Ethisch hacken

Afbeelding via Unsplash

Na jaren moest ik maar weer eens op cursus. Ik ging op zoek naar eentje waarbij de kans klein zou zijn dat ik weinig nieuws zou leren; dat overkomt je als oldtimer in het vak al gauw. De cursus ethisch hacken voldeed in ruime mate aan deze eis.

Al ruim drie decennia beschouw ik de wereld vanaf de goede kant van de streep. Daarbij houd ik me bezig met beveiligingsbeleid, risicoanalyses en naleving, om maar een paar dingen te noemen. Ik lees en hoor wat er aan de foute kant van de streep allemaal gebeurt en probeer het de gasten die daar vertoeven zo moeilijk mogelijk te maken. Met deze hackcursus wilde ik de wereld eens vanaf hun kant bekijken. Want zoals Sun Tzu al in de vijfde eeuw voor Christus wist: "Ken je vijand en ken jezelf, en je hoeft de uitslag van honderd veldslagen niet te vrezen."

Maar wat is dat ethisch hacken dan? Kijk, je hebt, zwart-wit bezien, twee soorten hackers: de goeden en de kwaden. Die laatste halen meestal het nieuws, bijvoorbeeld door de gegevensdiefstallen bij de politie en Odido. Zo is hacken ook bekend bij het grote publiek: het wederrechtelijk inbreken in een computersysteem. De personen, die zich daarmee bezighouden, zijn er in vele kwaliteiten. Aan de onderkant van de lat heb je de scriptkiddies: lui die gebruikmaken van kant-en-klare recepten om dingen te doen, zonder dat ze echt snappen hoe het werkt. En helemaal bovenaan heb je de georganiseerde criminaliteit en de statelijke actoren (‘staatshackers’).

Maar er zijn dus ook goedaardige hackers. Die gaan, net als hun kwaadaardige tegenhangers, op zoek naar zwakke plekken in de verdediging. Het grote verschil is dat zij die niet voor eigen gewin gebruiken, maar ze netjes melden bij het bedrijf waar ze die kwetsbaarheid hebben aangetroffen. Je kunt ethische hackers inhuren om je systemen te laten testen, maar ze opereren ook op eigen houtje. Vaak krijgen die laatsten, als zich daarbij aan bepaalde regels houden, zelfs een beloning. Die kan variëren van een T-shirt tot ((heel) veel) geld.

Natuurlijk ben ik na een vijfdaagse cursus geen volleerde hacker. Sterker nog, het duizelde mij vorige week van de hackprogramma’s met hun talrijke opties, de vele poorten die aangevallen kunnen worden en een boel andere dingen die je als rechtgeaarde hacker uit het hoofd dient te weten. Vroeger, in het tijdperk van MS-DOS, moest je ook alles vanaf de opdrachtregel (de C:-prompt) doen, maar dat doet tegenwoordig wel erg archaïsch aan. En toch werkt het in die wereld zo, maar dan met Linux in plaats van MS-DOS.

Het belangrijkste wat ik heb geleerd is dat er best veel komt kijken bij hacken, maar dat het, als je de trucjes eenmaal beheerst, wel heel gemakkelijk is – althans, als je tegenstander zich niet goed verdedigt. In het eenvoudige scenario waarmee we hebben geoefend zoek je het IP-adres van je doelwit op, je kijkt welke poorten er openstaan, je onderzoekt of er kwetsbaarheden voor de daar draaiende services bekend zijn en hoppa, je bent binnen. Zo gemakkelijk is het natuurlijk – hopelijk! – lang niet altijd, maar het principe zal wel steeds hetzelfde zijn: de hacker gaat op zoek naar zwakke plekken in de verdediging. En dan heb je toch liever dat zo’n kwetsbaarheid door een ethische hacker wordt gevonden dan door een criminele. Uiteraard helpt dat alleen als je vervolgens ook iets met de bevindingen doet. Gelukkig begrijpt iedereen dat. Toch?

Ik had altijd al bewondering voor de collega’s die dit voor hun werk doen. Nu ik iets beter begrijp wat ze doen, heeft dat respect een flinke upgrade gekregen. Het is belangrijk en dankbaar puzzelwerk, waar heel wat kennis en kunde bij komt kijken. Ze doen de nodige ontdekkingen, die soms voor aardig wat ophef zorgen. Dan zie je ze glunderend rondlopen. Een mooi gezicht.

Ten slotte wil ik nog iets heel anders delen wat ik geleerd heb en waar iedereen, die gebruikmaakt van AI-chatbots zoals Copilot, ChatGPT en Claude veel plezier van kan hebben. Het gaan om ELI5. Dat staat voor explain like I’m 5 en het zorgt ervoor dat het antwoord in eenvoudige woorden wordt geformuleerd en geen voorkennis veronderstelt. Niet in kleutertaal, maar vaak met leuke analogieën. Probeer maar eens iets als: “ELI5 Leg uit wat een IP-adres is”.

 

En in de grote boze buitenwereld … 

• kun je natuurlijk ook een koffieautomaat hacken.
• zitten de Russen misschien ook in jouw router (tip: herstart hem af en toe).
• is niet alleen de Nederlandse politie gehackt.
• zit een romance scammer in de cel nadat hij per ongeluk een collega aan de haak wilde slaan.
• hebben ook astronauten last van IT-problemen.
• ontmaskert dit trucje Noord-Koreaanse fake-sollicitanten.
• gooit security-legende Mikko Hyppönen het tegenwoordig over een andere boeg: hij bestrijdt drones.
• is dit nieuwe AI-model nog even te gevaarlijk om het algemeen beschikbaar te stellen.
• is bij sommige presidenten het beveiligingsbewustzijn nog niet zo goed ontwikkeld.
• hebben Iraanse staatshackers het voorzien op kritieke infrastructuur in de VS.

 

AI belt met je ouders

Afbeelding via Unsplash

Heb je wel eens geen tijd (of zin) om je ouders te bellen? Dan is er nu een handige dienst waar jullie allemaal plezier van gaan hebben!

Dit gaat over een bedrijf dat een bijzondere AI-dienst aanbiedt. Ze bellen namelijk met je bejaarde ouders. Zodat jij dat niet hoeft te doen. Op hun website staat een foto van de Tsjechische oprichter van het bedrijf met zijn moeder. Daarbij het verhaal dat hij in het buitenland woonde maar wel graag contact met zijn moeder wilde houden. Verschillende tijdzones, een drukke baan en ‘de onvoorspelbaarheid van het leven’ zaten in de weg. En zo kwam hij op het idee voor zijn bedrijf. Het helpt mensen om zich ‘herinnerd, verbonden en gewaardeerd’ te voelen, zeggen ze.

Even wat meer informatie van hun website. ‘Mary’ belt de oudere op en vraagt hoe het gaat. Ze onthoudt ook wat je haar vertelt. Hartstikke handig natuurlijk: als je vandaag vertelt dat je naar de dokter moet, zal ze morgen vragen hoe het ging. Verder maakt ze gebruik van 1.400 ‘levensverhaalvragen’ – zoiets als een database met openingszinnen. Bovendien strooit ze met interessante feitjes om de geest scherp te houden.

