Indringers

 

Afbeelding via Pixabay

In 2007 wandelde een Nederlandse ingenieur het Iraanse nucleaire complex van Natanz binnen en installeerde daar een waterpomp. Deze Erik van Sabben had nog een tweede opdrachtgever: de AIVD. En zo kon het gebeuren dat de centrifuges, die nodig zijn om uranium te verrijken, door het beruchte Stuxnet-virus in de soep draaiden. Dit is natuurlijk de ultrakorte versie van het verhaal. Het lange, spannende verhaal staat in het boek Het is oorlog maar niemand die het ziet van Volkskrant-onderzoeksjournalist Huib Modderkolk.

Eerder deze week wandelde een Nederlandse ingenieur het Nederlandse nucleaire complex van Almelo binnen. Niet om wat dan ook te installeren, en ook niet met een geheime agenda. Nee, want dat was ik, samen met zo’n dertig vakgenoten, en we kwamen voor een rondleiding en een presentatie over een holistische kijk op beveiliging.

Ik kwam dus vanaf de parkeerplaats aanwandelen en stuitte op een metershoog hekwerk. Daar zat een voetgangerspoort in, met een intercom erbij. Er kwamen net mensen van de andere kant aanlopen, dus ik dacht, ik vraag hen wel. Want ik was ook wel nieuwsgierig hou zij zouden reageren. Blijkt dat die poort helemaal niet op slot zat. Ik werd met een wijds armgebaar verwelkomd en mij werd vriendelijk gewezen waar ik me moest melden.

Kom je daar echt zo gemakkelijk binnen? Nou, dat valt gelukkig wel mee. Je krijgt een pasje en daarmee kun je door een poortje. Daarna kun je, als bezoeker, eigenlijk maar één kant op: naar het ontvangstgebouw. En van daaruit ben je constant onder begeleiding.

Oktober is traditioneel securitymaand. Veel organisaties – ook de onze – besteden dan extra veel aandacht aan beveiliging. Eén van de onderwerpen, die we deze keer in de spotlights zetten, is fysieke beveiliging. Daar speel jij als medewerker een wat ongemakkelijke rol in. We willen namelijk dat je wat minder vriendelijk bent. Indringers komen vaak binnen doordat een vriendelijke medewerker de deur voor hen openhoudt. Nou is dat doorgaans bij de ingangen van onze panden niet echt aan de orde, omdat je door een klaphekje moet. Maar denk ook eens aan die inpandige deuren, die je met een pasje moet openen. Bij zo’n deur is het dus de bedoeling dat alleen geautoriseerd personeel naar binnen gaat. Natuurlijk mag je die deur best openhouden voor iemand waarvan je weet dat die daar thuishoort, maar bij onbekenden is een vriendelijk “Zou je zelf even je pasje willen aanbieden?” op zijn plaats. En als je iemand zonder pasje ziet lopen, dan zou je net zo vriendelijk kunnen vragen of diegene zijn pasje kwijt is, en hem zo nodig naar de receptie begeleiden. Ik weet dat dit lastig is en daarom ben ik blij dat deze situatie zich in principe niet kan voordoen. Maar ja, in principe hè. Misschien is dat wel een extra reden om tóch iets te zeggen.

Nog even terug naar het bezoek. De security manager vertelde eerst over de fysieke dreigingen waar een uraniumverrijkingsfabriek mee te maken heeft. Je kunt gemakkelijk zelf bedenken uit welke hoek die dreigingen komen: criminelen, terroristen en activisten. Ook de beveiligingsmaatregelen zijn niet zo moeilijk: hekwerken, beveiligers, alarmsystemen. Daarna ging het over digitale dreigingen, waarbij dezelfde actoren een rol spelen. En daar komt het holistische (‘alomvattende’) karakter van hun aanpak in beeld: de maatregelen tegen cyberdreigingen zijn van dezelfde soort als die tegen fysieke dreigingen. Je moet dat in z’n geheel bekijken, want een aanvaller zal daar ook geen strikte scheiding in aanbrengen. Die probeert misschien wel om via een virus of een hack de alarmsystemen uit te schakelen, waarna hij zich fysiek toegang tot het complex verschaft. En misschien heeft hij het dan helemaal niet voorzien op uranium, maar op gegevens. Bij de meeste organisaties zullen boeven en spionnen proberen om de begeerde gegevens via het internet te bemachtigen, maar bij een dergelijke fabriek zijn de écht belangrijke gegevens ge-air-gapped: er zit letterlijk lucht tussen de desbetreffende computers en het de buitenwereld, oftewel: ze hangen uitsluitend in een strikt besloten netwerk. Dan moet je dus al een kraak zetten om erbij te kunnen.

