De Droedelkoning

 

Afbeelding van auteur

Het was een jaar geleden, in een vergaderzaal aan de Graadt van Roggenweg in Utrecht. Een vreemde zaal, want een van de wanden bestond zowat volledig uit grote rolluiken – aan de binnenkant wel te verstaan. Ik weet eigenlijk nog steeds niet wat er achter die rolluiken schuilging. Maar daar gaat het niet om. Waar het om gaat is dat ik naast de Droedelkoning zat. En dat ik daar iets mee wilde in mijn blog, maar geen link met beveiliging kon vinden. Tot nu.

Een droedel, zo legt Van Dale het uit, is een krab­bel, een te­ke­ning die je in ge­dach­ten maakt (on­der het luis­te­ren naar iets). Je kent dat wel: iemand zit in een overleg met een schrijfblok voor zich en zit daar allerlei frutseltjes op te tekenen: droedels. Nou, die collega, waar ik toen naast zat, die was daar wel héél erg bedreven in. Hij krabbelde alsof z’n leven ervan afhing – vandaar dat ik hem voor mezelf tot Droedelkoning kroonde. En ik keek er gefascineerd naar. Wat ook fascinerend was, was dat al dat geteken hem niet in het minst leek af te leiden: hij deed gewoon mee aan het gesprek, met veel zinnige inbreng zelfs.

Onlangs vond diezelfde bijeenkomst weer plaats. Wederom in Utrecht, maar nu op een andere plaats, zonder inpandige rolluiken. De Droedelkoning was er ook weer bij, en hij krabbelde als vanouds. In de pauze van het overleg kwamen we erover te spreken, en ik biechtte op dat ik al een jaar lang rondliep met de wens om dit schouwspel in een blog te verwerken, maar het juiste haakje niet kon vinden. En dat vrat aan me, want, zoals vaste lezers wel weten, kan ik doorgaans de gekste observaties een zodanige twist geven dat ze opeens iets met mijn vak te maken hebben. Alleen die vermaledijde droedels, die verzetten zich tegen mijn schrijfdrift. Tot het moment waarop een andere collega naar de tekening keek en losjes zei: “Dat lijkt wel een QR-code.” Ik keek hem verbijsterd aan: dat was het! Over QR-codes valt vanuit mijn vak wel wat de schrijven.

QR-codes zijn niet meer weg te denken uit het dagelijks leven. Je komt ze overal tegen. “Scan mij!”, schreeuwen ze naar argeloze voorbijgangers, “dan geef ik je informatie!” Ze staan vaak op pamfletten en in advertenties. Als je na het lezen daarvan meer informatie wilt, dan kan dat door die QR-code te scannen. Maar je komt QR-codes ook wel eens los tegen. Op een sticker die zomaar iemand op een verkeerslicht heeft geplakt bijvoorbeeld. Of op een etalage. Die zijn een stuk mysterieuzer.

Het probleem met QR-codes is dat wij mensen ze niet kunnen lezen. Je hebt dus geen flauw idee waar zo’n code je heen brengt. Ze kan zomaar een link bevatten naar www.oplichters.nl (deze domeinnaam is overigens nog beschikbaar). In mijn herinnering werkte het vroeger zo dat je, als je een QR-code scande, ook meteen naar de gelinkte website ging. Dat is nu anders (beter): een pop-up toont je de bestemming en dan kun je alsnog bepalen of je daar heen wilt. Maar dan weet je vaak nog niet veel – of heb jij enig idee of zoiets als s5.productinfo.com een bonafide site is?

Nou hoef je niet direct te vrezen dat een QR-code bij een recept in het magazine van je supermarkt je naar een malafide site brengt, die jouw gegevens steelt of je apparaat van een leuk virusje voorziet. Ik zou echter wat voorzichtiger zijn met QR-codes die je in het wild tegenkomt en die geen context hebben. Of met codes op reclameposters of winkels. Die hebben weliswaar een context, maar misschien heeft iemand zijn eigen code er overheen geplakt; dan denk je dat je naar primawinkel.nl gaat maar eindig je alsnog bij oplichters.nl.

Mijn advies: maak bewust gebruik van QR-codes. Kijk of je begrijpt waar ze naar toe willen, en als dat niet logisch lijkt, of je hebt geen duidelijke context (zoals bij dat lekkere recept), zie er dan liever van af. Je kunt altijd nog met de hand googelen om meer informatie over het onderwerp in kwestie te krijgen.

