Oliedom

Afbeelding via Unsplash

Meestal zijn datalekken en hacks ongemakken die anderen overkomen. Deze keer is de kans groot dat je zelf beteuterd naar een mailtje van je telecomprovider zit te kijken. Odido heeft namelijk ongeveer een derde van de Nederlandse mobiele markt in handen. Daarnaast leveren ze vaste internetaansluitingen aan een miljoen huishoudens. Ook als klant van Ben ben je trouwens het haasje.

Het nieuws wordt breed uitgemeten in de media. Dat komt natuurlijk in eerste instantie door de omvang: het gaat om 6,2 miljoen accounts, die de criminelen uit het klantcontactsysteem hebben gestolen. Daar zitten ook accounts bij van mensen die al jaren geen klant meer zijn van Odido, ontdekte het bedrijf doordat deze mensen bevreemd reageerden op de mail waarin het bedrijf hen inlichtte over de diefstal. Maar de omvang is niet de enige reden om zenuwachtig te worden. Ook wát er gelekt is draagt daaraan bij. Het gaat namelijk niet alleen om de ‘gebruikelijke’ gegevens zoals naam, adres en e-mailadres. Bij deze hack zijn ook telefoonnummers,  bankrekeningnummers, paspoortgegevens en BSN’s buitgemaakt. En informatie over betalingsachterstanden.

Ongeveer twee miljoen records, met bijna 700 duizend unieke e-mailadressen, zijn inmiddels gepubliceerd, omdat Odido niet aan de eis van ShinyHunters, zoals de criminelen zich noemen, heeft voldaan om ‘een laag 7-cijferig bedrag’ (dus minimaal een miljoen euro) te betalen. En ze dreigen met publicatie van nog meer gegevens. Reden genoeg voor miljoenen mensen om zich zorgen te maken.

Uit de berichtgeving omtrent deze hack spreekt vooral medeleven met Odido en zijn klanten. Waar je in de grote media minder over hoort is de vraag hoe dit heeft kunnen gebeuren. Ik snap ook wel dat ze zich op de slachtoffers richten. Maar toch: hoe heeft dit kunnen gebeuren?

Phishing, beste mensen. Ik hamer er in alle presentaties steeds weer op hoe belangrijk het is dat iedereen weerbaar is tegen deze vorm van cybercrime. Bij Odido is dat deze keer niet gelukt. De phish kwam terecht bij medewerkers van de klantenservice (mogelijk bij een callcenter in het buitenland), die erin trapten en hun wachtwoord prijsgaven. Ook tweefactorauthenticatie (2FA) bleek geen hindernis te zijn: de criminelen belden de medewerkers op en deden zich voor als collega’s van de ICT-afdeling. Zo kregen ze ook de tweede factor in bezit en konden ze inloggen. ShinyHunters heeft hier een mooi staaltje social engineering gepleegd: ze hebben niet het computersysteem gehackt, maar de computergebruikers.

Vervolgens gingen ze gegevens downloaden. Heel veel gegevens. Daar had een automatische noodrem op moeten zitten. Het kan immers nooit de bedoeling zijn dat via een account van de klantenservice zoveel gegevens tegelijk worden gedownload. Het lijkt erop dat daar niet op werd gemonitord. Dat zou betekenen dat niet alleen de organisatorische maatregelen (training) hebben gefaald, maar ook de technische. Dat de training heeft gefaald, kun je bijna niemand kwalijk nemen. Want een zorgvuldig opgestelde phish is nauwelijks van echt te onderscheiden. Oh, wat zou ik deze phish graag eens willen zien. Dat de medewerkers ook hun 2FA opgaven, is trouwens wel een dingetje dat extra aandacht behoeft.

Odido zelf houdt zich erg op de vlakte. Ik verwachtte eigenlijk een melding op de homepage van hun website, maar pas na het nodige graafwerk vond ik de Informatiepagina cyberincident Odido. Daar staat eerst een bijzonder kort officieel statement over de kwestie. Eronder maken ze in koeienletters reclame voor de gratis bescherming tegen onder andere phishing die ze hun klanten bieden (zouden ze die zelf ook gebruiken…?). Pas daarna volgt uitvoerige uitleg over wat er aan de hand is, wat je kunt doen en wat je moet laten. De strekking van het verhaal is dat criminelen, die over de gelekte informatie beschikken, jouw identiteit kunnen aannemen en daarmee op jouw kosten van alles kunnen regelen. Kijk de komende tijd vooral scherp naar facturen die je ontvangt, en check je bankrekening op incasso’s die je niet herkent.

In de veelgestelde vragen werpen ze zelf de vraag op of de beveiliging bij Odido op orde was, maar ze beantwoorden de vraag niet echt. Er staan alleen de gebruikelijke gemeenplaatsen: veiligheid is onze topprioriteit, we werken continu aan verbetering, maar ja, die criminelen zijn ook best wel slim hè.

In de reclametune van Odido zit een mama appelsap (ook wel mondegreen genoemd; je weet wel, dat je (vooral in een liedje) iets anders hoort dan de feitelijke tekst). In de tune wordt de naam van het bedrijf gezongen (‘O-di-do’), maar als je wilt kun je ook verstaan: o-lie-dom. Of Odido inderdaad oliedom was bij het beveiligen van zijn systemen, zal ongetwijfeld worden onderzocht. Maar het is de vraag of wij dat ooit te horen krijgen.

 En in de grote boze buitenwereld …

 … was ik vandaag helaas te druk met andere zaken om deze rubriek te kunnen vullen.

