Cyberhelden 65 - Luisteraarsvraag: Hoe blijf ik veilig?

En welkom bij alweer een nieuwe aflevering van Cyber Helden, de podcast waarin ik in gesprek raam met mensen die zich bezig houden met de digitale dreiging. Mijn naam is Ronald Prins en vandaag zit ik aan tafel met Marco Kuipers.

Hoi. En Jelle van Haaster. Hallo. Vandaag eventjes wat minder geopolitiek, geen APT's, geen staatelijke actoren. We gaan het gewoon hebben vandaag over jou en jou thuis en jou laptop en jou computers thuis en je telefoons. Want we kregen een vraag van een luisteraar, Marcos Maat Niels, vast niet z'n echte naam. Als je wel echt werkt. Als je jezelf wilt beschermen. En Odido gaf na de grote hek iedereen een gratis F-Secure abonnement. Is dat een waardevol cadeau of heb jij in de praktijk niet heel veel aan?

Maar eerst wel eventjes, hoe gaat het? Wat hebben we allemaal zitten doen de afgelopen week? Ja, het gaat goed voor mij. Ik heb thuis, heb ik even mijn thuisnetwerk weer eens een keer onder handen genomen, want Unify, ik gebruik ook wel Unify spul, vind ik mooi leuk spul. En die had op een gegeven moment een hele firewalling methodiek op de schop gegooid en we waren overgaan naar zonnes. Dit is overigens al een hele poos geleden en die hebben toen die regels maar gewoon een beetje at random overal naartoe gekopieerd. Dus dat is eigenlijk een beetje puin, sorry. Het werkte, maar het was wel krap. Dus ik heb dat even flink zitten opschonen en ik ben nu weer een beetje meer blij met

hoe mijn thuisnetwerk in zonnes is ingericht. En analyseer je ook regelmatig de logs die die allemaal maken? Ja, zeker. Ik vind het wel geinig om daar een beetje doorheen te scrollen en ik heb ook een tijdje een hele R6 log server gedaan met een hele elk stack erbovenop. Dat doe ik niet meer. Dat is echt too much. Maar het is wel leuk om te zien dat bijvoorbeeld peer to peer traffic wordt heel erg geflagd. Dat is altijd malicious. En als je een keer je Tor browser opent, dan begint dat ding ook gelijk te schreeuwen van paniek. Je kan nu elke dag gewoon naar Cloudpompen en dan hem vragen van ik wil elke dag even een rapportje van je.

Dat is eigenlijk best een geinig idee. Dat ga ik doen. Voor volgende week. Jelle, heb jij nog z'n hobbyen? Nee, het was een beetje deadlife. Dus de zon schijnt. Dus we moesten eerst naar een dierentuin toe en wat familie over de vloer en zo. Super gezellig, maar weinig computer door. Oké. En ik heb hier schijnt te zon ook, maar dat kan nooit als moest zijn. Always. Maar ik heb lekker spelen met de Tetra. Tetra is het de standaard voor digitale communicatie die heel veel overheden gebruiken.

In Nederland ook. Het C2000 netwerk is met Tetra. Het is een Tetra netwerk en natuurlijk super beveiligd. Want zijn doodsbang dat ze kunnen horen waar de politie bezig is. Journalisten vinden dat een ramp. Die vinden dat ze dat moeten kunnen controleren. Maar goed, ik heb een heel leuke SDR USB plug-in. Kost een paar tientjes. RTL SDR is er een van. En als je die gewoon in je laptop prikt en wat software downloadt, dan met wat pielen en met hulp van cloud heb je dat ook zo aan draaien.

En dan kan je het inderdaad gewoon met Tetra meeluisteren. Want hier in Zuid-Afrika is dat niet versleuteld. Ze heeft hier alles opgelost. Het is hier gewoon bij wet verboden om signalen die niet voor jou bestemd zijn, ook al komen ze in je huiskamer om daar naar te luisteren. En dat heb je ook niet meer nodig. Ik heb een paar mensen gevraagd. En ik zat sowieso al weten dat ik hier mee bezig ben. En die zeiden ja, maar ons Tetra netwerk van de city of Cape Town waar dus echt alles op draait hier van politie tot ook met die met elektriciteit en brandweer bezig zijn.

Ja, misschien eigenlijk wel wat ruimer inzet nog dan het C2000 in Nederland. Dat zou allemaal superveilig zijn. En dat kan je echt nooit afluisteren, Ronald. Nou, dat moet je dus nooit zeggen. Dus ik heb nu uren en uren aan tape. Ik durf alleen maar niemand te delen hier, want het is dus gewoon echt heel erg verboden en ik wil niet het land uitgezet worden. Dan hebben we ook nog een paar nieuwtjes wat wat veiliger zijn om even over te praten. Misschien Marco? Ja, ik kreeg van een maatje van mijn leuke website doorgestuurd. Zerodayclock.com. En ik vond het grappig omdat de pas mooi bij de aflevering die we hebben gehad over

Apt 28, waar we het hebben gehad over de hele korte time frame van het publiceren van een patchnotes en dat dan uiteindelijk de kwetsbaarheid wordt gewepennized door een apt. En die zerodayclock die laat eigenlijk zien op basis van allerlei bronnen aan informatie dat de tijdlijn van het weaponizer van vulnerability, dus van vulnerability gaan tot exploitation of uitbuiten van vulnerability, dat die tijdlijn dus echt gewoon gigantisch verkocht is. In 2018 stellen ze dat dat 2,3 jaar was dat die weaponization zoveel tijd kostte.

En in 2026 1,6 dag. Daar, 1,6 dag. Nou goed. Dus dat is een hele, dat gaat nog heel snel heel veel korter worden natuurlijk. Ja, het gaat nog veel korter worden. Zeker met al die cloudcode security en andere initiatieven die gelanceerd zijn. Waarbij Jan A.I. wordt gebruikt voor dit soort vulnerabilities researching zaken. Maar ja, leuke website. Leuk om naar te staren en ook een beetje pijnlijk. Holy fuck. Ik zit ook te kijken naar die projection voor 2028, zeg maar, wat er gewoon staat. 1 minuut.

Je hebt 1 minuut. Go. Dat is wel goed. Je denkt maar nee, ik loop wel naar de koelkast en pak een blikje. Dat is gewoon, fuck, wat ga je doen. Ja. Ja. Dus het is straks voor de CIFI 1 gepubliceerd en binnen 2 minuten is iedereen al gelijk gehackt ermee ook. Ja, dat is wel de prognose inderdaad. Ja, dat is wel heftig. En dan zegt ook iets ook te koop voor je nieuwe mindset eigenlijk, voor beveiliging. Je kunt niet meer uitgaan van je patchmanagement. Dat heb ik vorige keer ook behandeld. Jelle, juist zit China in de dag te monitoren.

Wat heb jij daar naar boven gehaald? Nou, ze hebben dus iets juridisch heel interessant gedaan. Dus ze zijn bezig met de nieuwe cybercrime prevention and control. Deze kreeg ik doorgestuurd van iemand die mij 20 links op een dag stuurt. Dus ik red het samen met die persoon die niet bijna genoemd wil worden natuurlijk. Maar wat ze wel heel interessant doen is eigenlijk gaan van het opsporen. Eigenlijk wat ze in Zuid-Afrika nou eigenlijk ook een beetje doen. Gewoon zeggen, joh, die spullen waarmee je versleutelt, je mag het gewoon niet doen. Je mag gewoon dat spul niet hebben. Je mag geen VPN's hebben. Alles moet in principe zoekbaar doorleesbaar zijn.

Dus VPN's, end-to-end versleutelde chat-apps zijn allemaal expliciet verboden. Als je dat doet, krijg je gewoon gelijk €72.000 dollar boete. Ook als je het daar aan doorontwikkelt. De rechter hoeft daar helemaal niks mee te doen. Deze krijg je gewoon gelijk bam van politie of een opsporningsinstantie. Je krijgt deze op je dak gegooid. Dus het is echt een enorme... Het is best heftig. Dus ze mogen alleen maar WeChat gebruiken en zo. Dus ik weet helemaal niet of Chinese signal en WhatsApp gebruiken.

Maar dat is allemaal verboden nu. Ja, en dus het wordt ook wel genoemd het nieuwe digitale ijzerengordijn. Ze hadden altijd The Great Firewall of China, wat er de hele tijd lag. Maar daar binnen kon je relatief, volgens mij, wel een en ander doen. En dat ze nu eigenlijk alles wat ook maar iets ruikt naar encryptie eraf willen gooien. Ja, dus ze hebben nog tot 2 maart om feedback te leveren op deze wet. Dus een soort publieke consultatie. En dan wordt er verwacht dat die eind 2027 in werking gaat. Dat hebben we nog eventjes.

Ja, en omhoogheid en force, hè. Ja, dat ook. Ja, het helpt wel als je zo groot bent als de Chinese diensten en Chinese politieorganisatie. En de lokale burgerpolitie. En het is wel... Ze hebben wel wat meer autocratische regimes. Ze hebben nou eenmaal wat meer methoden om ergens te enforceen. Ja, maar digitaal enforceen gaat natuurlijk lastig zijn. Zonder ook weer enorme monitoringorganisatie in te richten. Maar ja, die hebben ze ook al een beetje. Maar het is eigenlijk wel, als je gewoon alle pakketjes ziet gaan,

dan zie je ze ook wel naar WhatsApp gaan en naar de signal service. Behalve blokkeren kan je die mensen ook moeten schrijven. Ja, nou, ik heb naar de strategie van Amerika zitten kijken. Die zijn net vorige week ook hebben een cyberstrategie gepubliceerd. Ik weet niet of je nou echt de strategie moet noemen. Maar meer dan de helft gaat eigenlijk over... ...helemaal introductie. En hoe goed Amerika zelf eigenlijk in cyber wereld is, zijn we veruit de allerbeste in de wereld. En...

More than we can comprehend. Ik weet niet of je dat nou normaal in de strategie moet zetten, maar dat ze in Venezuela digitaal maar losgegaan zijn. En dat in Iran de nucleaire infrastructuur kapot hebben gemaakt. Ik geloof niet dat dat normaal past in de strategie. Maar dat hebben ze wel gedaan. En wat er dan... ...hebben ze nog een paar pagina's waar dan de belangrijkste punten in staan. En wat is het dan? Nou, hacking back is een belangrijk punt. We willen dus dat privaterpartijen gewoon heel veel ruimte krijgen om online iedereen en alles helemaal los te hacken.

En... ...regulering zit ook maar in de weg voor allerlei bedrijven. En dan kijken ze natuurlijk een kniphoog of een vuil slag richting Europa, waar wij alleen maar bezig zijn met NIST 2. En denken wij worden veilig omdat we regulering hebben en we bedrijven gaan dwingen om bepaalde... ...dingen die goed zijn om een veilige omgeving te bouwen, omdat we dat ook te implementeren. Amerika zegt juist, nou, dan moeten we mee kappen, want dat zitten bedrijven in de weg. En ja, wat ze nou ook heel erg noemen is dat AI en ook agentic AI, dat is gewoon...