De oudere zal al gauw niet meer beseffen dat hij met AI te maken heeft. Simpelweg omdat AI heel natuurlijk klinkt. Ik durf te wedden dat ook jij en ik het verschil tussen AI en een mens niet horen. En als je Mary na een poosje als vriendin gaat beschouwen, dan vertel je haar waarschijnlijk dingen die je ook met een echte vriendin zou delen. Bijvoorbeeld over je gezondheid, een onderwerp waar ouderen het nu eenmaal vaak over hebben. Op de website van het bedrijf prijkt het logo ‘HIPAA compliant’. HIPAA is Amerikaanse wetgeving die over de privacy en beveiliging van medische gegevens gaat. Maar dan minder streng dan onze AVG. In de EU vallen medische gegevens onder de noemer bijzondere persoonsgegevens, waar extra strenge regels voor gelden.  

Ouderen zijn extra kwetsbaar als het om cybercrime gaat. Je hoort de laatste tijd vaak berichten over nepagenten die geld en sieraden komen ophalen, onder het mom van groot gevaar dat eraan zit te komen. Criminelen zouden handig kunnen meeliften op een dienst als deze. Bijvoorbeeld door zich voor te doen als Mary en dan slimme vragen te stellen en hun slachtoffer te manipuleren. Omdat ze Mary vertrouwen, is de kans groter dat ze in het verhaal meegaan. Je kunt gewoon wachten op zo’n werkwijze, hoe triest dat ook is.

In je werk kun je vroeg of laat ook een telefoontje van een valse Mary verwachten. Dergelijke scams komen nu al voor. Zo werd drie jaar geleden de Amerikaanse Brianna zogenaamd ontvoerd. Haar moeder werd gebeld en hoorde haar dochter praten. Dacht ze. Want met AI heb aan een paar seconden geluidsfragment, gejat van social media, voldoende om iemand levensecht alles te laten zeggen wat je maar wilt. Dat zou ook jouw leidinggevende kunnen zijn, die je bijvoorbeeld vraagt om bepaalde gegevens te mailen. Dus: als je een merkwaardig verzoek via de telefoon krijgt, bel diegene dan op het jou bekende nummer om te checken of het klopt.

En voor wat betreft Mary? Ik blijf mijn moeder, die vandaag 93 is geworden (van harte gefeliciteerd!) gewoon zelf bellen. Wel zo gezellig.

 

En in de grote boze buitenwereld …

… was ik te druk met een cursus om deze rubriek te kunnen vullen.

Roestende kettingen

Afbeelding via Unsplash

“De zwakste schakel in de beveiliging van IT bevindt zich altijd tussen het beeldscherm en de leuning van de bureaustoel,” meldde iemand met een knipoog in de commentaren onder mijn vorige blog. Die ging erover dat WhatsApp- en Signal-accounts waren gehackt via hun eigenaren. Daar lijnrecht tegenover staat een uitspraak van een voormalig algemeen directeur van onze organisatie: “De mens is de sterkste schakel in de beveiliging.” Hoe verhouden deze uitspraken zich tot elkaar?

Dat eerste citaat hoor je wel vaker. Het betekent zoveel als: de computergebruiker tuint er met open ogen in, want hij snapt het allemaal niet. Sommigen durven zelfs te spreken van ‘die domme eindgebruiker’. Dat laatste is sowieso niet eerlijk: je kunt onmogelijk van elke medewerker verwachten dat hij of zij alle ins en outs van cybercriminaliteit en informatiebeveiliging doorgrondt en op elk moment van de dag alert is op verdachte situaties. Van domheid kan dus bijna nooit sprake zijn (ik kom nog terug op dat ‘bijna’).

Een ketting bestaat uit meerdere schakels. Volgens het oude gezegde bepaalt de zwakste schakel hoe sterk de ketting in haar geheel is. In dat gezegde zit de impliciete aanname besloten gaf dat er één schakel kan worden aangewezen die het zwakst is. Maar wat als een andere schakel harder roest en zijn zwakke broeder inhaalt? Dan is opeens een andere schakel de zwakste. Als er dan spanning op de ketting komt te staan, dat breekt zij misschien wel op een heel andere plek dan je had verwacht. Kortom: ik geloof niet zo in de zwakste schakel. Waar ik wel in geloof, is een ketting die regelmatig onderhouden wordt. Als een zwakke plek wordt gevonden, dan wordt die hersteld.

De beveiligingsketting heeft twee soorten schakels: technische en menselijke. Ik houd het hier simpeler dan andere modellen omdat ik niet meer dan dit nodig heb om mijn punt te maken. Je zou het liefst willen dat de techniek in staat is om alle kwaad en ongemak buiten de deur te houden. Onze mailfilters herkennen alle phishing-aanvallen en gooien spam feilloos in de prullenbak. Alle DDoS-aanvallen worden afgeweerd nog voordat ze jouw netwerk bereiken. En hackers maken geen schijn van kans omdat alle inbraakpogingen genadeloos in de kiem worden gesmoord.

We weten allemaal dat het zo niet werkt. Want honderd procent beveiliging vanuit de techniek is een illusie. Dat zou je niet geloven als je over een beveiligingsbeurs loopt waar fabrikanten hun hard- en softwaresystemen aanprijzen. Ze leken altijd al de perfecte beveiliging te verkopen, en sinds de opkomst van AI is dat alleen maar ‘erger’ geworden. De praktijk is helaas anders: de schakels van de ketting bevatten hier en daar wat roestplekjes. En weet je hoe dat vooral komt? Doordat de schakels van een ketting langs elkaar schuren. Het is niet zo dat één systeem alles beschermt; er is interactie. Daar kan het misgaan. In de interactie tussen technische systemen, maar ook – vooral? – in de interactie tussen technische en menselijke schakels. Even heel simpel voorgesteld: als een systeem piept maar de mens de melding als irrelevant afdoet, terwijl er toch echt iets aan de hand is, dan heb je een flinke roestplek te pakken. Overigens is dat niet de enige reden waarom de techniek ons niet volledig beschermt. Dat komt ook doordat de boeven steeds iets nieuws bedenken. En ook doordat zelfs beveiligingssystemen domweg fouten bevatten, zoals alle computersystemen.

Is de mens dan wel de sterkste schakel? Toen ik die stelling destijds voor het eerst hoorde, was ik verbaasd, want tja, de zwakste-schakel-theorie was toen gemeengoed. Ik ben daar echter op teruggekomen. Tegenwoordig houd ik mijn gehoor bij presentaties voor dat zij inderdaad de sterkste schakel zijn. De gebruiker is mijn laatste verdedigingslinie – als alle technische systemen gefaald hebben, dan is de mens het enige resterende redmiddel. Tenminste, bij het soort ellende waar de gebruiker een rol in speelt. Bij een DDoS-aanval sta je als eindgebruiker buiten spel, maar als we het over phishing hebben, dan ben je juist superbelangrijk. Jouw inzicht kan het verschil maken tussen wel of geen geslaagde ransomware-aanval, of tussen een intacte of een geplunderde bankrekening. Daarom laat ik geen gelegenheid voorbijgaan om met mensen over phishing te praten.