Lengte loont

Klik op de afbeelding voor een grote versie

Deze week is de Security (b)log er iets eerder vanwege een paar vrije dagen

Precies een jaar geleden stelde collega Alexander een vraag. Sommige onderwerpen liggen wat langer te rijpen. De vraag gaat over wachtwoorden en de wenselijkheid om die lekker ingewikkeld te maken. Hij stuurde een bekend schema mee dat bedoeld is om inzichtelijk te maken hoe snel wachtwoorden kunnen worden gekraakt. Ik zal het schema voor je ontleden, want het bevat veel interessante informatie.

Ik begin met de kop. Daarin is de term ‘brute force aanval’ van belang: letterlijk een aanval met brute kracht. Maar waarop dan? Kijk, een systeem waarop jij wilt inloggen, heeft een bestand waarin alle accounts staan. Het systeem moet immers kunnen controleren of je erin mag. Tenzij de ontwerper van zo’n systeem onder een steen heeft gelegen, staat het wachtwoord daar niet leesbaar in. Want dan zou iemand, die het bestand met accounts weet te bemachtigen, vrij spel hebben. Nee, de wachtwoorden zijn versleuteld opgeslagen. Als jij inlogt, dan wordt het wachtwoord, dat jij invult, eveneens versleuteld. Zo kan het toch vergeleken worden met het opgeslagen wachtwoord.

Een aanvaller heeft veel pogingen nodig om je wachtwoord te kraken. Als hij gewoon maar begint om op een website met jouw account in te loggen, wordt je account bij de meeste systemen na een aantal foute pogingen vergrendeld (‘gelockt’). Dat is dus een beveiligingsmaatregel tegen brute forcing. Dat schiet niet op voor die aanvaller. Hij wil dan ook liefst het complete wachtwoordbestand in handen krijgen, zodat hij er offline rustig op los kan proberen zonder telkens gelockt te worden. Daarvoor moet hij natuurlijk wel eerst even inbreken op zijn doelwit.

Laten we ervan uitgaan dat hij het bestand heeft weten te bemachtigen. Hij gebruikt vervolgens een krachtige computer om de accounts in dat bestand aan te vallen. Het schema geeft aan hoeveel tijd daarvoor nodig is. Verticaal loopt de lengte van de wachtwoorden op van vier naar achttien. Horizontaal loopt het aantal verschillende tekens, waaruit het wachtwoord kan bestaan, steeds verder op. In de eerste kleurrijke kolom zijn er slechts tien verschillende tekens: de cijfers nul tot en met negen. In de volgende kolom zijn het er al 26, vervolgens 52 en dan 62. In de laatste kolom, die staat voor alle mogelijk  tekens – cijfers, hoofd- en kleine letters, symbolen (! @ # $ % ^ & * ( ) - _ = + enz.) – hebben we het meestal over 94 tekens (‘printable ASCII’).

Linksboven zie je dat een wachtwoord dat uit vier cijfers bestaat geen weerstand biedt. Er zijn slechts tienduizend verschillende wachtwoorden mogelijk, wat betekent dat de aanvaller gemiddeld vijfduizend pogingen moet doen. Een fluitje van een cent. Rechtsonder vind je het andere uiterste: achttien tekens lang, gekozen uit 94 tekens. Daarmee kun je 3,28 x 10³⁵ verschillende wachtwoorden maken – dat is grofweg een drie met 35 nullen. Die krachtige hackcomputer doet er volgens de tabel 463 triljoen jaar over om het te kraken. Een triljoen is duizend miljard; het universum is slechts 13,8 miljard jaar oud.

Wat ik veel interessanter vind, is dat er in de tabel verticaal meer gebeurt dan horizontaal. Met andere woorden: lengte is veel belangrijker dan het aantal mogelijke tekens. Als je een wachtwoord van alleen cijfers vier keer zo lang maakt, dan heeft de boef al tweeduizend jaar nodig. Daarentegen heeft uitbreiding van het aantal mogelijke tekens (bij gelijke lengte) geen noemenswaardig op de kraaksnelheid. En als je kijkt naar de regel van vijftien karakters, dan zie je dat het kraken van een wachtwoord, dat alleen uit kleine letters bestaat, al bijna een half miljard jaar duurt (en wat mij betreft had dat vakje gerust groen mogen zijn).

Conclusie: als een wachtwoord lekker lang is, dan hoef je je niet druk te maken over de complexiteit ervan. Met andere woorden: veel systemen eisen dat je minimaal 1 cijfer, 1 kleine letter, 1 hoofdletter en 1 symbool gebruikt, maar dat is niet nodig, mits je wachtwoord lang genoeg is. Die lange wachtwoorden laat je comfortabel genereren en beheren door je password manager. Wachtwoorden, die je daar niet in kwijt kunt – bijvoorbeeld het hoofdwachtwoord van je password manager – kies je zo, dat jij ze wel kunt onthouden, maar iemand anders ze niet gemakkelijk kan raden. Bijvoorbeeld ‘Mijn wachtwoord hack je niet’ of ‘iz2bbsodw1wtewbw’ (ik zag 2 beren broodjes smeren…).

 

En in de grote boze buitenwereld …

• Password managers zijn niet onder alle omstandigheden waterdicht (maar de voordelen wegen nog steeds op tegen de nadelen).
• Deze Canadese tv‑reportage bespreekt de privacy‑risico’s van Chinese auto’s.
• Dit is het lange verhaal van een security‑onderzoeker die bedreigd werd en terugsloeg.
• Een nieuwe internationale alliantie gaat werken aan betrouwbare technologie (noot: ASML wordt niet genoemd maar is ook lid).
• De Britse overheid neemt maatregelen om kinderen online beter te beschermen.
• Soms moet je een update uitbrengen om het updaten zelf beter te beveiligen.

