Kijk me aan

Afbeelding via Pixabay

Hoe ontgrendel jij je mobiel, tablet of laptop? Met een wachtwoord, een pincode, je vingerafdruk of misschien zelfs met je gezicht? Er zijn legio mogelijkheden en je kon dan ook wachten op de vraag of gezichtsherkenning wel veilig is. Een paar jaar geleden was mijn antwoord: op zakelijke toestellen zou ik het niet gebruiken, privé lijkt me geen probleem – tenminste, als je een beetje een normaal leven hebt. Maar klopt die stelling wel? Tijd voor wat onderzoek, zodat jij er niet zelf in hoeft te duiken.

Gezichtsherkenning is een vorm van biometrische identificatie, waarbij unieke kenmerken van je lichaam worden vergeleken met een opgeslagen patroon. Andere vormen van biometrie zijn bijvoorbeeld de vingerafdruk- en handpalmscan, de irisscan en stemherkenning. Deze technieken werken anders dan de goede oude vingerafdrukken die je kent van de politie, waarbij met geïnkte vingers een afdruk op papier wordt gemaakt die dan vergeleken wordt met de afdrukken die de inbreker op het raam heeft achtergelaten. In plaats daarvan wordt de scan vertaald in een biometrisch profiel, waarbij onder andere wordt gekeken naar de afstand tussen je ogen, de afstand tussen neus en mond, de vorm van je jukbeenderen en de afmetingen van je gezicht. Geavanceerdere systemen maken een 3D-scan en gebruiken infraroodbeelden, waardoor het profiel nauwkeuriger wordt. Nog beter wordt het als technologie wordt gebruikt om te controleren of de camera naar een levende persoon kijkt. Bij het ontgrendelen worden de dan waargenomen kenmerken vergeleken met het opgeslagen profiel. Het is dus niet zo dat foto’s van toen en nu met elkaar worden vergeleken.

Ik heb vanochtend een stoet aan artikelen over dit onderwerp gelezen, en het antwoord op de vraag of gezichtsherkenning een veilige methode is om je apparaat te ontgrendelen blijkt te zijn: het hangt ervan af om welk apparaat het gaat. FaceID van Apple maakt vanaf de iPhone X gebruik van de geavanceerdere technieken die ik hierboven beschreef en wordt daardoor als veilig beschouwd. Voor Android-toestellen geldt een ander verhaal, zo ontdekte de Consumentenbond. Die herhaalde in 2023 zijn onderzoek van vier jaar eerder en moest concluderen dat er weinig was veranderd: nog steeds konden ze 43% van de onderzochte toestellen voor de gek houden met een foto. Het gaat dan vooral om toestellen aan de onderkant en in het midden van de prijslijst, hoewel ook een paar duurdere toestellen door de mand vielen. Bijna alle Samsung-toestellen deden het goed.

Op Windows-pc’s is Windows Hello beschikbaar. Dat maakt gebruik van infraroodcamera’s om een 3D-scan van je gezicht te maken. Het systeem kan ook checken of het naar een levend wezen zit te kijken, waardoor je het niet gemakkelijk kunt foppen met een foto. Beschikt je computer niet over de benodigde camera’s, dan is gezichtsherkenning niet beschikbaar.

Natuurlijk heb ik de proef op de som genomen en mijn privé-telefoon naar een foto op mijn beeldscherm laten kijken. En vervolgens heb ik gezichtsherkenning op dat toestel gauw uitgeschakeld… De vingerafdrukscanner blijf ik wel gebruiken, want dat is veiliger dan een pincode omdat die kan worden afgekeken. En waar je gezichtsherkenning vaak met een foto kunt foppen, is dat met een vingerafdruk vele malen moeilijker. Sommige Android-toestellen hebben nog patroonherkenning, waarbij je met je vinger een patroon tekent op een raster van negen punten. Het gebruik daarvan wordt zo’n beetje unaniem afgeraden, omdat iemand die over je schouder meekijkt dat patroon heel gemakkelijk kan onthouden. Bovendien verraden vetsporen op het scherm ook het nodige.

