Aan de achterkant

 

Afbeelding via Pixabay

Alarm! Op de laptop van een gebruiker zijn negen virussen aangetroffen! Over een paar van die besmette bestanden had de virusscanner eigenlijk te weinig informatie, maar over verschillende andere meldde hij: we hebben dit bestand al bij honderden klanten gezien en we weten vrij zeker dat het bestand onbetrouwbaar is. Gelukkig heeft de scanner de bestanden in quarantaine geplaatst en kunnen ze geen kwaad meer. Het brandje was geblust voordat het goed en wel kon uitbreken.

Van dit soort meldingen liggen we doorgaans niet wakker; we zien ze tientallen keren per week en ze worden keurig automatisch afgehandeld. Precies zoals een virusscanner hoort te doen. ‘Virusscanner’ is overigens een wat ouderwetse benaming, die ik alleen hier hanteer omdat ze gemeengoed is. ‘Malwarescanner’ is al beter, omdat de term meer omvat dan alleen virussen: malware is de samentrekking van ‘malicious’ en ‘software’ en betekent dus ‘kwaadaardige programmatuur’. Naast computervirussen omvat de term malware ook keyloggers (die stiekem je toetsaanslagen vastleggen), spyware (verzamelt gegevens over jou) en backdoors (biedt een hacker illegaal toegang tot je systeem), om maar een paar soorten te noemen. Fabrikanten spreken tegenwoordig graag van een ‘endpoint protection platform’ en daarmee bedoelen ze de beveiliging van alle eindgebruikersapparatuur in een organisatie – dus niet alleen laptops, maar bijvoorbeeld ook tablets, smartphones en printers. De computerindustrie houdt van oude wijn in nieuwe zakken.

Maar goed, die negen meldingen trokken toch om de een of andere reden de aandacht van een collega, die de desbetreffende gebruiker maar eens ging bellen. De meldingen impliceerden dat de besmette bestanden op een USB-device stonden, maar de gebruiker beweerde met de hand op het hart dat hij geen USB-stick in z’n laptop had zitten. Na wat doorvragen bleek dat hij de laptop thuis via een KVM-switch aan een beeldscherm had gekoppeld (met een KVM-switch (Keyboard, Video, Mouse) kun je meerdere computers aan één beeldscherm, toetsenbord en muis koppelen; je kunt gemakkelijk tussen de verschillende computers switchen). Maar ook in die KVM-switch zat geen USB-stick. Uiteindelijk, na het nodige speurwerk, bleek het beeldscherm zelf ook een USB-poort te hebben, en dáár zat een USB-stick in die de besmette bestanden bevatte.

Het voorval illustreert mooi dat de waarheid niet altijd aan de oppervlakte ligt. Als je alleen zou afgaan op de informatie die de scanner levert, dan zou je concluderen je dat er een USB-stick met besmette bestanden in de laptop zit. En als de gebruiker dan zegt dat dat niet waar is, dan geloof je hem niet. Terwijl de gebruiker in dit geval te goeder trouw was en geduldig meewerkte om mijn vasthoudende collega van dienst te zijn. Helaas weten we niet hoe die besmette USB-stick in de monitor is terechtgekomen.

Nog iets anders vraagt hier om aandacht. Er zijn nogal wat apparaten die USB-ingangen hebben. Van oudsher kennen we ze van computers, maar beeldschermen kunnen er ook mee zijn uitgerust, en onze aan het wifinetwerk gekoppelde tv heeft er ook een paar. Bij dat soort apparaten zitten ze meestal aan de achterkant en daarmee zijn ze uit het zicht. Dat biedt mogelijkheden voor mensen met minder goede bedoelingen: in een onbewaakt ogenblik kunnen ze eenvoudig een USB-stick aanbrengen die programmatuur bevat die je liever niet in huis hebt. Nu was de medewerker in kwestie niet geautoriseerd voor het gebruik van USB-sticks, maar de USB-stick werd wel gezien door Windows.

Het vraagt om waakzaamheid. Weet jij altijd precies waar je je laptop aan koppelt? En wat daar nog achter zit, en wat er aan de achterkant zit? Wat doen je huisgenoten met apparatuur waar jij ook voor je werk gebruik van maakt? Het kan geen kwaad om hen ervan bewust te maken dat USB-sticks kwaadaardige bestanden kunnen bevatten en dat die altijd eerst even moeten worden gescand voordat de bestanden worden geopend. Dat is niet alleen in het belang van jou en je huisgenoten als privégebruikers, maar in het geval van gedeeld gebruik van apparatuur ook in het belang van jullie werkgevers. Daar mag best iedereen in huis rekening mee houden.

