij hallucineerde.
• blogt het Britse NCSC over ChatGPT.
• genereert kunstmatige intelligentie ook desinformatie.
• bewaart het knipprogramma van Windows de weggeknipte stukken.
• verliest DigiD zijn monopolie met de invoering van de Wet digitale overheid.
• verwacht ENISA ransomware-aanvallen op de transportsector.
• gaat een commissie de algoritmes, die worden gebruikt bij het ministerie van Financiën, de Belastingdienst, de Douane en de Dienst Toeslagen toetsen op privacy en ethiek.
• stoort de Chinese marine communicatie- en navigatiesystemen van passagiersvliegtuigen.
• bepleit dit (Amerikaanse) artikel terughoudendheid bij het verzamelen van gegevens voor monitoringdoeleinden.

 

Verantwoordelijkheid

 

Afbeelding via Pixabay

“Ja agent, dit is inderdaad mijn auto, maar dat mijn achterlicht niet werkt is toch echt een fout van de garage. Die hebben ‘m een maand geleden nog helemaal nagekeken!” De meeste redelijke mensen zullen snappen dat ze daar niet mee wegkomen. Die auto is van jou en je bent zelf verantwoordelijk voor de goede werking van alle wettelijk voorgeschreven voorzieningen. Basta.

“Informatiebeveiliging begint met een i, dan is ICT daar dus de eigenaar van!”  Dat heeft dus écht iemand gezegd. Zie je de parallellen met de vorige alinea? In beide gevallen is er sprake van iemand die zich óf onder zijn verantwoordelijkheid uit wil bluffen, of van iemand die niet weet hoe de vork in de steel zit. In beide gevallen is het de hoogste tijd om de besteklade op orde te krijgen.

Ik weet eigenlijk niet zo goed waar dat woord ‘eigenaarschap’ vandaan komt. Is het ICT-jargon? Is het een soort van eufemisme voor ‘verantwoordelijkheid’? Dat is in ieder geval wel de betekenis die het voor mij heeft: als je ergens eigenaar van bent, dan ben je ervoor verantwoordelijk. En onder die verantwoordelijkheid valt – uiteraard – ook de beveiliging van het desbetreffende ding. We kennen gegevenseigenaren, systeemeigenaren, risico-eigenaren, ja zelfs ons intranet heeft een product owner; je kunt het zo gek niet verzinnen of je kunt iemand ergens eigenaar van maken. Overigens gaat het eigenaarschap dan weer niet zo ver dat je het ding waar je zakelijk gezien eigenaar van bent mee naar huis mag nemen – je bent eigenaar, maar het is niet je eigendom. Heel ingewikkeld allemaal.

Het heeft jaren geduurd voordat het eigenaarschap van gegevens goed was belegd. Als een hete aardappel werd het doorgeschoven. Het woord eigenaar heeft vaak een positieve gevoelswaarde, het woord verantwoordelijkheid impliceert daarentegen een zware last. Zeker als het om het soort gegevens gaat waar wij mee te maken hebben. Maar uiteindelijk kwam het toch goed en worden er nog steeds vorderingen gemaakt op het gebied van verantwoord omgaan met gegevens. Sinds vorig jaar hebben we zelfs datastewards. Dat zijn collega’s die toezien op de juiste omgang met gegevens.

Terug naar het citaat in de tweede alinea. Ik weet niet wie dat heeft gezegd, maar het getuigt van weinig zicht op hoe de hazen lopen. Maar als je het misschien grappig bedoelde eerste gedeelte, “informatiebeveiliging begint met een i”, weglaat, dan blijft iets over wat lange tijd een best wel gangbare opvatting is geweest: de ICT-afdeling is verantwoordelijk voor informatiebeveiliging. En nog steeds zullen er organisaties zijn die zo zijn ingericht, of – erger nog – waarbij het impliciet zo werkt. Dat is erger omdat de verantwoordelijkheden dan niet belegd zijn, maar iedereen er stilzwijgend van uitgaat dat ICT ´er van is’. Maar zelfs als het expliciet zo is ingericht, is het niet goed. Waarom? Zie de eerste alinea. Net zo min als de garage verantwoordelijk is voor de juiste werking van jouw achterlicht, kan de ICT-afdeling verantwoordelijk zijn voor de beveiliging van de systemen van een organisatie. ICT is slechts adviserend, uitvoerend en handhavend: we helpen de business vanuit onze specifieke kennis met het bepalen van de spelregels, we implementeren die regels en zien – namens de business – toe op de naleving ervan.

