Bruggen, liedjes en autosleutels

 

De nieuwe brug - Afbeelding via Pixabay

Er was eens een brug, een hangbrug om precies te zijn. Ze was 1,6 km lang en daarmee op dat moment – we schrijven 1940 – de op twee na langste hangbrug ter wereld. Maar deze trotse brug werd niet ouder dan vier maanden. De wind kreeg er vat op, de brug begon te slingeren en stortte in.

Ik heb het over de Tacoma Narrows Bridge in de Amerikaanse staat Washington. Het natuurkundige fenomeen, dat tot de instorting van deze brug leidde, heet resonantie. Dat houdt – kort door de bocht – in dat een voorwerp, dat aan trillingen wordt blootgesteld, die trilling als het ware uit zichzelf versterkt. Je kent dat van rammeltjes in de auto, maar ook schommelen is een vorm van resonantie. Het waaide destijds in Tacoma, en de wind raakte de brug toevallig met diens eigenfrequentie (populair uitgedrukt is dat een frequentie waarbij een voorwerp zich happy voelt en vrolijk gaat meedoen: resoneren). Daardoor ging de brug meebewegen en uiteindelijk konden de materialen zoveel beweging niet aan en stortte de brug in. Zie Wikipedia voor meer informatie en het roemruchte filmpje van de instorting.

Bruggen zijn niet de enige dingen die kapot kunnen gaan door resonantie. Vorig jaar was er een nieuwsbericht over computers, die op mysterieuze wijze crashten. De ingrediënten van dat verhaal lijken aan fantasie ontsproten, maar de mensen die die brug zagen instorten, konden ook hun ogen niet geloven. Die fantastische ingrediënten zijn een oud type harde schijf en de hit Rhythm Nation van Janet Jackson uit 1989. Alle geluid – en dus ook muziek – bestaat uit trillingen, die zich voortplanten door een medium. Als ik tegen jouw praat, dan laten mijn stembanden de lucht (het medium) trillen, en jouw trommelvliezen vangen die trilling op. En laat het geluid van Rhythm Nation nu precies de eigenfrequentie van dat bepaalde type harde schijf te bevatten. Die harde schijf gaat dan resoneren en draait zichzelf kapot. De computer, waarin die harde schijf zit, doet dan ook niet meer zo veel.

Hierdoor is de bewuste muziekvideo officieel tot cybersecurity exploit verklaard. Een exploit is een manier waarop een aanvaller een kwetsbaarheid in een systeem kan misbruiken. De kwetsbaarheid is hier de gevoeligheid voor resonantie, de exploit is het afspelen van Rhythm Nation. En dat hoeft dan niet eens op dezelfde laptop te gebeuren: ook andere laptops in de buurt kunnen hierdoor het loodje leggen. Het is overigens niet heel waarschijnlijk dat iemand jouw computer op deze manier gaat aanvallen. Het gaat zoals gezegd om oude types harde schijven (5400 toeren), en de computers die je gebruikt bevatten hoogstwaarschijnlijk niet eens meer een harde schijf maar SSD-geheugen (en  voor het gemak blijven we dit geheugen zonder bewegende delen nog gewoon harde schijf noemen).

Daar sta je dan met je lijstjes van standaard dreigingen, die je tijdens een risicoanalyse hanteert. Beide cases hebben gemeen dat het gevaar uit onverwachte hoek kwam. Tja, die brug, dat had je misschien nog, in ieder geval met de kennis van nu, kunnen berekenen. Maar dat een liedje van mevrouw Jackson een harde schijf kan laten crashen, dat verzin je gewoon niet. En ik kan me ook bijna – bijna – niet voorstellen dat een aanvaller ooit op zoek is gegaan naar een dergelijke methode om een computer de vernieling in te helpen.

Waar in ieder geval wél onderzoek naar wordt gedaan, is hoe aan zogeheten air gapped computers informatie kan worden ontfutselt. Een air gapped computer is er eentje die niet met een netwerk is verbonden. Het ‘luchtgat’ kan ook betrekking hebben op een netwerk; dan is er dus wel een netwerk, maar dat is dan op zijn beurt niet verbonden met andere, onveilig geachte netwerken. Op deze wijze wordt een situatie gecreëerd waarin de gegevens veilig en exclusief in de eigen omgeving staan. Maar er zijn dus slimmeriken die op zoek gaan naar mogelijkheden om tóch informatie uit dergelijke systemen te peuteren. Ik herinner me dat in het verleden bijvoorbeeld is gekeken naar het knipperen van het lampje van de netwerkkaart. Een klassieker is het ‘afluisteren’ van de elektromagnetische straling die door alle elektronische schakelingen wordt uitgezonden. Maatregelen daartegen vallen onder de omineuze noemer tempest.

Dergelijke aanvallen zijn doorgaans gericht op doelwitten met een hoge waarde voor de aanvaller. Als gewone particulier hoef je er niet bang voor te zijn. Waar je, in het verlengde hiervan, wél mee te maken zou kunnen krijgen, is autodiefstal. Dieven luisteren het signaal van je moderne autosleutel af – zo’n sleutel die je niet in het slot hoeft te steken om je auto te ontgrendelen en te starten. Ik bewaar daarom mijn autosleutels al jaren in een gesloten blikje. Dat werkt als een kooi van Faraday: een constructie die elektromagnetische straling tegenhoudt. Zit ik echter op een terrasje, dan kan mijn sleutel alsnog worden afgeluisterd en kan het signaal met bepaalde apparatuur ‘verlengd’ worden naar mijn auto. Er zijn speciale sleutelhoesjes op de markt, die beloven eveneens als een kooi van Faraday te werken. Alleen moet je dan natuurlijk alsnog de sleutel uit je zak halen om zelf de auto te openen en te starten. Kies zelf wat voor jou zwaarder weegt: beveiliging of gebruiksgemak. Ik ga zo’n hoesje niet kopen. Hoeveel boeven met dergelijke apparatuur zijn er nou helemaal?

 

En in de grote boze buitenwereld …

• moeten gebruikers van de password manager Bitwarden hun wachtwoord niet automatisch laten invullen tijdens het laden van een webpagina.
• is sommige malware voor hardware erg hardnekkig.
• kan een aanval met valse e-mail heel snel verlopen.
• zijn Linux-servers niet immuun voor ransomware.
• bevat MS Word een kwetsbaarheid waarvoor het slachtoffer een toegezonden bestand niet eens hoeft te openen.
• moet je oppassen voor ondermijning van de aanstaande verkiezingen.
• kan een opslagmedium een kritieke factor voor de beschikbaarheid van systemen zijn.
• vraagt je bank echt nooit om je pincode.
• lopen bezoekers aan het Eurovisie Songfestival het risico op digitaal bedrog.