Steenmarters

Afbeelding: Pixabay

In onze buurt wonen niet alleen maar leuke mensen. Er woont ook een steenmarter. En weet je waar dat beestje dol op is? Op de bekabeling en leidingen van auto’s. Jaren geleden al was bij ons de ruitensproeiervloeistofleiding doorgeknaagd. Bij de auto van de overbuurman waren onlangs de kabels aangevreten. Toen dat hersteld was, sloeg de marter weer toe. Bij dezelfde auto.

Kinderen en jongeren lopen niet graag door onze straat. Want bij zowat ieder huis staat een apparaatje dat een hoge pieptoon produceert zodra het beweging detecteert. En het vuurt lichtflitsen af. Dat schijnen steenmarters niet leuk te vinden. En jonge mensen, die een groter akoestisch frequentiebereik hebben, zijn er ook niet dol op (bij sommige apparaten hoor ik het trouwens zelf ook).

Er zijn meer defensieve strategieën. Bij ons hangt een wc-blokje onder motorkap. De buren gebruiken een bosje hondenhaar. Weer een ander heeft een stuk gaas onder de auto liggen. En ten slotte heeft ook nog iemand een soort schrikdraad in het motorcompartiment laten installeren. Ik heb aan Copilot gevraagd wat die hier allemaal van vindt. Volgens hem zijn het gaas en de (onschadelijke) hoogspanning redelijk effectief, maar moet je bij andere oplossingen ook een dosis geluk hebben. De geurmiddeltjes kun je vergeten. Alhoewel: in de praktijk bewezen, ben ik geneigd te zeggen. Waarna ik onmiddellijk moet toegeven dat ik het causale verband tussen het wc-blokje en het uitblijven van bijtschade niet kan bewijzen.

De steenmarter is een roofdier met een sterke territoriumdrift. Hij markeert zijn leefgebied met geursporen. Komt hij de geur van een concurrent tegen, dan probeert hij die te verwijderen. Bijvoorbeeld door hem weg te kauwen. Daarnaast hebben die kabeltjes een prettige geur en dito bite. Het is er ook nog eens lekker warm als auto op pad is geweest, en beschut.

Bij die auto die tweemaal werd aangevallen waren geen maatregelen getroffen. Dat impliceert dat de maatregelen, die de rest wél heeft getroffen, werken. Zoals inbrekers waarschijnlijk vaak het slechts beveiligde huis in een straat uitkiezen, zo kiest ook de steenmarter een hapje waarbij hij niet z’n oren of neus hoeft dicht te knijpen. Of waar hij geen stroomstoten krijgt. Die overbuurman heeft dan nog het geluk dat hij in een leaseauto rijdt. Misschien was hij daardoor ook lakser dan de rest. Maar ja, hij heeft er wel gedoe mee.

Gisteren was ik te gast bij het datacenter van een bedrijf waar veel geld omgaat. Dat was te zien aan de fysieke beveiligingsmaatregelen. Van buiten had het wel iets weg van een gevangenis. Eenmaal binnen werd mijn identiteit gecheckt en mijn vingerafdruk op een badge gezet. De badge hing aan een felrood riempje waarop stond dat ik alleen onder begeleiding mocht rondlopen, en op de badge stond de naam van mijn gastheer. Met de badge kon ik door een eenpersoons sluis dieper het pand in: buitenste deur gaat open, je stapt erin, deur sluit zich, je biedt je badge en je vinger aan en als alles klopt, opent de binnenste deur zich. Maar eerst moest je nog door een detectiepoortje (dat natuurlijk aansloeg op mijn broekriem) en gingen mijn spullen door een scanner.

De aard van mijn bezoek maakte dat we ook het dak op gingen. Bij de deur naar het dak moest de gastheer eerst de beveiliging inlichten, want uiteraard was die deur beveiligd. Niet alleen met een badgelezer, maar ook met een deur-staat-open-detector – vandaar dat telefoontje. Eenmaal op het dak zag ik hoe een zwenkbare camera ons nauwlettend in de gaten hield. Eenmaal weer binnen moest de gastheer ons weer afmelden.

