Boekbespreking Secrets & Lies door A.M. van Roeden

Secrets & Lies - Digital Security in a Networked World

Boekbespreking - eerder verkort gepubliceerd in het tijdschrift Net professional

In 1993 schreef Bruce Schneier schreef het boek Applied Cryptography : hierin behandelt hij het verschijnsel cryptografie en de algoritmes en protocollen waarmee computers en hun onderlinge communicatie in principe optimaal beveiligd kunnen worden. Het is sindsdien uitgegroeid tot een standaardwerk op dit gebied.

In de daaropvolgende periode waarin hij werkzaam was als consultant op beveiligingsgebied, bleek echter dat zijn boek geen oplossing was voor de almaar toenemende beveiligingsproblemen. Zelf vond Schneier dat hij een fout had gemaakt door niet over de context te schrijven waarbinnen de oplossingen uit Applied Cryptography werden toegepast. Zoals een collega opmerkte : ‘de wereld is vol met slechte beveiligingssystemen die ontworpen zijn door mensen die Applied Cryptography hebben gelezen’.

Een nogal overtrokken standpunt, want je kunt nou eenmaal moeilijk een schrijver de schuld geven dat zijn lezers klakkeloos uitvoeren wat in zijn boek beschreven is.

Had men echter wel wat meer nagedacht, dan zou men zich misschien hebben gerealiseerd dat :

· cryptografie niet op zichzelf staat – maar altijd wordt toegepast binnen een groter geheel – een systeem dat uit vele andere componenten bestaat.

· beveiliging ook met mensen te maken heeft. Mensen kunnen slordig zijn, onwetend, ongeïnteresseerd en soms zelfs crimineel.

· digitale beveiliging met computers te maken heeft. Computers zijn (te) complex, hebben bugs en zijn onbetrouwbaar.

Kortom, hoewel de wiskundige theorie achter de cryptografische oplossingen uit Applied Cryptography in beginsel foutloos en bewijsbaar is, is de context waarbinnen deze worden toegepast meestal een puinhoop.

Schneier kwam tot deze en andere conclusies aan de hand van de ervaringen die hij opdeed bij de vele bedrijven waar hij werd ingehuurd. Kennelijk toch geprikkeld door de opmerking van bovengenoemde collega, begon hij in 1997 aan het schrijven van ‘Secrets & Lies – Digital security in a networked world’.

Hierin behandelt hij problemen op het gebied van beveiliging, de technologie die hierbij een rol speelt en de oplossingen hiervoor. Het boek is ook in deze volgorde opgebouwd :

Deel 1 – ‘the Landscape’ geeft een overzicht van waar we het nou eigenlijk over hebben als het over beveiliging gaat. Wat zijn de gevaren, waaruit bestaan de aanvallen, wie zijn de aanvallers en wat zijn onze beveiligingsbehoeften ?

Deel 2 – ‘Technologies’ geeft een overzicht van beschikbare technologien zoals cryptografie, computerbeveiliging, certificaten, etcetera. Zelfs de op dit moment zo actuele technologie van de stenografie (het verstoppen van berichten in bestanden) komt aan bod.

Ook de moeite waard is het laatste hoofdstuk van dit deel – ‘the human factor’. Dit maakt pijnlijk duidelijk waarom zelfs de beste technische oplossingen vaak niet werken als er mensen in het spel zijn.

Deel 3 – ‘Strategies’ kijkt naar de zwakke plekken in de beveiliging en behandelt methoden en technieken om de problemen het hoofd te bieden. Interessant is de techniek van de ‘Attack trees’ – een schema waarmee deze zwakke plekken snel opgespoord kunnen worden.

Beveiliging is een proces

Het centrale thema in Secrets & Lies is dat beveiliging geen product is maar een proces. Een proces waarvan de hele organisatie doordrongen moet zijn. Zo heeft het bijvoorbeeld weinig zin om de nieuwste firewall te installeren als je collega’s passwords op een post-it briefje op het computerscherm plakken of print-outs met gevoelige informatie in de prullenbak gooien. (Ik heb me altijd verbaasd over het feit dat zelfs in financiële instellingen de schoonmakers in de avonduren moederziel alleen ongestoord kunnen rondlopen – sterker nog; het is hun werk om de vuilnisbakken te legen ! Hoe moeilijk zou het zijn in een schoonmaakbedrijf te infiltreren ?)

Toch denken veel mensen dat als ze er maar een flinke dosis technologie tegen aan gooien, het beveiligingsprobleem vanzelf wordt opgelost. Men besteedt veel aandacht aan het voorkomen van problemen, maar geen of weinig aandacht aan het detecteren en reageren hierop. Wat te doen als er inderdaad een hacker wordt gesignaleerd ? Het systeem uitzetten (en omzet verliezen) ? Een backup restoren (indien aanwezig) ? De politie inschakelen (die geen tijd en kennis heeft) ?

