Van alles wat

Afbeelding via Pixabay

Een paar weken geleden was ik op een conferentie. Ik heb daar veel aantekeningen gemaakt en ik kan de presentaties terugkijken. Wat kan ik daar het beste mee doen? Na wat bladeren heb ik de knoop doorgehakt: ik ga je trakteren op wat losse citaten en laat daar mijn eigen gedachten op los.

Als opwarmertje heb ik een gemakkelijke open deur voor je: “Als je iemand alleen online hebt ontmoet, dan is dat altijd een vreemde.” Deze komt uit een presentatie over weerbaarheid tegen scams. Je zult het eens moeten zijn met deze stelling, maar handel je er ook naar? Of wil je toch graag geloven dat die aardige persoon ook integer is? Dat is erg moeilijk. In de vorige eeuw, toen het internet nog niet gemeen was, ontmoette ik iemand in online forum (kent nog iemand CompuServe?). We hadden gezellige gesprekken over de toestand in de wereld en over observaties in het dagelijkse leven. Later gingen we rechtstreeks mailen, en op mijn bruiloft heb ik hem voor het eerst in het echt ontmoet. Als ik bovenstaand citaat ter harte had genomen, dan was ik deze vriendschap misgelopen. Destijds bestond cybercrime nog niet en was het online leven een stuk gemakkelijker.

Een handige tip om niet het slachtoffer van bedriegers te worden: never pay to get paid. Oftewel: als iemand je gouden bergen belooft maar wel vooraf geld van jou nodig heeft om dat waar te kunnen maken, dan is er iets aan de hand. Dat begon destijds met die Nigeriaanse prins die een fortuin met je wilde delen maar wel wat geld nodig had om dat fortuin vrij te maken, en tegenwoordig krijg je misschien werk aangeboden waarbij een kleine inspanning rijk beloond zal worden – maar dan moeten er wel eerst bepaalde kosten gemaakt worden. Trap er niet in.

Dan een leuke tip waar je meteen je voordeel mee kunt doen: verander de naam van je gastennetwerk in “snellere wifi”. Dan willen al je gasten – en vooral de gasten van je kinderen – op dát netwerk. En dat is precies waar je ze wilt hebben. Want je gastennetwerk staat los van het netwerk dat toegang biedt tot je privégegevens. Haaks daarop staat dan wel weer het idee om al je Internet of Things (IoT)-apparaten op het gastennetwerk aan te sluiten. De gedachte daarachter is dat IoT-apparaten relatief gemakkelijk gehackt kunnen worden en dat je liever niet wilt dat een hacker toegang heeft tot je gegevens. Maar wil je wel dat al je gasten bij je vaatwasser, wasdroger en zonnepanelen kunnen? Lastige keuzes.

Soms sluit een uitspraak van de ene spreker aan op die van een andere. Zo ook deze twee: “8% van de gebruikers in je organisatie leiden tot 80% van het risico” en “Nieuwe medewerkers zijn de grootste bedreiging: ze klikken makkelijk op links omdat ze de risico’s niet begrijpen.” Die eerste zou ik zelf vooral linken aan medewerkers die in het “niet kunnen & niet willen”-kwadrant zitten: ze weten niet hoe ze zich veilig moeten gedragen en ze zijn ook niet bereid om hun gedrag aan te passen, waardoor ze moeilijk bereikbaar zijn. Maar voor de tweede spreker schuilt het gevaar met name in nieuwe medewerkers. Daar kun je wél wat aan doen. Daarom zijn wij al jaren aangehaakt bij het introductieprogramma voor nieuwe medewerkers en trakteren we de verse collega’s op een presentatie waarin we ze spelenderwijs langs de belangrijkste aspecten van informatiebeveiliging, bedrijfscontinuïteit en privacy leiden. En we maken reclame voor de Security (b)log, zodat het niet bij een eenmalige ontmoeting blijft.