...dat moet helemaal los kunnen gaan. Nou, dat slaat wel mooi aan op de discussies rondom entropic. En ja, maar goed, het is heel raar eigenlijk dat ze publiceren, terwijl ze SciSci, CISA, dus de Amerikaanse NCSC, een beetje groter misschien eigenlijk nog, hebben ze helemaal uitgekleed. Dat was niet meer relevant in de race om te proberen zoveel mogelijk te besparen. Aan de overheidszijde is dat weggehaald. Dus ze laten nu gewoon bedrijven lekker hacken. Dat is ook een manier om dingen op te lossen natuurlijk. We gaan wat echt over hebben.

En dat is zover hoe jij en ik, maar eigenlijk iedereen die computers verbuist, jezelf eigenlijk nou in de praktijk veilig moet houden. We hebben heel veel discussie voorbij zien komen, allemaal expertie tips hadden afgelopen maand, omdat er in Nederland een groot hack had plaatsgevonden. Dus we gaan lekker allemaal open deuren intrappen. Marco, ga jij eens even los? Ja, dus eigenlijk heel erg vergelijkbaar met de fysieke wereld, waarbij inbrekers heel vaak opportunistisch zijn.

Zijn aanval is dat ook. Dus ze zoeken naar laaggangend vooruit. Er is geen enkele motivatie om jou specifiek te targetten. Terwijl je natuurlijk een bepaalde hoogwaardigheidsbekleider bent, of een rol hebt die heel erg relevant is. Maar als gewone huistij- en keukenmedepersoon in Nederland, kan je gewoon slachtoffer zijn van een opportunistische aanval. En dat is bijvoorbeeld onder andere als er van die massa fishing mailtjes de deur uit worden gestuurd. We hebben het ook al over gehad, met de Odido, dat dat er allemaal fishing in de wereld wordt geslingerd. Dat is gewoon opportunisme en kijken wie had.

Ja, dat is gewoon in de massa. Dus je kan er niet zelf veel aan doen of je wel of niet target wordt. Iedereen is target en hackers proberen gewoon met de grote aantallen te kijken naar wie al die trucjes lukken. En dat lukt altijd wel uiteindelijk om er juist binnen te komen. En het is natuurlijk ook iets van alle jaren. Want uiteindelijk, jaren geleden was het al de Nigerian Prince, die een miljoen dollar klaar had staan als je hem zou helpen. En tegenwoordig zijn ze wel wat, de aanvallen zijn wel iets geraffineerder geworden. Maar nog steeds kunnen we een hele hoop doen om ervoor te zorgen

dat we in ieder geval niet onderdeel zijn van het laaghangendheid. Ja, oké. Maar goed, je bent gewoon een heel simpel persoon. Wat moet je nou doen om te zorgen dat je toch wat minder aan de beurt zal zijn met al die hacks? Nou, we hadden op targetgold nog een discussie over waar het spreekwoord vandaan komt. U weet het niet zeker. Maar uiteindelijk, je hoeft niet harder te rennen dan de beer, maar alleen maar harder te rennen dan je vrienden. Nou, dit is natuurlijk een beetje een lugubere gedachtegang, maar uiteindelijk is het wel hoe het werkt met het verdedigen tegen opportunistische aanvallers.

Want waarom zou ze jou pakken als er een ander target is dat met veel minder moeite te grazen kan worden genomen? Dus nogmaals, van die massale phishing campagnes. Zolang jij scherp bent op wat phishing is en wat niet, dan heb je er niet zoveel last van. En je gaat ze ook niet specifiek achter je aan als andere mensen wel liggend zitten te klikken. Niet anders dan voor je fiets, toch? Dit soort dingen? Ook dit, ja. Of voor je huis. Zorg dat ze naar de buur mag gaan en zorg dat je iets sterker slot hebt dan een ander. Ja, exact. Dus als je dan kijkt, de conclusie is dat je hoeft niet perfect te zijn, maar je moet gewoon niet het laagste hangen en de fruit zijn. Ja.

Maar goed, hoe zorgen we ervoor dat je niet de langzaamste bent? Ja, eigenlijk is dit gewoon helemaal risico- of kansmanagement. Dus geen enkele garantie. Een aanvaller, waar we net over hebben. Het gaat echt over die aanvaller. Als jij niet het meest aantrekkele doelwit pakt, dan pakt hij iemand anders. Dus dat betekent dat met een basishygiëne, want op cybersecurity vlak ben je al vrij onderscheidend en best wel secure of relatief secure als je de basismethodes aanhoudt. Dit zeiden we ook bij elke briefing, als het ging over super geavanceerde actoren, zeiden we van, als jullie gewoon 80 procent van de basismaatregelen aannemen

die iedereen over de hele wereld aan je aan het opleggen is, dan zijn we al heel blij. Want dat maak je echt significant veiliger dan een heel groot deel van de targets die dit soort organisaties op de korrel hebben. Dus dat gaat echt over de meest basic dingen. Updates draaien, niet over als er helft op wacht wordt. Dus je hoeft echt niet om kwetsbaar te zijn. Ja, en voor mensen die nu denken, ja, ik wil 100 procent veilig zijn, dan is dat een heel simpele antwoord. Ga lekker in je bed liggen met een helm op en gebruik geen computer. Dan kan je niet online gaan.

Als een aanvaller, zoals een politie of een inlichtendienst, of een hele goede sterke criminele groep gewoon voldoende gemotiveerd is, dan vinden ze je toch wel... Kijk maar naar die ayatollah in Iran, die heeft echt wel z'n best gedaan niet gevonden te willen worden. En dat er een heel overheidsapparaten voor klaarstaan, dat er diensten, al bunkers, al procedures en toch merk je dat met een voldoende gemotiveerde tegenstander uiteindelijk je onderuit gaat. Dus het doel van vandaag is ook niet om onvindbaar te worden. Het doel is zorgen dat jij niet het makkelijkste doelwit bent voor de opportunist die gewoon de laagste lat zoekt.

Ja, dus het begint allemaal bij updates en lifecycle management. Het is echt zo oud als alles van digitale dingen, maar zet je updatescyclus aan. Zorg voor dat je Windows per se, dat je niet iedere keer op uitstellen klikt, maar reboot effe. Je krijgt altijd zo'n pop-up, toch? Eigenlijk wel. Ik zit niet heel veel meer achter Windows misschien, maar of zo'n wereldbolletje onderaan die vroeger stond te draaien. Ja, tegenwoordig wordt het wel bij kritieke updates een voorst dat je op een gegeven moment moet rebooten.

Ja, maar dat is lang niet altijd. En er zijn genoeg mensen die het uitstellen. En ook als ik kijk naar mijn... Ik heb zo'n LG TV en dan krijg je weer zo'n update voor zo'n app. En dan denk je, ja, start hem maar gewoon op. Ik heb geen zin om nu bij te werken. Heel begrijpelijk, heel erg menselijk. Maar zet gewoon automatische updates aan. Zorg gewoon dat je alles up to date houdt. Dat is gewoon echt de basis. En lifecycle management, wat we daarmee bedoelen, is hoeveel apparatuur draait er wel niet die gewoon niet meer supported is. Je ziet nu bijvoorbeeld ook de transitie naar Windows 11, dat Windows 10 wordt uitgefraseerd.

Alleen bepaalde licenties worden nog ondersteund voor security updates. Dit betekent toch echt dat mensen moeten gaan overstappen naar nieuwe hardware of een workaround, gaan Linux draaien, of een Windows 10 long term support licentie. Ja, maar dan gingen natuurlijk simpele dingen nu allemaal doen. Je kan niet tegen mensen die zich gewoon niet meer draaien als oplossing. Nee, oké, dat is waar. Linux niet per se. Oké, oké, ik ben op, ik ben op. Eigenlijk, als je alleen maar, de meeste mensen gebruiken alleen maar een browser, nou die draait ook prima onder Linux. Misschien dan gewoon lekker een Chromeboekje of zo. Ja, een Chromeboek, dat zijn hele goede dingen.

Dat kost ook bijna. Daar zijn we het oplossen voor, maar denk gewoon eens een keer nou over nieuwe apparatuur. En je routert je thuis, waar het internet binnenkomt? Ja, en dat is wel een lastige, want de meeste mensen krijgen die thuis stuurde natuurlijk van de provider en gebruiken dus provider verstrekt materiaal. Het kan dat je met je provider contact opneemt voor een nieuwe router. Dat doet bijna niemand. Dat betekent ook in de praktijk dat jarenlang oude spullen in de meterkast staan te draaien. Maar dit kan gewoon. Je mag gewoon nieuwe support het apparatuur vragen of updates of hoe zit dat? En dan moet je even kijken hoe je provider reageert.

Als je provider daar niet zo enthousiast over is, dan ja, dan kun je je afvaren of je misschien nog een provider moet wisselen of dan zeg je, luister, ik maak me heel veel zorgen om. Maar dit kan. Ik heb ook wel bij een grote groene internet service provider die wat aan een aantal keer dat er het nieuwe router uit kwam. Dus eerst zat hij op ZTE routers. Nou, dat is dat ik dacht van liever niet kwam een nieuwe versie uit. En dat kreeg je gewoon niet er doorheen bijna. Dus dat was echt. Dus toen zei ik van ja, trouwens, hij wordt ook wel heel erg warm en zo. Dus ik maak me wel zorgen over in de meterkasten zo.

En misschien is er wel iets mis mee. Je moest je met je ompraten om uiteindelijk de nieuwe router te krijgen. Maar toen een jaar later kwam de eerste niet Chinese fabrikant of router kwam uit, of router hoe je het wilt noemen. En toen belde ik dus nog een keer met hetzelfde verhaal. En toen kwam ik erachter dat ze inderdaad ook Salesforce hebben, waarin bijstaat. Deze man heeft eerder aan de telefoon gezegd dat zijn router warm wordt. Dus ik kreeg geen nieuwe router. Dus toen heb ik gewoon marktbaas gekocht, want die staat al te koop. De nieuwste router. Maar je kan niet zelf. Wij kunnen nou niet een advies geven. Koop die router gewoon even bij de mediemarkt.

Zet die maar lekker op die plek neer. Je moet gewoon de router modem gebruiken die jouw provider je aanbiedt. Nee, de provider moet tegenwoordig supporten bij wet dat jij je eigen spullen mag draaien. Het enige wat lastig is om hier één advies over uit te geven, omdat er gewoon allerlei verschillende soorten verbindingen zijn. Zeg ook maar ik nog steeds gebruik van de antennekabel van de televisie. Je hebt nog mensen met VDSL, dus de telefoonkabel met daarover internet. Je hebt mensen die hebben nog dat er UTP in de normale internetstekkertje binnenkomt, andere hebben glas.

Er is niet een hele goede lijn te trekken. Maar is dat dan nu ook bij wet geregeld dat je al die routers in, ik weet niet hoe die modus kan zetten, maar dat je hem gewoon in... Bridge mode. Bridge mode, ja. Gewoon heel passief is het alleen maar een dom ding. En dat je daarna je eigen firewallertje router er zelf achter zet. Dit kunnen niet alle providers met alle apparatuur. Zo heb ik bijvoorbeeld ook een apparaat in mijn metenkast staan dat dat formeel van de provider niet mag. Dat moet je tegen tegneut zeggen. Dus dat lost we nou op een andere manier op, maar dat is iets te technisch voor de gemiddelde mensen. Ja, oké.

