Hoe goed we ons ook proberen te verdedigen, in cyberspace zijn de aanvallers altijd in het voordeel.

De wereld heeft zo zijn eigen manieren om ons aan onze weerloosheid te herinneren, zoals we in 2020 hebben gemerkt. Maar wie zijn existentiële angst liever baseert op ons onvermogen digitale data te beschermen, kan prima beginnen bij de recente onthulling over een van de grootste cyberaanvallen in de geschiedenis.

SolarWinds
Vorig voorjaar wisten hackers een kwaadaardige code in te bouwen in software van softwarebedrijf SolarWinds. Ongeveer 18.000 van de 300.000 instellingen die deze software gebruiken, werden besmet toen ze een update van SolarWinds downloadden — precies wat je geacht wordt te doen om je systeembeveiliging up-to-date te houden. De aanvallers konden maandenlang grasduinen in de netwerken van hun slachtoffers — en bedrijfsgeheimen binnenhalen — voordat iemand het in de gaten had. Mogelijk hebben ze andere ‘achterdeurtjes’ ingebouwd en wie weet wat ze nog meer hebben gedaan.

De Amerikaanse overheid en onafhankelijke veiligheidsexperts verdenken hackers die voor de Russische regering werken. Onder de getroffen ­instellingen zijn de Amerikaanse ministeries van handel, buitenlandse zaken en financiën, softwarereus Microsoft en het softwarebeveiligingsbedrijf FireEye.

Als u hieruit concludeert dat u een paar extra tekens moet toevoegen aan het wachtwoord van uw e-mail-account, ga vooral uw gang.

Er is zeker een gevoel van berusting. Mensen zeggen: Ik heb geen privacy. Maar toch doen ze hun luiken dicht en hun deuren op slot, letterlijk en digitaal

Gijzelingssoftware
Maar eigenlijk heeft de SolarWinds-hack weinig te maken met de beveiligingsproblemen van individuele gebruikers. Die zijn kwetsbaarder voor een aanval met gijzelingssoftware, waarbij ze hun computer alleen kunnen ‘terugkrijgen’ als ze losgeld in ­bitcoins betalen. Het heeft weinig zin te bedenken hoe u zich kunt verdedigen tegen hackers die in opdracht van een regering werken, net zomin als u zich bij de keuze voor een nachtslot voor uw voordeur afvraagt of dit bestand zou zijn tegen een ­intercontinentale ballistische raket.

Bovendien beschikt een individuele gebruiker niet over de middelen die een overheid zou kunnen inzetten als reactie op een cyberaanval. Na de SolarWinds-hack is er veel gepraat over de vraag hoe de Verenigde Staten de afschrikking kunnen vergroten, waarmee impliciet werd toegegeven dat er op het niveau van staten geen louter technische oplossing bestaat die cyberveiligheid garandeert.

In die zin heeft de SolarWinds-hack een zwakke plek blootgelegd die grote instellingen en individuen gemeen hebben: het digitale landschap is voor degenen die ervan afhankelijk zijn — wij dus — veel te complex geworden om alle kwetsbare plekken in de gaten te houden. Over belangrijke factoren die bepalen of onze data tegen ons zullen worden gebruikt hebben we geen ­enkele zeggenschap.

Supply chain attack
De SolarWinds-hack wordt een supply chain attack genoemd. Daarbij sluipen de aanvallers naar binnen bij een systeem nadat ze een product hebben besmet waarvan dat systeem afhankelijk is. Individuen hebben ook dergelijke supply chains, waarover ze enige, maar zeker geen volledige controle hebben. Van tijd tot tijd maken ze zich ongewild kwetsbaar voor infiltratie doordat ze bepaalde producten gebruiken.

Een voorbeeld daarvan was de aanval op CCleaner, software voor systeemonderhoud, in 2017. De hackers veranderden de programmacode die was bedoeld om cookies te verwijderen en de privacybescherming van de gebruiker te versterken. Net als bij SolarWinds raakten de gebruikers besmet toen ze een officiële update downloadden. Ten tijde van die hack had CCleaner ongeveer twee miljard gebruikers.