 

Op de bon

Foto van auteur

Kom je wel eens in Duitsland? En heb je daar wel eens een kassabon van dichtbij bekeken? Nou, ik wel. En toen viel mij meteen de cryptografische informatie op die erop stond.

Voor de duidelijkheid: als ik het over crypto heb, dan praat ik over cryptografie en niet over digitaal geld, zoals de bitcoin. Cryptografie: de wiskundige kunst van het beveiligen van gegevens, zei laatst iemand op een congres. Maar wat stond er dan precies op die bon, en vooral: waarom?

Het waren lange reeksen cijfers en letters, zoals je op de foto kunt zien. Mijn aandacht werd getrokken door de ‘PublicKey’-rubriek helemaal onderaan de bon. Daarachter een brij van 132 tekens. De bon bevat in nog zo’n zelfde weergave een digitale handtekening (signature). Je ziet niet vaak dergelijke informatie over digitale handtekeningen op een analoog medium (de papieren bon).

Het zit ‘m in de Duitse wetgeving, de Kassensicherungsverordnung (Kassabeveiligingsverordening, ietwat vreemd afgekort tot KassenSichV). Daarin staat dat elektronische kassa’s voorzien moeten zijn van een Technische Sicherheitseinrichtung (TSE – Technische Beveiligingsvoorziening). Die TSE voorkomt dat er met de kassa gerommeld kan worden: alle transacties worden, met een volgnummer, gelogd en digitaal ondertekend. Zo kan het Finanzamt (de belastingdienst) controleren op onregelmatigheden, zoals ontbrekende bonnen. Als een kassa geen gecertificeerde TSE heeft, kan de winkelier een boete tot 25.000 euro krijgen.

Die cryptografische bewerking speelt zich binnen de kassa af. Maar waarom staat die informatie ook op de bon? Omdat die bon zelf ook controleerbaar moet zijn. Jij als klant doet daar niets mee – beschouw het feit, dat die gegevens mij opvielen, gerust als beroepsdeformatie. Maar de fiscus kan steekproeven doen, bijvoorbeeld door een mystery guest te laten shoppen en vervolgens de bon te checken. Vroeger konden winkeliers de klant een keurige kassabon meegeven en toch transacties uit de kassa verwijderen of manipuleren. Dat kan nu niet meer, omdat de digitale handtekening dat meteen aan het licht zou brengen.

Op modernere kassabonnen is de uitgeschreven TSE-informatie vervangen door een QR-code. Dat maakt het leven van controleurs gemakkelijker (al wordt het aangeprezen als papierbesparende maatregel). Nóg milieuvriendelijker is de digitale kassabon, die heel on-Duits fiskaly receipt heet. De klant scant dan een QR-code op de kassa. Maar het kan ook eenvoudiger: bij de supermarkt, waar wij om de zoveel tijd heen gaan om dingen te kopen die ze hier niet hebben of die daar veel goedkoper zijn, kun je de kassabon rechtstreeks in de app van de winkel ontvangen.

Die digitalisering is mooi, maar ik zie wel een probleem. Als ik iets koop waar garantie op zit, dan scan ik de bon in en bewaar hem onder een zinvolle naam op de computer. Dat doe ik om twee redenen: originele bonnen vervagen en ik kan de computer voor mij laten zoeken. Digitaal verstrekte bonnen vind ik dan echter niet terug. Als je je dat realiseert, moet je vervolgens maar net weten bij welke winkel je het product hebt gekocht, om de bon vervolgens in de desbetreffende app of op hun website terug te zoeken. Om dat te ondervangen ga ik in dat soort gevallen nu maar een bestandje in mijn administratie opnemen waar ik in zet waar het product gekocht is. Nog een tip voor collega-administratieve nerds: omdat er aan kleding nog wel eens wat kapot wil gaan, bewaar ik bij de ingescande bon ook een foto van het kledingstuk. Dan weet je dat die bon bij die broek hoort.

Op de kassabon van Shawarma Al-Zaiem (ja, zo heet shoarma in het Duits) viel mij nog iets op: de tekst “Es bediente Sie: LPADMIN” (U werd geholpen door). Op de kassa was dus de beheerder ingelogd. Nou is Al-Zaiem een kleine zaak waar slechts twee mensen aan het werk waren, maar toch: inloggen als administrator (beheerder) om reguliere werkzaamheden uit te voeren is nooit een goed idee.

Stuur me foto’s van je verbaasde reisgenoten als jij bij je volgende bezoek aan Duitsland aandachtig de kassabon zit te bestuderen (-;

 

En in de grote boze buitenwereld …

• zijn de gegevens van miljoenen klanten van Odido en Ben gestolen.
• plegen statelijke actoren momenteel spearphishing-aanvallen op Signal-accounts.
• doet de Nigeriaanse prins zich tegenwoordig voor als Emirati.
• zit er nog veel groei in ransomware.
• geeft een hacker inzicht in Russische desinformatie. [DUITS]
• wordt stalkerware vaak gehackt en gelekt.
• blokkeert Rusland WhatsApp, en zelfs Telegram.
• zit de Belastingdienst voorlopig vast aan M365.
• kan Europa zich sowieso niet losmaken van Amerikaanse tech.
• krijgen Belgische bankklanten een engelbewaarder.

