Stel je voor het is vrijdagavond en in een moment van ondoordachtzaamheid reageer je op zo’n in gebrekkig Nederlands opgesteld mailtje, waarin je gevraagd wordt om je gebruikersnaam en wachtwoord in te vullen, omdat anders na het weekend je webmail niet meer werkt. En stel je voor dat je dan ook nog je echte gebruikersnaam en wachtwoord en geboortedatum invult. Volstrekt hypothetisch natuurlijk maar goed, in je wildste droom, effe niet opgelet, het is gebeurd en het antwoordmailtje is de deur uit.
Een uurtje later ben je wakker geschrokken en denkt dat het misschien toch niet zo slim was. Ach wat kunnen ze nou met jouw account, wie is daar nu in geïnteresseerd. Misschien straks toch maar even het wachtwoord veranderen, hoe moest dat ook al weer?
En dan werkt je eigen account niet meer en het is vrijdagavond laat en de helpdesk is al dicht. Och, het is toch weekend, maandagochtend maar oplossen, weekend is weekend.

In de tussentijd wordt er achter de schermen heel hard gewerkt. Op het moment dat jouw mailtje met de gebruikersnaam en wachtwoord in het cybercafe in Mogadishu is binnengekomen, is er direct iemand heel actief geworden. Allereerst is met behulp van gebruikersnaam en wachtwoord aangelogd en is het wachtwoord gewijzigd. Uit het voorbereidend werkt was al geleerd hoe, en was ook geleerd wat er met het account gedaan kon worden. Eerst de mailbox legen zodat er ruimte is voor volgende acties en de opslaglimiet geen roet in het eten gooit. Vijf minuten later draait de eerste spamrun, in een rustig tempo om niet te veel op te vallen. In de komende 48 uur worden zo’n 3 miljoen e-mail berichten verstuurd in opdracht van medicijnen verkopers en software aanbieders. Dat levert bij een tarief van 1 dollar per 10.000 adressen alvast een leuk zakcentje. Dan wordt volgt het toetje. Een speciaal opgesteld e-mail bericht wordt verstuurd naar alle e-mail adressen uit jouw persoonlijk adresboek, je studievrienden, je gewaardeerde collega’s bij andere onderzoeksinstellingen in binnen- en buitenland, je collega’s van het stichtingsbestuur, je jaarclub, de mailinglist van je volleybalclub en de mailinglist van de Nevobo-scheidsrechters, je broers, het privé-adres van je decaan, je vader, die twee suikerooms, enkele leveranciers en de andere leden van de ouderraad van de school van je dochter. Een bericht waarin een noodkreet van jou, je zit in Kenia, je creditcard is gestolen en vraagt om hulp, of dat jouw goede vriend de hotelrekening wil voorschieten en $ 2100 wil overmaken naar een rekening in het buitenland.

Een nachtmerrie scenario?  Toch is dit echt gebeurt, begin juni 2008, niet bij ons maar bij een collega instelling, Precies zoals hierboven beschreven. Alle e-mail weggegooid, account misbruikt. Misschien niet vanuit Mogadishu maar vanuit Manilla of Kiev, het maakt eigenlijk niet uit. Met als gevolg een universiteit die vanwege het spammen op allerlei blacklistst verschijnt. Met als gevolg een vooraanstaand collega met een deuk in zijn reputatie. Met als gevolg twee dagen werk om de verdwenen mailbox weer uit de back up te halen.
 
De oplichters worden steeds slimmer in hun phishing aanpak. Veel bank-phishing mails zijn nu taaltechnisch in orde. Phishing wordt steeds gerichter, naar een doelgroep, waarbij informatie over die doelgroep gebruikt wordt om het verhaal geloofwaardig te maken. Hoewel veel van dit soort berichten als spam uitgefilterd worden lekt er zo nu en dan nog eentje doorheen. Om ongelukken te voorkomen moet je niet reageren op al vreemde verzoeken via e-mail, of op zijn minst controleren wat er waar is van een verhaal, zeker niet wanneer dit soort vragen niet ondertekend zijn met een verifieerbare digitale handtekening. Kijk of er iets vermeld wordt op de officiële website. Als je iets meer thuis bent in de mail technologie kijk dan even naar de headers van het bericht om te zien waar het vandaan komt. Kijk ook naar de url’s die onder eventuele links liggen, de teklst en de onderliggende url zijn vaak niet hetzelfde.