Soms worden individuen gehackt doordat de digitale toeleveringsketen van een bedrijf waar ze zaken mee doen wordt besmet, zoals in 2013 met de Amerikaanse winkelketen Target gebeurde. Daarbij werden de financiële en persoonlijke gegevens van zo’n 110 miljoen klanten gestolen. De hackers kregen toegang doordat eerst het bedrijf dat luchtbehandelingsinstallaties aan Target leverde werd besmet. Mogelijk heeft Target duidelijke waarschuwingssignalen genegeerd, maar de gedupeerde klanten van Target waren sowieso weerloos.

Een jaar eerder stond Target er al gekleurd op als voorbeeld van de kwetsbaarheid van persoonlijke data. The New York Times onthulde dat het bedrijf het winkelgedrag van zijn vrouwelijke klanten analyseerde om te bepalen of ze zwanger waren, waarna de vrouwen advertenties van relevante producten kregen toegestuurd. In één geval leidde dit ertoe dat de zwangerschap van een meisje van 15 werd onthuld, terwijl haar vader nog van niets wist.

Greep verliezen
Een cyberaanval en schending van privacy zijn niet hetzelfde, maar beide maken duidelijk wat er kan gebeuren als individuen de greep verliezen op wat anderen over hen weten en op hoe die informatie vervolgens wordt gebruikt, zegt Dennis Hirsch, hoogleraar aan de rechten­faculteit van Ohio State University. Hopen dat je die kwetsbaarheid kunt herstellen door te vertrouwen op individuele waakzaamheid is net zoiets als hopen dat je de klimaatverandering kunt vertragen als je er maar genoeg mensen van overtuigt dat ze hun verwarming ­lager moeten zetten.

‘Het model van individuele controle werkt gewoon niet’, zegt Hirsch. Hij denkt dat het debat over privacybeleid te veel is gegaan over de keuzemogelijkheden die individuen moeten hebben voor het delen van hun persoonlijke informatie. ‘Ik heb echter geen idee hoe ik kan bepalen bij welke creditcardmaatschappij mijn data waarschijnlijk op straat komen te liggen doordat ze hun cyberbeveiliging niet op orde hebben, en ik weet ook niet welk bedrijf mijn data gaat analyseren om mijn geestelijke gezondheid in te schatten en zo mijn kredietwaardigheid te bepalen.’

Individuele cyberbeveiliging
Chris Pierson is oprichter en ceo van BlackCloak, een bedrijf dat individuele cyberbeveiliging levert aan celebrity’s en topmensen uit het bedrijfsleven. Hij is pessimistisch over de mogelijkheid dat je, als jouw data eenmaal online staan, daar weer greep op kunt krijgen. ‘Dat is echt zorgwekkend’, zegt hij.

Zijn bedrijf richt zich vooral op wat mensen zelf kunnen doen om zich minder kwetsbaar te maken voor een privacy-aanval. ‘Kun je je persoonlijke gegevens verwijderen van websites van datahandelaren, zodat je een minder makkelijk doelwit wordt? Het antwoord is ja, absoluut’, zegt Pierson. ‘Zal dat ook het aantal gevallen van internetfraude terugdringen? Ja, die worden veel moeilijker uitvoerbaar.’

BlackCloak biedt een combinatie aan van wachtwoordkluizen en tweestapsverificatie van belangrijke accounts om fysieke apparaten te beschermen (doe uw telefoon in een Faraday-hoes als u naar het buitenland gaat) en test de ­systemen van zijn cliënten voortdurend op kwetsbaarheid.

Zwakke plekken zijn makkelijk te vinden. Pierson zegt dat ongeveer 40% van de nieuwe klanten van BlackCloak niet weet dat ze al gehackt zijn; dat kan van alles betekenen, van een apparaat dat is geïnfecteerd met malware, tot een beveiligingscamera in huis die livebeelden streamt naar een publieke website. Van ongeveer 70% van zijn nieuwe klanten kan BlackCloak op het dark web een wachtwoord voor minstens één van hun accounts terugvinden.

