Leuke bijverdienste

Afbeelding via Unsplash

“Beste Patrick, ik wil je graag wijzen op een super interessante hightech kans!” Of: “We zijn gecharmeerd van je profiel, in hoeverre zou je openstaan voor meer informatie?” Internationaal kan ook: “I’m working on an exciting opportunity for an Information Security Team Lead role. Would you be open to a quick chat this week to discuss further?”

Headhunters gaan in opdracht van bedrijven op zoek naar kandidaten voor moeilijk vervulbare vacatures. Als ik ergens anders zou willen werken, dan zou ik zelf niet op zoek hoeven te gaan; potentiële werkgevers melden zich met grote regelmaat zelf. Dat gebeurt vooral via LinkedIn, want daar ligt je professionele profiel voor het grijpen.

Van Dale geeft als vertaling van headhunter: breinronselaar. Die term had ik niet eerder gehoord, maar het is wel een mooi bruggetje naar waar ik in deze blog heen wil. Het zijn niet alleen bedrijven die contact met professionals willen leggen. Ook criminele organisaties proberen nieuwe mensen te ronselen. Dat gaat dan niet via LinkedIn, maar bijvoorbeeld via Telegram – een medium waar criminelen zich thuis voelen.

Ze willen niet dat je voor hen komt werken. Sterker nog, ze willen juist dat je blijft zitten waar je zit. Je hoeft maar één ding voor ze te doen: hen toegang verschaffen tot de systemen van je organisatie. Zij regelen de rest. Behalve een aantrekkelijke beloning levert het je waarschijnlijk ook een paar extra vrije dagen op. Het uiteindelijke doel is namelijk om je organisatie met ransomware te besmetten. Meestal gaat de boel dan behoorlijk plat en kan er vaak weken niet gewerkt worden. Zo lag onlangs bij Jaguar Land Rover de wereldwijde autoproductie drie weken stil. De financiële schade wordt geschat op honderden miljoenen. En eerder dit jaar moest een Duitse servettenfabrikant na twee weken omzetderving faillissement aanvragen.

Cybercriminelen hebben initial access nodig: een digitale voet tussen de deur. Phishing is een beproefd middel, maar nu wordt er dus ook actief geronseld. En dat gebeurt behoorlijk gericht. Een bepaalde ransomware-bende is momenteel specifiek op zoek naar medewerkers uit de financiële, verzekerings- en reiswereld. Ook de horeca, auto-industrie en oliebedrijven zijn in trek. Ze leggen uit dat je niet bang hoeft te zijn voor strafrechtelijke vervolging, want ze zijn erg zuinig op hun insiders; ze beloven discreet met jouw login-gegevens om te gaan. Volgens hen word je in het ergste geval ontslagen. “Luister vooral niet naar die idiote informatiebeveiligers, die hebben geen idee waar ze het over hebben!”.

Discreet omgaan met je login-gegevens? Dat klinkt leuk, maar het is slechts het halve verhaal. Je kunt je werk bepaald niet anoniem doen – veel van wat je doet, wordt gelogd. In de logging staat dan: gebruiker xyz heeft op die-en-die datum om zo-en-zo laat dat-en-dat gedaan. Als er serieuze aanwijzingen zijn, dan zijn er best wel uitgebreide mogelijkheden om op jacht te gaan naar de vermoedelijke dader. En daar maken we dan vol overgave gebruik van.

Het lijkt gemakkelijk geld, maar vergis je niet. Je komt niet weg met  “dat was ik niet” als jouw user-id in de logbestanden staat. Dat is nou precies de reden waarom je je wachtwoord nooit aan iemand anders mag geven, óók niet aan een collega. Want stel dat die collega voor dat Telegram-bericht valt en dan jouw inloggegevens verstrekt… Bovendien kost zo’n ondoordachte actie je niet alleen je huidige baan, maar ook je toekomstige. Wie wil er nou iemand in dienst nemen die er om zo’n reden uit is geschopt?

Luister maar liever naar het advies van zo’n “idiote informatiebeveiliger” en houd je verre van dergelijke praktijken. Kom je door financiële problemen toch in de verleiding, klop dan aan voor hulp.

Vanwege een paar vrije dagen verschijnt deze blog eerder dan gebruikelijk.

  

En in de grote boze buitenwereld …

… had ik deze week helaas geen tijd om deze rubriek te vullen.

