Wasbeer

Afbeelding via Unsplash

Als ik hier ga hebben over laundry bear, dan denk je waarschijnlijk dat mijn Engels wel erg rammelt, omdat ik lijk te denken dat dit de vertaling is voor wasbeer. Terwijl dat beestje in die taal raccoon heet. Maar ik heb het helemaal niet over iemand uit de fauna. Nee, dit gaat over georganiseerde hackers.

Deze laundry bear is ‘zeer waarschijnlijk’ een ‘Russische staatsgesteunde cyberactor’, aldus de inlichtingendiensten in een publicatie uit mei 2025. In gewoon Nederlands: een groepering die cyberaanvallen uitvoert met de zegen – en waarschijnlijk ook het geld – van de Russische regering. Dergelijke groeperingen vind je in diverse landen, en als ze geïdentificeerd worden, krijgen ze een naam opgeplakt. Dat gebeurt niet volgens een algemeen erkende naamgevingsconventie, maar een vaak gebruikte werkwijze is dat alles wat (vermoedelijk) uit Rusland komt een bear is, China heeft de panda, Iran de kitten en Noord-Korea de chollima (dat is een mythisch paard uit de Koreaanse folklore). Overigens zijn dat precies de landen die steeds weer opduiken als we het over staatshackers hebben. Wat dan weer niet betekent dat andere landen hun handen braaf thuis houden.

In dit bijzondere dierenrijk kennen we de fancy bear, de wicked panda, de charming kitten en de stardust chollima, om er maar eens een paar te noemen. Stuk voor stuk groeperingen waar organisaties mee te maken kunnen krijgen als ze iets hebben wat interessant kan zijn voor de sponsoren achter de groeperingen. Dat is vaak informatie, maar het kan ook om geld gaan; vooral Noord-Korea heeft het op westerse deviezen en tegenwoordig vooral op cryptovaluta gemunt.

Laundry bear verzamelt wereldwijd informatie van (overheids-)organisaties en bedrijven, met speciale interesse in de EU en de NAVO. Ze breken in op mail-omgevingen in de cloud. Behalve in de mails zelf zijn ze ook geïnteresseerd in de interne adressenlijst. Ze richten zich op alles wat met de oorlog in Oekraïne te maken heeft. Daarnaast vinden ze bedrijven interessant die hoogwaardige technologie maken, die Rusland door de opgelegde sancties niet kan kopen.

Het is erg moeilijk om een bepaalde activiteit toe te schrijven aan de juiste actor. Die zijn meesters in het leggen van dwaalsporen. Maar soms lukt het wel om deze zogeheten attributie rond te krijgen (al zie je daar meestal toch het woord ‘waarschijnlijk’ nog bij staan). De AIVD en de MIVD schrijven de aanval op de Nederlandse politie in 2024, waarbij contactgegevens van alle politiemedewerkers zijn buitgemaakt, toe aan laundry bear. Ze vermoeden dat ook andere Nederlandse organisaties slachtoffer zijn geworden van deze actor. Tot aan het onderzoek naar de politiehack was laundry bear overigens nog niet bekend. De diensten hebben dus onderkend dat ze met een nieuwe groepering te maken hadden.

Al deze inhoudelijke informatie deelden de inlichtingendiensten vorig jaar in een openbare Cybersecurity Advisory. Daarin sommen ze ook op welke ‘weerbaarheidsbevorderende maatregelen’ organisaties kunnen treffen. Dat zijn tamelijk voor de hand liggende maatregelen. Zo moet je mensen en computers de minimale rechten geven die ze nodig hebben om hun taken uit te voeren. Als zo’n account dan wordt gehackt, dan blijven de mogelijkheden van de aanvaller beperkt tot die rechten. Accounts met hoge rechten moeten gecontroleerd worden uitgegeven en alleen worden gebruikt als die hoge rechten ook echt nodig zijn; beheerders moeten dus niet standaard onder hun beheerdersaccounts werken. Verouderde accounts moeten worden opgeruimd. En je moet je netwerkverkeer versleutelen. De lijst is nog veel langer, maar dan heb je een idee waar het om gaat.

Zo voor de hand liggend als die maatregelen zijn, zoveel moeite hebben sommige organisaties om ze in te voeren. Ze kosten tijd en geld, en de kennis, kunde én de wil is lang niet overal aanwezig om de noodzakelijke maatregelen te treffen. Dat werkt niet anders dan bij jou thuis. Je weet wel dat het huis geschilderd moet worden, maar je komt er niet aan toe of de schilder is te duur. Het is ook een kwestie van prioriteiten stellen.

