BEVEILIGERS KLAGEN OVER BEVEILIGING
Netkwesties kreeg onlangs de kans om te kijken in de keuken bij de grote
geesten der computerbeveiliging. Op de RSA Security beurs in Parijs liep van alles
rond op het gebied van beveiliging dat enigszins een knip voor de neus waard is.
Deze jaarlijkse RSA-bijeenkomst is de grootste cryptobijeenkomst ter wereld.
Bij de RSA conference ontmoeten cryptografen, de IT-industrie en de politiek
elkaar. Vorig jaar zou de bijeenkomst voor het eerst in Amsterdam worden gehouden,
maar treurnis en de vliegangst die het gevolg waren van de aanslgen in New York
gooiden toen roet in het eten. Amsterdam zag zijn beurt voorbijgaan, Parijs vormde
het decor voor de RSA conference 2002.
Grote ster op de bijeenkomst was zonder twijfelWhitfield
Diffie. Diffie, met lang grijs haar en baard uiterlijk de jaren zestig van
de vorige eeuw vertegenwoordigend. Waar de meeste cryptografen anonieme laboratoriumvorsers
zijn, is Diffie de versleutelingsvariant (*) van een popster. Hij stond aan de
wieg van een van de belangrijkste huidige uitvindingen ooit gedaan op het gebied
van (digitale) cryptografie. Zonder zijn public key systeem was veilige communicatie
via internet praktisch onmogelijk gebleven.
Security lijkt nog steeds een 'hot' item, met bijna dagelijkse berichtgeving
over nieuwe beveiligingsgaten in Microsoft software, bankpassen fraude en hackers
die militaire netwerken kraken, maar op de RSA Security beurs was het gezever
over het onbegrip van bedrijven voor beveiliging toch niet van de lucht. 'Er wordt
teveel gepraat en te weinig gedaan', zo zei Arthur
Coviello, directeur van RSA. Volgens Coviello duurt het te lang voordat bedrijven
daadwerkelijk geld uitgeven aan beveiliging, zeker nu het economisch minder gaat:
investeringen in computerbeveiliging en vervelende procedures leveren nu eenmaal
geen enkele bijdrage aan de balans.
Vrijwel alle lezingen van producenten stonden bol van gejammer over gebrekkkig
bewustzijn en trage reacties. Je ontkomt dan niet aan de verdenking dat ze economische
redenen in hun achterhoofd hebben. Maar onderzoeken gaven hen wind in de zeilen.
Volgens een op de conferentie gepresenteerd onderzoek van KPMG kosten slechte
encryptie van wachtwoorden, virussen en digitale inbraken gemiddeld 108 duizend
dollar per organisatie.
Aanspreekpunt moeilijk
Een Nederlandse chef van het security-afdeling van KPMG bevestigt dat het
lastig is om de juiste persoon te pakken te krijgen als het gaat over beveiliging:
"De hele grote organisaties, zoals Shell bijvoorbeeld hebben wel een 'security
officer', maar het is lastig binnenkomen bij veel organisaties. Aangezien we voornamelijk
accountancy doen, komen bedrijven meestal via de accountant bij ons uit'. Volgens
de chef valt er voor iemand die de verantwoordelijkheid van beveiling uit zichzelf
op zich neemt alleen maar te verliezen.
Soms proberen we een klant te overtuigen van onveiligheid ergens een kleine
server te plaatsen die twee weken niets anders doet dan het netwerk afspeuren
naar vertrouwelijke informatie. De gegevens leggen we dan voor aan de directie,
die zich zonder uitzondering elke keer weer rot schrikt aan wat we allemaal aan
vertrouwelijke documenten te pakken hebben gekregen."
KPMG hield dit jaar voor het eerst een wereldwijd onderzoek over computerbeveiliging,
waarbij 641 managers van grote bedrijven werden geïnterviewd. 22 procent van de
ondervraagden vond virussen het grootste probleem. Op de tweede plaats stond echter
problemen met de beveiliging van e-commerce systemen met partners: 'B2B security
when collaborating with partners'. Slechts 5 procent van de bedrijven meldde serieuze
problemen met hackers. Dus die hebben ze niet, of die merken ze niet op.