 

Micro-awareness

Afbeelding via Unsplash

Wat krijgt eerder je aandacht? Een krantenartikel op pagina zeven, of een soortgelijke boodschap in een persoonlijk mailtje, die bovendien ingaat op jouw specifieke situatie? De vraag stellen is ‘m beantwoorden, denk ik.

Als informatiebeveiliger heb je een moeilijke boodschap over te brengen. Er gelden allerlei regels die er samen voor moeten zorgen dat de beschikbaarheid, integriteit en vertrouwelijkheid van de ons toevertrouwde gegevens gewaarborgd blijven. Misschien jagen alleen al deze termen je de stuipen op het lijf. Laat staan dat je ook nog maatregelen moet treffen om aan die regels te voldoen, bijvoorbeeld in een project. En dat die maatregelen je dan in de weg zitten, omdat je iets niet kunt doen op de manier die je in gedachten had. Ook al begrijp je dat het nodig is, prettig is anders. En het is een pagina-zeven-verhaal: je moet maar hopen dat je de doelgroep bereikt.

Een persoonlijk mailtje komt wél gegarandeerd aan. Want ik heb het nu even over het soort mailtjes dat we naar een teammanager sturen, met de boodschap dat een medewerker iets heeft gedaan wat strijdig is met het beveiligingsbeleid. Met andere woorden: iemand heeft de regels overtreden en moet daarop worden aangesproken. Dat doen we via de teammanager omdat die de medewerker kent. Hij of zij kan – als het goed is – als geen ander beoordelen wat de reactie van de medewerker waard is. En of onze melding wellicht een puzzelstukje in een groter geheel is; dat zou kunnen duiden op ondermijning.

De reacties van de medewerkers lopen uiteen van oprecht geschrokken (“Oei, wat stom van mij!”) via zakelijk (“Dat zit als volgt in elkaar”) tot – een hoogst enkele keer – defensief-agressief (“Dit mag ik gewoon doen hoor!”). In verreweg de meeste gevallen leidt de reactie tot het sluiten van de melding. Er is een plausibele verklaring voor het geconstateerde gedrag en verdere actie is niet nodig. Soms stel ik nog een vraag ter verduidelijking. Je wilt immers niet dat iemand ermee wegkomt door een rookgordijn op te trekken.

Deze werkwijze blijkt een zeer effectieve wijze te zijn om de security awareness te bevorderen. Ik noem het micro-awareness: gericht op één persoon of team, en op één specifiek geconstateerd feit. Het komt zo goed als nooit voor dat een collega, die zo’n bericht heeft gehad, later nog een keer in beeld komt. Die persoonlijke aandacht blijkt echt te helpen.

Micro-awareness leidt ook tot het besef dat de melding, die je bij het inloggen te zien krijgt, geen loze kreet is. Je weet wel, die waarschuwing die zegt dat de toegang alleen voor geautoriseerd personeel is en dat je alleen de dingen mag doen die je mag doen. Er wordt écht gemonitord. Dat gebeurt geautomatiseerd. Pas als er iets oppopt dat nadere aandacht verdient, gaat iemand kijken wat er precies aan de hand is. We zijn nu eenmaal een organisatie waar grote belangen spelen, en die belangen moeten beschermd worden.

Helaas hebben we rekening te houden met de dreiging van binnenuit: insider threat. Ik weet het, alle collega’s zijn ontzettend betrouwbaar; de meesten van ons zouden er niet één kunnen aanwijzen die dat niet is. En toch: in zo’n grote organisatie heb je, puur statistisch, recht op een bepaald percentage zwarte schapen. Bovendien kan iemand door omstandigheden toch opeens veranderen van een keurige collega in een dreiging. Ik heb daar eerder dit jaar mee te maken gehad (er waren spullen verdwenen) en ik kan je vertellen dat zoiets voor niemand leuk is. Overigens lijk ik de eerste te zijn die deze gebeurtenis linkt aan insider threat. Wellicht was de gebeurtenis vermijdbaar geweest als de organisatie zich meer bewust was geweest van dit bij veel organisaties onderbelichte fenomeen (en dat is geen verwijt aan wie dan ook; we moeten hier gewoon aan werken).

Als je micro-awareness zegt, dan is er logischerwijze ook macro-awareness. Dat zijn die berichten op pagina zeven. Niet per se in de krant, maar misschien op het intranet of in presentaties. Niet iedereen leest de berichten, niet iedereen gaat naar de presentaties. De mensen die dat wel doen, zijn geïnteresseerd in wat je te vertellen hebt. Maar je zou toch ook heel graag de mensen willen bereiken die niet komen opdagen.