Tijdens die rondleiding kwam ik oog in oog te staan met precies zo’n installatie waar het met Stuxnet om draaide: de centrifuges waarmee uranium wordt verrijkt, zodat het als brandstof voor kerncentrales kan dienen. Met het boek van Modderkolk in het achterhoofd was dit wel een bijzonder momentje. Er is echt wel iets voor nodig om die dingen kapot te krijgen. De oudste installatie in Almelo draait namelijk al veertig jaar non-stop en zonder enig onderhoud. Kom daar maar eens om in de ICT.

Met dank aan Urenco voor de gastvrijheid en aan de Security Academy voor de organisatie.

 

En in de grote boze buitenwereld …

• zijn industriële systemen erg kwetsbaar als ze aan het internet hangen.
• waren miljoenen auto’s kwetsbaar door een fout op de website van de fabrikant.
• kun je sommige systemen maar beter even met de hand bedienen.
• hebben ook illegale diensten wel eens last van inbrekers.
• maakt NIST een einde aan een aantal onzinnige wachtwoordpraktijken.
• legt deze Cyber Glossary allerlei termen uit de cybersecurity uit.
• kun je ChatGPT hacken via valse herinneringen.
• heeft een internationaal verbond van inlichtingen- en securitydiensten een advies voor het beveiligen van Active Directory gepubliceerd.
•  

Vechten tegen de bierkaai

 

Afbeelding via Pixabay

Mijn zoekopdracht leverde 359 documenten op. Toegegeven, een paar daarvan gingen over onderzoeken naar en klaagzangen over het gezochte fenomeen. Maar dan blijven er toch nog zo’n 350 documenten over waarin collega’s het zonder blikken of blozen hadden opgeschreven: Welkom01.

Als je vroeger van vakantie terugkwam en je wachtwoord niet meer wist, dan moest je de helpdesk bellen. Je kreeg dan vaak Welkom01 als nieuw wachtwoord. Ik ben toen eens met ze gaan praten en heb ze uitgelegd dat dat niet zo’n goed idee was. Iederéén kreeg immers datzelfde wachtwoord. Waarschijnlijk was de gedachte: dit is gemakkelijk voor de gebruiker en na de eerste keer inloggen moet hij toch een nieuw wachtwoord instellen. Maar ja, als ik slechte bedoelingen heb en op voorhand al weet wat andermans nieuwe wachtwoord zal zijn, dan kan ik daar wel wat mee. De helpdesk kwam tot inzicht en stapte over op gegenereerde – en dus onvoorspelbare – wachtwoorden. Alweer jaren geleden is deze dienstverlening weggeautomatiseerd en zo kwam er een eind aan Welkom01.

Maar niet heus, getuige de resultaten van mijn zoekopdracht. Overigens wist ik al vooraf wat ik zou aantreffen, want het blijft een gevecht tegen de bierkaai. Wij zijn een organisatie waar applicaties en infrastructuur worden gebouwd. Natuurlijk moeten die spullen getest worden. Dat gebeurt vaak geautomatiseerd of op z’n minst in teamverband. Voor zo’n test heb je geldige user-id’s nodig, met bijbehorende wachtwoorden. En juist omdat het testen geen solitaire bezigheid is, moeten alle teamleden, die erbij betrokken zijn, de wachtwoorden van de testaccounts hebben. Dat snap ik. Twee andere dingen snap ik niet: het wachtwoord dat men kiest, en dat ik daar achter kan komen.

