Falende beveiliging: Toen, en nu nog steeds
Op de InfoSecurity beurs lopen mensen rond die geïnteresseerd zijn in informatiebeveiliging. Er lopen ook mensen rond die kennis hebben van informatiebeveiliging. Ten slotte lopen er mensen rond die informatiebeveiliging verkopen. De meeste mensen die op de beursvloer rondlopen zijn overigens een combinatie van de bovenste drie.
En dan heb je mensen als Jan Guldentops, die met een glimlach vragen over informatiebeveiliging stelt die door iedereen ontweken worden. Sleutelvraag: wat is er sinds 1996 op het gebied van beveiliging verbeterd? Het treurige antwoord luidt: bitter weinig. Hij stelde het toegestroomde publiek continu vragen. En de antwoorden op die vragen deden hem, en ons, meer dan eens bevestigen dat we er nog bij lange na niet zijn op het gebied van informatiebeveiliging.
Allereerst de algemene beveiliging. Wat in 1996 volgens Jan zo'n beetje een algemene aanname was is dat we ons middels een single sign-on online voort zouden bewegen. Voor alles een enkele naam en wachtwoord. Dat is deels misschien wel gebeurd, maar de beveiliging daarvan laat te wensen over. Sterker nog, de beveiliging lijkt met het gebruik van single sign-on achteruit gehold. Want we gebruiken nog steeds minimale variatie in onze passwords en nog erger: we kiezen dezelfde password voor verschillende services. Een security-doodszonde.
Ook het gebruik van tokens is nog niet doorgedrongen. Niet bij de consument en net zo min bij het bedrijfsleven. Je vraagt je af hoe vaak we nog geconfronteerd moeten worden voordat we beseffen dat een token eerder noodzaak dan luxe wordt. De digitale snelweg kent geen stoplichten en als die er al staan, dan rijdt men keihard door, ondanks dat het licht op rood staat.
Dan ons e-mail-gebruik. We kunnen net zo goed de deur open laten staan voor de postbezorger in plaats van een brievenbus aan te schaffen, zo lijkt het althans als we afgaan op onze e-mailbeveiliging. We gebruiken amper tot nooit encryptie en SMTP is nog steeds een standaard. En aangezien het SMTP protocol oorspronkelijk uitgaat van vertrouwen (het protocol is pre-internet) tussen gebruikers is het allerminst een veilig protocol.
Een derde punt: het gebruik van IPv6, of eigenlijk een gebrek hieraan. Het belang van dit nieuwe IP-protocol lijkt bij weinig mensen, ook beveiligingsexperts, nog niet door te dringen. En dat is bijzonder want je zou toch denken dat in ieder geval de experts inzien dat de explosieve groei in mobiele apparatuur een nieuw protocol noodzakelijk is. Het tekort van unieke adressen online dreigt, maar er lijken zich maar bar weinig mensen druk te maken om deze kwestie. Behalve dan Jan Guldentops. En terecht. Want wat gaat er gebeuren als we echt aan de limiet van IPv5-adressen zitten? Wij weten het niet en we willen het eerlijk gezegd ook niet weten. Het zal in ieder geval geen prettig feest worden.
Een ander punt dat Jan aansneed was encryptie. Hoe kan het toch dat dit niet standaard gebruikt wordt? Al onze data versturen we, synchroniseren we, delen we en is overal bereikbaar. Dan zou je denken dat we er in ieder geval voor willen zorgen dat deze beveiligd is door het versleutelen van de data. Maar dit is zelden het geval en als er al encryptie gebruikt wordt, dan maar zelden op de juiste, volledige manier. Halfslachtige encryptie is in feite nog slechter dan geen encryptie. Immers, niets nodigt een kwaadwillende geestmeer uit om je data in handen te krijgen door deze achter een deur zonder slot te zetten. Geen encryptie gebruiken is roepen: 'ik heb niets te verbergen!' en dat is een stuk minder interessant voor de nieuwsgierige digitale inbreker.
