Het bezoek van Rian van Rijbroek, ‘expert cyberveiligheid’ en ‘schrijver van het boek De wereld van Cybersecurity en Cybercrime’ aan het televisieprogramma Nieuwsuur op 29 januari 2018 heeft veel losgemaakt. In het programma werd aandacht besteed aan de DDOS aanvallen op internetdiensten van verschillende bedrijven, zoals de Belastingdienst, ING, ABN AMRO, Rabobank en KPN. Van Rijbroek’s uitlatingen over naderend cyberonheil deden tal van autoriteiten op dit gebied over elkaar heen buitelen om het tegenovergestelde te beweren van wat zij vertelde. Hiernaast bleek een paar dagen later dat het boek dat zij samen met Willem Vermeend had geschreven op diverse plaatsen plagiaat pleegde. Moeilijk te volgen verhaal en een boek met geplagieerde teksten. Nieuwsuur distantieert zich dan ook van het interview met Van Rijbroek, zoveel is duidelijk. Zowel haar uitspraken als haar boek moeten het ontgelden:

• Deskundigen over Nieuwsuur-uitzending DDoS-aanval (NOS Nieuwsuur, 31-1-2018)
• Cybersecurity-boek oud-minister Vermeend uit de schappen (NOS Nieuwsuur, 1-2-2018)

De vraag is natuurlijk of het verhaal van Van Rijbroek helemaal is verzonnen, of dat Nieuwsuur om andere redenen gemeend heeft het verhaal te moeten ontkrachten.

Wat is er bijzonder aan deze DDOS aanvallen?

De eerste vraag is natuurlijk, wie het kan zijn die deze DDOS aanvallen uitvoert. Van Rijbroek:

De aanvallen zijn .. je ziet vanaf eh .. eind 2013 zie je bepaalde trend de aanvallen zijn groter, geavanceerder en het lijkt erop alsof iemand de beveiliging van de banken in dit geval, van de Belastingdienst in dit geval, aan het testen is. Dat eh .. daar eh .. ja je kunt nooit eh .. met zekerheid zeggen wie daar achter zit maar je zag dat er codes bij banken binnenzaten, Russische en Iraanse codes, en Noord-Korea. Er wordt gedacht aan hackersgroepen uit die drie landen.

Van Rijbroek suggereert zelf betrokken te zijn bij de analyse van de DDOS aanvallen. Dat zou dan bij de ING Bank, ABN AMRO, Rabobank of Belastingdienst geweest moeten zijn. De ‘codes’ waarover ze spreekt zouden dan al IP-adressen moeten zijn, of regionale informatie in een HTTP request.

Geldautomaten spuwen geld uit

Op de vraag, wat het doel geweest kan zijn van de hackers die de DDOS aanval hebben uitgevoerd antwoordde Van Rijbroek het volgende.

Ik eh gaf al aan dat hackers de beveiligingssystemen aan het testen zijn, dit is een vooraanval van iets groots dat gaat komen. En wat gaat dan komen, we hebben nu recent de afgelopen dagen en dat is eh informatie die ik eh vandaag heb doorgekregen van een veiligheidsdienst, hebben [we? ze? er?] mee te maken gehad en daar hebben [ze? we?] hetzelfde patroon gezien in de VS dus ook deze testaanvallen hebben uitgevoerd en nu zijn [ ] hebben diverse geldautomaten geld uitgespuugd op bepaalde tijdstippen en die zijn door geldezels zijn dat is dat geld opgehaald.

Kan dat kloppen? Geldautomaten die geld uitspugen? Bij nazoek blijkt het van wel en zelfs heel recent, met geldautomaten die zo te zien ook in Nederland worden gebruikt. Al sinds 2013 wordt over gehackte geldautomaten gesproken en fabrikanten Nixdorf en NCR waarschuwen hiertegen volgens Reuters. Geografisch zijn Taiwan, de VS en Duitsland aan de beurt geweest en worden veel Nederlandse geldautomaten in Duitsland door Nixdorf gemaakt. De laatste waarschuwing stamt van 29 januari 2018, de dag van het interview met Van Rijbroek. De waarschuwing van Van Rijbroek lijkt dan ook relevant en terecht.