Om maar met het dat eerste te beginnen: kom op mensen, Welkom01! Kun je nou echt niks beters bedenken? Ja oké, er zitten een hoofdletter en maar liefst twee cijfers in. Poeh poeh. De grote zwakte zit ‘m natuurlijk in de voorspelbaarheid van het wachtwoord. Er wordt besmuikt gegniffeld als dit wachtwoord wordt genoemd, omdat we met z’n allen weten dat het op zoveel plekken wordt gebruikt. Effectief betekent het dat ik je wachtwoord weet. En velen met mij. Je weet dat dit niet de bedoeling is.

Mijn tweede sneer is voor het feit dat ik honderden hits op mijn zoekopdracht kreeg. Ik heb geen speciale toverkracht die mij toegang tot alle informatie geeft. Dat betekent dat al die interne pagina’s, waarop wordt uitgelegd hoe en waarmee je van alles en nog wat kunt testen, niet zijn afgeschermd. En dat dus iedereen erbij kan. Je legt daarmee je huissleutel onder de bloempot, beste collega.

Ach, het zijn toch maar testaccounts, hoor ik je zuchten. In productie zouden we dat nooit doen! Waarom dan wel in test? Het is een kleine moeite om (a) een fatsoenlijk wachtwoord te laten genereren en (b) dat wachtwoord vervolgens fatsoenlijk te beschermen. Het heeft allemaal te maken met houding en gedrag. Zoals ik ervan overtuigd ben dat veilig gedrag in je privé-omgeving uitstraalt naar het werk, zo ben ik er ook van overtuigd dat je gedrag in de ene omgeving je gedrag in de andere beïnvloedt; laksheid links leidt gemakkelijk tot een “ik doe het rechts ook maar even zo”-houding als er snel iets moet worden gefixt. En als het probleem is opgelost, vergeet iedereen dat er nog iets moest worden rechtgezet.

Vroeger viel het misschien nog wel mee. Toen had je een strikte scheiding tussen ontwikkel- en beheerwerkzaamheden. Met de komst van devops is die grens vervaagd: in veel teams voeren alle medewerkers alle werkzaamheden uit – dus zowel development als operations, ofwel: ze ontwikkelen én beheren. En moeten dus overal bij kunnen. Dwars door alle OTAP-straten heen. Dat zijn gescheiden omgevingen voor ontwikkeling, test, acceptatie en productie. Maar als je overal bij kunt, dan kun je gedrag uit de ‘minder spannende’ omgevingen kopiëren naar de omgeving waar het er sowieso wél toe doet. Dat maakt ons kwetsbaar.

De mythe wil dat productiegegevens uitsluitend in de productieomgeving staan. Ja, vroeger gebruikten we testbestanden die uit zuiver fictieve data bestonden. Na een functionele aanpassing werden ook de testdata aangepast of uitgebreid. Dat vindt men tegenwoordig te bewerkelijk. En dus worden (geanonimiseerde) productiedata gebruikt. Maar het blijven productiedata. Combineer dat met die andere mythe dat álle medewerkers superbetrouwbaar zijn, en je hebt een recept voor ongelukken. We kijken graag weg als het om insider threat (dreiging vanuit de eigen organisatie) gaat, maar iedere organisatie heeft statistisch gezien recht op een bepaald percentage zwarte schapen. Maak het hen niet te gemakkelijk. Laten we afspreken dat al die simpele wachtwoorden door iets fatsoenlijks worden vervangen en dat ik al die pagina’s met wachtwoorden, die ik nu open heb staan, volgende week niet meer kan benaderen.

 

En in de grote boze buitenwereld …

• kan dit nieuwe ENISA-dreigingenrapport niets over insider threat melden omdat te weinig meldingen in de openbaarheid komen.
• houdt insider threat niet op als iemand de organisatie verlaat.
• maakt de nieuwe versie van macOS diverse securitytools stuk.
• mengt Russische AI zich in de Amerikaanse verkiezingsstrijd. (Het artikel is een cadeautje van de krant, vandaar de lange link.)
• is een hackwedstrijd niet bedoeld voor echte aanvallen.
• heeft de FBI een Chinees IoT-botnet uit de lucht gehaald.
• maakt jouw apparatuur misschien ook deel uit van dat botnet.
• krijgt de Autoriteit Persoonsgegevens te weinig geld, vindt de AP.
• denken sommige mensen dat AI-camera’s een zegen voor de mensheid zullen zijn.

