Symptoombestrijding

 

Afbeelding via Pixabay

Het is de perfecte tijd van het jaar om verkouden te worden. In de coronatijd hebben we dit jaarlijkse ritueel overgeslagen, want doordat je weinig contact met andere mensen had en bijna nergens kwam, had je ook weinig kans om een verkoudheidsvirus tegen het lijf te lopen. Maar dit jaar doet ook mijn gezin weer ‘gewoon’ mee.

Hoe onschuldig zo’n verkoudheid ook is voor verder gezonde mensen, we weten allemaal dat je er knap beroerd van kunt zijn. Je trekt dan al gauw de medicijnkast open om verlichting te vinden. Neusspray, hoestsiroop, paracetamol – ze staan allemaal paraat om je klachten te verlichten. Plus nog wat huismiddeltjes, zoals stomen, thee met honing drinken of waterijsjes likken.

Wat zo jammer is aan al die middeltjes, is dat ze alleen de symptomen van de ziekte bestrijden. Door de neusspray kun je een poosje vrijer ademen, het ijsje verdooft je keel een beetje en de paracetamol helpt tegen pijn en koorts. Op thuisarts.nl wordt paracetamol trouwens doodgezwegen op de pagina over verkoudheid (“Medicijnen zijn bij verkoudheid niet nodig”). Volledig ten overvloede: het bovenstaande is geen medisch advies.

Waarom bestaat er geen medicijn of vaccin tegen een ziekte die zoveel voorkomt en veel ongemak geeft? Lijkt me een goudmijntje voor de farmaceutische industrie. Maar wat blijkt: er zijn zo ontiegelijk veel virussen waarvan je verkouden kunt worden, dat er geen kruid tegen gewassen is. Bovendien muteren ze snel; een vandaag ontwikkeld vaccin is morgen waardeloos. Overigens wordt er wel degelijk onderzoek gedaan, vooral omdat mensen met astma erg ziek kunnen worden van een verkoudheid.

Natuurlijk vindt symptoombestrijding ook buiten het medische domein plaats. Bijvoorbeeld in mijn eigen vak. Om nog even dicht bij de verkoudheid te blijven: wat dacht je van een virusscanner? Die verlicht de klachten die we van virussen hebben. Niet zoals neusspray bij een verkoudheid, maar preventief: je wordt besmet of je wordt het niet. De verlichting zit ‘m in het aantal besmettingen waar je mee te maken krijgt. Maar het fenomeen computervirussen an sich wordt er niet door bestreden. Juist daarom is het belangrijk om zoveel mogelijk ICT-middelen te voorzien van zo’n digitaal mondkapje.

De stap van symptoombestrijding naar placebowerking is niet zo groot. Als ik een zere keel heb en daarom een raketje eet, dan voel ik me bijna verplicht om een poosje minder pijn te voelen, terwijl mijn verstand echt twijfelt aan het effect. Dat is onschuldig, maar het wordt kwalijk als ik denk dat zo’n ijsje ook de oplossing is voor bijvoorbeeld hevige, aanhoudende buikpijn. Voor sommige kwalen moet je nou eenmaal toch naar de dokter.

Ook in de informatiebeveiliging zijn er tal van placebo’s. Zo wordt de veiligheid van een systeem echt niet beter door het uitvoeren van een risicoanalyse. Pas als je iets doet met de uitkomsten van die analyse, namelijk door maatregelen te treffen, kun je risico’s verkleinen. Een andere vorm van risicobehandeling is risicoacceptatie, maar het moge duidelijk zijn dat je daar niks beter van wordt – hoe legitiem zo’n acceptatie ook kan zijn.

Het voldoen aan regelgeving is er nog zo eentje. Nogal wat organisaties doen allerlei dingen omdat het nou eenmaal moet, terwijl nog geen enkele computer ooit veiliger is geworden doordat iemand een verplicht document heeft geschreven. Pas als de inhoud van dat document gaat leven kunnen we vooruitgang boeken. Helaas stopt het vaak bij het afhechten van een document – maar de auditor zal trots op ons zijn! (Waarschijnlijk – hopelijk! – doe ik nu een bevriende beroepsgroep te kort met deze opmerking.) Ja, ik doe ook allerlei verplichte nummers, maar dan steeds vanuit mijn gedrevenheid om de beveiliging te optimaliseren. Dat ik daardoor ook ergens een groen vinkje op een checklist haal, is mooi meegenomen maar mag niet het doel zijn.