De Security (b)log is ook een vorm van macro-awareness. Trouwe lezers weten dat die meestal begint met een alledaagse situatie en dan ergens een twist krijgt naar informatiebeveiliging. Ik merk dat het helpt om een serieuze boodschap in een aantrekkelijke verpakking te stoppen. Bovendien is het ook nog eens hartstikke leuk om te doen.

 

En in de grote boze buitenwereld …

• Hebben ook windmolens last van insider threat.
• Lagen de telefoonnummers en profielinformatie van alle 3,5 miljard WhatsApp-gebruikers voor het grijpen.
• Moet je de stroomdraden goed aansluiten.
• Leidden problemen bij Cloudflare tot uitval van veel internetdiensten.
• Leest Google jouw Gmail-mailtjes om z’n AI te trainen.
• Mag je de aankomende AI-agents van Windows 11 alleen aanzetten als je de risico’s begrijpt.
• Lijkt de Digital Omnibus van de Europese commissie een knieval voor big tech te zijn.
• Is privacy-activist Max Schrems zeer kritisch over de Digital Omnibus.

 

Boek hier niet

Afbeelding via Pixabay

In de herfstvakantie wilden we er nog even met z’n allen tussenuit. Kritisch als we nu eenmaal zijn, volgde een uitgebreide zoektocht naar een geschikt huis op een leuke locatie. Uiteindelijk vonden we op een boekingsite wat we zochten. Omdat we daar al vaker hadden geboekt, dachten we dat we klaar waren. Het liep anders.

Daags na de boeking ontving ik in een tijdspanne van anderhalf uur acht berichten van een bedrijf waar ik nog nooit van had gehoord; ik geef het hier de fictieve naam Boekhierniet. De mailtjes gingen over mijn boeking, met onderwerpen als ‘payment failed’, ‘request for payment of deposit’ en ‘activeer uw klantaccount’. En ze wilden ook nog een kopie van mijn paspoort. Weliswaar kwamen die berichten allemaal via het mailsysteem van de boekingsite, maar ik was zeer achterdochtig. Zoals gezegd, we zijn daar zo’n beetje vaste klant en we zijn nog nooit eerder door een andere partij benaderd. De betaling was al geregeld, en de waarborg betaal je normaal gesproken op locatie. Bovendien bedroeg de borgsom maar liefst zevenhonderd euro – exorbitant hoog. En er viel nog meer op. In die berichten werden drie verschillende internetdomeinen genoemd: boekhierniet.eu, boekhierniet.be en boekhierniet.es (Europa, België en Spanje). Bovendien kwam naast de naam Boekhierniet ook de naam Investeerhierniet voor. Mijn achterdocht werd verder opgeschaald.

Natuurlijk ging ik met de boekingsite bellen. Lang verhaal kort: de ontvangen berichten waren legitiem. Het enige wat niet klopte, was het bericht dat ik de huursom nog moest betalen. Maar ik werd gerustgesteld: ik hoefde me daar niets van aan te trekken en ik hoefde ook niet bang te zijn voor annulering (waar Boekhierniet wel mee dreigde). Ze hadden contact gehad met de lokale verhuurder – dat was dus Boekhierniet – en het met hen geregeld.

Gelukkig, denk je dan, niets aan de hand. Maar ik moest nog wel zo’n beetje alles doen wat in al die berichten stond. En dus een klantaccount aanmaken bij Boekhierniet en elk gezinslid apart inchecken, inclusief alle paspoorten. Ik ging natuurlijk niet zomaar de paspoorten opsturen; eerst ging ik van alles weglakken, waaronder de foto’s. Kreeg ik daar weer commentaar op: we hebben de foto nodig, anders kunt u de sleutel niet in ontvangst nemen. Omdat dat plausibel klonk, stuurde ik ze een nieuwe scan van mijn eigen paspoort, met zichtbare foto. Overigens had de man, die mij de sleutel overhandigde, een paspoortkopie bij zich met de afgeplakte foto. En hij vroeg enthousiast of ik Patrick was. Het zou dus voor een derde erg gemakkelijk zijn geweest om de sleutel voor mijn neus weg te graaien.