En dan, dat is misschien ook een beetje te complex voor de meeste mensen om je eigen router er neer te zetten. Maar toch wil ik wel weten, waarom is het nou zo relevant? Wat kan een hacker dan, stel dat hij die router overneemt, dan ziet hij allemaal verkeerden langsgaan, maar dat is toch versleuteld? Dat is een leuke stelling. En inderdaad is een heel hoop versleuteld. Heel hoop is ook niet versleuteld, zoals bijvoorbeeld DNS verzoeken. Dus ze kunnen zien naar welke porno site ik ga. Nou bijvoorbeeld, dat zou dan kunnen. En je moet je afvragen, vind ik dat fijn of niet? De vraag is ook in deze, is je router de grootste aanvalsvector of zit het vooral bij user devices?

Ik denk bij het laatste. We geven ook de laatste flash die we hebben uitgegeven over signal. We hebben toch ook hierover phishing hebben. Phishing is eigenlijk all over the place. Daar is je router gewoon niet zoveel last van. Maar het is wel echt nice to have dat je router ook gewoon lekker op de date is. Ja, en dan wel. Dus mensen die dan eigen router kopen, daar heb ik ook altijd iets van. Ik denk van oké, lekker nerden. Fantastisch, weet je, met je pfSense box, Ubiquiti of wat je ook maar hebt, zeg maar. Heel leuk, hè? Dat hobby en een super grote Soho router kopen met acht antennes. En dat je zelfs in de zolderkamer nog steeds 500 MBit hebt.

Maar draai dat ding dan wel update zijn. Want als je het zelf koopt, ben je zelf ook verantwoordelijk voor het beheer van dat ding. We hebben een paar jaar geleden echt achter allerlei Soho routers aanlopen jagen. Van mensen die zo'n dikke router hadden, maar die gewoon misbruikt werden door buitenlandse staatelijke groeperingen. Als dat ding al drie jaar in de kast had staan en niet had geupdate, vervolgen ze dat staatelijke actoren je netwerk dan gebruiken om aanvallen uit te voeren. Niet per se op jou, maar om via jouw router allerlei verkeer te derouteren en allemaal stoute dingen te doen. Dus ja, stoer doen is ook gewoon own up to it.

En dan ga je ook, verdomme, elke week, niet elke week, elke keer als een patch is dat ding updateen. Want anders ben je alleen maar meer schade voor jezelf aan het veroorzaken. Ja, zeker. En wat ook irritant is, is als ik dan kijk naar mijn eigen thuisnetwerk. Ik heb dan nog een aparte DNS server draaien met van die ad blocking erop en zo. En als je dan een keer een power down hebt in huis en je zet dan met de power weer aan, dan is er ook zoiets als de boot order, oftewel wat is als eerste online. En als jouw router dan jou DNS server heeft om nodig heeft om online te komen, je DNS server start op na je router.

Ja, dan komt je netwerk dus nooit meer op. Dit is misschien een beetje te complex voor de gemiddelde luisteraar. Misschien knippen we dit eruit, maar ja, durf. Allemaal lekker zitten hoor. Maar goed, maar we zitten toch alweer uiteindelijk met die routers. Dat is een beetje lastig voor ons om er maar niet in die termen te denken over hoe we buiten onze inlichtendiensten er misgevallen mispreek van maken. En ook zo'n pfc box, die draait ook gewoon lekker zijn automatische update. Je moet wel, ja, het staat niet standaard aangevinden dat je ook automatisch gaat rebooten. Dus je moet wel echt afhankelijk van hoe je hem configureert. Ja, ja, oké.

Hey, en wat doen jullie eigenlijk met je nassen en met je foto's? Of hebben jullie geen nas met foto's? Heb je gewoon een koude schijf? Ik heb lekker alles bij Google neergegooid. Ik heb er een paar terabyte en mijn hele leven zit er al in. Ik vind het heerlijk om alles terug te vinden. Trump ook dan misschien wel, maar goed. Dus, maar goed, uiteindelijk als er... En ik zit ook net zo goed in die Amerikaanse locking. Het werkt gewoon heerlijk. Ik heb het gevoeld dat ik toch geen gevoelige dingen daar neerzet. En nou ja, dan zie je de foto van mijn kinderen, maar dan ben ik er niet zo moeilijk in.

Ik vind het eigenlijk wel ook... Ik heb ook al heel erg gepromoot van Google en daar komen we straks nog meer op. Ik vind dat die altijd eigenlijk best wel heel erg goed hun best doen om voor hun gebruikers gegevens te beschermen. Los van allerlei privacy-overwegingen die je hebt. Maar ik denk altijd van als het daar staat, dan weet ik zeker dat er goede updates plaatsvinden. En ze hebben ook echt wel hele goede access-mechanismen dat niet iedereen zomaar mijn account kan overnemen en alles. Maar daar komen we straks nog eventjes op. En jij Marco?

Ja, ik heb dus twee NAS-jes thuis te rijden. Dus even voor de luisteraren. NAS is Network Attached Storage, oftewel zo'n leuke harde schijf in je netwerk, waar je heel gemakkelijk allemaal bestanden kunt neerzetten vanaf allerlei apparaten. En eentje is bij mij officieel End of Life. Die krijg je nog wel security-updates, zoals die echt kritiek zijn. Die staat ergens ver weg gestopt waar eigenlijk bijna niks of niemand bij kan. En ik heb dan de up-to-date NAS waar al mijn privé informaties staat, mijn documentjes en mijn foto's en dat soort zaken. En de usual suspects zoals Multifactor Authentication, dat is je inlogger, op de web interface moet je een tokentje invullen.

En Encryption at Rest en In Transit. En laatst is ook bijna allemaal diefalt op die apparaten. En ja, ik heb dan wel de persoonlijke voorkeur dat ik het liefst niet in de cloud wegzet. Is dat dan control freak of niet? Ik heb het gewoon niet graag. Ook niet bij Apple. Ik gebruik ook maar Apple app natuurlijk. Maar als je een keer goede fic in je huis hebt, dan heb je niks meer. Nee, correct. Dus dit is wel een uitdaging en daarom in mijn hoofd, in mijn soort van disaster recovery protocol voor brand in huis is stap 1 is... Oké, nou stap 1 is zorg dat mijn kind buiten is, maar dan is stap 1.1 is gooi mijn NAS naar buiten.

Heb je die NAS ook in de kinderkamer neergezet dan? Nee, dat is een pet ja. In één keer meenemen. Maar ook om dit te fixen heb ik dus een kleine USB schijf aan mijn NAS, waar ik dan de, zeg maar, in case of emergency kritieke dingen nog naar backup, zodat dan uiteindelijk hoef ik alleen maar dat kleine schijfje mee te nemen. Dat is ook wel handig als ik een keer zo'n in jouw huis plaats vind, dan hoef je alleen maar dat dingetje mee te nemen. Ja, daarom, daarom. En dan moet je wel nog even de encryptiesleutel raden, maar dat kunnen ze ook vast wel. Oké. Hé, kopje multi-factor authentication of two-factor.

Nou ja, dat horen we elke keer, moeten we allemaal hebben. Maar je hebt heel veel verschillende manieren voor. Je kan het met sms doen, je kan het met apps doen, je kan het met... Waar dan zo'n 6-cijferig getalletje voorbij komt. Je kan een hardware toker gebruiken. Hoe helpt dat nou eigenlijk extra als je... Ik weet het antwoord wel, hè. Maar hoe helpt dat eigenlijk extra als je een sterk wachtwoord hebt? Als je alleen met wachtwoord werkt, dan kan iedereen overal altijd inloggen. En dan heb je wel... Nou ja, dat wachtwoord heb jij toch? Ja, maar die lekt uit door phishing.

Ik bedoel, er zijn zoveel van die geile phishingcampagnes waarbij mensen een wachtwoordbrongelprijs geven. Of van die leuke interviews op tv van... Oh, het is gebleken dat iedereen het naam van het huisdier gebruikt met het geboorte datum en een uitropteken. En dan stellen ze mensen die vragen in het interview met die opmerking aan de mensen. En dan geven mensen gewoon een informatieprijs. Dus het gebeurt van af en toe plongelijk dat mensen niet zo'n sterke wachtwoord genereren of bedenken of uitlekken. En je Multifactor helpt dan heel erg in het voorkomen van dat dat wachtwoord gewoon misbruikt kan worden.

Dus het is een extra wachtwoordje eigenlijk die ook tijdgebonden is. Dus vaak is die maar een minuut geldig. Dat zie je ook met zo'n timertje in zo'n app, als je zo'n authenticatorapp gebruikt. Dat werkt best wel fijn. En het zorgt gewoon een beetje voor dat je eigenlijk bewijst dat jij de eigenaar bent van jouw wachtwoord. En nou doen bepaalde services wel hele goede checks op als je inlogt met iemand zijn wachtwoord. Want ik kan bijvoorbeeld niet zomaar van iemand met zijn Google account inloggen, want dan zeg ik Google, hey, dat is een vreemd apparaat. Ja, in theorie zou je dat natuurlijk als je ver genoeg gaat helemaal kunnen spoelven.

Dus je Multifactor helpt gewoon echt heel goed. Hebben jullie nou ook dat op? Ik heb een aantal accounts die ik belangrijk vind, bijvoorbeeld mijn Google account. En die is Multifactor. Dat je dan ook wat soepeler wordt in je wachtwoordkeus. Dat je gewoon denkt, nou ja, dan kan er iets zijn waar ik gewoon kan typen. Want je hebt me best wel vaak nodig, hè? Ik heb een commercieel Google account en dan word ik elke week voor me uitgegooid. Dan moet ik me even intypen op een known devices en dan mag ik weer inloggen. Of blijven jullie de wachtwoorden ook altijd sterk, ook al heb je Multifactor.

Ja, ik gebruik eigenlijk gewoon met mijn password manager. Wordt dat allemaal gewoon geïntegreerd en naadloos ingevuld. Dus dan hoef ik niet meer na te denken. Maar die zijn ook doodeng weer, hè? Gaan we straks over hebben. Ja, daarom. Dus ja, maar ik begrijp je overweging heel goed. Maar ik heb bijvoorbeeld juist, mijn Google wachtwoord, heb ik juist niet in mijn password manager staan. Begrijp ik dat tot? Ja, nice. En ook het master wachtwoord van mijn password manager heb ik ook niet ingegaan. Ja. Maar goed, ik heb die ook niet. Dit is waarom ik dus mijn Multifactor hou uit mijn password manager.

Want die kan ik ook steeds vaker erin zetten. En dan maakt het dus mij niet meer uit dat mijn wachtwoord er staat. Want ja, je komt er toch niet in. Want ja, mijn Multifactor niet, zeg maar. En je hebt trouwens ook, dat zie ik er ook al voorbij komen, bij die password managers die zeggen, zal ik ook de two factor voor jou gaan organiseren? Precies. Ja. Dat moet je maar niet doen, hè? Zet je alles bij elkaar op één plek, zoals dat een keer uit lijkt te zijn gewoon. Dan ga je echt nat. Ja. Maar dit is wel voor de wat minder technische luisteraar is dit inderdaad. Dat wij deze wel snappen, zeg maar, over dat dat gek is. Maar dat gaat eigenlijk toch helemaal uitzoomend over het scheiden van een paar dingen.

