NETKWESTIES ---- MAGAZINE OVER VRIJHEID, RECHTEN EN REGELS OP INTERNET

Phons Bloemen

PASPOORTEN EN RIJBEWIJZEN, OF KENTEKENPLATEN EN APK?

In fora over beveiliging kwam ik pleidooien tegen, van onder andere Leon Kuunders op Security.nl, tegen het uitdelen van paspoorten aan de gebruikers van het internet.

De kern van die pleidooien was dat het een heilloze weg lijkt: het enige wat je bereikt is, bijvoorbeeld, dat je weet aan welke kale kikker je je claim met een onzinnig schadebedrag voor het opruimen van virussen e.d kan richten. Nog afgezien van de ideetjes die zekere monopolistische firma's hebben over een internet passport.

Ook werd er door o.a. Leon gesproken over computerrijbewijzen die men moest halen voordat men het net op mocht. De kern daarbij is dat de gebruikers van het internet dan in ieder geval weten hoe het moet, en dat ook een keer hebben laten zien. Net als in het verkeer garandeert dat niet dat er daarna geen ongelukken gebeuren: het invoeren van zo'n rijbewijs zal de problemen met virussen, wormen en slecht systeembeheer niet oplossen.

Er is toen eigenlijk niet gekeken naar de vehikels waarmee die internetgebruikers de elektronische snelweg opdraaien. Net als op de gewone snelweg zijn ze er in allerlei soorten en maten Ook bij vehikels heb je paspoorten en rijbewijzen. Kentekenplaten bestaan er al zo lang als het IP-protocol gebruikt wordt, daar hebben we het niet over. Het gaat over keuringseisen.

Op de 'real life' snelwegen is het gebruikelijk dat de auto's aan minimale eisen voldoen. Triviale dingen als dat er wielen aan zitten en dat er een rem op zit, er niet te veel walm uit de uitlaat komt en dat het geheel niet al te verfomfaaid wordt als het met 50km/u tegen de vangrail gezet wordt. Nieuwe auto's moeten aan die criteria voldoen, de zogenaamde typegoedkeuring. Daarbij wordt ook nog periodiek getest of de auto nog steeds aan die eisen voldoet. Komt de auto door de 'APK', dan is hij weer een jaar 'veilig verklaard'.

Vertaal dit naar het internet, Het idee is 'zolang de computers als veilig gekeurd zijn' dan zal het met de veiligheid op internet wel loslopen, en gebeuren er geen ongelukken. Ontegenzeggelijk houdt dit een kern van waarheid in, men houdt echter geen rekening met de chauffeur. Neem nu veiligheidgordels: die moeten er in zitten, maar er zijn genoeg chauffeurs die ze niet omdoen.

Allereerst de typegoedkeuring. Deze lijkt het makkelijkst te regelen, en zou kunnen bestaan uit het testen van een pc met de besturing en de spulletjes die nodig zijn om op internet te komen. De uitslag zal al snel verworden tot een immer aanwezig vinkje in een testkolom van een gemiddeld computerblad.

Bovendien krijg je natuurlijk gedonder als bepaalde onderdelen van een grote softwarefabrikant stelselmatig niet door de test komen. Dan moet de tester buigen of barsten (of stelt de fabrikant zijn eigen test op). Een voorproefje was te zien in de affaire rond MSN en de 'W3C' test.

Bij de keuring zou je kunnen denken aan een 'keuringsstation' als de bekende Shields Up site, alwaar een soort 'automatische scriptkiddie' is opgesteld. Het idee is simpel: je meldt je aan, en er wordt een serie hack-aanvallen op je af gestuurd. Zo'n keuring kan een hulpmiddel zijn, maar er zijn wat kanttekeningen:

Ten eerste is daar het probleem dat het altijd een momentopname is. Op het moment van keuring lijkt iets veilig, je stelt daarna dat die situatie een jaar geldt. Echter, ook bij APK-gekeurde auto's kan een dag later iets essentieels stuk gaan..., net zoals een dag later een nieuw en uiterst destructief virus de kop op kan steken.

Dan: 'waar test je op'. Bij een veiligheidskeuring test je natuurlijk op alle punten die in het verleden een keer misgegaan zijn. Echter, eigenlijk moet je ook testen op dingen die mogelijk kunnen gebeuren (kip en ei situatie: hoe test je dat?).

Verder blijkt dat sommige testen alleen kunnen worden uitgevoerd op een destructieve manier: test gelukt, patient overleden. Bij een computer betekent dat dan een 'reinstall from scratch'.

Het meeste gevaar bij zo'n keuring schuilt wel in de verwachting die jij wekt: 'als mijn PC door de test komt' dan is hij veilig en hoeft ik niet meer over veiligheid na te denken'. Hetgeen zelfs kan uitmonden in 'mijn pc is toch gekraakt, je hebt hem niet goed getest, dokken!'.

De test neemt alleen de computer onder handen, en niet de gebruiker. Bij afgekeuring krijg je natuurlijk ook dat gedrag van 'fixen en oplappen, en net zolang proberen tot hij er door komt'. Of dit minimalistische 'dichtspijkeren' nu zo goed is voor de veiligheid op het internet valt te betwijfelen (je kunt er bij zo'n rammelbak zeker van zijn dat er na de keuring weer een jaar niks aan gedaan wordt...).

De tester zal ook genoeg problemen hebben met de veelheid aan vehikels die hij in de testen zal aantreffen. En niet alleen omdat er verschillende merken rondrijden. De meeste chauffeurs gaan niet uitgebreid liggen sleutelen aan hun auto, of het ding 'verfraaien' met allerlei uitbreidingen (enkele uitzonderingen daargelaten).

Men vindt dat men daar geen verstand van heeft, en als er iets mee is gaat men gewoon naar de garage. De meeste computergebruikers daarentegen tuigen hun vehikel op met van alles en nog wat, omdat ze denken er wel verstand van te hebben, of omdat de leveranciers het (schijnbaar) zo gemakkelijk maken. En 'PC-garages', voor zover die er zijn, vindt men veel te duur.

Al met al lijkt een 'PC-keuring' een middel dat iets kan bijdragen, maar waar we geen hoge verwachtingen van moeten hebben. En wat doen we met 'afgekeurde' vehikels? Eigenlijk zou je deze de toegang tot het internet willen ontzeggen. Moet je ze er wel (bij controles) eerst uit zien te pikken...

En dat betekent de komst van de digitale equivalenten van al dat snelwegmeubilair dat de meesten van ons zo haten: tolhuisjes, flitspalen, weegbruggen, camera's, slagbomen, en zo nu en dan een 'verdachte' auto langs de weg. Of gaan we naar een situatie toe waar iedereen alleen maar in een simpele, standaard 'Smart' de weg op mag?

Phons Bloemen - 1 november 2001