Tijdens de research voor deze blog is mij iets opgevallen. Ik heb gezocht op “gezichtsherkenning veilig” en op “face recognition safe”. De Nederlandstalige artikelen gaven goed antwoord op de vraag die ik had, terwijl de Engelstalige artikelen vooral ingingen op het privacy-aspect van gezichtsherkenning: voor welke doelen is deze technologie allemaal te misbruiken? Privacy speelt met name een rol wanneer biometrische gegevens in databases worden opgeslagen. En weer zien we die Chinees bij rood oversteken en een paar dagen later per post een bekeuring ontvangen. Maar ook criminelen zijn geïnteresseerd in technologie waarmee je op basis van een (heimelijk genomen) foto informatie over iemand kunt vergaren. En ten slotte vrezen nogal wat mensen dat de politie hun telefoon wel heel gemakkelijk kan ontgrendelen – je kunt je gezicht nu eenmaal niet uitzetten (net zo min als vingerafdrukken overigens). Terwijl je wel kunt weigeren om je pincode af te staan.

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• zijn er ook nog andere wegen om telefoons te ontgrendelen.
• worden valse QR-codes op parkeerautomaten geplakt.
• verkopen Chinese ambtenaren gegevens van burgers op de zwarte markt.
• roept D-Link gebruikers van bepaalde VPN-routers dringend op het apparaat te vervangen.
• proberen phishers onder de radar te blijven met behulp van vectorafbeeldingen.
• verraden de telefoons van Amerikaanse militairen en spionnen hun locatie.
• doen we het allemaal voor niets.
• vinden criminelen Black Friday ook leuk.
• denkt de minister van V&J dat decryptieplicht voor chat-apps een dilemma is.
• begrijpt diezelfde minister wel dat de politie meer verstand van de onlinewereld moet krijgen.
• wordt zelfs de naam van het NCSC misbruikt in een phishingcampagne.

 

 

Veilig water

Afbeelding via Pixabay

Heb je ‘m al gezien? Hij rukt op in onze kantoren. Zonder enige aankondiging – of ik moet iets gemist hebben. Onwennig keken we elkaar aan. Die dag ging ik de eerste keer toch nog naar die ander, maar daarna kon ik mijn nieuwsgierigheid niet langer bedwingen en stapte ik moedig op hem af. Ik raakte hem aan en er verschenen pretlichtjes. Het was even zoeken hoe het precies moest, maar uiteindelijk kreeg ik wat ik wilde. Een mok vol heet water. We hebben het over de Borg & Overström E6, een apparaat dat koud, gekoeld, bubbelend en heet water levert. Thee- en waterdrinkers worden verwend.

Hoe ik erbij kom om de Security (b)log aan een drinking water solution te wijden? Nou, als in de naam van een waterautomaat Overström staat, dan heb je mijn aandacht. Nomen est omen – of in goed Nederlands: what’s in a name. En inderdaad zie ik dat het toestel op onze verdieping een beetje lekt. Maar ook het eerste deel van de naam is absoluut een trigger, maar dat snappen alleen fans van Star Trek. Tipje van de sluier voor alle anderen: de Borg, dat zijn die gezellige ruimtewezens van “You will be assimilated. Resistance is futile.”

Er ligt geen handleiding naast de B&O (oeps, die afkorting was al van een ander bedrijf). Hoezo handleiding, hoor ik je denken, als je nog niet persoonlijk hebt kennisgemaakt met de E6. Maar dat apparaat geeft zijn water niet zomaar prijs. Het heeft vijf knoppen: eentje voor elk van de genoemde producten plus eentje met een hangslot erop. Aha, daar zit de link met security!

Dan denk je dus dat je het apparaat eerst moet ontgrendelen met die knop en vervolgens op de knop van je keuze moet drukken. Fout! Na twee aanrakingen gebeurt er namelijk helemaal niets. Nou ja, je krijgt een kleine lichtshow op de plek waar je water had verwacht. Maar geen water. Huh? Na een dagje oefenen ben ik eruit. Je moet ‘m eerst met een tedere aanraking wakker kussen, vervolgens de boel ontgrendelen met de hangslotjesknop en dán pas op de knop van het gewenste product drukken. Et voilà, zolang je vinger op die plek rust, stroomt er water. In één keer een volle mok – een ware vooruitgang ten opzichte van de koffieautomaten waar je voor hetzelfde doel tweemaal moest tappen, of de ‘kan’-knop moest gebruiken.

Ondertussen vragen collega’s zich af waarom er überhaupt een vergrendeling op die toestellen zit. Ik antwoord dan steevast: om kinderen tegen het hete water te beschermen. Welke kinderen dan? Ja precies. Die zijn uiterst zeldzaam in onze kantooromgeving, en ik vermoed zomaar dat hetzelfde geldt voor het overgrote deel van de andere klanten van dit Britse bedrijf (dat had je niet gedacht hè, dat ze daarvandaan komen).