En als het dan toch misgaat, bel dan het Servicepunt of in noodsituaties het Computer Emergency response Team (TUD-CERT - 87888).

Tijdens het symposium “Safety First: Dealing With Disasters” van Christiaan Huygens werd een lezing gegeven over Serious Gaming. Nu gaan bij sommigen bij het denken aan serious gaming de gedachten uit naar pokeren (al dan niet online) met veel geld. Hoewel me dat ook een serieuze bezigheid lijkt wordt met serious gaming iets anders bedoeld: Het inzetten van gaming technologie voor zakelijke toepassingen, hoofdzakelijk in de trainingen sfeer. Met deze technologie is het mogelijk situaties na te bootsen en mensen te laten oefen in niet alledaagse situaties. Dit kan goed passen in een opleidingstraject maar zeker voor het trainen van situaties die niet vaak voorkomen maar waar toch adequaat op gereageerd moet worden, groet en kleine calamiteiten. Gaming stelt ons in staat om met relatief eenvoudige middelen niet alledaagse situaties te oefenen: met minder mensen en zonder dat er echt dingen stuk gaan of levens in gevaar komen.

Hoewel Serious Gaming als industrie pas net aan het opkomen is, is het concept al heel oud. Flight simulators zijn hier een goed voorbeeld van, maar ook niet IT gebonden games zoals het Apollo game om procesmatig werken te trainen en allerlei andere management games. Met de kennis en technologie uit de gaming industrie word\en dit soort simulaties laagdrempelig. Binnenkort in de winkel, in het schap naast Rollercoaster Tycoon, Hotel Tycoon en Pizza Tycoon: University Tycoon.

Ik kijk er naar uit om straks deze technologie in te kunnen zetten voor het oefenen van onze calamiteitenplannen.

Floppies. Wie kent ze nog? Ik heb thuis nog een paar dozen vol in verschillende formaten. Tientallen floppies met spellen voor de Atari, doosjes met Dos floppies en als ik goed zoek ook nog wel wat van die 5 ¼ inch floppen. Floppies stelden je in het pre-internet tijdperk in staat om snel (nou ja) spullen uit te wisselen met vrienden en collega’s. Floppies waren het medium bij uitstek voor de distributie van virussen. Floppies zijn uitgestorven. Virussen niet.

De distributie van virussen was door het afnemend gebruik van floppies overgenomen door e-mail. De laatste tijd zien we dat ook e-mail minder populair wordt voor het distribueren van virussen en andere malware. In plaats van een virus al bijlage in een e-mail bericht te stoppen en te hopen dat de gebruiker dit opent, wordt er nu veel meer gewerkt met links naar websites waar de malafide spullen vanzelf gedownload worden. En er worden andere methodes gebruikt als distributie.

Een van de nieuwe “floppies” is het digitale fotolijstje. Deze gadgets zijn niet zo onschuldig als ze lijken. Een aantal komen met pre-installed malware! Het is daarbij niet duidelijk of dat in de fabriek, in de assemblage, of in het distributiekanaal gebeurt. Feit is dat ook shrink-wrapped spulletjes niet zo maar vertrouwd kunnen worden. Niet alleen de fotolijstjes zijn verdacht, ook mp3-spelers en natuurlijk alles wat met een USB stekker. Floppies zijn uit maar malware blijft in en maakt gebruik van alle technologische mogelijkheden. De basisremedie is natuurlijk een goede virusscanner maar daarnaast geldt nog steeds wat mijn moeder mij vroeger altijd zij voor ik buiten ging spelen:

Industrialisering en automatisering hebben in de afgelopen 150 jaar de mens veel werk uit handen genomen. Zij vormen de drijvende kracht achter economische ontwikkeling. Dit proces staat nog niet stil, het gaat in minstens het zelfde tempo voort. Met een combinatie van technologieën zoals sensortechnieken, robotisering en kunstmatige intelligentie liggen nog veel ontwikkelingen in het verschiet. Maar lopen we nu op een ander vlak tegen de grenzen?