Als er één onderwerp als rode draad door al die honderden presentaties liep, dan was het wel kunstmatige intelligentie. Een spreker vond dat 90% van de zogenaamde AI-experts geen idee heeft waar ze over praten, en dat de overige 10% maar bar weinig weet. En dat is normaal, betoogde hij, want AI bestaat uit heel veel sub-disciplines en het is belangrijk dat experts veel afweten van hún deelonderwerp. Zoals je met hartproblemen niet naar een hersenchirurg gaat, zo moet je ook op het gebied van AI de juiste specialist opzoeken.

Als laatste een citaat dat bleef hangen omdat het zo lekker binnenkomt: “Generative AI is autocorrect/type ahead on steroids.” Ik ga ‘m even voor je ontleden. Generatieve AI is de bij het brede publiek bekende vorm van kunstmatige intelligentie, die zelfstandig iets genereert; je kent het bijvoorbeeld van ChatGPT. Autocorrect ken je vooral van je telefoon; het behoedt je enerzijds voor typfouten, maar zorgt soms voor pijnlijke situaties omdat de “correctie” vervelend uitpakt (bij mij werd ooit “Hoi Carmen” vervangen door “Hoi varken”). Type ahead is het zusje hiervan, ook bekend van je mailprogramma dat tijdens het typen van een adres al roept: ik weet wie je bedoelt! Nou, en dit allemaal voorzien van de nodige doping, dat is dus AI. Met alle gemakken van dien, maar ook met een versterking van alle ongemakken. Het bericht aan Carmen heb ik nog op tijd gestopt, maar als AI er vrolijk op los hallucineert en ons een verhaal voorschotelt dat kant noch wal raakt, dan is het een stuk moeilijker om dat te ontdekken.

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• mag Meta nu Europese data gebruiken om z’n AI te trainen.
• verzet Signal zich tegen Microsoft Recall.
• vraagt Arjen Lubach zich af of Trump Nederland digitaal kan platleggen.
• laat dit voorbeeld zien hoe dat platleggen werkt.
• deelt Telegram gegevens met autoriteiten en verdedigt het de vrije meningsuiting.
• wordt Windows quantum-proof.
• heeft de Technische Universiteit Eindhoven het rapport over de cyberaanval van januari gepubliceerd.
• kun je deepfakes herkennen door te kijken of er bloed door de aderen van het gezicht stroomt.

 

Bord voor de kop

 

Foto van auteur

Kijk eens even goed naar de foto en probeer te bedenken waarom ik dit plaatje met maar één doel heb geschoten: er een blog over maken.

We bevinden ons in een hotel. Onder in beeld zie je een trap naar beneden. Daarboven hangt een waarschuwingsbord: “Waarschuwing – kijk uit”. Hoeveel mensen zouden er al van deze trap zijn gekukeld omdat ze naar dit bord keken? Het trekt je aandacht, waardoor je blik niet meer is gericht op de gevaarlijke situatie zelf: de trap. Je loopt met open ogen in de valkuil. Letterlijk.

Soms worden beveiligingsmaatregelen misbruikt om je een veilig gevoel te geven terwijl je je in een gevaarlijke situatie bevindt. Zo zijn er phishing-mailtjes waarin wordt gewaarschuwd voor phishing. Als je op de ‘voor meer informatie’-link klikt, dan kom je netjes op de phishing-informatiepagina van het echte bedrijf terecht. Dat kan je het gevoel geven dat je een legitiem mailtje voor je neus hebt. Want boeven gaan je heus niet op het bestaan van criminaliteit wijzen, toch? Ze gaan je toch niet op het idee brengen dat er iets aan de hand zou kunnen zijn, ze willen toch niet dat je daarover nadenkt?

Cybercrime draait om vertrouwen. Als je het vertrouwen van je slachtoffer weet te winnen, ben je binnen. Je wint het vertrouwen door je als degelijke partij te profileren, die je als extra service waarschuwt voor gevaren. Daarmee sluipen ze jouw wereld binnen en kijken jullie samen naar de grote boze buitenwereld. Dat schept een band. En daarmee vertrouwen.