 

Op glad ijs

Afbeelding via Unsplash

Er was ijzel voorspeld. Op de radar zag je een machtig neerslaggebied vanuit het zuiden opstomen. Net als veel collega’s besloot ik om eerder naar huis te gaan. Ik kwam droog en, belangrijker, zonder glibberpartijen thuis aan en zag de rest van de middag dat het in deze contreien allemaal zo’n vaart niet liep.

Na werktijd zou ik gaan hardlopen. Maar ja, de dreiging van ijzel hing toch nog in de lucht (al had ik van achter mijn veilige ramen niemand op z’n snufferd zien gaan). Daarom besloot ik niet buiten te gaan rennen, maar mijn hardloopband in stelling te brengen. Lekker veilig binnen sporten. Bijkomend voordeel: binnen was het zo’n twintig graden warmer dan buiten. Ik kon volstaan met een korte broek en een luchtig shirtje.

Na twaalf minuten en vijftig seconden kwam mijn sportiviteit abrupt tot een einde. Ik maakte een misstap: mijn rechter voet landde niet op de band, maar op de rand van het toestel. De rechter kant van mijn lichaam stond daardoor plotseling stil, terwijl de volgende stap – met links – al onderweg was. Je kunt je voorstellen dat dat niet goed afliep. Eerst landde mijn linker knie op de band, vervolgens de rechter. Mijn linker voet stond inmiddels op de grond, achter de loopband. Daardoor stond ik stil. Terwijl de band onder mij doordraaide. Met mijn knieën er nog op. Dat schuurde behoorlijk.

Nou heeft zo’n hardloopband een veiligheidskoord. Aan de ene kant zit een klem die je aan je kleding bevestigt, aan de andere kant een plug die je in het bedieningspaneel steekt. Als je valt, dan wordt die plug eruit getrokken, waardoor de band stopt, is het idee. Het koord bleek net iets te lang te zijn voor de positie waarin ik was terechtgekomen – de veiligheidsplug bleef op z’n plek. De band bleef draaien totdat ik met de hand aan het koord trok.

Vrouw en dochter waren snel en bezorgd ter plekke en ietwat beduusd vroeg ik om twee natte washandjes om mijn knieën mee te koelen. Links zie je er drie dagen later al bijna niets meer van, maar rechts mis ik momenteel zo’n vier centimeter vel. Allemaal niet dramatisch hoor, alleen af en toe wat branderig, en de genezende wond trekt een beetje.

Ik heb hier twee dingen van geleerd. Ten eerste: organisatorische maatregelen kunnen zich tegen je keren. Ik besloot om niet naar buiten te gaan omdat ik geen valpartij wilde. En precies dát gebeurde. Uiteraard probeer ik dat op mijn werk te projecteren (dit blijft de Security (b)log hè). Nemen we daar ook soms besluiten waardoor precies datgene gebeurt wat we willen voorkomen? Die besluiten zijn doorgaans weloverwogen, uit en te na bediscussieerd en we hebben er meerdere nachten over geslapen. We zijn momenteel bezig om aan de eisen voor wachtwoorden te sleutelen. Uiteraard met de bedoeling dat de accounts van onze medewerkers veiliger worden. Daarbij moeten we er goed op letten dat we het niet te moeilijk voor jullie maken, waardoor je ‘creatief’ gaat worden. Communicatie en ondersteuning zijn belangrijk bij wijzigingen die iedereen persoonlijk raken.

Ten tweede: als technische beveiligingsmaatregelen niet goed geïmplementeerd worden, dan werken ze niet onder alle omstandigheden. Het noodstoptouwtje werkt ongetwijfeld prima als je recht achteruit van de band kukelt, maar dus niet als je val halverwege stopt. Je moet goed weten met welk doel je een maatregel invoert, en je moet naar alle mogelijke scenario’s kijken. Alleen dan mag je verwachten dat de maatregel doet wat je verwacht. Voorbeeld: we versleutelen onze gegevens en onze communicatie al sinds jaar en dag. Maar als je bij de manier waarop je dat doet tegenwoordig geen rekening houdt met de komst van de quantumcomputer, waarvoor het kraken van die versleuteling een peulenschil is, dan ben je alsnog kwetsbaar. Misschien niet nu al, maar wel als de gegevens van vandaag over een paar jaar alsnog door onbevoegden kunnen worden gelezen.

Onze dochter viert vandaag haar achttiende verjaardag en ze wil graag met de auto naar school. We hebben allerlei maatregelen getroffen: ze heeft haar rijbewijs gehaald, daarna hebben we flink met haar geoefend en we hebben afspraken gemaakt. De auto is onlangs nog nagekeken. En we hebben ons vertrouwen uitgesproken. En toch ben je als ouders opgelucht als ze weer veilig thuis is. Omdat je weet dat maatregelen niet altijd werken.

 

En in de grote boze buitenwereld …

• Is het verbieden van losgeldbetalingen ook zo’n maatregel waar je goed over moet nadenken.
• Kijkt ook Nederland naar het Franse alternatief voor videovergaderen.
• Is je kladblok gehackt.
• Komen de AI-wormen eraan.
• Stopt Azure (nu pas) met verouderde TLS-versies.
• Is bijna een derde van de advertenties in Meta-apps kwaadaardig.
• Zijn staatshackers er steeds sneller bij om kwetsbaarheden uit te buiten.
• Krijgen we geen minister voor digitale zaken, maar wel een cyberboa.
• Zijn ook Vaticaanse media bezorgd over het gebrek aan transparantie bij het gebruik van AI.