Om verkouden te worden, heb je een virus nodig. Je wordt niet verkouden van op de tocht zitten of  met natte haren naar buiten gaan. Net zo min gaat het bij een computer mis door potentiële risico’s. Je hebt pas een probleem als een risico zich daadwerkelijk manifesteert. Maar net zoals ik wat meer afstand houd van een snotterend gezinslid, zo helpt een lijst van voor jouw systemen relevante risico’s bij het ontlopen ervan.

 

En in de grote boze buitenwereld …

• telde Google vorig jaar ruim dubbel zoveel zero-day exploits als het jaar ervoor.
• kan ook een virusscanner besmet raken.
• trof de politie bij criminelen ruim zeven miljoen e-mailadressen aan, bedoeld voor phishing.
• had Facebook een geheim project om Snapchat-verkeer te onderscheppen.
• verzon Telegram een bizarre actie om ‘gratis’ premium abonnementen weg te geven.
• wordt China vaak genoemd in de context van cyberaanvallen.
• wantrouwt China nu ook westerse spullen (of ze nemen wraak).
• kunnen we allemaal iets leren van de ransomware-aanval op de British Library.
• wordt een Brits nucleair bedrijf vervolgd wegens vermeende IT-security-overtredingen.
• certificeert de Duitse overheid nu ook videovergaderdiensten.
• heeft de Europese Raad ingestemd met de Europese digitale identiteit.

Appeltaart & zonnestroom

 

Afbeelding via Pixabay

Je wilt een appeltaart bakken. De ingrediënten staan, popelend van ongeduld, in slagorde opgesteld op het aanrecht. Op de ereplaats staat de keukenmachine te blinken, klaar om alles lekker door elkaar te mixen. Je mikt de eerste ingrediënten in de mengkom en zet de schakelaar om te beginnen in standje één. Niks. Ach, stom, constateer je opgelucht, de stekker moet er natuurlijk wel eerst in. Maar er gebeurt nog steeds niks. Langzaam dringt het tot je door: de taart loopt vertraging op. Je eens zo trouwe keukenmachine doet het niet meer.

Sinds de uitvinding van de gloeilamp weten we dat elektrische apparaten na verloop van tijd kapot gaan. Enkele decennia geleden mocht je er nog van uitgaan dat dure apparaten, zoals een tv of wasmachine, het zo’n tien jaar volhouden. Was er in de tussentijd iets mee aan de hand, dan liet je het repareren. Tegenwoordig halen we die tien jaar vaak niet meer, en repareren is ook uit de mode geraakt. Maar goed, dingen gaan nu eenmaal stuk.

Bij ons was het niet de keukenmachine, maar een zonnepaneel. Anders dan bij een keukenmachine kom je daar niet zo gemakkelijk achter. Ja, we kijken zeer regelmatig in de app naar de oogst aan zonnestroom van die dag, maar dan zien we de totale opbrengst van alle panelen. In ons kleurrijke weer is het normaal dat die waardes van dag tot dag verschillen; daar zie je dus niet aan dat één paneel niks doet. Gelukkig is er nog een ander scherm, waarop de dagopbrengst per paneel is te zien. Als daar een nul staat, dan weet je hoe laat het is. Alleen: op dat scherm keken we niet zo vaak. Uit een reconstructie bleek dat het paneel al zo’n twee weken buiten bedrijf was. Gauw de installateur gebeld dus. Die concludeerde dat een doosje vol elektronica bij dat paneel moest worden vervangen. Inmiddels zijn de monteurs het dak op geweest en zijn we weer volledig in bedrijf. Draai de zon maar open.

Dit defect hebben we bij toeval ontdekt. Ik had het daar nog over met de monteurs, die vertelden dat onze leverancier ook wel meekijkt. Maar omdat we geen onderhoudscontract hebben, zit daar geen permanente monitoring op. Met andere woorden: de data, die aangeven dat er iets mis is, zijn er wel, maar niemand kijkt ernaar.

