Blog - Andersom denken in security

Een Engelse edelman speelde zo graag urenlang kaart, dat hij zijn spel niet wilde onderbreken voor iets onbenulligs als eten. Hij vroeg daarom zijn kok om zijn boterhammen te beleggen met komkommer, zalm en jam, maar bovenop een extra boterham te plaatsen. Dat at gemakkelijker met één hand, zeker omdat de broodkorstjes verwijderd werden door deze medewerker van de Graaf van Sandwich.

Een tweede Engelsman ging graag op jacht. Hij had daarbij wel behoefte aan een warm bovenlijf maar wilde bewegingsvrijheid voor zijn armen bij het schieten. Daarom verwijderde hij van een trui de mouwen. Zo vond de heer Spencer het kledingstuk uit dat men in Vlaanderen meestal ‘debardeur’ noemt.

Een Engelse uitvinder ging verhuizen, kocht vloerbedekking van vijf meter breed en ontdekte dat zijn nieuwe woonkamer slechts 4.74 meter breed was. Als hij nu eens een klein, maar vlijmscherp mes had waarbij je, wanneer je een tijdje niet hoeft te snijden, het lemmet veilig kunt opbergen in het heft! Ook de heer Stanley verbeterde dus nut en effectiviteit van een bestaand voorwerp (het tapijt) door iets ervan weg te halen. Piloot en schrijver Antoine de Saint-Exupéry stelde in dit kader (in het Frans): “Perfection is achieved not when there is nothing more to add, but when there is nothing left to take away.” Het verschil tussen het topmodel met alle opties van een Duitse automobielfabrikant en de ultrasimpele stapelstoel van een Zweedse meubelleverancier.

Voor securityprofessionals is dat een interessante benadering: kijken of je iets uit het pakket van getroffen beheersmaatregelen kunt weglaten, terwijl het geheel toch nog blijft werken. Kort maar krachtig. Less is more.

Omdenken
Met een Stanleymes kun je ook cabinepersoneel in een vliegtuig bedreigen, zodat ze de cockpitdeur voor je openen. Waar de piloten kunnen worden gedwongen om plaats te maken voor aanvallers. Volgens een populaire complottheorie konden ongeveer 14 samenzwerende kapers van vier vliegtuigen op één dag (11 september 2001) zo de vier cockpits binnendringen. Redteams bij allerlei luchtvaartmaatschappijen bedachten een dag later dat er veel meer levensgevaarlijke voorwerpen in de passagierscabine aanwezig kunnen zijn. Met een hoofdtelefoonkabel of de 85 meter tape in een C60-cassette in een Walkman (loopt op 4,75 cm/s) kun je iemand wurgen of knevelen. Een doorgebroken CD levert vlijmscherpe scherven. Het bij de maaltijd verstrekte plastic bestek of een meegebrachte tandenborstel vormen doorgebroken dodelijk steekwapens. Met een (make up) potlood of balpen in je neusgat of oor snapt iedereen meteen hoe kwetsbaar je hersens eigenlijk zijn. En de geplastificeerde kaart met veiligheidsinstructies kun je als een frietzak oprollen, zodat je met de harde en scherpe punt een purser of stewardess op zijn/haar strottenhoofd of slaap kunt slaan.

Een stukje ‘andersom denken’ dus. Want zaken, die in beginsel nuttig of plezierig zijn of zelfs een pure securitymeasure zoals die veiligheidsinstructies, kunnen met de verkeerde bedoelingen in tegengestelde richting werken. Het is daarom goed om je als securityprofessional af te vragen: kan die super gebruikersvriendelijke password-reset-via-telefoon-procedure misschien ook misbruikt worden?

Afsluiten
Hobbymessen of ‘boxcutters’ mag je sinds 11 september 2001 niet meer meenemen in je handbagage. Om de andere genoemde zaken niet óók te moeten verbieden en een toxische sfeer van ‘je mag tegenwoordig ook niks meer’ te vermijden, besloot men de cockpitdeur in elk vliegtuig te verstevigen, ze naar de passagierscabine toe te laten opendraaien en ze af te sluiten vanuit de cockpit. Hoewel vliegmaatschappijen de klanten en bemanning wel als hun ‘crown jewels’ zien, koos men ervoor juist de besturing van het vliegtuig door piloten af te schermen van de aanvallers. Daardoor ontstaat in elk geval een ‘bottleneck’ en in het slechtste geval een SPOF (Single Point of Failure). Je kunt deze oplossing zien als een extreme vorm van netwerksegmentatie. Of als een plaatsgebonden autorisatiemaatregel: alleen de tweede piloot of de gezagvoerder (authenticatie) mag de deur immers openen (autorisatie) en alleen vanuit de cockpit (plaats). Afsluiten van de cockpitdeur van binnenuit kan op diverse manieren:
1. simpele schuif of haakje;
2. fysieke sleutel;
3. iris- of vingerafdruk-scanner;
4. wachtwoord of pincode.