Nog even dit. Ik heb hierboven uitgelegd wat malware is, en hoe het woord is ontstaan. Dat heeft ook consequenties voor de uitspraak ervan. Nogal wat mensen – zelfs vakgenoten! – spreken van ‘molwèr’. Op de radio loopt al een poosje een reclamespotje van een beveiligingsbedrijf en ook daar spreken ze het zo uit. Maar als je weet dat de eerste lettergreep afkomstig is van ‘malicious’,  dan snap je ook dat je ‘melwèr’ moet zeggen. Dat is dan afgesproken. 

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• bestaat er natuurlijk ook malware voor je Mac.
• heeft er een supply chain-kettingreactie plaatsgevonden.
• bespioneert China ons op grote schaal, ook digitaal.
• vrezen de Britten spyware en hackhuurlingen.
• kampt de KNVB met een ransomware-aanval.
• moeten ook routers geschoond worden voordat ze worden afgedankt.
• handelen cybercriminelen in gestolen accounts voor ChatGPT.
• stoppen medewerkers vertrouwelijke bedrijfsinformatie in ChatGPT.

 

Een jaar geen internet

 

Afbeelding via Pixabay

Het was een prettige lentedag, die 14^e april 2022. Zonnig, zwak windje, twintig graden. Maar de dag begon wel mistig. Niet alleen in meteorologisch opzicht, ook digitaal. Om 7.53 uur begon het internet te haperen. Een uur later stonden alle schermen op zwart. Wereldwijd. Dat was een jaar geleden. Het internet is nog steeds stuk, alle knappe cyberkoppen die zich hierover hebben gebogen ten spijt. We zijn, cybermatig gesproken, teruggeworpen naar het floppytijdperk.

Zou een dergelijk horrorscenario ooit werkelijkheid kunnen worden? Op het gevaar af dat de wens de vader van de gedachte is: ik denk van niet. Het internet is immers juist ontworpen om stand te houden na uitval van een deel van het netwerk. Het kent geen allerbelangrijkste component die, als hij uitvalt, het hele internet uitschakelt. Het ontwerp kent een militaire achtergrond, waarbij beschikbaarheid van het allergrootste belang was, en dit mechanisme is natuurlijk ook heel handig in de burgermaatschappij. Ondanks het onwaarschijnlijke karakter van mijn hersenspinsel wil ik, voor de duur van deze blog, toch even doen alsof de eerste alinea waar gebeurd is. In termen van informatiebeveiliging zou je dan droogjes kunnen opmerken dat er een beschikbaarheidsprobleem is. Da’s leuk, maar met die constatering schiet je weinig op als je vervolgens niet een herstelplan uit de kast kunt trekken dat zijn titel eer aandoet.

Ik probeer te bevatten wat de langdurige afwezigheid van internet zou betekenen. Laat ik eerst maar eens naar mezelf kijken. Om te beginnen zou ik dan nu niet thuis achter mijn bureau zitten, maar op kantoor. Vijf dagen per week. Want thuiswerken zonder internet kan niet. Nou ja, ik zou er natuurlijk wel een blog of een memo kunnen schrijven, op m’n laptop opslaan en die op kantoor op het intranet zetten (sorry externe lezers, jullie moeten het zonder doen). Maar dat online overleg, dat ik vanochtend had, dat had toch echt niet gekund. Ik had er door de koude lentezon voor naar kantoor moeten fietsen. Over kou gesproken: zonder internet had ik echt niet geweten wat het weer een jaar geleden was, en had deze blog niet met het weerbericht van toen kunnen beginnen.

Het is voor mij een kwartiertje fietsen en ik vind mijn kantoor blindelings, maar stel dat ik naar een mij onbekende bestemming had gemoeten. Zou mijn navigatie gewerkt hebben? Ja en nee. GPS staat los van het internet; dat zijn gewoon een paar satellieten in een baan om de aarde en een antenne in mijn navigatie-apparaat, die het signaal van die kunstmanen opvangt. Ik weet dus waar ik ben en welke kant ik opga. Zonder internet heb ik echter geen actuele kaarten. Als ik mazzel heb, dan zitten de benodigde kaarten in het systeem. Zo niet, dan moet ik de coördinaten opgeven om het systeem te vertellen waar ik heen wil. Maar ja, hoe kom ik daar achter? En ik mis sowieso actuele verkeersinformatie, waardoor ik mogelijk in een grote file terechtkom en te laat op mijn bestemming ben.

