Blijven oefenen, Donald!

 

Afbeelding via Pixabay

De blog van twee weken geleden, over Willie Wortel, leverde een vraag op van een trouwe lezeres: ik heb de handleiding van mijn nieuwe auto gedownload maar ik begrijp nog lang niet waar alle knopjes en lampjes voor zijn. Ben ik dan meer een Willie Wortel of toch een Donald Duck? Genie of kluns?

Een interessante vraag. In mijn betoog gaf ik aan dat het vanuit beveiligingsoptiek uiterst prettig is als handleidingen worden gelezen. Dat geldt voor een auto natuurlijk ook: als je niet weet hoe je licht moet aandoen, dan begint het zo rond de schemering gevaarlijk te worden. En als het rode lampje van het motormanagement aan gaat, dan is het handig om te weten dat je niet nog even naar huis moet doorrijden. Maar er zijn natuurlijk ook minder belangrijke knopjes en lampjes. Bovendien is het best lastig om dat soort dingen allemaal uit een boekje te leren. Je mist dan de look and feel van het dashboard.

Hoe complexer de machine, hoe moeilijker dat wordt. Mijn zoon volgt momenteel een pilotenopleiding. Voordat hij de lucht in mocht, kreeg hij eerst een paar maanden theorieles. Daar leer je dan bijvoorbeeld wat er gebeurt als je aan je stuur draait of trekt: op de ene vleugel gaat een klep omhoog, op de andere omlaag, je staartvlak doet iets en je hoogteroer bemoeit zich er misschien ook nog mee. Als je zoiets uit een boek moet leren, dan is dat lastig omdat je het instrumentarium niet voor je ziet en de gevolgen van je handelingen niet ervaart. In de theorie-examens moet de student aantonen dat hij weet hoe zo’n vliegmachine werkt. Alsof je voor je eerste autorijles moet kunnen uitleggen dat het linker- en het rechterwiel synchroon bewegen als je aan het stuur draait, maar dat de draaisnelheden van de linker en rechter wielen verschillen.

Een  belangrijk leerprincipe is dan ook training on the job: ergens mee leren omgaan terwijl je het doet. Autorijlessen werken zo, en aanstormende piloten gaan gelukkig ook echt de lucht in, bijvoorbeeld om aan den lijve te ondervinden wat er gebeurt als je te langzaam vliegt (dan valt het vliegtuig naar beneden) en natuurlijk vooral om te leren wat je dan moet doen. Om diezelfde reden heb ik ooit een antislipcursus gedaan; ergens lezen wat je moet doen als je auto in een slip raakt is toch heel iets anders dan het meemaken en voelen. Ik herinner me een oefening waarbij een bewegende plaat in de grond de achterkant van de auto een zwiep gaf, waardoor de auto uit koers raakte. Vooraf was uitgelegd dat je dan vooral niet moet remmen. En wat doe je de eerste keer? Je remt. Waardoor de auto gaat rondtollen. Na deze ervaring weet je wat je te wachten staat en kun je veel rationeler met de situatie omgaan: inderdaad niet remmen, maar wel gas los, koppeling intrappen en de juiste kant op sturen.

Ook informatiebeveiliging moet je oefenen. Een phishingmailtje of -sms’je leer je nu eenmaal gemakkelijker herkennen als je er een paar hebt gezien, met de hints erbij waaraan je het bericht had kunnen ontmaskeren. Maar zou je ook zoiets groots en ingrijpends als een ransomware-aanval moeten oefenen? Jazeker! Daarvoor hoef je natuurlijk geen echte besmetting te organiseren; je kunt een scenario uitschrijven en dat, met de juiste mensen, aan een tafel uitspelen. Onze collega’s van business continuity management hebben al vaak soortgelijke oefeningen georganiseerd, waardoor crisismanagers en andere betrokkenen in de praktijk hebben geleerd wat ze in zo’n situatie moeten doen.

Ben ik meer een Willie of meer een Donald, vroeg Angela zich af. Ik antwoordde dat de meesten van ons een Winald of een Dollie zijn: je bent hopelijk niet zo klunzig als Donald Duck en waarschijnlijk niet zo geniaal als Willie Wortel, maar iets daartussenin. Omdat je als Winald of Dollie nu eenmaal niet alles in één keer kunt overzien, is het belangrijk dat je beseft dat je moet prioriteren: in de auto is het belangrijker om te weten hoe je de stads-, dim- en mistverlichting bedient dan dat je weet hoe je een van die lampjes moet vervangen. Dat heb ik overigens afgelopen weekend gedaan en ik kan melden dat je daarvoor toch bijna een Willie moet zijn. Maar doorgaans ben ik dus een Winald. En jij, beste Angela, gaat waarschijnlijk als een Dollie door het leven. Maar wees gerust: oefening baart kunst.