Andere dienstverleners bieden hun klanten controle over hun data doordat ze er fysieke greep op houden. Een van die bedrijven, Helm, verkoopt servers voor individuele gebruikers, als alternatief voor e-mailproviders, foto-opslagdiensten en andere diensten die data opslaan op hun eigen servers. Nieuwe apparaten of accounts kunnen alleen worden gekoppeld aan de op die server opgeslagen data door een fysieke handeling door de gebruiker op het apparaat.

Zo wordt voor aanvallers — of marketeers — één toegangsweg naar persoonlijke gegevens afgesneden. Maar daarvoor komen nieuwe risico’s en zorgen in de plaats; je moet zelf je digitale leven gaan bewaken. Giri Sreenivas, de ceo van Helm, zegt het zo: ‘Het is maar hoeveel gedoe je aanvaardbaar vindt.’ Bovendien is het moeilijk, zo niet onmogelijk, om data die eenmaal bij andere diensten zijn beland allemaal terug te krijgen.

Datanihilisme
De afgelopen twintig jaar is er een techindustrie ontstaan die maximaal gebruikersgemak wil bieden, maar privacydeskundigen zien dat dit gepaard gaat met een toenemend ‘datanihilisme’. Zo zeggen Amerikaanse internetgebruikers vaak dat ze hun privacy belangrijk vinden, maar tegelijkertijd willen ze daar niets voor doen. Dat mensen het gewoon opgeven, is ook begrijpelijk, als je beseft hoe moeilijk het is om je te ­beschermen tegen inbreuken op privacy of cyberaanvallen.

Toch blijven veel mensen het proberen, zegt Lorrie Cranor, directeur van het Cylab Usable Privacy and Security Laboratory van Carnegie Mellon University, dat onderzoekt hoe de gemiddelde gebruiker omgaat met privacy en beveiliging. Mensen proberen de risico’s te beperken, ook al weten ze dat ze kwetsbaar blijven. Wat moeten ze anders? ‘Er is ­zeker een gevoel van berusting’, zegt ze. ‘Ze zeggen: “Ik heb geen privacy.” Maar toch doen ze hun luiken dicht en hun deuren op slot, letterlijk en digitaal.’

Jaren 60
Op MIT programmeerden talentvolle studenten in programma’s als Fortran en nog oudere talen. Ze zetten er computers mee aan het werk voor dingen die er nooit voor waren bedoeld, maar de daden waren onschuldig. Pas in 1966 volgde elders de eerste computermisdaad die tot vervolging leidde.

Jaren 70
In 1969 ontwikkelde Bell Labs-werknemer Ken Thompson besturingssysteem Unix en hij bepaalde zo de toekomst van de computerindustrie. Een jaar later vond ‘Captain Crunch’ een manier voor gratis telefonie voor lange afstanden. Een groep telefoonhackers, ‘phreakers’, ontstond.

Jaren 80
In de jaren tachtig werden de beruchte hackergroepen Legion of Doom (VS) en Chaos Computer Club (Duitsland) opgericht, de bekendste en meest gerespecteerde hackerscollectieven ooit. Eén groep, de 414’s genoemd, heeft de eer als eerste door de FBI te worden onderzocht.

Jaren 90
De bekende hacker Kevin Mitnick (foto) werd in 1995 door de FBI gearresteerd en kreeg vijf jaar cel wegens computerinbraken en andere vergrijpen. Het laatste jaar zat hij in isolatie, omdat het gerucht de ronde deed dat hij met een fluitsignaal door de telefoon een kernwapen kon afvuren.

Jaren 2000
De ‘I love you’-worm , ook bekend als VBS/Loveletter en Love Bug-worm, infecteerde in het jaar 2000 miljoenen computers wereldwijd binnen een paar uur nadat hij was geactiveerd. Het zichzelf vermenigvuldigende ­computerprogramma wordt beschouwd als het schadelijkste ooit.

Jaren 10
De ‘ransomware’ doet zijn intrede en hacken krijgt een grimmig karakter. De WannaCry ran­somware-aanval in 2017 werd toen omschreven als de grootste ooit, met 230.000 ­besmette computers in 150 landen. Het was een cryptoworm die zich nestelde in Windows-­besturingssystemen.

Originele link van het artikel: https://fd.nl/futures/1371277/honderd-procent-cyberveiligheid-is-een-illusie