Namelijk die two factor, multifactor en je wachtwoord, zeg maar, dat je dat niet wil integreren. Want het hele idee dat wij, hoe wij werken in ons hoofd is, te veel risico naar één applicatie wordt een beetje linked. Dus je wil dat een beetje verspreid hebben, toch? Zoveel mogelijk dingetjes. Ja, want je moet je voorstellen, je stopt eigenlijk alles in één digitale kluis. Die digitale kluis staat ergens in de cloud versleuteld, want dat is uiteindelijk hoe die password managers over het algemeen gaan werken. En als iemand daar ooit jouw kluis weet weg te halen, en jouw wachtwoord, jouw hoofdwachtwoord weet te raden, ja, dan zit al jouw secrets bij elkaar.

En dan heb je nog steeds niks aan je multifactor. Dus in ieder geval zeker voor je kritiekaccounts niet doen. Ik kan nog eventjes langslopen wat al die verschillende multifactor mechanismen zijn en hoe goed die zijn of niet. Dus sms's naast een, soms mag je kiezen of iets per sms wel, of een authenticator app. Wat kiezen jullie dan? Als ik kan kiezen? Dan kies ik over het algemeen voor een authenticator app, omdat dat gewoon het makkelijkst is. Dan is alles bij elkaar in één appje. En als het een wat gevoeliger account is of wat kritieker,

dan pak ik nog weleens een hardware token. Dus dan heb je zo'n USB sleuteltje en die kun je dan aansluiten of met een NUC reader scannen. Zo'n jubi-key kan je gewoon bij Amazon bestellen of bij de mediamarkt halen zelfs. Exact, jubi-keys die kun je gewoon overal op internet vinden. En die moet je dus wel bij je hebben, dat is vrij belangrijk. En ook wel goed om er twee te hebben, dat je eentje backup thuis hebt liggen, want ja, raak je dat in kwijt, dan heb je geen toegankelijkheid meer. Behalve als je recovery codes hebt. Dat is nogal een goeie om te noemen straks, recovery codes. Ja, maar dit is dus wel een hele goeie, want ik dacht superscure te zijn en dat helemaal goed weg geregeld.

En ook bij authenticators niet dat het gesynchroniseerde authenticators zijn, zeg maar. Zodat je, ja, en dan vervolgens heb je een keer een nieuwe phone of je raakt een keer één van die dingen kwijt. Ben je vervolgens twee, drie dagen van je leven ben je kwijt met alles weer instellen. En je recovery codes vinden die je niet op een handige plek had opgeslagen, want je wilde je niet in je password manager met je beveiligde notities doen, want er is te veel risico op één plek, zeg maar. Dus hoe meer security, hoe minder kiss het ook wordt, zeg maar, keep it simple stupid. En dat je daar een soort van risico's... Het is best moeilijk om veilig te leven, 100% veilig of beveiligd mogelijk te leven, denk ik.

Zeker, kost administratie. En ik moet wel zeggen, in ieder geval iPhone gebruiken worden mijn apps netjes overgezet. Dus als ik dan zo'n migratie doe naar een nieuw telefoon, dan wordt ook mijn Authenticator appnetje overgezet. Dat gaat best goed. Maar verder, ja, klopt, je moet je recovery codes echt goed bewaren. Dus voor de mensen die niet helemaal weten wat dat is, als je TwoFactor voor het eerst aanzet in een account, krijg je vaak een aantal, zeg maar, vijf of tien codes gepresenteerd en die moet je opslaan. Dus die kun je bijvoorbeeld of uitprinten, thuis ergens heel diep ver weg in je kast opslaan, of ja, ergens anders waar je fijn vindt om ze op te slaan.

Zodat als je ooit niet bij je MultiFactor Authentication omgeving kan, bijvoorbeeld je app, dat je dan zo'n recovery code kan gebruiken. Die kun je ook eenmalig gebruiken, dus daarvoor dat je de vijf of tien krijgt. En dan kom je in ieder geval nog altijd in je account. Maar we kunnen ook gewoon die sms's gebruiken, toch? Dat werkt net zo makkelijk. Het werkt wel makkelijk, zeker waar. Niet elke dienst heb je een 06-nummer aan gekoppeld, maar waar dat wel is kan het heel fijn zijn. Enigens wel, dat list erg gevoelig voor SIM swapping. Dat is een erg bekende aanvalsmetodiek waarbij aanvallers bellen met je provider

om te zeggen, oh, ik ben mijn SIM-kaart kwijt. En dan weten ze genoeg over jou om dan een soort vertrouwensrelatie met de andere kant van de telefoon, de provider, te creëren. En dan wordt dus jouw SIM-kaart eigenlijk gedeactiveerd en overgezet naar een andere SIM-kaart. Er gebeurt wel echt veel. Dat is heel veel gebeurd in het verleden. Providers hebben hier wel steeds meer beveiligingsmagelen tegen genomen, zoals bijvoorbeeld... Dat waren ook die wachtwoorden, denk ik, die Odi Do dan had, waarvan iedereen met paniek van... Oh, die zitten wel wachtwoorden in, maar dat was juist voor dit soort dingen.

Maar als eigenaar van je telefoon merk je opeens dat je niet meer aan het netwerk hangt, hè? Je wordt er afgegooid, want jouw SIM staat dan uit die je op dat moment hebt. Ja, dat is wel destructief voor de zwartop. Maar goed, we hebben nu allerlei maatregelen benoemd van... Oh ja, je kunt hardware token doen, multi-factor authentication op allerlei vormen. Maar, dat we ook wel een paar beetje hebben benoemd van welke accounts we belangrijker vinden... Ik denk dat het belangrijk is om mensen in ieder geval hard te drukken, begin bij je e-mail. Dat je e-mail als allereerste het sterkste beveiligt.

En de reden daarvoor is dat over het algemeen, als iemand toegang heeft tot jouw e-mail-inbox, dan hebben ze alles. Dan denk maar zo bij jezelf na, wat gebeurt er als je wachtwoord vergeet te zijn? Druk je ergens op een linkje, en wat krijg je dan? Een e-mail met daarin een recycling. Een e-mail wordt ook heel vaak gebruikt voor de tweede factor, dus de multi-factor authenticatie. Hebben ze ook daar toegang tot. En eigenlijk is op die manier e-mail gewoon de sleutel dat je digitaal levert. We vertrouwen allemaal e-mails die verzonden worden vanuit een vertrouwd e-mailadres. En daar staan wij niet stil bij dat misschien dat account overgenomen is. Dus zorg voor dat je die heel goed beveiligt.

En ga dan over naar je bank. Ik heb dat bij Gmail lekker gedaan. Ik heb de Advancethe Protection aangezet en dat wordt een beetje verkocht, alsof dat alleen maar voor vips is of zo. Maar ik vind het onzin, volgens mij kan iedereen dat wel doen. Alleen, het enige ding is dat je dan wel zo'n jubikie nodig hebt, een klein stekker. Wat je maar eigenlijk één keer per werkplek nodig hebt. En tegenwoordig hoeft het ook niet meer elke keer. Als je een nieuwe telefoon hebt, dan kan ik ook mijn oude telefoon aangeven. Dat ik het goed vind dat mijn nieuwe ook inlogt en zo. Maar goed, toen ik aan het varen was, vond ik het wel spannend eigenlijk.

Want als ik dan een nieuw apparaat zou moeten kopen daar, omdat alles inderdaad was gevallen. Als je dan ook geen access meer hebt tot je Gmail, dan ben je ook helemaal fucked. Dat je nergens meer bij kan. Dus dan moet je wel zorgen dat je een paar van die jubikies er altijd bij hebt. En het heeft eigenlijk vooral voordelen, maar ook wel een klein nadeel. Het blokkeert externe apps die om toegang vragen. Dus sommige dingen werken niet meer automatisch. Maar heel vaak ja, klikken, opeens kan het wel. Dus dan kan mijn read AI toch gewoon in mijn mailbox meekijken.

Maar wat dat ook bijvoorbeeld blokkeert is dat je je mail niet meer met het hele ouderwetse POP3 protocol kan downloaden. En soms nog met z'n vonden hun Thunderbird Mail Client heel fijn altijd. Waarmee je dan toch nog bij Gmail komt. Dat wordt allemaal uitgegooid. En dat is denk ik ook maar goed toch. Kun je dat niet met een apart wachtwoord nog aanzetten? Niet meer als je advanced protection hebt. Dan heb je gewoon niet meer die optie op die manier bij je mail te komen. Oké, ja. Dus dan moet je gewoon altijd de app gebruiken. Maar dat doen denk ik veel mensen wel. En de lat voor account recovery ligt veel hoger.

Dus je hebt altijd natuurlijk de optie bij al die mail providers van... Ik ben mijn wachtwoord niet meer. En dan gaan ze allemaal dingen bij je vragen. Eerst automatisch van wat is je oude wachtwoord. En dan gaan ze nog die manier doen. Nou, dat is allemaal weer oud dan ook. Het enige is dat je daadwerkelijk echt contact hebt. Dan moet je paspoorten gaan opsturen en dat soort dingen. En dan zit hier wel enorme vertraging in. Dus je kan zou maar zijn dat je vier, vijf dagen duurt voor het je met toegang hebt. Nou, het geeft mij in ieder geval een gerust gevoel. Omdat mijn hele leven heb ik juist geconcentreerd... ...omdat een mail account op mijn Google account is, feite. Oké, wachtwoordmanagers.

Ja, we hebben het al over gehad, deels. Maar dit is... Als je dan hebt over de mail als primaire plek... ...waar alle berichtgeving bij elkaar komt... ...zijn je wachtwoorden natuurlijk... ...vanuit vroeger met dat ene wachtwoord wat mensen op meerdere plekken gebruikten... ...was dat natuurlijk een hele... Ja, wat is het? Een manier waardoor mensen heel snel access kregen tot heel veel van je producten. Dus als je mailwachtwoord een makkelijk wachtwoord was met je kinderen... ...je huisdieren of iets of gewoon een veel gebruikt wachtwoord... ...bij de opmerking hebben heel veel mensen dragon1234 als wachtwoord gehad...

...de hele tijd heel hoog in dit soort lijstjes. Ik hou ervan de fantasy-referentie... ...maar niet handig om dat overal te doen. Als je dan op je ING, je Rabo, je internetbankieren... ...dit wachtwoord gebruikt, vervolgens dat ook voor je mail... ...en op heel veel plekken is dat natuurlijk heel kwetsbaar. En in die ontwikkeling zijn natuurlijk die password managers... ...wachtwoord managers groter geworden. Ja, en om die aanvallen maar te voorkomen van die opportunistische attacker... ...die jouw wachtwoord en dat is een password spraying... ...tegen allerlei bekende applicaties aanhoudt.

Dus wat ik net zei, je ING, je mail, van alles. En daar probeert in te loggen. Je Spotify, je Netflix, alle dingen die jij leuk vindt. Omdat dat een wachtwoord wat uitgelekt is in een database... ...om die vervolgens te misbruiken. Maar hoe werkt dat nou als je zo'n wachtwoord manager wil gebruiken? Wat moet je daarvoor doen? Uiteindelijk begint het met een account aanmaken bij de provider. Dus als je zegt, ik gebruik Bitwarden of Protonpass van Proton... ...een Zwitserse bedrijf. Of OnePassword of LastPass. Allerlei voorbeelden van producten die mensen kunnen gebruiken.