In datzelfde mailtje staat echter ongetwijfeld ook een link die je naar een valse website brengt. Omdat het mailtje zo betrouwbaar overkomt, ben je eerder geneigd om ook daar op te klikken. Hebbes.

Blijft natuurlijk de vraag: waarom zou je in hemelsnaam zo’n bordje boven een trap aanbrengen? Dat zal wel met de Amerikaanse claimcultuur te maken hebben. “Heel vervelend dat u van de trap bent gevallen, maar ja, we hadden u gewaarschuwd hè, dus u krijgt geen schadevergoeding.” Iedereen weet ook zo wel dat je moet uitkijken met trappen – ook zonder zo’n bord. Bovendien was dit de enige trap in het hotel met een waarschuwing. Er zal wel ooit iemand op die plek de diepte in gestort zijn, waarna deze trap als Gevaarlijke Plek werd aangemerkt.

 

En in de grote boze buitenwereld …

• zijn berichten ‘namens de overheid’ ook altijd goed om vertrouwen te wekken.
• is het niet handig om je mail bij een Amerikaans bedrijf onder te brengen.
• leidt AI tot meer paranoia.
• kregen deze cybercriminelen een koekje van eigen deeg.
• heeft Europa nu een eigen kwetsbaarhedendatabase.
• wordt de Europese security-organisatie Enisa in verband gebracht met de stroomstoring in Spanje en Portugal.
• moet je opnieuw zelf in actie komen als Meta z’n AI niet met jouw gegevens mag trainen.
• is cyberspionage vanaf nu strafbaar.

 

Ontmoeting met sterren

Afbeelding via Pixabay

Ik heb sterren ontmoet. Bruce Schneier hield een toespraak, Adi Shamir en Whitfield Diffie zaten in een panel, Ron Rivest stond op een armlengte afstand en Dave Maasland zat naast me in de kroeg.

Je kent deze namen waarschijnlijk alleen als je een vakgenoot bent – alhoewel, Dave Maasland is nog wel eens op de Nederlandse tv te zien. Blijf hoe dan ook toch maar doorlezen, want ook zonder deze mensen te kennen kun je hier iets opsteken.

Ron Rivest en Adi Shamir zijn de ‘R’ en de ‘S’ in RSA. Die naam ken je wellicht van je tweefactorauthenticatie, de extra beveiligingsstap die je soms moet zetten om ergens in te loggen. RSA is tegenwoordig een bedrijf dat onder andere dit soort hulpmiddelen maakt, maar van oorsprong is RSA een cryptografisch algoritme dat belangrijk is voor de versleuteling van onze gegevensuitwisseling. De ‘A’ is trouwens van Len Adleman, maar die heb ik op deze conferentie – de RSA Conference! – niet gezien. Whitfield Diffie, die in hetzelfde panel zat als Adi Shamir, is bekend van een ander cryptografisch algoritme (Diffie-Hellman).

In dat panel gaven een aantal cryptografen hun kijk op de wereld. Shamir sneerde naar de bitcoin en zijn soortgenoten: de wereld zou beter af zijn zonder cryptovaluta. Diffie merkte op dat consumentenproducten kennelijk goed genoeg worden gevonden voor high security toepassingen – Signalgate, de affaire waaruit bleek dat hoge Amerikaanse functionarissen Signal gebruiken, lag nog vers in het geheugen. Overigens beaamde Diffie dat de beveiliging van Signal prima in elkaar zit. Verder besprak het panel de dreiging van quantum computing, die er in het kort op neerkomt dat de beveiliging, die onder andere RSA ons biedt, in de toekomst kan worden gekraakt. Bovendien stelen buitenlandse regimes nu al onze gegevens, om ze te zijner tijd door de quantumcomputer te halen. Daarom is het zaak om zo snel mogelijk vervangende crypto-algoritmes te ontwikkelen, maar dat is niet gemakkelijk. Diffie: “Het is alsof je in 1945 een algoritme moest ontwikkelen dat nu nog steeds werkt.” Shamir adviseerde, in lijn met een Europese aanbeveling, om voorlopig dubbele encryptie toe te passen.