In de ICT werkt het net zo. Er worden tonnen aan gegevens gelogd, maar lang niet alles wordt geanalyseerd. Bij die logging kun je aan van alles denken: een gebruiker logt aan op zijn laptop, een printer komt droog te staan, iemand raadpleegt gevoelige gegevens, en nog veel meer. Maar ja, als niemand ernaar kijkt, dan kunnen foutsituaties best lang overleven. Gelukkig is het niet allemaal handwerk. Slimme software krijgt instructies welke meldingen écht belangrijk zijn en brengt die onder de aandacht van gespecialiseerde teams. De software fungeert als een zeef, en zo hoeft slechts een fractie van alle meldingen nader door medewerkers te worden onderzocht.

Er zijn ook loggegevens waar in principe nooit naar wordt gekeken, behalve als daar aanleiding toe is. Die aanleiding is dan dat iemand misschien iets heeft gedaan wat strijdig is met de regels. Dat iemand aanlogt op z’n laptop, zal de meeste organisaties worst wezen. Behalve als een manager signalen heeft dat de medewerker er de kantjes van af loopt. Dan wil hij misschien toch weten op welke tijden de medewerker zoal aan het werk gaat. Heftiger wordt het als iemand ervan wordt verdacht interne gegevens door te sluizen naar criminelen. Dan willen opsporingsinstanties bijvoorbeeld weten wie wanneer welk kenteken en de bijbehorende gegevens van de eigenaar van het voertuig heeft geraadpleegd. Dat soort informatie is niet altijd met een druk op de knop beschikbaar, soms vergt het heel wat spitwerk. Helaas is dat soms nodig, want in zo’n grote organisatie als de onze heb je, statistisch gezien, recht op een bepaald percentage zwarte schapen. Daarom zou ik de logging van gegevens, die voor dit soort forensisch onderzoek nodig zijn, graag zien worden uitgebreid – zodat je bepaalde vragen wél met een druk op de knop kunt beantwoorden. Je weet vooraf slechts tot op zekere hoogte welke gegevens je ooit nodig zult hebben. Feit is wel dat gebeurtenissen, die je nu niet logt, straks niet beschikbaar zijn voor analyse. Een ander feit is dat logging geld kost. Een goede afweging is dus noodzakelijk.

Sinds een paar maanden hebben we er een tweede set zonnepanelen bij. Laatst moest ik op het platte dak zijn waar ze op liggen, en bij die gelegenheid heb ik ze meteen even schoongemaakt. Daarbij ontdekte ik dat elk van die panelen diverse witte stippen vertoonde. Niet op, maar in het materiaal. Een paar foto’s en een mailtje later liet de installateur weten dat dit probleem bij de fabrikant bekend was en dat de panelen onder garantie worden vervangen. Sommige spullen moet je echt zelf in de gaten houden.

 

En in de grote boze buitenwereld …

• gaan wereldwijd drie miljoen hoteldeuren open voor deze onderzoekers.
• hebben bepaalde Apple-chips een ernstige crypto-kwetsbaarheid.
• is de lucht- en ruimtevaartsector een prominent doelwit voor cybercriminelen geworden.
• komt er nu toevallig een onderzoek naar security en privacy bij Amerikaanse luchtvaartmaatschappijen.
• kan een quantumcomputer razendsnel puzzels leggen.
• blijft cloudconfiguratie moeilijk.
• ergert de internetjurist zich aan een uitspraak van de Hoge Raad.
• kijkt AI het werk van de programmeur na.
• is het nog een hele klus om te onderzoeken of een datalek echt is.
• is de Grand Prix van Spa gehackt.

Passkey vervangt password

 

Afbeelding via Pixabay

Reeds ten tijde van Asterix en Obelix werden wachtwoorden gebruikt, en in computers worden ze sinds mensenheugenis gebruikt (Wikipedia noemt 1961 als jaar waarin ze werden toegepast in een systeem van het MIT). En nu, een slordige tweeduizend jaar na onze Gallische vrienden, zijn we ze zat. Het zijn er teveel, ze zijn lastig en ze zijn onveilig – zelfs lange, complexe wachtwoorden zijn onveilig als iemand ze je via phishing aftroggelt. Maar er is hoop: de passkey komt eraan!

Passkeys (toegangssleutels) zijn nog niet breed beschikbaar, maar het woord doemt steeds vaker op en dat is genoeg reden om er eens goed in te duiken. Passkeys verschillen fundamenteel van wachtwoorden, met als grootste voordeel dat ze vele malen veiliger zijn. En ze zijn gemakkelijk te hanteren. Wie wil dat nou niet?