Dan moet je daar vaak als eerste een account aanmaken. Want uiteindelijk begint het met een soort cloud profiel. Want ergens wordt dan online jouw digitale kluis opgeslagen... ...zodat je het op al je devices kan gebruiken. En als je dat dan hebt, dan kun je dus op al je apparaten... ...de clients installeren. En als ik dan als Bitwarden bijvoorbeeld als voorbeeld neem... ...die heeft dan een desktop applicatie. Dus kun je gewoon lekker op je computer erbij. Die heeft een applicatie voor op je telefoon. Die kan je dan ook heel goed integreren met je browsers. Dus als je dan je Chrome of Firefox of Safari of whatever je gebruikt... ...dan kun je daar de Extensie ook nog installeren.

En dan vult die op maagstjuwe wijze. Je wachtwoord overal in. Maar het klinkt wel ingewikkeld. Mensen moeten allemaal dingen installeren. Je moet wel dingen installeren, zeker waar. Een alternatief is dat je de credential manager gebruikt... ...van Apple of je browser en dergelijke. In Chrome zit dat ook gewoon. En de vraag is aan de mensen zelf of dat ze dat willen. Kijk, uiteindelijk ook dat is beveiligd met... ...van Firefox zijn op GitHub wat tooltjes te vinden... ...dat het wel heel makkelijk is om te ontsleutelen... ...wat je daar aan secrets in op slaat. Dus die van Firefox zou ik adviseren op nooit gebruiken.

Die van Chrome is vaak of gekoppeld aan je Gmail account... ...of aan het wachthoort die je gebruikt op je pc. Dus dat is op zich al een stuk beter. Maar je bent iets minder in controle over... ...met welke versleutelmateriaal die kluis versleuteld is. En dat is met een password manager. Dit is natuurlijk wel materiaal wat je kan brute force. Je kan oneindig gewoon zo'n blop aan data meenemen. Je kan je eigen computer onbeperkt zitten zoeken... ...van wat zou het wachtwoord hiervan geweest zijn. Maar dat geldt ook voor je alle password managers. Zeker.

Ja, dus eventjes nog voor de duidelijkheid. Dus als je die password managers als One Password gebruikt... ...of de Proton of Bitwarden... ...op die servers staan dan wel jouw wachtwoorden. Op die servers van hun. Maar die zijn altijd versleuteld. En die data gaat altijd versleuteld naar jouw computer toe. En wordt alleen op jouw eigen computer ontcijferd. Dus zij kunnen er nooit bij. Dat is het idee. Ja, absoluut. Alleen nou zijn er helaas wel voorbeelden geweest... ...waarbij er allerlei aanvallen zijn gericht op... ...bijvoorbeeld One Password of LastPass. En dan is het kléén natuurlijk dat de aanvallen...

...niet bij de inhoud van de kluizen kan... ...maar ook dat valt op staat weer met hoe sterk jij jouw... ...het ze noemen het Master Password... ...of het hoofd wachtwoord hebt gemaakt. Dus het blijft wel belangrijk dat je daar een goed wachtwoord voor gebruikt. Misschien is het ook gelijk dan even een dingetje van... ...hoe ziet een goed wachtwoord eruit? Ja, dus uiteindelijk is het belangrijkste... ...is dat je wachtwoord lang is en niet zozeer complex. Dus je hoeft niet zoals de cartoon characters... ...in een stripverhaal met bommetjes en apestaartjes... ...en hashtag teketjes allemaal schelden. Dat hoef je niet te gebruiken. Het gaat er meer om denken.

En het kan soms lekker zijn om dingen wat makkelijker... ...onthoudbaar te maken. Dus dat je gewoon woorden gebruikt. Dus een wachtwoord als fiets, regen, appel, brug... ...dat is veel sterker dan een wachtwoord... ...password met een a voor een apestaartje... ...een uiterpteken aan het einde weet ik het allemaal. Want die is wat korter. En hoe korter het is hoe minder tijd een aanvaller nodig heeft... ...om te raden, om te brute force... ...wat jouw wachtwoord is. En die streepjes hoeveel jaar gingen je neerzetten... ... tussen fiets, regen, appel en brug? Dat mag ook een spatie zijn. Of niks.

Of vrij spaties. Weet je wat irritant is? Er wordt heel vaak afgedwongen dat je complexiteit toevoegt... ...in de zin van uiterptekens en andere dingen. Ik wil er maar gewoon een uiterpteken achter... ...heel veel van mijn lange wachtwoorden. Ja, herkenbaar. Ik vind het ook wel heel vervelend dat heel veel... ...waasige dingen worden afgedwongen. Ja, en dus ook dat op je password manager... ...als je hem dan gebruikt, je wachtwoord manager... ...daar zit tegenwoordig ook vaak gewoon dubbele authenticatie op. Dus daar heb je vaak ook een extra oplossing voor.

Dat als je dat wachtwoord van jou ooit uitlekt... ...wat je dan heel slim gekozen hebt... ...maar dat je per ongeluk dat wachtwoord ergens nog gerecycled hebt... ...of dacht van dit hoort bij mij een superveilige wachtwoord... ...wat ik op vier andere plekken ook gebruik voor super secret dingen. Ja, dat is dus niet de bedoeling eigenlijk. Het is je wachtwoord dat je gebruikt voor je super secure digitale kluis... ...met je wachtwoorden. Zou inderdaad relatief uniek moeten zijn. Relatief, eigenlijk gewoon voor jou 100% uniek. Ja, absoluut uniek. En natuurlijk ook de vraag, want die hoor je ook vaak mensen...

...van ja, ik vind het best wel ingewikkeld. Klinken allemaal die wachtwoorden en zo. Ik heb hier gewoon een leuk rood-zwart of anderkleurig boekje liggen... ...dat ik nooit kwijtraak. Ik schrijf daar gewoon mijn wachtwoorden in. Ik ben wel benieuwd hoe jullie dat vinden. Gewoon iemand die dat ding in een geschreven heeft liggen. Ja, zo onnodig en levensgevaarlijk. En je moet je ook bedenken tegen wie je te beveiligen. En als ik een boekje heb liggen en iemand die in mijn huis kan komen... ...dan kan ik dan bij mijn systemen komen. En dan zou ik natuurlijk nooit mijzelf beveiligen tegen mijn eigen vrouw of zo.

Die mag alles zien. Hebben jullie dat ook? Zeker. Ik heb ook een password manager. Als ik onder de tram flikker, zeg maar, dat hij na twee dagen of zo... ...geeft hij alle wachtwoorden vrij, zeg maar. Ik heb niet uitgelegd hoe dat dan werkt, maar... ...dat is... Nee, maar het zal ook al naar je computer liggen. Dus voor hetzelfde geld heb ik een inbreker die neemt je computer mee... ...en die denkt dat boekje is ook wel handig. Ja, het is niet nodig, joh. En je hebt het niet bij je. Je hebt het als je ergens anders bent, of je aan het reizen bent.

Dan moet je continu dat boekje ook weer meestal hebben. Nou ben ik wel van mening dat het belangrijk is dat mensen wel een goede backup van hun hoofdwacht hoort... ...ergens verstoppen of weet ik van wat. Ik heb hier zelf geen goed... Je hebt vast wel een plek in huis waar niemand in de kruipruimte, zes meter onder het zand of zo... Want uiteindelijk, wat ik zie met mijn eigen password manager... ...ik raak heel erg gemend aan dat Face ID aanstaat... ...en dat hij dan lekker met Face ID'en doet en overal een Touch ID op mijn laptop en zo. En als ik dan weer een keer het wachtwoord intypje, dan denk ik...

...dat ik nou daar de comma... ...waar is dat die comma ook alweer? En dan merk je toch dat door eigenlijk de integratie, dat die steeds naadlozer is... ...dat je hoofdwacht hoort dreig te vergeten, zeker als je die gewoon dus niet zo vaak typt. Dus zorg ervoor dat je dit gewoon wel echt ergens... ...al is het... ...I don't know, in de wachtgroep kluis van je partner of... ...je moet wel verzinnen dat je er nog bij kan, right? Ja, oké. Nou ja, ik kan... ...gwoon een zinnetje kan je toch wel onderhouden. Ik had... ...vroeger woonde ik aan het strand. Vroeger woonde ik aan het strand. Toen was mijn supermoeilijke wachtwoord...

...ja, kan ik daar nou zeggen? Of heeft iemand die blopt dan ligt? Nou, what the fuck. Wat doen al die Duitsers hier? Nou, dat kan ik ook heel makkelijk onderhouden. Een fantastische wachtwoord. Oké, oké. Ja, goed. Als mensen maar zorgen dat ze er nog bij kunnen. Ik bedoel, ik ben ook niet voor offline opslaan, maar ja... ...je moet wel iets voor recovery hebben. Net als je recovery code is van je Botanical Authentication. Hé, en die password manager bedrijven... ...die worden ook wel eens gehackt, last pass. Ik zit heel lang al bij last pass. Ik ben echt te lui om over te stappen naar wat moderner. Maar ze zijn al twee keer aan het beurt geweest.

En ik zit er toch nog steeds. Ja. Maar dit is ook een interessante keuze. Kies je voor een bedrijf dat gepopt is, daardoor daarna heel veel... ...heeft geïnvesteerd in security. Of kies je voor een bedrijf dat eigenlijk nog nooit gepopt is. En misschien niet known bad zijn security heeft ingeregeld. Maar misschien dat de achtergrond helemaal stuk is. Dus dat is ook een... Nou, goed. Het schildert ook een beetje van dat je snapt hoe het er werkt. Hoe die crypto werkt. Maar wat ze natuurlijk ook kunnen is... ...als ze goed gepopt zijn, dan kun je ook de extensies gaan zitten aanpassen.

En daar allemaal backdoors in stoppen. En dan dat uiteindelijk wel lekker. Maar goed, uit luidigheid ben ik maar gebleven. En ook hier als we je afwegen. Wat is je threat model? Ik vind dat het lastig. Ik ga ervan uit dat mijn blop ergens bij iemand gaat liggen. En dat in ieder geval de encryptie goed genoeg is. En dat mijn backdoor complex genoeg is dat ze die niet zomaar kunnen kraken. En het is in ieder geval altijd beter dan gewoon wat in je browser ingebouwd zit. Dus we hebben het nou niet te moeilijk gemaakt voor de luisteraars? Ja. Een beetje. Een beetje, ja. Maar het enige wat je hiervan moet houden, denk nou over een password manager.

Zorg dat je daar snapt tot je er een beetje in kan. En dat je daar een beetje in kan. En dat je daar een beetje in kan. Zorg dat je daar snapt tot daar echt heel veel te halen is voor een aanvaller. Als je je wachthoort maar recycle to recycle. Password manager is niet duur. Het is niet het duurste product wat je hebt. Wat je kunt kopen. Of wat je op digitaal vlak nodig hebt. En het kan wel heel veel gemak opleveren. Dus als je het gewoon hebt, kies een product. Zet er two factor op. En that's it. Verzinnen moeilijk wachthoort. En dat moeilijke wachthoort, wat we net zeiden, zorg dat je dat ook, je moeilijke wachthoort kunt onthouden.

En dan ben je er wel. En dan heb je voor jezelf je leven een stuk makkelijker gemaakt. En dan ben je net iets veiliger dan de buurman. En dat is een beetje doel denk ik. Fuck de buurman. Ja. Heb je voor je thuisbezorgd ook een moeilijk wachthoort? Ja, autogegenereerd. Maar inderdaad is het misschien ook wel de plek om lekker makkelijk iets te doen. Want, nou ja trouwens. Er is wel. En dat is natuurlijk het kutte aan met security. Mensen hebben over thuisbezorgd enzo. Er is een fenomenale aanval ooit geweest op Takeaway. Waar heel veel interessante informatie is.

