Gegevens op uw laptop, smartphone of usb-stick kunnen verbluffend gemakkelijk verloren gaan of gestolen worden. Vertrouwelijke informatie ligt dan op straat. Gelukkig bedenken beveiligingsexperts steeds slimmere manieren om mobiele data te beveiligen.
Zo onnozel als voormalig officier van justitie Joost Tonino is niemand meer. Tonino werd eind 2004 de risee van Nederland, nadat hij zijn afgedankte pc op straat had gezet. Eenvoudig tussen de plastic tassen, naast het gewone huisafval. Beetje dom. Een taxichauffeur maakte zich meester van de buit en leverde het presentje keurig af bij misdaadverslaggever Peter R. de Vries. Die kon het niet laten saillante details openbaar te maken die hij probleemloos van de harde schijf van de Tonino-pc had geplukt. Toen kort daarop ook nog eens de mailbox van de geplaagde Tonino werd gekraakt, was de maat vol. De 38-jarige fraudeofficier zag zich genoodzaakt zijn ontslag aan te bieden. Dat verhaal mag intussen genoegzaam bekend zijn. En zo onnozel als Tonino zijn we met zijn allen toch al lang niet meer? Wie zet nu nog z’n pc op straat?
Vorig jaar werd op de markt in Kabul, Afghanistan, een geheugenstick van een Amerikaanse legerbasis te koop aangeboden door een tiener. De usb-stick bleek bij nader inzien een vracht Amerikaanse defensiegeheimen te bevatten. En dat is geen op zichzelf staand geval. Ook een kapitein van de Nederlandse landmacht liet een usb-stick met geheime informatie achter in een huurauto in Afghanistan. Een gewaarschuwd man telt voor twee militairen? Helaas. In augustus vorig jaar werd bekend dat defensie alweer een ‘gegevensdrager’ kwijt was. De verloren stick werd deze keer in Kamp Holland, de Nederlandse basis in Uruzgan, zoek gemaakt. Doen ze het erom?
Beveiligingsexpert Chantal ’t Gilde van het Zweedse Pointsec toont zich vergevingsgezind. “Een usb-stick laat je zo uit je broekzak glippen,” zegt hij vergoelijkend. Toch blijft het ook hem verbazen dat ‘professionals’ nauwelijks lijken te beseffen wat de waarde is van de data die ze overal meeslepen. Volgens de Belg Martin Pivetta van internetbeveiliger McAfee is het verlies van een usb-stick fataal. “De
eerlijke vinder kan die usb-stick, anders dan bij een portefeuille het geval is, niet aan de eigenaar terug geven. Eigendomsgegevens komen niet standaard op de stick voor.” Geheugenkaartjes van 1 GB zijn tegenwoordig de norm. Zelfs de Hema verkoopt ze. Ze kosten vrijwel niets en ze zijn amper groter dan een duimnagel. Volgens Pointsec kun je op een kaartje van 1 GB een hoeveelheid informatie opslaan die in fysieke vorm overeenkomt met 100 kratten papier. Op een doorsnee geheugenkaart van 1 GB kun je een slordige 1 miljoen e-mails kwijt.
Taxi
Niet alleen militairen en officieren van justitie gaan slordig met gegevens om. Pointsec heeft Londense taxichauffeurs laten bijhouden wat ze jaarlijks in hun auto’s vinden aan gadgets. In de tweede helft van vorig jaar was de oogst aan verloren voorwerpen in Londense taxi’s: 54.874 mobieltjes, 4.718 pocket pc’s, 3.179 laptops en 923 usb-sticks en of andere geheugenkaarten. Volgens ander onderzoek gaan in Nederland op dezelfde manier 22.000 laptops per jaar verloren. Daarbij komen niet alleen briefgeheimen in verkeerde handen, merken de experts. Vooral gaan op die manier krankzinnig stemmende hoeveelheden geld de mist in. Niet alleen omdat de verloren laptop vervangen moet worden, maar vooral ook omdat bedrijfsgegevens zoek raken. Die gegevens zijn vaak goud waard.