Ik heb al eerder geschreven over beveiligingsmaatregelen, die in een bepaalde context overbodig zijn, en daardoor onnodig voor oponthoud zorgen. Kijk, bij een kokendwaterkraan op kantoor snap ik wel dat daar een soort beveiliging op zit waardoor je heel bewust voor kokend water moet kiezen. Het zou sneu zijn als je je handen door een bedieningsfout met kokend water staat te wassen. Maar bij een tappunt doe je dat niet, en het lukt ook niet om er met je mond onder te gaan hangen als je geen beker maar wel dorst hebt. Bovendien hebben de koffieautomaten ook geen vergrendeling.

Aan veel Security (b)logs gaat gedegen research vooraf. Voor deze editie wilde ik de website van Borg & Overström raadplegen. Maar in plaats van de gewenste site kreeg ik een scherm van Cloudflare voorgeschoteld: “Sorry, you have been blocked.” Ik zou iets gedaan hebben wat de beveiliging getriggerd heeft. Terwijl ik alleen maar vanuit de zoekmachine (startpage.com) op de link van het bedrijf heb geklikt. Ach ja, gelukkig leiden er meer wegen naar Rome en mocht ik op een ander apparaat wel naar die site. Ik wist trouwens niet dat je zulke ronkende teksten kon fabriceren over waterspuwers! De meeste teksten zou je bijna ongewijzigd kunnen overnemen om het nieuwste model elektrische auto aan de man te brengen (“evolved environmental sustainability, energy-efficiency and intelligent technology” en “we aim to inspire the every day with original design and thoughtful innovation”). Maar goed, ik werd dus geblokt en heb geen idee waarom. Zouden ze onze organisatie geblacklist hebben?

Je kunt de E6 ook contactloos bedienen, via Bluetooth – een innovatie dankzij corona. Ik citeer maar weer even mijn Finse held Mikko Hyppönen: als het verbonden is, is het kwetsbaar. Als dat maar niet tot een overströming leidt.

 

En in de grote boze buitenwereld …

• maakt Amerika zich op voor een tijdperk van nog meer overheidstoezicht.
• is nummerplaatherkenning daar een onderdeel van.
• linkt bovenstaand artikel naar een kaart waarop wereldwijd locaties van ANPR-camera’s te zien is (behalve in Nederland…).
• maken ook criminelen graag gebruik van de gegevens die de politie heeft.
• gebruikt deze ransomware de securitytool BitLocker voor het versleutelen van je harde schijf.
• start je iPhone automatisch opnieuw op als je hem drie dagen lang niet hebt gebruikt.
• gebruikt de Secret Service locatiegegevens op basis van de toestemming die je aan apps op je telefoon geeft.
• dringt Europa er bij Temu op aan om onze consumentenrechten te respecteren.
• heeft de FBI misschien ook wel jouw apparaat geschoond, gewoon hier in Nederland.

De EU en AI

 

Afbeelding via Pixabay

Ai, we gaan het over een wat ingewikkeld onderwerp hebben: AI. Oftewel artificial intelligence, dan wel kunstmatige intelligentie. Dat we in het Nederlands meestal de Engelse afkorting gebruiken, komt misschien wel omdat we ‘KI’ in het Nederlands associëren met kunstmatige inseminatie, bedenk ik net. Overigens geeft de Dikke Van Dale beide betekenissen voor de afkorting ki (ja, in kleine letters).

Ik heb al eerder gezegd dat je niet aan een informatiebeveiliger moet vragen of je AI mag gebruiken voor je werk, want dan volgt er een risicoanalyse waarvan de uitkomst ongetwijfeld zal zijn: niet doen. Nee, beslissingen over het toepassen van bepaalde vormen van technologie horen bij ‘de business’ te liggen, of, met misschien een betere term, bij de beslissers. Ze mogen zich gerust laten beïnvloeden door onze risicoanalyses, maar er zijn meer factoren waar beslissers rekening mee moeten en/of willen houden.

Soms ligt de beslissing nog hoger, op politiek niveau. Dat is met AI ook het geval. Er is een heuse Europese AI Act, oftewel een verordening op kunstmatige intelligentie (een verordening is wetgeving die in de hele EU van toepassing is, zonder afzonderlijke interpretatie per land). Doel van de AI Act is dat we veilige AI-systemen krijgen, die onze fundamentele rechten respecteren. Die rechten omvatten transparantie, traceerbaarheid, non-discriminatie en milieuvriendelijkheid. En de systemen moeten – om schadelijke gevolgen te voorkomen – onder menselijk toezicht staan.