Bij die Utrechtse bijeenkomsten, waar ik het over had, kwamen onze interne bloggers en de intranetredactie bijeen. De redactie trakteerde ons op een lunch en op cijfers waaruit bleek dat onze blogs belangrijke publiekstrekkers zijn. Maar voor mij was het belangrijkste toch dat ik eindelijk mijn gewaardeerde medeblogger, de Droedelkoning, in mijn blog kan laten optreden.

De Security (b)log keert na de zomervakantie terug.

  

En in de grote boze buitenwereld …

• is het een slecht idee om iedereen hetzelfde wachtwoord te geven.
• heeft MITRE de nieuwste lijst van 25 gevaarlijkste kwetsbaarheden gepubliceerd.
• is Rian van Rijbroek nu officieel een charlatan.
• bevat Android een geheime browser.
• schept Rusland erover op dat slechts 1% van hun fake-accounts zou worden ontdekt.
• bedreigt kunstmatige intelligentie onze veiligheid.
• verzetten de grote techbedrijven zich tegen Britse wetgeving die cryptografie wil verzwakken.
• heeft de Britse regering een duidelijk doel voor ogen in deze crypto-kwestie.
• woedt deze discussie ook in Nederland.
• is dit bedrijf beter in het lekvrij bewaren van limonade dan van gegevens.
• moet je in Canada vanwege een cyberaanval contanten meenemen als je gaat tanken.
• wil Ierland kritiek op hun privacywaakhond en op grote techbedrijven verbieden.

 

Alfabetten

 

Afbeelding via Unsplash

Het is een wat vreemde gewaarwording als opeens iedereen over iets praat en je hebt zelf geen flauw idee waar het vandaan komt. Mijn teamgenoten brachten uitkomst: het stond op Facebook, en dat is nou net een hoekje van het internet waar ik nooit kom. Misschien heb jij ‘m wel zien langskomen: dat bericht waarmee wordt gewaarschuwd voor links die niet zijn wat ze lijken, omdat ze letters uit een ander alfabet bevatten. Het werd overgenomen door de populaire krant USA Today en dan gaat het hard.

Homogliefen is de term voor tekens die op letters lijken. Het bekendste voorbeeld van homogliefen in onze eigen wereld zijn de 0 en de O: de eerste is een cijfer, de tweede een letter. Altijd lastig om het verschil te zien. En wat dacht je van de l en de I? Het eerste is de kleine letter L, het tweede de hoofdletter i. Omdat we in moderne teksten meestal schreefloze letters gebruiken, zie je het verschil niet. Kies je een lettertype met schreven, dan zie je dat wel: “En wat dacht je van de l en de I?”. 

Het cyrillische alfabet, dat in Rusland en omstreken wordt gebruikt, bevat ook homogliefen. In het op Facebook getoonde voorbeeld worden onze a en zijn cyrillische tegenhanger genoemd. Overigens is de letter, die in dat bericht de cyrillische a wordt genoemd, de Griekse letter alfa (ɑ). Want de cyrillische a ziet er zo uit: а.

Alle letters, cijfers en andere tekens, die je op je toetsenbord kunt typen, zijn gedefinieerd in tabellen. De bekendste tabel is ASCII, op het mainframe gebruiken ze EBCDIC en de meest uitgebreide is Unicode, omdat daarin de letters uit alle alfabetten – dus niet alleen het ons bekende Latijnse alfabet – gedefinieerd zijn. De cyrillische letter aan het eind van de vorige alinea heb ik gemaakt door de Unicode voor die letter (0430) te typen en dan op Alt en X te drukken. Met behulp van de Unicode-tabellen kun je dus alle tekens maken, ook als ze niet op je toetsenbord voorkomen. Zoals bijvoorbeeld Њ en ß.

