Security.nl had afgelopen vrijdag een persoonlijk en exclusief interview met Martin Roesch, ontwikkelaar van het populaire IDS/IPS Snort. Naast het beantwoorden van vragen die door lezers van Security.nl waren ingestuurd, ging Roesch ook in op de situatie rondom Sony. De Japanse elektronicafabrikant kan nog wel wat van Microsoft leren als het gaat om beveiliging en het online houden van een gaming-netwerk, aldus de Snort-bedenker. "Je vraagt je af wat ze dachten. De problemen met deze grote ondernemingen die deze grote services uitrollen, is dat ze op 'security through obscurity' vertrouwen. Wat tot op grote hoogte ook het geval bij Sony was. Als dat faalt en je niets anders achter de hand hebt, dan moet je niet vreemd staan opkijken als je wordt opgeblazen. Dat is een triest gegeven in dit geval, maar wat mij intrigeert is hoeveel Sony's er nog meer zijn, die compleet onwetend zijn of iets veilig is."
Volgens Roesch, die het beveiligingsbedrijf Sourcefire oprichtte, hebben veel bedrijven haast met het uitrollen van diensten en denken ze dat beveiliging wel later komt. "Ik denk dat er veel bedrijven met een verrotte infrastructuur zijn." Zo had Sony niet eens een Chief Security Officer. "Ik vraag me dan ook af wat voor security operations team ze hadden, als dat al aanwezig was."
Roesch verwijst naar een artikel waarin stond dat PSN niet meer te maken was en dat Sony opnieuw moest beginnen. "Dat zal kostbaar zijn en niet te vergeten de klanten die in een PS3 hebben geïnvesteerd. Zullen die klanten Sony vergeven? Zullen ze ooit weer voor een PlayStation kiezen als er ook een Xbox 360 met bijna allemaal dezelfde games is? Je kan zeggen wat je wil over Microsoft, maar ze snappen beveiliging. Ze hebben nog steeds veel lekken, maar ze schrijven veel software en hebben een proces, volgen het proces en denken erover na."
Imagoschade
Zeker met consumentenproducten kunnen bedrijven als Sony met dit soort incidenten consumenten voor langere tijd kwijtraken. Volgens Roesch is het belangrijk dat bedrijven meer inzicht in hun eigen netwerkomgeving hebben en anders krijgen. Zeker voor plekken waar veel klantgegevens zijn opgeslagen. "Dat maakt me gek. We hebben grote klanten die alleen onze rulesets draaien, maar ze gebruiken niet de flexibiliteit van Snort. En er is zoveel meer dat je met deze technologie kan doen."
Communiceren
Wat betreft het delen van de informatie over de aanval, zodat ook andere bedrijven zich hier tegen kunnen beschermen, is volgens Roesch eerder te pijnlijk voor Sony dan dat het om te gevoelige gegevens gaat. "Ik kan me voorstellen dat ze zo weinig als mogelijk over de interne werking van hun netwerk willen prijsgeven, uit angst voor nieuwe aanvallen. Ik denk dat ze in die mode zitten."
"Als ze een fundamenteel veilig netwerk hadden gebouwd, hadden ze erover kunnen praten. Omdat ze dat niet deden, willen ze er niet over praten. En het jammere is dat zoveel bedrijven niet praten. Eén van de problemen als verdediger is dat niemand iets deelt. Mensen delen geen informatie over wat er in hun omgeving plaatsvindt. Daar heeft de aanvaller baat bij." Het is hetzelfde als de Maffia die iedereen in een dorp afperst, maar niemand spreekt erover of komt bij elkaar om het aan te pakken. "Als we samenwerken kunnen we beter weerstand tegen deze dreigingen bieden. Maar feit is dat we niet effectief communiceren, we geen gegevens effectief delen." De verdediger heeft juist baat bij communicatie, merkt Roesch op. "Omdat we niet communiceren, zitten we allemaal te wachten om te worden gehackt. We kunnen onszelf erg goed helpen door te gaan communiceren."
Sony verliest nu miljoenen dollars, terwijl het voor een fractie van die kosten zich had kunnen beschermen. "En dat is de vraag die bedrijven zich moeten stellen. Ze denken dat het hen nooit overkomt, maar toch overkomt het ze. En de percentages dat het gebeurt zijn hoog. Einstein zei het, wat is definitie van gestoordheid: steeds hetzelfde herhalen en andere uitkomsten verwachten. We zien dat steeds dezelfde fouten worden gemaakt."
Niet alleen zijn er onvoldoende gekwalificeerde IT security professionals, volgens Roesch zijn ook de platformen waarop we bouwen inherent onveilig. "8086 is geen veilige architectuur. We hebben een hoop problemen op te lossen."
De vragen die lezers van Security.nl aan Roesch stelden, zullen deze en volgende week online verschijnen
Deze posting is gelocked. Reageren is niet meer mogelijk.