 

En in de grote boze buitenwereld …

• moet je je telefoon wekelijks een keer opnieuw opstarten.
• is de Nederlandse NIS2-wet zeker een half jaar vertraagd.
• moest een internetprovider door een malware-aanval bij honderdduizenden klanten de router vervangen.
• is het verstandig om bij de politie te checken of jouw gegevens gestolen zijn.
• werkt een internationale politiecoalitie samen tegen cybercrime in Operation Endgame.
• geeft dit artikel van Europol iets meer informatie over Operation Endgame.
• is het grootste botnet aller tijden opgerold.
• gaat de Autoriteit Persoonsgegevens toezicht houden op de Belastingdienst.
• maakt deze ransomware handig gebruik van BitLocker.
• blijf je maar beter weg bij deze gekraakte versie van MS Office.
• is een VPN geen wondermiddel.

 

De malle keizer

 

Afbeelding via Pixabay

Eens in de zoveel tijd valt de wekelijkse blogdag samen met mijn verjaardag. Meer reden heb ik niet nodig om op zoek te gaan naar een beetje een gezellig onderwerp. En dus ging ik op zoek naar een sprookje, want die vertellen we aan kinderen en dus moeten ze wel gezellig zijn. Toch?

Het is lang geleden dat ik sprookjes kreeg voorgelezen, en bij onze eigen kinderen lieten we de sprookjes grotendeels links liggen. Ik moest dus het een en ander opzoeken. Gelukkig heeft Wikipedia een overzicht van sprookjes en zijn ze daar handig in grotemensentaal samengevat. Ik heb vanochtend dan ook diverse sprookjes zitten lezen. Mijn vrouw zag dit en vroeg smalend: “Is dat ook al werken?” Jazeker, voor mij zijn zelfs sprookjes nuttig!

Uiteindelijk viel mijn oog op De nieuwe kleren van de keizer van Hans Christian Andersen uit 1837. Voor wie het verhaaltje niet (meer) helemaal helder op het netvlies heeft doe ik even een korte samenvatting. De ijdele keizer is uitgekeken op zijn gewaden en beveelt zijn kleermakers een gewaad te maken van de stof die niet bestaat. Er dienen zich (valse) kleermakers aan die een stof zeggen te hebben die alleen zichtbaar is voor slimme mensen. De keizer loopt in de nieuwe kleren mee in een optocht – in z’n blootje dus, want een stof die alleen slimmeriken kunnen zien is natuurlijk een fantasie. Niemand durft iets te zeggen, totdat een kind roept: "Hee, kijk, de keizer loopt in zijn blootje!" Het publiek houdt eerst zijn adem in, maar al gauw bulderen ze van het lachen. De keizer doet nog steeds alsof zijn adellijke neus bloedt, ook al ziet hij zelf ook wel dat hij in z’n nakie is. Bij terugkomst in het kasteel zijn de inmiddels rijke bedriegers al ver voorbij de horizon.

Ik heb deze blog de titel De malle keizer gegeven omdat deze vorst zich wel heel gemakkelijk in de luren heeft laten leggen. Had hij gewoon vertrouwd op zijn eigen waarneming, en niet geloofd in de onwaarschijnlijke beweringen van vreemden (!), dan had hij niet voor schut gestaan. Bij mijn weten vertelt het verhaal niet of het voorval nog consequenties had voor de bestuurlijke carrière van deze streaker tegen wil en dank.

Op beurzen loop ik altijd een beetje verloren rond (en ik kom daar dan ook alleen als ik een conferentie bezoek waar ook een beurs aan is gekoppeld). Bang dat standhouders me warm willen maken voor een product dat er op papier geweldig uitziet, maar in de praktijk niets vernieuwends of nuttigs doet. Gelukkig kan ik me altijd verschuilen achter het feit dat ik niet over het inkopen van spullen ga. En ik doe ook zelf bijna niks met dat soort producten; dat laat ik over aan techneuten, die vervolgens rapporteren met behulp van al die mooie tools.