Waar Bellingcat op basis daarvan gaat. Hij is gekeken naar waar in Rusland bestellen ze welke pizzas enzo. Maar dit is security denken. Dus dat moet je echt gewoon helemaal loslaten natuurlijk. Maar goed. Ik noem het met dat voorbeeld. Want ik denk eigenlijk. En dat is misschien een beetje flauw. Maar ik lieg gewoon altijd over alles. Dus. En dat is een heel ander thema. Waarom zou een pizza bezorgen moeten weten hoe het heet? Moet alleen maar weten waar je het moet brengen. Dus verzint een naam daar. Een telefoonnoem heb je misschien ook nog wel nodig.

Als je de deur wel niet hoort ofzo. Maar goed. Ik ook geboortedata ook. Bij Zinkoop bijvoorbeeld. Die willen per se je geboortedata hebben. En ik had daar dus ooit een issue. En toen had ik ze aan de lijn. En toen wilden ze weten wie ik was. En dan denk ik welke geboortedata heb ik nu weer ingezomen. En ik verander altijd. Of de dag of de maand of het jaar. Dat is een beetje random. En dan eent je erboven of eronder. Maar met uit eten gaan. Moet boeken.

Dat vind ik ook wel leuk om een naam te noemen. Robert Oley die gebruik ik heel vaak. Is dat een compliment? Ja. Misschien dat hier veel restaurants komen. Dat ze vragen hoe was vorige week meneer Jermoon? Ja grappig. Maar ik herken het wel hoor. Want ik ken het ook heel sterk met mailadressen en telefoonnummers. Maar ik vind het dus ook heel kwalijk dat ze overal je telefoonnummer willen hebben. Want alsof ze van de bezorging dan gaan bellen. Ja ik ben 5 minuten later.

Dat doen ze echt nooit. Dus daar verzien ik dan gewoon wat crap voor. Of probeer ik niks in te vullen. En per webshop werk ik dus met alias. En heel veel mail provider supporten dat tegenwoordig. Dat je gewoon met een plusje achter je mailadressen kunt. Dus stel je zegt ABCD. Abstratie Gmail.com. Dan zeg je ABCD plus. En dan ik denk gewoon wat bol. Qblue. En dan komt alles nog steeds. En dan heb je niks bij Gmail. Het is een voorbeeld voor de luisteraar. Niet voor mezelf.

Ik heb het anders opgelost. Maar zo kun je met mail alias werken. En dat werkt heel fijn. Want het zorgt ook voor als er dan een keer een lek is. Dan is niet één op één je hoofdmailadres erin. We kunnen wel uit afleiden. Maar dan weet je niet waar het vandaan komt. Backups, doen jullie dat? Ik niet. Dat doet Google voor me. Ook voor je Mac's. En dan heb je een time machine of zo? Nee. Ik heb ook alleen maar een browser draaien. Ja, dat is een hele dure browser.

En open claw. Ja, vet. En die draait zo weer. Maar van je thuiscomputer, je harde schrijven? Jij met je nasje natuurlijk wel. Ja. Dus mijn time machine gaat allemaal lekker daarheen. En weer de kritieke dingen worden weer gebackupt. Op USB schrijf ik mee te nemen in geval van nood. En de toegang is ook niet zo goed. En de toegang is ook niet super trivial. Maar ransomware is a real threat. Dus als ik ooit de ransomware geraakt zou worden, zou het kunnen zijn dat ik nat ga.

Ja, ik probeer wel een beetje tegen te beschermen. Maar dat is erg lastig. Wat ik nog zelf een keer moet doen, omdat ik alles bij Google draai, ook een keer zo'n super extract opvragen. Dan krijg ik wel 3, 4, 5 terabyte weet ik veel. Dat heb ik een keer aangezet. Dat duurt ontzettend lang. En dan krijg je na drie dagen mailtjes dat je mag downloaden. Dat recht hebben we natuurlijk allemaal om die data mee te nemen. En dat is nog meer een voornemen dan ik het daadwerkelijk gedaan heb. Want uiteindelijk zit ik daar volgens mij sinds 1999 op. En dan heb ik er allemaal mils nog.

Het is echt heerlijk om alles terug te kunnen vinden. Maar dat moet niet een keer verdwijnen. Dat is heel geveiligend. Google heeft ook elk incentive of elke motivatie om ervoor te zorgen dat dit nooit verdijnt. Of dat is een grote business model. Als dit open de kop gaat, dan zijn zoveel mensen zagerijnig. Dan is het wel even trouwens. Zitten er nog die tijden van dat gekke dingen kunnen gebeuren. Dat de stekkers tussen landen uitgetrokken worden. Ja, dat is inderdaad wel waar. Daarom zou ik iedereen willen aanbevelen.

Voor de mensen die het willen gebruik gewoon lekker de cloud. Daar is alles voor je weggeleerd en gemanagd. Dus dat is super prettig. Maar als je nou echt denkt dat er een paar kritische dingen zijn. Zoals foto's. Dat is voor mensen vaak belangrijk. Koop even zo'n klein schijfje bij de mediamarkt. Niet super gek veel. En doe gewoon één keer in een maand nog een kopietje van je belangrijkste foto's. Dan heb je niet veel liet. Je kan ook super makkelijk je computer koppelen aan de cloud. Dat is wat je daar eigenlijk de hardschrijf gebruikt online. Ja, voor welke bestanden wel en welke niet. Ik merk ook dat je op een gegeven moment een beetje omkomt in de verschillende cloud-opslag dingen.

Dus voor werk die op een bepaald product gestandariseerd is. Als je thuis kunt werken. Natuurlijk voor sommige mensen helaas niet mogelijk die luisteren. Maar inderdaad dat een bedrijf op een bepaald product zit. Een bepaald product zit, Microsoft bijvoorbeeld. En voor jezelf zit je op Google Drive. En dat je uiteindelijk denk ik ook wel eens. Als je zelf ook maar de producten, laptops enzo van ook van je baas hebt. En dat je met name die vermenging probeert te voorkomen. Want jouw dreigingsprofiel van je bedrijf is mogelijk anders dan die van jou als individu. Dus dat je die vooral niet te veel wilt vermengen.

Dus dat niet jouw Google Drive of je ding van Microsoft. OneDrive. Maar het is niet dat je vermengt dat de OneDrive shit staat die bij jou als persoon hoort. En andersom zeg maar. Ik denk dat je dat gewoon vrij helder moet scheiden. En dat het dan vaak is dat je voor je product thuis. Misschien je eigen Google Drive of gewoon lekker de harde schijf van je laptop gebruikt. En accepteert dat hetgeen wat daarop staat of dat kwijt is. Dat het wel een keer oké is ofzo. He Jelle, maar hele andere vraag. Ben jij eigenlijk local admin op jouw pc?

Ofwel heb jij volledige rechten op jouw account. Om bijvoorbeeld van alles te installeren of te doen? Ja altijd als jij me dit soort vragen stelt. Dan denk ik van shit ik doe iets fout zeg maar. Dus dit is. Ik heb even zitten kijken inderdaad. Ik werk op een Mac systeem. En inderdaad ik draai inderdaad heel veel op local admin. Ja. En jij Ronald? Ja ik heb dat. Voor mij is dat standaard houden bij Windows. Dat je dan kan instellen dat je ook administrator dingen wil kunnen doen.

Zonder dat je het zeker moet veranderen. Je krijgt een soort sudo pop-up. Ik weet niet ofzo noem ik hem maar. Maar als je echt kritische dingen wil doen. Vraagt hij het nog een keer. Zullen we dit. Is het goed als we nu je admin rechten inzetten? Dan zie ik hem nog eventjes. Zelfs als er iets geïnstalleerd wordt ofzo. Wat die admin rechten nodig heeft om in een bepaalde deel wat te doen. Natuurlijk niet helemaal goed. Want het is alleen maar een yes button. Ja precies. En ja ik heb er zelf. Ben ik op een gegeven moment afgestapt van de local admin.

Dus zelf ben ik op een gegeven moment afgestapt van de local admin rechten. Dus admin accounts zijn gewoon standaard gebruikers met beperkte rechten. En dan heb je wel het wachtwoord van de admin account in je hoofd of in je password manager zitten. Als we bijvoorbeeld Windows bekijken. Veel mensen zijn local admin bij Windows standaard. Als je een laptop koopt in de winkel. Dan heb je gewoon een beheerders account. Dan kun je alles installeren wat je wil. Als je dan Chrome gaat installeren hoef je inderdaad alleen maar een keer op ja te klikken. En dat is super prettig. Want je leven wordt er makkelijker van. Dus die is er dan niet echt.

Maar de praktijk is ook dat er dan een enorme hoeveelheid aan aanvals op een vlak bij komt. Want er bestaan allerlei bypasses om geautomatiseerde toestemmingen te verlenen. En nog een hele hoop andere dingen. En daardoor zie je gewoon dat ook het risico toeneemt. Als je dan een keer aan vissing poging. Als je erin tuint en je wordt geïnfecteerd op malware. Dan heeft die malware in potentie gewoon volledig gerecht op je APC. Je kan alles inzien ook als je met meerdere accounts werkt. Het gegevens van die andere gebruikers. Dus als je je zorgen maakt over je aanvalsopvlak op je Windows computer.

Of eigenlijk ook elke andere computer. Doe dan even van je eigen account een normale account maken. Maar eerst een andere Admin account aanmaken. Want dan scheid je gewoon je rechten wat minder. Oftewel dan hou je wat meer released privileges model aan. Maar hoe kan een normale gebruiker dit een beetje makkelijk doen? Is dit iets wat alleen maar tegneuten zoals jij kunt doen? Of is dit gewoon houdt tutorial kijken op YouTube of filmpje? Dit is wel een klein beetje even googlen. Want het is niet heel complex. Alleen ik begrijp ook dat niet iedereen doet beheer van zijn eigen pc. Dus je moet even zoeken waar je gebruikscounts kan aanmaken.

Dat zit binnen afhankelijk van wat je Windows 10 of 11 gebruikt op een ander plekje. Maar dan maak je een account aan wat dan beheerder is. En dan degradeer je je account tot een standaard gebruiker. Er staan allerlei tutorials voor. Op het internet kun je misschien wel even aan de show notes toevoegen. Hoe hier een stappen plantje voor is. Maar uiteindelijk is het allemaal niet nodig dat hele systeem beheer. Dat hobby wat jij aan het doen. Want we hebben natuurlijk gewoon hele goede antivirus software draaien. Ah, oké. Oké. Gewoon lekker uit Europa. F-Secure.

Ja, heel goed. Een van mijn eerste research opdrachten was hoe kom ik voorbij antivirus. En dat was niet zo heel moeilijk. Dat was niet zo heel moeilijk. Nee, maar goed, valt het even samen. Wat heb je aan antivirus software? Ik ben echt een fel tegenstander van antivirus. Het enige charme dat ik er van schamanter vind is dat je je tegen wat van die bekende zoi verdedigt. Dus als je dan allemaal random applicaties van het internet downloadt. Waar de hele oude voorbeelden van Pamela Anderson.jpg.com. Ik houd het al tegen.