• ‘Jackpotting’ hackers steal over $1 million from ATMs across U.S.: Secret Service (Reuters, 29-1-2018)
• Jackpot-alarm: hackers laten geldautomaten op hol slaan (RTL Nieuws, 28-1-2018)
• Hackers target ATMs across Europe as cyber threat grows (Reuters, 21-11-2016)
• Cyber-Bankräuber plünderten auch deutsche Geldautomaten (Reuters, 10-5-2013)
• Taiwanese banken sluiten geldautomaten na malwarediefstal (security.nl, 12-7-2016)
• Wincor Nixdorf assembleert op maat in Paderborn (Computable, 22-3-2010)

Mobiele telefoons zijn heel gemakkelijk te hacken

Op de vraag hoe je jezelf kunt beschermen als je gebruik maakt van mobiel bankieren zodat er niet iets gebeurt met je gegevens of je geld geeft Van Rijbroek het volgende antwoord:

Ik zou in ieder geval als ik in zou loggen bij een bank zal ik .. zou ik het al doen via .. je kunt tegenwoordig inloggen of via VPN of via de beveiligde modus zoals bijvoorbeeld eh .. bij Apple, dan zou ik niet eh .. via de mobiele telefoon doen want mobiele telefoons .. ja die zijn gewoon heel gemakkelijk te hacken, locatiehacken, ook niet op een openbare .. ik zou [zelf geen app van bank op mijn telefoon zetten]. Ik zou .. als ik eh .. ik zou, als ik dus zeg maar zou bankieren met mijn gegevens zou ik zorgen dat ik dat op een computer doe die op een kabel is aangesloten dus ook niet op een wifi netwerk want die zijn ook gemakkelijk over te nemen en te hacken dus ik zou daar toch eh wel voor opletten.

Het antwoord van Van Rijbroek is (alweer) wat moeilijk te volgen, mogelijk omdat ze verschillende onderwerpen in haar antwoord wil verwerken en halverwege haar verhaal wordt geïnterrumpeerd, maar de stellingen “mobiele telefoons zijn heel gemakkelijk te hacken” en “wifi netwerken zijn gemakkelijk over te nemen” steken er wel bovenuit. Kan dat eenvoudig, smartphones hacken en op die manier de gebruiker geld of informatie ontfutselen?

De uitspraak over mobiele telefoons lijkt niet te passen bij moderne Apple- en Android telefoons. Zoveel geeft Van Rijbroek ook zelf al aan (“beveiligde modus [..] van Apple”). Ze zal het dus over andere telefoons hebben gehad. Wikipedia laat zien dat meer dan de helft van de Android gebruikers een verouderd besturingssysteem gebruiken. En Android vormt 74% van de telefoonmarkt. Dat maakt dat alleen al in Nederland meer dan 6 miljoen mensen met een hackbare Android telefoon rondlopen. En voor Android zijn veel, heel veel ‘exploits’ en ‘hacks’. Lijkt erop alsof Van RIjbroek hier niet per se verkeerd zit, maar misschien een ongenuanceerd beeld probeert over te brengen.

• StatCounter Global OS usage: 74% Android, 20% iOS (StatCounter, 2-2-2018)
• Android version history (WIkipedia, 2-2-2018)
• Android version usage (Wikipedia, 2-2-2018)
• Meer dan 81% van de Nederlanders heeft een smartphone (Marketingfacts, 21-6-2015)
• Android Vulnerabilities by version (2-2-2018)

Wifi netwerken zijn gemakkelijk over te nemen

Op de vraag hoe je veilig kunt bankieren adviseert Van Rijbroek om geen gebruik te maken van wifi netwerken “omdat die gemakkelijk zijn over te nemen”. Heeft ze daar gelijk in? Daar hoeven we denk ik niet al te lang over nadenken: bankieren via een wifi access point is vragen om problemen:

• Hoe kun je een wifi toegangspunt hacken

Conclusie

Van Rijbroek’s optreden in het NOS programma Nieuwsuur kwam weinig vertrouwenswekkend over met een hakkelend en wat gerepeteerd klinkend verhaal waarbij Van Rijbroek met enig regelmaat de draad leek kwijt te zijn. Toch lijkt er na enig Googelen inhoudelijk niets mis met de gegeven informatie: geldautomaten worden inderdaad in de landen om ons heen gehackt en de geldautomaten in Nederland lijken van hetzelfde fabrikaat als die in Duitsland worden gebruikt. Meer dan 6 miljoen Nederlanders lijken met een hackbare Android telefoon rond te lopen en veel wifi toegangspunten zijn eenvoudig over te nemen. Blijft over de vraag of Van Rijbroek de kennis uit eerste hand heeft, of het nieuws heel goed volgt. Op basis van haar uitspraken in Nieuwsuur wijst niets erop dat ze kennis uit eerste hand heeft opgedaan, maar juist alle informatie van horen zeggen heeft. Ze lijkt handig in het combineren van stukjes informatie tot iets wat op een antwoord lijkt.

Updates

1. In de podcast van De Technoloog | BNR van 17 januari noemt Van Rijbroek in bijna iedere zin voorbeelden uit bronnen die ze soms bij name noemt. Dat verklaart mogelijk waarom de bronvermeldingen in haar boek zo haperen: het redactieteam heeft het waarschijnlijk gewoon opgegeven om alle bronnen erbij te zoeken. Haar ‘boekenwijsheid’ is echter opvallend.
2. Ik lees net via Twitter een artikel van Joost Schellevis die stelt dat “informatie uit de echte wereld [door Van Rijbroek] aan elkaar [wordt] geknoopt en door de blender gehaald”.
3. Marcel van den Berg heeft een CV-onderzoek gedaan naar Rian van Rijbroek. Het resultaat is ontluisterend. De titel van zijn blog-entry “Nieuwsuur liet nep cybersecurityspecialist uitleg geven over DDoS-aanvallen Nederlandse banken” is veelzeggend en Vermeend lijkt er tot zijn nek in verwikkeld.
4. Alexander Klöpping verwoord zijn gedachten in zijn blog in vijf punten.
5. Politie arresteert 18-jarige Oosterhouter op verdenking van de DDOS aanvallen.
6. Volkskrant gaat in gesprek met de 18-jarige MBO scholier Jelle S. die achter de massale DDOS aanvallen blijkt te zitten. Hij zegt botnets te ‘huren’ en demonstreert dit aan de redactie van de Volkskrant door de internetaansluiting van de Volkskrant tijdelijk over te belasten.

Wij komen met regelmaat op Texel, het eerste en grootste van de Nederlandse waddeneilanden. Onze kinderen kennen het ‘TVTAS’ ezelsbruggetje. Maar wist je dat die sinds een tijdje niet meer klopt, dat het eigenlijk ‘NTVTAS’ zou moeten zijn? En welke eilanden komen er na Schiermonnikoog? En hoe heten die zandplaten die tussen de eilanden verstopt liggen? Vandaag maar eens een onderzoekje gedaan. Er zijn meer dan 50 waddeneilanden waar meer dan 80 duizend mensen wonen!

“Waddeneilanden,” zegt Wikipedia, “liggen in de Noordzee, ten noorden van Nederland en Duitsland en ten westen van Denemarken. Tussen de eilanden en het vasteland ligt de Waddenzee. Het grootste eiland is het Nederlandse Texel, gevolgd door het Deense Rømø en het Duitse Sylt. Sylt heeft met ongeveer 21.000 inwoners de grootste bevolking van alle eilanden.” Huh? Maar de Waddenzee lag toch zo’n beetje tussen Den Helder en Termunterzijl? Nee dus: “de Waddenzee (Fries: Waadsee, Duits: Wattenmeer, Deens: Vadehavet) is de binnenzee tussen de Waddeneilanden en de Noordzee aan de ene kant, en aan de andere kant het vasteland van Nederland, Duitsland en Denemarken.”

Er wordt onderscheid gemaakt tussen eilanden en zandplaten. Eilanden staan (bij gemiddeld hoog water) voor tenminste 1,6 km² boven water. Wikipedia: “Als de platen droogliggen kan er zich zand afzetten, waardoor ze steeds hoger worden. Sommige platen kunnen zo groeien dat ze alleen nog bij springvloed onder komen te staan of bij extreem hoogwater. Zo kunnen ze uitgroeien tot kleine eilanden.”

