Roodkapje en de wolf-in-the-middle

Sprookjes vormen een bron van wijsheid, maar niet veel mensen zouden ze gebruiken om kinderen meer te leren over de grondbeginselen van informatiebeveiliging. Maar dat kan dus wel!

Hoe legt u de concepten van informatiebeveiliging uit aan uw kinderen? De kans is vrij groot dat u dat gewoon niet doet. Sommigen proberen informatiebeveiliging niet eens als iets herkenbaars uit te leggen en verbieden kinderen simpelweg om bepaalde dingen online te doen, of zelfs helemaal om het internet te gebruiken. Maar een verbod zonder verdere uitleg werkt contraproductief, en moedigt kinderen waarschijnlijk juist aan om achter de verboden vrucht aan te gaan.

Bij de vraag “Waarom praat u niet met uw kinderen over cyberdreigingen en hoe informatiebeveiliging werkt?” is het vaak zo dat ouders, die zelf soms ook geen uitgebreide kennis hebben van deze concepten, gefrustreerd raken en opgeven, en niet noodzakelijkerwijs in die volgorde. Maar alles is eigenlijk al uitgelegd. U beseft het wellicht niet, maar er werden honderden jaren geleden al tal van boeken over cybersecurity voor kinderen geschreven. U kent die boeken als sprookjes. Het enige dat u hoeft te doen, is de focus wat verleggen.

Roodkapje

Neem bijvoorbeeld Roodkapje. Dit is een bekend Europees volksverhaal dat herhaaldelijk opnieuw verteld is door prominente cybersecurity-experts zoals de Gebroeders Grimm, Charles Perrault en vele anderen. De verschillende versies van dit verhaal variëren enigszins, maar de kern van het plot blijft hetzelfde. Laten we eens stap voor stap kijken wat er gebeurt.

  1. Moeder stuurt haar dochter naar oma met een mand met lekkers.
  2. Roodkapje ontmoet de wolf, die vraagt: “Waar ga je naartoe?”
  3. Roodkapje antwoordt: “Ik ga naar oma om haar een mand met lekkers te brengen.”

De cybersecurity-implicaties zijn vanaf het begin al duidelijk — hier kunt u de handshake-procedure uitleggen: het proces van het tot stand brengen van communicatie tussen twee partijen, en samen de gerelateerde dreigingen hiervan observeren.

Roodkapje is geprogrammeerd om op oma’s deur te kloppen, waarop ze de vraag “Wie is daar?” krijgt, en ze antwoordt met een wachtwoordzin over haar moeder die lekkers stuurt, zodat oma verder kan gaan met autorisatie en haar toegang tot haar huis kan verlenen. Maar om de een of andere reden, geeft Roodkapje haar wachtwoordzin op bij een willekeurig verzoek, zonder de benodigde vraag “Wie is daar?” te hebben ontvangen. Dat biedt de aanvaller de kans om dit uit te buiten.

  1. Afhankelijk van de versie van de firmware het sprookje, stuurt de wolf Roodkapje ofwel op een omweg, of stelt hij voor om ook wat bloemen voor oma te plukken.

Hoe dan ook, dit is een soort Denial-of-Service (DoS)-aanval. Als de wolf probeert om bij oma’s huis in te loggen na de aankomst van Roodkapje, is het onwaarschijnlijk dat hij wordt binnengelaten; de enige verwachte bezoeker is er immers al. Daarom is het belangrijk dat hij Roodkapje even buitenspel zet, zodat ze haar taak niet op tijd kan voltooien.

  1. De wolf is uiteindelijk de eerste die bij oma’s huis aankomt en op correcte wijze inlogt door juist te antwoorden op de vraag “Wie is daar?”. En oma verleent hem toegang tot het huis.

Dit is bijna een schoolvoorbeeld van een Man-in-the-Middle (MitM)-aanval met gebruik van de replay-aanvalsmethode (hoewel in ons geval Wolf-in-the-Middle passender zou zijn). De wolf maakt gebruik van het communicatiekanaal tussen twee partijen, leert de handshake-procedure en het wachtwoord van de client, en reproduceert deze allebei om toegang tot de server te verkrijgen.

  1. De wolf peuzelt oma op, doet haar nachtjapon aan, zet haar nachtmutsje op en gaat in haar bed onder de deken liggen.

In moderne termen, kan je stellen dat hij een phishing-site opzet. Alles lijkt vanaf de deur te kloppen: het bed van oma is er, en iemand die op oma lijkt ligt erin.

  1. Nadat Roodkapje het huis heeft bereikt en de vraag “Wie is daar?” heeft ontvangen, geeft ze de wachtwoordzin over het lekkers dat ze komt brengen.

Dit is een voortzetting van de MitM-aanval, maar nu is het de wolf, die het tweede deel van de procedure voor informatie-uitwisseling nu heeft geleerd, die het normale gedrag van de server oma imiteert. Roodkapje merkt niets verdachts op en logt in.

  1. Ze stapt het huis binnen en vraagt zich hardop af waarom oma zulke grote oren, ogen en tanden heeft. Slimme vragen, maar uiteindelijk is ze tevreden met de onvoldoende uitleg van de wolf, logt ze in… en wordt ze opgegeten.

In het echte leven, net als in dit sprookje, zijn phishing-websites bijna nooit 100% overtuigend en bevatten ze vaak dubieuze elementen, zoals een verdachte hyperlink. Om problemen te voorkomen, is het verstandig om op het volgende te letten: als in dit geval oma’s domeinnaam uit haar nachtmutsje steekt, verlaat de website dan onmiddellijk.

Roodkapje ziet wat onregelmatigheden, maar besluit die helaas te negeren. Hier moet u aan uw kind uitleggen dat het gedrag van Roodkapje roekeloos is, en uw kind uitleggen wat ze anders had moeten doen.

  1. Gelukkig komt er een groep houthakkers (of jagers in sommige versies). Zij snijden de wolf open, en oma en Roodkapje komen eruit, wonderbaarlijk genoeg veilig en wel.

Toegegeven: de parelellen met informatiebeveiliging zijn niet perfect. U kunt een cybercrimineel niet opensnijden om uw geld, reputatie of veiligheid terug te krijgen. Maar eerlijk gezegd hebben we dat ook nooit geprobeerd. Voor de duidelijkheid: wij hebben niets te maken met mensen die dit wel geprobeerd hebben.

Cybersecurity in andere sprookjes

Sprookjes bevatten levenslessen, en in elk sprookje is tussen de regels door ook wel wat over informatiebeveiliging te leren — het belangrijkste is om dat op juiste wijze uiteen te zetten. In De wolf en de drie biggetjes zien we bijvoorbeeld een scriptkiddie die diep inademt en blaast voor brute-force-aanvallen. De sneeuwkoningin installeert trollenspiegel-malware in Kay en neemt de controle over hem over, net zoals dat gebeurt bij een remote-access tool (RAT) die de systeemcontrole van een insider overdraagt aan een crimineel van buitenaf.

En De gelaarsde kat is eigenlijk een gedetailleerd rapport van een zeer geavanceerde APT-aanval, waarbij de kat eerst de infrastructuur van de oger kaapt, en vervolgens, nadat hij hier een aanwezigheid heeft vastgesteld, een frauduleuze deal sluit met de lokale overheid via een complexe zwendel waar reputatiediensten bij zijn betrokken.

Tips