Soms is iedereen ervan overtuigd dat je bepaalde producten toch echt nodig hebt. Neem nou een VPN (Virtual Private Network; zorgt ervoor dat je ook over een niet beveiligd netwerk toch een beveiligde verbinding hebt). Ik heb er ook eentje in gebruik op mobiele apparaten, want die komen wel eens in hotels, in restaurants en op luchthavens, kortom op plekken waarvan je de gratis wifi niet per se kunt vertrouwen. Maar een poosje geleden riep een vakgenote op Twitter: publieke wifi is ook zonder VPN veilig genoeg voor bijna iedereen – zelfs voor bankieren. Een paar maanden later volgde een handige beslisboom voor de vraag: heb ik een VPN nodig? Die boom biedt drie uitkomsten: (a) host je eigen VPN-server; (b) prima om een gratis of betaalde VPN-dienst te gebruiken als je er vrede mee hebt dat je gegevens worden verkocht of bekeken; en ten slotte: (c) illegale dingen, waarvoor je een VPN óók kunt gebruiken, moet je niet doen, want tja, illegaal.

De keizer dacht dat hij een grandioos gewaad droeg, en wij denken met z’n allen dat we helemaal veilig zijn met een VPN. Maar dat is niet per se zo. Door een VPN te gebruiken, verleg je je vertrouwen van de aanbieder van het netwerk naar de aanbieder van je VPN: de netwerkaanbieder kan niet meer met je meekijken omdat je verbinding beveiligd is, maar de VPN-leverancier kan wél met je meekijken omdat hij de beveiligingssleutel in handen heeft. Dat betekent dus dat een VPN alleen meerwaarde heeft als het niet méér doet dan het belooft. In extreme gevallen zou een VPN zelfs minder veilig kunnen zijn dan hotel-wifi. Bijvoorbeeld als je in een hotel zit waar ze jouw verkeer keurig ongemoeid laten, terwijl je een VPN van een stoute aanbieder gebruikt die kijkt wat er allemaal langskomt en die jouw gegevens misschien doorverkoopt aan adverteerders of zo. Die kans is waarschijnlijk groter bij gratis VPN’s, want hey, als iets gratis is, dan ben jij het product, weet je nog?

Alleen als je je eigen VPN faciliteert – zij het als organisatie of als particulier – weet je zeker dat niemand anders stiekem zit mee te kijken. En de crux in de eerste tweet zit ‘m volgens mij vooral in “veilig genoeg voor bijna iedereen”. Daar zit de gedachte achter dat de meeste mensen niet interessant zijn om doelgericht te worden afgeluisterd. De enige dreiging die wél overeind blijft, is dat een wifi-aanbieder, die het niet zo nauw neemt, gegevens over jou doorverkoopt. Maar dat deden Google, Apple en de andere grote advertentiebedrijven toch al.

Hmm, eindigt het verhaal toch nog minder gezellig dan mij voor ogen stond. Die beroepsdeformatie weer hè.

 

En in de grote boze buitenwereld …

• bepleit een chaos-specialist van Google een verfrissende manier van phishing-testen.
• moeten onafhankelijke telefoonreparateurs klantgegevens doorgeven aan Samsung, en toestellen vernietigen die niet-originele onderdelen bevatten.
• heeft een hacker een nep-callcenter ‘verraden’ aan diens klanten.
• maken kwaadwillenden geraffineerd gebruik van open source.
• zijn onderzoekers ook het nieuwste beveiligingsprotocol van Tesla te slim af.
• kloppen kaarten van China niet.
• delen iPhones gegevens over alle wifi-netwerken die ze zien met Apple. 
• ga ik nu taart eten (-;

Willie Wortel

 

Afbeelding via Pixabay

Willie Wortel is een kraanvogel naar mijn hart. Hij kan op commando een geniaal apparaat uitvinden, of hij heeft nog ergens iets liggen wat toevallig van pas komt in een van de vele stripavonturen waarin hij mag optreden. Ze blinken altijd uit in zowel eenvoud als doeltreffendheid en alle uitvindingen hebben één ding gemeen: in de echte wereld zouden ze niet kunnen bestaan.

Donald Duck is een heel andere vogel. De eend is liever lui dan moe, impulsief, opvliegend. Niet bepaald iemand die eerst eens de handleiding leest als hij een nieuwe tv of zo koopt. Het komt nogal eens voor dat Donald bij Willie gaat shoppen. En terwijl Willie geduldig wil uitleggen hoe iets werkt, vliegt Donald er al mee door de deur, want hij weet het allemaal wel. Soms roept Willie hem nog na dat het apparaat nog niet helemaal af is, of dat het bijwerkingen heeft. Verderop in het stripverhaal betaalt Donald steevast de prijs voor zijn eigenwijsheid.

