Uitlekgewicht

 

Afbeelding via Unsplash

Het is toch van de zotte dat je je als burger zorgen moet maken over je privacy. Vroeger, toen Roger Moore nog James Bond speelde, hoefde je alleen rekening te houden met externe interesse in jouw doen en laten als je een bijzonder bedrijf of een regering was. Maar tegenwoordig? Alles heeft tegenwoordig een privacybeleid. En dat betekent dat jouw privacy overal in het geding is. Anders was dat beleid namelijk niet nodig.

Zo, de toon is gezet, en wel voor de Europese Dag van de Privacy, 28 januari. Die is dus kennelijk óók nodig. Getuige ook deze mijmering van Omri Elisha, hoogleraar antropologie in New York:

We memorized phone numbers.
We memorized driving directions.
No one knew what we looked like.
No one could reach us.
We were gods.

In die tijd speelde je als kind buiten met je vriendjes, waar je op goed geluk had aangebeld of die je anders buiten wel ergens vond. Als jongetje droeg je rubberen laarzen en speelde je bij voorkeur bij de plaatselijke modderpoel. Je had hooguit een horloge en een tijd wanneer je van je moeder thuis moest zijn (en hopelijk was er dan tijd ingecalculeerd om je schoon aan tafel te krijgen). Ja, wij waren die goden, alleen beseften we het niet.

Als ouder kijk ik daar anders naar. Het is best wel prettig dat je je kinderen onder de digitale knop hebt zitten – tenminste, als ze op je reageren. Ben je ongerust omdat ze nog niet thuis zijn, of wil je vragen om even een vergeten boodschap mee te brengen? Een appje doet meestal wonderen. Gaan ze ergens heen? Dan kunnen ze appen dat ze goed zijn aangekomen, of ze delen hun live locatie zodat je in noodgevallen weet waar ze uithangen. Andersom werkt het ook: is er hulp nodig, dan zijn papa en mama gemakkelijk bereikbaar. De prijs voor deze geruststellende technologie is privacy. Maar omdat de kinderen van deze eeuw niet beter weten, missen ze die niet.

Tegenwoordig koop je bijna geen apparaat met een stekker meer waar geen privacybeleid op van toepassing is. Ga je daar niet mee akkoord, dan kun je het niet gebruiken. Geen hond die het leest, iedereen gaat blindelings akkoord. Al was het maar omdat het altijd van die lange, taaie verhalen zijn. Je zou haast willen dat er gewoon stond: alle gegevens, die dit product over u en uw omgeving verzamelt, kunnen naar eigen goeddunken worden gebruikt door de fabrikant en al zijn zakenpartners. Ik ken één geval waarin men zo openhartig is. Als je naar de VS reist en uit een bevriend land komt, dan hoef je geen visum te hebben, maar kun je volstaan met een online aan te vragen ESTA (Electronic System for Travel Authorization). Als je dat proces ingaat, dan krijg je een niet mis te verstane security notification, die als volgt begint:

You are about to access a Department of Homeland Security computer system. This computer system and data therein are property of the U.S. Government and provided for official U.S. Government information and use. There is no expectation of privacy when you use this computer system. The use of a password or any other security measure does not establish an expectation of privacy.

Zo simpel is het: als je dit systeem gebruikt, dan hoef je geen privacy te verwachten. Zelfs beveiligingsmaatregelen, die de schijn van privacy zouden kunnen wekken, zijn er niet voor jouw privacy. Het doet mij onwillekeurig denken aan de begroeting van de Borg in Star Trek (zie deze Security (b)log). Hoe anders gaat dat gelukkig bij onze eigen overheid, waar men over het algemeen zijn stinkende best doet om onze privacy wél te waarborgen.

Laatst wilde ik een product retourneren. De webshop zou mij een DHL-verzendlabel sturen. Ik ontving een mailtje van DHL met daarin niet alleen mijn verzendlabel, maar ook die van nog een paar andere klanten. De webshop zelf had die labels niet ontvangen. Klein leed, maar het geeft wel aan hoe gemakkelijk persoonsgegevens kunnen uitlekken.

Op een pot groente staat het uitlekgewicht vermeld – hoeveel gram groente zit erin, zonder het vocht? Misschien moeten websites ook zo’n vermelding gaan plaatsen: gezien ons beveiligingsniveau loopt u 5/25/50/75/100% kans dat uw gegevens uitlekken.