De verordening verdeelt het AI-landschap in vier risiconiveaus. Het hoogste niveau bevat systemen die een onacceptabel risico voor de veiligheid, bestaanszekerheid en rechten van mensen vormen en daarom verboden zijn. Voorbeelden die de EU hierbij noemt zijn speelgoed met stembediening dat gevaarlijk gedrag aanmoedigt en real-time biometrische identificatie (denk hierbij aan de in China wél toegepaste gezichtsherkenning bij verkeerslichten: loop je door rood, krijg je een bekeuring op de mat).

De volgende categorie bevat systemen die een hoog, maar acceptabel risico vormen. Ze kunnen een negatieve invloed hebben op onze veiligheid en fundamentele rechten, en ze vallen uiteen in twee subcategorieën: systemen, die onder productveiligheidswetgeving van de EU vallen, zoals speelgoed, auto’s, luchtvaart, medische apparatuur en liften, en systemen die in bepaalde gebieden vallen, zoals kritieke infrastructuur, onderwijs, werkgelegenheid, wetshandhaving en migratie. Dergelijke systemen worden beoordeeld voordat ze op de markt mogen worden gebracht, en daarna gedurende hun hele levensduur. Nationale toezichthouders moeten een klachtenprocedure inrichten.

Nog een niveau lager gaat het over systemen waarbij het risico op misleiding bestaat. Hier zit de generatieve AI in, die zelf content creëert, zoals ChatGPT en Gemini. Kunstmatig gegenereerde content moet als zodanig gemerkt worden. Dus als je op een website met een AI-chatbot kletst, dan moeten ze je dat duidelijk vertellen. Ook deepfakes – filmpjes, foto’s en geluidsfragmenten waarin het door manipulatie lijkt alsof iemand iets doet of zegt – moeten een labeltje krijgen. AI-systemen, die een minimaal risico vormen, worden niet gereguleerd. Je kunt hierbij denken aan games en spamfilters. Volgens de EU valt de overgrote meerderheid van de nu gebruikte AI-systemen in deze categorie.

De AI-Act wordt gefaseerd ingevoerd. In februari volgend jaar worden de onacceptabele systemen verboden. Een half jaar later moeten de nationale toezichthouders in het zadel zitten. Volgend jaar worden ook de transparantieregels voor algemene AI (zoals ChatGPT) van kracht. En weer een jaar later worden de regels voor de hoog-risicosystemen van kracht.

Het is prettig om te zien dat de EU dit onderwerp tijdig bij de horens vat. Maar ik heb ook niet de illusie dat iedereen zich aan de regelgeving zal houden. Met name criminelen hebben er een handje van om de wet te overtreden. Zij zullen heus wel deepfakes blijven gebruiken om mensen te laten geloven dat een familielid in nood verkeert en dringend geld nodig heeft.

 

En in de grote boze buitenwereld …

• hebben ook militairen behoefte aan AI-regelgeving.
• is ChatGPT geen formele bron.
• haalde de Belastingdienst de luchtverkeersleiding onderuit.
• moet je soms teruggrijpen op ouderwetse systemen.
• verzamelt deze website Europese alternatieven voor digitale producten en diensten.
• worden ethische hackers in Duitsland wettelijk beschermd.
• moet je alert zijn op phishing vanuit booking.com.
• wil Australië kinderen en tieners van social media weren, om hun mentale gezondheid te beschermen.

Geen stijl

 

Afbeelding via Pixabay

Als je ergens een sticker met de tekst VEILIG op plakt, is het dan veilig? Dat hangt ervan af. Als die sticker wordt geplakt nadat de veiligheid gecontroleerd is, en er afspraken zijn dat die sticker alleen dán geplakt wordt, dan mag je er inderdaad van uitgaan dat het gestickerde ding veilig is – tenminste, als aan die sticker te zien is dat hij echt is. In alle andere gevallen slaat zo’n sticker natuurlijk helemaal nergens op. Sterker nog: het werkt schijnveiligheid in de hand.

Laatst sprak ik een collega die een mooie webapplicatie beheert. Bij het maken van dat programma waren ze één ding vergeten: de huisstijl. En dat vonden de mensen, die over de huisstijl waken, geen goed idee. Want, zo vond men, dan gaan gebruikers denken dat het een valse website is, waar enge dingen zouden kunnen gebeuren. Zet ons huisstijllogo erop, zeiden ze, dan is duidelijk dat de site veilig is.