Bruce Schneier is ook wereldberoemd in onze wereld. Hij verspreidt zijn gratis nieuwsbrief al jarenlang over de hele wereld en geeft daarin inzichten en meningen over nieuwe ontwikkelingen. Zijn toespraak ging over vertrouwen in kunstmatige intelligentie. Vertrouwen is een ingewikkeld begrip, betoogde hij, vooral als het gaat om vertrouwen in vreemden (‘social trust’). We dreigen AI als vriend te beschouwen, maar het is een dienst. Bovendien is het een dubbelagent: hij dient zowel jou als zijn aanbieder. Maar we hebben geen keuze; we moeten ons aan AI toevertrouwen. Het tijdperk van de agentic AI breekt aan: je hebt een persoonlijke assistent die dingen voor je regelt. De AI-agent heeft toegang tot je mail en je agenda en weet alles van je. Dat wil je ook, want daardoor kan hij je optimaal ondersteunen. Schneier gebruikte het reserveren van een tafel als voorbeeld. Vroeger belde je naar het restaurant, tegenwoordig reserveer je via hun website en straks laat je de AI-agent een restaurant zoeken en een reservering maken. Hij weet wat je lekker vindt en wanneer je kunt.

We hebben dus betrouwbare AI nodig. Integriteit zal volgens Schneier het belangrijkste probleem zijn, omdat de meeste aanvallen op AI te maken hebben met de juistheid van gegevens. Hij noemde als voorbeeld stickers die op lantaarnpalen worden geplakt om zelfrijdende auto’s te misleiden. Er is wetgeving nodig om tot betrouwbare AI te komen, maar huidige wetgeving (zoals de Europese AI Act) reguleert de AI zelf in plaats van de mensen achter de AI, en dat is volgens Schneier de foute weg. Hij bepleit een publiek AI-model met politieke verantwoordelijkheid, als tegenwicht voor corporate AI.

Informatiebeveiligers zijn ook maar mensen en daarom had de organisatie ook een aantal ‘echte’ sterren op het toneel gebracht. Zoals filmmaker Ron Howard (onder andere Apollo 13 en A beautiful mind (twee Oscars)), die werd geïnterviewd door zijn dochter en vakgenote. Of basketbal-legende Earvin “Magic” Johnson, die met zijn toegankelijkheid en een motiverend verhaal de zaal voor zich won. En ten slotte was daar nog acteur/zanger/komiek Jamie Foxx, die voor een komische afsluitende noot zorgde. Maar hij stak ons ook een hart onder de riem: “Wat jullie doen is misschien de belangrijkste job in de geschiedenis van de mensheid.” Community was volgens hem het toverwoord.

Daarna kon ik met mijn drie collega’s en 44 duizend andere conferentiegangers weer terug naar onze eigen tijdzone. We hebben er samen een interessante én leuke week van gemaakt. En de band tussen ons team en het SOC is er ook nog eens inniger door geworden. Dat heb je goed gedaan, JW.

 

En in de grote boze buitenwereld …

• werd Bruce Schneier geïnterviewd naar aanleiding van zijn RSA-toespraak.
• is Schneier lovend over advies van het Britse NCSC over advanced cryptography.
• is een veiligheidskeurmerk voor AI onmogelijk.
• draait Signalgate nu om een onveilige – zelfs al gehackte – kloon van de Signal-app.
• is de Chinese cyberdreiging groter dan de Russische.
• ontbrak de basis-wachtwoordhygiëne bij een Amerikaanse inlichtingenchef.
• kan AI zien waar een foto is gemaakt.