Van domheid kan bijna nooit sprake zijn, schreef ik. Bijna. Dus soms wel? Ja. Het komt namelijk voor dat mensen nattigheid voelen, dat ze bijvoorbeeld een bepaald mailtje niet vertrouwen. En dan tóch op die link klikken of de bijlage openen. Om te kijken wat er gebeurt. Omdat ze nieuwsgierig zijn. Of omdat ze denken: ach, het zal wel niet. Dan ben je niet slim bezig. Hanteer nou maar die eenvoudige regel: bij twijfel ga je uit van foute boel.

 

En in de grote boze buitenwereld …

• Zie je hier waar een geslaagde phishing-aanval (in dit geval per telefoon) toe kan leiden.
• Heeft een beveiligingsbedrijf een netwerk van Noord-Koreaanse infiltranten blootgelegd.
• Gebruiken hackers ook gewoon beheersoftware.
• Kon je in Perm gratis parkeren dankzij een DDoS-aanval.
• Kun je beter niet opscheppen over hardlopen op een boot.
• Beperken aanvallen op iPhones zich niet langer tot high-value targets.
• Word je misschien wel aangevallen door onzichtbare code.
• Appen Belgische ambtenaren voortaan met Beam.

 

WhatsApp en Signal gehackt? Nee!

Afbeelding via Unsplash

“Rusland hackt WhatsApp en Signal van overheidsmedewerkers, melden inlichtingendiensten”, kopte de NOS afgelopen maandag. Ik zal uitleggen waarom ik hier het stempel ‘devaluatie’ op druk.

Om te beginnen een geruststelling: noch WhatsApp, noch Signal is gehackt. Tenminste, als je de gangbare betekenis toekent aan hacken: jezelf wederrechtelijk toegang verschaffen tot een computersysteem (dit is geen formele definitie, maar zoals ik ‘m ervaar). Daarbij is het computersysteem de dienst zoals die – in dit geval – door WhatsApp en Signal wordt aangeboden. Jouw individueel account is daarbij niet het doelwit.

Laten we even doen alsof deze chat-diensten wél gehackt zijn. Dat zou betekenen dat een hacker op hun servers heeft ingebroken en daar allerlei dingen heeft gedaan die heel veel mensen niet leuk vinden; alle – of op z'n minst vele – klanten zouden door de hack zijn geraakt, doordat hun gegevens gecompromitteerd zijn.

Maar dat is hier dus helemaal niet aan de hand. De actor (een nette term voor dader) had het gemunt op individuele accounts van bepaalde (soorten) functionarissen. Deze mensen kregen een bericht dat afkomstig leek te zijn van de chatbot van Signal; het leek dus op een officiële waarschuwing van de dienstverlener over verdachte activiteiten. Er staat ook in dat er mogelijk data zijn gelekt en dat er pogingen zijn gedetecteerd om toegang tot privédata te krijgen. Dat zou je kunnen voorkomen door het verificatieproces te doorlopen, aldus het bericht.

Wat gebeurt er nou echt? De actor wil inloggen op jouw account bij Signal. Die app vraagt dan om een code, die ze sms’en naar het bij hen bekende telefoonnummer: dat van jou. Die code, en jouw zelf ingestelde pincode, heeft de actor nodig om in te kunnen loggen, vandaar het bericht dat hij je stuurt. Het is de bedoeling dat je daarvan schrikt en gauw ‘het verificatieproces’ wilt doorlopen, maar dat is een val. Als je daar in trapt, dan kan de actor jouw account volledig overnemen en zelfs het gekoppelde telefoonnummer wijzigen naar zijn eigen nummer. Hij heeft nu toegang tot je contacten en kan meelezen met nieuwe chatberichten (zowel één-op-één als in groepen). Hij kan zelfs berichten namens jou versturen. Je hebt nu zelf geen toegang meer tot je account, maar je kunt wel een nieuw account aanmaken en je krijgt je chatgeschiedenis terug – die wordt namelijk op je toestel opgeslagen. Mooi, geen probleem, fijn dat ze me zo goed hebben geholpen, denk je dan.

In een andere variant laten ze je een QR-code scannen of op een link klikken. Ze laten je geloven dat je daardoor wordt toegevoegd aan een chatgroep in WhatsApp of Signal, maar in werkelijkheid wordt het apparaat van de actor aan jouw account gekoppeld. De actor kan nu al jouw chats zien, vaak ook de chathistorie. Je merkt daar niks van. Ook bij deze aanval kan hij meelezen met nieuwe berichten en namens jou berichten verzenden.

Goed, dan nu terug naar de term hacken en waarom ik vind dat die devalueert. Vanaf de jaren zestig was een hack een slimme technische truc in de (Amerikaanse) computer- en modelspoorclubwereld, en een hacker was een bijzonder slimme programmeur. In de jaren tachtig werd de term gebruikt voor mensen die diepgaand onderzoek deden naar computersystemen en netwerken. Als ze daarbij de beveiliging omzeilden, dan was dat uit nieuwsgierigheid en om te testen. Er waren ook crackers, hun kwaadaardige tegenhangers. Vanaf de jaren negentig verwaterde het verschil en werden hackers algemeen gezien als boeven. Zie mijn persoonlijke definitie boven.

De kop van de NOS suggereert dan WhatsApp en Signal gehackt zijn, terwijl het cyberadvies van de AIVD en MIVD juist benadrukt dat dat niet het geval is. Kennelijk is de NOS op de vingers getikt, of heeft de redactie de stagiair terechtgewezen, want later die dag kreeg hun bericht een nieuwe kop: "Inlichtingendiensten: Russische hackers dringen WhatsApp en Signal van ambtenaren binnen". En kreeg het artikel een paragraaf met als titel: "Geen lek in berichtendienst zelf". In het oorspronkelijke bericht lijkt ‘hacken’ te slaan op zo’n beetje alle computeronheil dat van buitenaf komt. Zoals hierboven beschreven was term al behoorlijk gedevalueerd, maar dit was misleidend.

Wat hier in werkelijkheid gebeurde heet social engineering. Daarbij wordt niet de computer, maar de mens achter de computer aangevallen. Als ze je zo ver krijgen om een code te delen of een QR-code te scannen, dan zijn ze in hun opzet geslaagd. Social engineering wordt ook wel hacking the human genoemd – het hacken van de mens. Dat dan wel weer.

