Interview met Andrew Dasselaar over (On)veilig online

Andrew Dasselaar: ‘Wat ik raar vind is dat mensen geen twee-staps-verificatie toepassen…’

Interview met Andrew Dasselaar over (On)veilig onlineDe tijd dat internet een plek was van idealen en hoopvolle dromen voor een betere toekomst, is voorbij. Bedrijven verzamelen persoonlijke informatie over je en verkopen die door aan de hoogste bieder. Je ontvangt e-mails die je proberen wijs te maken dat er stiekem met een webcam compromitterende opnames van je zijn gemaakt. Je loopt kans op ransomware die alle informatie op je computer versleutelt zodat je er pas bij kunt nadat je honderden euro’s hebt betaald. Ben je dan helemaal niet veilig op internet? Om je te helpen deze gevaren het hoofd te bieden schreef Andrew Dasselaar het boek (On)veilig online. In dit boek lees je wat je kunt doen om jezelf te beschermen, hoe je anoniem blijft, en wat je rechten zijn. We spraken met hem – via het veilige Signal – over de gevaren die bedrijven en jou en ik bedreigen, over twee-staps-verificatie en over privacy en sextortion… Een interview met Andrew Dasselaar over (on)veilig online.

Andrew Dasselaar.

Voor wie heb je boek geschreven?
Andrew Dasselaar: ‘Het is een boek voor geïnteresseerde mensen die geen expert zijn. En of die nou in het bedrijfsleven werken of thuis met hun computer bezig zijn, of in het onderwijs zitten… Dat maakte me niet zo heel veel uit. Ik richt me op mensen die geïnteresseerd zijn in het onderwerp van beveiliging, maar die de bestaande teksten te specialistisch vinden. Dit boek komt voort uit de eerste versie van dit boek het Handboek digitale criminaliteit uit 2005 en dat was sterk gericht op het bedrijfsleven. Toen bleek dat ook het grote publiek het boek ging kopen. Dus bij deze editie heb ik me daar iets meer op gericht. Ik heb geprobeerd het modulair op te bouwen, in die zin dat je het in delen kunt lezen. Er zijn onderdelen waar een IT-manager mee te maken krijgt, maar ook onderdelen voor thuisgebruik. Er staan soms heel specialistische tips in, waar een leek nu net niet mee aan de slag moet gaan.’

Ransomware

Is de criminaliteit erger geworden vergeleken met 2005?
AD: ‘Die vergelijking heb ik zelf in het boek niet gemaakt. Wat me opviel is dat het nu veel meer om ransomware gaat. In de jaren nul van deze eeuw ging het veel meer om de schade die virussen aanrichten op computers en dat horen we op dit moment veel minder. Het is lastig te vergelijken. Je hebt ook geen goed zicht op wat die ransomware precies aanricht, want bedrijven zijn er niet altijd open over. Bedrijven sluiten er verzekeringen voor af, waarbij de schade betaald wordt door de verzekeraar. Dus is het moeilijk om te zeggen dat het erger geworden is. Wat me wel opviel is dat heel veel dingen hetzelfde waren gebleven. Mensen maken nog steeds dezelfde fouten. Wachtwoorden doen ze niet goed, de updates doen ze niet goed, dat is in ieder geval niet veranderd.’

Wij praten nu via het veilige Signal. De meeste mensen waar ik contact mee heb gebruiken nog gewoon Whatsapp….
AD: ‘Ja, als je heel principieel gaat doen, dan kan je met veel van je vrienden en collega’s geen contact hebben. Dan kun je niet functioneren in deze maatschappij.’

Hardleers

Waarom zijn mensen zo hardleers?
AD: ‘Ik weet niet of ze hardleers zijn, voor een deel misschien. We hebben allemaal hersenen die zijn geëvolueerd op risico-inschatting. Die inschatting bepalen we niet door het lezen van stukken, maar door ervaring. Mensen die iets naars meemaken worden veel voorzichtiger. Voor die mensen is het gevaar veel reëler dan het statisch gezien is. En mensen maken ook een situationele inschatting. Ik woon in Canada en daar ben ik een stukje relaxter geworden. Ik slaap hier ‘s nachts met de benedenramen open en zo zou je makkelijk mijn huis kunnen binnendringen. Waarom neem ik dat risico? Omdat ik weet dat Canada relatief veilig is, ondanks dat ik weet dat ik een risico loop door mijn ramen open te laten. Ik maak dus een afweging en ik denk dat mensen dat online ook doen.’

‘Als ik heel principieel ga doen, raak ik mensen kwijt waar ik om geef’

‘Dat ik toch met vrienden via Facebook Messenger en of Whatsapp communiceer, is omdat de ‘kosten’ opwegen tegen de ‘baten’. Dat contact is dan belangrijker. Als ik heel principieel ga doen, raak ik mensen kwijt waar ik om geef. Wat ik wel heel raar vind is dat mensen geen twee-staps-verificatie toepassen waar dat kan. Je kunt nog denken: het gevaar dat een chatgesprek met een goede vriend wordt afgeluisterd neem ik voor lief. Als een of andere geheime dienst dat leest is er niet zoveel aan verloren. Maar dat mensen twee-staps-verificatie niet aanzetten om hun accounts extra te beveiligen, vind ik wel heel bijzonder.’

