Herriebakje voor 007

 

Foto van auteur

Wat hebben Desmond Llewelyn, John Cleese en Ben Whishaw gemeen? Wel, ze speelden allemaal de rol van Q in James Bond-films. Je weet wel, die norse man die Bond van allerlei technische snufjes voorziet, zoals schoenen met een giftig mes erin verwerkt, een lipstickbom en een horloge met een krachtige ingebouwde laser. Niet dat ik zo’n grote 007-fan of Q-groupy ben, maar ik liep laatst tegen een bijzonder ding aan dat niet zou misstaan in het arsenaal van een dubbel-nul-agent.

Het lijkt wel op een sushi-doosje, zei iemand. Maar dan wel een zware, want het geval weegt 600 gram, mede door de dikke bodem en dito deksel. Het deksel sluit hermetisch en op het ronde dingetje aan de voorkant staat automatic pressure purge. Binnenin zie je een kleine schakelaar, plus- en min-knoppen en een paar ledjes. Nee, dit is geen sushi-doos. Dit is echt iets uit het laboratorium van Q.

Als je het apparaat – want dat is het – aanzet en het deksel sluit, dan hoor je ruis. De volumeknoppen geven je zes verschillende standen; in alle standen hoor je de white noise door het gesloten doosje heen, en in de hardste stand is het ronduit irritant. Zodra je het deksel opent, stopt de herrie.

Ben je er al uit? Ik zal het maar verklappen. Dit ding is bedoeld om je telefoon in op te bergen tijdens vertrouwelijke besprekingen. De ruis zorgt ervoor dat eventuele luistervinken, die je telefoon hebben gehackt om je stiekem af te kunnen luisteren, alleen maar ruis horen. En door het transparante deksel kun je wel zien als er iets op je telefoon binnenkomt, bijvoorbeeld een bericht of een gesprek. Dat is het voordeel van deze doos boven een kooi van Faraday, die alle elektromagnetische straling blokkeert en feitelijk een vliegtuigmodus creëert – waarbij overigens niet kan worden uitgesloten dat malware een opname maakt en die later alsnog verstuurt. Kortom, met deze doos ben je tegelijkertijd bereikbaar en niet-afluisterbaar. Wow.

Ik zie het helemaal voor me. James Bond in het kantoor van M, die op het punt staat om de volgende opdracht te onthullen. Maar eerst gaan de telefoons in zo’n box. Want tja, top secret natuurlijk, die bespreking. En dergelijke functionarissen zijn per definitie een doelwit van het soort hackers dat over de kennis en de middelen beschikt om afluistersoftware te planten (ik denk aan onze geliefde statelijke actoren). En onze filmhelden moeten natuurlijk wel te allen tijde bereikbaar blijven, want misschien belt hun Amerikaanse collega Felix Leiter wel met belangrijk nieuws.

In het echte leven zal de markt voor dit product ook wel de wereld van spionnen zijn. Daarnaast zullen ook top-industriëlen en andere mensen, die iets weten wat anderen ook dolgraag zouden weten, tot de klandizie behoren van het Nederlandse bedrijf dat dit ding heeft ontwikkeld. Je zult ‘m minder gauw tegenkomen in een webshop met leuke cadeau-ideeën voor de kerst, al was het alleen maar omdat ’ie nogal prijzig schijnt te zijn.

In minder spannende ecosystemen gebruiken ze een armeluisvariant van dit high tech apparaat: een weckpot. Je weet wel, zo’n glazen pot met een rubberen ring en een beugelsluiting, bedoeld voor het inmaken van groente en fruit. Nou, in zo’n hermetisch gesloten pot kun je dus ook prima je telefoon stoppen, terwijl hij toch zichtbaar blijft (wel eerst het voedsel eruit halen en goed schoonmaken hè). Bij gebrek aan een weckpot kan ik nu even niet testen of er inderdaad geen geluid doordringt, maar ik wil wel geloven dat het gebruik ervan niet zinloos is. Al was het alleen maar dat de bewustwording op het thema vertrouwelijkheid een boost krijgt als er opeens weckpotten op de vergadertafel staan.

Prettige feestdagen wenst Borsoi, Patrick Borsoi.

De Security (b)log keert na de jaarwisseling terug.

 

En in de grote boze buitenwereld …

• claimt een marketingbedrijf dat het via je telefoon of smartspeaker met gesprekken kan meeluisteren om doelgerichte reclame op je af te sturen.
• heeft de EU nu AI-regelgeving, maar er gebeurt nog even niet zoveel mee.
• rijdt deze Poolse trein niet meer, zodra een derde partij eraan sleutelt.
• valt het wel mee met die lekkende wachtwoordmanagers van vorige week.
• hebben Britse militairen nog wel eens moeite met het verschil tussen ‘aan’ en ‘bcc’.
• woedt ook de cyberoorlog in Oekraïne voort.
• leren Libische ambtenaren om te gaan met cyberdreigingen bij toekomstige verkiezingen.
• waarschuwt de overheid voor berichten van valse bezorgdiensten.
• vreest de Britse overheid een catastrofale ransomware-aanval.
• wordt Adobe voor de rechter gesleept wegens het plaatsen van trackingcookies.
• zijn chatbots zoals ChatGPT ‘in beginsel’ taboe voor rijksambtenaren.