In de beveiligingsloge stond een imposante hoeveelheid beeldschermen opgesteld, waarop een nog veel imposanter aantal camera’s was aangesloten. De beveiligers kunnen dat natuurlijk onmogelijk allemaal in de gaten houden, maar de systemen melden zichzelf wel met een piepje als ze een afwijking waarnemen. De beveiliger hoort aan het piepje waar hij moet kijken.

Onze buurman heeft me toegang gegeven tot de beveiligingscamera voren aan zijn huis. Twee zien meer dan een, moet hij gedacht hebben. Bovendien brengt zijn camera onze voortuin royaal in beeld. Het bood ook meteen een onschuldige opening om te vragen wat de camera aan de achterkant van zijn huis zoal ziet. Onze achtertuin is keurig buiten beeld. Gelukkig maar, want daar vinden we privacy toch belangrijker dan beveiliging door een derde.

En zo past iedereen, althans iedereen die erover nadenkt, zijn beveiliging aan zijn behoefte aan. Ik hoop alleen dat we niet in een wapenwedloop met die marter terechtkomen.

Volgende week verschijnt er geen Security (b)log.

 

 

En in de grote boze buitenwereld …

• zit er een luchtje aan deze gegevensdiefstal.
• hebben ze ook in het buitenland last van diefstal van hoogwaardige gegevens.
• wordt MS Teams steeds vaker gebruikt in ‘Hallo, hier de helpdesk’-aanvallen – zegt Microsoft.
• vertelt dit internationale rapport hoe je je kunt verdedigen tegen heimelijke Chinese netwerken die van jouw spullen gebruikmaken.
• biedt zelfs dat onschuldige knipprogramma kansen aan aanvallers.
• wapenen ook ransomware-criminelen zich tegen de quantumcomputer.
• is AES 128 gewoon veilig voor de quantumcomputer.
• speelde een ransomware-onderhandelaar informatie door naar de tegenpartij.
• hebben nogal wat overheden wereldwijd toegang tot ‘exclusieve’ spyware.
• strijdt Apple tegen grijpgrage opsporingsdiensten, en daarmee natuurlijk ook tegen alle andere nieuwsgierige lieden.

 

Leonardo & Koekiemonster

Foto: auteur

Lang geleden, ergens in de jaren tachtig van de vorige eeuw, was ik met mijn ouders op vakantie in Italië. We bezochten er veel plaatsen, waaronder Padua. Daar wilden we een eeuwenoud universiteitsgebouw bezichtigen, maar het ging net op slot. De vriendelijke sleutelbewaarder gebaarde dat we hem wel mochten vergezellen op zijn sluitronde. En zo kwam het dat we even later voor het spreekgestoelte van Leonardo da Vinci stonden.

Ben jij ook wel eens ergens geweest waar het voelde alsof je daar niet mocht zijn, maar dat het wel een magisch moment was? Dat had ik toen, en dat had ik deze week weer, toen ik op kantoor een kopje theewater wilde tappen. De automaat toonde een rode streep, geen goed teken. Op het scherm stonden niet de gebruikelijke opties voor de gekste soorten koffie, maar keuzemogelijkheden als “op afstand bediende maatregelen” en “ingrediëntenbeheer”. En linksboven stond het belangrijkste: “machinebeheerder”. Met daarnaast een “log uit”-icoontje. We waren dus ingelogd als beheerder.

Laat me even speculeren over wat hier gebeurd zou kunnen zijn. De automaat had een storing, getuige het rode licht (bij de automaat ernaast gloeide die streep wit). De onderhoudsmonteur was erbij gehaald, maar kon de storing niet meteen verhelpen. Het leek trouwens even alsof er alleen van alles moest worden bijgevuld, maar er was meer aan de hand; de onderste melding op het scherm luidde weliswaar “middelste molen leeg”, maar die bak zat toch echt barstensvol koffiebonen. Dus die monteur moet weggegaan zijn om onderdelen te halen en had verzuimd om uit te loggen.