Doorgaans zijn inlichtingendiensten niet zo scheutig met het openbaar maken van hun informatie. Waarom dan dit openbare advies? Omdat ze wel veel, maar lang niet alles over laundry bear weten. Het is van belang voor het land als geheel dat organisaties weerbaar zijn tegen dergelijke groeperingen. Maar dan moeten ze natuurlijk wel op de hoogte zijn van de dreiging. Bovendien vergroot de publicatie het besef dat er überhaupt dergelijke groeperingen bestaan. De meeste van de genoemde maatregelen helpen ook in de strijd tegen collega’s van laundry bear. Nu maar hopen dat het advies de doelgroep heeft bereikt.

 

En in de grote boze buitenwereld …

• Gaan sommige actoren veel verder dan alleen het verzamelen van informatie.
• Worden Russen ook wel eens getroffen door een cyberaanval.
• Legt dit artikel goed uit wat digitale soevereiniteit voor jou als burger betekent.
• Bericht de buitenlandse pers over een actuele Nederlandse soevereiniteitskwestie.
• Werkt Frankrijk ook aan zijn digitale soevereiniteit.
• Gaan zelfs security-bazen wel eens de fout in.
• Krijgt WhatsApp een lockdown‑mode.
• Ondergaven AI‑agents, die in operating systems zijn ingebouwd, de principes van end‑to‑end beveiliging.
• Leven er wat misverstanden rondom gegevensbescherming.
• Heeft dit artikel het over AI‑speelgoed dat lek was, maar in feite gaat het om een Internet of Things‑misser.
• Is het leven in een Aziatische scam compound zwaar.

 

De hoogte in

Afbeelding via Unsplash

In 1981 gingen we op vakantie naar de Costa del Sol. We konden het appartement van een achterneef voor een zacht prijsje huren, in een flat pal aan het strand van Torre del Mar. Die flat had een lift, en over die lift ga ik het hebben. Want die was best wel bijzonder.

Hij had namelijk geen geheugen. Als je mee wilde, drukte je zoals bij alle liften op een knop. Maar als de lift al onderweg was naar een andere verdieping, dan negeerde hij jou. Je moest opnieuw drukken zodra het ritje klaar was, en dan maar hopen dat niet iemand anders je te vlug af was. Zo kon het best wel een tijdje duren voordat je de lift te pakken had. En ik weet het niet meer precies, maar ik denk wel dat de knoppen in de lift hadden voorrang boven de knoppen op de verdiepingen. Anders zou je misschien nooit op je bestemming komen.

Dat was dus een lift waarbij het zinvol was om op de knop te blijven drukken. Maar bij alle moderne liften, dames en heren, is dat van generlei waarde. Uw verzoek staat genoteerd, en vroeg of laat komt er echt wel een lift. Herhaaldelijk drukken leidt alleen tot slijtage aan de drukknop. En, wellicht ten overvloede: druk alleen op de knop van de gewenste rijrichting, dus op de pijl naar beneden als u die kant op wilt. Drukt u ook op de andere knop, dan is de kans groot dat u, tot uw eigen ergernis, in de verkeerde richting wordt meegenomen.

Wachten is zelden leuk en daarom proberen we wachttijden in te korten. Daarvoor doen we soms dingen tegen beter weten in. Soms zit je net zo ongeduldig achter de computer. Hij reageert niet snel genoeg, en dus probeer je het nog een keertje. Dat helpt niet. Het werkt zelfs averechts: de computer moet aandacht besteden aan jouw herhaalde actie en dat kost capaciteit (al merk je daar tegenwoordig niet veel van; vroeger was dat wel anders).

De kracht van reclame zit in de herhaling, zo luidt een oude marketingwijsheid. Daarom zie en hoor je sommige reclames tot vervelens toe terugkomen (mijn persoonlijke jeukadvertentie: “De energietransitie is onmogelijk”). Maar in mijn vakgebied kunnen ze er ook wat van. Op conferenties en congressen houden ze ons al jaren voor dat we met z’n allen moeten samenwerken aan een veiligere wereld. Af en toe zie je op zo’n event een mooi voorbeeld van een dergelijke samenwerking, maar vaak blijft het naar mijn idee bij loze kreten. Maar ja, niemand kan tegen het gezamenlijk verslaan van de gemeenschappelijke vijand zijn, en dus wordt het thema jaar na jaar uit de kast getrokken. Wat mij betreft volstaat het als een conferentie een naam heeft; een thema hoeft niet. Maar het maakt ook niet echt uit – als de inhoud maar goed is, en dat is gelukkig vaak het geval.