In de adresbalk van je browser zie je het verschil niet tussen belastingdienst.nl en beIаstingdienst.nI (de laatste bevat twee keer de hoofdletter i en de cyrillische a). Deze URL brengt je naar een website die in Nicaragua wordt gehost, want het top level domain  (TLD) .ni hoort bij dat land. Je ziet hoe gemakkelijk criminelen je naar hun valse website kunnen lokken, waar ze je vervolgens gegevens ontfutselen of jouw apparaat voorzien van kwaadaardige programmatuur. Nederlandse domeinen, die dus onder de TLD .nl vallen, zijn relatief veilig omdat er geen domeinen kunnen worden geregistreerd met karakters uit andere dan ons eigen alfabet. Maar let op: de truc met de i en de L werkt hier wél.

Je browser kan je beschermen tegen een aanval met homogliefen, domweg door ze niet te ondersteunen of door een mix van verschillende alfabetten te weigeren. Daarnaast zien ook veel domain registrars erop toe dat er geen domeinen worden geregistreerd die niet deugen. Je zou dus kunnen zeggen dat alle aandacht voor homogliefen een beetje overtrokken is – er zijn immers effectieve maatregelen getroffen.

In deze context wil ik het ook nog even over een andere vorm van list en bedrog hebben, die luistert naar de naam typosquatting. Bij deze truc registreert iemand een domeinnaam die lijkt op een echte, en dan hoopt hij dat mensen typfouten maken of zich in de naam vergissen en daardoor op hun site terechtkomen. Denk bijvoorbeeld aan googel.com, amazone.com of microsof.com. De houders van de officiële websites van deze organisaties kunnen zich hiertegen beschermen door zélf alle domeinen te registeren die op het hunne lijken.  Weet een slimmerik toch een gelijkend domein te scoren, dan kan de houder van het echte domein eisen dat het valse domein wordt opgeheven.

Mijn inschatting is dat je niet gauw in de problemen komt door homogliefen. De kans dat je een verkeerd webadres intypt waar toevallig een typosquatter aan heeft gedacht, is al wat groter. Maar het opmerkelijkste aan deze technieken vind ik toch dat ze überhaupt bestaan. Zo zie je maar weer eens dat criminelen bijzonder inventief kunnen zijn en over veel kennis beschikken.

 

En in de grote boze buitenwereld …

• kun je natuurlijk ook een satelliet hacken.
• is er al heel wat cryptogeld in de zakken van criminelen verdwenen. [De reclame in het artikel mag je negeren.]
• kun je veel mobieltjes ontgrendelen met een foto van de eigenaar.
• is er een krachtige lobby in Europa om regelgeving omtrent kunstmatige intelligentie niet al te streng te maken.
• worden gehackte ChatGPT-accounts gretig verhandeld.
• verzorgen criminele dienstverleners het ‘crypten’ van malware.
• bestaan er allerlei smaken tweefactorauthenticatie.
• zet Amerika in op de bestrijding van statelijke actoren.
• biedt jouw achtergelaten winkelwagentje een ingang voor aanvallers.
• is het zelfs bij voerautomaten voor huisdieren een slecht idee om wachtwoorden hard te coderen.
• wordt Telegram steeds populairder bij criminelen.

Awaremess

 

Afbeelding via Unsplash

Als je met tien vingers blind typt, dan hebben je vingers soms een eigen willetje. Gelukkig besef je meestal wel dat ze iets anders hebben geschreven dan de bedoeling was en dan is de backspace-toets je beste vriend. Onlangs had ik zo’n gevalletje, waarbij ik een grijns niet kon onderdrukken: ik typte niet ‘awareness’, maar ‘awaremess’. Het scheelt maar één poot, maar maakt wel meteen een heel verhaal los.

Awareness betekent bewustzijn. In mijn vak gaat het dan over beveiligingsbewustzijn: de mate waarin medewerkers beseffen dat ze een belangrijke rol in de informatiebeveiliging spelen, over de bijbehorende kennis beschikken en daar ook naar handelen. Maar het Engelse mess betekent: (war)boel, knoeiboel, rotzooi, mislukking (Van Dale).

Waar kwam nou die grijns op mijn gezicht vandaan? Het woord awaremess bestaat niet, maar je zou het kunnen interpreteren als warboel die ontstaat op het gebied van bewustzijn. En dat is precies waar we ons nu bevinden. Zo doen we veel om jullie te leren hoe je phishingmail kunt herkennen. Maar tegelijkertijd worden jullie gebombardeerd met legitieme e-mail die eruitziet alsof het phishing is. En dan wordt het een zooitje.