 

En in de grote boze buitenwereld …

• Beïnvloeden trollen onze verkiezingen.
• Hebben pro-Iraanse hackers het medisch technologiebedrijf Stryker aangevallen.
• Bewaren veel videodeurbellen hun opnames te lang.
• Blijft het niet bij alleen maar praten over Europese digitale soevereiniteit.
• Horen IoT-apparaten niet in te loggen als admin.
• Maken cybercriminelen natuurlijk ook gebruik van AI – net als hun tegenstanders.
• Is de autosector het volgende slachtoffer van ransomwarebendes.
• Heeft een Amerikaanse ambtenaar gegevens op een USB-stick meegenomen naar zijn nieuwe baan.

 

Oliedommer

Foto van auteur

Het is niet mijn gewoonte om twee weken achter elkaar over hetzelfde onderwerp te bloggen. Maar nu hebben ze het er zelf naar gemaakt.

Ja, ik heb het weer over de gegevensdiefstal bij Odido. Vorige week schreef ik dat de pers Odido vooral als slachtoffer neerzette: ze waren gehackt en dan ben je zielig. Maar ze zijn dus helemaal niet hardcore gehackt: de criminelen kwamen binnen met phishing in combinatie met andere vormen van social engineering. Vervolgens konden ze gewoon via de voordeur naar binnen en al die gegevens downloaden. De slachtofferrol is dus steeds minder houdbaar en de pers heeft dat inmiddels ook wel in de gaten. Er wordt nu kritisch naar Odido gekeken.

Het bedrijf verkeert in een crisis en daar hoort goede communicatie bij. Hoe brengt Odido het er op dat vlak van af? Nou, best wel beroerd. Laat ik vooropstellen dat ik geen expert ben op dat gebied. Een teamgenoot is dat wel, hij heeft een opleiding crisismanagement en -communicatie gevolgd. Weet je wat het eerste was wat hij zei toen ik hem vroeg naar de kern van goede crisiscommunicatie? Openheid en transparantie. Gevolgd door snelheid, eerlijkheid en initiatief.

Eerder deze week sprak ik met mensen uit diverse organisaties. Daar viel te beluisteren dat het allemaal niet meeviel. Tegen een van die bedrijven hadden ze gezegd dat uitsluitend de gegevens van beheerders, die een account op de zakelijke portal van Odido hebben, geraakt zouden zijn. Even later gingen echter allerlei medewerkers klagen en bleken de gegevens van een paar duizend medewerkers op straat te liggen. En er werd gemopperd over de zeer gebrekkige en ook deels gewoonweg onjuiste informatie van het telecombedrijf.

Op 13 februari heb ik een mailtje van Odido gekregen. Daarin staat dat ook mijn gegevens, als oud-klant, gelekt zijn. Ik was tot 2019 klant van T-Mobile, de voorganger van Odido. Het bedrijf schrijft: “Odido bewaart – conform haar privacy statement – tot 2 jaar na beeindiging (sic) van het contract en overstap naar een andere aanbieder jouw contactgegevens. Omdat jij minder dan 2 jaar geleden overgestapt bent, stonden jouw gegevens nog in het systeem en daarom heb je email ontvangen.” Een snelle rekensom leert dat hier iets niet klopt.

In hetzelfde mailtje staat ook: “Wat niet is gelekt: Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs”. Terwijl op de informatiepagina van het bedrijf – die nog steeds moeilijk te vinden is –juist staat dat die informatie wél is gelekt. Maar dat was kennelijk niet belangrijk genoeg om een vervolgmail te sturen.

Op 1 maart berichtte haveibeenpwned.com mij dat mijn gegevens waren gelekt via Odido, en drie dagen later kreeg ik een soortgelijk bericht van mijn VPN-provider. Die had nog meer informatie: via hun Dark Web Monitor konden ze aangeven welke gegevens precies gelekt waren. Daar zat ook het nummer van een ID-kaart bij – de kaart die je hier ziet, en die geldig was tot 2016. Het mailtje van Odido zelf had ik gemist omdat het naar een account is gestuurd dat ik nog maar zelden gebruik; ik heb het mailtje net pas gevonden. Je kunt je dus wel voorstellen dat ik ervan schrok dat zo’n oude ID-kaart boven water kwam terwijl Odido mij zelf (dacht ik) niets had laten weten. Het toont in ieder geval aan dat Odido zijn eigen privacy statement niet naleeft. Laat staan de AVG, die toch echt bepaalt dat persoonsgegevens niet langer dan noodzakelijk mogen worden bewaard. Dat ze gegevens hebben van iemand die zeven jaar geleden klant was bij hun rechtsvoorganger is absurd.

Mijn ter zake deskundige collega zei dat je door goede communicatie sterker uit een crisis kunt komen, door eerlijkheid en integriteit uit te stralen. Deze eigenschappen zijn bij Odido ver te zoeken. Wat ook niet helpt is dat de woordvoerster van het bedrijf het in een interview met de NOS heeft over ‘siebercriminelen’. Dat straalt meteen zóveel ondeskundigheid en ongeïnteresseerdheid uit dat ik plaatsvervangende schaamte voel. Het is sterker om je niet als slachtoffer, maar als oplosser te profileren, merkte mijn collega nog op (dankjewel Rico). Daar zie ik nog weinig van. Hun communicatie over het niet betalen van het losgeld – wat op zich goed verdedigbaar is – beperkt zich tot drie zinnen op die moeilijk te vinden pagina: “Wij hebben hierin een zorgvuldige afweging gemaakt. Zowel toonaangevende experts als overheidsinstanties hebben ons dringend geadviseerd om niet met deze criminele groepering in contact te treden. Dit advies is gebaseerd op uitgebreide ervaring met deze specifieke groepering.” Hier is geen spoor van inlevingsvermogen in hun klanten te bekennen. Nogmaals, van mij hoeven ze niet te betalen, maar ik verwacht wel dat ze helder uitleggen waarom ze dat niet doen.

Eergisteren wilde ik mijn bank iets vragen. De eerste vraag die hun chatbot mij stelde was: “Chat je met ons n.a.v. de recente cyberaanval bij Odido?” De chatbot legde uit dat mijn bankrekening veilig was en gaf meer informatie over datalekken in het algemeen. Kijk, dát is slimme communicatie.

 

En in de grote boze buitenwereld …

• Is uitgerekend de FBI gehackt.
• Hallucineert AI bij het vertalen van Wikipedia-artikelen.
• Heeft de Zuid-Koreaanse belastingdienst het wachtwoord van een in beslag genomen cryptowallet mee op de foto gezet – om die opvallender te maken.
• Hielpen gehackte verkeerscamera’s bij het vinden van de ayatollah.
• Kan AI verrassend goed achterhalen wie achter een bepaald pseudoniem schuilgaat.
• Kan AI ook heel gemeen doen.
• Verraden de bandenspanningsensoren van je auto waar je bent.
• Is chat control weer eens van de Europese tafel geveegd.
• Linkt ook deze blogger het dagelijkse leven aan security.

Oliedom

Afbeelding via Unsplash

Meestal zijn datalekken en hacks ongemakken die anderen overkomen. Deze keer is de kans groot dat je zelf beteuterd naar een mailtje van je telecomprovider zit te kijken. Odido heeft namelijk ongeveer een derde van de Nederlandse mobiele markt in handen. Daarnaast leveren ze vaste internetaansluitingen aan een miljoen huishoudens. Ook als klant van Ben ben je trouwens het haasje.