Wat informatiebeveiliging betreft zijn we dus nog steeds behoorlijk amateuristisch. Als voorbeeld haalt Jan het Diginotar-debacle aan. Dit bedrijf gaf SSL-certificaten uit en verzorgde de beveiliging van websites van de Nederlandse overheid. In 2011 wist een hacker een grote hoeveelheid certificaten te verspreiden waardoor het mogelijk werd om namaaksites, bedoeld om bijvoorbeeld informatie van jou als gebruiker te onderscheppen, als veilig werden aangemerkt.
Dat zoiets überhaupt al kan gebeuren is tot daar aan toe, maar dat de reactie van Diginotar op de hack verre van professioneel was laat zien dat we nog een lange weg hebben te gaan. Diginotar deed alsof er niets aan de hand was, zelfs toen zowel Google aangaf dat er in de Gmail-service valse certificaten van Diginotar werden aangetroffen als dat er kamervragen werden gesteld. Het bedrijf Fox-IT stelde een onderzoek in en concludeerde dat de beveiliging zwaar ondermaats was. De servers van Diginotar bevatte malware die normaal opgepikt wordt door welke virussscanner dan ook. Er was simpelweg geen virusscanner aanwezig. Passwords waren makkelijk te achterhalen. Er werden geen logs bijgehouden. De aanwezige software wat niet geupdatet enzovoort enzovoort. En dan hebben we het hier over een bedrijf gespecialiseerd in beveiliging, en een overheid die dit bedrijf vertrouwt. Het zet je aan het denken.
Is er volgens Jan dan niets wat we kunnen doen? Zeker wel. Systeembeheerders zouden bijvoorbeeld met regelmaat integriteitschecks kunnen uitvoeren of goede logs bijhouden van wat er op de IT-infrastructuur gebeurt. Een ander tip ligt voor de hand zou je denken, maar het wordt vaak vergeten: goede regels omtrent passwords. Een kort password zonder een combinatie van cijfers en letters is gewoon geen goed password. En de username 'god' is niet grappig of slim, het is dom. Andere voor de hand liggende dingen die helaas zo vaak vergeten worden zijn updates. Zorg ervoor dat al je software is bijgewerkt, het is een kleine moeite en kan je een hoop narigheid besparen.
Wat een goede eerste stap zou zijn is de invoering van meer flexibele security-oplossingen die niet gebonden zijn aan de 'oude' IT, om het zo maar eens te noemen. Want cloud-services standaardiseren steeds meer, maar de beveiliging gaat nog steeds uit van IT-infrastructuren van, pak 'em beet, 15 jaar geleden. Ook de praktische kant, de menselijke kant om het zo maar even te zeggen, biedt mogelijkheden voor verbeteringen. Zo is er de zogenaamde digitale recherche die an sich goed werk doet. Het is immers goed om als mensen, die in de fysieke wereld leven en gebonden zijn aan de regels die gelden in die wereld, weten wat er speelt op digitaal vlak. En die dus ook gericht taken kunnen uitvoeren met kennis van zaken op het gebied. Je zult hen in ieder geval niet op de competentie betrappen die beleidsmakers soms ten toon spreiden, aldus Jan. Want het zijn politici die de digitale agenda aanwenden voor hun eigen gewin en daar is niemand bij gebaat, behalve politici zelf natuurlijk.
Hoewel de kans groot is dat Jan op InfoSecurity 2013 (of 2014, of 2015 enzovoort) weer precies eenzelfde soort lezing kan houden is het belangrijk dat er mensen als hem zijn. Mensen die kritische vragen durven te stellen maar tegelijkertijd een treurige situatie met een glimlach in plaats van een snik oppakken en deze beschrijven. Een aanjager van verandering zou je hem kunnen noemen. Zelf vindt hij het vervelend om 'expert' genoemd te worden, maar na een dergelijke lezing kun je niet anders concluderen: Jan Guldentops is een expert op het gebied van security.