En in de grote boze buitenwereld …

• maakt een tool als deze alle privacy policies knap waardeloos.
• hebben FG’s het moeilijk.
• gunt Microsoft ons een kijkje in een statelijke aanval op hun systemen.
• brachten de Britten de impact van AI op cybersecurity in kaart.
• bespioneren de Russen zowel Microsoft als HP.
• lieten Amerikaanse rechercheurs het gezicht van een moordenaar reconstrueren met behulp van
• DNA, en daar wilden ze gezichtsherkenning op loslaten.
• vreesde de NSA eind vorige eeuw de Furby.
• hebben veel securityproducten een betere user interface nodig.
• onderzocht de Universiteit Twente het besluitvormingsproces van ransomwareslachtoffers. (Klik hier voor het hele rapport.)
• wordt het vinden van beveiligingslekken niet altijd op prijs gesteld.

 

Getrapte poëzie

 

Foto van auteur

Den Haag, Ministerie van Justitie en Veiligheid. Vanaf de bovenste verdieping, de 36^e, heb je een magnifiek uitzicht op de wijde omgeving. Zelfs op een meteorologisch uitdagende dag als afgelopen maandag, met afwisselend zon, sneeuwbuien en harde wind. Als je hier een vergadering hebt, dan moet je enig tijdverlies wegens naar buiten kijken voor lief nemen (roep nou niet “Raamambtenaren!” Jij zou ook naar buiten kijken). Maar er valt meer te beleven.

Een trappenhuis in een kantoor is vaak een saaie bedoening, want tja, zeker in een hoog gebouw komt daar toch amper iemand. Maar daar, aan de Turfmarkt, hebben ze de stootborden van de trap voorzien van spreuken. Op de trap tussen de 35^e en 36^e verdieping is deze te lezen: Een ongeluk zit in een klein hoekje. Het geluk zit in de rest.

Voor mensen zoals ik, die zich beroepsmatig bezighouden met wat er allemaal mis kan gaan, is de relativerende kracht van deze spreuk wellicht nog groter dan voor ‘gewone’ mensen. Wij zitten in dat kleine hoekje te speuren en te peuren, terwijl we over het algemeen toch relatief weinig echt grote ellende zien. Ja, er zijn regelmatig nieuwsberichten over datalekken, ransomware- en DDoS-aanvallen en criminele phishing-acties, maar die zijn niet ontwrichtend. Zelfs in Oekraïne, dat inmiddels al twee jaar zucht onder oorlogsgeweld en waar het cybergedeelte van de oorlog nog veel eerder begon, werkt de digitale maatschappij nog gewoon. Niet kapot te krijgen. Je zou dus kunnen denken dat we over het algemeen niet in dat kleine hoekje zitten, maar op de rest van de trap.

In dat soort situaties roep ik altijd graag het jaar 2000 in herinnering, of nauwkeuriger: de jaarwisseling naar het nieuwe millennium. Die ligt alweer bijna een kwart eeuw achter ons, wat betekent dat er inmiddels een werkende generatie is die deze overgang niet heeft meegemaakt. Welnu, jongelui, er was heel wat gedoe, en dat gedoe had een naam: millenniumbug. Terwijl je deze blog misschien wel op je smartphone leest, die in feite een best wel krachtige computer is, kun je je bijna niet voorstellen dat computergeheugen in de vorige eeuw een schaars goed was. Tegenwoordig is een gigabyte de kleinste eenheid waar we over praten, maar destijds ging het om kilobytes. Dat scheelt zes nullen, oftewel een factor miljoen. Waar je nu een USB-stick van 64 GB voor minder dan een tientje koopt, moesten we het vroeger doen met floppy disks van 512 kB, die je kocht in doosjes van tien stuks. De volgende generatie, waar 1,44 MB op kon (ruim dubbel zoveel!), voelde als een forse sprong vooruit. Als je een applicatie op je pc wilde installeren, was je diskjockey: zo’n product werd geleverd op een stapeltje diskettes – zoals die dingen in het Nederlands heten – die je stuk voor stuk moest invoeren. Downloaden moest nog worden uitgevonden.

Opslaggeheugen was schaars, en er werd op beknibbeld waar het maar kon. Bijvoorbeeld bij de datum. Waarom zou je 1977 schrijven als 77 voldoende was? Zelfs buiten computers om was dat gebruikelijk: ik leerde op school de datumnotatie 24-5-’65. Die apostrof duidde de eeuw aan, maar die kon je net zo goed weglaten. In computers scheelde het toch maar weer mooi twee posities bij iedere datum. Maar toen de eeuwwisseling naderde, kwam een probleem in zicht. Opeens zou 31 niet meer vanzelfsprekend 1931 betekenen, maar kon het ook 2031 zijn. Computers zouden zich daarin verslikken, bijvoorbeeld als ze moesten sorteren. Hemel en aarde werden bewogen om het onheil af te wenden. In Nederland werd daar omgerekend en naar schatting negen miljard euro aan gespendeerd, en wereldwijd driehonderd miljard dollar, aldus Wikipedia.