Ik kan niet eens meer spannende dingen downloaden. Dan moet ik eerst een andere browser vinden. Ja, en daarom pleit ik ook voor dat mensen eigenlijk gewoon die Windows gebruiken. In ieder geval alleen van Windows Defender gewoon lekker gebruik maken. Die is gewoon hartstikke prima. Die zit erbij in gebouwd. Integreert ook nadeeloos met Windows. Daardoor in ieder geval ook je snelheid niet zo super erg in het gedienk komt. En ja, een third party antivirus. Ik vind het allemaal crap. Echt oprecht. Een van mijn eerste research opdrachtjes ging ik onderzoek doen naar hoe kom je voorbij antivirus.

Het is niet zo complex. Ook met bestaande malware. En dus ja, dat is vanuit techniek op beeld geregeneerd. Als gebruiker, het voegt wat toe voor de known-druigingen. Maar je geeft het wel dus heel veel access tot alles op je machine ook. Het geeft, en dat is weer die hele riskpale van hoe wij hierin zitten, denk ik. Het risico is, je verplaatst heel veel vertrouwen aan een applicatie die echt op memory niveau, dus heel laag in je computer ingehaakt moet zijn om daar alles te kunnen zien ook.

Waardoor je ook mogelijk een aanvaller die een antivirusproduct uit elkaar gaat knutselen, en weet ik voor wat, ook enorm veel mogelijke access geeft tot een product of een computer en zo. Dus het is misschien voor ons, hepatite of onze smaak, iets te veel vertrouwen in een product leggen. Dat is vervolgens ook bewezen, er zijn zoveel cyberoperaties geweest tegen antivirus vendoren. Dus het is gewoon een vrij riskante keuze om al je vertrouwen erin te plaatsen, denk ik.

Ik weet zelfs, Avaast was het volgens mij, die verkocht zelfs ook data van hun klanten, als ze er zoveel mee konden kijken. Heftig, heel heftig. Het betekent natuurlijk niet dat al onze grote Europese vrienden, zoals F-Secure en Bitdefender uit Roemenië en IZit uit Slovakije hallo deed, en G-Data. Bestaat dat nog? Of dat nou waarde heeft of niet? Maar van ons hoeft het niet. Laten we dat maar concluderen.

Ik vind het echt nog een beetje stam uit de tijd dat Flash heel hip was. Dus echt oude aanvalsvektoren met heel veel mallwork automatiseerd verspreiden. Dat is allemaal niet zoveel meer. En zou ik bij je moeder installeren? Laat ik het zo maar voor haar die vraag stellen. Daar zou ik eerder zeggen, ga nadenken over die password manager. Ga zorgen dat die mag worden, dat dat een beetje klopt en dat soort dingen. Dus het gaat veel meer over die basic dingen dan gelijk een antivirusproduct of zo. Hebben jullie wel uitgelegd dat ze beter Chrome kunnen gebruiken dan Edge? Dan de Internet Explorer? Internet Explorer is wel echt heel old school cool.

Dus ja, maar ik zeg Edge, maar dat weten veel mensen niet eens wat Edge is. Edge is inderdaad de opvolger. Dus eigenlijk op Chromium, dus dat is wel de kern waarom Chrome op draait. De Microsoft variant daarvan. En je kunt je afvragen wat voor die model daarachter is. En ik ben eigenlijk tegenwoordig een beetje aan het promoten dat mensen Vivaldi aan gebruiken, de Noorse alternatief. Chromium gebouwd, dat vind ik ook wel mooi. Maar ja, browsers, dat is een eeuwige discussie, net als tussen Android en iPhone gebruikers. Dat is ook een stukje voorkeur wat aan zou hebben bij jouw gebruikers.

Nou, als we daar toch over dit soort dingen hebben, Macs, Windows en Linux. Er zijn al heel veel mensen die zeggen, als mensen uit onze community zeggen, ja, ik ga lekker op Linux zitten, want dan heb ik geen malware. Klopt dat? Is dat gewoon verstandig? Nou, er klopt niks van. Het is alleen wel zo. Het grootste userbase op de wereld gebruikt is Windows. Met andere woorden, als je zoekt naar laaggangend fruit, dan ga je die ook wel sneller treffen bij Windows. Met andere woorden, heel veel aanvalsvektoren. Het is allemaal tegen Windows gericht. Met andere woorden, als je op Linux zit of op Mac, dan heb je iets minder last van de standaard aanvalsvektoren.

Maar dat maakt het niet beter, want nog steeds is daar gewoon prima allerlei malware voor. En werkt net zo goed. Dus als je target bent en je ziet achter je Linux box, dan loop je net zwart binnen als op een Windows machine. Dus al die OS'en ontlopen elkaar niet. En waarschijnlijk nog harder, want mensen zitten daar helemaal niet op de detectie. Dus het is echt... En met Linux kan je hem open source, dus het is veel makkelijker. Ik heb er echt nooit iets van te zoeken. Daar gaan we een apartelijkje over hebben, wat AI daar allemaal mee kan. Oké. Maar het begint allemaal tegenwoordig met... geen high-tech aanvallen, maar low-tech aanvallen.

Dus dingen als phishing en zo. Kijk, ik ben zelf een hele groot voorstander van dat mensen aanzetten dat standaard niet remote sources worden geladen. Ik moet je bekennen, ik weet even niet meer hoe dit heet. Ik moet denk ik in de show notes even toevoegen hoe je dat zou kunnen doen. Ik moet even uitleggen wat het is. Ja, exact. Dat was de volgende sprong. Dus heel vaak worden in emails remote bronnen, bijvoorbeeld plaatjes, die worden dan ergens op het internet neergezet en dan haalt jouw email-client je automatisch binnen. Maar ook tracking pixels. Dus dat zijn dingen die je niet ziet, maar die kunnen dan zeg maar de schrijver van de email laten weten dat jij een mailtje hebt gelezen of geopend hebt.

Dus als je dan jouw client uitzet dat hij dat mag laden, dan geef je in ieder geval niet potentiële aanvallers prijs dat jij hun mailtje opkoopt. En wat jouw IP-adres is. Dat is natuurlijk vaak stap 1 als je tot aanvallen moet weten waar vind ik hem. Exact. Dus het is heel goed om dat uit te zetten dat dat zomaar kan. En dan kun je natuurlijk altijd met een extra knopje het extra laden als je dan het mailtje wel vertrouwt. Het is gewoon een goede cyberhygiëne maatregel. En verder heb je altijd het check.

Check de afzender. Niet de naam, maar het emailadres achter de naam. Omdat heel vaak staat er een naampje van helpdesk of zo, maar dan blijkt het emailadres er blijkt te zijn. abcd.het.en.van.de.superwaasig.domein.wat.niemood.kan.uitspreken.nl En dat is wel apart. Hover over de link. Als je een linkje hebt in de dingen, klopt het domein dan wat achter de link zit. Dan staat het klik hier. Dat is vaak een knopje. Dan zie je niet de URL, maar als je dan je muis er even boven houdt, dan zie je waar de URL wel verschijnen. En als er dan een onregare website staat die je niet verwacht,

bijvoorbeeld odido-service.ru in plaats van odido.nl, dan moet je je afvragen is dit juist de link om naar toe te gaan. En verder is nog wat taalgebruik waar je op kan letten. Er is altijd urgentie. Je account wordt geblokkeerd. Je moet snel klikken. Of er zit een spelfout erin. Of het is een hele algemene aanhef. Vaak email waarvan zo'n actiefvragen staat je naam ingenoemd. Geachte persoon in plaats van geachte klant. Dat zijn wel dingen om in de gaten te houden. En dan weet je eigenlijk, als je een van die drie dingen niet vertrouwt, kun je het gewoon links laten liggen.

Dus eigenlijk vrij makkelijk. Wij trappen er nooit in. Dat is een hele interessante stelling. Want uiteindelijk, iedereen trapt er een keer in. En dan is de vraag, wat is de damage? En heel vaak als je dan op een linkje klikt, bijvoorbeeld als er een linkje is waar ze willen dat je klikt, dan is de vraag wat gebeurt er dan? Het zal niet zo snel gebeuren dat er moeilijk exploitchains worden afgetrapt en je hele computer gelijk gecompromiseerd is. Maar het kan wel zo zijn dat je vervolgens naar een soort Microsoft loginpagina wordt geredirect. Omdat bijvoorbeeld, we willen je Microsoft account overnemen.

Dat is wel vreemd als je dus een mailtje krijgt van bijvoorbeeld Odido. En dan moet je ineens met Microsoft inloggen terwijl je gewoon een Odido account hebt. Dan moet je gewoon even bij nadenken. Van waar ben ik eigenlijk mee bezig? En als je dan ook in de URL in de browser kijkt, je ziet daar dan iets staan, Microsoft.com, maar weet ik het wel, een andere Spaanse website, waar nog daar iets gebeurd is. Dat is ook apart. Dat hoort niet. En gelukkig helpt jouw browser daar steeds meer in. Die zegt dan, nee, het is een, hoe noem je dat? Deceptive site en ja, dat soort zaken. Maar er zijn zoveel flags om in de gaten te houden van,

is het legitiem wat ik aan het doen ben? Eigenlijk als je met mailwerk gewoon bij elke stap die je doet, ik ga ergens op klikken. Klopt het waar ik op klik? Waar ga ik naartoe? Is het logisch wat ik nu moet doen? En denk daarbij na. En als je twijfelt, ga weg. Schakel hulp in, schakel hulp in van de naasten, van een collega, van je IT-afdeling. I don't know. Ga niet zonder meer aan de slag. Het is echt niet erg als je het niet weet. Wat ze nu allemaal gaan doen natuurlijk, omdat het phishing, we worden nu opeens alert erop. We gaan er minder op reageren. Nou, not natuurlijk, maar het wordt veel makkelijker om het nu met allemaal deepfake audio

gewoon na te gaan doen alsof je je baas jou opbelt en je opdrachten geeft. In België bijvoorbeeld dat Prins Filip gewoon in de live in de uitzending, heet hij Filip? Volgens mij heette hij Filip. Heb ik het eerder over gehad. Dat hij bij mensen geld probeert af te troggelen in een deepfake video. Ja, dus dat is, als het spannende handelingen zijn, het kan heel lastig zijn, maar probeer het op een andere manier te verifiëren denk ik. Vind een ander kanaal hoe dat is, waar je het kunt verifiëren en durf dat uit te spreken van

dat je het even gaat checken ofzo. Ik snap dat alles in dit soort scams is erop gericht dat jij je zo awkward voelt, dat je echt met Prins Filip of je baas of Koning Filip, ik weet niet hoe die man heet, maar in ieder geval omdat je dit niet doet. Maar het is wel ja, blijven eigenlijk wat Marco zegt die sanity check constant blijven doen. Is het niet een beetje gek dat ik gevraagd word om 300 euro over te maken om een staatsbanket te financieren, zeg maar. Of ik word gevraagd om de token te geven van mijn bitcoin wallet die ik moet signen, waar een transactie van 500 miljoen mee vrij komt.

