 |
| Afbeelding via Pixabay |
Bij
de Douane vroegen ze zich af of het geoorloofd is om je mobiele apparatuur op
te laden bij openbare oplaadpunten. Die vraag kwam bij ons team terecht en toen
wij erover spraken, werd gunnend naar mij gekeken: blogje?
We
hadden natuurlijk gemakkelijk kunnen antwoorden: “Nee, niet doen!” (En dat ga
ik straks heus wel doen.) Maar het is natuurlijk veel beter om uit te leggen
hoe het snoer in de stekker zit en welke alternatieven er zijn. En het zou ook
jammer zijn om alleen de collega’s in ’t groen te bedienen, terwijl dit voor
iedereen – en ook voor jou privé – van belang is.
Het
gaat hier over opladen via een USB-kabel. Iets wat je waarschijnlijk dagelijks
doet met je telefoon of tablet – óók als je een iDing van Apple hebt, want
weliswaar hebben de iets oudere iPhones en iPads aan de kant van het toestel
geen USB-, maar een Lightning-aansluiting, maar welk stekkertje zit er ook
alweer aan de andere kant, aan de kant van de lader? Juist ja, USB-A! En wat is
er dan zo spannend aan USB? Nou, er kan dus meer mee dan alleen opladen: je
kunt er ook data doorheen sturen. Misschien is je printer wel via een USB-kabel
aan je pc aangesloten, of hangt je laptop met zo’n kabel aan een extern
beeldscherm. Ziehier het bewijs dat er data door je USB-aansluiting gaat. Nou
en? Ah, nu raken we mijn vakgebied. Als ergens data kan stromen, dan kan dat
ook zonder dat jij dat merkt. En dat kan weer gevolgen hebben voor de
vertrouwelijkheid van jouw gegevens, of die van je werkgever. Waarbij gegevens
natuurlijk van alles kan zijn: foto’s, contacten, teksten, spreadsheets, noem
maar op. All things digital.
Criminelen
weten dat ook. Onder het motto ‘data is de nieuwe olie’ (oftewel: daar kun je
goud geld mee verdienen) bewandelen ze graag nieuwe paden. En wat heeft dat dan
met die openbare laadpunten te maken, waar de Douane naar vroeg? Nou kijk, zo’n
openbaar laadpunt is een USB-stopcontact in de trein, de bus, een hotelkamer,
noem maar op; je ziet ze tegenwoordig overal. Of het is een USB-kabeltje dat
ergens bungelt. Je ziet ook wel eens van die kleine lockers waarin je je
telefoon aan het infuus kunt hangen (ik heb ze zelfs eens op een
beveiligingsconferentie gezien…). Het probleem met al die genereuze
stroomleveranciers is, dat je niet weet wat – en wie – erachter zit. En nou komt
het: je kunt dus aan zo’n stopcontact of kabeltje iets toevoegen, of er iets
achter hangen wat meer is dan alleen een oplader. Er zijn zelfs kabels
verkrijgbaar met stekkertjes die via wifi informatie doorgeven naar hun baasje.
Dat alles schetst het risico-scenario waar het hier om gaat: dat iemand, via
een ogenschijnlijk onschuldige, gratis oplaadmogelijkheid gegevens van jouw
apparaat steelt. Dit fenomeen heeft zelfs een naam: juice jacking. Met
‘juice’ als in stroom en ‘jacking’ als in hijacking. Via de stroomkabel worden
je gegevens ontvoerd. Ook de algemene media hebben deze sappige term opgepikt;
bij de research voor deze blog stuitte ik op artikelen van RTL Nieuws, de
Cosmopolitan, Hart van Nederland en de Jan. En sommigen doen er best wel
hijgerig over.
In ruim
negen van de tien gevallen zal zo’n openbaar oplaadpunt echter geen enkel
probleem zijn. Ik zie een hacker niet zo snel een trein openschroeven, iets in
een USB-poort verstoppen en dan maar hopen dat ooit iemand met belangrijke
informatie z’n telefoon aan precies dát oplaadpunt hangt. Bij zo’n bungelend
snoertje aan een goedbedoelde paal in de stad, of bij zo’n laadlocker, wordt
het verhaal al iets anders, omdat die veel gemakkelijker zijn te manipuleren.
Het gros van de slachtoffers van dergelijke aanvallen is getarget: iemand heeft
het gemunt op een specifieke persoon omdat die over specifieke informatie
beschikt. Als ik naar mijn primaire doelgroep kijk en het over dergelijke
aanvallen heb, dan noem ik altijd twee organisaties: de Douane en de FIOD.
Beiden beschikken over informatie die interessant is voor criminelen, en in
ieder geval van de Douane weet ik dat ze nog wel eens in het buitenland acte de
présence geven, en dat maakt het soms net allemaal iets spannender.
Wat kun
je doen om het gebruik van publieke oplaadpunten te vermijden? Ga van huis met
een volle accu, en als je weet dat je het daarmee niet redt, wees dan
voorbereid: neem je eigen lader én snoer mee. Bang dat je geen stopcontact
vindt? Stop dan ook een powerbank in je tas. Liefst een iets duurdere, die je
toestel lekker snel oplaadt. Kun je écht niet om een publiek oplaadpunt heen,
gebruik dan een USB-condoom (of de preutsere variant, de juice-jack defender).
Dat is een stekkertje dat je in je toestel prikt en waar aan de andere kant dat
publieke laadsnoertje in gaat. USB-condooms laten alleen stroom door, geen
data. Gebruik nooit een gevonden laadsnoer of oplader; die zijn misschien niet
per ongeluk daar terechtgekomen. En als je toestel je de keus geeft tussen
data-overdracht en ‘alleen opladen’, kies dan die laatste optie.
Het
komt er dus, zoals bovenaan voorspeld, hierop neer: gebruik gewoon geen
openbare oplaadpunten. Nergens, nooit, ook al ben je ‘niet belangrijk’. Als je
dat principe hanteert, dan hoef je er verder nooit meer over na te denken.
En in de grote boze buitenwereld …
- construeerden onderzoekers een exploit die computers tijdens het opstarten compromitteert.
- kunnen QR-codes op allerlei manieren misbruikt worden.
- staat de jaarlijkse kerstpuzzel van de AIVD online.
- was deze kwetsbaarheid er toch geen.
- zijn gegevens van miljoenen cliënten van een commercieel DNA-testbureau gelekt.
- kun je veel geld verdienen als je de VS helpt om Noord-Koreaanse hackers te bestrijden.
- verstoppen deze phishers zich achter een verzonnen kwetsbaarheid in Wordpress.
- bestaat “Have I been pwned?” tien jaar.
- kun je natuurlijk ook een kerncentrale hacken.
- bekende een Russische hacker schuld in de VS.
- lekt je password manager mogelijk wachtwoorden naar apps.
- maakt de Nederlandse privacytoezichthouder zich zorgen om generatieve AI.
- geldt hetzelfde voor de Britten.
Geen opmerkingen:
Een reactie posten