 

Heksen en dark patterns

 

Afbeelding via Pixabay

Zwarte Magica heet ze en ze woont op de Vesuvius. Ze is de gezworen vijand van Dagobert Duck, want ze wil zijn geluksdubbeltje stelen om dat in de lava van haar vulkaan om te smelten tot een amulet, dat haar ongekende macht moet geven.

De naam van deze stripfiguur komt onwillekeurig in mij op als ik de term dark patterns hoor. Niet alleen vanwege de overeenkomst in kleur, maar ook omdat ze een gelijksoortige doelstelling hebben: stiekem iets van je afpakken om er zelf beter van te worden.

Je komt dark patterns dagelijks tegen als je het internet betreedt en zo’n irritante cookie-melding krijgt. Het is je vast al eens opgevallen dat de knop om overal mee in te stemmen vaak erg prominent aanwezig is, terwijl je met een lampje moet zoeken naar de mogelijkheid om daarvan af te wijken. Of dat je heel vaak moet klikken omdat de optie ‘alles uit’ ontbreekt. Een dark pattern stuurt de gebruiker door misleiding een bepaalde kant op, zodat je klikt op de voor die site gunstigste optie, of om je tot een aankoop te verleiden, of om je meer gegevens te laten verstrekken dan je zou moeten willen. Er zijn vele vormen van dark patterns. Ik zal er een paar met je doornemen, en je zult ze allemaal herkennen. En omdat de Engelse benamingen daarin overheersen én illustratiever zijn dan de schaarse Nederlandse vertalingen, zal ik die gebruiken. Overigens gebruiken verschillende bronnen verschillende benamingen.

-        Confirshaming is een mooie samentrekking van bevestiging en schaamte: bij de vraag of je dat lekkere verse voedsel wilt bestellen staat bij de optie ‘nee’ een toevoeging als: “Ik eet vanavond wel een magnetronmaaltijd”.

-        Nog zo’n mooie term is privacy zuckering, waar natuurlijk een verwijzing naar Mark Zuckerbergs Facebook in zit. Hierbij gaat het erom dat je meer persoonlijke informatie met je netwerk deelt dan je eigenlijk zou willen.

-        Misschien wilde je wel eens bepaalde software downloaden die je op het internet had gevonden. Je klikte op die grote, groene downloadknop en kreeg vervolgens iets heel anders dan je wilde. Je keek nog eens goed en zag dat je voor de software, die je eigenlijk wilde hebben, op een wat minder opvallende knop had moeten klikken. Dat noemen ze disguised ads (vermomde advertentie).

-        “Boek snel! Nog maar 3 kamers beschikbaar!” Als je wel eens een vakantie boekt, dan ken je deze vast wel. Dit heet fake scarcity (nepschaarste). Door te doen alsof de aanbieding aan je neus voorbij dreigt te gaan, willen ze je verleiden om snel te beslissen.

-        Soms vraag je je af of reviews wel echt zijn. Beoordelingen van collega-klanten kunnen je helpen bij je keuze, maar als de aanbieder zelf achter die jubelteksten zit, dan is er sprake van fake social proof.

-        Hard to cancel kwam ik een keer tegen bij het aanbod van een loterij om abonnee te worden met een gegarandeerde “prijs” in de eerste maand. Gratis geld laat ik niet graag liggen, maar ik was van begin af aan van plan om na die eerste maand op te zeggen. In tegenstelling tot het instappen kon het uitstappen niet online; ik moest bellen, en kreeg na lang wachten iemand aan de lijn die nogal nors reageerde op mijn opzegging.

-        Een andere bekende vorm van dark patterns heet nagging (zeuren). Dan krijg je bijvoorbeeld in een app steeds weer het aanbod om de betaalde versie te nemen, of om een bepaalde functie aan te zetten. Soms heeft de afwijzing de vorm van “misschien later”, wat je als een soort van belofte van jouw kant kunt zien. Het idee achter nagging is – net als in het echte leven – dat je ergens mee instemt om ervan af te zijn.

-        Oh ja, preselection (vooringevulde keuze). Dan staat de optie “Ik ontvang graag uw nieuwsbrief” alvast handig aangevinkt. Vaak zit er ook nog meer achter – zoals je het gevoel willen geven dat andere mensen ook voor een bepaalde optie kiezen.