Toen de kruitdampen van het vuurwerk verwaaid waren, bleek er maar weinig mis te zijn gegaan. Er kwam veel kritiek: hebben we dan al dat geld voor niks uitgegeven? Ik kan me nu nog behoorlijk opwinden over zoveel naïviteit. Want waarom ging het zo goed, denk je? Door die mega-inspanning natuurlijk! Het is zo klaar als een klontje: er is een probleem, je lost het op, gevaar afgewend. Op dit abstractieniveau is het niet moeilijker dan dit.

Terug naar de trap van JenV. Die spreuk, die klopt niet. Het gezegde een ongeluk zit in een klein hoekje betekent: er kan gemakkelijk iets gebeuren. De tweede zin van de trapspreuk doet daarentegen net alsof er amper ongelukken gebeuren en de meeste dingen goed gaan. Dat het in de digitale maatschappij relatief goed gaat, komt door alle maatregelen die worden getroffen om problemen te voorkomen, én door snelle, adequate reactie als er toch iets gebeurt. De spreuk op de trap zou dan ook moeten luiden: Een ongeluk zit in een klein hoekje. Pak een bezem en veeg dat hoekje schoon.

 

En in de grote boze buitenwereld …

• zijn foreverdays veel erger dan 0-days.
• is een Russische student opgepakt omdat hij Oekraïne zou helpen met cyberaanvallen.
• rapt deze jongeman niet alleen over cybercrime, maar bedrijft hij het ook.
• wordt AI gebruikt om je te laten geloven dat een bekende je belt.
• circuleren tientallen miljoenen gestolen wachtwoorden al maandenlang op het internet.
• is de Fraudehelpdesk vooral een melddesk.
• kent zelfs informatiebeveiliging een geschiedenis.
• belicht dit onderzoek ransomware vanaf de slachtofferkant.
• is creditcardmaatschappij ICS beboet wegens het niet uitvoeren van een DPIA.

 

Regenboog

 

Afbeelding via Pixabay

In de krant stond laatst een artikel over gepantserde personenauto’s. Of liever: over de ‘best beveiligde personenauto ter wereld’. Door alle extra’s weegt het gevaarte zo’n 4.500 kg, waardoor je hem niet met een gewoon B-rijbewijs mag besturen. Een deel van het gewicht zit ‘m in de tot tien centimeter dikke ruiten. Maar er komt natuurlijk ook best wel dik staal aan te pas. Alleen al de portieren wegen 200 kg. Per stuk wel te verstaan. De auto wordt in het Duitse Sindelfingen gemaakt en heet Mercedes S680 Guard.

Maar wees gerust, dit is na de jaarwisseling niet opeens een autoblog geworden. Nee, de trigger om naar aanleiding van dat krantenartikel een blog te schrijven was een Duits woord uit dat artikel: Beschussamt. De kans bestaat dat je niet eens weet hoe je dat uitspreekt (buhsjoes-amt), laat staan wat het betekent. Laten we achteraan beginnen: een ‘Amt’ is zoveel als een dienst of autoriteit. En ‘Beschuss’, dat is beschieting. Je komt dan dus in een letterlijke vertaling uit op zoiets als ‘beschietingsdienst’. De krant vond een nettere vertaling: vuurwapenautoriteit.

Wat heeft een vuurwapenautoriteit te maken met auto’s? Nou, mijn eigen vertaling was wat dat betreft zo gek nog niet: ze schieten letterlijk op die auto’s. Want zo’n auto wil natuurlijk gecertificeerd worden, en die certificering krijg je uiteraard niet omdat in de folder staat dat het voertuig bestand is tegen kogels uit een Kalasjnikov. Dat willen ze bij het Beschussamt wel eens zien, en bovendien bestaan er formele normen voor de beschermingsfactor van een auto. En daarom schieten ze hun wapens leeg op zo’n auto en onderzoeken ze vervolgens wat ze hebben aangericht.

