 |
| Afbeelding via Pixabay |
In de
krant stond laatst een artikel over gepantserde personenauto’s. Of liever: over
de ‘best beveiligde personenauto ter wereld’. Door alle extra’s weegt het
gevaarte zo’n 4.500 kg, waardoor je hem niet met een gewoon B-rijbewijs mag
besturen. Een deel van het gewicht zit ‘m in de tot tien centimeter dikke
ruiten. Maar er komt natuurlijk ook best wel dik staal aan te pas. Alleen al de
portieren wegen 200 kg. Per stuk wel te verstaan. De auto wordt in het Duitse
Sindelfingen gemaakt en heet Mercedes S680 Guard.
Maar
wees gerust, dit is na de jaarwisseling niet opeens een autoblog geworden. Nee,
de trigger om naar aanleiding van dat krantenartikel een blog te schrijven was
een Duits woord uit dat artikel: Beschussamt. De kans bestaat dat je
niet eens weet hoe je dat uitspreekt (buhsjoes-amt), laat staan wat het
betekent. Laten we achteraan beginnen: een ‘Amt’ is zoveel als een dienst of
autoriteit. En ‘Beschuss’, dat is beschieting. Je komt dan dus in een
letterlijke vertaling uit op zoiets als ‘beschietingsdienst’. De krant vond een
nettere vertaling: vuurwapenautoriteit.
Wat
heeft een vuurwapenautoriteit te maken met auto’s? Nou, mijn eigen vertaling
was wat dat betreft zo gek nog niet: ze schieten letterlijk op die auto’s. Want
zo’n auto wil natuurlijk gecertificeerd worden, en die certificering krijg je uiteraard
niet omdat in de folder staat dat het voertuig bestand is tegen kogels uit een
Kalasjnikov. Dat willen ze bij het Beschussamt wel eens zien, en bovendien
bestaan er formele normen voor de beschermingsfactor van een auto. En daarom
schieten ze hun wapens leeg op zo’n auto en onderzoeken ze vervolgens wat ze
hebben aangericht.
Ik
kan nu twee kanten op met m’n blog: ik kan het over certificering gaan hebben,
maar ik kan het ook over testen hebben. Weet je wat, we doen dat tweede; gewoon
omdat dat leuker is. Bij die auto’s kunnen de kogels van twee kanten komen: van
de good guys (het Beschussamt) en van de bad guys (iedereen
waartegen degene, die met zo’n auto wordt vervoerd, zich wil beschermen). Je
kunt op vergelijkbare wijze naar ICT-systemen kijken. Weliswaar worden daar
doorgaans niet letterlijk kogels op afgeschoten, maar er zijn wel twee partijen
die geïnteresseerd zijn in de weerstand die het systeem biedt. Aan de goede
kant hebben we de eigenaar van het systeem, en aan de foute kant iedereen
waartegen die eigenaar zijn systeem wil beschermen.
Maar
wacht eens even; er zijn nog meer partijen aan de goede kant. Er is namelijk
ook nog een heel leger vrijwilligers die op zoek gaan naar zwaktes in systemen
en die, indien gevonden, braaf aan de eigenaar melden, zonder misbruik te maken
van de gevonden kwetsbaarheid. Ze worden van oudsher white hat hackers
genoemd, naar analogie met de kleur van de hoeden van de goeieriken in
spaghettiwesterns. Een modernere term daarvoor is overigens ‘ethisch hacker’.
Hoe je ze ook noemt, deze mensen kunnen geheel zonder medeweten van de eigenaar
van een systeem proberen om dat systeem binnen te dringen.
Een
systeemeigenaar kan natuurlijk ook zelf opdracht geven om zijn systeem aan de
tand te voelen. Dat kan hij door eigen medewerkers laten uitvoeren, maar er is
ook een hele industrie ontstaan rondom het testen van systemen: je kunt
ethische hackers gewoon inhuren (al is het erg prettig en zinvol om er zelf een
paar rond te hebben lopen). Wie het ook doet, ze voeren een zogeheten pentest
uit. Dat heeft niets met schrijfwaren te maken, maar is de afkorting van
penetratietest – ze proberen om je systeem binnen te dringen. Je komt ook wel
de benaming A&P-test tegen; dat staat dan weer voor attack &
penetration – dat het bij een pentest om een aanval gaat is wel duidelijk.
Daarbij
kun je van tevoren afspreken wat hun startpunt is: krijgen ze vooraf vrijwel
niets, krijgen ze wat meer informatie en een account, of krijgen ze misschien
zelfs volledige toegang en technische en ontwerpinformatie? Zoals alles in dit
leven zijn ook de pentesten er in kleurtjes: de eerste noemen we black box (het
te testen systeem is grotendeels een zwarte doos voor de hacker, hij weet dus
niks en kan niks), de tweede is een grey box pentest en de laatste heet white
box of – veel mooier maar geen kleur – crystal box. Waarom zou je die laatste
doen? Daar is toch geen bal aan, als de hacker alles al weet én gratis toegang
krijgt? Het idee daarachter is dat het systeem getest wordt met kennis die een
kwaadwillende buitenstaander niet heeft. Dat kan dus wel degelijk zinvol zijn.
Er
zijn nog meer kleurtjes, die worden gebruikt bij het houden van oefeningen. De
aanvallers zitten in het red team, de verdedigers in het blue team. En dan is
er nog een mengvorm die, jawel, purple team heet; in die samenstelling leren
aanvallers en verdedigers van elkaar. Tijdens zo’n oefening kan het red team
bijvoorbeeld een crystal box pentest uitvoeren, die hopelijk door het blue team
gezien en afgeweerd wordt, waarna ze als purple team bespreken wat ze
tegenkwamen. Je ziet het, de industrie heeft een mooie set voor buitenstaanders
onbegrijpelijke termen weten te bedenken. En dan heb ik niet eens alle kleuren
en alle aspecten belicht.
En in de grote boze buitenwereld …
- kun je natuurlijk ook de vertrekborden op een vliegveld hacken.
- kun je evenzo een AI-sollicitatie-chatbot hacken.
- is zelfs een moersleutel te hacken.
- is de locatie van je telefoon online te volgen. (Zie ook de Security (b)log van 3 november 2023.)
- was er deze week veel te doen over een cybersecuritybedrijf dat geen 2FA op zijn Twitter-account had en gehackt werd.
- was er nog veel meer te doen over het Twitter-account van de Amerikaanse toezichthouder SEC, dat eveneens 2FA-loos was en gehackt werd.
- weet de gemeente Beijing de identiteit van AirDrop-gebruikers te achterhalen.
- weten we na zestien jaar eindelijk wie de Nederlander was die met Stuxnet het Iraanse kernwapenprogramma heeft gesaboteerd.
- is er een nieuwe nieuwsbrief over (vooral) informatiebeveiliging.
- hebben sommige Android-telefoons een reparatiemodus, zodat de reparateur niet bij jouw gegevens kan.
Geen opmerkingen:
Een reactie posten