Door de wind en de zee is er een hoop beweging in de Waddenzee. Zandplaten groeien, verkleinen en verplaatsen, eilanden ontstaan en verdwijnen. Het meest recente nieuwe eiland is het Duitse Kachelotplate, dat in 2003 ontstond. Gaswinning lijkt daar overigens geen rol bij te spelen.

In de tabel hieronder heb ik alle eilanden en zandplaten in de Waddenzee opgenomen. Veel eilanden zijn gewoon wat je zou verwachten: een stuk land in zee, huizen erop, strand en toegankelijk per veerboot. Maar er zijn er, die met een dijk toegankelijk zijn. Of waar héél weinig mensen wonen. Of slechts ééntje.

In de stad Groningen hebben fietsers sinds enkele jaren op diverse kruispunten met verkeerslichten gelijk groen. Dit zorgt voor een merkbaar snellere verkeersdoorstroming en de wachttijd voor fietsers (en hiermee het overige verkeer) wordt sterk verkort omdat fietsers niet meer op elkaar hoeven wachten. Het directe gevolg van ‘gelijk groen’ is echter ook dat de normale voorrangsregels op dat moment weinig betekenis meer hebben. Volgens de gemeente Groningen is ‘gelijk groen’ vooral “een verkeersveilige oplossing”. Maar ik denk dat ‘gelijk groen’ ook een mentaliteitsverandering van fietsers in de Stad tot gevolg heeft, waarin fietsers ook in andere situaties op zoek gaan naar een voor hen veilige en snelle manier om door het verkeer te laveren. Op termijn zou ‘gelijk groen’ wel eens een veel mindere verkeersveilige oplossing kunnen zijn in alle andere verkeerssituaties dan op kruispunten met verkeerslichten. Ik zeg hier ‘op termijn’, maar bedoel daar eigenlijk nu al mee.

Enkele jaren terug fietste ik met een collega voor het eerst over het kruispunt Europaweg-Griffeweg. Toen de verkeerslichten op groen sprongen zei mijn collega: “geen oogcontact maken met de fietsers die van rechts komen en hard doorfietsen.” En op die manier zag ik vanuit mijn ooghoeken diverse fietsers van rechts op het laatste moment in de remmen hangen om een botsing met ons te vermijden. En eenmaal zelf in zo’n situatie gezeten herken je het gedrag bij andere fietsers meteen: elke keer als ik het kruispunt Hereweg-Zuiderpark passeer zie ik hele hordes fietsers pogen om zonder enig oogcontact zo snel mogelijk de kruising nemen. Meestal direct succesvol, soms met wat verbale ondersteuning zoals “ik heb voorrang hoor”. En in de binnenstad zelf zie je veelvuldig dezelfde truuk, ook al zijn daar de verkeerstekens wél eenduidig. Op de kruising Radesingel-Trompstraat bijvoorbeeld hebben fietsers die van de Trompstraat vanaf de Trompbrug komen haaietanden op de weg en moeten dus wachten op het verkeer op de Radesingel. Maar ik heb nog nooit een fietser voorrang zien geven: geen enkele fietser zal een andere fietser ook wanneer de verkeersregels opperduidelijk zijn onvoorwaardelijk voorrang verlenen. Auto’s is anders: daar werkt de ‘recht voor je kijken’ aanpak veel minder goed bij.

Ik ben er al jaren van overtuigd dat fietsers in Stad steeds meer een verkeersgroep wordt die het onderling niet zo nauw met de verkeersregels neemt. Nee, sterker, de verkeersregels altijd zo uitlegt dat er zo weinig mogelijk gestopt hoeft te worden. Ik denk dat ‘gelijk groen’ een handje helpt om de mentaliteit van fietsers te verharden. En ik denk dat we in een fase zitten waarin fietsers ook andere weggebruikers ‘opvoeden’ om hen de ruimte te geven.

Volkswagen is betrokken bij één van de ergste milieuschandalen in de autoindustrie tot heden en de kans is groot dat ze het als merk niet overleven. Onderzoek van de Amerikaanse EPA heeft uitgewezen dat de software van “four-cylinder Volkswagen and Audi diesel cars from model years 2009-2015” de dieselmotoren voorzichtiger en zuiniger laat draaien tijdens emissietesten en “[t]his results in cars that meet emissions standards in the laboratory or testing station, but during normal operation, emit nitrogen oxides, or NOx, at up to 40 times the standard“. Ik heb geen VW diesel en er nog nooit eentje gehad ook. Maar ik begrijp het testvak heel goed en kan me goed voorstellen hoe deze situatie is ontstaan. En ook wat de gevolgen gaan zijn, ondanks de panische pogingen van Volkswagen om de hele situatie onder controle te krijgen.

