Wie doet je wat?

 

Afbeelding via Pixabay

Brrr-iiiing… Dat is volgens ChatGPT een goede klanknabootsing van een passerende scooter. Maar dat terzijde; ik zal heus nog wel eens over kunstmatige intelligentie en zo schrijven, maar het gaat nu even om die scooter. Want die hoort mij op die plek helemaal niet te passeren.

Het zit zo. Onze wijk wordt doorsneden door diverse fietspaden, die je een kortere route bieden dan wanneer je het gewone wegennet zou gebruiken. Een flink deel van deze fietspaden is voorzien van een rechthoekig blauw bord met de tekst ‘fietspad’. Dat is verkeersbord G13, en het betekent dat je er mag lopen en fietsen. Met een brom- of snorfiets (en dus ook een scooter) met benzinemotor heb je daar niets te zoeken (tenzij de motor uit staat). Je raadt al waar dit heen gaat: dat bord wordt massaal genegeerd door scooteraars. Toen er laatst weer zo eentje langsknetterde en we het erover hadden, zei mijn vrouw: “Tja, wie doet je wat?” En inderdaad: politie en gemeente wijzen naar elkaar en de Fietsersbond sprak al zes jaar geleden over een gemeentelijke proef elders in de stad met bordjes ‘verboden voor scooters/bromfietsen’, waar we maar eens op moesten wachten. Ik wacht nog steeds.

Wie doet je eigenlijk wat als je in het cyberdomein dingen doet die niet mogen? Daar gebeuren veel dingen die heel wat heftiger zijn dan met je scooter over een G13-fietspad rijden. We hebben het dan over cybercriminelen, die hun technische kennis en/of vaardigheden gebruiken om op oneerlijke wijze aan geld of goederen te komen. Dat zijn de mensen die jou een sms’je sturen over een pakketje dat niet kon worden bezorgd, met een link die je naar een valse website brengt, waar ze om gegevens vragen waarmee ze je vervolgens digitaal beroven. Of die ziekenhuizen platleggen met ransomware, waardoor de zorgverlening ernstig gevaar loopt, zoals onlangs in Londen. Dat lijkt overigens een geval van hacktivisme te zijn: Qilin, de bende achter deze aanval, claimt dat de aanval een wraakactie is voor activiteiten van de Britse regering in een niet nader gespecificeerde oorlog (maar we weten allemaal dat het over Oekraïne gaat). Qilin zegt ook dat het ze spijt dat patiënten onder de aanval lijden maar dat het hun schuld niet is. Zo’n stomme uitspraak maakt mij boos.

Of iemand de cybercrimineel iets doet, hangt af van twee factoren: hoe goed je bent in digitaal verstoppertje spelen, en waar je woont. Die beide factoren zijn ook nog eens met elkaar verbonden. Woon je in de beschaafde wereld, dan moet je je digitale sporen heel goed wissen om te voorkomen dat vroeg of laat de politie bij je op de stoep staat. Woon je daarentegen in een land waar ze cybercrime als gewoon werk zien, zolang je je maar niet richt op inwoners van je eigen land, dan heb je weinig te vrezen. Ja, een enkele keer komen berichten naar buiten over de arrestatie van een Russische hacker, maar verreweg de meesten kunnen vrijelijk hun gang gaan en in weelde leven. Sommige Russische malware controleert zelfs of op een aan te vallen computer een cyrillisch toetsenbord geïnstalleerd is en als dat het geval is, dan laten ze hem met rust.

Statelijke actoren (een deftige term voor cybercriminelen die in opdracht van een regering werken) mengen zich ook in de strijd. Je kunt prima een ransomware-aanval uitvoeren en het doen lijken alsof het je om de poen gaat, terwijl het eigenlijke doel van die regering is om een bedrijf of instantie een tijdje uit de lucht te halen, of om hun geheimen te stelen – want dat laatste is al enkele jaren een bijkomende functie van ransomware. Vaak wordt dit middel gebruikt als extra dreigement: we publiceren de buitgemaakte gegevens als je niet betaalt. Maar misschien zijn die gegevens ook wel voor eigen gebruik bedoeld. Overigens zijn er ook statelijke actoren die cybercrime bedrijven om aan deviezen te komen. Noord-Korea heeft zo volgens de VN in zes jaar tijd drie miljard dollar binnengeharkt.