“Ik ken genoeg collega’s die een laptop verloren hebben.” Volgens Derk Wagelaar van Microsoft is ongeveer de helft van de pc’s die thans in omloop zijn een laptop. And guess what? “80 procent van de bedrijfsgegevens staat op die laptops, niet op servers.” Security is een hot item bij Microsoft sinds Bill Gates in 2002 een ‘call-to-action’ stuurde naar zo’n 50.000 collega’s: ‘building a trustworthy computing environment is the highest priority for our company and our industry for the next decade’. De beveiligingsaspecten die Wagelaar van Vista laat zien, zijn indrukwekkend. Maar bij producten van Microsoft blijft het altijd de vraag hoe lang het duurt voordat ze gekraakt worden. Dat neemt niet weg dat de verantwoordelijkheid immens is als een systeem wordt gehackt. Organisaties zijn verplicht om alles te doen om persoonsgegevens die ze in bezit hebben te beschermen. Daar is wetgeving over. Chantal ’t Gilde merkt op: “Financiële instellingen of bedrijven die security hoog in het vaandel hebben staan, erkennen dat het rondreizen met gegevens van klanten ernstige gevaren kan opleveren.”
Maar de beveiliging van mobiele data is een heel andere zorg dan de beveiliging van data die het pand niet verlaat. Met andere woorden: bedrijfsgeheimen kunnen intern met een firewall gedeeltelijk beschermd worden, maar als die data het bedrijf verlaten stelt een firewall ineens helemaal niets meer voor. Versleuteling, ofwel encryptie blijkt dan het toverwoord.
Met encryptie worden de data volledig versleuteld en zijn deze alleen te ontsluiten met de juiste keys.” Versleuteling dus. Ook bij Pointsec. “Op het moment dat je aanlogt, is het allereerste scherm dat je te zien krijgt een scherm van Pointsec,” zegt Chantal ’t Gilde. “Daar moet je een wachtwoord opgeven, anders kom je niet in het systeem. Maar de beveiliging kan ook uitgebreid worden met een smartcard of een token.” Hij ziet beveiliging van een usb-stick als een drietrapsraket: “Je moet een naam opgeven: wie je bent. Een wachtwoord: iets dat je weet. En tot slot een token: iets dat je hebt.
Wat is veilig
Wat is een veilige usb-stick? Ronald Prins, directeur van de Nederlandse beveiligingsspecialist Fox-IT, vertelt dat een aantal klanten bij de overheid hem die vraag stelden. Reden om onderzoek te doen naar de mate waarin de gegevensdragers beveiligd zijn. De onderzoekers gingen uit van de veronderstelling dat een fanatieke journalist tussen de 25.000 en 50.000 euro over heeft om de beveiliging van een stick te doorbreken. Prins vertelt dat ze tig manieren bedachten om dat waar te maken. “We sloopten ze open. We bekeken aan de binnenkant wat voor chips erin zitten. Soms claimt de producent dat de data op de stick versleuteld zijn, maar vaak blijkt dat dit helemaal niet het geval is. Vaak kun je de geheugenchip uitsolderen en ruw uitlezen met een apparaatje. Verder kun je op sommige sticks onbeperkt wachtwoorden uitproberen, terwijl het de bedoeling is dat zo’n stick ‘op slot’ gaat na maximaal tien pogingen.” Prins wil niet zeggen wat nu een goede usb-stick is. Om commerciële redenen. Hij wil zijn onderzoeksrapport duur verkopen aan belangstellenden en zij die het rapport gekocht hebben, mogen er niet uit citeren. Dat neemt niet weg dat de resultaten volgens Prins ronduit bedroevend zijn: “Ook al omdat het niet extreem moeilijk is om die sticks wel veilig te maken. Fabrikanten zeggen nu: hadden we dat eerder geweten, dan hadden we meteen een goede stick kunnen maken.”
Kill pill
Op een beurs over elektronische beveiliging in Nice liepen werknemers van RIM te pronken met de nieuwste BlackBerry Pearl. De demonstratie die RIM – de producent van de populaire smartphone – gaf had een hoog James Bondgehalte. In combinatie met een smartcard kan de BlackBerry zo worden ingesteld dat de inhoud van het apparaat wordt gewist wanneer er tussen de eigenaar en de smartphone twintig of vijftig meter afstand zit. Het idee hierbij is dat er bij een bepaalde afstand sprake is van diefstal of verlies. Als een dergelijke situatie zich voordoet, krijgt de BlackBerry automatisch een zogenaamde ‘kill pill’ die hem definitief uitschakelt. Niettemin vindt de AIVD de BlackBerry niet veilig genoeg voor opslag of transport van staatsgeheimen.