USB-condooms

 

Afbeelding via Pixabay

Bij de Douane vroegen ze zich af of het geoorloofd is om je mobiele apparatuur op te laden bij openbare oplaadpunten. Die vraag kwam bij ons team terecht en toen wij erover spraken, werd gunnend naar mij gekeken: blogje?

We hadden natuurlijk gemakkelijk kunnen antwoorden: “Nee, niet doen!” (En dat ga ik straks heus wel doen.) Maar het is natuurlijk veel beter om uit te leggen hoe het snoer in de stekker zit en welke alternatieven er zijn. En het zou ook jammer zijn om alleen de collega’s in ’t groen te bedienen, terwijl dit voor iedereen – en ook voor jou privé – van belang is.

Het gaat hier over opladen via een USB-kabel. Iets wat je waarschijnlijk dagelijks doet met je telefoon of tablet – óók als je een iDing van Apple hebt, want weliswaar hebben de iets oudere iPhones en iPads aan de kant van het toestel geen USB-, maar een Lightning-aansluiting, maar welk stekkertje zit er ook alweer aan de andere kant, aan de kant van de lader? Juist ja, USB-A! En wat is er dan zo spannend aan USB? Nou, er kan dus meer mee dan alleen opladen: je kunt er ook data doorheen sturen. Misschien is je printer wel via een USB-kabel aan je pc aangesloten, of hangt je laptop met zo’n kabel aan een extern beeldscherm. Ziehier het bewijs dat er data door je USB-aansluiting gaat. Nou en? Ah, nu raken we mijn vakgebied. Als ergens data kan stromen, dan kan dat ook zonder dat jij dat merkt. En dat kan weer gevolgen hebben voor de vertrouwelijkheid van jouw gegevens, of die van je werkgever. Waarbij gegevens natuurlijk van alles kan zijn: foto’s, contacten, teksten, spreadsheets, noem maar op. All things digital.

Criminelen weten dat ook. Onder het motto ‘data is de nieuwe olie’ (oftewel: daar kun je goud geld mee verdienen) bewandelen ze graag nieuwe paden. En wat heeft dat dan met die openbare laadpunten te maken, waar de Douane naar vroeg? Nou kijk, zo’n openbaar laadpunt is een USB-stopcontact in de trein, de bus, een hotelkamer, noem maar op; je ziet ze tegenwoordig overal. Of het is een USB-kabeltje dat ergens bungelt. Je ziet ook wel eens van die kleine lockers waarin je je telefoon aan het infuus kunt hangen (ik heb ze zelfs eens op een beveiligingsconferentie gezien…). Het probleem met al die genereuze stroomleveranciers is, dat je niet weet wat – en wie – erachter zit. En nou komt het: je kunt dus aan zo’n stopcontact of kabeltje iets toevoegen, of er iets achter hangen wat meer is dan alleen een oplader. Er zijn zelfs kabels verkrijgbaar met stekkertjes die via wifi informatie doorgeven naar hun baasje. Dat alles schetst het risico-scenario waar het hier om gaat: dat iemand, via een ogenschijnlijk onschuldige, gratis oplaadmogelijkheid gegevens van jouw apparaat steelt. Dit fenomeen heeft zelfs een naam: juice jacking. Met ‘juice’ als in stroom en ‘jacking’ als in hijacking. Via de stroomkabel worden je gegevens ontvoerd. Ook de algemene media hebben deze sappige term opgepikt; bij de research voor deze blog stuitte ik op artikelen van RTL Nieuws, de Cosmopolitan, Hart van Nederland en de Jan. En sommigen doen er best wel hijgerig over.

In ruim negen van de tien gevallen zal zo’n openbaar oplaadpunt echter geen enkel probleem zijn. Ik zie een hacker niet zo snel een trein openschroeven, iets in een USB-poort verstoppen en dan maar hopen dat ooit iemand met belangrijke informatie z’n telefoon aan precies dát oplaadpunt hangt. Bij zo’n bungelend snoertje aan een goedbedoelde paal in de stad, of bij zo’n laadlocker, wordt het verhaal al iets anders, omdat die veel gemakkelijker zijn te manipuleren. Het gros van de slachtoffers van dergelijke aanvallen is getarget: iemand heeft het gemunt op een specifieke persoon omdat die over specifieke informatie beschikt. Als ik naar mijn primaire doelgroep kijk en het over dergelijke aanvallen heb, dan noem ik altijd twee organisaties: de Douane en de FIOD. Beiden beschikken over informatie die interessant is voor criminelen, en in ieder geval van de Douane weet ik dat ze nog wel eens in het buitenland acte de présence geven, en dat maakt het soms net allemaal iets spannender.