In de afgelopen twee jaar is uitgebreid gediscussieerd over de inzetbaarheid van stemcomputers. De huidige generatie is als niet veilig bestempeld, de mate van onveiligheid verschilt een beetje per type maar in principe zijn er twee zwakheden: Is de programmatuur wel te vertrouwen en blijft de uitgebrachte stem geheim? De programmatuur kan op verschillende plaatsen gemanipuleerd worden als hier onvoldoende zekerheden voor zijn ingebouwd. Dat kan al bij de leverancier van de apparatuur en software maar het zou ook later kunnen door de programmatuur (stiekem) te vervangen. Het stemgeheim zou in het geding zijn omdat het uitbrengen van een stem in sommige gevallen afluisterbaar is.

Vorige week werd bekend dat een belangrijk deel van de beveiliging van de OV Chipkaart gecompromitteerd is. De werking van de chip en de versleuteling is doorgrond. Begin deze week werd ook aangetoond dat de wegwerpkaart eenvoudig te hacken is. Hacken is hier eigenlijk niet het goede woord, de kaart is eenvoudig te vervalsen. Maar wat wil je, met deze “toeristenkaart” heeft men geprobeerd voor een dubbeltje op eerste rang te zitten, met een “chip” die slechts een paar byte aan informatie kan opslaan en geen enkele intelligentie bevat.

De vraag rijst of we wel alles kunnen en moeten automatiseren. De vraag rijst of het noodzakelijk is om systemen 100 procent waterdicht en betrouwbaar te maken. De oude werkwijze is doorgaans gericht op zo snel en degelijk mogelijke afhandeling van de grote bulk zodat er tijd blijft om de uitzonderingssituaties adequaat aan te kunnen pakken. Moeten we hier met automatisering niet ook op mikken? Is goed goed genoeg?

De twee genoemde voorbeelden hebben slechts ten dele te maken met privacy bescherming. Privacy bescherming in het OV moet geregeld worden met afspraken, procedures en toezicht en controle. Bij verkiezingen moet het stemgeheim geborgd worden. Maar fraude moet voorkomen worden. Verkiezingsuitslagen moeten betrouwbaar zijn, anders krijgen we ook in de Westerse wereld Keniase toestanden. 

Het probleem is dat we het vaak te complex willen maken, alle uitzonderingen moeten in het systeem gevangen worden. Met de OV chipkaart wordt die fout ook gemaakt. Alle uitzonderingen en speciale regelingen van meerdere vervoersmodaliteiten moeten allemaal met hetzelfde systeem ondersteunt kunnen worden. Verschillende abonnementsvormen en kortingsregelingen, leeftijd, plaats, frequentie of tijdgebonden.

Het KISS adagium blijft gelden.

Laatst kreeg ik een aanbieding om snel wat extra geld te verdienen. Een paar duizend euro extra zakgeld met slechts weinig inspanning en zonder bijzondere vereisten. Dat spreekt mij wel aan en het zal een hoop anderen ook wel aanspreken. Maar easy money bestaat niet, niemand geeft zo maar geld weg. Wat is hier dan aan de hand?

Veel van dit soort mooie kansen komen de laatst tijd in de vorm van een aanbieding voor een baan of bijbaan. Het werkt als volgt: Als je meedoet krijg je met enige regelmaat een redelijk geldbedrag op je bankrekening gestort, iets in de orde van zo'n 3.000 euro, niet zoveel dat het echt opvalt, maar toch een substantieel bedrag. De bedoeling is dan dat je dat geld van je rekening afhaalt en via Western Union overmaakt naar een adres dat door je opdrachtgever is opgegeven. Voor de moeite mag je 10% zelf houden, en als je trouw en op tijd handelt dan kan dat groeien tot wel 12%. Nou, dat klinkt simpel, dat kan ik ook. Helaas betreft het hier gestolen geld dat op je rekening gestort is en is deze handeling een stap in het witwassen van de opbrengsten. Het geld is afkomstig van gestolen creditcards of via gestolen bankcredentials, van slachtoffers van phishing. 

Computer Crime is overgenomen door georganiseerde misdaad en is zeer internationaal opgezet. De job offerings komen via e-mail, grootschalig verspreid als spam met hetzelfde mechanisme als de phishing spam. Het wordt "e-mule recruitement" genoemd. Degene die hier voor valt gaat onbewust deel uitmaken van een criminele organisatie en loopt het risico van strafrechtelijke vervolging.

Easy money bestaat niet.