Roestende kettingen

Afbeelding via Unsplash

“De zwakste schakel in de beveiliging van IT bevindt zich altijd tussen het beeldscherm en de leuning van de bureaustoel,” meldde iemand met een knipoog in de commentaren onder mijn vorige blog. Die ging erover dat WhatsApp- en Signal-accounts waren gehackt via hun eigenaren. Daar lijnrecht tegenover staat een uitspraak van een voormalig algemeen directeur van onze organisatie: “De mens is de sterkste schakel in de beveiliging.” Hoe verhouden deze uitspraken zich tot elkaar?

Dat eerste citaat hoor je wel vaker. Het betekent zoveel als: de computergebruiker tuint er met open ogen in, want hij snapt het allemaal niet. Sommigen durven zelfs te spreken van ‘die domme eindgebruiker’. Dat laatste is sowieso niet eerlijk: je kunt onmogelijk van elke medewerker verwachten dat hij of zij alle ins en outs van cybercriminaliteit en informatiebeveiliging doorgrondt en op elk moment van de dag alert is op verdachte situaties. Van domheid kan dus bijna nooit sprake zijn (ik kom nog terug op dat ‘bijna’).

Een ketting bestaat uit meerdere schakels. Volgens het oude gezegde bepaalt de zwakste schakel hoe sterk de ketting in haar geheel is. In dat gezegde zit de impliciete aanname besloten gaf dat er één schakel kan worden aangewezen die het zwakst is. Maar wat als een andere schakel harder roest en zijn zwakke broeder inhaalt? Dan is opeens een andere schakel de zwakste. Als er dan spanning op de ketting komt te staan, dat breekt zij misschien wel op een heel andere plek dan je had verwacht. Kortom: ik geloof niet zo in de zwakste schakel. Waar ik wel in geloof, is een ketting die regelmatig onderhouden wordt. Als een zwakke plek wordt gevonden, dan wordt die hersteld.

De beveiligingsketting heeft twee soorten schakels: technische en menselijke. Ik houd het hier simpeler dan andere modellen omdat ik niet meer dan dit nodig heb om mijn punt te maken. Je zou het liefst willen dat de techniek in staat is om alle kwaad en ongemak buiten de deur te houden. Onze mailfilters herkennen alle phishing-aanvallen en gooien spam feilloos in de prullenbak. Alle DDoS-aanvallen worden afgeweerd nog voordat ze jouw netwerk bereiken. En hackers maken geen schijn van kans omdat alle inbraakpogingen genadeloos in de kiem worden gesmoord.

We weten allemaal dat het zo niet werkt. Want honderd procent beveiliging vanuit de techniek is een illusie. Dat zou je niet geloven als je over een beveiligingsbeurs loopt waar fabrikanten hun hard- en softwaresystemen aanprijzen. Ze leken altijd al de perfecte beveiliging te verkopen, en sinds de opkomst van AI is dat alleen maar ‘erger’ geworden. De praktijk is helaas anders: de schakels van de ketting bevatten hier en daar wat roestplekjes. En weet je hoe dat vooral komt? Doordat de schakels van een ketting langs elkaar schuren. Het is niet zo dat één systeem alles beschermt; er is interactie. Daar kan het misgaan. In de interactie tussen technische systemen, maar ook – vooral? – in de interactie tussen technische en menselijke schakels. Even heel simpel voorgesteld: als een systeem piept maar de mens de melding als irrelevant afdoet, terwijl er toch echt iets aan de hand is, dan heb je een flinke roestplek te pakken. Overigens is dat niet de enige reden waarom de techniek ons niet volledig beschermt. Dat komt ook doordat de boeven steeds iets nieuws bedenken. En ook doordat zelfs beveiligingssystemen domweg fouten bevatten, zoals alle computersystemen.

Is de mens dan wel de sterkste schakel? Toen ik die stelling destijds voor het eerst hoorde, was ik verbaasd, want tja, de zwakste-schakel-theorie was toen gemeengoed. Ik ben daar echter op teruggekomen. Tegenwoordig houd ik mijn gehoor bij presentaties voor dat zij inderdaad de sterkste schakel zijn. De gebruiker is mijn laatste verdedigingslinie – als alle technische systemen gefaald hebben, dan is de mens het enige resterende redmiddel. Tenminste, bij het soort ellende waar de gebruiker een rol in speelt. Bij een DDoS-aanval sta je als eindgebruiker buiten spel, maar als we het over phishing hebben, dan ben je juist superbelangrijk. Jouw inzicht kan het verschil maken tussen wel of geen geslaagde ransomware-aanval, of tussen een intacte of een geplunderde bankrekening. Daarom laat ik geen gelegenheid voorbijgaan om met mensen over phishing te praten.