En dan is er toch ook die krantenkop in Het Parool van begin vorig jaar: “Piepjonge hackers kwamen niet uit Rusland of Noord-Korea, maar uit Zandvoort”. Die hebben zich dus niet goed genoeg verstopt, in een land waar de politie wél achter cybercriminelen aangaat en daar ook internationaal een vooraanstaande rol in speelt.

Jongeren kunnen spelenderwijs afglijden naar de criminaliteit, waardoor ze soms niet eens beseffen dat ze een grens overschrijden. Ouders denken vaak dat hun tiener gewoon zit te gamen. Zowel ouders als hun kroost moeten beter bewust worden gemaakt van wetgeving op dat gebied, zodat de aanwezige talenten op legale wijze worden aangewend. Als je niet weet dat iets niet mag, dan voel je je ook niet schuldig.

Wat me weer bij die scooters brengt. Oudere generaties, die het brommerrijbewijs gratis bij hun autorijbewijs hebben gekregen, hebben dat bord G13 misschien nooit geleerd en weten dus niet dat ze daar niet mogen rijden. Maar al die jongeren, die moeten dat bord toch kennen? Zien ze het dan niet staan langs de weg, of negeren ze het gewoon? Want tja, wie doet je wat?

 

En in de grote boze buitenwereld …

• zal deze aanklacht ook wel zinloos zijn.
• gebruiken ook Chinese spionnen ransomware als gereedschap.
• gebeuren er natuurlijk ook foute dingen in het zuiden van het Koreaanse schiereiland.
• lekte een ID-verificatiebedrijf gegevens van onder andere TikTok-, Uber- en Twittergebruikers.
• is client-side scanning (chat control) in de EU en in Australië voorlopig van de baan.
• heeft Telegram veel te weinig mensen in dienst om jouw security en privacy te kunnen waarborgen.
• is securityspecialist een langdurig kansrijk beroep.
• wordt de shopping-app van Temu in de VS beschuldigd van ernstige privacy-inbreuken.

 

Explosief

 

Afbeelding via Pixabay

Boem! Een harde knal verscheurde de stilte in de woonkamer. Mijn vrouw, die daar alleen was, keek geschrokken om zich heen. Wat wás dat? Een paar tellen later hoorde ze geklater. Haar ogen volgden haar oren en vonden de bron van het geluid. Toen riep ze naar boven, met krachtige urgentie in haar stem: “Stop met wat je doet en kom nú helpen!”

Vijf hartslagen later zag ik roze vloeistof uit de vitrinekast druipen. Daar, in die kast, zijn we enkele jaren geleden een bescheiden verzameling Mooie Flessen begonnen, toen ik de kinderen op vakantie in Zuid-Frankrijk wees op een fles wijn waarop de gendarme van Saint-Tropez was afgebeeld – een hectische filmrol van de Franse komiek Louis de Funès uit mijn jeugd (nou ja, de film zelf is ouder dan ik, maar ik heb vroeger diverse films met deze acteur gezien – kent u Fantomâs nog?). Ondanks dat ik geen alcoholische dranken lust, kreeg ik die fles cadeau van mijn zoon, omdat hij de sentimentele waarde snapte. Sinds een recent verblijf in Kroatië staat er ook een mooie fles wodka van Old Pilots, versierd met luchtvaartsymbolen – die hebben we gekocht voor mijn zoon, de aanstormende piloot.