Ik kan nu twee kanten op met m’n blog: ik kan het over certificering gaan hebben, maar ik kan het ook over testen hebben. Weet je wat, we doen dat tweede; gewoon omdat dat leuker is. Bij die auto’s kunnen de kogels van twee kanten komen: van de good guys (het Beschussamt) en van de bad guys (iedereen waartegen degene, die met zo’n auto wordt vervoerd, zich wil beschermen). Je kunt op vergelijkbare wijze naar ICT-systemen kijken. Weliswaar worden daar doorgaans niet letterlijk kogels op afgeschoten, maar er zijn wel twee partijen die geïnteresseerd zijn in de weerstand die het systeem biedt. Aan de goede kant hebben we de eigenaar van het systeem, en aan de foute kant iedereen waartegen die eigenaar zijn systeem wil beschermen.

Maar wacht eens even; er zijn nog meer partijen aan de goede kant. Er is namelijk ook nog een heel leger vrijwilligers die op zoek gaan naar zwaktes in systemen en die, indien gevonden, braaf aan de eigenaar melden, zonder misbruik te maken van de gevonden kwetsbaarheid. Ze worden van oudsher white hat hackers genoemd, naar analogie met de kleur van de hoeden van de goeieriken in spaghettiwesterns. Een modernere term daarvoor is overigens ‘ethisch hacker’. Hoe je ze ook noemt, deze mensen kunnen geheel zonder medeweten van de eigenaar van een systeem proberen om dat systeem binnen te dringen.

Een systeemeigenaar kan natuurlijk ook zelf opdracht geven om zijn systeem aan de tand te voelen. Dat kan hij door eigen medewerkers laten uitvoeren, maar er is ook een hele industrie ontstaan rondom het testen van systemen: je kunt ethische hackers gewoon inhuren (al is het erg prettig en zinvol om er zelf een paar rond te hebben lopen). Wie het ook doet, ze voeren een zogeheten pentest uit. Dat heeft niets met schrijfwaren te maken, maar is de afkorting van penetratietest – ze proberen om je systeem binnen te dringen. Je komt ook wel de benaming A&P-test tegen; dat staat dan weer voor attack & penetration – dat het bij een pentest om een aanval gaat is wel duidelijk.

Daarbij kun je van tevoren afspreken wat hun startpunt is: krijgen ze vooraf vrijwel niets, krijgen ze wat meer informatie en een account, of krijgen ze misschien zelfs volledige toegang en technische en ontwerpinformatie? Zoals alles in dit leven zijn ook de pentesten er in kleurtjes: de eerste noemen we black box (het te testen systeem is grotendeels een zwarte doos voor de hacker, hij weet dus niks en kan niks), de tweede is een grey box pentest en de laatste heet white box of – veel mooier maar geen kleur – crystal box. Waarom zou je die laatste doen? Daar is toch geen bal aan, als de hacker alles al weet én gratis toegang krijgt? Het idee daarachter is dat het systeem getest wordt met kennis die een kwaadwillende buitenstaander niet heeft. Dat kan dus wel degelijk zinvol zijn.

 

Er zijn nog meer kleurtjes, die worden gebruikt bij het houden van oefeningen. De aanvallers zitten in het red team, de verdedigers in het blue team. En dan is er nog een mengvorm die, jawel, purple team heet; in die samenstelling leren aanvallers en verdedigers van elkaar. Tijdens zo’n oefening kan het red team bijvoorbeeld een crystal box pentest uitvoeren, die hopelijk door het blue team gezien en afgeweerd wordt, waarna ze als purple team bespreken wat ze tegenkwamen. Je ziet het, de industrie heeft een mooie set voor buitenstaanders onbegrijpelijke termen weten te bedenken. En dan heb ik niet eens alle kleuren en alle aspecten belicht.

 

En in de grote boze buitenwereld …

• kun je natuurlijk ook de vertrekborden op een vliegveld hacken.
• kun je evenzo een AI-sollicitatie-chatbot hacken.
• is zelfs een moersleutel te hacken.
• is de locatie van je telefoon online te volgen. (Zie ook de Security (b)log van 3 november 2023.)
• was er deze week veel te doen over een cybersecuritybedrijf dat geen 2FA op zijn Twitter-account had en gehackt werd.
• was er nog veel meer te doen over het Twitter-account van de Amerikaanse toezichthouder SEC, dat eveneens 2FA-loos was en gehackt werd.
• weet de gemeente Beijing de identiteit van AirDrop-gebruikers te achterhalen.
• weten we na zestien jaar eindelijk wie de Nederlander was die met Stuxnet het Iraanse kernwapenprogramma heeft gesaboteerd.
• is er een nieuwe nieuwsbrief over (vooral) informatiebeveiliging.
• hebben sommige Android-telefoons een reparatiemodus, zodat de reparateur niet bij jouw gegevens kan.