Dit alles brengt ons op de vraag: mag dat allemaal zomaar? Nou, dat hangt ervan af. Soms is het gewoon slimme marketing, zoals in het voorbeeld van confirshaming. Het verhaal wordt anders als er duidelijk sprake is van misleiding, zoals bij valse reviews. De European Data Protection Board heeft een dik rapport over dit onderwerp gepubliceerd. Natuurlijk komt daarin de AVG ter sprake, want daarin is transparantie een belangrijk begrip, terwijl de term dark patterns al aangeeft dat transparantie daarbij ver te zoeken is. De AVG hanteert verder het principe van behoorlijkheid: jouw gegevens worden in jouw belang verwerkt en dat gebeurt in lijn met wat je redelijkerwijs zou kunnen verwachten. Ook privacy by default is een belangrijk uitgangspunt; alle opties, die een inbreuk op je privacy zouden kunnen maken, moeten standaard uit staan. Dat gaat dus fout in het voorbeeld van de nieuwsbrief, net zoals op pagina’s waarop je cookie-voorkeuren kunt instellen en waar dan alles aan staat.

Sommige dingen mogen dus, ook al zijn ze niet netjes of zelfs onethisch. Misschien wist je nog niet dat dit fenomeen dark patterns heet en welke wereld daarachter schuilgaat. Nu je het wel weet, ga je er misschien in de toekomst anders mee om. Zelf houd ik er wel van om iemand die mij wil pakken terug te pakken door lekker het tegenovergestelde te doen van wat hij wil. Zwarte Magica krijgt mijn geluksdubbeltje in ieder geval niet!

 

En in de grote boze buitenwereld …

• heeft Microsoft een securitypatch teruggedraaid, waardoor Windows 10-computers maandenlang kwetsbaar waren.
• is ChatGPT niet immuun voor social engineering.
• maakt Microsoft zich op voor de wereld van de quantumcomputer, die de huidige cryptografie kwetsbaar maakt.
• verslindt Meta publieke Facebook- en Instagramposts om zijn AI te voeden.
• liep een crimineel tegen de lamp met een laptop vol gestolen creditcardgegevens.
• kan het verlopen van een domeinnaam grote gevolgen hebben.
• belooft deze phishing-mail je gratis extra opslagruimte bij Google.
• wordt het criminele Telegram-gebruikers te heet onder voeten.
• kun je de ‘berichten voor eenmalige weergave’ in WhatsApp toch vaker bekijken.

 

Het hotel staat niet in brand

 

Afbeelding via Pixabay

PIEP – PIEP – PIEP. Hoofdletters kunnen nauwelijks weergeven hoe luid het alarm was, dat afging terwijl we zaten te ontbijten in een hotel in Parijs, onze laatste etappeplaats op weg naar huis. Hoofdletters zijn ook te klein om mijn verbazing weer te geven over wat zich daarna afspeelde.

Dat was namelijk in eerste instantie precies niets. Mensen gingen rustig door met het knabbelen aan hun croissant of het slurpen van hun koffie. Ik sloeg dat een seconde of drie gebiologeerd gade. Ja, op kantoor ken ik die gelatenheid wel als het ontruimingsalarm afgaat, maar in een hotel had ik toch wat meer paniek verwacht, of op z’n minst geschrokken blikken; we kennen allemaal de verhalen van afgefikte hotels en de bijbehorende slachtoffers.

Ik maande mijn gezelschap om het hotel te verlaten. Daarbij moest ik nog twee mensen ervan weerhouden om eerst netjes hun dienblad in het afruimkarretje te plaatsen. Kennelijk is er dan geen knop die omgaat van ‘normaal’ naar ‘noodsituatie’ en ervoor zorgt dat je routine kan worden doorbroken. Maar goed, we konden de uitgang van de ontbijtzaal gemakkelijk bereiken, simpelweg omdat bijna niemand anders hetzelfde wilde. Terwijl alleen al de herrie van het alarm genoeg reden was om daar weg te willen.