Mijn dochter deed een poosje geleden ook een duit in het zakje. Ze was met school naar Spanje geweest en had een flesje met felroze inhoud meegebracht. Voor in de vitrinekast. En dat flesje was dus ontploft. Nou ja, ontploft – de dop was eraf gesprongen en op een centimeter of twee na was alle inhoud eruit gelopen. Let wel: het flesje stond nog rechtop. De vloeistof zocht zijn weg naar lagen gelegen delen van de kast. Gewapend met hand- en poetsdoeken gingen we het goedje te lijf. Ik moest zelfs nog een kastdeurtje losschroeven om overal bij te kunnen. Uiteindelijk bleef de schade beperkt tot die ene vervormde schroefdop. Wat was hier in hemelsnaam gebeurd?

Op het flesje van 250 ml staat kombucha. Wikipedia zegt hierover, onder het lemma komboecha: “een drankje dat ontstaat uit fermentatie van gezoete thee door azijnzuurbacteriën- en gistculturen”. En op het etiket lees ik dat je het spul “altijd in de koelkast” moet bewaren, tussen de twee en acht graden. Dat zijn omstandigheden die onze vitrine niet kan waarmaken. En dus ontwaakten die bacteriën, spanden samen met de gist en vormden gas. Totdat de druk een kleine twee maanden later teveel werd voor die arme schroefdop, die maar één uitweg zag: omhoog. En vervolgens is zo’n beetje alle inhoud uit het flesje geborreld.

Een paar blogs geleden pleitte ik voor het lezen van handleidingen. Daar wil ik nu graag etiketten aan toevoegen. Hoewel ik me afvraag of dat geholpen zou hebben. Als je toch niet van plan bent om iets te consumeren, waarom zou je het dan koelen? En als ik de ingrediëntenlijst al had gelezen, zou ik me dan gerealiseerd hebben dat ik iets explosiefs in handen had? Ik denk het niet. Achteraf ben ik dan ook verbaasd dat het spul überhaupt verkocht mag worden, of dat er niet op z’n minst een duidelijke waarschuwing op het etiket prijkt. Het goedje schijnt overigens ook omstreden te zijn vanwege onbewezen gezondheidsvoordelen. Sterker nog, er kunnen  zelfs heel gevaarlijke schimmels in het drankje voorkomen. Misschien is het maar goed dat het spul nu weg is. Het lege flesje staat trouwens wel weer in de vitrine, als herinnering aan het schoolreisje én aan de ontploffing.

Soms is het handig om handleidingen en instructies te doseren, omdat het anders overweldigend kan zijn. Deze week zag ik daar een slim voorbeeld van. Ik neem sinds kort een nieuwe dienst af van een bedrijf. Na een paar dagen stuurden ze me een mailtje met de strekking: beveilig uw account optimaal, zet tweefactorauthenticatie (2FA) aan. Dat doen ze goed. Zo helpen ze mensen die geen handleidingen en etiketten lezen toch een stapje vooruit. Overigens had ik 2FA al aangezet zodra ik zag dat ze dat ondersteunen. Heb jij het ook overal waar dat kan aan staan? Het beschermt je als ooit een van je wachtwoorden mocht uitlekken, bijvoorbeeld door een hack bij een organisatie waar je een account hebt. Zonder 2FA ben je dan het haasje, en als je hetzelfde wachtwoord ook nog elders zonder 2FA gebruikt (foei), dan moet je die wachtwoorden als een haas wijzigen.

Ik heb het al vaker gezegd: gebruik een wachtwoordmanager, waarin je niet alleen je wachtwoorden opslaat, maar die je ook wachtwoorden laat genereren. Minimaal twaalf posities lang, en omdat je die wachtwoorden toch zelden zelf hoeft in te typen, is vijftien nog beter. Zelfs het beste wachtwoord is niet bestand is tegen een hack bij een organisatie die jouw wachtwoord niet goed beveiligt; daarom zet je overal waar dat kan 2FA aan.