Zolang legitieme bedrijven dingen blijven doen die criminelen ook doen, blijft het lastig om mensen bewust te maken van risico’s. Je kunt immers niet zeggen: als je dit of dat ziet, dan is het altijd foute boel. Nee, je moet ruimte laten voor false positives: onterechte signalen dat er iets mis is. Dan moet je dus uitleggen: kijk, als je zoiets ziet, dan kán het foute boel zijn, maar het hóéft niet zo te zijn; je moet uiteindelijk maar zelf bepalen of je het vertrouwt of niet. Dat komt een stuk minder krachtig over en veroorzaakt bij sommigen eerder onzekerheid dan dat het echt helpt.

Dat zien we ook bij phishing. Dan zeg je: let op, als een mailtje geen persoonlijke aanhef heeft, maar begint met zoiets als “Beste klant” of “Hallo!” (of helemaal geen begroeting), dan moet je uitkijken. Want criminelen die phishingmail versturen hebben meestal alleen je e-mailadres en weten je naam niet. Maar ja, net kwam er in mijn privémail ook weer een hartstikke legitiem mailtje binnen dat mij begroette met “Beste klant”. Zijn die bedrijven dan gewoon te lui om mijn naam te gebruiken? Of brengt het hoge kosten met zich mee? Ik heb het voor je uitgezocht.

Om met die kosten te beginnen: het hangt ervan af. Bij een modern mailsysteem zijn de kosten verwaarloosbaar. Heb je echter een oud, bedrijfseigen systeem, waar personalisatie destijds niet in is aangebracht, dan moet je de software aanpassen, en dat kost natuurlijk wel wat. Verder hebben lang niet alle bedrijven correcte gegevens. Als die je dan een mailtje sturen met “Beste {klantnaam}”, of mij begroeten als “Geachte mevrouw Borsoi”, dan schaadt dat het vertrouwen van de klant. Het opschonen van die gegevens is moeizaam en dus duur. Overigens zijn er ook nog bedrijven die bewust kiezen voor een algemene aanhef, om de impact bij het onderscheppen van de mail te verkleinen (er lekken dan minder gegevens). In dat geval is de algemene aanhef dus een privacymaatregel.

En ja, er zijn óók bedrijven die gewoon te beroerd zijn om je netjes te begroeten. Mijn oproep aan hen: doe even je best en help mee in de strijd tegen phishing!

 

En in de grote boze buitenwereld …

• worden boekingsites inderdaad misbruikt om mensen te tillen.
• kan je verloren iPhone nog een lelijk staartje krijgen.
• kaart een open brief aan de Europese Commissie grote privacy-zorgen over de Digitale Omnibus aan.
• kreeg cybercrime weer flink klappen van Operation Endgame, gecoördineerd door Europol.
• heeft dit bedrijf op verfrissende wijze gereageerd op een ransomware-aanval.
• werkt eens in de zoveel tijd een security-update averechts.
• willen we graag digitale soevereiniteit, en dan neemt een Amerikaans bedrijf een Nederlands cloudbedrijf over.
• zijn ad blockers belangrijk voor je privacy.
• richt deze spyware zich specifiek op Samsung Galaxy-telefoons.
• moesten de DJ’s van RTV Noord na een cyber-aanval met de hand plaatjes draaien.
• gebruiken overheden hun spyware niet alleen tegen topcriminelen en terroristen.
• is het geen wonder dat ze bij het Louvre hebben ingebroken.

Gaten graven

Afbeelding via Pixabay

“Sleufloze technieken”, stond op het bedrijfsbusje. Dan heb je mijn volle aandacht, als je je onderneming aanprijst met iets wat je niet doet. Ik vraag me dan meteen af: wat doen ze nog meer allemaal niet? Maar vooral: wat doen ze wél?

Het was een busje van VLST, voluit: Van Leeuwen Sleufloze Technieken. Een in 1969 door twee broers opgericht bedrijf. Hun vak is boren. Ze boren onder wegen, spoorwegen, waterwegen en ondergrondse infrastructuur, om buizen en leidingen onder de grond te krijgen. En dat dus zonder sleuven te graven. De straat hoeft niet open als VLST een leiding legt.