Volkswagen heeft, aldus het rapport van de EPA, een reeks automodellen, variërend van Beetle, Golf, Passat en Audi A3, voorzien van motormanagementsoftware dat rekening houdt met testomstandigheden en onder die omstandigheden de motor beduidend ‘schoner’ laat draaien. Dit heeft tot gevolg dat deze dieselmotoren tijdens de testen heel goed scoren, maar bij werkelijk gebruik tot 40 keer de toegestane uitstoot geven. Dat heeft ervoor gezorgd dat bij alle officiële testen deze motoren tot schoonste in hun klasse zijn uitgeroepen, een gegeven waarmee Volkswagen jaren heeft geadverteerd.

Gisteren reden we in Duitsland en hoorden we op de radio de Duitse stand van zaken rondom dit ‘softwareprobleem’, aldus de radio-DJ. Het zou gaan om wereldwijd “10 miljoen auto’s en de eigenaren hiervan zouden gratis een software update krijgen om de softwarefout te herstellen.” Dat is ook een manier om paniek te voorkomen. Het vervalsen van testresultaten is echter geen ‘softwarefout’ maar een doelbewuste poging de auto’s in de testen beter naar voren te laten komen dan in het werkelijke gebruik mogelijk zou zijn. ‘Vapourware’ is de term.

Wat mogen we verwachten als resultaat van deze fraude:

• De media probeert dit gegeven zo lang mogelijk uit te melken en zal iedere softwarefout interpreteren als ‘net zoals Volkwagen’
• De EPA gaat ook andere merken en types auto’s aan de tand voelen en tot de conclusie komen dat er nog veel meer gesjoemeld is
• De Nederlandse Belastingdienst zal in eerste instantie niet moeilijk doen, maar dan onder druk van de EU besluiten tot naheffing op de ‘vieze diesels’ en de bijtelling met terugwerkende kracht verhogen
• Volkswagen zal verantwoordelijk worden gehouden voor de extra vervuiling en extra bijtelling en zal de auto eigenaren moeten compenseren. Verschillende advocatenkantoren zullen hier collectieve rechtszaken voor beginnen
• De consument zal geen genoegen nemen met een software update waarmee de testresultaten nu niet meer worden vervalst, hij zal de schone diesel willen waarvoor hij heeft betaald. Na de software update zijn alle Volkswagens ‘vieze diesels’ geworden met een 40 keer hogere uitstoot dan wettelijk toegestaan. Het gevolg is dat Volkswagen grote investeringen moet doen in álle auto’s die zijn voorzien van de gewraakte software. Deze aderlating zal Volkswagen niet te boven komen

Haal de popcorn maar uit de kast!

Afgelopen week kwam in de auto het onderwerp ‘buitenaardsen’ bij de kinderen op. En waar die dan wonen, op Mars ofzo. En dat er nog wel meer planeten moesten zijn bij andere sterren. Als ouder herinnerde ik me de Fermi paradox enigszins, die bekend staat als de vraag van Enrico Fermi, “waar is iedereen?”. Een goed excuus om de details nog een keer boven te halen van één van de grootste vraagstukken waar de wetenschap mee worstelt: “Is er intelligent leven op andere planeten?”

Het heelal is groot. Naar alle waarschijnlijkheid, volgens natuurkundige wetten die we nog niet begrijpen, oneindig groot. Het heelal bevat een eindig, maar nog steeds onvoorstelbaar groot aantal melkwegen. Eén van die melkwegen is de onze. Iedere melkwegstel bevat een eindig, maar echt onvoorstelbaar groot aantal zonnestelsels: een ster met nul of meerdere planeten die eromheen cirkelen. In onze eigen melkweg bevinden zich tussen de 100 en 400 miljard sterren. Er zijn naar schatting 250 miljard melkwegen in het gehele heelal. En dat maakt dat er tussen de 10²² en 10²⁴ sterren bestaan. In vergelijking, dat zijn 10.000 sterren voor iedere korrel strandzand op aarde.

