"Monocultuur Microsoft is geen beveiligingsrisico"
Vaak wordt gezegd dat de monocultuur van Microsoft Windows een groot beveiligingsrisico is, maar volgens beveiligingsexpert Marcus Ranum is dat klinkklare onzin. Ranum en beveiligingsgoeroe Bruce Schneier herhaalden onlangs een discussie die ze zeven jaar geleden begonnen, toen Schneier en verschillende anderen, waaronder Daniel Geer en Peter Gutmann, een essay over het gevaar van monocultuur in computeromgevingen publiceerden. Met name Microsoft vormde volgens de groep een grote bedreiging.
Het monocultuur idee gaat echter helemaal niet op voor computers, aldus Ranum, die nu bijval van Schneier krijgt. De Storm worm wist tussen de één en tien miljoen machines te infecteren, van de meer dan een miljard Windows machines op het internet. Sommige machines draaien virusscanners, gebruiken beveiligde configuraties, bevinden zich in andere netwerken of zijn gepatcht. Zelfs een homogene omgeving verschilt nog behoorlijk onderling.
Kosten
Het tweede probleem met de monocultuur analyse is dat het de kosten van diversiteit bagatelliseert. "Het zou fantastisch zijn als een bedrijf de helft op Windows en de andere helft op Linux draait, of de helft op Apache en een helft Microsoft IIS", merkt Schneier op. Dit brengt meer kosten met zich mee en vereist ook meer expertise. "Een enkel besturingssysteem beveiligd door experts is veel veiliger dan twee besturingssystemen beveiligd door systeembeheerders die geen expert zijn."
Diversiteit
Daarnaast is de hoeveelheid diversiteit die twee besturingssystemen, of routers van drie leveranciers geven, beperkt. Een echte diverse omgeving bestaat uit honderden verschillen. Een omgeving met twee of één systeem maakt dan ook weinig verschil. "Erger nog, aangezien de veiligheid van een netwerk voornamelijk de beveiliging van de componenten is, is een divers netwerk minder veilig omdat het kwetsbaar is voor aanvallen tegen elk van de heterogene onderdelen", laat Schneier weten.
Hij merkt op dat sommige monocultuur in netwerken noodzakelijk is. "Zolang we met elkaar communiceren, moeten we allemaal TCP/IP, HTML, PDF en andere standaarden en protocollen gebruiken die interoperabiliteit garanderen." Hoewel Schneier zijn visie iets heeft aangepast, blijft hij kritisch. "Monocultuur is gevaarlijk en diversiteit is belangrijk. Maar het investeren van tijd en moeite om ervoor te zorgen dat onze bestaande infrastructuur veilig is, is nog belangrijker."
Organisme
Ranum blijft achter zijn oorspronkelijke standpunt staan. De monocultuur vergelijking gaat volgens hem helemaal niet op voor IT-omgevingen, omdat computers geen organismen zijn. "Computers falen zoals computers, en organismen falen zoals organismen, een overeenkomst tussen de twee is grotendeels toeval."
Sommige tegenstanders van een monocultuur beweren dat een gedeeld lek in de omgeving, voor gigantische problemen binnen de kritieke infrastructuur kan zorgen. Toch is dit nooit voorgekomen. "Waarom niet? Omdat elke computer en netwerk anders beheerd, gepatcht, beveiligd en gerouteerd wordt." Ranum wijst ook naar het boek "Normal Accidents" van Charles Perrow, waarin wordt verklaard waarom monocultuur geen probleem is.
Volgens de beveiligingsexpert was de discussie zeven jaar geleden vooral een aanklacht tegen de dominantie van Microsoft. "Ik weet dat alle auteurs Mac-gebruikers waren. Ik vermoed dat beveiliging niet echt het probleem was, maar de frustratie die Mac-gebruikers tien jaar geleden voelden." Inmiddels is het technologielandschap veranderd en wordt ook Apple veel gebruikt. Dat heeft met marktdynamiek te maken, merkt Ranum op. "Als één partij de markt domineert met te dure producten en niet innoveert, dan wordt een goedkoper en mooier alternatief aantrekkelijk."
Ik snap ook dat. Binnen een bedrijf is het niet handig met allemaal verschilde systemen te werken. Ik durf zelfs te stellen dat dit een groter beveiliging probleem is, iets met de zwakste schakel.