Om het verschil uit te leggen, begin ik bij het aloude wachtwoord. De werking ervan berust op wat een noemen een gedeeld geheim (shared secret): zowel jij als de site/app/applicatie/computer weten het wachtwoord. Zo’n beetje het enige verschil met de werkwijze van de oude Romeinen is dat computerwachtwoorden aan de andere kant niet letterlijk worden opgeslagen, maar in de vorm van een hashwaarde (een wiskundig berekende ‘vervorming’ van het origineel). Aan die andere kant moeten ze kunnen controleren of de ingetikte combinatie van gebruikersnaam en wachtwoord bij elkaar passen, dus die gegevens van alle gebruikers staan bij elkaar in een groot bestand van bijvoorbeeld zo’n website. Dat is goud voor hackers als het niet beschermd is. En daarom is die hashing zo belangrijk. Hashing is onomkeerbaar; het wachtwoord ‘slechtvoorbeeld’ verandert in ‘0b3b1ddfbe320f44ec5ca91da6d8fb32’ en er is geen weg terug: je kunt uit de hashwaarde niet het oorspronkelijke wachtwoord terugbreien. Als jij je wachtwoord intypt, dan wordt dat weer gehasht en als de uitkomst overeenkomt met de opgeslagen hashwaarde, dan mag je naar binnen. Net als ieder ander die jouw wachtwoord weet. Bovendien kan een geduldige hacker, die zo’n wachtwoordbestand in handen heeft, in alle rust wachtwoorden proberen en als de berekende hashwaarde overeenkomt met de waarde in het bestand, dan weet hij je wachtwoord.

Maar dan de passkey. Daar komt geen gedeeld geheim aan te pas, maar serieuze cryptografie (versleuteling). Ook dát deden de oude Romeinen al. Destijds was het vooral een kwestie van andere tekens gebruiken, of van verschuiving (a wordt d, b wordt e enzovoorts). Daar komt een sleutel aan te pas: bij gebruik van andere tekens gebruik je een soort legenda, bij verschuiving een getal (in het voorbeeld is de sleutel +3). Moderne cryptografie is veel complexer, met name de vorm die voor passkeys wordt gebruikt: asymmetrische cryptografie. Kenmerkend daarvoor is dat er niet wordt gewerkt met één sleutel (die tussen de betrokken partijen moet worden gedeeld, net als een wachtwoord), maar met twee sleutels. Die sleutels hebben een wiskundige relatie. De ene heet de publieke sleutel, de andere is de geheime sleutel (public/private key). Kern van het verhaal is nu dat de geheime sleutel op jouw apparaat blijft en de publieke sleutel naar de andere partij gaat. Als jij op je apparaat iets doet met je geheime sleutel, dan kan de ander met behulp van de bijbehorende publieke sleutel controleren of jij het was. Die publieke sleutel hoeft niet te worden beveiligd, zoals zijn naam al aangeeft.

Stel, je wilt op je laptop inloggen op een site die met passkeys werkt. Die passkey kan bijvoorbeeld op je smartphone staan. Je laptop en je telefoon weten via Bluetooth dat ze bij elkaar in de buurt zijn en dat dus niet iemand op afstand probeert in te loggen. Op je telefoon ontgrendel je de gevraagde passkey met je vingerafdruk, gezichtsscan of een code. En hup, je bent ingelogd op die site.

Omdat de passkey het toestel niet verlaat, kun je als gebruiker geen toegangsgegevens lekken – je bent dus niet vatbaar voor phishing. Dat is in mijn ogen hét grote voordeel van passkeys: een aanvaller kan er simpelweg niet tussenkomen. Je kunt je passkeys synchroniseren tussen verschillende apparaten, zodat je ze op je laptop, tablet en smartphone bij de hand hebt. Die synchronisatie verloopt versleuteld (end-to-end, daar kan dus ook niemand op inbreken).

Passkeys worden op dit moment ondersteund door de grote tech-bedrijven (Google, Apple, Microsoft). Maar sommige password managers, zoals Bitwarden, kunnen er ook al mee overweg.

Nieuwsgierig geworden? Log in op je Google-account (maak er desnoods eentje aan), ga naar Instellingen > Beveiliging > Toegangssleutels en Beveiligingssleutels en maak hier je toegangssleutel. Op mijn pc draait een plugin van Bitwarden in de browser, en ik kreeg meteen de vraag of ik de passkey daarin wilde opslaan. Als ik voortaan op mijn pc bij Google wil inloggen, dan vraagt de password manager of ik de passkey wil gebruiken. Het werkt dus eigenlijk net zo als voorheen, maar dan zonder dat er geheimen aan te pas komen. Nu maar hopen dat passkeys in  zwang raken, zodat we ermee vertrouwd raken en straks – de komende twee millennia of zo – niet beter weten.