Het nieuws wordt breed uitgemeten in de media. Dat komt natuurlijk in eerste instantie door de omvang: het gaat om 6,2 miljoen accounts, die de criminelen uit het klantcontactsysteem hebben gestolen. Daar zitten ook accounts bij van mensen die al jaren geen klant meer zijn van Odido, ontdekte het bedrijf doordat deze mensen bevreemd reageerden op de mail waarin het bedrijf hen inlichtte over de diefstal. Maar de omvang is niet de enige reden om zenuwachtig te worden. Ook wát er gelekt is draagt daaraan bij. Het gaat namelijk niet alleen om de ‘gebruikelijke’ gegevens zoals naam, adres en e-mailadres. Bij deze hack zijn ook telefoonnummers,  bankrekeningnummers, paspoortgegevens en BSN’s buitgemaakt. En informatie over betalingsachterstanden.

Ongeveer twee miljoen records, met bijna 700 duizend unieke e-mailadressen, zijn inmiddels gepubliceerd, omdat Odido niet aan de eis van ShinyHunters, zoals de criminelen zich noemen, heeft voldaan om ‘een laag 7-cijferig bedrag’ (dus minimaal een miljoen euro) te betalen. En ze dreigen met publicatie van nog meer gegevens. Reden genoeg voor miljoenen mensen om zich zorgen te maken.

Uit de berichtgeving omtrent deze hack spreekt vooral medeleven met Odido en zijn klanten. Waar je in de grote media minder over hoort is de vraag hoe dit heeft kunnen gebeuren. Ik snap ook wel dat ze zich op de slachtoffers richten. Maar toch: hoe heeft dit kunnen gebeuren?

Phishing, beste mensen. Ik hamer er in alle presentaties steeds weer op hoe belangrijk het is dat iedereen weerbaar is tegen deze vorm van cybercrime. Bij Odido is dat deze keer niet gelukt. De phish kwam terecht bij medewerkers van de klantenservice (mogelijk bij een callcenter in het buitenland), die erin trapten en hun wachtwoord prijsgaven. Ook tweefactorauthenticatie (2FA) bleek geen hindernis te zijn: de criminelen belden de medewerkers op en deden zich voor als collega’s van de ICT-afdeling. Zo kregen ze ook de tweede factor in bezit en konden ze inloggen. ShinyHunters heeft hier een mooi staaltje social engineering gepleegd: ze hebben niet het computersysteem gehackt, maar de computergebruikers.

Vervolgens gingen ze gegevens downloaden. Heel veel gegevens. Daar had een automatische noodrem op moeten zitten. Het kan immers nooit de bedoeling zijn dat via een account van de klantenservice zoveel gegevens tegelijk worden gedownload. Het lijkt erop dat daar niet op werd gemonitord. Dat zou betekenen dat niet alleen de organisatorische maatregelen (training) hebben gefaald, maar ook de technische. Dat de training heeft gefaald, kun je bijna niemand kwalijk nemen. Want een zorgvuldig opgestelde phish is nauwelijks van echt te onderscheiden. Oh, wat zou ik deze phish graag eens willen zien. Dat de medewerkers ook hun 2FA opgaven, is trouwens wel een dingetje dat extra aandacht behoeft.

Odido zelf houdt zich erg op de vlakte. Ik verwachtte eigenlijk een melding op de homepage van hun website, maar pas na het nodige graafwerk vond ik de Informatiepagina cyberincident Odido. Daar staat eerst een bijzonder kort officieel statement over de kwestie. Eronder maken ze in koeienletters reclame voor de gratis bescherming tegen onder andere phishing die ze hun klanten bieden (zouden ze die zelf ook gebruiken…?). Pas daarna volgt uitvoerige uitleg over wat er aan de hand is, wat je kunt doen en wat je moet laten. De strekking van het verhaal is dat criminelen, die over de gelekte informatie beschikken, jouw identiteit kunnen aannemen en daarmee op jouw kosten van alles kunnen regelen. Kijk de komende tijd vooral scherp naar facturen die je ontvangt, en check je bankrekening op incasso’s die je niet herkent.

In de veelgestelde vragen werpen ze zelf de vraag op of de beveiliging bij Odido op orde was, maar ze beantwoorden de vraag niet echt. Er staan alleen de gebruikelijke gemeenplaatsen: veiligheid is onze topprioriteit, we werken continu aan verbetering, maar ja, die criminelen zijn ook best wel slim hè.

In de reclametune van Odido zit een mama appelsap (ook wel mondegreen genoemd; je weet wel, dat je (vooral in een liedje) iets anders hoort dan de feitelijke tekst). In de tune wordt de naam van het bedrijf gezongen (‘O-di-do’), maar als je wilt kun je ook verstaan: o-lie-dom. Of Odido inderdaad oliedom was bij het beveiligen van zijn systemen, zal ongetwijfeld worden onderzocht. Maar het is de vraag of wij dat ooit te horen krijgen.

 En in de grote boze buitenwereld …

 … was ik vandaag helaas te druk met andere zaken om deze rubriek te kunnen vullen.

Lengte loont

Klik op de afbeelding voor een grote versie

Deze week is de Security (b)log er iets eerder vanwege een paar vrije dagen

Precies een jaar geleden stelde collega Alexander een vraag. Sommige onderwerpen liggen wat langer te rijpen. De vraag gaat over wachtwoorden en de wenselijkheid om die lekker ingewikkeld te maken. Hij stuurde een bekend schema mee dat bedoeld is om inzichtelijk te maken hoe snel wachtwoorden kunnen worden gekraakt. Ik zal het schema voor je ontleden, want het bevat veel interessante informatie.

Ik begin met de kop. Daarin is de term ‘brute force aanval’ van belang: letterlijk een aanval met brute kracht. Maar waarop dan? Kijk, een systeem waarop jij wilt inloggen, heeft een bestand waarin alle accounts staan. Het systeem moet immers kunnen controleren of je erin mag. Tenzij de ontwerper van zo’n systeem onder een steen heeft gelegen, staat het wachtwoord daar niet leesbaar in. Want dan zou iemand, die het bestand met accounts weet te bemachtigen, vrij spel hebben. Nee, de wachtwoorden zijn versleuteld opgeslagen. Als jij inlogt, dan wordt het wachtwoord, dat jij invult, eveneens versleuteld. Zo kan het toch vergeleken worden met het opgeslagen wachtwoord.

Een aanvaller heeft veel pogingen nodig om je wachtwoord te kraken. Als hij gewoon maar begint om op een website met jouw account in te loggen, wordt je account bij de meeste systemen na een aantal foute pogingen vergrendeld (‘gelockt’). Dat is dus een beveiligingsmaatregel tegen brute forcing. Dat schiet niet op voor die aanvaller. Hij wil dan ook liefst het complete wachtwoordbestand in handen krijgen, zodat hij er offline rustig op los kan proberen zonder telkens gelockt te worden. Daarvoor moet hij natuurlijk wel eerst even inbreken op zijn doelwit.