Wat kun je doen om het gebruik van publieke oplaadpunten te vermijden? Ga van huis met een volle accu, en als je weet dat je het daarmee niet redt, wees dan voorbereid: neem je eigen lader én snoer mee. Bang dat je geen stopcontact vindt? Stop dan ook een powerbank in je tas. Liefst een iets duurdere, die je toestel lekker snel oplaadt. Kun je écht niet om een publiek oplaadpunt heen, gebruik dan een USB-condoom (of de preutsere variant, de juice-jack defender). Dat is een stekkertje dat je in je toestel prikt en waar aan de andere kant dat publieke laadsnoertje in gaat. USB-condooms laten alleen stroom door, geen data. Gebruik nooit een gevonden laadsnoer of oplader; die zijn misschien niet per ongeluk daar terechtgekomen. En als je toestel je de keus geeft tussen data-overdracht en ‘alleen opladen’, kies dan die laatste optie.

Het komt er dus, zoals bovenaan voorspeld, hierop neer: gebruik gewoon geen openbare oplaadpunten. Nergens, nooit, ook al ben je ‘niet belangrijk’. Als je dat principe hanteert, dan hoef je er verder nooit meer over na te denken.

 

En in de grote boze buitenwereld …

• construeerden onderzoekers een exploit die computers tijdens het opstarten compromitteert.
• kunnen QR-codes op allerlei manieren misbruikt worden.
• staat de jaarlijkse kerstpuzzel van de AIVD online.
• was deze kwetsbaarheid er toch geen.
• zijn gegevens van miljoenen cliënten van een commercieel DNA-testbureau gelekt.
• kun je veel geld verdienen als je de VS helpt om Noord-Koreaanse hackers te bestrijden.
• verstoppen deze phishers zich achter een verzonnen kwetsbaarheid in Wordpress.
• bestaat “Have I been pwned?” tien jaar.
• kun je natuurlijk ook een kerncentrale hacken.
• bekende een Russische hacker schuld in de VS.
• lekt je password manager mogelijk wachtwoorden naar apps.
• maakt de Nederlandse privacytoezichthouder zich zorgen om generatieve AI.
• geldt hetzelfde voor de Britten.

 

Quantumpadvinder

 

Foto Petra Wevers

Waar denk jij aan bij het woord kwantum? Het betekent hoeveelheid, maar ik denk vooral aan gróte hoeveelheid. Zal wel komen door de term kwantumkorting: koop veel van iets en het wordt goedkoper. Er schemert ook nog iets oranje voor mijn geestesoog, en dat komt door die woonwinkelketen met z’n oranje logo, die ooit begon onder de naam Kwantum Hallen.

Sinds een tijdje zoemt het woord door de ICT-gemeenschap in de Engelse spelling: quantum. En dan gaat het over de quantumcomputer, die vreemde machine die zo van de filmset van Back to the future lijkt te zijn ontsnapt, met z’n stelsel van sierlijke buizen, die voor koeling moeten zorgen. Want de quantumcomputer heeft het graag koud: in het hart van de machine bedraagt de temperatuur slechts tien milliKelvin (een ietsiepietsie kouder, 0 K of afgerond -273 °C, is het absolute nulpunt: kouder kan niet). ‘Quantum’ is in deze context niet veel, maar draait juist om minimale hoeveelheden.

Behalve het bizarre uiterlijk en de dito condities om te kunnen functioneren, heeft de kwantumcomputer nog een eigenaardige eigenschap. Zolang er computers bestaan, zijn we gewend aan de bit: een waarde die 0 of 1 kan zijn en waar de computer mee kan rekenen. Maar die gekke quantumcomputer werkt met qbits (‘kjoebits’), die 0 en 1 tegelijk kunnen zijn, en alles daar tussenin. Tot je ernaar kijkt, want dan moet de qbit kleur bekennen. Zo’n beetje als de kat van Schrödinger, die in een gesloten doos zit en daarom voor een observator tegelijk dood en levend is, tot het moment waarop hij de doos opent en vaststelt in welke staat het beest verkeert. Met die qbits kun je sommige berekeningen razendsnel uitvoeren, omdat je meerdere paden tegelijk kunt bewandelen. Terwijl gewone computers werken volgens het stramien ‘als dit waar is, doe dan zus, en anders zo’, doet de quantumcomputer gewoon allebei en ziet uiteindelijk wel waar hij uitkomt. Daardoor maakt hij veel fouten, maar omdat hij de berekeningen heel vaak uitvoert, tekent zich een winnende uitkomst af.