Was het mijn bedrijf geweest, dan had ik toch iets in de naam gestopt van wat ik wél doe. Iets als Van Leeuwen Boringen (VLB). Want tja, ik pas zelf ook heel veel sleufloze technieken toe. Sterker nog, ik doe bijna niets anders. Op dit moment zit ik geheel sleufloos een blog te typen, en toen ik gisteren naar beveiligingsincidenten keek, spitte ik weliswaar figuurlijk in de beschikbare gegevens, maar echt graven kwam er niet aan te pas. Enfin, je begrijpt waar ik heen wil: vertel me wat je doet, niet wat je niet doet. Overigens vind ik dat het tunnelgraafbedrijf van Elon Musk een geniale naam heeft: The Boring Company. Hoewel ik me afvraag of de medewerkers het leuk vinden om op feestjes te vertellen dat ze bij een ‘saai’ bedrijf werken.

In mijn vak maken we ook gebruik van tunnels. Die komen zonder graven, ja zelfs zonder boren tot stand. Je hebt er alleen wat wiskunde voor nodig. Of specifieker: cryptografie (ha, toch iets in de naam dat op graven lijkt). Zo’n tunnel is een veilige verbinding over een openbaar netwerk. Dat openbare netwerk is vaak het internet. Als je dat gebruikt om verbinding te maken met je bedrijf – bijvoorbeeld zoals ik nu: ik zit thuis te werken en ben via het internet verbonden met ons datacenter – dan wil je niet dat het dataverkeer onderweg kan worden afgeluisterd. Dat bereik je met een VPN, een Virtual Private Network, oftewel een cryptografische tunnel. Het is zelfs een eenpersoonstunnel; alleen jij maakt gebruik van die specifieke tunnel. Doet me denken aan die keer dat we met een camper door de VS trokken. In Zion National Park moesten we door een tunnel, maar dat zou door de ronde vorm van de tunnel niet passen. De rangers hielden het verkeer aan de andere kant tegen en ik kreeg op het hart gedrukt om precies over de middenstreep te rijden. Alleen zo zou de camper erdoor passen. Maar dat terzijde.

Omdat alleen jij die tunnel gebruikt, is de vertrouwelijkheid van het gegevensverkeer gewaarborgd. Maar zo’n tunnel kan meer: bij het opbouwen ervan kan worden gecheckt of jij überhaupt wel een tunnel naar die bestemming mág aanleggen, en of de bestemming wel echt de juiste is. Beide eindpunten van de tunnel worden geauthentiseerd: hun identiteit wordt gecontroleerd. Aan het opbouwen van de tunnel komen digitale certificaten te pas; zie ze maar als een soort paspoort. En dan heb je nog een protocol nodig, een afspraak over de ‘taal’ die je spreekt. Voorbeelden daarvan zijn TLS/SSL, IPSec en OpenVPN.

Als je gebruikmaakt van digitale certificaten, dan maak je gebruik van zogenaamde asymmetrische cryptografie. Dat is bij uitstek de vorm van cryptografie die wordt bedreigd door de quantumcomputer. Als er over een aantal jaren een quantumcomputer bestaat die krachtig genoeg is, dan zal die in staat zijn om asymmetrische cryptografie te breken. Jouw VPN-tunnel is dan lek. Tenzij het protocol tijdig quantumproof wordt gemaakt. Daar wordt wereldwijd met man en macht aan gewerkt, maar organisaties moeten wel zelf in actie komen om alles te implementeren. Dat kost veel tijd – waarschijnlijk zelfs meer tijd dan er nog is. Er is dus haast mee gemoeid.

Toch blijft die term knagen. En wat blijkt? ‘Sleufloze technieken’ heeft in zes talen een Wikipedia-pagina! Mijn verbazing kwam dus voort uit onwetendheid. Je ziet wel vaker dat een vakgebied een term verzint die daarbuiten niet wordt begrepen. Vroeger had je computerterminals die niet met een beeldscherm, maar met een printer werkten; het waren eigenlijk printers met een toetsenbord. Sommige medestudenten noemden zo’n ding een ‘schrijfprinter’. Dat sloeg nergens op, maar we wisten wel wat ze bedoelden. En daar gaat het om.

 

En in de grote boze buitenwereld …

• Gaan de Britten telefoonspoofing aanpakken.
• Laten phishers je weten dat er een arrestatiebevel tegen jou is uitgevaardigd.
• Gaat de deurbel gezichten herkennen.
• Is de geolocatie van EU-medewerkers gewoon te koop.
• Konden een paar Amerikaanse cybersecurity-experts kennelijk de verleiding van crimineel geld niet weerstaan.
• Verdiende Meta miljarden aan misleidende advertenties.
• Kun je deze gids gebruiken als je bepaalde features in de nieuwe Windows 11-versie wilt uitschakelen.