‘Mensen bepalen risico’s op basis van hun eigen ervaringen en op basis van hun eigen angstprofiel’

‘Door een combinatie van factoren stellen ze het niet in. Het is vaak lastig te vinden in een account en mensen onderkennen niet het statistische gevaar. Het wordt pas actueel als je het zelf meemaakt, als je gehacked wordt. En daar kan een boek wel bij helpen. Mensen weten vaak niet dat je het bij een account of dienst kunt aanzetten. Bij Tumblr moet je er echt naar zoeken. Het staat daar behoorlijk goed verborgen. Mensen bepalen risico’s op basis van hun eigen ervaringen en op basis van hun eigen angstprofiel. Het is een complexe kwestie waar niet zo makkelijk een antwoord op te geven valt. Het zou helpen als bedrijven het makkelijker zouden maken. Bij Whatsapp moet ik telkens maar weer mijn pincode invoeren, dat is niet echt gebruiksvriendelijk. Ik snap waarom je het doet, maar geef me een optie om het uit te zetten.’

Gelaagde strategie

Jij bent bewuster geworden van alle problemen en oplossingen door je in de materie te verdiepen. Ben je er ook consequent in de dingen die met privacy en beveiliging te maken hebben?
AD: ‘Het heeft te maken met mijn eigen ervaring. Ik schreef ooit eens een stukje over hacktivistenorganisatie Anonymous. Ik schreef o.a. jullie bedoelingen zijn goed, maar zoals jullie het nu aanpakken is niet handig. Toen kreeg ik een paar Anonymous-figuren op me af die me probeerden te hacken. Ik ben wel meer bewust, maar ik ben niet consequent. Ik gebruik nog steeds Whatsapp. Mijn e-mailadres loopt via Google Apps. De Amerikaanse geheime diensten kunnen dus bij mij ook meekijken. Ik voer wel een gelaagde strategie. Ik geloof wel in hiding in plain sight. Je moet ook een onderscheid maken tussen security en privacy. Voor privacy geldt voor mij: hiding in plain sight. Dus ik doe gewoon mee. De echt belangrijke dingen doe ik via Signal en Threema. Tegen overheden is heel weinig kruid gewassen. Bij security probeer ik strakker te zijn, maar dat lukt niet altijd. Ik probeer overal twee-staps-verificatie aan te hebben staan, probeer de patches van software dezelfde dag te doen, maar ik vergeet het ook wel eens als het erg druk is. En ik gebruik een Mac een geen Windows. Ik heb een Android-telefoon. Een Chinese telefoon maar Ik ga waarschijnlijk switchen naar een iPhone SE, dat is wel weer een stukje veiliger.’

Ik ben een gebruiker van al die handige dingen die Google biedt. De zoekmachine. Ik gebruik geen MS Office, maar Google Docs. Ik gebruik Google Foto’s. En ik heb een Pixel-telefoon.. Heel moeilijk om daar vanaf te komen…
AD: ‘Ja, dat is ook erg lastig. Ik zou er ook vanaf willen. Ik gebruik de G-Suite van Google. Dat is het zakelijke pakket van ze en dat doe ik omdat ik dan ook mijn eigen domeinnaam kan gebruiken. En Gmail is zo makkelijk te doorzoeken, al mijn mail van de afgelopen 20 jaar staat erin. Vroeger stond dat allemaal in Outlook, het doorzoeken daarvan duurde altijd eindeloos. Als ik bij Gmail wat intyp heeft Google de juiste mail zo te pakken, echt griezelig veel beter dan in Outlook. Ik besef ook waarom het griezelig veel beter is: dat komt doordat ze datamining doen op teksten zoals de mijne. Ik heb voor het privacy-probleem met Google geen oplossing. Voor mezelf in ieder geval niet. Ik ben daar dus wel hypocriet in. In het boek zegt Evelyn Austin van Bits of freedom dat ze niet begrijpt dat mensen nog Google gebruiken. Ik vind het heel knap, mensen die zonder Google kunnen…

De meest dreigende gevaren van nu

Wat zijn de meest dreigende gevaren van dit moment?
AD: ‘Ransomware is een van de grootste gevaren van dit moment. Dat zien we nu heel veel. Het is ook logisch, want de pay-off is heel groot. In de jaren nul zag je heel veel vandalisme met virussen, zonder dat er heel veel achter zat. We kunnen iets maken dat iedereen het leven zuur maakt. Niets meer en niets minder. Inmiddels is het gewoon een businessmodel. Het heeft ook te maken met armoede in de wereld. Heel veel van die ransomware komt vanuit landen waar ze het economisch minder goed hebben dan in het westen. Het is een manier om brood op de plank te krijgen.’