Ikzelf houd er niet van als mensen zomaar wat op knopjes drukken zonder te weten waar die voor dienen, in de hoop dat het apparaat dan doet wat ze willen. Hoe complexer het apparaat is, hoe meer er daardoor fout kan gaan, of hoe verder je wegzinkt in het moeras van de verkeerde instellingen. Ik ben dus zo iemand die nog handleidingen leest. Toegegeven, niet bij élk apparaat; onze nieuwe citruspers kreeg ik heus wel aan de praat zonder eerst in het boekje te kijken. Dat zat er overigens nog wel bij; tegenwoordig krijg je – omdat toch niemand de handleiding leest en al dat drukwerk een boel geld kost – hooguit nog een snelle-startgids en een QR-code voor de uitgebreide handleiding.

Computers, apps en het internet hebben geen handleidingen. Die zijn vervangen door helpfuncties. Als je beseft, dat je er niet uit komt, dan kun je die raadplegen. Soms kun je ze oproepen door op F1 te drukken, soms moet je een FAQ raadplegen, en anders moet je maar googelen. Maar al die dingen ben je dus al aan het gebruiken voordat je er een letter over hebt gelezen. Enerzijds mooi dat veel spullen dermate intuïtief werken dat dit kan, anderzijds lastig voor iemand die iets meer wil dan de basisinstellingen.

Dat het vaak bepaald niet veilig is om iets zomaar aan te zetten of alle regelaars naar maximaal te draaien, toont Donald keer op keer aan. In plaats van de wereld te redden, brengt hij haar vaak genoeg aan de rand van de afgrond. Gelukkig weten de verstandige neefjes Kwik, Kwek en Kwak het tij altijd op het nippertje te keren. Die hebben wél een handleiding: het Grote Woudlopershandboek, de pocket waar gewoon alles in staat.

In een veilige wereld heeft iedereen de handleiding gelezen voordat hij ergens aan begint. Ik weet ook wel dat dit een utopie is. Maar dat betekent wel dat er mensen in auto’s rijden zonder te weten hoe het licht aan moet, dat ergens een airco verwarmt in plaats van koelt of dat je gefrustreerd raakt omdat het je niet lukt om je smartspeaker aan de praat te krijgen. En daar wordt de wereld minder veilig van: verkeersongelukken, hitteberoertes en hackers liggen op de loer. Misschien vind je dat wat vergezocht, maar hé, ik word betaald om doem te denken en ben dus altijd op zoek naar wat er mis zou kunnen gaan. Relativeren komt daarna wel, als anderen hoopvol zeggen dat het toch niet zo’n vaart zal lopen.

Regelmatig wandelen er eenden over de plaatselijke fietspaden – echte eenden, geen stripfiguren. Als je komt aanfietsen, waggelen ze steevast de verkeerde kant op: ze steken het pad over in de richting waar jij een paar seconden later langsfietst. Ik wil maar zeggen: het zijn niet de slimste beesten. Met kraanvogels heb ik geen ervaring, maar als we Willie als voorbeeld nemen, dan zouden die wel eens heel wat slimmer kunnen zijn. Misschien dat ik daarom nog nooit een exemplaar op het fietspad ben tegengekomen.

Moraal van het verhaal: als je zelf meer een Donald Duck bent, luister dan naar wat de Willie Wortels in je omgeving te vertellen hebben. Ben je daarentegen zelf een Willie Wortel, kijk dan goed wat de Donald Ducks  van deze wereld écht nodig hebben, en bied daar een (uiteraard veilige) oplossing voor.

Je las zojuist de vijfhonderdste Security (b)log.

 

En in de grote boze buitenwereld …

• is tweefactorauthenticatie alleen veilig als je je niet in de luren laat leggen.
• zou een crimineel informatie hebben gestolen bij Europol.
• gaat een Zuid-Koreaan de gevangenis in voor het hacken van 400.000 huishoudens en het verkopen van camerabeelden uit die huizen.
• heeft de politie drie mannen aangehouden op verdenking van bankhelpdeskfraude en vriend-in-noodfraude.
• beschermt je Android-telefoon zichzelf als hij denkt dat hij gestolen is.
• gaat het nieuwe kabinet cybercrime strenger aanpakken.
• heeft het Britse NSCS een handreiking voor het betalen van losgeld gepubliceerd.
• moet Google een miljoenenboete betalen omdat ze Franse nieuwsberichten hebben gebruikt voor het trainen van hun AI.
• verdwijnen sommige automodellen van de markt vanwege cybersecurity-regels.