Onder de motorkap

Foto van auteur

Traditiegetrouw hebben we ook dit jaar een kerstdorp in onze woonkamer gebouwd. Dat kostte vier dagen tijd en zo’n vijf vierkante meter ruimte, het vergde een gestructureerde aanpak en vereiste de nodige lenigheid. Maar het resultaat mag er dan ook zijn, vinden we zelf. Van begin december tot half januari genieten we van de warme uitstraling van dit winterse tafereel.

Ik kijk daar met heel andere ogen naar dan bezoekers. Want ik weet wat er allemaal onder de oppervlakte zit. Hoe al die lichtjes aan stroom komen, hoe de rotspartijen zijn gemaakt, dat er meters plakband en ettelijke nietjes in zijn verwerkt. Ik weet hoe de hoogteverschillen zijn ontstaan en ik ken de onderdelen van de spoortunnel, die ik – net als de skipiste – eigenhandig heb gebouwd. Ik heb de straat aangelegd en weet welke kabeltjes onder het asfalt liggen. Ik kijk ook dwars door de sneeuw heen en weet precies wat hij allemaal verbergt. En ik weet wat er allemaal eigenlijk niet helemaal klopt in dit tafereel.

De aloude metafoor van de ijsberg dient zich aan. Wat je majestueus boven het water ziet uittorenen, is slechts een fractie van de totale klomp bevroren water. Nou zijn de verhoudingen bij ons kerstdorp niet zo dramatisch, maar toch moet je ook hier niet onderschatten wat er onder de oppervlakte schuil gaat.

Ook het internet zit zo in elkaar. Boven de oppervlakte bevindt zich het internet waar jij en ik onze dagelijkse dingen doen en waar de Googles van deze wereld heersen. Onder de oppervlakte, onzichtbaar voor de meesten van ons, bevindt zich het dark web. Hier geen Google, maar criminelen die de dienst uitmaken. Je kunt er terecht voor allerlei diensten en producten, van DDoS-aanvallen tot drugs. Ik ben daar nog nooit geweest, maar ik heb genoeg presentaties van opsporingsdiensten uit binnen- en buitenland gezien om te weten hoe het daar aan toe gaat. Dat verschilt eigenlijk nauwelijks van het reguliere internet – behalve dan dat je er heel andere dingen koopt en dat je er niet zo gemakkelijk komt. Je kunt natuurlijk aan de bovenkant van de ijsberg vragen hoe je aan de onderkant komt, en als je dan op een site met serieuze uitleg komt, dan besef je al gauw dat je computer beschermende kleding nodig heeft voordat je naar de duistere onderkant afdaalt. En de URL’s die je daar bezoekt lijken niet op bijvoorbeeld buienradar.nl, maar heten ongeveer zo: zqktlwiuavvvqqtxxxvgvi7tyo4hjl5xgfuvxxx6otjiycgwqbym2qad.onion. Als eerzame burger heb je daar niks te zoeken, maar je kunt wel met een hoop ellende opgezadeld worden. Want zoals gezegd, het zijn de spelonken van het internet dat door tuig van de richel wordt bevolkt. En die criminelen kunnen zomaar belangstelling voor jou krijgen als je daar ronddoolt.

Ook wij informatiebeveiligers, toch in velerlei opzicht de tegenpolen van die stiekeme criminelen, houden op z’n tijd van wat geheimpjes. We hebben er zelfs een gelikte term voor: security by obscurity, wat ik maar vertaal in ‘veiligheid door geheimzinnigheid’. Dit staat te boek als een verguisde werkwijze, want in strikte zin houdt het in dat je beveiliging gebaseerd is op geheimhouding en dat je dan maar hoopt dat je geheim niet uitlekt. Je huissleutel verstoppen onder de deurmat is daar een voorbeeld van – eentje dat ook meteen duidelijk maakt dat het niet erg waarschijnlijk is dat nooit iemand je geheim zal ontdekken.

Zo zwart-wit wil ik het niet zien. Ik zeg altijd: security by obscurity voldoet nooit als enige beveiligingsmaatregel, maar het helpt wel. Voorbeeld: we hangen liever niet aan de grote klok welke systemen er allemaal bij ons draaien en met welke versie. Want dat alleen al is informatie waar kwaadwillenden iets aan hebben. Het is een puzzelstukje, en als ze daar maar genoeg van bij elkaar sprokkelen, dan krijgen ze het hele plaatje te zien. Door puzzelstukjes te verstoppen, gaan we dat tegen. Maar omdat je er nooit op kunt vertrouwen dat ze die stukjes niet toch vinden, moeten we al die systemen uiteraard toch beveiligen, en er daarbij van uitgaan dat indringers al veel verder zijn dan wij hopen. Dat is het assume breach-principe: ga er maar gerust van uit dat je al gehackt bent, en stem daar je verdere beveiliging op af. Mocht jouw huissleutel inderdaad onder de deurmat liggen, dan doe je er goed aan ook een alarminstallatie te installeren, zodat iemand die jouw geheim heeft ontdekt toch nog met een extra barrière wordt geconfronteerd.

In de tussentijd probeer ik van ons kerstdorp te genieten alsof ik geen weet heb van de opbouw ervan. En dat noem ik dan delight by ignorance.

De Security (b)log keert na de kerstvakantie terug.

 

En in de grote boze buitenwereld …

• kun je je huissleutel ook vervangen door een app.
• is China beter geworden.
• weet SpongeBob hoe hij AI kan jailbreaken.
• moeten Amerikaanse overheidsinstanties verplicht beveiligingsmaatregelen voor clouddiensten implementeren, te beginnen bij M365.
• zijn cybercriminelen minstens zo geavanceerd als statelijke actoren.
• verraadt Tinder de locatie van honderden Nederlandse militairen.
• worstelt ook de Amerikaanse defensie met de veiligheid van haar telefoons.
• blijft AI voor z’n beveiliging nog even afhankelijk van menselijke intelligentie.
• laat de beveiliging van Nederlandse overheidsdomeinen te wensen over.
• kan phishing duur uitpakken.
• gebruiken criminelen captcha’s om bij jou in te breken.