Ook deze week was ik op een samen-kunnen-we-het-maken-congres. En ook hier zat het thema de inhoud gelukkig niet in de weg. De baas van de MIVD kwam vertellen dat we de Russen niet kunnen vertrouwen en de CISO van de Hema had, ter illustratie van de zwakste-schakel-mantra, een AI-plaatje van rookworstkettingen die in de winkel hingen; de inhoud van haar verhaal ben ik grotendeels kwijt, maar wat indruk maakte op de zaal was dat ze in haar vorige functie – vanwege die functie – zowel fysiek als digitaal was bedreigd. Daar moet je toch niet aan denken.

Het beste verhaal kwam van mijn cyberheld Mikko Hyppönen uit Finland. Na een carrière van tientallen jaren in de cybersecurity – hij begon als virusanalist – maakte hij onlangs en tot zijn eigen verbazing een switch naar de defensie-industrie. Hij analyseert nu geen computervirussen meer, maar militaire drones. Daar heeft de oorlog in Oekraïne – “in het hart van Europa,” aldus Mikko – hem toe aangezet. Omdat die drones zo ontzettend veel slachtoffers maken heeft hij het tot zijn missie gemaakt om te helpen deze wapens uit de lucht te halen. En net als bij malware is ook dit een kat-en-muisspel. Klassieke drones tackle je via de radiosignalen waarmee ze worden bestuurd. Vijf procent van de drones, die je nu op het slagveld ziet, slepen een tot twintig kilometer lange glasvezeldraad achter zich aan, waardoor er geen radiosignalen meer nodig zijn. En nog modernere drones worden helemaal niet meer door een mens bestuurd, maar door AI. En hoe vecht je daar tegen? Juist, met AI-drones.

Er bestaan liften waarbij je niet op een pijl drukt, maar intoetst naar welke verdieping je wilt. De computer berekent dan welke passagiers het beste kunnen worden gecombineerd en wijst iedereen een lift toe. Dan hoeft niemand te twijfelen of de lift weet dat je meewilt.

 

En in de grote boze buitenwereld …

• Bevat deze lijst Nederlandse organisaties die totaal afhankelijk zijn van Amerikaanse cloudleveranciers.
• Was er weer uitval bij zo’n cloudleverancier.
• Hebben de Britten last van Russische hacktivisten.
• Zijn CEO’s en CISO’s het niet eens over de top-3 dreigingen.
• Duikt dit nieuwe IoT-botnet vaak op in bedrijfs- en overheidsnetwerken.
• Heeft ruimtevaartorganisatie ESA het moeilijk met cybersecurity.
• Kun je voortaan zien of er met een deurbelvideo is geknoeid.
• Gaat Teams waarschuwen voor valse bellers.
• Klikt AI op besmette advertenties.
• Moeten LastPass-gebruikers oppassen voor phishing.

Blijven we maar gewoon het rode potlood gebruiken.

Zucht

Afbeelding via Unsplash

Pssst… Kun je een geheimpje bewaren? Ik geef je een verzegelde envelop waar een naam op staat. Het geheim zit daarin. Je mag zelf niet in de envelop kijken. Als degene, wiens naam erop staat, langskomt, geef je hem de envelop. Hij kijkt erin, verzegelt de envelop weer en geeft hem terug. Je bewaart hem tot de volgende keer. En verder doe je er helemaal niks mee.

Dit is ongeveer hoe het in veel gevallen werkt als twee computersystemen met elkaar communiceren*. Bijvoorbeeld omdat op het ene systeem een programma draait dat gegevens nodig heeft die op het andere systeem staan. Systeem A moet dan inloggen bij systeem B, want natuurlijk mag niet iedereen zomaar die gegevens ophalen – ook een ander computersysteem niet. In de eerste alinea bewaarde jij een envelop; systeem A heeft daar een digitale variant van: een digitale kluis, of vault in het Engels. Daar staat het wachtwoord versleuteld in. Als A gegevens moet ophalen bij B, dan haalt hij het wachtwoord uit de kluis, ontsleutelt het logt ermee in bij B.

