Onder de motorkap

Foto van auteur

Traditiegetrouw hebben we ook dit jaar een kerstdorp in onze woonkamer gebouwd. Dat kostte vier dagen tijd en zo’n vijf vierkante meter ruimte, het vergde een gestructureerde aanpak en vereiste de nodige lenigheid. Maar het resultaat mag er dan ook zijn, vinden we zelf. Van begin december tot half januari genieten we van de warme uitstraling van dit winterse tafereel.

Ik kijk daar met heel andere ogen naar dan bezoekers. Want ik weet wat er allemaal onder de oppervlakte zit. Hoe al die lichtjes aan stroom komen, hoe de rotspartijen zijn gemaakt, dat er meters plakband en ettelijke nietjes in zijn verwerkt. Ik weet hoe de hoogteverschillen zijn ontstaan en ik ken de onderdelen van de spoortunnel, die ik – net als de skipiste – eigenhandig heb gebouwd. Ik heb de straat aangelegd en weet welke kabeltjes onder het asfalt liggen. Ik kijk ook dwars door de sneeuw heen en weet precies wat hij allemaal verbergt. En ik weet wat er allemaal eigenlijk niet helemaal klopt in dit tafereel.

De aloude metafoor van de ijsberg dient zich aan. Wat je majestueus boven het water ziet uittorenen, is slechts een fractie van de totale klomp bevroren water. Nou zijn de verhoudingen bij ons kerstdorp niet zo dramatisch, maar toch moet je ook hier niet onderschatten wat er onder de oppervlakte schuil gaat.

Ook het internet zit zo in elkaar. Boven de oppervlakte bevindt zich het internet waar jij en ik onze dagelijkse dingen doen en waar de Googles van deze wereld heersen. Onder de oppervlakte, onzichtbaar voor de meesten van ons, bevindt zich het dark web. Hier geen Google, maar criminelen die de dienst uitmaken. Je kunt er terecht voor allerlei diensten en producten, van DDoS-aanvallen tot drugs. Ik ben daar nog nooit geweest, maar ik heb genoeg presentaties van opsporingsdiensten uit binnen- en buitenland gezien om te weten hoe het daar aan toe gaat. Dat verschilt eigenlijk nauwelijks van het reguliere internet – behalve dan dat je er heel andere dingen koopt en dat je er niet zo gemakkelijk komt. Je kunt natuurlijk aan de bovenkant van de ijsberg vragen hoe je aan de onderkant komt, en als je dan op een site met serieuze uitleg komt, dan besef je al gauw dat je computer beschermende kleding nodig heeft voordat je naar de duistere onderkant afdaalt. En de URL’s die je daar bezoekt lijken niet op bijvoorbeeld buienradar.nl, maar heten ongeveer zo: zqktlwiuavvvqqtxxxvgvi7tyo4hjl5xgfuvxxx6otjiycgwqbym2qad.onion. Als eerzame burger heb je daar niks te zoeken, maar je kunt wel met een hoop ellende opgezadeld worden. Want zoals gezegd, het zijn de spelonken van het internet dat door tuig van de richel wordt bevolkt. En die criminelen kunnen zomaar belangstelling voor jou krijgen als je daar ronddoolt.

Ook wij informatiebeveiligers, toch in velerlei opzicht de tegenpolen van die stiekeme criminelen, houden op z’n tijd van wat geheimpjes. We hebben er zelfs een gelikte term voor: security by obscurity, wat ik maar vertaal in ‘veiligheid door geheimzinnigheid’. Dit staat te boek als een verguisde werkwijze, want in strikte zin houdt het in dat je beveiliging gebaseerd is op geheimhouding en dat je dan maar hoopt dat je geheim niet uitlekt. Je huissleutel verstoppen onder de deurmat is daar een voorbeeld van – eentje dat ook meteen duidelijk maakt dat het niet erg waarschijnlijk is dat nooit iemand je geheim zal ontdekken.