 

En in de grote boze buitenwereld …

• staat de EU misschien op het punt om client side scanning in chat-apps te verplichten.
• spreekt de baas van een van de chat-apps zich ferm uit tegen deze EU-plannen.
• kregen Noord-Amerikaanse cyberverzekeringen in 2023 flink meer claims te verwerken.
• pleit de politiek voor een Rijksmaildienst en een Rijkschatdienst.
• gaat dit artikel helemaal voorbij aan de beveiligingsaspecten van AI.
• kan cybercrime dodelijk zijn.
• is dat mailtje van Microsoft misschien helemaal niet van Microsoft.
• moet ook Nederland zich schrap zetten voor criminelen met gekloonde stemmen.
• wil Google z’n AI trainen met jouw Chrome-geschiedenis.
• beargumenteert Cyber Dad waarom je geen foto’s van je jonge kinderen zou moeten publiceren.
• voerde het Amerikaanse leger een antivaxcampagne op de Filipijnen met valse social media accounts.

 

 

Pimp je computer

 

Afbeelding via Pixabay

Voor veel mensen is de auto een verlengstuk van hun identiteit, ja zelfs van hun ego. Zij willen hun auto iets eigens geven, zodat hun trouwe vierwieler uitstraalt wie z’n baasje is. Anderen hebben een auto waaraan, toen ze hem kochten, bepaalde functies ontbraken. Beide groepen worden bediend door een uitgebreide accessoire- en dienstenmarkt, waar ze terechtkunnen voor een heel scala aan extra’s, van een simpele telefoonhouder tot het compleet pimpen van je auto.

Computers kun je ook persoonlijk maken. Stickers erop plakken of een andere schermachtergrond instellen reken ik tot de persoonlijkheidsverlengende activiteiten, maar net als een auto kun je ook een pc van allerlei extra functionaliteit voorzien. Het meest voor de hand liggende daarbij is natuurlijk het installeren van software. Op het werk word je daar vaak in beperkt – niet alleen vanwege beveiligingsoverwegingen, maar ook vanwege de  beheersbaarheid en juridische aspecten (licenties). Deze blog is dan ook vooral leuk voor thuis.

Je kunt niet alleen extra programma’s installeren, je kunt ook uitbreidingen voor bestaande programma’s installeren. Deze zogenaamde plug-ins zijn vooral populair bij internetbrowsers (en dan heten ze browser extensions). Alleen al voor Google Chrome zijn er ruim meer dan honderdduizend uitbreidingen beschikbaar. Verkrijgbaar bij zowel de officiële stores van de browserfabrikanten als elders op het internet. Populaire extensions zijn er bijvoorbeeld voor het blokkeren van advertenties, voor password managers en voor het uitbreiden van Office-functies. Ook extensies voor ChatGPT vallen de laatste tijd in de smaak.

Er liggen nogal wat rotte appels in de mand. Net als apps op je telefoon werken extensions op basis van permissies: het programma mag alleen doen waar het toestemming voor heeft. Zo hoeft een ad blocker niet te weten waar je bent, maar een password manager moet wel kunnen zien als je een wachtwoord intypt (anders is de vraag “zal ik dit voor je opslaan?” niet zinvol). Veel extensies zijn echter niet heel kieskeurig in het aanvragen van permissies, en jij als gebruiker bent misschien niet heel strak in het beheren van die permissies – wist je überhaupt dat die mogelijkheid bestaat? Extensies kunnen op het tijdstip van installatie volledig te goeder trouw zijn, maar via een automatische update kunnen ze daarna alsnog kwaadaardige functies krijgen. Misschien omdat er van begin af aan een crimineel achter zit, misschien omdat de maker van de extensie gehackt is en zijn product buiten zijn medeweten om aangepast is.

