Girls Day

 

Afbeelding via Pixabay

Het was zo’n verregende donderdagochtend waarop je zelf voor de lichtpuntjes moet zorgen. Nou, dat kon, want ik was op weg om een bijzondere presentatie te geven. Onze personeelsmensen hadden de jaarlijkse Girls Day georganiseerd, voor 14- en 15-jarige meisjes van de naastgelegen middelbare school. Ik was de eerste mannelijke (en misschien ook wel de oudste) spreker in de geschiedenis van Girls Day. Eén ding was duidelijk: ik moest hier niet aankomen met een verhaal over hoe wij beveiliging plegen. Mijn verhaal moest over die meiden gaan.

Ik wilde de leerlingen iets laten zien over hun digitale voetafdruk. En dus vroeg ik een paar weken geleden de deelnemerslijst op en googelde de namen. Je had hun gezichten moeten zien toen ik dat vertelde! Grote ogen, angstige blikken uitwisselend met hun vriendinnen. Ik vertelde er meteen bij dat ik geen namen ging noemen en dat ik niks herkenbaars op het scherm zou zetten. Dat stelde ze enigszins gerust. Maar ik had wel hun volle aandacht.

Mijn zoektocht leverde aanvankelijk een vrij onschuldige oogst op: er zaten de nodige sportieve meisjes tussen, variërend van turnsters tot amazones (compleet met de naam van het paard). Van meer dan de helft was op deze manier niets te vinden. Een bepaald meisje gaf echter meer prijs. Ze had namelijk – waarschijnlijk onbedoeld – haar presentaties voor de driehoeksgesprekken openbaar gemaakt (driehoeksgesprekken zijn de moderne vorm van de ouderavond, waarbij de mentor, de ouders én de leerling om tafel zitten en de leerling zelf vertelt hoe het gaat). En zo weet ik dat deze leerling wel eens wat motivatie mist (tja, wie niet), op verschillende basisscholen heeft gezeten (iemand achterin de zaal haalde opgelucht adem: dit ben ik niet!), een klik heeft met docent X maar diens vak wel lastig vindt en de schoolfeesten leuk vindt. En nog een paar zaken die ik heb weggelaten omdat ze te persoonlijk zijn.

Deze leerlinge wilde waarschijnlijk niet de 13-in-een-dozijn Powerpointpresentatie geven, maar iets flitsenders. Dan kom je al gauw uit bij Prezi, waarmee je een heel dynamisch verhaal kunt maken. Alleen is het wel zo dat al je presentaties openbaar zijn als je de gratis versie gebruikt. Oeps. En oh ja, de match tussen docent X en het lastige vak kon ik maken doordat op de site van de school een lijst van alle docenten staat.

Dat ook andere mensen (vaak onbedoeld) informatie over jou prijsgeven, kon ik aantonen met Instagram. Ook daar zocht ik de namen op. Eén daarvan kwam drie keer voor. Welk account was van de leerling op mijn lijst? Ik doorzocht de lijsten met volgers en trof bij het tweede account een naam aan die ook op mijn namenlijst stond. Bingo! Vervolgens ging ik eens beter naar de volgers van dat account kijken. Daar stond een bedrijfsnaam tussen, die ook de achternaam van het meisje bevatte (fictief voorbeeld: Ballonkoning Jansen). Je mag dan gerust concluderen dat dit de vader of moeder van de leerlinge is. In de bio van dat bedrijfsaccount stonden ook de straat- en plaatsnaam genoemd. Maar geen huisnummer. Het was het soort bedrijf waarvan je kunt vermoeden dat het aan huis gevestigd is. Als ik dat bedrijf kon vinden, dan wist ik waar dit meisje woonde.

Met Google Streetview kun je virtueel door een straat wandelen. En de huizen bekijken. Toen ik voor de tweede keer door de bewuste straat liep en goed om me heen keek, had ik beet: bij een huis zag ik iets dat een duidelijke verwijzing naar het bedrijf was (in het fictieve voorbeeld zou er een ballonboog bij de voordeur hebben gestaan). Ik zei tegen de zaal: “Als de letters in je postcode AL zijn, dan gaat dit over jou”. Het bleef ijzig stil.

Nou en, denk je misschien. Maar bedenk: ik ben een van de good guys. Er loopt genoeg gespuis rond dat maar wat graag willen weten waar zo’n meisje woont. Met mijn kleine vingeroefening heb ik laten zien dat de oplossing vaak uit meerdere puzzelstukjes bestaat, die je op verschillende plekken kunt vinden. Ik heb mijn gehoor ook voorgehouden dat ik op dit gebied slechts een amateur ben, en met dit filmpje liet ik zien hoe anderen, die dit een beetje professioneel aanpakken, nog veel meer over je te weten kunnen komen.

De namenlijst heb ik uiteraard weggegooid. Wat blijft is de herinnering aan een bijzondere ochtend waarin ik een aantal jonge mensen hopelijk aan het denken heb gezet.

 

 En in de grote boze buitenwereld …

• heeft de zorg een raamwerk voor red teaming ontwikkeld.
• waarschuwde Apple inwoners in bijna de helft van alle landen over een geavanceerde spyware-aanval.
• kaapten hackers een tv-zender.
• kon iedereen lange tijd de afmeldcodes van duizenden alarmsystemen opvragen.
• voert Rusland een grote desinformatiecampagne om de Amerikaanse steun voor Oekraïne te ondergraven.
• jatten de Russen bovendien mail van de Amerikaanse overheid.
• hackt China ondertussen de Amerikaanse infrastructuur.
• lopen gebruikers van een meerdere types NAS van D-Link het risico dat kwaadwillenden inbreken.
• browse je bepaald niet privé in een incognitovenster van Google.
• is het altijd lastig als hardware een kwetsbaarheid bevat.
• is ransomware soms niet meer dan een potje blufpoker.
• ontstaan veel datalekken door cyberaanvallen.
• kun je nu gemakkelijk checken of je écht een medewerker van de bank aan de telefoon hebt.