Verhalenvertellers proberen hun lezers al sinds de Middeleeuwen het een en ander over cybersecurity bij te brengen. Het basisprincipe is eenvoudig: gebruik de “gevallen” in volksverhalen om echte rapporten te maken. Deze rapporten verschillen uiteraard wat de details betreft, maar als je ze zorgvuldig leest, blijkt er een fundamenteel verschil te bestaan in de presentatieaanpak van elke auteur.
De gebroeders Grimm en Charles Perrault hebben hun verhalen dan wel opgebouwd rond cyberincidenten, maar Hans Christian Andersen besteedde extra aandacht aan beschermende technologieën. Het lijkt erop dat de gebroeders Grimm en Perrault werden gefinancierd door bedrijven die gespecialiseerd zijn in het onderzoeken van incidenten, terwijl Andersen voor een leverancier van beveiligingsoplossingen werkte. Laten we eens kijken naar enkele voorbeelden van zijn output.
De wilde zwanen
De inleiding tot dit sprookje is vrij standaard: Een koning die onlangs weduwnaar is geworden trouwt met een boze koningin die een heks blijkt te zijn – een gebruikelijk eufemisme in sprookjes voor een dreiging van binnenuit of insider threat. Zij veracht de jonge prinsen en versleutelt ze (verandert ze in vogels). Vreemd genoeg onthult Andersen dat het versleutelingsalgoritme gebrekkig is – de boze stiefmoeder probeert ze te versleutelen in het formaat .grote_vogels_zonder_stem, maar krijgt uiteindelijk .zwanen.
Verderop beschrijft het verhaal de beproevingen van de prinses en enkele pogingen om in contact te komen met cryptografie-adviseurs van derden, maar een groot deel van het verhaal gaat over hoe de prinses handmatig 11 decryptors schrijft – één voor elk van haar broers.
Het verhaal gaat over hoe ze deze code weefde van brandnetels die ze op een kerkhof plukte. De vermelding van het kerkhof lijkt te verwijzen naar de programmeertaal C++ (de twee plustekens stellen kruizen voor), die, niet toevallig, werd ontwikkeld door Andersens landgenoot Bjarne Stroustrup. Dat wil zeggen, de prinses schreef de decryptors in C++.
Maar Andersen blijft onpartijdig; dat zien we bij de laatste decryptor, die een fout bevat, waardoor sommige bestanden van de laatste broer versleuteld blijven.
De prinses op de erwt
Het sprookje “De prinses op de erwt” voelt een beetje aan als een rapport over de implementatie van een middeleeuwse sandbox-gebaseerde gedragsanalyse-engine. Misschien schreef Andersen het voor een of ander gespecialiseerd tijdschrift, of als een whitepaper over een succesverhaal.
In het kort gaat het verhaal over een prins die moet bewijzen dat de vrouw met wie hij wil trouwen een echte prinses is. Daartoe bereidt zijn moeder een geïsoleerde, gecontroleerde ruimte voor (met andere woorden, een sandbox), die de slaapkamer van de prinses simuleert. Ze verbergt een trigger in het bed om normaal prinsessengedrag uit te lokken, en verdoezelt de trigger met 20 dikke matrassen en veren bedden. Volgens de hypothese van de moeder zou een echte prinses zelfs in dergelijke omstandigheden op de trigger reageren, terwijl een nepprinses zich er niet van bewust zou zijn.
De proefpersoon die in deze slaapkamer sliep reageerde op gepaste wijze op de trigger, en dus oordeelde de moeder van de prins: dat is een prinses.
Tegenwoordig gebruiken we gedragsdetectietechnologieën om schadelijk gedrag op te sporen, in plaats van prinsesgedrag. Het basisprincipe blijft echter onveranderd. Zo analyseert de Kaspersky Research Sandbox bijvoorbeeld de normale werking van een computer in een bedrijfsnetwerk en emuleert deze in een geïsoleerde ruimte om vervolgens het gedrag van potentiële bedreigingen te controleren.