Ook als je dieper de organisatie in duikt kom je een dergelijke structuur tegen. Ik werk bij de ICT-afdeling van onze organisatie, bij een team dat eindverantwoordelijk is voor de beveiliging van alles wat die ICT-afdeling doet. Het is belangrijk om de term ‘eindverantwoordelijk’ goed te begrijpen; dat is namelijk heel iets anders dan ‘verantwoordelijk’. Die laatste term hoort namelijk bij de managementlijn: iedere manager is verantwoordelijk voor de beveiliging van de spullen hij onder zijn hoede heeft. Vanuit onze eindverantwoordelijkheid zien wij erop toe dat de manager zijn verantwoordelijkheid waarmaakt en helpen we om die toestand te bereiken en te behouden. Daarbij moeten we ons allemaal goed voor ogen houden dat beveiliging geen product is, maar een proces. Met andere woorden: het is nooit af, maar het wordt wel steeds beter.

Gisteren zag ik een mooi, klein voorbeeld van eigenaarschap en verantwoordelijkheid nemen. Ik stond in een drukke trein, toen twee mannen hun zitplaatsen ter beschikking stelden. Ze werkten bij NS en kennelijk geldt daar de regel dat betalende reizigers meer recht op een zitplaats hebben dan personeel. Ze hadden ook kunnen denken: niemand weet dat we bij NS werken, we blijven lekker zitten. Maar dat deden ze niet. Het was ‘hun’ trein, maar ook (op dat moment) hun verantwoordelijkheid om reizigers te faciliteren. Keurig, heren!

 

En in de grote boze buitenwereld …

• is goede documentatie een randvoorwaarde voor verantwoordelijkheid.
• biedt de Active Directory van Microsoft soms ruimere toegang dan gewenst.
• promoveerde een in Den Haag opgepakte Russische spion tot hoofd van een beruchte hack-eenheid van de GRU.
• heeft techjournalist (en Wie is de mol-winnaar) Daniël Verlaan een interessante podcast over identiteitsfraude gemaakt.
• kan de Europese Cyber Resilience Act beter.
• gaat de cybercharlatan-saga voort.
• moet je Outlook even updaten, en wel nu meteen.
• gaf de Amsterdamse rechtbank Facebook een ferme privacy-uitbrander.
• tipte een collega mij over deze wat oude, maar voor iedereen nog steeds handige beveiligingstips voor journalisten.
• is je Samsung telefoon mogelijk kwetsbaar voor een aantal nog niet gepatchte kwetsbaarheden.
• blijft het zinvol om een virusscanner op je Android-telefoon te installeren.
• wordt ook Twitter gebruikt om mensen te bedriegen.
• zoekt de politie vrijwilligers in de strijd tegen cybercrime.

Bruggen, liedjes en autosleutels

 

De nieuwe brug - Afbeelding via Pixabay

Er was eens een brug, een hangbrug om precies te zijn. Ze was 1,6 km lang en daarmee op dat moment – we schrijven 1940 – de op twee na langste hangbrug ter wereld. Maar deze trotse brug werd niet ouder dan vier maanden. De wind kreeg er vat op, de brug begon te slingeren en stortte in.

Ik heb het over de Tacoma Narrows Bridge in de Amerikaanse staat Washington. Het natuurkundige fenomeen, dat tot de instorting van deze brug leidde, heet resonantie. Dat houdt – kort door de bocht – in dat een voorwerp, dat aan trillingen wordt blootgesteld, die trilling als het ware uit zichzelf versterkt. Je kent dat van rammeltjes in de auto, maar ook schommelen is een vorm van resonantie. Het waaide destijds in Tacoma, en de wind raakte de brug toevallig met diens eigenfrequentie (populair uitgedrukt is dat een frequentie waarbij een voorwerp zich happy voelt en vrolijk gaat meedoen: resoneren). Daardoor ging de brug meebewegen en uiteindelijk konden de materialen zoveel beweging niet aan en stortte de brug in. Zie Wikipedia voor meer informatie en het roemruchte filmpje van de instorting.

Bruggen zijn niet de enige dingen die kapot kunnen gaan door resonantie. Vorig jaar was er een nieuwsbericht over computers, die op mysterieuze wijze crashten. De ingrediënten van dat verhaal lijken aan fantasie ontsproten, maar de mensen die die brug zagen instorten, konden ook hun ogen niet geloven. Die fantastische ingrediënten zijn een oud type harde schijf en de hit Rhythm Nation van Janet Jackson uit 1989. Alle geluid – en dus ook muziek – bestaat uit trillingen, die zich voortplanten door een medium. Als ik tegen jouw praat, dan laten mijn stembanden de lucht (het medium) trillen, en jouw trommelvliezen vangen die trilling op. En laat het geluid van Rhythm Nation nu precies de eigenfrequentie van dat bepaalde type harde schijf te bevatten. Die harde schijf gaat dan resoneren en draait zichzelf kapot. De computer, waarin die harde schijf zit, doet dan ook niet meer zo veel.