Maar als de hele wereld het zelfde systeem draait geld simpel de wet van kans maal gevolg is risico. Als de kans maximaal is en het gevolg redelijk is dit een behoorlijk risico. Lees lonend voor de aanvaller. Als er een grote diversiteit is, is het lastiger een groot effect te bereiken. Nu worden 10 aanvallen op een systeem gericht en krijgt iedereen met deze tien te maken. Als er tien verschillende systemen zijn krijg je slechts met 1 te maken.
Zorg dus dat jou systeem onder de 10% blijft en je zit goed.
Wanneer de OS-en een wat betere verdeling zouden hebben wat betreft marktaandeel, dan is de impact van een malware aanval per definitie lager, doordat gemiddeld minder computers kwetsbaar zijn voor die specifieke malware, ervanuitgaande dat deze niet cross-platform is, en van zwakheden in het OS gebruik maakt.
"Het monocultuur idee gaat echter helemaal niet op voor computers, aldus Ranum, die nu bijval van Schneier krijgt. De Storm worm wist tussen de één en tien miljoen machines te infecteren, van de meer dan een miljard Windows machines op het internet. Sommige machines draaien virusscanners, gebruiken beveiligde configuraties, bevinden zich in andere netwerken of zijn gepatcht. Zelfs een homogene omgeving verschilt nog behoorlijk onderling."
Deze argumenten doen helemaal niets af aan het feit dat een betere spreiding van OS-en het risico van een specifieke malware variant lager maken. Natuurlijk is er verschil tussen Windows versies, en tussen configuraties m.b.t. updates, virus scanner en dergelijke. Maar andere OS-en zijn per definitie niet kwetsbaar wanneer het een Windows-gebaseerd virus bevat. Alle slachtoffers vallen daarbij dus wel binnen dezelfde "familie".
"Het tweede probleem met de monocultuur analyse is dat het de kosten van diversiteit bagatelliseert."
Enkel wanneer je de diversiteit perse wilt toepassen binnen een organisatie. Ranum gaat voor het gemak voorbij aan het feit dat diversiteit ook kan betekenen dat bedrijf A, B en C verschillende operating systems zouden kunnen gebruiken. Indien de markt wat gelijker verdeeld zou zijn, zonder een OS dat zo dominant is als Microsoft, dan zou dat ook effect hebben.
"Een enkel besturingssysteem beveiligd door experts is veel veiliger dan twee besturingssystemen beveiligd door systeembeheerders die geen expert zijn."
Indien er meer diversiteit op de markt is, dan betekent dat per definitie dat bedrijven slechtere mensen in dienst hebben ? Pure onzin - en daarnaast is de gemiddelde systeembeheerder, ook in een monocultuur, bepaald geen beveiligingsexpert.
Ik moet zeggen dat ik niet bepaald onder de indruk ben van Ranum. Hij weet zijn meningen met kracht uit te dragen, maar hij kijkt geen moment kritisch naar zijn eigen argumenten. Hetzelfde deed hij op GovCert met zijn praatje over cyberwar. Hij maakt een aantal goede punten, maar vermijd enige zelf-kritische blik, en laat zaken die zijn standpunt wellicht niet zouden steunen bij voorkeur buiten beschouwing.
Wat dat betreft zie ik hem eerder als marketeer, dan als beveiligingsexpert.
Het besturingssysteem is een groot, softwarematig onderdeel, maar niet elke Windows computer is hetzelfde. Het is geen mais of aardappelen, maar verschillende smaken en soorten mais door elkaar. Elke vergelijking gaat mank omdat er zoveel verschillen zijn. Is een Windows machine zonder updates, zonder virusscanner en een domme downloader net zo kwetsbaar als de dichtgetimmerde, up-to-date Windows 7 laptop van mij? Het lijkt mij toch niet.
Daar staat tegenover dat software die (zo goed als) iedereen op de computer heeft staan een uitgelezen kans geeft om massaal misbruik van kwetsbaarheden te kunnen maken. Dat kan niemand ontkennen. Soms is dat ook wel makkelijk. Nu zit je als bedrijf safe met je Windows experts. Zou je verschillende smaken hebben dan zal je veel meer specialisten moeten hebben wat ook weer risico's met zich meebrengt.
Het is gewoon lastig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