Goed, ik heb nog wel ergens wat oude papieren wegenkaarten liggen en de wegwijzers zijn ook nog niet afgeschaft; ik zou mijn weg ook geheel zonder elektronica vinden. Voor digital natives – jongelui die zijn geboren met een smartphone in hun knuistjes, die niet eens beseffen dat er ooit een internetloos tijdperk was – zou analoog navigeren wel eens een grote uitdaging kunnen zijn. Ze weten bij wijze van spreken niet eens hoe ze een kaart moeten uitvouwen en ze kijken dwars door wegwijzers heen.

De vraag naar ontzettend veel soorten personeel zou exploderen. Webshops doen het niet meer – je moet voor alles naar de winkel, waardoor die meer personeel nodig hebben. Gelukkig zijn er ook opeens veel mensen over die in de distributiecentra van de grote webshops werken. De belastingaangifte moet weer als vanouds op papier en al dat papier moet handmatig verwerkt worden. Waar haal je zoveel goed opgeleide belastingambtenaren vandaan? Als ik een afspraak bij de tandarts, de kapper of een restaurant wil, dan moet ik bellen – gelukkig hebben we onze telefoonnetwerken nog niet opgedoekt onder het mom van “we kunnen toch via Skype of WhatsApp bellen”.

Reisbureaus zouden als paddenstoelen uit de grond schieten. Want we kunnen niet meer vanuit de luie stoel een leuke vakantie boeken. Je moet je vakantie ruim van tevoren plannen, want het reisbureau moet met een papieren aanvraag naar de touroperator en in de tussentijd moet je maar duimen dat er nog plek is, want ook het reisbureau kan de beschikbaarheid niet online checken.

En mijn werk? Dat gaat gewoon door. Want gelukkig hebben we een groot eigen datacenter, waarin de systemen draaien die ons eigen legertje ICT’ers maakt en onderhoudt. Daar hebben we nog voor jaren werk aan. Want beveiliging is een proces hè. We storten ons met al onze energie op deze klus, zonder afleiding door externe mailtjes en social media. En het nieuws van de dag vernemen we pas ’s avonds, als we via de in allerijl herstelde analoge kabel-tv naar het nieuws kijken.

Zo, ik ga deze blog maar eens op de post doen.

 

En in de grote boze buitenwereld …

• vallen kleinere stukjes internet regelmatig voor kortere of langere tijd uit. [2 verschillende artikelen.]
• zie je hier in één oogopslag wat er allemaal stuk is, en hoe lang al.
• is het voor phishers niet zo goed toeven in Nederland.
• kan de impact van encryptie op politiewerk niet worden vastgesteld.
• zijn DDoS'ers alweer uitgekeken op IoT-devices, ze wijken uit naar cloudservers.
• zetten criminele dienstverleners voor een paar duizend dollar jouw malafide app in Google Play.
• mag je hopen dat je nooit een computer of smartphone hoeft te laten repareren. [Negeer de reclame aan het einde van het artikel; het gaat mij om de strekking van het verhaal.]
• vormt kunstmatige intelligentie een bedreiging voor de digitale veiligheid.
• zijn lange wachtwoorden in het AI-tijdperk belangrijker dan ooit. [N.B. Ik ben het niet eens met advies nr. 2 in dit artikel, en nr. 3 rammelt.]

Opstap

 

Afbeelding via Pixabay

Iedere ICT’er weet dat je, als je iets hebt gemaakt of gewijzigd, eerst moet testen of alles (alles!) nog werkt. In een professionele omgeving hebben we daar een meertraps mechanisme voor, dat we koesteren onder de afkorting OTAP: Ontwikkel, Test, Acceptatie, Productie. Deze week hoorde ik een variant op deze afkorting die mij eerst met de oren deed klapperen en die daarna een brede grijns op mijn gezicht veroorzaakte.

Die variant is OPSTAP en dat staat voor: Ontwikkel, Productie, Shit het werkt niet, Toch maar testen, Acceptatie, Productie. Ik hoorde dit tijdens een risicoanalyse. In zo’n sessie bespreken we wat er allemaal fout kan gaan en hoe erg dat is, en een van de vaste onderwerpen daarbij is: iemand maakt een fout, welke maatregelen zijn er genomen om ervoor te zorgen dat dit tijdig wordt ontdekt en dus geen schade kan veroorzaken? Bij alle risicoanalyses die ik tot nu toe heb begeleid – en dat zijn er heel wat – riepen de aanwezigen op dit punt triomfantelijk in koor: OTAP!