Zoals altijd zijn er twee soorten rotte appels. De ene soort gedijt door laksheid, de andere door kwaadaardigheid. Als een ontwikkelaar geen zin heeft om uit te zoeken wat zijn extensie precies nodig heeft, dan vinkt hij maar gewoon alles aan. Daarmee maakt hij zijn extensie onbedoeld kwetsbaar. Zijn criminele vakgenoot is er juist doelbewust op uit om zijn extensie dingen te laten doen die niks te maken hebben met de reden waarvoor jij, de gebruiker, zijn extensie installeert. Bijvoorbeeld het verzamelen van allerlei gegevens, zoals wachtwoorden, mail en documenten. Of het aanpassen van zoekresultaten, zodat je op onveilige websites terechtkomt. Of het wijzigen van je privacy-instellingen. Je browser was al het venster op je wereld, maar het wordt ook steeds meer het venster op de binnenkant, omdat steeds meer applicaties via de browser worden benaderd. Het is dus best wel belangrijk dat de beveiliging van je browser niet ondergraven wordt. Of dat Chrome, Egde, Safari, Firefox of een wat exotischere browser is maakt niet uit: alle browsers, die met extensies werken, hebben met dit risico te maken.

Hoe kun je je daartegen beschermen maar tegelijkertijd wel profiteren van de geneugten die extensies te bieden hebben? Ik heb een aantal tips bij elkaar gesprokkeld en de meest voorkomende is: installeer alleen extensies uit de store van je browserfabrikant (die vind je in het menu van je browser). Dat biedt zeker geen garanties, maar extensies van elders zijn hoe dan ook minder betrouwbaar. Als je een extensie zoekt (bijvoorbeeld voor je password manager) en je meerdere producten te zien krijgt, let dan goed op dat je de juiste kiest, in dit geval van de makers van jouw password manager. Kijk ook naar het aantal downloads en de recensies, en laat je daarbij niet voor de gek houden door ronkende beoordelingen die te mooi lijken om waar te zijn. Kijk ook eens of er onafhankelijke artikelen over geschreven zijn. En, heel belangrijk: controleer of de permissies, die een extensie vraagt, logisch zijn.

De veiligste manier om je computer te pimpen blijft toch stickers plakken, maar als je functioneel iets meer wilt, zorg dan dat jij de controle behoudt over wat er op jouw computer gebeurt.

 

En in de grote boze buitenwereld...

• gaat Meta zijn AI-systemen trainen met onze posts op social media - maar in Europa kun je weigeren.
• heeft het Britse parlement straks mogelijk een lid dat door AI wordt aangestuurd.
• is een student opgepakt vanwege het gebruik van een zelf in elkaar geknutseld spieksysteem-met-AI. 
• is ook biometrie niet foutloos.
• wijst de beschuldigende vinger van de MIVD naar China.
• zijn jonge cybercriminelen zich aan het bewapenen.
• schakelen Londense ziekenhuizen na een cyberaanval het sneaker-netwerk in.
• durven scammers zich nu al voor te doen als de Amerikaanse security-organisatie CISA.
• ligt de AI-functie Recall van Microsoft onder vuur.
• is dit artikel bepaald niet positief over de securityhouding van Microsoft.
• is het Amerikaanse Congres ook al boos op Microsoft.

 

Digitale vlaggenroof

 

Afbeelding via Pixabay

Klik. De deur valt achter je in het slot. Het licht flikkert. Een timer geeft aan dat je nog precies een uur hebt om een uitweg te vinden. Je kijkt eens om je heen. Je bevindt je in een compleet ingerichte kamer, of misschien wel in een laboratorium. De sfeer is raadselachtig. Ergens moet de oplossing te vinden zijn om hier weer uit te komen. Welkom in de escape room.

Heb je je wel eens voor de lol laten opsluiten? Er zijn ruim duizend escape rooms (‘ontsnappingskamers’) in Nederland. Je gaat er doorgaans met een zelf samengesteld groepje mensen heen en probeert binnen de gestelde tijd de uitgang te vinden. Daarvoor moet je allerlei puzzels oplossen; elke oplossing brengt je een stap verder. Je moet bijvoorbeeld de code van een cijferslot zien te achterhalen, waarna je een kist kunt openen die een volgende aanwijzing bevat. Of je moet een verborgen boodschap zien te vinden, misschien wel door een schilderijtje nat te maken. Escape rooms bevatten allerlei uitdagingen in verschillende moeilijkheidsgraden.