 

En in de grote boze buitenwereld …

• kan jouw chat met een AI-bot vaak worden afgeluisterd, ondanks encryptie.
• hebben sommige ondernemers twee gezichten.
• vindt Google aandacht voor Post Quantum Cryptography belangrijk.
• hebben sommige fysieke elektronische sloten een geheim achterdeurtje.
• moest Meta eerder al een privacy-boete van vijf miljard betalen, maar wordt diezelfde rechtszaak nu alsnog heropend.
• blijken criminelen toch onbetrouwbaar te zijn.
• krijgt Europa relatief stevige AI-wetgeving.
• vinden ze het in Frankrijk nu ook niet meer logisch om periodiek alle wachtwoorden te wijzigen.
• kreeg de Europese Commissie een tik op de vingers voor het gebruik van Microsoft 365.
• vergroot de politie de cyberweerbaarheid van de jeugd met een game.
• worden Nederlanders steeds kritischer op hun privacy.

RITA

 

Afbeelding via Pixabay

Onlangs kwam RITA in mijn leven. Ze kwam zomaar binnenfladderen tijdens een risicoanalyse, en geboeid luisterde ik naar wat een collega over haar te vertellen had (dankjewel Henk!). Later ging ik haar googelen en ik raakte onder de indruk van haar innemende persoonlijkheid. Haar beeltenis is wat minder flatteus, maar ik beoordeel RITA toch liever op haar karakter dan op haar uiterlijk.

RITA is een acroniem dat staat voor Reliable Internetwork Troubleshooting Agent. Het is een 1-april-grap uit 1998, in de vorm van een RFC. Die afkorting staat voor Request for Comments. Een RFC is dus letterlijk een verzoek om ergens commentaar op te leveren. Dat ‘ergens’, dat zijn protocollen en andere documenten die de werking van het internet beschrijven. Uiteindelijk wordt een RFC een standaard, maar gek genoeg blijkt hij dan RFC heten.

RFC 2321 beschrijft “het gebruik van non-deterministische probleemoplossing en diagnostische methodologieën voor toepassing op de hedendaagse complexe non-deterministische netwerken en omgevingen”. Het moeilijke woord, dat twee keer in de vorige zin staat, betekent dat de uitkomsten variabel zijn, zelfs als de omstandigheden gelijk zijn. De onder leken gangbare aanname, dat computers in identieke situaties – met name met identieke input – steeds dezelfde output opleveren, heb ik helemaal aan het begin van mijn carrière al terzijde gelegd. Ik was destijds verantwoordelijk voor de COBOL-programmatuur die de nachtelijke verwerking van loonbelastinggegevens verzorgde. Op een avond belde een operator (dag Oscar!) me op omdat de verwerking was vastgelopen. Ik zei hem de verwerking gewoon opnieuw op te starten. Nooit meer iets over gehoord.

RITA is van een charmante eenvoud, en de manier waarop zij haar diagnose stelt, al evenzeer. Bovendien is de uitkomst gemakkelijk te begrijpen, want die is binair: het is goed of fout, er is geen tussenweg. Het primaire inzetgebied van RITA is hardware en software, maar ik denk dat RITA ook in talloze andere omgevingen, zelfs buiten de ICT, succesvol kan worden ingezet. 

RITA is een rubberen kip met een lengte van 51,25 cm en haar werking is kinderlijk eenvoudig. Je legt haar op het te analyseren apparaat of, in het geval van software, op een nog verpakt exemplaar van de software, of desnoods op een printje van de broncode (die oude COBOL-programmatuur van mij was met gemak een decimeter dik). En nu komt de clou: als RITA wegvliegt, dan is het te analyseren object foutloos. Blijft RITA daarentegen liggen, dan is er iets mis. Je begrijpt het al: rubberen kippen vliegen niet, tenzij ze gegooid worden.