Zo zwart-wit wil ik het niet zien. Ik zeg altijd: security by obscurity voldoet nooit als enige beveiligingsmaatregel, maar het helpt wel. Voorbeeld: we hangen liever niet aan de grote klok welke systemen er allemaal bij ons draaien en met welke versie. Want dat alleen al is informatie waar kwaadwillenden iets aan hebben. Het is een puzzelstukje, en als ze daar maar genoeg van bij elkaar sprokkelen, dan krijgen ze het hele plaatje te zien. Door puzzelstukjes te verstoppen, gaan we dat tegen. Maar omdat je er nooit op kunt vertrouwen dat ze die stukjes niet toch vinden, moeten we al die systemen uiteraard toch beveiligen, en er daarbij van uitgaan dat indringers al veel verder zijn dan wij hopen. Dat is het assume breach-principe: ga er maar gerust van uit dat je al gehackt bent, en stem daar je verdere beveiliging op af. Mocht jouw huissleutel inderdaad onder de deurmat liggen, dan doe je er goed aan ook een alarminstallatie te installeren, zodat iemand die jouw geheim heeft ontdekt toch nog met een extra barrière wordt geconfronteerd.

In de tussentijd probeer ik van ons kerstdorp te genieten alsof ik geen weet heb van de opbouw ervan. En dat noem ik dan delight by ignorance.

De Security (b)log keert na de kerstvakantie terug.

 

En in de grote boze buitenwereld …

• kun je je huissleutel ook vervangen door een app.
• is China beter geworden.
• weet SpongeBob hoe hij AI kan jailbreaken.
• moeten Amerikaanse overheidsinstanties verplicht beveiligingsmaatregelen voor clouddiensten implementeren, te beginnen bij M365.
• zijn cybercriminelen minstens zo geavanceerd als statelijke actoren.
• verraadt Tinder de locatie van honderden Nederlandse militairen.
• worstelt ook de Amerikaanse defensie met de veiligheid van haar telefoons.
• blijft AI voor z’n beveiliging nog even afhankelijk van menselijke intelligentie.
• laat de beveiliging van Nederlandse overheidsdomeinen te wensen over.
• kan phishing duur uitpakken.
• gebruiken criminelen captcha’s om bij jou in te breken.

 

In klusbroek naar de cyberoorlog

Afbeelding via Pixabay

Klussen is niet echt mijn hobby, maar soms moet het nu eenmaal, nietwaar. En als ik dan aan de slag ga, dan draag ik daarbij een broek die ik 36 jaar geleden kreeg uitgereikt als dienstplichtig militair. Onverwoestbaar dat spul. En dat ik er nog steeds in pas, zegt misschien ook iets over mij…

Weet je wat de overeenkomst is tussen mijn klusbroek en het internet? Het zijn er zelfs twee: ten eerste is het internet eveneens van militaire komaf, en ten tweede is het zo ontworpen dat het in principe minstens zo onverwoestbaar is als deze gevechtstenuebroek.

Het internet startte in 1969 (!) onder de naam ARPANET als project van het Amerikaanse ministerie van Defensie. Er was behoefte aan een robuust netwerk, dat niet afhankelijk zou zijn van een centraal systeem. Deze wens leverde een gedistribueerd systeem op, waardoor een bom op één server (het is dan het midden van de Koude Oorlog) niet de hele boel zou platleggen. Daar zijn ze aardig in geslaagd: ik kan me niet herinneren dat het internet als geheel ooit is uitgevallen. Dat gebeurde overigens lokaal wel in 2019 op de Tonga-eilanden, na een breuk in de glasvezelkabel naar Nieuw-Zeeland, lees ik op Wikipedia. Maar dat is dan ook precies een voorbeeld van hoe het niet moet: het idee achter de robuustheid is dat, wanneer een verbinding wegvalt, de data een andere route naar hun doel zoeken. Als je een eiland bent en via één kabel met de rest van de wereld bent verbonden, dan heb je een single point of failure in je systeem – en dat staat haaks op de filosofie achter het internet.