Collega’s uit mijn overleg stonden er glunderend naar te kijken. Dat je nou net tegen zoiets aanliep terwijl je een security officer te gast had, dat was toch wel mooi. Dat zie ik wel vaker, dat mensen besmuikt lachen bij zoiets, en een plaatsvervangende schaamte voelen – iemand heeft zich niet aan de regels gehouden en een security officer heeft hem op heterdaad betrapt. Oei, nu zwaait er wat!

Koffieautomaten vallen ruim buiten mijn jurisdictie, maar ik kan dit voorbeeld natuurlijk wel aangrijpen om het algemene probleem voor het voetlicht te brengen. En dat is niet zozeer dat mensen wel eens vergeten hun werkplek te vergrendelen – dat snap je zelf ook wel – maar meer het algemene beeld dat security niet altijd top of mind is. Terwijl dat wel zou moeten.

Laatst zat ik in een gesprek over AI. Het ging erover dat je in je vraagstelling geen persoonsgegevens mag meegeven; dat je dus bijvoorbeeld niet een complete brief erin mag stoppen met het verzoek die te analyseren. Een manager vertelde dat een van zijn medewerkers naar hem toe was gekomen met een briljant idee: “Ik vraag AI gewoon om de persoonsgegevens er eerst uit te halen!” De medewerker werd heengezonden met de opdracht om eens héél goed na te denken over wat hij net had gezegd. Hopelijk is hij inmiddels tot het inzicht gekomen dat je niet aan Koekiemonster moet vragen om de koekjes veilig op te bergen voordat hij de koekjestrommel gaat afwassen.

Kijk, dat je niet mijn beroepsdeformatie hebt en over bijna alles in termen van risico’s denkt, dat snap ik. Maar een bepaald niveau van basishygiëne mag ik toch wel verwachten, of niet soms? Je hoeft geen Leonardo te zijn, maar wees ook geen Koekiemonster. 

En in de grote boze buitenwereld … 

• vormen browser extensions een serieus probleem.
• investeert het kabinet in security bij het MKB.
• waarschuwt het NCSC indringend voor de risico’s die het AI-model Mythos met zich meebrengt.
• heeftde concurrent ook een AI-model dat te gevaarlijk is voor brede verspreiding.
• zijn je gegevens nu ook al via booking.com gelekt.
• zijn de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aangenomen door de Tweede Kamer.
• kun je vishing nu ook al aan AI overlaten.
• vreest de chief privacy officer van Logius voor Amerikaanse inmenging in DigiD.
• gaat onze nationale privacywaakhond preventief controleren bij ICT-leveranciers.
• doet weer eens een vals sms-bericht over een pakketje de ronde.

 

Ethisch hacken

Afbeelding via Unsplash

Na jaren moest ik maar weer eens op cursus. Ik ging op zoek naar eentje waarbij de kans klein zou zijn dat ik weinig nieuws zou leren; dat overkomt je als oldtimer in het vak al gauw. De cursus ethisch hacken voldeed in ruime mate aan deze eis.

Al ruim drie decennia beschouw ik de wereld vanaf de goede kant van de streep. Daarbij houd ik me bezig met beveiligingsbeleid, risicoanalyses en naleving, om maar een paar dingen te noemen. Ik lees en hoor wat er aan de foute kant van de streep allemaal gebeurt en probeer het de gasten die daar vertoeven zo moeilijk mogelijk te maken. Met deze hackcursus wilde ik de wereld eens vanaf hun kant bekijken. Want zoals Sun Tzu al in de vijfde eeuw voor Christus wist: "Ken je vijand en ken jezelf, en je hoeft de uitslag van honderd veldslagen niet te vrezen."

Maar wat is dat ethisch hacken dan? Kijk, je hebt, zwart-wit bezien, twee soorten hackers: de goeden en de kwaden. Die laatste halen meestal het nieuws, bijvoorbeeld door de gegevensdiefstallen bij de politie en Odido. Zo is hacken ook bekend bij het grote publiek: het wederrechtelijk inbreken in een computersysteem. De personen, die zich daarmee bezighouden, zijn er in vele kwaliteiten. Aan de onderkant van de lat heb je de scriptkiddies: lui die gebruikmaken van kant-en-klare recepten om dingen te doen, zonder dat ze echt snappen hoe het werkt. En helemaal bovenaan heb je de georganiseerde criminaliteit en de statelijke actoren (‘staatshackers’).