Ik geef twee voorbeelden. Alle ambtenaren hebben mail gehad (of krijgen die nog) van Shuttel, waarin stond dat we een nieuwe kaart voor het OV moesten aanvragen. Dat mailtje bevatte nogal wat indicatoren die op phishing duidden. De belangrijkste rode vlaggen waren de algemene aanhef (“Beste medewerker”), de waarschuwing dat je oude kaart geblokkeerd zou worden en – de belangrijkste – een link die, als je er met de muis boven zweefde, een heel andere bestemming toonde dan wat er stond: niet mijn.shuttelportal.nl/[enzovoorts], maar iets als fbdecbh.r.af.d.sendiobt2.com/tr/cl/[enzovoorts]. Het grappige is dat medewerkers ook aansloegen op iets dat helemaal geen phishing-indicator is. Men had bedacht dat sommige woorden in de mail vetgedrukt moesten zijn, maar in de eerste serie mailtjes werd dat verkeerd getoond: daar stond niet look & feel, maar —look & feel’. De codes, die ervoor moesten zorgen dat de tekst vet werd, werkten niet goed. Maar dat heeft dus niets met phishing te maken. De rest echter wel. Het enige dat hier wel goed ging is dat de omruilactie vooraf op het intranet was aangekondigd (alleen leest niet iedereen dat). En wat achteraf goed ging, is dat ik snel iemand bij de verantwoordelijke afdeling vond die mij begreep en ervoor zorgde dat de firma Shuttel hierop werd aangesproken. Voor ons kwam dat helaas te laat, maar bij andere ministeries zou het nu beter moeten gaan.

Het tweede voorbeeld komt dichter bij huis, want het gaat over een medium waarop deze blog wordt gepubliceerd: ons intranet. Een poosje geleden is dat intranet ingrijpend gewijzigd. En dus kwam er een mailtje met als onderwerp: “Enquête: Wat vind jij van het gepersonaliseerde intranet?” Dat mailtje komt van een extern adres maar toont als afzender wel de naam van onze organisatie: rode vlag! De algemene aanhef (“Beste lezer!”) en de kans om een “exclusief gepersonaliseerd aardigheidje met jouw avatar erop” te winnen, met daarbij tijdsdruk (“We geven er 15 weg, dus wees er op tijd bij”), maakten het alleen maar erger. En ten slotte was het mailtje onpersoonlijk ondertekend (“Team Online Redactie”) en was de enquête niet op het intranet (!) aangekondigd. Het eerste mailtje van een bezorgde collega is al binnen, en er zullen er nog wel meer volgen. En terecht. Nu hadden we vorige week een gezellige bijeenkomst met de bloggers en de intranetredactie, en toen werd verteld dat er een enquête zou komen. Ik weet dus bij toeval dat dit mailtje wél echt is en ik heb de redactie ingelicht over het phishy karakter van hun mail.

Andersom kan het ook misgaan. Medewerkers ontvingen een mailtje van een buitenlands adres, zonder onderwerp en tekst; het bevatte alleen een wazige link. Dan denk je: dit kán niet goed zijn. Toch? Desondanks hebben vijftien collega’s op die link geklikt. Onze beveiligingssystemen hebben die link geblokkeerd, en daarom weten we wie er geklikt hebben. Ik heb een paar van deze collega’s gesproken. En dan hoor je verhalen waardoor je toch begrijpt hoe iemand “zo stom kon zijn” om te klikken. Het meest schrijnend was het geval van een manager uit wiens team onlangs iemand was overleden – en de achternaam van deze collega kwam overeen met de naam van de afzender. De manager dacht daardoor dat de familie contact zocht. In een ander geval bevatte de mail ook de adressen van iemands broer waar hij al lang geen contact meer mee heeft en van nog een kennis. Waarschijnlijk hebben hackers adresboeken buitgemaakt en daarvan handig gebruikgemaakt bij het samenstellen van de mail. Het is dus veel te gemakkelijk om te zeggen: hoe kon je zo stom zijn. Hun handelen was niet stom, maar menselijk. Het stemt mij verdrietig dat criminelen die menselijkheid aan het wankelen brengen.

En zo is het best wel een zooitje op het gebied van beveiligingsbewustzijn. Mijn typfout was zo gek nog niet.