Schuifje
Een mechanisch schuifje wordt op toiletten veel gebruikt en geeft de gebruiker van de ruimte een bepaalde mate van vertrouwelijkheiddoor andere mensen de beschikbaarheid van de ruimte te ontzeggen. Mooi is dat een mechanische schuif ook werkt na uitvallen van alle elektriciteit, zoals bij een landing op zee. Dat een eenvoudige schuif of haak niet van buitenaf te openen is, is ‘lastig’ bij twee bewusteloze piloten tegelijk. Want een passagier met vliegbrevet kan dan niet de besturing even overnemen.

Sleutel
Een fysieke sleutel is een vorm van tweefactor-autorisatie. Behalve wie je bent (de piloot, dus in de cockpit) moet je ook iets ‘hebben’ om het slot te openen. Een contactloze sleutel, zoals veel personenauto’s tegenwoordig hebben is in het vliegtuig ongewenst. Daarmee is immers een relay-attack mogelijk, door met een speciale antenne het radiosignaal van de sleutel op te vangen en dat versterkt opnieuw uit te zenden. Bij een fysieke sleutel is het verder van belang dat het slot niet vanaf de cabinekant toegankelijk mag zijn voor een handige ‘lockpicker’. Omdat een vliegtuig (volgens mijn informatie) gestart wordt met een knop, dus zonder contactsleutel, is dit geen pilootvriendelijke oplossing: die lui moeten al aan zoveel dingen denken!

Vingerafdruk
Een scanner van een iris of vingerafdruk is wel heel hip, maar niet praktisch. De bemanning van vliegtuigen wisselt steeds en je moet dan een database met irisscans en vingerafdrukken van alle piloten in dienst van de vliegtuigmaatschappij in elk vliegtuig opslaan. Of om het echt moeilijk te maken: een aparte database per type vliegtuig waarvoor een deel van de piloten gebrevetteerd is, rekening houdend met wanneer de piloot op herhalingsoefening (examen) moet. Bovendien moet je al deze databases bijwerken bij personeelsmutaties. Daarbij komt dat bij een noodgeval (landing op zee of brand) de scanner niet werkt door gebrek aan elektriciteit.

Pincode
Een pincode bestaat uit cijfers (vaak vier). Een wachtwoord is meestal langer en bevat naast cijfers ook hoofdletters, kleine letters (soms uit andere talen) en bijzondere tekens. Zoals het liggende streepje, maar meestal niet de ‘schuine streep’ of ‘asterisk’ — probeer die maar eens. Daarmee is een wachtwoord moeilijker te raden, maar ook veel lastiger om snel in te voeren voor een piloot, die in het algemeen bij een ramp (of plotse diarree) de cockpit snel zal willen verlaten. Ook een pincode werkt helaas alleen zolang er ‘stroom’ is.

Oude meuk
Met elke gekozen oplossing voor het cockpitslot, komen er dus nieuwe problemen die zelf ook opgelost moeten worden. Vraag je dus als securityprofessional af: welke extra securityproblemen worden veroorzaakt door mijn nieuwe securityoplossing? Het antwoord op die vraag kan ertoe leiden dat je kiest voor gebruik van een ouderwetse (maar bewezen) securitymaatregel. Bij alle genoemde afsluitmogelijkheden werkt de eis dat de deur alleen vanuit de cockpit geopend mag worden, als extra beveiligingsmaatregel. Als het beter lijkt dat de deur in noodgevallen toch ook van buitenaf geopend moet kunnen worden, kunnen we het simpele haakje aan de binnenkant van de cockpit niet gebruiken. Daar kun je immers niet bij vanuit de cabine. Men werkt in Amerika aan een elektronische scanner met een ‘fail safe’ waardoor het slot automatisch opent bij een cabinetemperatuur boven 40 graden Celsius (brand) of bij meer dan 1.20 meter water in de cabine (landing op zee). Deze bestaat echter nog niet.

Het ouderwetse wachtwoord wordt bij tweezijdige toegang echter aantrekkelijker. Het is namelijk de enige optie waarbij degene die het slot opent, het zelf ook echt moet willen. Een vingerafdruk of irisscan kan worden afgedwongen, zeker als het slachtoffer vastgebonden of bewusteloos is. Een fysieke sleutel kan worden afgepakt, door een zakkenroller of gauwdief zelfs ongemerkt. Maar een wachtwoord kan je, ondanks bedreiging of marteling van jezelf of je collega of een passagier, toch voor jezelf houden of bewust drie keer verkeerd invoeren. Omdat het iets is dat alleen jij wéét. In plaats van iets dat je hebt (fysieke sleutel) of bent (biometriescans). Ook dit is daarom een nuttige vraag aan jezelf om je creativiteit te prikkelen: is ouderwetse meuk misschien toch nog steeds de beste oplossing voor mijn actuele securityprobleem?

Of stel die vraag gewoon aan ChatGPT?!

Robert Metsemakers
Robert Metsemakers schrijft op persoonlijke titel en is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com

Dit blog verscheen in IB1-2024.