Moraal van het verhaal: hardware en software bevatten altijd fouten, want ze zijn ontzettend complex. En, voeg ik daar altijd aan toe, een deel van die fouten heeft negatieve gevolgen op de beveiliging van het object, en mogelijk ook op de beveiliging van de wijde omgeving waarin het actief is (een gehackte babyfoon is niet alleen vervelend omdat de hacker in jouw huis kan kijken, maar ook omdat het apparaat kan worden misbruikt in een DDoS-aanval op een organisatie aan de andere kant van de wereld).

In onze risicoanalyses komt altijd de vraag langs hoe kwetsbaar een bepaald object is voor fouten in software, uitgesplitst naar zelfbouw en ingekochte programmatuur. Kwetsbaarheid wordt bepaald door de maatregelen die je hebt getroffen om een dreiging het hoofd te bieden. Steevast wordt het toepassen van het OTAP-model als maatregel genoemd: het ontwikkelen, testen, accepteren en ten slotte in productie draaien van de software vindt plaats op van elkaar gescheiden omgevingen, waarbij het de bedoeling is dat een fout in één van deze stappen aan het licht komt. Middels attack & penetration testing wordt vaak nog onderzocht of een aanvaller zich toegang tot het object kan verschaffen. En met vulnerability scanning wordt regelmatig nagegaan of een product bekende kwetsbaarheden bevat. Wat na al dit goede werk overblijft, zijn de fouten die tóch nog over het hoofd zijn gezien. En geloof me: RITA zal nooit het luchtruim kiezen. De vraag is alleen wie een risicovolle fout als eerste ontdekt: een boef of een integer iemand.

 

En in de grote boze buitenwereld …

• is laksheid een factor waar weinigen rekening mee houden.
• beschermt Signal je privacy nu nog beter.
• zuigt de cloud de overheid naar binnen.
• voorziet dit Amerikaanse krantenartikel een positief effect op de VS van een uitspraak van het Europese Hof voor de rechten van de mens.
• valt er aan de top van de Luftwaffe nog wat te winnen op het gebied van beveiligingsbewustzijn.
• neigt de Amerikaanse regering naar het verbieden van het betalen van losgeld na een ransomware-aanval.
• houden de problemen bij Ivanti ook de NSA bezig.
• geeft de NSA ook tips over veiligheid in de cloud.
• komt de biervoorziening voorlopig niet in gevaar.
• rijdt de man in the middle zo weg in jouw Tesla.
• zit de tegenstander soms in je eigen organisatie.
• staan veel Nederlandse paspoorten te koop op het dark web.

 

 

Updates

 

Afbeelding via Pixabay

Twee weken geleden heb ik op deze plek, bij wijze van stok achter de deur voor mezelf, beloofd om mijn slimme apparatuur wat aandacht te geven. Ik zou onderzoeken of ze een software-update zouden moeten krijgen en die zo nodig uitvoeren. Deze week doe ik verslag van mijn zoektocht. Daarbij noem ik ook bedrijfs- en merknamen; niet bij wijze van reclame of om ze af te kraken, maar omdat dat leuk is als je die spullen zelf ook hebt.

Mijn speurtocht begon aan de voordeur: bij het modem/de router. Dat is van Ziggo en heet Connectbox Giga (onder de motorkap is dat de Arris TG3492). Als je inlogt op de beheerpagina van het modem, dan kun je achterhalen welke softwareversie daarop draait. Er staat alleen niet bij van wanneer die software is, of het zou verborgen moeten zijn in de draak van een versienummer (AR01.04.092.09_071423_7248.SIP.10.LG.X2). Ik heb in de Ziggo-community nagevraagd hoe je kunt achterhalen welke de actuele versie is. Ze zeggen daar dat dit de juiste is, maar als je dat zelf wil checken moet je die informatie waarschijnlijk bij de fabrikant ophalen.

Dan de wasdroger van LG. De bijbehorende app geeft onder apparaatinformatie de versie van vier stukjes software weer, en schrijft daar onder: “Software is up-to-date”. Kennelijk controleert de app dat zelf online. Ik kan alleen nergens aan zien van wanneer die updates zijn. Ik bedoel: als die software na het uitbrengen ervan – jaren geleden –  nooit meer een update heeft gehad, dan is mijn software inderdaad up-to-date, maar waarschijnlijk was er in de tussentijd best iets te verbeteren geweest. En misschien had zo’n noodzakelijke verbetering wel betrekking op de beveiliging van het apparaat. Maar dat blijft dus giswerk. Ik wil me hier opstellen als normale gebruiker en ga dus niet zover om helemaal uit te pluizen van wanneer versie SAA39935009.0000B455 van ‘Firmware 0’ is. Dat zouden ze er gemakkelijk even bij kunnen zetten.