 

En in de grote boze buitenwereld …

• is een test-phish over salarisverhoging een onsmakelijk idee.
• moet je nu ook al je power-lampje afplakken.
• vervalste een ambtenaar rapporten over de beveiliging van DigiD.
• moeten financiële en ICT-dienstverleners aan de slag met DORA.
• kan een organisatie plotseling een stortvloed aan inzageverzoeken over zich heen krijgen.
• start de politie een internationaal netwerk voor het voorkomen en verstoren van cybercrime.
• worden Belgische rechters en politiemensen bespioneerd.
• vertraagde een DDoS-aanval de bekendmaking van examenuitslagen.
• is het verplicht periodiek wijzigen van wachtwoorden een achterhaalde gewoonte.
• wordt kunstmatige intelligentie getraind met privégegevens, nepnieuws en auteursrechtelijk beschermde zaken.

 

Pippi Langkous

 

Afbeelding via Pixabay

“Pippi Langkous volgt u en nodigt u uit een connectie te maken.” Als je deze tekst niet herkent, dan ben je een van de weinige lezers die niet op LinkedIn zitten, denk ik. Ben je wel lid, dan heb ik twee vragen voor je: hoe reageer je op dergelijke uitnodigingen en hoe zou je beter reageren?

In de uitnodiging staat voor het gemak vermeld dat jij en Pippi gemeenschappelijke vrienden hebben: Tommy en Annika. Dat moet dan als een soort referentie dienen. Ik vertrouw dat echter niet, zeker sinds ik een keer aan een collega vroeg waar hij zo’n Tommy of Annika van kende. “Wie?”, luidde zijn veelzeggende reactie. Veel mensen klikken blindelings op de knop waarmee ze vriendjes worden met het nieuwe contact.

LinkedIn, het Facebook voor professionals, is zoals alle sociale netwerken gebaat bij een groeiend aantal leden. Ze maken het dan ook extra verleidelijk om op ‘ja’ te klikken: Pippi vroeg alleen of je vriendjes wilde worden, LinkedIn voegde daar op eigen initiatief Tommy en Annika aan toe. Maar wie is die Pippi eigenlijk? Je kunt haar profiel al bekijken voordat je haar vriendschap accepteert. Als Pippi Langkous, zoals we haar allemaal kennen, op LinkedIn zou zitten, dan zou haar profiel er ongeveer als volgt uitzien. Functie: baas. Bedrijf: Villa Kakelbont. Opleiding: geen. Kennis: alles. Vaardigheden: sterk en rijk zijn. Aantal connecties: miljoenen.

Op LinkedIn heb ik drie accounts gevonden onder de naam Pippi Longstocking, zoals het meisje met de horizontale vlechten in het Engels heet. Die accounts hebben veel overeenkomsten: één of geen volgers, nog nooit een bericht geplaatst, geen foto en überhaupt een erg leeg profiel. Eentje beweert dat zij in 2016 heeft gestudeerd aan de Harvard Business School en de oprichter is van een snoepfabriek in Kansas. Nummer twee is de baas van een bedrijf in sportkleding en -accessoires in Californië en de derde is zelfstandig menu planner in Engeland.

Ik heb geen flauw idee wat het nut van deze accounts is, maar ik heb wel een beeld van hetgeen je kunt doen met nepaccounts. Het platform komt in rapporten naar voren als uiterst prominent gereedschap van phishende cybercriminelen. LinkedIn legt het zelf zo uit: “Phishingpogingen kunnen worden gedaan door fraudeurs om gevoelige informatie zoals gebruikersnamen, wachtwoorden en creditcardgegevens te verkrijgen. Phishers doen zich voor als legitieme bedrijven of personen die e-mails en links verzenden die mensen dan leiden naar frauduleuze websites of uw computer infecteren met zogenaamde malware.” En ze geven nog meer informatie over en voorbeelden van LinkedIn-gerelateerde phishing.