Laten we ervan uitgaan dat hij het bestand heeft weten te bemachtigen. Hij gebruikt vervolgens een krachtige computer om de accounts in dat bestand aan te vallen. Het schema geeft aan hoeveel tijd daarvoor nodig is. Verticaal loopt de lengte van de wachtwoorden op van vier naar achttien. Horizontaal loopt het aantal verschillende tekens, waaruit het wachtwoord kan bestaan, steeds verder op. In de eerste kleurrijke kolom zijn er slechts tien verschillende tekens: de cijfers nul tot en met negen. In de volgende kolom zijn het er al 26, vervolgens 52 en dan 62. In de laatste kolom, die staat voor alle mogelijk  tekens – cijfers, hoofd- en kleine letters, symbolen (! @ # $ % ^ & * ( ) - _ = + enz.) – hebben we het meestal over 94 tekens (‘printable ASCII’).

Linksboven zie je dat een wachtwoord dat uit vier cijfers bestaat geen weerstand biedt. Er zijn slechts tienduizend verschillende wachtwoorden mogelijk, wat betekent dat de aanvaller gemiddeld vijfduizend pogingen moet doen. Een fluitje van een cent. Rechtsonder vind je het andere uiterste: achttien tekens lang, gekozen uit 94 tekens. Daarmee kun je 3,28 x 10³⁵ verschillende wachtwoorden maken – dat is grofweg een drie met 35 nullen. Die krachtige hackcomputer doet er volgens de tabel 463 triljoen jaar over om het te kraken. Een triljoen is duizend miljard; het universum is slechts 13,8 miljard jaar oud.

Wat ik veel interessanter vind, is dat er in de tabel verticaal meer gebeurt dan horizontaal. Met andere woorden: lengte is veel belangrijker dan het aantal mogelijke tekens. Als je een wachtwoord van alleen cijfers vier keer zo lang maakt, dan heeft de boef al tweeduizend jaar nodig. Daarentegen heeft uitbreiding van het aantal mogelijke tekens (bij gelijke lengte) geen noemenswaardig op de kraaksnelheid. En als je kijkt naar de regel van vijftien karakters, dan zie je dat het kraken van een wachtwoord, dat alleen uit kleine letters bestaat, al bijna een half miljard jaar duurt (en wat mij betreft had dat vakje gerust groen mogen zijn).

Conclusie: als een wachtwoord lekker lang is, dan hoef je je niet druk te maken over de complexiteit ervan. Met andere woorden: veel systemen eisen dat je minimaal 1 cijfer, 1 kleine letter, 1 hoofdletter en 1 symbool gebruikt, maar dat is niet nodig, mits je wachtwoord lang genoeg is. Die lange wachtwoorden laat je comfortabel genereren en beheren door je password manager. Wachtwoorden, die je daar niet in kwijt kunt – bijvoorbeeld het hoofdwachtwoord van je password manager – kies je zo, dat jij ze wel kunt onthouden, maar iemand anders ze niet gemakkelijk kan raden. Bijvoorbeeld ‘Mijn wachtwoord hack je niet’ of ‘iz2bbsodw1wtewbw’ (ik zag 2 beren broodjes smeren…).

 

En in de grote boze buitenwereld …

• Password managers zijn niet onder alle omstandigheden waterdicht (maar de voordelen wegen nog steeds op tegen de nadelen).
• Deze Canadese tv‑reportage bespreekt de privacy‑risico’s van Chinese auto’s.
• Dit is het lange verhaal van een security‑onderzoeker die bedreigd werd en terugsloeg.
• Een nieuwe internationale alliantie gaat werken aan betrouwbare technologie (noot: ASML wordt niet genoemd maar is ook lid).
• De Britse overheid neemt maatregelen om kinderen online beter te beschermen.
• Soms moet je een update uitbrengen om het updaten zelf beter te beveiligen.

 

Op de bon

Foto van auteur

Kom je wel eens in Duitsland? En heb je daar wel eens een kassabon van dichtbij bekeken? Nou, ik wel. En toen viel mij meteen de cryptografische informatie op die erop stond.

Voor de duidelijkheid: als ik het over crypto heb, dan praat ik over cryptografie en niet over digitaal geld, zoals de bitcoin. Cryptografie: de wiskundige kunst van het beveiligen van gegevens, zei laatst iemand op een congres. Maar wat stond er dan precies op die bon, en vooral: waarom?

Het waren lange reeksen cijfers en letters, zoals je op de foto kunt zien. Mijn aandacht werd getrokken door de ‘PublicKey’-rubriek helemaal onderaan de bon. Daarachter een brij van 132 tekens. De bon bevat in nog zo’n zelfde weergave een digitale handtekening (signature). Je ziet niet vaak dergelijke informatie over digitale handtekeningen op een analoog medium (de papieren bon).

Het zit ‘m in de Duitse wetgeving, de Kassensicherungsverordnung (Kassabeveiligingsverordening, ietwat vreemd afgekort tot KassenSichV). Daarin staat dat elektronische kassa’s voorzien moeten zijn van een Technische Sicherheitseinrichtung (TSE – Technische Beveiligingsvoorziening). Die TSE voorkomt dat er met de kassa gerommeld kan worden: alle transacties worden, met een volgnummer, gelogd en digitaal ondertekend. Zo kan het Finanzamt (de belastingdienst) controleren op onregelmatigheden, zoals ontbrekende bonnen. Als een kassa geen gecertificeerde TSE heeft, kan de winkelier een boete tot 25.000 euro krijgen.

Die cryptografische bewerking speelt zich binnen de kassa af. Maar waarom staat die informatie ook op de bon? Omdat die bon zelf ook controleerbaar moet zijn. Jij als klant doet daar niets mee – beschouw het feit, dat die gegevens mij opvielen, gerust als beroepsdeformatie. Maar de fiscus kan steekproeven doen, bijvoorbeeld door een mystery guest te laten shoppen en vervolgens de bon te checken. Vroeger konden winkeliers de klant een keurige kassabon meegeven en toch transacties uit de kassa verwijderen of manipuleren. Dat kan nu niet meer, omdat de digitale handtekening dat meteen aan het licht zou brengen.

Op modernere kassabonnen is de uitgeschreven TSE-informatie vervangen door een QR-code. Dat maakt het leven van controleurs gemakkelijker (al wordt het aangeprezen als papierbesparende maatregel). Nóg milieuvriendelijker is de digitale kassabon, die heel on-Duits fiskaly receipt heet. De klant scant dan een QR-code op de kassa. Maar het kan ook eenvoudiger: bij de supermarkt, waar wij om de zoveel tijd heen gaan om dingen te kopen die ze hier niet hebben of die daar veel goedkoper zijn, kun je de kassabon rechtstreeks in de app van de winkel ontvangen.