Onzin. Als cybercriminelen de laatste jaren érgens goed in zijn geworden, dan is het wel het natuurgetrouw nabouwen van websites. Ze gaan kijken hoe de echte website eruitziet en kopiëren de complete huisstijl: logo’s, foto’s, lettertype, schrijfstijl, ja zelfs de waarschuwing voor cybercriminelen, die tegenwoordig op veel sites staat, nemen ze over. Aan het uiterlijk valt de veiligheid dus niet af te lezen.

Maar, zei de beheerder, gebruikers van mijn applicatie kunnen in de URL-balk van de browser zien dat de getoonde webpagina in ons domein zit. Maar dat werkt dus óók niet. Want voor de gemiddelde gebruiker is dat gewoon een brug te ver. Of heb jij nog nooit gezien dat iemand in de zoekbalk van Google ‘buienradar.nl’ intikt en vervolgens via de zoekresultaten naar die website gaat? In plaats van ‘buienradar.nl’ (de URL) meteen in de URL-balk (helemaal bovenin de browser) in te tikken, zodat je meteen op de juiste plek belandt? Veel gebruikers hebben een blinde vlek voor de URL-balk, laat staan dat ze gaan kijken wat daar staat en op basis daarvan ook nog eens kunnen bepalen of ze op een bonafide site zijn aanbeland.

Terzijde: de hier geschetste werkwijze introduceert een extra probleem. Cybercriminelen slagen er goed in om hun valse sites hoog in de zoekresultaten te laten tonen. Zo kan het dus gebeuren dat je via je zoekmachine op een valse site terechtkomt. Tip: als je de URL weet, tik die dan in de URL-balk in, niet in Google (of een andere zoekmachine). Ga je vaker naar een site, maak er dan een bookmark/bladwijzer voor, zodat je niet hoeft te typen. Met bookmarks voorkom je bovendien dat je door een typfout (‘buienrader.nl’) alsnog op een valse site terechtkomt. Criminelen bouwen namelijk graag websites met URL’s die erg lijken op die van de echte websites. En dan hopen ze dat jij een typfout maakt en bij hen belandt. Typosquatting heet dat. Een typo is een typfout, en squatting betekent kraken (als in: een woning kraken).

Ondanks dit alles heb ik er bij de beheerder voor gepleit om de huisstijl toe te passen. Ben ik dan voor schijnveiligheid? Geenszins. Maar ik wil voorkomen dat het onterechte meldingen regent van gebruikers die denken dat ze op een valse site zitten – de collega’s van de ICT-servicedesk hebben het al druk genoeg, dus als ik ze een aantal false positives kan besparen, dan doe ik dat graag. Bovendien trainen wij gebruikers in het herkennen van gevaren. Ik noem dat rode vlaggen. Hoe meer rode vlaggen, hoe aannemelijker dat het foute boel is. Voor bijvoorbeeld phishing kan ik zo een aantal rode vlaggen opdreunen: een onpersoonlijke aanhef (“Beste klant”), afwijkend afzenderadres (bol.nl in plaats van bol.com) of een link naar een afwijkend domein (bol.com.klantenservice.nl). Tip: zo’n URL moet je van rechts naar links lezen; dus alleen als bol.com helemaal rechts staat, bezoek je het domein van die webwinkel. Daar mag overigens nog wel iets achter staan, beginnend met een ‘/’: bol.com/klantenservice is een pagina in het domein bol.com. Maar bol.com.klantenservice.nl is dus niet van bol.com.

Ik ben natuurlijk even op de pagina van die interne webapplicatie gaan kijken. En wat zie ik? In een hoekje prijkt ons huisstijllogo! Er is water bij de wijn gedaan, in de hoop dat iedereen nu tevreden is. En ze gaan nog een stap verder: de applicatie zal worden aangesloten op single sign-on, zodat bezoekers niet meer handmatig hoeven in te loggen. Een slimme zet, want als je het gevoel hebt dat je misschien op een valse site bent en daar dan ook nog op moet inloggen, versterkt dat het gevoel van onveiligheid.

 

En in de grote boze buitenwereld …

• voerde dit security-bedrijf een jarenlang gevecht tegen Chinese staatshackers.
• onthullen de Strava-accounts van bodyguards waar wereldleiders uithangen.
• spreekt dit artikel van een quantum-hype.
• heeft een internationale politie-coalitie een infostealer-operatie opgeruimd.
• horen ontslagen medewerkers niet meer te kunnen inloggen.
• wordt ransomware alleen maar erger.