 

Wasbeer

Afbeelding via Unsplash

Als ik hier ga hebben over laundry bear, dan denk je waarschijnlijk dat mijn Engels wel erg rammelt, omdat ik lijk te denken dat dit de vertaling is voor wasbeer. Terwijl dat beestje in die taal raccoon heet. Maar ik heb het helemaal niet over iemand uit de fauna. Nee, dit gaat over georganiseerde hackers.

Deze laundry bear is ‘zeer waarschijnlijk’ een ‘Russische staatsgesteunde cyberactor’, aldus de inlichtingendiensten in een publicatie uit mei 2025. In gewoon Nederlands: een groepering die cyberaanvallen uitvoert met de zegen – en waarschijnlijk ook het geld – van de Russische regering. Dergelijke groeperingen vind je in diverse landen, en als ze geïdentificeerd worden, krijgen ze een naam opgeplakt. Dat gebeurt niet volgens een algemeen erkende naamgevingsconventie, maar een vaak gebruikte werkwijze is dat alles wat (vermoedelijk) uit Rusland komt een bear is, China heeft de panda, Iran de kitten en Noord-Korea de chollima (dat is een mythisch paard uit de Koreaanse folklore). Overigens zijn dat precies de landen die steeds weer opduiken als we het over staatshackers hebben. Wat dan weer niet betekent dat andere landen hun handen braaf thuis houden.

In dit bijzondere dierenrijk kennen we de fancy bear, de wicked panda, de charming kitten en de stardust chollima, om er maar eens een paar te noemen. Stuk voor stuk groeperingen waar organisaties mee te maken kunnen krijgen als ze iets hebben wat interessant kan zijn voor de sponsoren achter de groeperingen. Dat is vaak informatie, maar het kan ook om geld gaan; vooral Noord-Korea heeft het op westerse deviezen en tegenwoordig vooral op cryptovaluta gemunt.

Laundry bear verzamelt wereldwijd informatie van (overheids-)organisaties en bedrijven, met speciale interesse in de EU en de NAVO. Ze breken in op mail-omgevingen in de cloud. Behalve in de mails zelf zijn ze ook geïnteresseerd in de interne adressenlijst. Ze richten zich op alles wat met de oorlog in Oekraïne te maken heeft. Daarnaast vinden ze bedrijven interessant die hoogwaardige technologie maken, die Rusland door de opgelegde sancties niet kan kopen.

Het is erg moeilijk om een bepaalde activiteit toe te schrijven aan de juiste actor. Die zijn meesters in het leggen van dwaalsporen. Maar soms lukt het wel om deze zogeheten attributie rond te krijgen (al zie je daar meestal toch het woord ‘waarschijnlijk’ nog bij staan). De AIVD en de MIVD schrijven de aanval op de Nederlandse politie in 2024, waarbij contactgegevens van alle politiemedewerkers zijn buitgemaakt, toe aan laundry bear. Ze vermoeden dat ook andere Nederlandse organisaties slachtoffer zijn geworden van deze actor. Tot aan het onderzoek naar de politiehack was laundry bear overigens nog niet bekend. De diensten hebben dus onderkend dat ze met een nieuwe groepering te maken hadden.

Al deze inhoudelijke informatie deelden de inlichtingendiensten vorig jaar in een openbare Cybersecurity Advisory. Daarin sommen ze ook op welke ‘weerbaarheidsbevorderende maatregelen’ organisaties kunnen treffen. Dat zijn tamelijk voor de hand liggende maatregelen. Zo moet je mensen en computers de minimale rechten geven die ze nodig hebben om hun taken uit te voeren. Als zo’n account dan wordt gehackt, dan blijven de mogelijkheden van de aanvaller beperkt tot die rechten. Accounts met hoge rechten moeten gecontroleerd worden uitgegeven en alleen worden gebruikt als die hoge rechten ook echt nodig zijn; beheerders moeten dus niet standaard onder hun beheerdersaccounts werken. Verouderde accounts moeten worden opgeruimd. En je moet je netwerkverkeer versleutelen. De lijst is nog veel langer, maar dan heb je een idee waar het om gaat.

Zo voor de hand liggend als die maatregelen zijn, zoveel moeite hebben sommige organisaties om ze in te voeren. Ze kosten tijd en geld, en de kennis, kunde én de wil is lang niet overal aanwezig om de noodzakelijke maatregelen te treffen. Dat werkt niet anders dan bij jou thuis. Je weet wel dat het huis geschilderd moet worden, maar je komt er niet aan toe of de schilder is te duur. Het is ook een kwestie van prioriteiten stellen.

Doorgaans zijn inlichtingendiensten niet zo scheutig met het openbaar maken van hun informatie. Waarom dan dit openbare advies? Omdat ze wel veel, maar lang niet alles over laundry bear weten. Het is van belang voor het land als geheel dat organisaties weerbaar zijn tegen dergelijke groeperingen. Maar dan moeten ze natuurlijk wel op de hoogte zijn van de dreiging. Bovendien vergroot de publicatie het besef dat er überhaupt dergelijke groeperingen bestaan. De meeste van de genoemde maatregelen helpen ook in de strijd tegen collega’s van laundry bear. Nu maar hopen dat het advies de doelgroep heeft bereikt.