Die digitalisering is mooi, maar ik zie wel een probleem. Als ik iets koop waar garantie op zit, dan scan ik de bon in en bewaar hem onder een zinvolle naam op de computer. Dat doe ik om twee redenen: originele bonnen vervagen en ik kan de computer voor mij laten zoeken. Digitaal verstrekte bonnen vind ik dan echter niet terug. Als je je dat realiseert, moet je vervolgens maar net weten bij welke winkel je het product hebt gekocht, om de bon vervolgens in de desbetreffende app of op hun website terug te zoeken. Om dat te ondervangen ga ik in dat soort gevallen nu maar een bestandje in mijn administratie opnemen waar ik in zet waar het product gekocht is. Nog een tip voor collega-administratieve nerds: omdat er aan kleding nog wel eens wat kapot wil gaan, bewaar ik bij de ingescande bon ook een foto van het kledingstuk. Dan weet je dat die bon bij die broek hoort.

Op de kassabon van Shawarma Al-Zaiem (ja, zo heet shoarma in het Duits) viel mij nog iets op: de tekst “Es bediente Sie: LPADMIN” (U werd geholpen door). Op de kassa was dus de beheerder ingelogd. Nou is Al-Zaiem een kleine zaak waar slechts twee mensen aan het werk waren, maar toch: inloggen als administrator (beheerder) om reguliere werkzaamheden uit te voeren is nooit een goed idee.

Stuur me foto’s van je verbaasde reisgenoten als jij bij je volgende bezoek aan Duitsland aandachtig de kassabon zit te bestuderen (-;

 

En in de grote boze buitenwereld …

• zijn de gegevens van miljoenen klanten van Odido en Ben gestolen.
• plegen statelijke actoren momenteel spearphishing-aanvallen op Signal-accounts.
• doet de Nigeriaanse prins zich tegenwoordig voor als Emirati.
• zit er nog veel groei in ransomware.
• geeft een hacker inzicht in Russische desinformatie. [DUITS]
• wordt stalkerware vaak gehackt en gelekt.
• blokkeert Rusland WhatsApp, en zelfs Telegram.
• zit de Belastingdienst voorlopig vast aan M365.
• kan Europa zich sowieso niet losmaken van Amerikaanse tech.
• krijgen Belgische bankklanten een engelbewaarder.

 

Op glad ijs

Afbeelding via Unsplash

Er was ijzel voorspeld. Op de radar zag je een machtig neerslaggebied vanuit het zuiden opstomen. Net als veel collega’s besloot ik om eerder naar huis te gaan. Ik kwam droog en, belangrijker, zonder glibberpartijen thuis aan en zag de rest van de middag dat het in deze contreien allemaal zo’n vaart niet liep.

Na werktijd zou ik gaan hardlopen. Maar ja, de dreiging van ijzel hing toch nog in de lucht (al had ik van achter mijn veilige ramen niemand op z’n snufferd zien gaan). Daarom besloot ik niet buiten te gaan rennen, maar mijn hardloopband in stelling te brengen. Lekker veilig binnen sporten. Bijkomend voordeel: binnen was het zo’n twintig graden warmer dan buiten. Ik kon volstaan met een korte broek en een luchtig shirtje.

Na twaalf minuten en vijftig seconden kwam mijn sportiviteit abrupt tot een einde. Ik maakte een misstap: mijn rechter voet landde niet op de band, maar op de rand van het toestel. De rechter kant van mijn lichaam stond daardoor plotseling stil, terwijl de volgende stap – met links – al onderweg was. Je kunt je voorstellen dat dat niet goed afliep. Eerst landde mijn linker knie op de band, vervolgens de rechter. Mijn linker voet stond inmiddels op de grond, achter de loopband. Daardoor stond ik stil. Terwijl de band onder mij doordraaide. Met mijn knieën er nog op. Dat schuurde behoorlijk.

Nou heeft zo’n hardloopband een veiligheidskoord. Aan de ene kant zit een klem die je aan je kleding bevestigt, aan de andere kant een plug die je in het bedieningspaneel steekt. Als je valt, dan wordt die plug eruit getrokken, waardoor de band stopt, is het idee. Het koord bleek net iets te lang te zijn voor de positie waarin ik was terechtgekomen – de veiligheidsplug bleef op z’n plek. De band bleef draaien totdat ik met de hand aan het koord trok.

Vrouw en dochter waren snel en bezorgd ter plekke en ietwat beduusd vroeg ik om twee natte washandjes om mijn knieën mee te koelen. Links zie je er drie dagen later al bijna niets meer van, maar rechts mis ik momenteel zo’n vier centimeter vel. Allemaal niet dramatisch hoor, alleen af en toe wat branderig, en de genezende wond trekt een beetje.

Ik heb hier twee dingen van geleerd. Ten eerste: organisatorische maatregelen kunnen zich tegen je keren. Ik besloot om niet naar buiten te gaan omdat ik geen valpartij wilde. En precies dát gebeurde. Uiteraard probeer ik dat op mijn werk te projecteren (dit blijft de Security (b)log hè). Nemen we daar ook soms besluiten waardoor precies datgene gebeurt wat we willen voorkomen? Die besluiten zijn doorgaans weloverwogen, uit en te na bediscussieerd en we hebben er meerdere nachten over geslapen. We zijn momenteel bezig om aan de eisen voor wachtwoorden te sleutelen. Uiteraard met de bedoeling dat de accounts van onze medewerkers veiliger worden. Daarbij moeten we er goed op letten dat we het niet te moeilijk voor jullie maken, waardoor je ‘creatief’ gaat worden. Communicatie en ondersteuning zijn belangrijk bij wijzigingen die iedereen persoonlijk raken.

Ten tweede: als technische beveiligingsmaatregelen niet goed geïmplementeerd worden, dan werken ze niet onder alle omstandigheden. Het noodstoptouwtje werkt ongetwijfeld prima als je recht achteruit van de band kukelt, maar dus niet als je val halverwege stopt. Je moet goed weten met welk doel je een maatregel invoert, en je moet naar alle mogelijke scenario’s kijken. Alleen dan mag je verwachten dat de maatregel doet wat je verwacht. Voorbeeld: we versleutelen onze gegevens en onze communicatie al sinds jaar en dag. Maar als je bij de manier waarop je dat doet tegenwoordig geen rekening houdt met de komst van de quantumcomputer, waarvoor het kraken van die versleuteling een peulenschil is, dan ben je alsnog kwetsbaar. Misschien niet nu al, maar wel als de gegevens van vandaag over een paar jaar alsnog door onbevoegden kunnen worden gelezen.

Onze dochter viert vandaag haar achttiende verjaardag en ze wil graag met de auto naar school. We hebben allerlei maatregelen getroffen: ze heeft haar rijbewijs gehaald, daarna hebben we flink met haar geoefend en we hebben afspraken gemaakt. De auto is onlangs nog nagekeken. En we hebben ons vertrouwen uitgesproken. En toch ben je als ouders opgelucht als ze weer veilig thuis is. Omdat je weet dat maatregelen niet altijd werken.