Van domheid kan bijna nooit sprake zijn, schreef ik. Bijna. Dus soms wel? Ja. Het komt namelijk voor dat mensen nattigheid voelen, dat ze bijvoorbeeld een bepaald mailtje niet vertrouwen. En dan tóch op die link klikken of de bijlage openen. Om te kijken wat er gebeurt. Omdat ze nieuwsgierig zijn. Of omdat ze denken: ach, het zal wel niet. Dan ben je niet slim bezig. Hanteer nou maar die eenvoudige regel: bij twijfel ga je uit van foute boel.

 

En in de grote boze buitenwereld …

• Zie je hier waar een geslaagde phishing-aanval (in dit geval per telefoon) toe kan leiden.
• Heeft een beveiligingsbedrijf een netwerk van Noord-Koreaanse infiltranten blootgelegd.
• Gebruiken hackers ook gewoon beheersoftware.
• Kon je in Perm gratis parkeren dankzij een DDoS-aanval.
• Kun je beter niet opscheppen over hardlopen op een boot.
• Beperken aanvallen op iPhones zich niet langer tot high-value targets.
• Word je misschien wel aangevallen door onzichtbare code.
• Appen Belgische ambtenaren voortaan met Beam.

 

WhatsApp en Signal gehackt? Nee!

Afbeelding via Unsplash

“Rusland hackt WhatsApp en Signal van overheidsmedewerkers, melden inlichtingendiensten”, kopte de NOS afgelopen maandag. Ik zal uitleggen waarom ik hier het stempel ‘devaluatie’ op druk.

Om te beginnen een geruststelling: noch WhatsApp, noch Signal is gehackt. Tenminste, als je de gangbare betekenis toekent aan hacken: jezelf wederrechtelijk toegang verschaffen tot een computersysteem (dit is geen formele definitie, maar zoals ik ‘m ervaar). Daarbij is het computersysteem de dienst zoals die – in dit geval – door WhatsApp en Signal wordt aangeboden. Jouw individueel account is daarbij niet het doelwit.

Laten we even doen alsof deze chat-diensten wél gehackt zijn. Dat zou betekenen dat een hacker op hun servers heeft ingebroken en daar allerlei dingen heeft gedaan die heel veel mensen niet leuk vinden; alle – of op z'n minst vele – klanten zouden door de hack zijn geraakt, doordat hun gegevens gecompromitteerd zijn.

Maar dat is hier dus helemaal niet aan de hand. De actor (een nette term voor dader) had het gemunt op individuele accounts van bepaalde (soorten) functionarissen. Deze mensen kregen een bericht dat afkomstig leek te zijn van de chatbot van Signal; het leek dus op een officiële waarschuwing van de dienstverlener over verdachte activiteiten. Er staat ook in dat er mogelijk data zijn gelekt en dat er pogingen zijn gedetecteerd om toegang tot privédata te krijgen. Dat zou je kunnen voorkomen door het verificatieproces te doorlopen, aldus het bericht.

Wat gebeurt er nou echt? De actor wil inloggen op jouw account bij Signal. Die app vraagt dan om een code, die ze sms’en naar het bij hen bekende telefoonnummer: dat van jou. Die code, en jouw zelf ingestelde pincode, heeft de actor nodig om in te kunnen loggen, vandaar het bericht dat hij je stuurt. Het is de bedoeling dat je daarvan schrikt en gauw ‘het verificatieproces’ wilt doorlopen, maar dat is een val. Als je daar in trapt, dan kan de actor jouw account volledig overnemen en zelfs het gekoppelde telefoonnummer wijzigen naar zijn eigen nummer. Hij heeft nu toegang tot je contacten en kan meelezen met nieuwe chatberichten (zowel één-op-één als in groepen). Hij kan zelfs berichten namens jou versturen. Je hebt nu zelf geen toegang meer tot je account, maar je kunt wel een nieuw account aanmaken en je krijgt je chatgeschiedenis terug – die wordt namelijk op je toestel opgeslagen. Mooi, geen probleem, fijn dat ze me zo goed hebben geholpen, denk je dan.

In een andere variant laten ze je een QR-code scannen of op een link klikken. Ze laten je geloven dat je daardoor wordt toegevoegd aan een chatgroep in WhatsApp of Signal, maar in werkelijkheid wordt het apparaat van de actor aan jouw account gekoppeld. De actor kan nu al jouw chats zien, vaak ook de chathistorie. Je merkt daar niks van. Ook bij deze aanval kan hij meelezen met nieuwe berichten en namens jou berichten verzenden.

