Dec. 2001 |
Secrets & Lies - Digital Security in a Networked World© December 2001 - Adriaan van Roeden Boekbespreking - eerder verkort gepubliceerd in het tijdschrift Net professional
In 1993 schreef
Bruce Schneier schreef het boek Applied Cryptography : hierin behandelt hij het
verschijnsel cryptografie en de algoritmes en protocollen waarmee computers en
hun onderlinge communicatie in principe optimaal beveiligd kunnen worden. Het
is sindsdien uitgegroeid tot een standaardwerk op dit gebied. In de
daaropvolgende periode waarin hij werkzaam was als consultant op
beveiligingsgebied, bleek echter dat zijn boek geen oplossing was voor de
almaar toenemende beveiligingsproblemen. Zelf vond Schneier dat hij een fout
had gemaakt door niet over de context te schrijven waarbinnen de oplossingen
uit Applied Cryptography werden toegepast. Zoals een collega opmerkte : ‘de
wereld is vol met slechte beveiligingssystemen die ontworpen zijn door mensen
die Applied Cryptography hebben gelezen’. Een nogal
overtrokken standpunt, want je kunt nou eenmaal moeilijk een schrijver de
schuld geven dat zijn lezers klakkeloos uitvoeren wat in zijn boek beschreven
is. Had men echter
wel wat meer nagedacht, dan zou men zich misschien hebben gerealiseerd dat : ·
cryptografie
niet op zichzelf staat – maar altijd wordt toegepast binnen een groter geheel –
een systeem dat uit vele andere componenten bestaat. ·
beveiliging
ook met mensen te maken heeft. Mensen kunnen slordig zijn, onwetend,
ongeïnteresseerd en soms zelfs crimineel. ·
digitale
beveiliging met computers te maken heeft. Computers zijn (te) complex, hebben
bugs en zijn onbetrouwbaar. Kortom, hoewel de
wiskundige theorie achter de cryptografische oplossingen uit Applied
Cryptography in beginsel foutloos en bewijsbaar is, is de context waarbinnen
deze worden toegepast meestal een puinhoop. Schneier kwam tot
deze en andere conclusies aan de hand van de ervaringen die hij opdeed bij de
vele bedrijven waar hij werd ingehuurd. Kennelijk toch geprikkeld door de
opmerking van bovengenoemde collega, begon hij in 1997 aan het schrijven van
‘Secrets & Lies – Digital security in a networked world’. Hierin behandelt
hij problemen op het gebied van beveiliging, de technologie die hierbij een rol
speelt en de oplossingen hiervoor. Het boek is ook in deze volgorde opgebouwd : Deel 1 – ‘the
Landscape’ geeft een overzicht van waar we het nou eigenlijk over hebben als
het over beveiliging gaat. Wat zijn de gevaren, waaruit bestaan de aanvallen,
wie zijn de aanvallers en wat zijn onze beveiligingsbehoeften ? Deel 2 –
‘Technologies’ geeft een overzicht van beschikbare technologien zoals
cryptografie, computerbeveiliging, certificaten, etcetera. Zelfs de op dit
moment zo actuele technologie van de stenografie (het verstoppen van berichten
in bestanden) komt aan bod. Ook de moeite
waard is het laatste hoofdstuk van dit deel – ‘the human factor’. Dit maakt
pijnlijk duidelijk waarom zelfs de beste technische oplossingen vaak niet
werken als er mensen in het spel zijn. Deel 3 –
‘Strategies’ kijkt naar de zwakke plekken in de beveiliging en behandelt
methoden en technieken om de problemen het hoofd te bieden. Interessant is de
techniek van de ‘Attack trees’ – een schema waarmee deze zwakke plekken snel
opgespoord kunnen worden. Beveiliging is een proces
Het centrale
thema in Secrets & Lies is dat beveiliging geen product is maar een proces.
Een proces waarvan de hele organisatie doordrongen moet zijn. Zo heeft het bijvoorbeeld
weinig zin om de nieuwste firewall te installeren als je collega’s passwords op
een post-it briefje op het computerscherm plakken of print-outs met gevoelige
informatie in de prullenbak gooien. (Ik heb me altijd verbaasd over het feit
dat zelfs in financiële instellingen de schoonmakers in de avonduren moederziel
alleen ongestoord kunnen rondlopen – sterker nog; het is hun werk om de
vuilnisbakken te legen ! Hoe moeilijk zou het zijn in een schoonmaakbedrijf te
infiltreren ?) Toch denken veel
mensen dat als ze er maar een flinke dosis technologie tegen aan gooien, het
beveiligingsprobleem vanzelf wordt opgelost. Men besteedt veel aandacht aan het
voorkomen van problemen, maar geen of weinig aandacht aan het detecteren en
reageren hierop. Wat te doen als er inderdaad een hacker wordt gesignaleerd ?