En daarmee was eigenlijk alles gezegd. We ontwikkelen iets, we doen een degelijke test, de klant doet een acceptatietest en pas als iedereen tevreden is, gaat het nieuwe systeem of de nieuwe versie in productie. Als er nog fouten aan het licht komen, dan gaat het product terug naar de ontwikkelfase. Een degelijke werkwijze die in het DNA van alle ICT’ers zit en die zo vanzelfsprekend is dat we ons zelden afvragen of een team écht áltijd op deze wijze werkt. Of dat er, soms of misschien zelfs structureel, afkortingen worden genomen.

Vanzelfsprekend, tot deze week dus. Na al die jaren durfde eindelijk iemand uit te spreken dat het kennelijk wel eens voorkomt – en niet eens noodzakelijkerwijze bij hemzelf, denk ik – dat er geitenpaadjes worden genomen. Het kon eigenlijk ook niet anders hè. Ik weet ook wel dat de druk om iets op tijd op te leveren soms zo groot kan zijn, dat je een keuze moet maken tussen op tijd klaar zijn of netjes de officiële route volgen. Kies je voor het eerste, dan zit je als consciëntieuze medewerker vervolgens een paar dagen of weken met dichtgeknepen billen te wachten of het allemaal wel goed blijft gaan.

Naarmate je vaker zo’n afkorting neemt, word je daar misschien wat gemakkelijker in. En dan zou het wel eens link kunnen worden. Je begeeft je dan op een glijdend pad naar onachtzaamheid, misschien zelfs onverschilligheid. In een organisatie, die zo groot is als de onze, kan ik overigens niet uitsluiten dat er ook enkele collega’s rondlopen die nooit bovenaan dan glijdende pad hebben gestaan, die van nature altijd de gemakkelijkste weg kiezen. Ik ken veel collega’s, en ik heb er nog geen één ontmoet waarvan ik dacht: daar heb je er zo eentje. Maar statistisch kan ik niet uitsluiten dat ze er zijn. Misschien verblijven ze in de luwte van hun team en worden ze bijvoorbeeld niet gevraagd om mee te doen aan risicoanalyses en andere activiteiten waarbij ik betrokken ben. Tegen deze mensen – en hun managers – wil ik zeggen: recht je rug, sta voor je vakmanschap en zorg daarmee dat je niet zelf een risico voor onze bedrijfsvoering wordt. Misschien heb je wel een (opfris)cursus nodig. Of – wees eerlijk tegen jezelf – ander werk.

Ik heb hier ook van geleerd. Ik word strenger. Nog meer dan nu ga ik doorvragen, ook als ik collega’s spreek waarvan ik met zekerheid weet dat ze heel erg begaan zijn met security. Doe je het echt altijd op deze manier, of ga je heel soms OPSTAP? Als je dat durft toe te geven, dan verdien je daar bonuspunten mee. Want je zegt ermee dat er misschien ergens een risico zou kunnen zitten, en daar kunnen we alleen iets aan doen als we het weten. Het markeert ook het verschil tussen risico’s lopen (dat gebeurt onbewust) en risico’s nemen (bewust en op basis van afwegingen).

Ten slotte vanaf deze plek nog even een speciale groet aan een van mijn trouwste lezers: mijn moeder. Ze is vandaag negentig geworden. Van harte gefeliciteerd!

 

En in de grote boze buitenwereld …

• ben ook jij misschien slachtoffer van een wereldwijde cybercrimezaak.
• ging een Nederlander voor een flink bedrag het schip in door deze kwestie.
• kun je het niet maken om na een groot datalek in alle talen te zwijgen, zegt de rechter.
• is april Senioren en Veiligheidsmaand, met een speciale campagnewebsite.
• hoor je securitytools niet voor criminele doeleinden te gebruiken.
• deelden Tesla-medewerkers beelden die jouw auto maakte, en ze maakten er grapjes over.
• heeft IoT-devices-fabrikant Nexx het belang van beveiliging niet begrepen, waardoor bijvoorbeeld gemakkelijk overal ter wereld garagedeuren kunnen worden geopend.
• heeft de overheid nu een gereedschapskist voor red teaming.
• steelt een andere gereedschapskist credentials voor achttien clouddiensten.
• steelt een gehackt telefoonsysteem wachtwoorden uit browsers.
• is Telegram een marktplaats voor phishing-tools.
• is biometrie niet automatisch veilig.