Goed, dan nu terug naar de term hacken en waarom ik vind dat die devalueert. Vanaf de jaren zestig was een hack een slimme technische truc in de (Amerikaanse) computer- en modelspoorclubwereld, en een hacker was een bijzonder slimme programmeur. In de jaren tachtig werd de term gebruikt voor mensen die diepgaand onderzoek deden naar computersystemen en netwerken. Als ze daarbij de beveiliging omzeilden, dan was dat uit nieuwsgierigheid en om te testen. Er waren ook crackers, hun kwaadaardige tegenhangers. Vanaf de jaren negentig verwaterde het verschil en werden hackers algemeen gezien als boeven. Zie mijn persoonlijke definitie boven.

De kop van de NOS suggereert dan WhatsApp en Signal gehackt zijn, terwijl het cyberadvies van de AIVD en MIVD juist benadrukt dat dat niet het geval is. Kennelijk is de NOS op de vingers getikt, of heeft de redactie de stagiair terechtgewezen, want later die dag kreeg hun bericht een nieuwe kop: "Inlichtingendiensten: Russische hackers dringen WhatsApp en Signal van ambtenaren binnen". En kreeg het artikel een paragraaf met als titel: "Geen lek in berichtendienst zelf". In het oorspronkelijke bericht lijkt ‘hacken’ te slaan op zo’n beetje alle computeronheil dat van buitenaf komt. Zoals hierboven beschreven was term al behoorlijk gedevalueerd, maar dit was misleidend.

Wat hier in werkelijkheid gebeurde heet social engineering. Daarbij wordt niet de computer, maar de mens achter de computer aangevallen. Als ze je zo ver krijgen om een code te delen of een QR-code te scannen, dan zijn ze in hun opzet geslaagd. Social engineering wordt ook wel hacking the human genoemd – het hacken van de mens. Dat dan wel weer.

 

En in de grote boze buitenwereld …

• Beïnvloeden trollen onze verkiezingen.
• Hebben pro-Iraanse hackers het medisch technologiebedrijf Stryker aangevallen.
• Bewaren veel videodeurbellen hun opnames te lang.
• Blijft het niet bij alleen maar praten over Europese digitale soevereiniteit.
• Horen IoT-apparaten niet in te loggen als admin.
• Maken cybercriminelen natuurlijk ook gebruik van AI – net als hun tegenstanders.
• Is de autosector het volgende slachtoffer van ransomwarebendes.
• Heeft een Amerikaanse ambtenaar gegevens op een USB-stick meegenomen naar zijn nieuwe baan.

 

Oliedommer

Foto van auteur

Het is niet mijn gewoonte om twee weken achter elkaar over hetzelfde onderwerp te bloggen. Maar nu hebben ze het er zelf naar gemaakt.

Ja, ik heb het weer over de gegevensdiefstal bij Odido. Vorige week schreef ik dat de pers Odido vooral als slachtoffer neerzette: ze waren gehackt en dan ben je zielig. Maar ze zijn dus helemaal niet hardcore gehackt: de criminelen kwamen binnen met phishing in combinatie met andere vormen van social engineering. Vervolgens konden ze gewoon via de voordeur naar binnen en al die gegevens downloaden. De slachtofferrol is dus steeds minder houdbaar en de pers heeft dat inmiddels ook wel in de gaten. Er wordt nu kritisch naar Odido gekeken.

Het bedrijf verkeert in een crisis en daar hoort goede communicatie bij. Hoe brengt Odido het er op dat vlak van af? Nou, best wel beroerd. Laat ik vooropstellen dat ik geen expert ben op dat gebied. Een teamgenoot is dat wel, hij heeft een opleiding crisismanagement en -communicatie gevolgd. Weet je wat het eerste was wat hij zei toen ik hem vroeg naar de kern van goede crisiscommunicatie? Openheid en transparantie. Gevolgd door snelheid, eerlijkheid en initiatief.

Eerder deze week sprak ik met mensen uit diverse organisaties. Daar viel te beluisteren dat het allemaal niet meeviel. Tegen een van die bedrijven hadden ze gezegd dat uitsluitend de gegevens van beheerders, die een account op de zakelijke portal van Odido hebben, geraakt zouden zijn. Even later gingen echter allerlei medewerkers klagen en bleken de gegevens van een paar duizend medewerkers op straat te liggen. En er werd gemopperd over de zeer gebrekkige en ook deels gewoonweg onjuiste informatie van het telecombedrijf.