Niet alle sterren zijn van het type ‘zon’ en niet alle zonnen hebben een ‘aarde-achtige’ planeet om zich heen cirkelen. De meest conservatieve tellingen stellen dat 1% van de sterren een min-of-meer bewoonbare planeet heeft en dat maakt dat er naar schatting 100 ‘aarde-achtige’ planeten bestaan voor iedere korrel zand op aarde. Dat zijn heel veel mogelijke plaatsen waar intelligent leven kan ontstaan, heel veel planeten waar een intelligente beschaving op zou kunnen (hebben) bestaan.

Op hoeveel planeten van het type ‘aarde’ kan intelligent leven bestaan? De schattingen lopen hier weer uiteen, maar gegeven een voldoende lange tijdspanne, zou er op 1 op de 100 ‘aarde-achtige’ planeten intelligent leven kunnen zijn. Als we dan naar onze eigen melkweg kijken dan verwachten we alleen hier al 100.000 planeten met intelligente beschavingen. 100.000.

Er zijn verschillende organisaties die actief en intensief zoeken naar signalen van beschavingen op andere planeten. SETI is de bekendste. En de gezelligste, als we de Nederlandse tak mogen geloven. Als we gelijk hebben met 100.000 beschavingen en een fractie hiervan zendt (net als wij) signalen uit om contact te leggen met andere beschavingen dan zou je verwachten dat er al contact is geweest. Maar dat is niet zo. We hebben geen enkel signaal van buiten opgevangen. Geen hik.

Onze aarde is 4,54 miljard jaar oud. We zijn een planeet met een gemiddelde leeftijd. Dat betekent dat er ook veel oudere planeten zijn. De beschaving van een planeet van 6 miljard jaar oud zou wel eens 1,5 miljard jaar vóór kunnen lopen op de beschaving van de aarde. Je zou verwachten dat die beschaving in 1,5 miljard jaar het probleem van goedkoop ruimtereizen heeft opgelost en de hele melkweg bezocht en bevolkt heeft. We zouden in elk geval sporen van hun bezoek aan de aarde gevonden moeten hebben. Maar dat hebben we niet. Dit vormt de kern van de Fermi-paradox: er zijn genoeg planeten waar leven op heeft kunnen ontstaan en veel planeten hebben tijd genoeg gehad om intelligente beschavingen voort te brengen die hele melkwegen bevolkt moeten kunnen hebben. Waar is iedereen?

De Fermi-paradox heeft geen oplossing of antwoord, maar voldoende speculatie en gissingen, die in twee kampen vallen:

• Er zijn geen sporen en signalen gevonden van buitenaardse beschavingen, omdat er geen buitenaardse beschavingen zijn
• Er zijn buitenaardse beschavingen, maar er zijn logische verklaringen voor waarom we niets van hen hebben gehoord

Econoom Robin Hanson heeft in 1996 een artikel geschreven getiteld The Great Filter – Are We Almost Past It?, dat nog steeds het centrale werk in het eerste kamp vormt. Samengevat stelt het, dat het ontstaan van een beschaving samenhangt met een aantal onwaarschijnlijke gebeurtenissen (filters) die maken dat er ofwel op heel weinig planeten leven kan ontstaan, of dat een beschaving na een bepaalde tijd niet meer kan overleven. Bijvoorbeeld omdat de vaardigheid om grootschalig ruimtereizen te maken meestal naijlt op overbevolking en klimaatveranderingen: de planeet is ‘op’ voordat de bewoners ervan kunnen ‘ontsnappen’. Maar Hanson is slechts één van de velen met een theorie.

Eén van mijn favoriete SF-auteurs, Alastair Reynolds, gebruikt de Fermi Paradox en het filter vaak als thema in zijn boeken. En ook hij is niet de enige.

Het tweede kamp speculeert over verschillende verklaringen, die uiteenlopen van dat de overheid contacten in een doofpot stopt, tot ‘we zijn nog niet voldoende ontwikkeld om contact te leggen’ en we worden in de gaten gehouden maar met rust gelaten.

Overigens is er nog een derde kamp, die stelt dat de wetenschap er bewust een potje van maakt en dat de aarde gewoon zo oud is als in de Bijbel wordt gesteld, namelijk 8.000 jaar.