 

En in de grote boze buitenwereld …

• Gaan sommige actoren veel verder dan alleen het verzamelen van informatie.
• Worden Russen ook wel eens getroffen door een cyberaanval.
• Legt dit artikel goed uit wat digitale soevereiniteit voor jou als burger betekent.
• Bericht de buitenlandse pers over een actuele Nederlandse soevereiniteitskwestie.
• Werkt Frankrijk ook aan zijn digitale soevereiniteit.
• Gaan zelfs security-bazen wel eens de fout in.
• Krijgt WhatsApp een lockdown‑mode.
• Ondergaven AI‑agents, die in operating systems zijn ingebouwd, de principes van end‑to‑end beveiliging.
• Leven er wat misverstanden rondom gegevensbescherming.
• Heeft dit artikel het over AI‑speelgoed dat lek was, maar in feite gaat het om een Internet of Things‑misser.
• Is het leven in een Aziatische scam compound zwaar.

 

De hoogte in

Afbeelding via Unsplash

In 1981 gingen we op vakantie naar de Costa del Sol. We konden het appartement van een achterneef voor een zacht prijsje huren, in een flat pal aan het strand van Torre del Mar. Die flat had een lift, en over die lift ga ik het hebben. Want die was best wel bijzonder.

Hij had namelijk geen geheugen. Als je mee wilde, drukte je zoals bij alle liften op een knop. Maar als de lift al onderweg was naar een andere verdieping, dan negeerde hij jou. Je moest opnieuw drukken zodra het ritje klaar was, en dan maar hopen dat niet iemand anders je te vlug af was. Zo kon het best wel een tijdje duren voordat je de lift te pakken had. En ik weet het niet meer precies, maar ik denk wel dat de knoppen in de lift hadden voorrang boven de knoppen op de verdiepingen. Anders zou je misschien nooit op je bestemming komen.

Dat was dus een lift waarbij het zinvol was om op de knop te blijven drukken. Maar bij alle moderne liften, dames en heren, is dat van generlei waarde. Uw verzoek staat genoteerd, en vroeg of laat komt er echt wel een lift. Herhaaldelijk drukken leidt alleen tot slijtage aan de drukknop. En, wellicht ten overvloede: druk alleen op de knop van de gewenste rijrichting, dus op de pijl naar beneden als u die kant op wilt. Drukt u ook op de andere knop, dan is de kans groot dat u, tot uw eigen ergernis, in de verkeerde richting wordt meegenomen.

Wachten is zelden leuk en daarom proberen we wachttijden in te korten. Daarvoor doen we soms dingen tegen beter weten in. Soms zit je net zo ongeduldig achter de computer. Hij reageert niet snel genoeg, en dus probeer je het nog een keertje. Dat helpt niet. Het werkt zelfs averechts: de computer moet aandacht besteden aan jouw herhaalde actie en dat kost capaciteit (al merk je daar tegenwoordig niet veel van; vroeger was dat wel anders).

De kracht van reclame zit in de herhaling, zo luidt een oude marketingwijsheid. Daarom zie en hoor je sommige reclames tot vervelens toe terugkomen (mijn persoonlijke jeukadvertentie: “De energietransitie is onmogelijk”). Maar in mijn vakgebied kunnen ze er ook wat van. Op conferenties en congressen houden ze ons al jaren voor dat we met z’n allen moeten samenwerken aan een veiligere wereld. Af en toe zie je op zo’n event een mooi voorbeeld van een dergelijke samenwerking, maar vaak blijft het naar mijn idee bij loze kreten. Maar ja, niemand kan tegen het gezamenlijk verslaan van de gemeenschappelijke vijand zijn, en dus wordt het thema jaar na jaar uit de kast getrokken. Wat mij betreft volstaat het als een conferentie een naam heeft; een thema hoeft niet. Maar het maakt ook niet echt uit – als de inhoud maar goed is, en dat is gelukkig vaak het geval.

Ook deze week was ik op een samen-kunnen-we-het-maken-congres. En ook hier zat het thema de inhoud gelukkig niet in de weg. De baas van de MIVD kwam vertellen dat we de Russen niet kunnen vertrouwen en de CISO van de Hema had, ter illustratie van de zwakste-schakel-mantra, een AI-plaatje van rookworstkettingen die in de winkel hingen; de inhoud van haar verhaal ben ik grotendeels kwijt, maar wat indruk maakte op de zaal was dat ze in haar vorige functie – vanwege die functie – zowel fysiek als digitaal was bedreigd. Daar moet je toch niet aan denken.

Het beste verhaal kwam van mijn cyberheld Mikko Hyppönen uit Finland. Na een carrière van tientallen jaren in de cybersecurity – hij begon als virusanalist – maakte hij onlangs en tot zijn eigen verbazing een switch naar de defensie-industrie. Hij analyseert nu geen computervirussen meer, maar militaire drones. Daar heeft de oorlog in Oekraïne – “in het hart van Europa,” aldus Mikko – hem toe aangezet. Omdat die drones zo ontzettend veel slachtoffers maken heeft hij het tot zijn missie gemaakt om te helpen deze wapens uit de lucht te halen. En net als bij malware is ook dit een kat-en-muisspel. Klassieke drones tackle je via de radiosignalen waarmee ze worden bestuurd. Vijf procent van de drones, die je nu op het slagveld ziet, slepen een tot twintig kilometer lange glasvezeldraad achter zich aan, waardoor er geen radiosignalen meer nodig zijn. En nog modernere drones worden helemaal niet meer door een mens bestuurd, maar door AI. En hoe vecht je daar tegen? Juist, met AI-drones.