Grootste probleem bij ingewikkelde computersystemen: de systeembeheerder heeft
het overzicht niet, en weet niet welke softwareversie op welke pc draait. Het
uitbrengen van een patch om een beveiligingsgat te dichten blijkt bij Microsoft
niet te kunnen zonder de goedkeuring van de marketingafdeling: de meeste klanten
zitten volgens Microsoft directeur Craig Mundie niet te wachten op een patch.
Voor organisaties met duizenden tot wel tienduizenden werkplekken is dat een tijdrovende
klus.
Deze beveiligingsupdates blijken alweer een markt op zich. Een bedrijf zoals
Qualsys sprong bijvoorbeeld in dit gat: Het
bedrijf geeft dure softwarepakketten uit die niets anders doen dan systemen scannen
op beveiligingsgaten, en op nieuwe updates van onder andere Microsoft. De software
vertelt de systeembeheerder dat er weer een nieuwe patch is en iedereen verdient
een flinke zakcent. De bedrijvigheid die de fouten -met name- Microsoft teweegbrengt
is uitgegroeid tot een heuse 'beveiligingsindustrie', die zich op de RSA-beurs
presenteerde.
Data-overstroming
'Het overgrote deel van alle beveiligingsproblemen zijn bufferoverflows',
zo zegt Aaron
Newmaneen beveiligingsexpert die zich met name verdiept in Oracle, ' Je kunt
producten gewoon testen op dit type fouten, het principe van bufferoverflow is
al sinds de jaren 60 bekend'. In een eerder door Oracle-baas Larry Ellison uitgegeven
witboek over de beveiliging van Oracle valt de kritiek op Microsoft makkelijk
te herkennen: "Alle softwaremakers claimen dat hun beveiliging goed is, ook diegene
die om de twee dagen nieuwe securityalerts uitgeven."
Beveiliging kun je niet aan het einde nog een keertje op een product plakken,
zo zeggen de Oracle marketeers. Meneer Diffie herhaalde in Parijs dezelfde zin
even later nog eens, maar dan sprekend over 'zijn' besturingsysteem Solaris vertelt.
Diffie is tegenwoordig werkzaam bij Sun Microsystems. Hij legde aan Netkwesties
en andere Windows en Linux-gebruiker uit dat het ook anders kan:
In tegenstelling tot enkele andere besturingsystemen is Solaris wel 'veilig',
zo beweert Diffie. 'In Solaris hebben we geen 'superuser' die rootaccess heeft,
en alle functies en instellingen op een computer kan veranderen, geen systeembeheerder
die 'postal' kan worden en dingen gaat doen die niet door de beugel kunnen. In
Solaris zijn verschillende taken gescheiden.
Wie het hele systeem wil wissen zal onder een aantal gebruikers moeten inloggen;
een hele openbaring voor fervente Windowsgebruikers. En hoewel Solaris nu niet
bepaald een bruikbaar alternatief is voor de thuis-pc, is het een aardig verhaal:
"Op een standaard server met Linux of Windows lopen verschillende programma's
en processen op een computer. Bij Solaris kunnen we dat zelfs fysiek scheiden:
op verschillende computers lopen verschillende processen, hardwarematig gescheiden',
aldus Diffie, "hoewel het natuurlijk wel een enkel besturingsysteem is. Kom daar
maar eens mee aan met Windows...."
(*) Diffie vond samen met cryptograaf Martin Hellman in 1975 een oplossing
voor het probleem van de distributie van de sleutel: immers, hoe goed je bericht
ook versleuteld is, zolang de ontvanger geen sleutel heeft, is het bericht niet
meer te 'openen'. Het versturen van de sleutel was tot dan toe een lastiger probleem
dan het versleutelen van het bericht zelf, vooral voor overheden en grote organisaties.
Het Diffie/Hellman principe is nu gemeengoed, dankzij de praktische uitvinding
van de public key: een methode waarbij een gedeelte van de sleutel van de ontvanger
gewoon openbaar is, en een ander gedeelte geheim.
Zie ook Code, het boek
van Simon Sing over de geschiedenis van cryptografie en de RSA
Conference
[AW, 21-11-2002]
