Een jaar geleden heb ik in een aantal columns de beveiliging van websites met behulp van certificaten (ssl) in twijfel getrokken (zie security.nl). Problemen die ik tegenkwam tijdens het controleren waren onder andere te kleine sleutellengtes, ongeldige certificaten en het gebruik van dubieuze technieken.
We zijn ondertussen een jaar verder. En ook al overschatten mensen nogal eens wat er in een jaar tijd kan gebeuren, op het gebied van de cryptografie zijn er zeker wel ontwikkelingen geweest. Een groot aantal banken hebben hun zaken ondertussen beter op orde. Maar niet allemaal. Als bijvoorbeeld de eWallet van ABN-AMRO wordt
geactiveerd komt Internet Explorer met de waarschuwing dat het gebruikte certificaat toch echt niet meer geldig
is (zie hier).
Ook blijkt dat het gebruiken van de populairste browser inherent onveilig is als het aankomt op het doen van
bijvoorbeeld credit card betalingen. Internet Explorer waarschuwt namelijk niet als er een certificaat van de verkeerde site wordt voorgeschoteld. Een probleem dat al ruim een jaar bekend is. Een demonstratie ervan is
te zien op de site http://mail.hug.cx. De reactie van de Netscape/AOL browser
op een dergelijk probleem is op dit plaatje te
zien.
Maar laten we eerlijk zijn, de verhalen over slechte beveiliging van websites, het verkeerd gebruik van certificaten die ook nog eens verlopen zijn, is al jaren bekend. In 1991 kwamen de eerste problemen en een decennium
later hebben we nog steeds niets geleerd. Sterker zelfs, het probleem lijkt zelfs groter te worden. En in ieder
geval steeds beter merkbaar. Zo merkbaar dat bedrijven steeds minder aangifte doen.
Loopt het echter allemaal wel zo'n vaart? Ben ik een demagoog of een realist?
Historie leert ons dat van technieken altijd misbruik gemaakt zal worden. Niet omdat iedereen dat wil, maar omdat er een kleine groep mensen is dat nu eenmaal niet in hetzelfde gareel loopt als de zwijgende meerderheid (z
ie daarvoor bijvoorbeeld dit bericht). Echter met het belang dat er aan veiligheid en daarmee beveiliging wordt gehecht (zie de verkiezingsp
rogramma's van onze politieke partijen) kunnen we onszelf afvragen of dit probleem niet bezig is ons echt boven
het hoofd te groeien.
Want ik vraag me af op welke plaats veiligheid staat bij organisaties die een substantieel deel van hun investeringen besteden aan het uitbouwen van hun dienstverlening via het internet en ondertussen niet eens staat zijn
iets simpels als een verlooptermijn van een certificaat in de gaten te houden. Ik krijg daarvan een heel eng gevoel. Hetzelfde gevoel krijg ik als blijkt dat de extra agenten die op straat zijn geplaatst XTC gebruikers en d
ealers blijken te zijn.
En dat gevoel heeft niets te maken met veiligheid.
Deze posting is gelocked. Reageren is niet meer mogelijk.