Op 2 en 3 november vindt in de Utrechtse jaarbeurs de Infosecurity Beurs plaats, waar ook Security.nl aanwezig zal zijn. Als 'sneak preview' interviewen we de komende weken een aantal van de experts die tijdens het evenement een lezing zullen geven. Gisteren verscheen het eerste deel van een interview met PKI-expert en huiscolumnist Peter Rietveld. Vandaag het tweede en laatste deel.

De vakinhoudelijke kennis over PKI en IT-security is nu verdeeld en gaat heen waar het geld is. "Als je een certificaat van dertig euro koopt, moet je niet voorstellen dat het iets voorstelt." Bedrijven die dit soort certificaten kopen roepen het volgens Rietveld over zichzelf af als er problemen ontstaan. "Goedkoop is duurkoop."

Goedkoop
Daarbij speelde binnen Justitie en Defensie ook de vraag of een ander land, bijvoorbeeld de Verenigde Staten, Nederlandse root certificaten kan laten intrekken. En zo Nederlandse systemen uitschakelen. "Dat is een valide vraag", merkt Rietveld op. "Hierbij moet ook als samenleving worden bepaald of we ons tegen dit soort scenario's willen beschermen." Ondanks alle minpunten, zijn er volgens de expert geen goede, praktische alternatieven voorhanden.

"PKI is te goedkoop geworden om goed te zijn. Bedrijven steken er helemaal geen moeite meer in. Als het duur was geweest, had niemand het gekocht, maar was er ook budget om de huidige problemen te voorkomen." Problemen die al in 2003 in PKI zijn gesignaleerd, maar niet werden opgelost.

Schakel
De aanval op DigiNotar, StartSSL, Comodo tonen aan dat de keten net zo sterk als de zwakste schakel is. "En in deze keten zijn heleboel zwakke schakels. Punt is, we hebben dit model en hoe kom je naar het volgende model. We hebben nu een model dat niet iedereen vertrouwt, maar we hadden niet beter en ook daar kun je de parallel met het verkeer trekken. Het is allemaal niet geweldig, maar over het algemeen gaat het best goed."

Over drie maanden klikken we vrolijk weer overal door bij certificaten, tot er de volgende crisis is. "Zo werkt de mens. De mens accepteert een zekere mate van onzekerheid, dat is een biologisch gegeven en kan daar ook prima overweg. Dat we vanuit een bepaalde hysteriecultuur net doen of we geen enkel risico aankunnen is natuurlijk een beetje over de top en daar speelt ook een commerciële factor mee."

Aanval
Wat betreft angst bij consumenten die bang zijn dat Westerse overheden valse certificaten hebben aangemaakt, om zo mensen af te luisteren, zijn daar volgens Rietveld veel eenvoudigere manieren voor, zoals via een gerechtelijk bevel. "Om nu maar te zeggen dat we met internet moeten stoppen omdat het onbetrouwbaar is, is ook geen oplossing. Toch wordt de ruis steeds sterker, wat betekent dat ook het kennisniveau omhoog moet."

Ook moeten bedrijven en overheidsinstanties informatie delen. De veertien gerichte aanvallen die Govcert niet wilde onthulden, hadden best volgens Rietveld geopenbaard kunnen worden. Het gaat dan niet om het aangevallen ministerie, maar hoe de e-mail, aanval of exploit eruit zag. "Wat je van Govcert wil horen is om wat voor aanvallen het gaat. Maar dat is een voorlichtende taak, die ze officieel niet hebben." Bedrijven die dit soort informatie zoeken kunnen het ook probleemloos op internet vinden.

Kennis
Waren in het verleden DNS en BGP een traditioneel doelwit, voor de toekomst verwacht Rietveld aanvallen op de update functie van programma's. "Nu zal Microsoft update waarschijnlijk niet lukken." Kleinere leveranciers zoals Adobe zijn wel reden tot zorg. "Als ik een aanvaller was zou ik zulk soort bedrijven pakken." Een ander punt dat de aandacht verdient zijn drivers. Veel consumenten hebben zichzelf aangeleerd om de driverwaarschuwing van Windows te negeren en zullen een ongesigneerde driver gewoon installeren.

"Iedereen klikt door, mensen zijn dat gewend." De aanvallen zouden meer in het verlengde van Stuxnet komen te liggen. "Let op je apps en drivers." Een situatie die niet zal veranderen, is het toeschrijven van de aanvallen aan een land. "Het attributieprobleem blijft bestaan." Een land dat een raket afschiet is eenvoudig te achterhalen, in het geval van een digitale aanval gaat dat een stuk lastiger.

Bedrijven moeten dan ook in kennis investeren. "Ons probleem is technische kennis, niet bestuurlijk, maar technisch. Mensen snappen gewoon niet zo goed wat ze aan het doen zijn."

Wil je meer informatie over het programma of je gratis aanmelden voor de Infosecurity beurs, ga dan naar Infosecurity.nl