KGB'ER MET 'ONHACKBARE' BEVEILIGING ONDER CIA-TOEZICHT
Gaten schieten in de perfecte beveiliging; dat deden Nederlandse beveiligingsdirecteuren
van onder meer KPN, ABN Amro en Ernst & Young bij de presentatie in Amsterdam
van het 'revolutionaire' systeem InvisiLan door James Woolsey, directeur van
de CIA van 1993 tot 1995 en Vikor Sheymov, cryptografiechef van de KGB tot 1980.
Met buitengewoon genoegen zullen Woolsey en Sheymov niet terugkijken op hun optreden in de statige Industrieele Kring aan de Dam in Amsterdam, voor hun bedrijf Invicta Networks. Met deze voormalige kopstukken van de CIA en KGB wist de Europese importeur Anarkey in Apeldoorn zowel beveiligingschefs van Nederlandse concerns als journalisten te lokken, tot en met Willem Oltmans, die niets van doen heeft met computerbeveiliging.
Woolsey speelde onmiskenbaar de baas over Sheymov in Amsterdam en dwong hem een paar keer tot nadere uitleg. Woolsey is dan ook commissaris van Invicta, Sheymov zijn directeur. De Rus moest aanvallen pareren van het Nederlandse gehoor, en het toch al norse gezicht van zijn CIA-toezichthouder Woolsey werd steeds bozer. Sheymov was twintig jaar geleden een overloper vanuit de KGB naar de National Security Agency in de VS.
Woolsey nam in Amsterdam de rol op zich van de verspreider van de onheilstijdingen die een standaard marketingwapen vormen van beveiligingsbedrijven: we staan bloot aan enorme risico's voor de veiligheid van de samenleving met internet en ineterne netwerken van concerns en we weten niet wat ons nog te wachten staat. Met name financiële netten en voorzieningen van nutsbedrijven zullen volgens Woolsey het doelwit vormen van zware aanvallen van computerkrakers.
"De wereld onderschat niet enkel de grote kwetsbaarheid van systemen, maar vooral de onderlinge afhankelijkheid van systemen en onze afhankelijkheid daarvan. Toen in 1966 in New York de elektriciteit 24 uur uitviel konden hulpdiensten niet uitrukken omdat hun dieselpompen elektrisch werden bediend. Tot dan had niemand daarbij stil gestaan. Het jaar 2000-probleem van computersystemen heeft de grote samenhang en afhankelijkheid duidelijk aan het licht gebracht maar na drie jaar lijkt iedereen dat te zijn vergeten."
Woolsey verlaat zich op een rapport Making the Nation Safer - The Role of Science and Technology in Countering Terrorism. Dat is geschreven door het Committee on Science and Technology for Countering Terrorism. Het is ook een aanrader voor Bin Laden cs. want er staat op 440 pagina's zo'n afschuwelijke hoeveelheid kwetsbaarheden in opgesomd, dat je je huis niet meer uit durft, en direct een bunker eronder begint te graven.
Hek bouwen
Sheymov had een beter punt: de nadruk bij beveiliging ligt te veel op externe dreiging, terwijl de dreiging van interne inbraak veel groter is: "Je hoeft maar ergens in de wereld op een lan-netwerk in te loggen en je heb toegang tot mondiale systemen van concerns."
En een tweede punt: "Beveiliging is te veel gericht op het zetten van een hek rond systemen. Bedrijven en individuen denken dat ze veilig zijn met een firewall, maar het tegendeel is het geval. Nog steeds is het systeem een eenvoudig doelwit."
Met dit gegeven is Sheymov een paar jaar geleden aan een nieuwe vorm van beveiliging
gaan werken. Hij werkte daartoe onder meer met drie leden van Kryptos Society,
een gezelschap van de beste cryptografen. Hoe het resultaat, InvisiLan genoemd,
werkt is een paar maanden geleden uitgelegd in de Beet-column
in NRC: computers en printers etc. in netwerken krijgen een kaart die in
verbinding staat met een controller. Deze eenheid voorziet via de kaarten de
terminals voortdurend van een nieuw IP-nummer. Enkel personen en instanties
die vertrouwd zijn, kunnen steeds weten welk IP-nummers het betreffende apparaat
heeft. Krakers weten dat niet meer en kunnen niet aanvallen op IP-nummers.
Verweer van beveiligers
Met InvisiLan zijn firewalls niet meer nodig, dit is de perfecte beveiliging, niet meer te kraken. Daar hadden de beveiligingschefs nog het nodige tegen in te brengen, met name die van KPN, bijgestaan door de beveiliger van Ernst & Young en in mindere mate de collega van ABN Amro.
Hun eerste kritiek was dat het in feite gaat om een bestaand principe, dat van een 'shared secret': de IP-nummers wisselen razendsnel, maar zijn bekend bij degenen c.q. machines die dat mogen weten. Dat geheim is in principe voor een derde te kraken. Sheymov kon dat weerleggen. Het gaat om een hardwarematige beveiliging: "InvisiLan verandert ook de Mac-adressen van aangesloten machines wat een extra beveiliging vormt."
In dat geval, aldus de beveiligingsbazen, krijg je problemen met schakeling in netten. De switches werken namelijk met Mac-adressen en wanneer die steeds veranderen kun je geen verkeer meer schakelen. Sheymov: "Schakeling van verkeer in Lan's is helemaal niet nodig."
Je kunt immers een ethernet Lan niet zonder intelligentie in doosjes laten functioneren,
volgens de ICT-chefs. Invicta en Anarkey gingen daar fel tegenin: je kunt wel
degelijk adequaat verkeer routeren zonder die 'doosjes'. De controller-eenheid
van Invicta weet voortdurend welke IP-adressen toebehoren aan de computers
wat voldoende is voor de routering van verkeer in die netten. Maar ook staat
InvisiLan schakeling in Lan's niet in de weg, aldus de makers.