Ja, dan moet je toch gaan nadenken over van is dit het medium waar we het nu over hebben via een Teams call of voor je een call? Is dit het medium of is het toch niet een beetje gek om het hierover te hebben? Maar die scams doen het wel goed. Die zien ook wel, soms word je natuurlijk gek en dan is het mee te kijken hoe gaat het normaal en dan proberen ze dat na te doen. Maar daarom is het wel goed, maar dan moet je procedureel maar opzien te lossen dat je altijd via een tweede kanaal terugkoppelt of nog een keer toestemming vraagt. Dus dat je de persoon terugbelt van zoals jij hem kent, klopt dat je hem net de opdracht hebt gegeven.

En dan hopen dat ze niet je telefoon gehakt hebben en dat je weer bij tegen een ander robot zit te praten. En uiteindelijk de perfecte vervolging hou je niet tegen, maar met al dit soort checks en balances en ook wat we eerder hadden over wat tijd inbouwen, even wat tijd inbouwen zodat je er ook even over na kunt denken of zo is gewoon denk ik een hele mooie en goeie. Wat ik nog wel eens voorbij zie komen bij Ons Nerd is het aanpassen van je DNS-server, domain name assisting servers. En ik gebruik al de 9999, want ik weet echt niet meer van wie die is. 888 is van Google volgens mij.

Al die grote jongens hebben hun eigen nameserver. Het idee daarvan is dat zodra bekend is dat er een phishing server in de lucht is, dus dat is die fake server waar jij heen gaat, die dus al ook bij andere mensen is uitgekomen, die hebben meldingen gedaan. Dan wordt de hele threat intel wereld, IP-addressen op domain namen worden geblokkeerd en dat zetten ze in een nameserver. Dus al klik je erop en je gebruikt 9999, 499 als nameserver, dan kan je

niet meer bij die website terechtkomen. Is dat iets wat jullie gebruiken? Het is wel een mooie brug als je nou eens een nerd deert, dus voor de mensen die wat meer willen, want uiteindelijk is het toch wel vrij complex voor de gemiddelde gebruiker van nameserver te wisselen. In je router vul je gewoon in dat je niet de DSP, de domain service, wil gebruiken, maar altijd 9999. Is dat ingewikkeld? Ja, en toch ook net als password managers installeren en dergelijke. Het zijn allemaal beheren-taken en dat moet je maar net weten hoe het werkt.

Maar inderdaad, dit zijn hele goede maatregelen. Ik doe het zelf ook inderdaad. Ik draai daarom mijn eigen nameservers, ik draai Edgard en die blokkeert voor mij ook al die malware-domijnen en dat soort zaken. De volgende dan nog eventjes, want dan moeten we er wat rapper doorheen gaan, denk ik dat we gedaan hebben. VPN's hebben in China een magadiem meer en dat is dan omdat ze willen meekijken. Hoe gaan VPN's ons hier in Europa beschermen? Ja, dus voor de luisteraren, VPN, Virtual Private Network, maakt een versleutelde tunnel vanaf je apparaat naar een VPN-server, oftewel waar jouw

verkeer dan voetaan doorheen gaat. En wat het grote voordeel daarvan is, is dat dus als ik bijvoorbeeld kijk naar mijn thuisnetwerk, als ik een VPN zo aanzet, dan ziet mijn provider niet meer wat er in mijn verkeer zit. En dan is het ook als afwek vanuit die VPN-server kom. En sommige mensen gebruiken dat wel eens om bijvoorbeeld Netflix-rustricties te omzeilen, dus dan maak je verbinding met een Amerikaanse server. Lijkt dat er zo'n uit Amerika komen, dan kunnen ze in een keer hele andere series kijken. Ja, wanneer heeft het dan wel zin? Als je dus Netflix uit Amerika wilt kijken, niet een tip van ons, maar

gewoon wat er gebeurt in de praktijk. En daarnaast, het werkt heel goed voor openbare wifi. Als je een keer naar een café gaat, een hotel of een vliegveld, iedereen kan daarmee verbinden, iedereen kan erop zitten. Soms kun je ook wat meer meeluisteren. Dan is het handig om een VPN-etje op te zetten, zodat in ieder geval jouw verkeer versleuteld is. Maar als ik gewoon in die Starbucks zit en ik krijg van hen het wachtwoord om op dat netwerk te zitten, dan kan ik er net zo goed mee luisteren? Ook zeker waar, ja, maar dat is ook een beetje openbaar wifi.

Ja, oké, ik dacht eigenlijk, ja, bedoelde, of versleuteld wifi, maar dat maakt niet eens uit. Nee, nee, gewoon alles waar de hele wereld, zeg maar wijs spreken, mee kan verbinden. Altijd goed om daar even een VPN-etje op te zetten. En ook als je dus meer vanuit privacy-oogpunten redoneert en je denkt van ja, ik wil niet dat mensen zien wat mijn originele IP-adres is, dat ze zien waar ik vanaf kom, iets meer anonymiteit, kan een VPN-etje wel helpen. En daarnaast de original use case als je bij je bedrijf moet. Want heel veel werd natuurlijk voor bedrijfsnutwerken gebruikt.

Maar goed, het VPN in de basis wat het doet is natuurlijk, je gaat het internet op met een ander IP-adres en alles tot aan hun server van die VPN boeren is netjes versleuteld. Maar ja, alles verkeerd ondertussen. Ik zie altijd een slotje, haat het PS staat overal. En ik zit alleen maar in die browser, dus wat voegt het nou toe? Ja, dus het is nog steeds wel een stukje privacy ook. Behalve als je die VPN-service runnt. Je kan juist zien waar jij allemaal heen gaat.

Ja, dus het is eigenlijk een beetje verschuiven van je trust model. Dus wie in de keten vertrouw je wel en niet. En als je bijvoorbeeld zegt, ik heb best wel wat vertrouwen, bijvoorbeeld in Proton. En dan gebruik ik wel eens Proton VPN. Ja, daar heb ik iets meer vertrouwen in dan Odido, die zeer waarschijnlijk als verdienmodel ook heeft het verkopen van allerlei data wat uit het netwerk komt. Waarover is laatst ook weer iets basisch over naar buiten gekomen. Maar ja, het is geen oplossing voor alles. Je kunt het niet 100% ondernie mee zijn. Het beschermt je niet opeens tegen malware en phishing. De enige uitzondering is dat sommige providers zowel zijn Proton VPN hebben

wat ze noemen bijvoorbeeld NetShield. Zo noem ik het wel, die een beetje doet wat Quad9, het voorbeeldnet van de DNS-server, eigenlijk al voor jou regelt. Dus die zorgt voor dat malwaredomeinen en advertenties en dergelijke, dat die een beetje geblokkeerd worden. Dat is wel echt van meerwaarde, maar dat is specifiek voor de provider. Niet voor de oplossing VPN aan zich. En ja, daarnaast ook de dingen van ik om zelf censuur. Dat is ook maar net afhankelijk van hoe het technisch ingeregeld is en waar je uit vandaan komt en zo. Ik zie continu toch van die reclames van NordVPN.

Het beschermt je zelf online. Ja, het is echt supergoede marketing. Nou, oké. Oké. Haha. Het enige wat er over blijft is dat VPN's goed zijn voor als je films wilt kijken die je eigenlijk nog niet mag zien in jouw regio. Ik gebruik het eerlijk gezegd ook als ik gewoon Nederlands tv wil kijken hier. En daar werkt het fantastisch voor, tot ze het door hebben. Want die ook IP-nummers komen op een gegeven moment op een lijstje. Dit zijn VPN-servers, die worden ook gebruikt.

En nog een tip aan hackers. Als je een VPN gebruikt om anoniem te hacken, zorg ervoor dat er niet op de achtergrond gewoon iets anders openstaat zoals Facebook of LinkedIn. Die continu aan het opvragen is van mag ik voor dit profiel wat downloaden? Want je naam komt ook weer voorbij dan. Oké. Nou, VPN is dus ook aanbieder van bepaalde diensten, van telecommunicatiediensten. En dat is overal in de hele wereld is dat natuurlijk gereguleerd. En overal over de hele wereld mag de politie of die buitenlandse inlichtingendiensten mogen zo'n aanbieder van zo'n dienst gewoon dwingen om mee te werken aan een onderzoek.

Dus sommige mensen die we dan tegenkomen in presentatie, die denken ja, maar ik zet nog een VPN aan, dus ik ben super secure en niemand komt weer aan me. Nee, alle officiële bedrijven die je gebruikt, die moeten gewoon samenwerken met een overheid. Dus het maakt ook uit waar jij je VPN koopt. Dus als je een of andere supergoedkope nondescripten VPN provider in Pakistan gebruikt, ja, denk even na over dat risicoprofiel. Het is niet dat alle VPN's goed zijn of zo. Maar die Pakistanse providers, die zou maar meewerken met alle Europese diensten die ermee geïnteresseerd zijn.

En dit is hoe je wilt dat mensen over nadenken. Dus een dreigingsprofiel in kaart, wat ben je aan het doen? Dat zou goed zijn. Dat zou ik zeggen, dit is hoe je erover nadenkt. Maar laten we dus altijd duidelijk zijn, voor openbare netwerken, altijd goed om even toe te voeren in het hotel en dat soort zaken. Dat gaan we vanaf nu doen. We hebben ontzettend veel besproken. Soms is het toch weer complexer geworden dan we misschien van tevoren bedacht hadden. Laten we even afsluiten nog met het superrijtje met wat de gebruikers die nu geluisterd hebben,

die nog een uurtje vrij hebben, wat ze onmiddellijk moeten gaan doen. Zeg het maar. Dus begin bij je e-mail. Je e-mail moet je beveiligen. En zet daar een multifactor authentication op. En kijk even voor jezelf, of je dat wilt doen. Of met een authenticator app of met een hardware token. En dan is het het laatste het liefste dubbel uit te voeren. Als je één token kwijt raad je in ieder geval nog een backup hebt. Regel een password manager. En zorg ervoor dat je zo min mogelijk wachtwoorden gaat recyclen. Draai je updates, doe wat lifecycle management. Ook al kost je dat wat tijd. Goor je clunky AV weg.

Je duurbetaalde product waarvan je licentie volgende maand verloopt, gaat niet vernieuwen. Gewoon gebruik gewoon de ingebouwde Microsoft Defender. En als je dan iets meer wilt gaan nerden, ga van local admin naar standaard gebruiken. En dan heb je ook een ver wissel van DNS server om je te beschermen tegen allerlei malware en accessentie phishing domeinen. En gebruik je CPN op in ieder geval openbare netwerken. Ja, en dat heb ik nog even gemist. Maar je hebt multifactor gezegd voor je mainmail address. Maar ik zou multifactor of twofactor met die handige app daarnaast

op alle accounts doen waar je twofactor kan aanzetten. En vergeet ook als je dan twofactor aanzet, ook niet om dat te doen bij chatapps zoals Signal en WhatsApp. Want daar vinden dus echte aanvallen mee plaats. Oké, we gaan er een eind aan draaien jongens. Elke week kun je weer naar een nieuwe aflevering van Cyberhelden luisteren. Onze gesprekken met de Cyberhelden kun je terug luisteren via Spotify en je favoriete podcastapp. Maar ook via de website cyberhelden.nl. Vergeet je niet te subscriben en dan krijg je zelf weer een notificatie

als er een nieuwe aflevering klaarstaat. Heel dank voor het luisteren en graag weer tot de volgende keer. Tot de volgende keer. LATER! TV Gelderland 2021