Het systeem uitzetten (en omzet verliezen) ? Een backup restoren (indien
aanwezig) ? De politie inschakelen (die geen tijd en kennis heeft) ? Hoewel er wel
oplossingen en methodieken bestaan om de beveiliging te verbeteren komt
Schneier uiteindelijk tot de conclusie dat het voor individuele bedrijven een
verloren strijd is. Computers en computernetwerken worden immers steeds
complexer, kennis ontbreekt, het overzicht raakt zoek en de interactie van alle
componenten zorgt voor steeds meer zwakke punten in de beveiliging. Hackers en andere
malafide figuren maken hier dankbaar gebruik van. Ze kunnen dan ook over steeds
meer en betere hackingtools beschikken : hacker A ontdekt een
beveilingingsprobleem in een stuk software, hacker B schrijft een tool om dit
probleem uit te buiten en hacker C gebruikt dit tool om daadwerkelijk in te
breken, zonder dat hij verder over enige kennis van zaken hoeft te beschikken.
Ook de zo geroemde snelle informatieuitwisseling die het Internet mogelijk
maakt kan dus zijn nadelen hebben. De
software-producenten voelen zich ook al niet geroepen om de
beveiligingsproblemen in hun software op te lossen. Ze hebben er sowieso al
voor gezorgd dat ze niet aansprakelijk zijn voor de eventuele negatieve
gevolgen van het gebruik van hun software (lees er een willekeurige
licensie-overeenkomst op na) en de keiharde concurrentiestrijd in de
softwarewereld maakt dat ze zich gewongen voelen om producten in de markt
zetten die nog niet echt af zijn (dus goed getest en de grootste bugs
verwijderd). Wat in de fysieke
wereld ondenkbaar is (uw nieuwe auto ‘crasht’ na 5 kilometer, de wasmachine
ontploft), is in cyberspace de normaalste zaak van de wereld. Software is
onbetrouwbaar en dus onveilig. Het trieste is
dat bijna iedereen dit inmiddels normaal vind – ook omdat software meestal wel
werkt en er later pas lekken in worden ontdekt. Dan onstaat er rumoer, de
fabrikant stelt snel een patch beschikbaar en het probleem is opgelost. Op naar
de aandeelhoudersvergadering. Wat als deze
patch weer nieuwe problemen veroorzaakt ? Hoe zit het met de computers die nog
niet gepatched zijn omdat de eigenaars niet eens weten dat ze een
beveiligingslek hebben ? Hoeveel systemen zijn er zo niet besmet door ‘malware’
met exotische namen als ‘Code Red’, ‘Nimda’, ‘ILOVEYOU’ en ‘Melissa’ ? De
geschatte schade loopt in de honderden miljoenen. Dat in al deze gevallen een
patch beschikbaar was heeft dus niet veel geholpen. Zoals Schneier
terecht opmerkt : ‘the marketplace doesn’t reward security’. Gedurende het
schrijven van zijn boek werd hij op een gegeven moment zo moedeloos van alle
problemen en stommiteiten dat hij overwoog te stoppen met schrijven. Het boek
is dan ook twee jaar later uitgekomen dan de bedoeling was. Wat heeft er voor
gezorgd dat hij de draad toch weer oppakte ? Naar eigen zeggen kreeg Schneier
begin 1999 het inzicht dat : ·
beveiliging
om risk management draait – als je weet
wat de risico’s en hun gevolgen zijn kun je adequate maatregelen nemen. ·
beveiliging
een proces is en geen product – technologie alleen is geen oplossing. ·
detectie en
reactie de manier is om beveiliging te verbeteren – alleen met preventie kom je
er niet. ·
het
outsourcen van de beveiligingsbewaking de enige manier is om het probleem aan
te pakken – alleen gespecialiseerde bedrijven hebben de mensen en de kennis in
huis om de ontwikkeling op beveiligingsgebied bij te houden. Het laatste punt
roept misschien verbazing op, maar toch is dit niet zo’n gek idee. Hoeveel
bedrijven besteden hun fysieke beveiliging of computercentrum niet uit aan een
derde partij en kunnen zich zo beter concentreren op hun ‘core business’ ? Het mag
natuurlijk niet onvermeld blijven dat Schneier naar aanleiding van deze
openbaring een bedrijf heeft opgericht (Counterpane Internet Security) dat deze
diensten dan ook daadwerkelijk aanbiedt. Nu is het
uitbesteden van de beveiliging waarschijnlijk een luxe die lang niet alle
bedrijven zich kunnen (of willen) permitteren, maar door kennis te nemen van de
issues in dit boek en het beveiligingsbeleid hierop aan te passen, kan men al
een heel eind komen. Secrets &
Lies is al met al een uitstekend boek, dat door de vele voorbeelden en
anecdotes nooit saai wordt, vlot geschreven is en een zeer volledig overzicht
geeft van de beveiligingsproblematiek. Schneier beperkt zich niet alleen tot de
technologie, maar richt zich juist ook op het grotere geheel waarbinnen deze
wordt toegepast. Hierdoor levert het boek een belangrijke bijdrage aan de
discussie over dit onderwerp. Essentieel dus
voor iedereen die met computerbeveiliging bezig is, er mee te maken heeft of
simpelweg geïnteresseerd is in dit onderwerp. Om de mantra van
dit boek nog maar eens te herhalen : ‘Security is a process, not a product’. Counterpane Internet Security : http://www.counterpane.com Bruce Schneier
publiceert ook een nieuwsbrief (crypto-gram) die via deze site beschikbaar is. |