Ik praat hierover met ons kersvers teamlid Petra Wevers, die zich padvinder op het gebied van quantum security noemt. Quantumcomputers vormen een bedreiging voor de huidige manier waarop we onze gegevens beveiligen. Die is namelijk in zeer belangrijke mate gebaseerd op een complex wiskundig probleem. Om bestanden te versleutelen heb je sleutels nodig, en die worden gemaakt door zeer grote priemgetallen met elkaar te vermenigvuldigen. Een aanvaller, die de sleutel wil bemachtigen, beschikt wel over de uitkomst van die rekensom, maar het terugvinden van de beide priemgetallen (factorisatie) is uiterst moeizaam. Althans, voor gewone computers. Voor quantumcomputers is het echter een peulenschil. En daarmee vormt de quantumcomputer dus een grote bedreiging voor de vertrouwelijkheid van onze gegevens.

De huidige quantumcomputers kunnen dat nog niet. De voorspellingen lopen ver uiteen, maar vaak hoor je dat het nog ergens tussen de 7 en 10 jaar zal duren. Ook gehoord: vanaf 2030 is er een reële maar kleine kans op het breken van cryptografie. Voor het breken van RSA 2048 (een bepaald cryptografisch algoritme, met een sleutellengte van 2048 bits) is naar verwachting een quantumcomputer met een miljoen qbits nodig, terwijl de krachtigste bekende (!) computer er slechts 433 heeft. Oh, denk je, we hebben dus geen haast. Fout. Veel informatie, die nu vertrouwelijk is, is dat over tien jaar ook nog. Aanvallers met een lange adem, zoals bepaalde landen, stelen die informatie nu al, ook al kunnen ze er nog niks mee. Maar als ze die informatie een decennium later wél kunnen lezen, hebben ze er alsnog iets aan. Steal now, decrypt later, is hun leus. Petra noemt de situatie, waarin we ons nu bevinden, de quantum sqeeze. Anderen spreken over Qday of zelfs over de Quantum Apocalyps, maar het komt allemaal neer op hetzelfde: we moeten iets doen voor het te laat is. En wel nu.

We hebben nog geen quantum-safe cryptografie, en de route daarheen is ook nog niet uitgekristalliseerd, aldus Petra. Er zijn wel lapmiddelen. Sleutels langer maken bijvoorbeeld, zodat zelfs een quantumcomputer er even zoet mee is. En – sta me toe dat ik heel even specifiek wordt – overstappen op TLS 1.3, omdat eerdere versies, die nu nog volop in gebruik zijn, geen hybride algoritmes (een opeenstapeling van verschillende algoritmes) aan kunnen. Daarnaast kunnen we de quantumcomputer ook nog pesten (‘quantum-annoying zijn’) door sleutels vaak te verversen, zodat de quantumcomputers omkomen in het werk. En als je als organisatie spullen inkoopt, neem dan quantum-veiligheid mee in je eisenpakket. Vraag je leveranciers naar hun plannen op dit gebied.

Overheden en de wetenschap maken serieus werk van onze veiligheid, zegt Petra. Zoals in het programma Quantumveilige Cryptografie Rijk. Volgend jaar komt het NIST (het Amerikaanse standaardisatie-instituut) met standaarden op dit gebied, die naar verwachting drie jaar later in commerciële producten zijn verwerkt. Maar Petra mist aandacht voor het feit dat straks iedereen via een website op quantumcomputers kan werken – ook criminelen. Net zoals we nu ook allemaal gebruik kunnen maken van kunstmatige intelligentie. Het is overigens niet alleen maar kommer en kwel: quantumcomputers gaan bijvoorbeeld ook helpen bij de ontwikkeling van nieuwe medicijnen en batterijen, zo luidt de verwachting. Laten we ervoor strijden dat het positieve gebruik van deze baanbrekende technologie het wint.

 

En in de grote boze buitenwereld …

• heb je niet altijd een quantumcomputer nodig om cryptosleutels te bemachtigen.
• ligt het gevaar van gehackte kunstmatige intelligentie op de loer.
• kampt de luchtvaart boven het Midden-Oosten met aanvallen op navigatiesystemen.
• deelt NameDrop op je iPhone (te) gemakkelijk jouw contactinformatie.
• snuffelden Chinese spionnen jarenlang in de computers van een Nederlandse chipfabrikant. [Je kunt de taal zelf op Nederlands instellen.]
• hebben internationale politiediensten een Oekraïense ransomware-bende opgerold.
• waren de verkiezingen best wel veilig.
• is er nu ook een matras met privacybeleid.