‘Ransomware is een van de grootste gevaren van dit moment’

‘Phishing, sextortion dat soort dingen vind ik een groot gevaar. In de loop der jaren zijn heel wat wachtwoorden van mensen uitgelekt en daar wordt door hackers gebruik van gemaakt. Dan krijg je van die mailtje waarin je wachtwoord staat en waarin staat dat je gefilmd werd toen je een pornosite bezocht. Als je niet wilt dat dit openbaar wordt moet je 800 euro in Bitcoins overmaken. Een bedrag dat pijn doet, maar dat voor een particulier nog wel op te brengen is. Er zijn mensen die daar intrappen. Maar die ‘hackers’ weten eigenlijk helemaal niks en hebben ook geen filmpje van je.’

‘Mannen worden slachtoffer voor financiële doeleinden, vrouwen vanwege sexueel misbruik’

‘Van de wat geraffineerdere afpersingsscams zijn volgens Australisch onderzoek vooral mannen het slachtoffer, althans in dat land. Daarbij heb je het over scams waarbij mensen actief worden benaderd, waarbij mensen zich voordoen als vrouwen. Die mensen worden dan overgehaald om seksuele handelingen te doen voor de webcam. Deze beelden worden vervolgens onder kinderporno gemonteerd, waarna de mannen worden afgeperst. Vrouwen worden ook afgeperst maar dan gaat het de daders vooral om seksuele bevrediging en niet om geld. Dat soort scams zijn echt een groot probleem, want daar worden mensen zwaar getraumatiseerd van. Mannen worden slachtoffer voor financiële doeleinden, vrouwen vanwege sexueel misbruik.’

En dan is er de menselijke factor in het bedrijfsleven. De hack laatst bij Twitter had te maken met mensen..
AD: ‘De zwakste schakel is altijd de mens. Je kunt er wel beleid op maken. Je kunt compartimentaliseren, doordat je medewerkers niet meer toegang geeft tot systemen dan strikt noodzakelijk. Dat kun je op systeemniveau inrichten en met behulp van protocollen. Je moet je medewerkers goed screenen. Er zijn dus dingen die je kunt doen om het te voorkomen, maar je zult altijd mensen hebben die op sleutelposities zitten. De serie Mr. Robot op Amazon Prime, die zit qua hacking uitstekend in elkaar. Daar zie je heel vaak dat hacks worden gedaan door de factor mens. Mensen die op de juiste posities zitten om iets uit te halen. Hackers maken gebruik van menselijke gretigheid. Je laat een USB-stick vallen op een plek waarvan je weet waar security guards langskomen. En die steken ze dan weer in een computer. Je kunt je mensen op trainen op beveiligingsbeleid. Maak ze bewust van de gevaren en de manieren waarop er misbruik van je gemaakt kan worden. Je moet leren dat je niet overal lukraak een usb-stick in kunt stoppen en dat je niet op linkjes moet klikken enzovoort.’

Openheid over ransomware

Het zou prettig en leerzaam zijn als bedrijven die gehacked zijn daar meer open in zou zijn. Van die bedrijven kun je leren. Maar dat gebeurt niet, waarschijnlijk omdat ze zich schamen…
‘Wired had een prachtig verhaal over de malware NotPetaya en Maersk. dat in 2018 door NotPetaya werd getroffen. Dat artikel had niet geschreven kunnen worden zonder de medewerking van dat bedrijf. Het ging om een hele grote aanval met ransomware en daar heeft het bedrijf enorm van op zijn gat gelegen. Maersk heeft wel inzicht van zaken gegeven. Daar heb ik voor mijn boek ook heel veel aan gehad. Je moet de menselijke schaamte hierbij niet onderschatten. Je voelt je altijd stom. Ik ben wel eens slachtoffer geworden van kleine diefstalletjes en je voelt jezelf altijd een beetje een domme lul. Slachtoffers geven zichzelf vaak de schuld. Daarnaast wil je niet als slachtoffer worden gezien. Bedrijven hebben eigenlijk dezelfde soort emoties.’

Ik heb nog twee vragen die jij in jouw boek bij elk interview hebt gesteld. Ben jij op dit gebied een zendeling op feestjes?
‘Nee helemaal niet. Als ze een beetje advies willen hebben wil ik dat graag geven. Bij voorkeur wil ik op feestjes feesten.’

En heb je een beveiligingsgewoonte die je zelf niet goed toepast?
‘Ik ben nog steeds slordig met het gebruik van VPN en messaging. Ik verstuur soms dingen via messaging, via Whatsapp of Facebook messenger, die ik eigenlijk via Signal zou moeten doen. Ik schrijf ook creatieve dingen en soms google ik dingen voor verhalen die ik schrijf waarvan ik denk dat ik dat niet zonder VPN zou moeten doen. Als ze mijn zoekhistorie zouden zien, dan krijg ik daar misschien problemen mee…’

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.