De vaatwasser van Bosch laat je kiezen tussen het automatisch downloaden van software (inclusief installatie, hoop ik) en het bevestigen van de afzonderlijke stappen (download/installatie). Hij laat ook ergens een versienummer zien, waarbij niet duidelijk is of het daarbij gaat om software of om het apparaat zelf, en van wanneer die versie is. Verder staat er nog iets bij wat ik niet eerder heb gezien bij een apparaat: de geldigheidstermijn van een certificaat. Certificaten ken je van websites, van het slotje dat aangeeft dat de site beveiligd is, en van de s in https. Dat dit apparaat kennelijk ook gebruikmaakt van een certificaat voor de beveiliging van de communicatie, verrast mij positief.

Volgende kandidaat: de slimme lampen van Philips Hue. De bijbehorende app zegt: “Alles is bijgewerkt”. De optie automatische updates staat aan en je kunt zelfs de tijd kiezen waarop de updates mogen worden uitgevoerd. Verder staat bij ieder apparaat een versienummer, maar ook hier wordt niet duidelijk van wanneer die versie is.

De stereo-installatie heeft ook een paar componenten die aan het wifi-netwerk hangen: de receiver van Yamaha en sinds vorige week twee draadloze surround-boxen van hetzelfde merk. In de installatiehandleiding van die laatste staat dat je ervoor moet zorgen dat alle componenten over de laatste firmwareversie beschikken. Tijdens de installatie van de boxen gaf de app inderdaad aan dat er een nieuwe versie moest worden geïnstalleerd, wat vervolgens ook gebeurde. Over de receiver zegt de app: “Firmware is up-to-date”. Ook hier helaas weer zonder datum, alleen – op een andere plaats in de app – een versienummer.

Ten slotte zijn daar nog de zonnepanelen. We hebben twee verschillende installaties: de eerste werkt via de app van SolarEdge, de tweede gebruikt Enlighten/Enphase. SolarEdge geeft geen versienummer, maar – yes, eindelijk! – de datum van de laatste update. Dat is 18 februari van dit jaar, heel recent dus. Het betekent ook dat de updates automatisch worden uitgevoerd, want ik heb daar niks aan gedaan. Enlighten geeft informatie over twee soorten apparaten. De gateway, die met mij communiceert, laat een firmwareversienummer zien, en een datum waarop hij voor het laatst verbonden was met de Enphase-cloud. Daarbij is niet duidelijk of daarbij op updates wordt gecontroleerd. De micro-inverters (elk paneel heeft er eentje, in plaats van een centrale omvormer) hebben allemaal twee firmware-versienummers en een communicatiedatum, en ook hier is niet duidelijk of ze verband houden met elkaar.

Conclusie van deze operatie: het lijkt alsof alles in orde is, maar zeker is dat niet, behalve bij de SolarEdge-panelen en (in iets mindere mate van zekerheid) het modem. Fabrikanten hebben nog wel wat werk te doen om consumenten van echte informatie te voorzien en bij mij het gevoel weg te nemen dat ik in slaap word gesust met de nietszeggende term ‘up-to-date’.

 

En in de grote boze buitenwereld …

• regelt de FBI de updates voor je router.
• kun je deze deurbel hacken door aan te bellen.
• pleit Clingendael voor Europese soevereiniteit in de cloud.
• zetten we namelijk ook onze belangrijke e-mail ‘gewoon’ in de Amerikaanse cloud.
• draait Rusland een uitgebreide desinformatiecampagne tegen de weduwe van Navalny.
• zijn 2FA-codes uitgelekt door een fout van een SMS-bedrijf.
• waren tankstations in Nieuw-Zeeland niet bestand tegen het schrikkeljaar.
•  heeft de overheid de NIS2-Quickscan gelanceerd.
• staat GitHub vol met kwaadaardige repository’s.
• adverteert de politie op Google om cybercrime te voorkomen.
• kun je ook via je agenda besmet worden.
• promoot het Witte Huis het gebruik van memory safe programmeertalen.
• denken jongeren dat iedereen slachtoffer kan worden van cybercrime, behalve zijzelf.
• is de LockBit-ransomware-bende herrezen.