Hoewel er wel oplossingen en methodieken bestaan om de beveiliging te verbeteren komt Schneier uiteindelijk tot de conclusie dat het voor individuele bedrijven een verloren strijd is. Computers en computernetwerken worden immers steeds complexer, kennis ontbreekt, het overzicht raakt zoek en de interactie van alle componenten zorgt voor steeds meer zwakke punten in de beveiliging.

Hackers en andere malafide figuren maken hier dankbaar gebruik van. Ze kunnen dan ook over steeds meer en betere hackingtools beschikken : hacker A ontdekt een beveilingingsprobleem in een stuk software, hacker B schrijft een tool om dit probleem uit te buiten en hacker C gebruikt dit tool om daadwerkelijk in te breken, zonder dat hij verder over enige kennis van zaken hoeft te beschikken. Ook de zo geroemde snelle informatieuitwisseling die het Internet mogelijk maakt kan dus zijn nadelen hebben.

De software-producenten voelen zich ook al niet geroepen om de beveiligingsproblemen in hun software op te lossen. Ze hebben er sowieso al voor gezorgd dat ze niet aansprakelijk zijn voor de eventuele negatieve gevolgen van het gebruik van hun software (lees er een willekeurige licensie-overeenkomst op na) en de keiharde concurrentiestrijd in de softwarewereld maakt dat ze zich gewongen voelen om producten in de markt zetten die nog niet echt af zijn (dus goed getest en de grootste bugs verwijderd).

Wat in de fysieke wereld ondenkbaar is (uw nieuwe auto ‘crasht’ na 5 kilometer, de wasmachine ontploft), is in cyberspace de normaalste zaak van de wereld. Software is onbetrouwbaar en dus onveilig.

Het trieste is dat bijna iedereen dit inmiddels normaal vind – ook omdat software meestal wel werkt en er later pas lekken in worden ontdekt. Dan onstaat er rumoer, de fabrikant stelt snel een patch beschikbaar en het probleem is opgelost. Op naar de aandeelhoudersvergadering.

Wat als deze patch weer nieuwe problemen veroorzaakt ? Hoe zit het met de computers die nog niet gepatched zijn omdat de eigenaars niet eens weten dat ze een beveiligingslek hebben ? Hoeveel systemen zijn er zo niet besmet door ‘malware’ met exotische namen als ‘Code Red’, ‘Nimda’, ‘ILOVEYOU’ en ‘Melissa’ ? De geschatte schade loopt in de honderden miljoenen. Dat in al deze gevallen een patch beschikbaar was heeft dus niet veel geholpen.

Zoals Schneier terecht opmerkt : ‘the marketplace doesn’t reward security’. Gedurende het schrijven van zijn boek werd hij op een gegeven moment zo moedeloos van alle problemen en stommiteiten dat hij overwoog te stoppen met schrijven. Het boek is dan ook twee jaar later uitgekomen dan de bedoeling was.

Wat heeft er voor gezorgd dat hij de draad toch weer oppakte ? Naar eigen zeggen kreeg Schneier begin 1999 het inzicht dat :

· beveiliging om risk management draait – als je weet wat de risico’s en hun gevolgen zijn kun je adequate maatregelen nemen.

· beveiliging een proces is en geen product – technologie alleen is geen oplossing.

· detectie en reactie de manier is om beveiliging te verbeteren – alleen met preventie kom je er niet.

· het outsourcen van de beveiligingsbewaking de enige manier is om het probleem aan te pakken – alleen gespecialiseerde bedrijven hebben de mensen en de kennis in huis om de ontwikkeling op beveiligingsgebied bij te houden.

Het laatste punt roept misschien verbazing op, maar toch is dit niet zo’n gek idee. Hoeveel bedrijven besteden hun fysieke beveiliging of computercentrum niet uit aan een derde partij en kunnen zich zo beter concentreren op hun ‘core business’ ?

Het mag natuurlijk niet onvermeld blijven dat Schneier naar aanleiding van deze openbaring een bedrijf heeft opgericht (Counterpane Internet Security) dat deze diensten dan ook daadwerkelijk aanbiedt.

Nu is het uitbesteden van de beveiliging waarschijnlijk een luxe die lang niet alle bedrijven zich kunnen (of willen) permitteren, maar door kennis te nemen van de issues in dit boek en het beveiligingsbeleid hierop aan te passen, kan men al een heel eind komen.

Secrets & Lies is al met al een uitstekend boek, dat door de vele voorbeelden en anecdotes nooit saai wordt, vlot geschreven is en een zeer volledig overzicht geeft van de beveiligingsproblematiek. Schneier beperkt zich niet alleen tot de technologie, maar richt zich juist ook op het grotere geheel waarbinnen deze wordt toegepast. Hierdoor levert het boek een belangrijke bijdrage aan de discussie over dit onderwerp.

Essentieel dus voor iedereen die met computerbeveiliging bezig is, er mee te maken heeft of simpelweg geïnteresseerd is in dit onderwerp.

Om de mantra van dit boek nog maar eens te herhalen : ‘Security is a process, not a product’.

Counterpane Internet Security : http://www.counterpane.com

Bruce Schneier publiceert ook een nieuwsbrief (crypto-gram) die via deze site beschikbaar is.