Lang geleden verscheen in bioscopen ver, ver hier vandaan een film getiteld ‘Star Wars’. Dit intergalactische epos over duels met lichtzwaarden, droids en de rebellenalliantie kan ons een hoop leren over het belang van sterke wachtwoorden. Dus in het kader van Star Wars Day (May the 4th be with you!) én World Password Day (vandaag) hier een paar lessen op het gebied van cybersecurity.
- Do or do not, there is no try
De Death Star was bedoeld om het meest ondoordringbare gevechtsstation in het universum te zijn. Het was de trots en glorie van het Galactisch Keizerrijk. Aan het einde van ‘Star Wars Episode IV: A New Hope’ slaagde Luke Skywalker erin twee perfect gepositioneerde protontorpedo’s in de ventilatieschacht van de Death Star te schieten. Een paar seconden later barstte dit gevechtsstation in duizend stukjes uiteen.
Het Galactisch Keizerrijk was er heilig van overtuigd dat de beveiliging ondoordringbaar was. Dit is een duidelijke waarschuwing voor bedrijven dat niets waterdicht is beveiligd. Door de kleinste kwetsbaarheid op apparaten kan een hacker er al malware op installeren. En met een beetje pech kan die zich naar het hele netwerk verspreiden. Allerlei apparaten vragen om de installatie van software-updates, die nodig zijn om beveiligingslekken te dichten. Installeer deze dan ook direct zodra ze beschikbaar komen.
- Help me om je identiteit te bevestigen; je bent onze enige hoop
Stormtroopers zien er allemaal hetzelfde uit. Als je dus één van hun outfits weet te bemachtigen, kun je je moeiteloos als stormtrooper voordoen. Dit werd duidelijk in ‘Star Wars Episode IV: A New Hope’. Hierin stelen Luke Skywalker en Han Solo de outfits van twee stormtroopers om de Death Star binnen te dringen en prinses Leia te bevrijden.
Hackers gaan op een vergelijkbare manier te werk, en identiteitsdiefstal is dan ook een fluitje van een cent. Slechts een paar stukjes informatie zijn voor hen voldoende om zich als iemand anders voor te doen en de organisatie binnen te dringen.
- Wachtwoordloze toegang tot het keizerlijke netwerk
Eenmaal aan boord van de Death Star maakt R2-D2 een rechtstreekse verbinding met het netwerk. Daarmee komt hij de locatie van de bedieningsmechanismen voor de trekstraal te weten, en hoe hij de afvalpers moet uitschakelen voordat die Luke Skywalker, Han Solo, prinses Leia en C-3PO dooddrukt.
Hier is sprake van een paar kritieke beveiligingsfouten. Het begint al met het gebrek aan authenticatie. In plaats van een code of wachtwoord in te moeten voeren, kan de eerste de beste droid direct een verbinding met het netwerk van de Death Star maken. En netwerksegmentatie is ook al ver te zoeken. Als het netwerk was onderverdeeld in afzonderlijke segmenten was de toegang van R2-D2 tot zijn netwerk beperkt gebleven.
- Gebrek aan vertrouwen in cybersecurity is verontrustend
In ‘Star Wars Episode IV: A New Hope’ maakte prinses Leia een opname voor Obi-Wan Kenobi die in R2-D2 wordt opgeslagen. Haar boodschap bevatte informatie die van doorslaggevend belang is voor het overleven van de rebellenbeweging. Het ging om een blauwdruk voor de Death Star, die uiteindelijk in de handen van de rebellenalliantie zou belanden. Een van de generaals van het Galactisch Keizerrijk waarschuwde al dat de rebellen aan de hand hiervan kwetsbaarheden binnen de Death Star konden vinden en misbruiken. Deze waarschuwing werd in de wind geslagen, maar de blauwdruk stelde de rebellen inderdaad in staat om een kwetsbaar punt in de Death Star te vinden, een aanvalsplan op te stellen en het gevechtsstation uiteindelijk te vernietigen.
De les: wees er zeker van dat medewerkers waarschuwingen over potentiële kwetsbaarheden of cyberdreigingen serieus nemen.
- Net zo vatbaar voor social engineering als voor The Force
Wanneer Luke, Obi-Wan Kenobi, R2-D2 en C-3PO een bezoek brengen aan Mos Eisley worden ze tot stilstand gebracht door stormtroopers die op zoek zijn naar twee voortvluchtige droids. De stormtroopers stellen onze helden allerlei vragen en verzoeken om hun identiteitsbewijs. Obi-Wan gebruikt echter een Jedi-truc om hun geest te beïnvloeden en hen ervan te overtuigen dat ze Luke met rust moeten laten en beter hun weg kunnen vervolgen.
Social-engineering-trucs kunnen mensen tot allerlei acties aanzetten. Cybercriminelen maken gebruik van leugens, charisma en charme om hun doel te bereiken. Wees dus op je hoede voor pogingen tot sociale engineering die cybercriminelen ondernemen om gevoelige informatie te bemachtigen.
Conclusie
Difficult to see; always in motion is the future. Dat geldt ook voor cybersecurity. Bijna dagelijks steken nieuwe cyberbedreigingen de kop op, en het is dus ook onmogelijk om deze te voorspellen.
May the Force be with you, evenals het vermogen om van Star Wars te leren op het gebied van cybersecurity.
(Auteur Dirk Geeraerts is vp sales EMEA identity & access management bij Thales.)
Een veel gemaakte vergissing is om wat in films gebeurt te projecteren op de werkelijkheid. Het risico is dan dat men gaat geloven dat beveiliging geen zin heeft. In films immers is alles mogelijk.
Het ware beter het bovenstaande te relateren aan publiciteit over échte beveiliging die (althans tot nu toe) adequaat bleek.
Een veel gemaakte vergissing is om wat op Computable geschreven wordt te projecteren op de werkelijkheid
Om het even chronologisch in de juiste volgorde te zetten, de perfect gepositioneerde protontorpedo’s in een ventilatieschacht waren mogelijk omdat prinses Leia de blauwdruk van de Death Star gelekt had. De VP sales vergeet dat er nog iets vooraf gaat aan identity & access management als we kijken naar zoiets insider threats welke interessant zijn als we kijken naar de verhaallijn van Star Wars want niet alleen cybercriminelen maken gebruik van leugens, charisma en charme om hun doel te bereiken. De wijsheid van Yoda met ‘Difficult to see, always in motion is the future’ is dan ook interessant ook al ziet Dino het anders.