Daarop kwam een volgend bezwaar van de toehoorders: in dat geval moeten ook lokale
netwerken worden aangepast, wat wellicht kostbaar is. Om nog niet te spreken
van de kosten van InvisiLan. Een prijslijst was er niet beschikbaar, maar volgens
Anarkey moet je denken aan 2.000 euro per computer in het net. Sheymov over
de hoge kosten: "Maar dan ben je ook klaar met je beveiliging."
Maar geeft Sheymov toe: "Natuurlijk is beveiliging altijd een balans tussen de kosten en de risico's, maar vooral bij concerns net hele hoge risico's zoals financiële instituten en nutsbedrijven is een investering in adequate beveiliging essentieel."
Zwakste punten blijven
Een zwaar punt van kritiek betrof het probleem van toegang op afstand tot Lan's, bijvoorbeeld van vertegenwoordigers onderweg en thuiswerkers. Sheymov moest erkennen dat er op dit punt een probleem is, met name bij het inbellen want dit vindt niet plaats op basis van IP. Invicta heeft als oplossing een extern doosje voor deelname in het beveiligingssysteem, apart bij de laptop te gebruiken.
Aanpalend aan dit probleem is dat van de persoon die zich fysieke toegang tot het net verschaft, wellicht als kwaadwillende medewerker. Sheymov: "Dit systeem gaat niet over authenticatie. Wij concentreren ons op netwerkbeveiliging en dat doen we dan optimaal. We kunen ook niet voorkomen dat iemand een cd in een pc schuift en het Lan voorziet van virussen."
Vragen aan Sheymov
Anarkey was bepaald ongelukkig met de manier waarop de ex-KGB agent aan de tand werd gevuld. Het bedrijf laat weten: "De reden waarom Sheymov soms stil viel tijdens de vragen van de KPN-man is dat hij zijn oren niet kon geloven. Sheymov is gewend om aan de tand gevoeld te worden. En hier was een product market manager van KPN die dacht door het vertoon van een minieme kennis van encryptie en het laten vallen van een paar belangrijke woorden zoals "ingnition key" en "session key" de blits kon maken.
Zijn vertoon was helemaal opmerkelijk aangezien hoger KPN management en Anarkey reeds in onderhandeling zijn om een gezamenlijk test project op te zetten."
De KPN-beveiliger was inderdaad buitengemeen fel, maar hij stond bepaald niet alleen in zijn kritische opstelling. We stelden nog wat vragen aan Sheymov:
Er was bij deze bijeenkomst veel weerstand. Kunt u de klandizie overtuigen?
Sheymov: "Ik ben door de aard van het product nu eenmaal beperkt in de mogelijkheden om details te verschaffen. We willen niet dat een andere partij die namaakt in een paar maanden. Maar het principe van het systeem is simpel. En elke betrouwbare partij kan bij ons het systeem uitgebreid komen testen."
In dit soort gevallen is betrouwbaarheid slechts te winnen met certificaten van audits door vertrouwde partijen als KPMG en Ernst & Young. Heeft u auditrapporten?
Sheymov: "AIG eBusiness Risk Solutions, een divisie van verzekeraar AIG, een van de grootste concerns in de wereld, heeft het gekeurd en goed bevonden. Eén van de grote vier consultancy firma's heeft ons systeem getest, maar daarover komt nog informatie beschikbaar."
Als het zo goed is, mag u het van de Amerikaanse regering dan exporteren?
Sheymov; "Ik was aangenaam verrast dat we een vrijwel ongelimiteerde exportvergunning hebben gekregen. Enkel naar de zeven landen op de zwarte lijst mogen we niet exporteren."
Moeilijk te verkopen
Volgens de mannen van importeur Anarkey is het tot nu toe stil geweest rond deze beveiliging. Dat klopt niet helemaal. Reeds twee jaar geleden kwam er een betaversie van software uit onder de naam Variable Cyber Coordinates en maakte Moscow Times daar melding van. Inmiddels is het systeem hardwarematig geworden.
Een beursgang van Invicta binnen twee jaar zat toen al in de pen volgens dit verslag. Dat ging uiteraard niet door, maar anno 2003 heeft Invicta ondanks haar perfecte beveiliging nog geen serieuze klantenlijst.
Uit de bijeenkomst in Amsterdam bleek onomwonden dat je wellicht een perfecte
netwerkbeveiliging kunt scheppen, daar zullen technici het nog wel over eens
kunnen worden met Sheymov. InvisiLan komt daar dicht bij. Maar dat dit niet
afdoende om systemen dicht te timmeren. Meer en meer blijkt dat mensen aan
de systemen het zwakke punt vormen. Bovendien stoelt ook beveiliging gewoon
op een kosten/baten analyse.
Arabische terroristen namen twee jaar de tijd om te leren vliegen en zich voor te bereiden op de aanslagen van 11 september 2001. Hoe hoog kan een nieuwe medewerker klimmen in de beveiligingsorganisatie van een concern in twee jaar tijd, of hoeveel kan hij van de beveiliging te weten komen vanaf een andere plaats aan een terminal in een Lan van bijvoorbeeld een groot energiebedrijf?
Op deze vragen kunnen Woolsey en Sheymov geen antwoorden geven, want ze liggen buiten hun macht. Dit gegeven, samen met het attenderen door Woolsey op het onheilspellende rapport van de Commissie voor Wetenschap en Technologie voor het bestrijden van Terrorisme, toonden nog eens aan dat ook in cyberspace veiligheid meer is dan een kwestie van de juiste defensiewapens.
[10 juli 2003, Peter Olsthoorn]