De drie Pippi-accounts die ik heb gevonden zijn veel te kaal om voor phishingdoeleinden te worden gebruikt. Echte valse accounts bevatten meestal een indrukwekkend profiel, waardoor ze realistisch lijken. Op de foto staat eerder een knappe jongedame dan een lelijke vent. En vaak zijn die foto’s nog vals ook: vorig jaar ontdekten onderzoekers van het Stanford Internet Observatory ruim duizend door kunstmatige intelligentie gegenereerde profielfoto’s op LinkedIn. Zucht – nou moet je dus niet alleen phishingmail herkennen, maar je moet ook nog leren om AI-foto’s te herkennen. En dat is niet gemakkelijk, zeker niet bij foto’s op postzegelformaat. Daarnaast schetsen nepaccounts het beeld van een zeer ervaren professional op jouw vakgebied. Kortom, je ziet iemand die je graag aan je postzegelverzameling wilt toevoegen.

Overigens is phishing lang niet het enige wat je hiermee kunt. Contact leggen via LinkedIn kan ook in bredere zin worden gebruikt voor social engineering – het hacken van de mens – met als doel iemand informatie te ontfutselen of bepaalde dingen te laten doen. Op de eerste kennismaking volgt misschien eerst wat vrijblijvend gepraat over gemeenschappelijke (professionele) interesses, om dan ongemerkt over te gaan op onderwerpen waarvan jouw werkgever misschien liever niet heeft dat je erover praat.

Terug naar de vragen aan het begin. Accepteer je connectieverzoeken blindelings? En zo ja, hoe denk je daar na het lezen van deze blog over? Ik doe het zelf zo: verzoeken van collega’s accepteer ik altijd (na controle of het ook echt collega’s zijn), en andere mensen accepteer ik alleen als ik ze eerder in het echt heb ontmoet. Dat staat ook zo in mijn profiel. Niet dat iedereen dat leest – ik wijs iedere week wel een connectieverzoek af. Daar zal uiterst zelden een crimineel tussen zitten, maar die houd ik zo in ieder geval óók buiten de deur. Heb ik daardoor minder connecties? Ja, maar nou en? En wie graag de Security (b)log op LinkedIn wil lezen, kan me ook gewoon volgen.

En zo, beste intranet-hoofdredacteur, kon Pippi Langkous toch nog het onderwerp worden van een werkgerelateerde blog (-;

 

En in de grote boze buitenwereld …

• hebben Noord-Koreaanse staatshackers het gemunt op academici en mediamensen in de VS en Zuid-Korea.
• zijn we allemaal al eens slachtoffer van een datalek geweest.
• adverteren scammers op Amerikaanse overheidswebsites.
• maken afpersers naaktfoto’s van jou met kunstmatige intelligentie.
• waarschuwen de Britten voor de risico’s van neurotechnologie.
• vraagt de Nederlandse privacytoezichthouder om opheldering over Chat GPT.
• duurt het nog wel even voordat de overheid aan alle beveiligingsstandaarden voldoet.
• lekt Shell data (wie zei ook alweer: data is the new oil?)

 

 

Metaverse

 

Afbeelding via Pixabay

Ooit duidden we het internet aan met de term “de digitale snelweg”. Het was de tijd van 14k4-modems en – als je geluk had – ISDN-lijnen, en vergeleken met vandaag had je eerder moeten spreken van een digitale ventweg. Je stond regelmatig in de file of met panne langs de weg. Maar nu is er het metaverse: een virtuele 3D-wereld, een parallel universum, al dan niet geïntegreerd in de echte wereld, waarin je je volledig kunt onderdompelen en de interactie met andere mensen en bedrijven kunt aangaan.

Voor liefhebbers van de science fictionserie Star Trek is dit niets nieuws: al eind jaren negentig gebruikten captain Jean-Luc Picard, number one Will Riker en de rest van de bemanning het zogenaamde holodeck voor recreatieve en trainingsdoeleinden. Je kon in een veilige omgeving oefenen voor een situatie die je daarna in de echte wereld het hoofd zou moeten bieden. Het metaverse werkt echter niet met hologrammen en krachtvelden, maar met  3D-brillen en augmented reality (Wikipedia: beeld van de werkelijkheid waaraan elementen worden toegevoegd door een computer).

Enkele weken geleden was Winn Schwartau in Nederland. Hij is een Amerikaanse beveiligingsanalist en een vooraanstaande denker op mijn vakgebied. Hij kwam naar Utrecht om zijn kijk op het metaverse te delen, en dat was bepaald geen rooskleurig beeld. Kijk maar eens naar het volgende citaat: “We are digitally terraforming the future cognitive infrastructure. We have ONE chance to get it right.” Terraforming is wat je op een buitenaardse planeet doet om die planeet bewoonbaar te maken – letterlijk het vormen van de aarde. Schwartau laat dit mechanisme los op onze toekomstige kennisinfrastructuur en is van mening dat je heel erg goed moet oppassen wat je doet.