Maar er zijn dus ook goedaardige hackers. Die gaan, net als hun kwaadaardige tegenhangers, op zoek naar zwakke plekken in de verdediging. Het grote verschil is dat zij die niet voor eigen gewin gebruiken, maar ze netjes melden bij het bedrijf waar ze die kwetsbaarheid hebben aangetroffen. Je kunt ethische hackers inhuren om je systemen te laten testen, maar ze opereren ook op eigen houtje. Vaak krijgen die laatsten, als zich daarbij aan bepaalde regels houden, zelfs een beloning. Die kan variëren van een T-shirt tot ((heel) veel) geld.

Natuurlijk ben ik na een vijfdaagse cursus geen volleerde hacker. Sterker nog, het duizelde mij vorige week van de hackprogramma’s met hun talrijke opties, de vele poorten die aangevallen kunnen worden en een boel andere dingen die je als rechtgeaarde hacker uit het hoofd dient te weten. Vroeger, in het tijdperk van MS-DOS, moest je ook alles vanaf de opdrachtregel (de C:-prompt) doen, maar dat doet tegenwoordig wel erg archaïsch aan. En toch werkt het in die wereld zo, maar dan met Linux in plaats van MS-DOS.

Het belangrijkste wat ik heb geleerd is dat er best veel komt kijken bij hacken, maar dat het, als je de trucjes eenmaal beheerst, wel heel gemakkelijk is – althans, als je tegenstander zich niet goed verdedigt. In het eenvoudige scenario waarmee we hebben geoefend zoek je het IP-adres van je doelwit op, je kijkt welke poorten er openstaan, je onderzoekt of er kwetsbaarheden voor de daar draaiende services bekend zijn en hoppa, je bent binnen. Zo gemakkelijk is het natuurlijk – hopelijk! – lang niet altijd, maar het principe zal wel steeds hetzelfde zijn: de hacker gaat op zoek naar zwakke plekken in de verdediging. En dan heb je toch liever dat zo’n kwetsbaarheid door een ethische hacker wordt gevonden dan door een criminele. Uiteraard helpt dat alleen als je vervolgens ook iets met de bevindingen doet. Gelukkig begrijpt iedereen dat. Toch?

Ik had altijd al bewondering voor de collega’s die dit voor hun werk doen. Nu ik iets beter begrijp wat ze doen, heeft dat respect een flinke upgrade gekregen. Het is belangrijk en dankbaar puzzelwerk, waar heel wat kennis en kunde bij komt kijken. Ze doen de nodige ontdekkingen, die soms voor aardig wat ophef zorgen. Dan zie je ze glunderend rondlopen. Een mooi gezicht.

Ten slotte wil ik nog iets heel anders delen wat ik geleerd heb en waar iedereen, die gebruikmaakt van AI-chatbots zoals Copilot, ChatGPT en Claude veel plezier van kan hebben. Het gaan om ELI5. Dat staat voor explain like I’m 5 en het zorgt ervoor dat het antwoord in eenvoudige woorden wordt geformuleerd en geen voorkennis veronderstelt. Niet in kleutertaal, maar vaak met leuke analogieën. Probeer maar eens iets als: “ELI5 Leg uit wat een IP-adres is”.

 

En in de grote boze buitenwereld … 

• kun je natuurlijk ook een koffieautomaat hacken.
• zitten de Russen misschien ook in jouw router (tip: herstart hem af en toe).
• is niet alleen de Nederlandse politie gehackt.
• zit een romance scammer in de cel nadat hij per ongeluk een collega aan de haak wilde slaan.
• hebben ook astronauten last van IT-problemen.
• ontmaskert dit trucje Noord-Koreaanse fake-sollicitanten.
• gooit security-legende Mikko Hyppönen het tegenwoordig over een andere boeg: hij bestrijdt drones.
• is dit nieuwe AI-model nog even te gevaarlijk om het algemeen beschikbaar te stellen.
• is bij sommige presidenten het beveiligingsbewustzijn nog niet zo goed ontwikkeld.
• hebben Iraanse staatshackers het voorzien op kritieke infrastructuur in de VS.