Securitytechneuten lossen ook graag puzzels op en dan heet het spelletje capture the flag – vlaggenroof in goed Nederlands. Het gaat dan niet om echte vlaggen, maar om stukjes tekst die verstopt zitten in een computerprogramma of op een website. Aan de spelers de taak om zoveel mogelijk vlaggen te veroveren. Je kunt het spel op grofweg twee manieren spelen: bij de ene variant spelen teams tegen elkaar, bij de andere tegen de organisatie. Je verdient er punten mee en degene die aan het eind van de dag de meeste punten heeft, wint.

Net als bij de escape room krijg je ook in een CTF met meerdere puzzels te maken. Bij de ene moet je een programma ontleden om te snappen wat het doet (reverse engineering), bij de andere moet je informatie op openbare bronnen raadplegen (open source intelligence, OSINT) en bij weer een andere moet je sporenonderzoek doen. Een andere overeenkomst met escape rooms is dat het geheel in een verhaaltje is ingepakt. Als je vroeger op school redactiesommen leuk vond, dan zit je al een beetje op de goede koers om aan een CTF deel te nemen.

Een paar van mijn teamgenoten hebben eerder deze week een CTF voor collega’s georganiseerd. Ik was graag een kijkje gaan nemen, maar sinds corona is het not done om je hoestend en proestend op kantoor te vertonen en daarom kan ik helaas geen sfeerverslag uit eerste hand geven. We zijn bepaald niet de enige organisatie die dergelijke dagen houdt. Maar waarom eigenlijk, vroeg ik aan de organisatoren. Meespelen in een CTF vergroot de kennis en vaardigheden van de deelnemers; dat kan iedereen zijn die met security te maken heeft en daar meer over wil leren – ook warm aanbevolen voor ontwikkelaars! Je ziet in de CTF allerlei manieren waarop iets fout kan gaan. Als je later zo’n zelfde situatie in je werk tegenkomt, dan gaat er hopelijk een lampje branden: hé, dit is gevaarlijk, het maakt ons kwetsbaar, dit moet anders! Een CTF speel je doorgaans in kleine teams, waardoor je er gratis een dosis teambuilding bij krijgt. Commerciële bedrijven organiseren ook wel CTF’s voor buitenstaanders. Dat levert publiciteit op en misschien spotten ze wel een paar talenten die ze kunnen proberen weg te kapen bij hun huidige werkgever.

Er bestaan websites waar je vingeroefeningen op dit gebied kunt doen. De site van PortSwigger geeft bij alle onderwerpen vrij laagdrempelige uitleg. Voor kinderen van 8-12 jaar is er het Nederlandstalige HackShield. Voor de goede orde: het is niet de bedoeling om kleine criminelen te kweken, maar om iedereen cyberbewust te maken. Ook escape rooms kun je trouwens thuis spelen: je koopt ze in een doosje in de speelgoedwinkel. Dan heb je weliswaar met veel minder tastbare verrassingen te maken, maar het is toch verrassend leuk. En als je zelf niet wilt spelen maar wel eens wilt zien hoe escape rooms werken, dan is het tv-programma Code van Coppens een aanrader.

 

En in de grote boze buitenwereld...

• lekte Webex gegevens over meetings.
• is de overheid boos op Cisco vanwege het Webex-lek.
• groeit de politieke vrees voor de Amerikaanse cloud.
• keren veel bedrijven de cloud alweer de rug toe (vanwege security, kosten en te hoge verwachtingen).
• lijkt Google niet eerlijk te zijn geweest over het verzamelen van gegevens.
• is een Duitse politieke partij gehackt.
• vraagt deze malware je om zelf kwaadaardige code te knippen en plakken en uit te voeren.
• pakt het kabinet desinformatie aan.
• wil PostNL phishers te slim af zijn met de anti-phishingcode.
• hoeft je tandenborstel natuurlijk niet per se aan het internet te hangen of AI te hebben.