Sleutels namaken

 

Foto van auteur

Herinner je je Mister Minit nog? In mijn herinnering waren dat van die kiosken in warenhuizen waar je schoenen kon laten herstellen en sleutels kon laten namaken. In diezelfde herinnering zie ik het logo, een mannetje in een rood jasje, dat een uitnodigend gebaar maakt. Tot mijn verrassing bestaat Mister Minit nog. Tegenwoordig draagt hij een blauwe polo en heeft hij in Nederland slechts drie vestigingen. Ten zuiden en oosten van ons land is hij veel groter. En hij heeft bijgeleerd – hij repareert nu ook je horloge en graveert je naam op een pen of naambord.

In Australië en Nieuw-Zeeland is Mister Minit heel groot, maar ik weet niet of hij ooit de VS heeft betreden. Daar hebben ze sowieso een andere oplossing voor het namaken van sleutels: automaten. Het bedrijf Minutekeys (hé, ik zie een overeenkomst!) heeft automaten (‘kiosks’) in de entree van grote supermarkten, zoals Walmart. Die automaten kunnen sleutels van woningen, kantoren en hangsloten namaken. Sleutels met de merking ‘Do Not Duplicate’ en sleutels van schoolgebouwen of andere sleutels waar een beperking op rust, worden niet nagemaakt.

Ken je die Engelse uitdrukking “what could possibly go wrong?” Het is natuurlijk weer mijn beroepsdeformatie die ervoor zorgt dat ik me bij zo’n machine meteen afvraag wat er zoal mis zou kunnen gaan. Toen ik voor het eerst zo’n automaat zag, schoot ik ook meteen in die modus. Een machine, waarbij je geheel anoniem – je kunt ook met contanten betalen – een sleutel kunt laten namaken, biedt perspectieven voor kwaadwillenden. Daar zijn die automaten natuurlijk helemaal niet voor bedoeld; ze zijn er om jou sleutels te laten namaken van sloten die van jou zijn. Maar is het zo vergezocht dat iemand een sleutel ‘leent’, die snel laat namaken en het origineel gauw teruglegt? Je bent aan het sporten, iemand brengt een bezoekje aan de kleedkamer, haalt jouw huissleutel op en gaat even langs zo’n automaat. Vooraf heeft hij bij de sporthal staan posten, dus hij weet bij wie die tas hoort waar de sleutel in zat. Na het sporten volgt hij je naar huis. Nu weet hij waar je woont en hij heeft de sleutel van je huis al. Hij hoeft alleen nog een gunstig moment af te wachten om de boel leeg te halen. Andere scenario’s zijn welkom (alleen voor onderzoeksdoeleinden).

Zoals trouwe lezers weten, begint deze blog vaak met een situatie uit het echte leven, die ik vervolgens een twist geef richting informatiebeveiliging. Dat is niet altijd gemakkelijk; soms begin ik met schrijven en vraag me onderwijl af hoe ik die situatie in hemelsnaam naar mijn vakgebied toe kan praten. Daar zat ik nu ook beetje mee, maar het eten van een appel bracht uitkomst. Want tijdens het eten kan ik niet schrijven, maar wel lezen. En dus begon ik alvast wat artikelen voor de rubriek En in de grote boze buitenwereld… te lezen. Blijkt er dus twee dagen geleden een artikel te zijn verschenen over iemand uit Boskoop, die op het dark web sleutels kocht voor de wachtwoordkluizen (password managers) van ruim duizend mensen. Daardoor kon hij beschikken over de wachtwoorden van alle accounts die iemand daar in had staan: e-mail, online winkels, noem maar op. Hij kon spullen bestellen en de bestelbevestigingen uit de mail verwijderen, zodat er geen haan naar kraaide. Alleen de bankrekening van het slachtoffer maakte melding van de bestellingen.

Betekent dat nu dat password managers toch niet veilig zijn? Nou, nee. De wachtwoorden van die kluizen werden gejat met behulp van malware. Als je een computer of een mobiel apparaat hebt zonder goede virusscanner, dan loop je het risico op een besmetting. Criminelen kunnen dan malware installeren die het wachtwoord voor je kluis afvangt als je zelf de kluis opent. Het is dus niet de kluis zelf die niet veilig is – de kluis staat alleen in een onveilige omgeving. Als je een echte brandkast in de publieke ruimte neerzet, moet je ook niet raar opkijken als sommige mensen over je schouder meekijken als je de code invoert.

Bij deze dan ook weer de periodieke oproep om te zorgen voor goede bescherming tegen malware. Dat hoeft je niet eens geld te kosten. Zo presteert bijvoorbeeld de in Windows ingebouwde virusscanner (Microsoft Defender Antivirus) prima – maar alleen als hem niet hebt uitgezet. Ook voor Android-toestellen zijn er prima gratis en betaalde apps beschikbaar (die je uiteraard alleen van Google Play haalt). Ik adviseer dan ook zeker om je Android-toestel ermee te beveiligen. Gebruikers van iPhones en iPads moeten nog steeds vertrouwen op het inherent veilige ecosysteem dat Apple voor deze apparaten meent te hebben; er staan geen virusscanners in de App Store (wel talrijke andere beveiligingsapps).

Wat overigens ook helpt tegen het verkrijgen van illegale toegang tot je password manager, is als je die app opent met je vingerafdruk in plaats van met het wachtwoord. Die kunnen Mister Minit en de automaten van Minutekeys nog niet namaken.

 

En in de grote boze buitenwereld …

• kunnen digitale sleutels dus ook ongemerkt worden nagemaakt.
• lees je hier meer over hoe dat werkte.
• lijkt het erop dat vorig jaar buitgemaakte LastPass-kluizen gekraakt zijn.
• werkt deze exploit voor Apple-producten zonder dat de gebruiker ook maar iets hoeft te doen.
• is je nieuwe auto een privacy-nachtmerrie op wielen.
• presenteert Chrome advertenties op basis van je browsergeschiedenis.
• zijn er (voorlopig) weer afspraken gemaakt over de doorgifte van persoonsgegevens naar de VS.
• is een slimme kuisheidsgordel misschien toch niet zo’n goed idee.
• werkt de rijksoverheid aan een visie op het gebruik van kunstmatige intelligentie.
• onderstreept dit artikel het belang van security by design.