 

AI belt met je ouders

Afbeelding via Unsplash

Heb je wel eens geen tijd (of zin) om je ouders te bellen? Dan is er nu een handige dienst waar jullie allemaal plezier van gaan hebben!

Dit gaat over een bedrijf dat een bijzondere AI-dienst aanbiedt. Ze bellen namelijk met je bejaarde ouders. Zodat jij dat niet hoeft te doen. Op hun website staat een foto van de Tsjechische oprichter van het bedrijf met zijn moeder. Daarbij het verhaal dat hij in het buitenland woonde maar wel graag contact met zijn moeder wilde houden. Verschillende tijdzones, een drukke baan en ‘de onvoorspelbaarheid van het leven’ zaten in de weg. En zo kwam hij op het idee voor zijn bedrijf. Het helpt mensen om zich ‘herinnerd, verbonden en gewaardeerd’ te voelen, zeggen ze.

Even wat meer informatie van hun website. ‘Mary’ belt de oudere op en vraagt hoe het gaat. Ze onthoudt ook wat je haar vertelt. Hartstikke handig natuurlijk: als je vandaag vertelt dat je naar de dokter moet, zal ze morgen vragen hoe het ging. Verder maakt ze gebruik van 1.400 ‘levensverhaalvragen’ – zoiets als een database met openingszinnen. Bovendien strooit ze met interessante feitjes om de geest scherp te houden.

De oudere zal al gauw niet meer beseffen dat hij met AI te maken heeft. Simpelweg omdat AI heel natuurlijk klinkt. Ik durf te wedden dat ook jij en ik het verschil tussen AI en een mens niet horen. En als je Mary na een poosje als vriendin gaat beschouwen, dan vertel je haar waarschijnlijk dingen die je ook met een echte vriendin zou delen. Bijvoorbeeld over je gezondheid, een onderwerp waar ouderen het nu eenmaal vaak over hebben. Op de website van het bedrijf prijkt het logo ‘HIPAA compliant’. HIPAA is Amerikaanse wetgeving die over de privacy en beveiliging van medische gegevens gaat. Maar dan minder streng dan onze AVG. In de EU vallen medische gegevens onder de noemer bijzondere persoonsgegevens, waar extra strenge regels voor gelden.  

Ouderen zijn extra kwetsbaar als het om cybercrime gaat. Je hoort de laatste tijd vaak berichten over nepagenten die geld en sieraden komen ophalen, onder het mom van groot gevaar dat eraan zit te komen. Criminelen zouden handig kunnen meeliften op een dienst als deze. Bijvoorbeeld door zich voor te doen als Mary en dan slimme vragen te stellen en hun slachtoffer te manipuleren. Omdat ze Mary vertrouwen, is de kans groter dat ze in het verhaal meegaan. Je kunt gewoon wachten op zo’n werkwijze, hoe triest dat ook is.

In je werk kun je vroeg of laat ook een telefoontje van een valse Mary verwachten. Dergelijke scams komen nu al voor. Zo werd drie jaar geleden de Amerikaanse Brianna zogenaamd ontvoerd. Haar moeder werd gebeld en hoorde haar dochter praten. Dacht ze. Want met AI heb aan een paar seconden geluidsfragment, gejat van social media, voldoende om iemand levensecht alles te laten zeggen wat je maar wilt. Dat zou ook jouw leidinggevende kunnen zijn, die je bijvoorbeeld vraagt om bepaalde gegevens te mailen. Dus: als je een merkwaardig verzoek via de telefoon krijgt, bel diegene dan op het jou bekende nummer om te checken of het klopt.

En voor wat betreft Mary? Ik blijf mijn moeder, die vandaag 93 is geworden (van harte gefeliciteerd!) gewoon zelf bellen. Wel zo gezellig.

 

En in de grote boze buitenwereld …

… was ik te druk met een cursus om deze rubriek te kunnen vullen.