Er bestaan liften waarbij je niet op een pijl drukt, maar intoetst naar welke verdieping je wilt. De computer berekent dan welke passagiers het beste kunnen worden gecombineerd en wijst iedereen een lift toe. Dan hoeft niemand te twijfelen of de lift weet dat je meewilt.

 

En in de grote boze buitenwereld …

• Bevat deze lijst Nederlandse organisaties die totaal afhankelijk zijn van Amerikaanse cloudleveranciers.
• Was er weer uitval bij zo’n cloudleverancier.
• Hebben de Britten last van Russische hacktivisten.
• Zijn CEO’s en CISO’s het niet eens over de top-3 dreigingen.
• Duikt dit nieuwe IoT-botnet vaak op in bedrijfs- en overheidsnetwerken.
• Heeft ruimtevaartorganisatie ESA het moeilijk met cybersecurity.
• Kun je voortaan zien of er met een deurbelvideo is geknoeid.
• Gaat Teams waarschuwen voor valse bellers.
• Klikt AI op besmette advertenties.
• Moeten LastPass-gebruikers oppassen voor phishing.

Blijven we maar gewoon het rode potlood gebruiken.

Zucht

Afbeelding via Unsplash

Pssst… Kun je een geheimpje bewaren? Ik geef je een verzegelde envelop waar een naam op staat. Het geheim zit daarin. Je mag zelf niet in de envelop kijken. Als degene, wiens naam erop staat, langskomt, geef je hem de envelop. Hij kijkt erin, verzegelt de envelop weer en geeft hem terug. Je bewaart hem tot de volgende keer. En verder doe je er helemaal niks mee.

Dit is ongeveer hoe het in veel gevallen werkt als twee computersystemen met elkaar communiceren*. Bijvoorbeeld omdat op het ene systeem een programma draait dat gegevens nodig heeft die op het andere systeem staan. Systeem A moet dan inloggen bij systeem B, want natuurlijk mag niet iedereen zomaar die gegevens ophalen – ook een ander computersysteem niet. In de eerste alinea bewaarde jij een envelop; systeem A heeft daar een digitale variant van: een digitale kluis, of vault in het Engels. Daar staat het wachtwoord versleuteld in. Als A gegevens moet ophalen bij B, dan haalt hij het wachtwoord uit de kluis, ontsleutelt het logt ermee in bij B.

De crux hierbij is dat er geen mens aan te pas komt. En dat geen mens het wachtwoord ooit ziet. En dat er dus niemand misbruik kan maken van het account van A. Net zoals jij niet in die envelop keek, zo ziet nooit iemand het ontsleutelde wachtwoord. Althans, zo is het bedacht. Een poosje geleden stuurde een collega mij een mailtje met als onderwerp: ZUCHT… Hij had geconstateerd dat iemand stiekem in de envelop had gekeken, of in de digitale variant: het wachtwoord handmatig had ontsleuteld. Om vervolgens te proberen handmatig met dat account in te loggen, “om ff te proberen of het werkt”. Terwijl zo’n account toch echt een machine-machine-account is, met andere woorden: het is bedoeld om de ene machine (A) bij de andere (B) te laten inloggen.

De zucht op de onderwerpregel betekende zoveel als: snappen ze het nu nóg niet? Let wel, we hebben het hier over beheerders en ontwikkelaars die deze fratsen uithalen. Van hen zou je mogen verwachten dat ze snappen hoe het werkt. Dat het openen  van een envelop waar je naam niet op staat simpelweg niet mag. En dat het handmatig aanloggen met een machine-account óók niet mag. De zucht was er ook omdat dit bepaald geen eenmalige constatering was. Het gebeurt veel te vaak. Daarmee ondergraaf je onze beveiliging. Misschien vraag je je af waarom dit überhaupt mogelijk is. Maar dat is hier nu niet de kwestie. Natuurlijk zou het niet moeten kunnen, maar op dit moment is het nu eenmaal zo; zie ook de voetnoot.

Als aan een bankje in het park een bordje “NAT” hangt, ga je dan voelen of de verf echt nog nat is? Waarom zou je? Je loopt kans op verf aan je vingers en  het bankje wordt er niet mooier van. De meeste mensen snappen dat het niet hoort en houden hun handen netjes thuis. Zo werkt het ook met die versleutelde wachtwoorden. Dat iets kan, betekent nog niet dat het ook mag, of dat het verstandig is om te het te doen.

Diep van binnen weet je dat. Maar voor de zekerheid toch maar nog even een oproep aan iedereen die wel eens wat gemakkelijk met dergelijke zaken omspringt: doe het niet. Al was het alleen al omdat die zuchtende collega er grijze haren van krijgt, en ik vol verbazing over iets moet schrijven waarvan ik dacht dat jullie het onderhand wel zouden begrijpen. En natuurlijk ben ik blij met die vele collega’s die het gewoon goed doen <3

*: Er zijn alternatieven, maar die laat ik hier even buiten beschouwing.

 

En in de grote boze buitenwereld …

• verschuiven cybersecurity-vacatures van techniek naar governance.
• zoekt Amerika nieuwe bondgenoten.
• ontdekten onderzoekers een zeer geavanceerd malware-framework voor Linux.
• hebben ook oortjes en speakers soms een update nodig.
• willen politie en OM meer geld voor ICT.
• bestaat er ook privacy-vriendelijke AI.
• liet ENISA een document door AI opstellen, en dat ging niet helemaal goed. [DUITS]

 

Boem

Afbeelding via Unsplash

Er zal heus niemand hebben gedacht: kom, het is de laatste keer dat het mag, laat ik eens extra gevaarlijk doen met vuurwerk. Deze blog is niet de plek voor een discussie voor of tegen vuurwerk, maar vanuit mijn perspectief zijn er wel een aantal interessante observaties te maken. We gaan ook hier knallend het nieuwe jaar in!

