Blog - Security inspiratie uit Italiaanse koffies

Door Robert Metsemakers 17 feb 2023

Italiaanse koffies maken mij gelukkig. Lees hier hoe ze je ook kunnen inspireren op security-gebied.

Cappuccino
De ochtend na mijn eerste overnachting in Reggio Emilia ontdekte ik hoe echte Italianen ontbijten: een cappuccino, staand en pratend gedronken in de ontbijtzaal en een sigaret, stijlvol opgerookt in de naastgelegen binnentuin. Het mij als “Engels en geschikt voor toeristen” aanbevolen hotel bood geen Engels ontbijt, maar ruim voldoende zachte broodjes, beleg, hardgekookte eieren, muffins en croissants. De Italiaanse gasten taalden hier niet naar en namen alleen een espresso met daarop een flinke hoeveelheid warme geschuimde melk. Door je oogharen lijkt dat inderdaad op de bruine pij en witte kap van een kapucijner monnik (Ordo Fratrum Minorum Capucinorum). Na mijn ontbijt zag ik tijdens het wandelen door de pittoreske plaats meer inwoners cappuccino drinken, maar na half elf was dat voorbij. Dit gebruik verklaart de verbaasde blikken van Italiaanse obers wanneer Nederlandse toeristen, na het nuttigen van een salade, een portie pasta, een volledige pizza en alle op tafel gepresenteerde olijven en stokbroodschijfjes met kruidenboter, als toetje bij hen ook nog een volledig ontbijt bestellen. Dat is net zo raar als pas na afronding van een security-issue de gang van zaken te gaan evalueren. Oh wacht, zo doen we het meestal juist wel in securityland! Alleen bij een uitwijktest lopen er al tijdens de testuitvoering personen rond die zelf niet uitwijken, maar louter waarnemen, interpreteren, opschrijven en melden wat er goed en vooral fout gaat. Evalueren (zie ook: “grondig onderzoeken, alle feiten op tafel, achterliggende oorzaken diepgaand inventariseren en de onderste steen boven halen” in Den Haag), kun je natuurlijk nooit vooraf doen. Maar tijdens het proces vind ik wel nuttiger dan alleen achteraf. Want wie weet of je later de ‘lessons learned’ (zie: “take aways, ja er zijn fouten gemaakt, hebben veel geleerd, gaan nog meer ons stinkende best etc.”, idem) in precies hetzelfde incident kunt toepassen? Beter ten halve gekeerd, dan ten hele gedwaald. En om dat te bereiken, kun je je leermomenten maar het beste zo vroeg mogelijk in het proces pakken.

Espresso is de basis
Veel Italiaanse kantoren en bedrijven hebben geen eigen koffievoorziening. Medewerkers lopen dus enkele keren per dag naar buiten om in een café een koffie te drinken. Een perfecte ‘espresso’ maak je door een straal warm water 25-30 seconden lang onder druk (9 atmosfeer of meer) door een dunne en geperste laag van zeven gram gemalen koffie te laten lopen. Resultaat is een concentraat - niet meer dan 30 ml - van puur smaakgenot.

Staand en aan de bar gedronken is de ‘espresso’ goedkoper dan wanneer je aan een tafeltje gaat zitten. Wie weinig tijd heeft, bestelt een ‘ristretto’. Door het beperken (denk aan: restrict) van de hoeveelheid water krijg je een heel sterke koffie die je in één slok kunt innemen. En dan snel weer aan het werk natuurlijk. Met meer tijd en dorst neem je een ‘doppio’, een dubbele espresso in een kopje. Vind je dat te duur, dan laat je een enkele espresso met heet water aanlengen tot een ‘lungo’. Ook wel ‘Americano’ genoemd, omdat Noord-Amerikaanse toeristen van grote kartonnen (bah!) bekers met slappe slobberkoffie houden. In Oostenrijk, waar de eerder genoemde croissant is uitgevonden onder de naam ‘Hörnchen’, heet zo’n espresso met extra water erin prozaïsch een ‘Verlängerte’. Veel duidelijker beschrijven kan niet, al komt het Duitse “koude rauwe dode vis” voor Japanse sushi dicht in de buurt. Voor goed en stevig schuim op een cappuccino gebruikt men halfvolle melk op de espresso. Maar als je warme volle melk in een glas doet en dan voorzichtig een espresso erbij giet, ontstaan er mooie lagen in meerdere kleuren bruin en heb je een ‘Latte’ gemaakt. Met een lepel kun je die lagen door elkaar roeren, zodat een Duitse ‘Milchkaffee’ ontstaat. In Nederland heette dit vroeger ‘koffie verkeerd’, maar dat is tegenwoordig niet meer foutloos te bestellen bij een louter Engelstalige ober.