Hierdoor is de bewuste muziekvideo officieel tot cybersecurity exploit verklaard. Een exploit is een manier waarop een aanvaller een kwetsbaarheid in een systeem kan misbruiken. De kwetsbaarheid is hier de gevoeligheid voor resonantie, de exploit is het afspelen van Rhythm Nation. En dat hoeft dan niet eens op dezelfde laptop te gebeuren: ook andere laptops in de buurt kunnen hierdoor het loodje leggen. Het is overigens niet heel waarschijnlijk dat iemand jouw computer op deze manier gaat aanvallen. Het gaat zoals gezegd om oude types harde schijven (5400 toeren), en de computers die je gebruikt bevatten hoogstwaarschijnlijk niet eens meer een harde schijf maar SSD-geheugen (en  voor het gemak blijven we dit geheugen zonder bewegende delen nog gewoon harde schijf noemen).

Daar sta je dan met je lijstjes van standaard dreigingen, die je tijdens een risicoanalyse hanteert. Beide cases hebben gemeen dat het gevaar uit onverwachte hoek kwam. Tja, die brug, dat had je misschien nog, in ieder geval met de kennis van nu, kunnen berekenen. Maar dat een liedje van mevrouw Jackson een harde schijf kan laten crashen, dat verzin je gewoon niet. En ik kan me ook bijna – bijna – niet voorstellen dat een aanvaller ooit op zoek is gegaan naar een dergelijke methode om een computer de vernieling in te helpen.

Waar in ieder geval wél onderzoek naar wordt gedaan, is hoe aan zogeheten air gapped computers informatie kan worden ontfutselt. Een air gapped computer is er eentje die niet met een netwerk is verbonden. Het ‘luchtgat’ kan ook betrekking hebben op een netwerk; dan is er dus wel een netwerk, maar dat is dan op zijn beurt niet verbonden met andere, onveilig geachte netwerken. Op deze wijze wordt een situatie gecreëerd waarin de gegevens veilig en exclusief in de eigen omgeving staan. Maar er zijn dus slimmeriken die op zoek gaan naar mogelijkheden om tóch informatie uit dergelijke systemen te peuteren. Ik herinner me dat in het verleden bijvoorbeeld is gekeken naar het knipperen van het lampje van de netwerkkaart. Een klassieker is het ‘afluisteren’ van de elektromagnetische straling die door alle elektronische schakelingen wordt uitgezonden. Maatregelen daartegen vallen onder de omineuze noemer tempest.

Dergelijke aanvallen zijn doorgaans gericht op doelwitten met een hoge waarde voor de aanvaller. Als gewone particulier hoef je er niet bang voor te zijn. Waar je, in het verlengde hiervan, wél mee te maken zou kunnen krijgen, is autodiefstal. Dieven luisteren het signaal van je moderne autosleutel af – zo’n sleutel die je niet in het slot hoeft te steken om je auto te ontgrendelen en te starten. Ik bewaar daarom mijn autosleutels al jaren in een gesloten blikje. Dat werkt als een kooi van Faraday: een constructie die elektromagnetische straling tegenhoudt. Zit ik echter op een terrasje, dan kan mijn sleutel alsnog worden afgeluisterd en kan het signaal met bepaalde apparatuur ‘verlengd’ worden naar mijn auto. Er zijn speciale sleutelhoesjes op de markt, die beloven eveneens als een kooi van Faraday te werken. Alleen moet je dan natuurlijk alsnog de sleutel uit je zak halen om zelf de auto te openen en te starten. Kies zelf wat voor jou zwaarder weegt: beveiliging of gebruiksgemak. Ik ga zo’n hoesje niet kopen. Hoeveel boeven met dergelijke apparatuur zijn er nou helemaal?

 

En in de grote boze buitenwereld …

• moeten gebruikers van de password manager Bitwarden hun wachtwoord niet automatisch laten invullen tijdens het laden van een webpagina.
• is sommige malware voor hardware erg hardnekkig.
• kan een aanval met valse e-mail heel snel verlopen.
• zijn Linux-servers niet immuun voor ransomware.
• bevat MS Word een kwetsbaarheid waarvoor het slachtoffer een toegezonden bestand niet eens hoeft te openen.
• moet je oppassen voor ondermijning van de aanstaande verkiezingen.
• kan een opslagmedium een kritieke factor voor de beschikbaarheid van systemen zijn.
• vraagt je bank echt nooit om je pincode.
• lopen bezoekers aan het Eurovisie Songfestival het risico op digitaal bedrog.