De crux hierbij is dat er geen mens aan te pas komt. En dat geen mens het wachtwoord ooit ziet. En dat er dus niemand misbruik kan maken van het account van A. Net zoals jij niet in die envelop keek, zo ziet nooit iemand het ontsleutelde wachtwoord. Althans, zo is het bedacht. Een poosje geleden stuurde een collega mij een mailtje met als onderwerp: ZUCHT… Hij had geconstateerd dat iemand stiekem in de envelop had gekeken, of in de digitale variant: het wachtwoord handmatig had ontsleuteld. Om vervolgens te proberen handmatig met dat account in te loggen, “om ff te proberen of het werkt”. Terwijl zo’n account toch echt een machine-machine-account is, met andere woorden: het is bedoeld om de ene machine (A) bij de andere (B) te laten inloggen.

De zucht op de onderwerpregel betekende zoveel als: snappen ze het nu nóg niet? Let wel, we hebben het hier over beheerders en ontwikkelaars die deze fratsen uithalen. Van hen zou je mogen verwachten dat ze snappen hoe het werkt. Dat het openen  van een envelop waar je naam niet op staat simpelweg niet mag. En dat het handmatig aanloggen met een machine-account óók niet mag. De zucht was er ook omdat dit bepaald geen eenmalige constatering was. Het gebeurt veel te vaak. Daarmee ondergraaf je onze beveiliging. Misschien vraag je je af waarom dit überhaupt mogelijk is. Maar dat is hier nu niet de kwestie. Natuurlijk zou het niet moeten kunnen, maar op dit moment is het nu eenmaal zo; zie ook de voetnoot.

Als aan een bankje in het park een bordje “NAT” hangt, ga je dan voelen of de verf echt nog nat is? Waarom zou je? Je loopt kans op verf aan je vingers en  het bankje wordt er niet mooier van. De meeste mensen snappen dat het niet hoort en houden hun handen netjes thuis. Zo werkt het ook met die versleutelde wachtwoorden. Dat iets kan, betekent nog niet dat het ook mag, of dat het verstandig is om te het te doen.

Diep van binnen weet je dat. Maar voor de zekerheid toch maar nog even een oproep aan iedereen die wel eens wat gemakkelijk met dergelijke zaken omspringt: doe het niet. Al was het alleen al omdat die zuchtende collega er grijze haren van krijgt, en ik vol verbazing over iets moet schrijven waarvan ik dacht dat jullie het onderhand wel zouden begrijpen. En natuurlijk ben ik blij met die vele collega’s die het gewoon goed doen <3

*: Er zijn alternatieven, maar die laat ik hier even buiten beschouwing.

 

En in de grote boze buitenwereld …

• verschuiven cybersecurity-vacatures van techniek naar governance.
• zoekt Amerika nieuwe bondgenoten.
• ontdekten onderzoekers een zeer geavanceerd malware-framework voor Linux.
• hebben ook oortjes en speakers soms een update nodig.
• willen politie en OM meer geld voor ICT.
• bestaat er ook privacy-vriendelijke AI.
• liet ENISA een document door AI opstellen, en dat ging niet helemaal goed. [DUITS]

 

Boem

Afbeelding via Unsplash

Er zal heus niemand hebben gedacht: kom, het is de laatste keer dat het mag, laat ik eens extra gevaarlijk doen met vuurwerk. Deze blog is niet de plek voor een discussie voor of tegen vuurwerk, maar vanuit mijn perspectief zijn er wel een aantal interessante observaties te maken. We gaan ook hier knallend het nieuwe jaar in!

Ondanks dat het dus niet expres zal zijn gebeurd, was het deze keer wel erger. Eerst maar even wat cijfers. Er waren 1.239 vuurwerkslachtoffers – maar liefst 7% meer dan tijdens de vorige jaarwisseling. Ruim de helft daarvan was jonger dan twintig jaar. Veel kinderen raakten zwaargewond doordat ze probeerden blindgangers opnieuw af te steken. Ongeveer de helft van alle slachtoffers stak het vuurwerk niet eens zelf af, maar stond erbij en keer ernaar. Bij de spoedeisende hulp was het 29% drukker; daar kwamen 474 mensen terecht. De huisartsenposten hadden het ietsje rustiger; met 765 patiënten was het daar 4% minder druk dan vorig jaar. Een derde van de verwondingen betrof oogletsel. Veertien kinderen raakten een hand of vinger(s) kwijt, vrijwel allen door illegaal vuurwerk, dat verantwoordelijk was voor iets minder dan de helft van alle verwondingen. En dan waren er nog die twee doden.