 

En in de grote boze buitenwereld …

• Is het verbieden van losgeldbetalingen ook zo’n maatregel waar je goed over moet nadenken.
• Kijkt ook Nederland naar het Franse alternatief voor videovergaderen.
• Is je kladblok gehackt.
• Komen de AI-wormen eraan.
• Stopt Azure (nu pas) met verouderde TLS-versies.
• Is bijna een derde van de advertenties in Meta-apps kwaadaardig.
• Zijn staatshackers er steeds sneller bij om kwetsbaarheden uit te buiten.
• Krijgen we geen minister voor digitale zaken, maar wel een cyberboa.
• Zijn ook Vaticaanse media bezorgd over het gebrek aan transparantie bij het gebruik van AI.

 

Wasbeer

Afbeelding via Unsplash

Als ik hier ga hebben over laundry bear, dan denk je waarschijnlijk dat mijn Engels wel erg rammelt, omdat ik lijk te denken dat dit de vertaling is voor wasbeer. Terwijl dat beestje in die taal raccoon heet. Maar ik heb het helemaal niet over iemand uit de fauna. Nee, dit gaat over georganiseerde hackers.

Deze laundry bear is ‘zeer waarschijnlijk’ een ‘Russische staatsgesteunde cyberactor’, aldus de inlichtingendiensten in een publicatie uit mei 2025. In gewoon Nederlands: een groepering die cyberaanvallen uitvoert met de zegen – en waarschijnlijk ook het geld – van de Russische regering. Dergelijke groeperingen vind je in diverse landen, en als ze geïdentificeerd worden, krijgen ze een naam opgeplakt. Dat gebeurt niet volgens een algemeen erkende naamgevingsconventie, maar een vaak gebruikte werkwijze is dat alles wat (vermoedelijk) uit Rusland komt een bear is, China heeft de panda, Iran de kitten en Noord-Korea de chollima (dat is een mythisch paard uit de Koreaanse folklore). Overigens zijn dat precies de landen die steeds weer opduiken als we het over staatshackers hebben. Wat dan weer niet betekent dat andere landen hun handen braaf thuis houden.

In dit bijzondere dierenrijk kennen we de fancy bear, de wicked panda, de charming kitten en de stardust chollima, om er maar eens een paar te noemen. Stuk voor stuk groeperingen waar organisaties mee te maken kunnen krijgen als ze iets hebben wat interessant kan zijn voor de sponsoren achter de groeperingen. Dat is vaak informatie, maar het kan ook om geld gaan; vooral Noord-Korea heeft het op westerse deviezen en tegenwoordig vooral op cryptovaluta gemunt.

Laundry bear verzamelt wereldwijd informatie van (overheids-)organisaties en bedrijven, met speciale interesse in de EU en de NAVO. Ze breken in op mail-omgevingen in de cloud. Behalve in de mails zelf zijn ze ook geïnteresseerd in de interne adressenlijst. Ze richten zich op alles wat met de oorlog in Oekraïne te maken heeft. Daarnaast vinden ze bedrijven interessant die hoogwaardige technologie maken, die Rusland door de opgelegde sancties niet kan kopen.

Het is erg moeilijk om een bepaalde activiteit toe te schrijven aan de juiste actor. Die zijn meesters in het leggen van dwaalsporen. Maar soms lukt het wel om deze zogeheten attributie rond te krijgen (al zie je daar meestal toch het woord ‘waarschijnlijk’ nog bij staan). De AIVD en de MIVD schrijven de aanval op de Nederlandse politie in 2024, waarbij contactgegevens van alle politiemedewerkers zijn buitgemaakt, toe aan laundry bear. Ze vermoeden dat ook andere Nederlandse organisaties slachtoffer zijn geworden van deze actor. Tot aan het onderzoek naar de politiehack was laundry bear overigens nog niet bekend. De diensten hebben dus onderkend dat ze met een nieuwe groepering te maken hadden.

Al deze inhoudelijke informatie deelden de inlichtingendiensten vorig jaar in een openbare Cybersecurity Advisory. Daarin sommen ze ook op welke ‘weerbaarheidsbevorderende maatregelen’ organisaties kunnen treffen. Dat zijn tamelijk voor de hand liggende maatregelen. Zo moet je mensen en computers de minimale rechten geven die ze nodig hebben om hun taken uit te voeren. Als zo’n account dan wordt gehackt, dan blijven de mogelijkheden van de aanvaller beperkt tot die rechten. Accounts met hoge rechten moeten gecontroleerd worden uitgegeven en alleen worden gebruikt als die hoge rechten ook echt nodig zijn; beheerders moeten dus niet standaard onder hun beheerdersaccounts werken. Verouderde accounts moeten worden opgeruimd. En je moet je netwerkverkeer versleutelen. De lijst is nog veel langer, maar dan heb je een idee waar het om gaat.

Zo voor de hand liggend als die maatregelen zijn, zoveel moeite hebben sommige organisaties om ze in te voeren. Ze kosten tijd en geld, en de kennis, kunde én de wil is lang niet overal aanwezig om de noodzakelijke maatregelen te treffen. Dat werkt niet anders dan bij jou thuis. Je weet wel dat het huis geschilderd moet worden, maar je komt er niet aan toe of de schilder is te duur. Het is ook een kwestie van prioriteiten stellen.

Doorgaans zijn inlichtingendiensten niet zo scheutig met het openbaar maken van hun informatie. Waarom dan dit openbare advies? Omdat ze wel veel, maar lang niet alles over laundry bear weten. Het is van belang voor het land als geheel dat organisaties weerbaar zijn tegen dergelijke groeperingen. Maar dan moeten ze natuurlijk wel op de hoogte zijn van de dreiging. Bovendien vergroot de publicatie het besef dat er überhaupt dergelijke groeperingen bestaan. De meeste van de genoemde maatregelen helpen ook in de strijd tegen collega’s van laundry bear. Nu maar hopen dat het advies de doelgroep heeft bereikt.

 

En in de grote boze buitenwereld …

• Gaan sommige actoren veel verder dan alleen het verzamelen van informatie.
• Worden Russen ook wel eens getroffen door een cyberaanval.
• Legt dit artikel goed uit wat digitale soevereiniteit voor jou als burger betekent.
• Bericht de buitenlandse pers over een actuele Nederlandse soevereiniteitskwestie.
• Werkt Frankrijk ook aan zijn digitale soevereiniteit.
• Gaan zelfs security-bazen wel eens de fout in.
• Krijgt WhatsApp een lockdown‑mode.
• Ondergaven AI‑agents, die in operating systems zijn ingebouwd, de principes van end‑to‑end beveiliging.
• Leven er wat misverstanden rondom gegevensbescherming.
• Heeft dit artikel het over AI‑speelgoed dat lek was, maar in feite gaat het om een Internet of Things‑misser.
• Is het leven in een Aziatische scam compound zwaar.