De Tondeldoos
In “De Tondeldoos,” schrijft Andersen over een hacker. Onze hacker, die gewoon soldaat wordt genoemd, gebruikt een soort communicator, een tondeldoos genaamd, om contact te leggen met een criminele groep monsterlijke honden. De honden voorzien hem van munten en een communicatiekanaal naar de prinses om de overheidsbeperkingen te omzeilen. Bovendien verhullen ze zijn criminele activiteiten in de echte wereld door ongewenste personen fysiek uit te schakelen. Met andere woorden: het is een dark-web tool, en de naam Tondeldoos is duidelijk een verwijzing naar Tor.
“De Tondeldoos” is atypisch in sommige opzichten, vooral in de keuze van de hoofdrolspeler. De helden van sprookjes zijn meestal positieve personages, of ze roepen tenminste gevoelens van empathie op. Hier is het hoofdpersonage verre van een held en eerder immoreel tot op het bot.
In de loop van dit uiterst korte verhaal bedriegt, berooft en doodt de soldaat een oude vrouw die hem vertelde waar hij geld kon krijgen, ontvoert hij herhaaldelijk een prinses, maakt hij korte metten met haar ouders en met de rechters en de koninklijke raadgevers, en grijpt hij uiteindelijk de macht. Andersen wilde de man duidelijk afschilderen als een crimineel.
Terugkerend naar het informatiebeveiligingsprisma: wij zijn niet geïnteresseerd in de tondeldoos op zich, maar meer in de maatregelen die de paleiswachters gebruiken om vast te stellen waar en hoe de soldaat in contact komt met de prinses. De koningin (merk op dat, net zoals in “De prinses op de erwt”, het de vrouw van de familie is die verantwoordelijk is voor de informatiebeveiliging in het paleis – zo toont Andersen aan hoe belangrijk de rol van CISO was in de middeleeuwen) doet verschillende pogingen om de hacker te pakken te krijgen.
Eerst instrueert ze de interne cyberdreigingsanalist, een hofdame, om het adres van de indringer handmatig te achterhalen. De hofdame identificeert correct het subnet dat de soldaat gebruikt, maar het complexe systeem van adresverduistering weerhoudt haar ervan de exacte machine te bepalen. Met andere woorden: om haar op een dwaalspoor te brengen, markeert een van de honden de omringende poorten met hetzelfde kruis als op de poort van de soldaat.
De tweede poging is geraffineerder en succesvoller. De koningin implanteert een implantaat in de client-app van de prinses: een zak met grutjes. Tijdens de volgende communicatiesessie markeert het grutjes-implantaat de tussenliggende knooppunten waardoor de cybersavvy hond het signaal omleidt naar “Raam (window) van de soldaat” – dat wil zeggen, rechtstreeks naar zijn Windows-computer. Als gevolg daarvan wordt de soldaat opgespoord, gearresteerd en ter dood veroordeeld.
Maar in tegenstelling tot “De prinses op de erwt” is dit een waarschuwend verhaal, en geen succesverhaal. Een voorbijganger wordt omgekocht om de communicator af te leveren bij de veroordeelde man, die de hulp inroept van de hele groep hondencriminelen. Uiteindelijk zijn de inspanningen van de koningin tevergeefs geweest.
De nieuwe kleren van de keizer
Onze selectie Andersen-verhalen over informatiebeveiligingstechnologieën wordt compleet gemaakt door een ander beroemd verhaal: “De nieuwe kleren van de keizer“. Het oorspronkelijke verhaal is overduidelijk een satirisch, kritisch artikel over cybercharlatans – in dit geval verkopers die de loftrompet steken over hun eigen next-gen, op blockchain of AI gebaseerde cyberbeveiliging.
In “De nieuwe kleren van de keizer” trekt de koning geld uit voor de ontwikkeling van een volwaardig cyberbeveiligingssysteem, maar de contractanten houden simpelweg een paar indrukwekkende presentaties over blockhain en strijken vervolgens het geld op. De adviseurs van de koning, die niets van de technologie afweten en bang zijn dom over te komen, bevestigen de grote vooruitzichten. Later merkt een jonge, maar schijnbaar ervaren pentester op dat het koninklijke beveiligingssysteem niet alleen vol lekken zit, maar zelfs helemaal niet bestaat.
De cyberbeveiligingsindustrie heeft een lange weg afgelegd sinds de tijd van Andersen. Moderne organisaties die beveiligingsoplossingen kiezen, moeten zich minder laten leiden door reclameslogans en meer aandacht besteden aan de resultaten van onafhankelijke tests.