Op 13 februari heb ik een mailtje van Odido gekregen. Daarin staat dat ook mijn gegevens, als oud-klant, gelekt zijn. Ik was tot 2019 klant van T-Mobile, de voorganger van Odido. Het bedrijf schrijft: “Odido bewaart – conform haar privacy statement – tot 2 jaar na beeindiging (sic) van het contract en overstap naar een andere aanbieder jouw contactgegevens. Omdat jij minder dan 2 jaar geleden overgestapt bent, stonden jouw gegevens nog in het systeem en daarom heb je email ontvangen.” Een snelle rekensom leert dat hier iets niet klopt.

In hetzelfde mailtje staat ook: “Wat niet is gelekt: Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs”. Terwijl op de informatiepagina van het bedrijf – die nog steeds moeilijk te vinden is –juist staat dat die informatie wél is gelekt. Maar dat was kennelijk niet belangrijk genoeg om een vervolgmail te sturen.

Op 1 maart berichtte haveibeenpwned.com mij dat mijn gegevens waren gelekt via Odido, en drie dagen later kreeg ik een soortgelijk bericht van mijn VPN-provider. Die had nog meer informatie: via hun Dark Web Monitor konden ze aangeven welke gegevens precies gelekt waren. Daar zat ook het nummer van een ID-kaart bij – de kaart die je hier ziet, en die geldig was tot 2016. Het mailtje van Odido zelf had ik gemist omdat het naar een account is gestuurd dat ik nog maar zelden gebruik; ik heb het mailtje net pas gevonden. Je kunt je dus wel voorstellen dat ik ervan schrok dat zo’n oude ID-kaart boven water kwam terwijl Odido mij zelf (dacht ik) niets had laten weten. Het toont in ieder geval aan dat Odido zijn eigen privacy statement niet naleeft. Laat staan de AVG, die toch echt bepaalt dat persoonsgegevens niet langer dan noodzakelijk mogen worden bewaard. Dat ze gegevens hebben van iemand die zeven jaar geleden klant was bij hun rechtsvoorganger is absurd.

Mijn ter zake deskundige collega zei dat je door goede communicatie sterker uit een crisis kunt komen, door eerlijkheid en integriteit uit te stralen. Deze eigenschappen zijn bij Odido ver te zoeken. Wat ook niet helpt is dat de woordvoerster van het bedrijf het in een interview met de NOS heeft over ‘siebercriminelen’. Dat straalt meteen zóveel ondeskundigheid en ongeïnteresseerdheid uit dat ik plaatsvervangende schaamte voel. Het is sterker om je niet als slachtoffer, maar als oplosser te profileren, merkte mijn collega nog op (dankjewel Rico). Daar zie ik nog weinig van. Hun communicatie over het niet betalen van het losgeld – wat op zich goed verdedigbaar is – beperkt zich tot drie zinnen op die moeilijk te vinden pagina: “Wij hebben hierin een zorgvuldige afweging gemaakt. Zowel toonaangevende experts als overheidsinstanties hebben ons dringend geadviseerd om niet met deze criminele groepering in contact te treden. Dit advies is gebaseerd op uitgebreide ervaring met deze specifieke groepering.” Hier is geen spoor van inlevingsvermogen in hun klanten te bekennen. Nogmaals, van mij hoeven ze niet te betalen, maar ik verwacht wel dat ze helder uitleggen waarom ze dat niet doen.

Eergisteren wilde ik mijn bank iets vragen. De eerste vraag die hun chatbot mij stelde was: “Chat je met ons n.a.v. de recente cyberaanval bij Odido?” De chatbot legde uit dat mijn bankrekening veilig was en gaf meer informatie over datalekken in het algemeen. Kijk, dát is slimme communicatie.

 

En in de grote boze buitenwereld …

• Is uitgerekend de FBI gehackt.
• Hallucineert AI bij het vertalen van Wikipedia-artikelen.
• Heeft de Zuid-Koreaanse belastingdienst het wachtwoord van een in beslag genomen cryptowallet mee op de foto gezet – om die opvallender te maken.
• Hielpen gehackte verkeerscamera’s bij het vinden van de ayatollah.
• Kan AI verrassend goed achterhalen wie achter een bepaald pseudoniem schuilgaat.
• Kan AI ook heel gemeen doen.
• Verraden de bandenspanningsensoren van je auto waar je bent.
• Is chat control weer eens van de Europese tafel geveegd.
• Linkt ook deze blogger het dagelijkse leven aan security.