Al die varianten op die ene ‘espresso’ gemaakt onder hoge druk doen mij denken aan APT. De aanvalsgroepen [1] die een Advanced Persistent Threat vormen, verzinnen natuurlijk zelf stoere namen (tiger, bear, gator) voor hun bendes, hacking-softwareleveranciers en samenwerkingsverbanden. Toch krijgen ze van security-onderzoekers ook een APT-volgnummertje. Omdat de volgnummers doorlopen over meerdere landen heen, suggereert bijvoorbeeld APT28 (Rusland) dat er nog minstens 27 andere aanvalsgroepen uit Rusland zijn. Uit bijgaande tabel blijkt echter dat de meeste APT-groepen geattribueerd worden aan China. Niet elke APT-groep heeft het op bijvoorbeeld banken of ziekenhuizen gemunt. Wel mikken vele groepen op het ‘Militaire Industrie Complex’. Deze langdurig (zeer) goedverdienende bedrijfstak is aantrekkelijk voor ransomware-aanvallen. Maar veel verdedigers nemen aan dat de aanvallen op MIC door APT-groepen als proxy uitsluitend in opdracht van landen (nation states) gebeuren. Gooi de diverse doelwitten van de verschillende APT-groepen op één hoop en kijk puur naar de aantallen groepen en niet naar hun feitelijke omvang en of ze nog steeds actief zijn. Dan kun je stellen: “de grootste cyberdreiging voor de wereld (en dus Nederland) komt uit China”. Een conclusie die ook de AIVD een tijd geleden trok. Naar ik hoop op basis van meer onderzoek dan alleen mijn bijlage met een samenvatting van APTactors en hun vermoedelijke (!) herkomstlanden. Enkele groepen in de tabel hebben meerdere namen. Sommige security-onderzoekers denken op basis van overeenkomsten in criminele aanpak, geraakte doelwitten en hergebruik van specifieke (delen van software) code dat het toch een en dezelfde groep is. De lijst is dus mogelijk overcompleet en zeker niet uitputtend: de beste APT’s staan er niet op!

Bijzondere variaties
Een ‘caffè corretto’ wordt ‘verbeterd’ door er een scheutje grappa, cognac of sherry bij te gieten. Wanneer je als Nederlandse toerist in Italië als een echte ‘local’ nonchalant een ‘corretto’ bestelt, krijg je dus (in het Italiaans!) de detailvraag ‘wat wil je er in?’. De allermooiste variant vind ik de ‘caffè sospeso’ (denk aan: suspended). Deze ‘uitgestelde koffie’ is een traditie in de koffiebars van Napels. Wanneer de klant uit vrijgevigheid een ‘sospeso’ bestelt, betaalt hij twee koffie maar krijgt er slechts een. Een waardebon voor de tweede kop gaat met een magneet of plakband op de espressomachine, de bar of het buitenraam. Iemand zonder geld, maar met zin in koffie kan vragen of zelf zien “of er nog een koffie in de wacht staat” en deze op de gezondheid van de schenker lekker opdrinken. Zo kun je ook eigen kennis en ervaring met securityzaken (wel achteraf, zie ‘cappuccino’) gratis delen met andere personen, bij voorkeur in je eigen bedrijfstak. Als iedereen dat in vertrouwen en naar draagkracht doet, ontstaat vanzelf een ‘wisselgeldgemeenschap’ waarin uiteindelijk elk lid leert en beter wordt.

Referentie
[1] Meer informatie over APT-actors op
https://en.wikipedia.org/wiki/Advanced_persistent_threat

Bijlage Advanced Persistent Threats Actors (APTs)
Onderstaande lijst staat in andere volgorde, met informatie over doelwitten en aanvalstechnieken op https://www.mandiant.com/resources/insights/apt-groups
Let op: overal staat suspected attribution. AKA = also known as.
APT41 China
APT40 China
APT39 Iran
APT38 North Korea
APT37 North Korea
APT35 Iran - AKA: Newscaster Team
APT34 Iran
APT33 Iran
APT32 Vietnam - AKA: OceanLotus Group
APT31 China
APT30 China
**APT29 Russian (staat niet in deze lijst, maar elders wel attributie aan Rusland)
APT28 Russian government - AKA: Tsar Team
APT27 China
APT26 China
APT25 China - AKA: Uncool, Vixen Panda, Ke3chang, Sushi Roll, Tor
APT24 China - AKA: PittyTiger
APT23 China
APT22 China - AKA: Barista (leuk! – RM.)
APT21 China - AKA: Zhenbao
APT20 China - AKA: Twivy
APT19 China - AKA: Codoso Team
APT18 China - AKA: Wekby
APT17 China - AKA: Tailgator Team, Deputy Dog
APT16 China
APT15 China
APT14 China
APT12 China - AKA: Calc Team
APT10 China - AKA: Menupass Team
APT9 freelancer group with some nation-state sponsorship, possibly China.
APT8 China
APT7 China
APT6 China
APT5 China
APT4 China - AKA: Maverick Panda, Sykipot Group, Wisp
APT3 China - AKA: UPS Team
APT2 China
APT1 China’s People’s Liberation Army (PLA) General Staff Department’s (GSD) 3rd Department, most commonly known by its Military Unit Cover Designator (MUCD) as
Unit 61398 - AKA: Unit 61398, Comment Crew

Robert Metsemakers

Robert Metsemakers schrijft op persoonlijke titel en is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com

Dit blog verscheen in IB1-2023.