Al dit leed had natuurlijk gemakkelijk voorkomen kunnen worden. Alles wat je daarvoor nodig hebt is een lage risk appetite of, in minder culinair Nederlands: risicobereidheid. Die term is in mijn vak heel gangbaar, maar op straat niet. Waarom niet? Omdat je in een zakelijke omgeving doorgaans heel rationeel kunt nadenken over de risico’s die je bereid bent te nemen, en vuurwerkafstekers dat niet doen. Die denken niet in mate van risico, ze denken in hun enthousiasme alleen aan het beoogde effect. Zeker een kind denkt niet: oeh, dit is een Cobra met een kort lontje, hoe groot is de kans dat ik een hand kwijtraak als ik ‘m afsteek? Ook volwassenen denken niet in procenten. Zij oordelen in het beste geval dat het te gevaarlijk is en doen het dan niet. En als ze het vuurwerk wel afsteken, dan zijn ze er impliciet van overtuigd dat het goed gaat. Zo wordt het dus gereduceerd tot een binaire kwestie, terwijl aan het wel afsteken in werkelijkheid nog een behoorlijk groot risico kleeft.

En voorlichtingscampagnes dan? Vroeger had je de slogan Je bent een rund als je met vuurwerk stunt. Die was geinig én bevatte een boodschap. Tegenwoordig moet het harder en zien we verminkte handen op tv langskomen. Maar als er zoveel jeugdige slachtoffers zijn, dan verwacht je ook voorlichting die op deze doelgroep is gericht. Was die er? Ja, deels. Basisscholen konden een gratis lespakket bestellen. Die moesten dus zelf in actie komen, en slechts een kwart van alle basisscholen heeft dat gedaan. Verder zou je verwachten dat voorlichters de media opzoeken waar jongeren komen, zeg TikTok en Instagram. Er waren echter geen specifieke acties op deze platformen. Gemeentes en politiekorpsen waren daar weliswaar actief, maar ja, welke tiener volgt nou dergelijke accounts?

Voorlichting, bewustwording, awareness; geef het maar een naam. Ook in mijn vak is dat moeilijk. Je verkondigt namelijk een boodschap die mensen liever niet willen horen. Kijk maar: vuurwerk is mooi en links zijn er om op te klikken. En dan kom jij ze vertellen dat ze daarmee moeten uitkijken. Joh, dat valt toch wel mee, iedereen doet het.

Met cybersecurity gaat het langzaam de goede kant op. Mensen snappen dat ze moeten uitkijken, ze beseffen dat criminelen op de loer liggen om hen digitaal schade te berokkenen. Hmm, zou het verschil met vuurwerkveiligheid daarmee te maken hebben? Dat er een kwaadwillende actor is? Die ontbreekt bij vuurwerk; dat risico kent slechts twee elementen: het vuurwerk en het afsteken. Er is geen andere partij, geen vijand. Ja, dat moet wel haast een rol spelen.

Vanaf de volgende jaarwisseling geldt er een landelijk vuurwerkverbod. Ik heb er een hard hoofd in dat het gaat werken, want de handhaving van het verbod zal moeilijk zijn. Grenscontroles in december houden de ware fanaat, die al veel eerder zijn voorraad inslaat, niet tegen. Uitrukken zodra er een knal of vuurpijl wordt waargenomen zal ook zelden werken, want hoe bepaal je de locatie? Nee, om het aantal slachtoffers terug te brengen, moeten we er toch echt voor zorgen (desnoods via TikTok!) dat mensen, vooral kinderen, gaan snappen dat risicomanagement ook in ons dagelijks leven een belangrijke rol speelt. Vanuit die gedachte wordt het dan: handen af van vuurwerk, of handen af door vuurwerk.

 

En in de grote boze buitenwereld …

• vragen ook onze niet-menselijke collega’s om de aandacht van de security officer.
• leiden in HTML gedefinieerde QR-codes de malware-scanner om de tuin.
• groeit het wantrouwen jegens Chinese AI.
• verliezen we online onze privacy.
• is het veilig houden van AI-chatbots niet gemakkelijk.
• kun je natuurlijk ook een rolstoel hacken.
• bedient het NCSC nu ook het MKB.