Ondanks dat het dus niet expres zal zijn gebeurd, was het deze keer wel erger. Eerst maar even wat cijfers. Er waren 1.239 vuurwerkslachtoffers – maar liefst 7% meer dan tijdens de vorige jaarwisseling. Ruim de helft daarvan was jonger dan twintig jaar. Veel kinderen raakten zwaargewond doordat ze probeerden blindgangers opnieuw af te steken. Ongeveer de helft van alle slachtoffers stak het vuurwerk niet eens zelf af, maar stond erbij en keer ernaar. Bij de spoedeisende hulp was het 29% drukker; daar kwamen 474 mensen terecht. De huisartsenposten hadden het ietsje rustiger; met 765 patiënten was het daar 4% minder druk dan vorig jaar. Een derde van de verwondingen betrof oogletsel. Veertien kinderen raakten een hand of vinger(s) kwijt, vrijwel allen door illegaal vuurwerk, dat verantwoordelijk was voor iets minder dan de helft van alle verwondingen. En dan waren er nog die twee doden.

Al dit leed had natuurlijk gemakkelijk voorkomen kunnen worden. Alles wat je daarvoor nodig hebt is een lage risk appetite of, in minder culinair Nederlands: risicobereidheid. Die term is in mijn vak heel gangbaar, maar op straat niet. Waarom niet? Omdat je in een zakelijke omgeving doorgaans heel rationeel kunt nadenken over de risico’s die je bereid bent te nemen, en vuurwerkafstekers dat niet doen. Die denken niet in mate van risico, ze denken in hun enthousiasme alleen aan het beoogde effect. Zeker een kind denkt niet: oeh, dit is een Cobra met een kort lontje, hoe groot is de kans dat ik een hand kwijtraak als ik ‘m afsteek? Ook volwassenen denken niet in procenten. Zij oordelen in het beste geval dat het te gevaarlijk is en doen het dan niet. En als ze het vuurwerk wel afsteken, dan zijn ze er impliciet van overtuigd dat het goed gaat. Zo wordt het dus gereduceerd tot een binaire kwestie, terwijl aan het wel afsteken in werkelijkheid nog een behoorlijk groot risico kleeft.

En voorlichtingscampagnes dan? Vroeger had je de slogan Je bent een rund als je met vuurwerk stunt. Die was geinig én bevatte een boodschap. Tegenwoordig moet het harder en zien we verminkte handen op tv langskomen. Maar als er zoveel jeugdige slachtoffers zijn, dan verwacht je ook voorlichting die op deze doelgroep is gericht. Was die er? Ja, deels. Basisscholen konden een gratis lespakket bestellen. Die moesten dus zelf in actie komen, en slechts een kwart van alle basisscholen heeft dat gedaan. Verder zou je verwachten dat voorlichters de media opzoeken waar jongeren komen, zeg TikTok en Instagram. Er waren echter geen specifieke acties op deze platformen. Gemeentes en politiekorpsen waren daar weliswaar actief, maar ja, welke tiener volgt nou dergelijke accounts?

Voorlichting, bewustwording, awareness; geef het maar een naam. Ook in mijn vak is dat moeilijk. Je verkondigt namelijk een boodschap die mensen liever niet willen horen. Kijk maar: vuurwerk is mooi en links zijn er om op te klikken. En dan kom jij ze vertellen dat ze daarmee moeten uitkijken. Joh, dat valt toch wel mee, iedereen doet het.

Met cybersecurity gaat het langzaam de goede kant op. Mensen snappen dat ze moeten uitkijken, ze beseffen dat criminelen op de loer liggen om hen digitaal schade te berokkenen. Hmm, zou het verschil met vuurwerkveiligheid daarmee te maken hebben? Dat er een kwaadwillende actor is? Die ontbreekt bij vuurwerk; dat risico kent slechts twee elementen: het vuurwerk en het afsteken. Er is geen andere partij, geen vijand. Ja, dat moet wel haast een rol spelen.

Vanaf de volgende jaarwisseling geldt er een landelijk vuurwerkverbod. Ik heb er een hard hoofd in dat het gaat werken, want de handhaving van het verbod zal moeilijk zijn. Grenscontroles in december houden de ware fanaat, die al veel eerder zijn voorraad inslaat, niet tegen. Uitrukken zodra er een knal of vuurpijl wordt waargenomen zal ook zelden werken, want hoe bepaal je de locatie? Nee, om het aantal slachtoffers terug te brengen, moeten we er toch echt voor zorgen (desnoods via TikTok!) dat mensen, vooral kinderen, gaan snappen dat risicomanagement ook in ons dagelijks leven een belangrijke rol speelt. Vanuit die gedachte wordt het dan: handen af van vuurwerk, of handen af door vuurwerk.

 

En in de grote boze buitenwereld …

• vragen ook onze niet-menselijke collega’s om de aandacht van de security officer.
• leiden in HTML gedefinieerde QR-codes de malware-scanner om de tuin.
• groeit het wantrouwen jegens Chinese AI.
• verliezen we online onze privacy.
• is het veilig houden van AI-chatbots niet gemakkelijk.
• kun je natuurlijk ook een rolstoel hacken.
• bedient het NCSC nu ook het MKB.