Vanwaar deze zorgen? Schwartau noemt het metaverse de krachtigste realiteitsvervormingsmachine ooit. Je kiest je eigen realiteit, waarin je vervolgens geïndoctrineerd, geradicaliseerd en met advertenties bestookt kunt worden. Hij waarschuwt nadrukkelijk voor het gevaar van verslaving. Ik ben zelf nooit aan wat dan ook verslaafd geweest, maar ik kan best begrijpen dat alcohol, drugs en het metaverse allemaal middelen zijn om de realiteit, waarin het misschien niet zo goed met je gaat, te ontvluchten. Schwartau onderbouwt zijn beeld met informatie uit de neurowetenschap: ons onderbewustzijn verwerkt data vele malen sneller dan ons bewustzijn – tweehonderd miljoen keer zo snel. Zo’n 84% van die verwerkingscapaciteit gaat op aan zien, horen is goed voor 10% en dan blijft er nog een beetje over voor ruiken, proeven en voelen. Als je iemand een 3D-bril opzet en zijn onderbewustzijn bestookt met allerlei prikkels, terwijl hij voor z’n gevoel met iets leuks bezig is, dan kun je zo iemand sterk beïnvloeden. En verslaafd maken.

En toen stond opeens de term metawar op het scherm. Wacht even: het metaverse staat nog in de kinderschoenen, maar er woedt al een oorlog? Amerikanen gebruiken het woord “war” niet alleen in de betekenis van oorlog; vaak betekent het zoiets als strijd, zoals bijvoorbeeld in the war on drugs. Schwartau onderscheidt in deze strijd drie klassen: persoonlijk, bedrijfsmatig/commercieel en nationalistisch. Het toneel voor de persoonlijke strijd bestaat uit de gaming- en advertentiewereld, waarin bedrog op de loer ligt. In de commerciële wereld moeten we vrezen voor deep surveillance capitalism, indoctrinatie van personeel en het einde van privacy. En op nationalistisch gebied worden we bedreigd door religieus extremisme, politiek radicalisme en hersenspoeling.

Desinformatie speelt in alle drie de strijdklassen een rol. Om ons daartegen te verweren bepleit Schwartau drie ontwikkelingen: ChatGPT-detectie (wat is echt en wat is door kunstmatige intelligentie gemaakt?), deepfake-detectie (is die foto, die film of dat geluidsfragment wel echt?) en het aanleren van kritisch nadenken. Vooral bij dat laatste sluit ik mij van harte aan:  gebruik je gezond verstand, en bedenk dat als iets te mooi lijkt om waar te zijn, dat meestal ook zo is.

Om te eindigen met een enigszins positieve noot: ik denk niet dat het metaverse slechter is dan het ‘gewone’ internet. Ook daar wordt immers volop misbruik van gemaakt. Maar met het verhaal van Schwartau in het achterhoofd denk ik wel dat de slechteriken in het metaverse veel meer mogelijkheden hebben om kwaad te doen, omdat ze een veel directere toegang tot je brein – en vooral je onderbewustzijn – hebben. Ik zou zeggen: geniet ervan, maar kijk uit met oversteken.

 

En in de grote boze buitenwereld …

• stapt Twitter uit een EU-akkoord tegen desinformatie.
• adviseert AI over de impact van AI.
• kunnen iPhones met malware worden besmet zonder dat de gebruiker iets hoeft te doen.
• zouden de Amerikanen die iPhone-kwetsbaarheid hebben gebruikt om de Russen te bespioneren.
• ondertekenen de betere cybercriminelen hun malware digitaal, want dan komen ze er makkelijker door.
• worden hackers ook wel eens gehackt.
• mag de Amerikaanse grensbewaking niet meer zomaar je telefoon doorzoeken.
• is Tesla zo lek als een mandje, en de Nederlandse Autoriteit Persoonsgegevens moet dat onderzoeken.
• baseert het AI-model DarkBERT zich volledig op kennis van het darkweb.