Nu komt het stukje dat ik met enige schaamte opschrijf. De weg naar buiten leidde langs de receptie. Al van een afstandje maakte de receptioniste met brede armgebaren duidelijk dat we niet hoefden te evacueren en dat we gewoon door konden gaan met ons ontbijt. Mijn schaamte zit ‘m erin dat ik als een mak schaap rechtsomkeert maakte, in plaats van te gaan vragen hoe de receptioniste zo zeker wist dat er niks aan de hand was. Het kan natuurlijk best zo zijn dat ze wist wat het alarm getriggerd had en dat dat geen reden was om te ontruimen. Het eventuele horrorscenario zat heel anders in elkaar: er is om de haverklap een vals alarm, dus het zal deze keer ook wel weer niks zijn. Gaat u rustig eten.

In het Engels heet dat ‘cry wolf’. Als je steeds maar roept: “Kijk uit, een wolf!”, terwijl in geen velden of wegen zo’n beest te zien is, dan kijken mensen op een gegeven moment niet meer op of om. En als ergens meerdere keren per week zonder aanwijsbare reden het brandalarm afgaat, dan neemt het personeel op een gegeven moment aan dat er deze keer ook niks aan de hand is. Dat kan fatale gevolgen hebben. Het gekke is dat iedereen dat snapt – en daar niks mee doet.

Waarom ging ik daarin mee? Dat is eigenlijk voer voor psychologen en ongetwijfeld uitgebreid in kloeke boekwerken beschreven, maar als ik zelf even de hobbypsycholoog mag uithangen: het zal wel met gezagsverhoudingen te maken hebben. Die receptioniste is een soort van autoriteit – het gezicht van het hotel, degene die je vertelt in welke kamer je moet slapen en hoe laat de ontbijtzaal open gaat. En ze staat achter een balie; dat schept afstand en onderstreept haar autoriteit. Als zo iemand zegt dat het goed is, dan is dat zo. Maar vanwege dat mogelijke horrorscenario zou ik dus willen dat ik op haar was afgestapt en had doorgevraagd.

Zo werkt het ook met computers, mensen. Waarschuwingen worden toch al amper gelezen – we weten feilloos de wegklikknop te vinden. Terwijl daar toch best een keer een melding tussen kan zitten die de moeite van het lezen meer dan waard is, bijvoorbeeld omdat zij het verschil kan maken tussen een organisatie die plat komt te liggen door ransomware en een organisatie die fluitend blijft werken omdat jij die melding wél serieus hebt genomen.

De liefde moet ook hier van twee kanten komen. Als je overladen wordt met allerlei meldingen, waarvan een deel ook nog eens abracadabra voor je is, dan mag ik niet van je verwachten dat je in alle gevallen op de juiste wijze reageert. Less is more vind ik vaak een afgezaagde uitdrukking, maar met die meldingen mag het inderdaad wel wat minder, om zo de echt belangrijke meldingen de aandacht te geven die ze verdienen. En dán mag ik wel van je verwachten dat je even de moeite neemt om te lezen wat er staat en proberen te begrijpen wat je moet doen.

Nog even terug naar dat hotel. Op kantoor weet ik precies wat de kortste route naar buiten is en daar heb ik al vaker gebruik van gemaakt, maar op deze onbekende locatie kwam het niet in mij op om een nooduitgang te zoeken. Nee, we gingen op weg naar de hoofdingang van het hotel. Maar de gewone route is lang niet altijd te beste route. Het kan zelfs een route naar het gevaar toe zijn in plaats van ervan af. Ik spreek bij deze met mezelf af om daar een volgende keer alert op te zijn. Doe je mee?

 

En in de grote boze buitenwereld …

• zijn jongeren via hun games een gemakkelijke prooi voor criminelen.
• waarschuwt de MIVD voor een Russische cybereenheid.
• vermengt die eenheid haar cyberinspanningen met fysieke activiteiten.
• krijg je bij sextortion nu ook een foto van je huis meegeleverd.
• is het moeilijk om grip te krijgen op statelijke spyware.
• worden bedrijven ook wel eens van binnenuit aangevallen (vaker dan je denkt).
• gaat een hele wereld aan sentimenten schuil achter de arrestatie van de baas van Telegram.
• wil Telegram de moderatie op het platform verbeteren.
• zet Defensie zwaar in op de cyber.
• kan beveiligingshardware ook kwetsbaar zijn.