Hoewel Nederland geen eiland is, is ook ons internet niet zo onaantastbaar als je zou willen. Bijna al ons internationale verkeer loopt namelijk via één knooppunt, de Amsterdam Internet Exchange (AMS-IX). Als dat plat gaat, dan zijn er nog wel andere verbindingen met de buitenwereld, maar die zouden dan wel eens overbelast kunnen raken. Gelukkig is AMS-IX wel verdeeld over meerdere locaties, waardoor de kans, dat het knooppunt volledig uitvalt, niet zo groot is. In Nederland gebeurt ontzettend veel op het internet: kantoormensen kunnen thuis werken, we shoppen ons wezenloos en via sociale media staan we in contact met de rest van de wereld. Je moet er toch niet aan denken dat dit voor langer dan tien minuten verstoord raakt hè.

De secretaris-generaal van de NAVO liet ons deze week weten dat we ons mentaal moeten voorbereiden op een oorlog. Ik weet niet hoe dat bij jou binnenkwam, maar de uitspraak van Mark Rutte viel mij rauw op het dak. Oorlog, dat is iets uit de tijd van mijn ouders en speelt zich in onze tijd elders op de wereld af. Toegegeven, Oekraïne ligt op nog geen vijftienhonderd kilometer van mijn huis, maar dichterbij zal het toch niet komen? Dan roep ik toch even het boek Het is oorlog maar niemand die het ziet van Huib Modderkolk in herinnering. Rutte zal met zijn uitspraak niet direct aan een digitale oorlog hebben gedacht, maar feitelijk woedt die al jaren. De inlichtingendiensten noemen regelmatig het illustere kwartet Rusland, China, Iran en Noord-Korea als het gaat om statelijke actoren die ons aanvallen. Hun doelen zijn spionage, geld, ontwrichting, sabotage en beïnvloeding. Rutte pleit voor tanks en straaljagers, maar hopelijk fluistert hem ook iemand in dat digitale defensie een topprioriteit moet zijn. Vroeger gold dat je een oorlog had gewonnen als je het luchtruim beheerste. Tegenwoordig is macht over cyberspace minstens zo belangrijk. Een veilige digitale infrastructuur is veel minder tastbaar dan Leopards en F35’s – ik moet de eerste router in camouflagekleuren nog tegenkomen. Hopelijk leidt die onzichtbaarheid niet tot gebrek aan aandacht.

Op het label van mijn klusbroek staat de naam H. van Puijenbroek. Dat blijkt een textielfabrikant te zijn die al sinds 1925 een vaste leverancier van onze krijgsmacht is. Verder blijkt dat die broek voor € 49 te koop wordt aangeboden, als “zeldzame vondst”. En had ik de bijbehorende jassen maar niet weggegeven: die worden aangeboden voor bijna tweehonderd euro. Dan had ik ze nu verkocht en het geld in mijn oorlogskas kunnen stoppen. Want vanwege de geopolitieke dreigingen adviseren banken en ministers om contant geld in huis te hebben. Want als “ze” de boel hier lamleggen en we niet meer kunnen pinnen, willen we toch blijven eten. Gelukkig wordt fysiek geld door de meeste supermarkten nog steeds als ruilmiddel geaccepteerd. 

 

En in de grote boze buitenwereld …

• krijgt de NAVO in 2028 een nieuw cyber center.
• komt spionage soms in het nieuws.
• heeft Google een mijlpaal bereikt op het gebied van quantum computing.
• heeft de laatste tijd vooral de cloud last van uitval, in het bijzonder die van Microsoft.
• hadden echter ook sociale media deze week last van uitval.
• kon de multifactorauthenticatie van Microsoft Azure gemakkelijk worden omzeild.
• zijn lang niet alle cybercriminelen betrouwbaar.
• neemt Firefox afscheid van een privacy-instelling, omdat die toch niet zou werken.
• kan je iPhone binnenkort locatiegegevens verwijderen van foto’s die je gaat delen.
• hebben de Nederlandse inlichtingendiensten een dreigingenanalyse op kunstmatige intelligentie gepubliceerd.
•