Als consumenten zich houden aan de adviezen van banken en hun computer goed beveiligen, kan er namelijk nog steeds van alles gebeuren.

Ik denk wel eens dat we alle belangrijke zaken onderhand wel beveiligd hebben. Dat we alleen nog de nieuwste ontwikkelingen hoeven te volgen. Maar nee. Dat is niet zo. Regelmatig duikt er weer een blinde vlek op in zaken die al jaren meegaan. En dat zijn geen bugs in software, welnee, we missen complete dossiers en cruciale inzichten. Dit gaat samen met een heel verontrustende trend: de tijd tussen het aanbrengen van een substantiële verbetering en het moment van invoering ervan in de praktijk wordt steeds langer. Veel nieuwe dingen worden zelfs pas ingevoerd als ze al achterhaald zijn. Het lijkt erop dat we als beroepsgroep aan een collectief oogkleppensyndroom lijden en de prioriteiten structureel verkeerd leggen.

Wat we zijn geworden is een ultiem conservatieve beroepsgroep die de stroop die de ICT-bureaucratie van nature al is, nog wat dikker maakt. Dat is acceptabel als de resultaten goed zijn. Maar de resultaten zijn niet goed: met grote regelmaat komen ICT Security drama’s naar voren. Die stroom neemt niet af maar toe. Er blijken nog tal van lijken in de kast te liggen, ondanks tien jaar van commerciële voorspoed in de beveiliging, dertig jaar best practices, over elkaar buitelende structurele aanpakken en methodieken en veertig jaar wetenschappelijk onderzoek.

Denk ook niet dat er geen Security mensen bij die drama’s betrokken zijn: bij het EPD, de OV-chip, Diginotar, de KPN hack – daar zitten echte professionals, geen amateurs. En toch gaat het Niet Goed. Met Hoofdletters.

Want we zien tal van zaken over het hoofd. Met ons allen. Structureel. En dat beangstigt mij.

Dat had ik laatst heel sterk toen een oud-collega, die nu bij een software vendor werkt, mij attent maakte op het verschijnsel 'Privileged Account Management' PAM. PAM is het beheer van toegang door beheerders, in het bijzonder voor de techneuten van externe leveranciers. Het product van die oud-collega legt alle toetsaanslagen vast van de gevoelige accounts. Mja, dan heb je tenminste iets.

Toch knaagt het gevoel dat er nog meer bij komt kijken, want met het vastleggen van de toetsaanslagen weet je weliswaar wat er allemaal gedaan is, maar nog niet door wie. Bovendien kijk je pas als je weet dat er iets aan de hand is en heel vaak weet je dat niet. Daarbij heb je de hele tijd een root account dat actief is en gebruikt kan worden, ook als er niets aan de hand is. Dat moet je niet willen.

Dus ik ging eens zoeken wat de literatuur te melden heeft op dit punt en of de andere aanbieders in deze niche misschien een beter verhaal hebben. Dat blijkt wel beter maar niet goed te zijn – blijkbaar hebben nog maar weinig mensen aan het PAM-dossier gesnuffeld. Terwijl het toch echt een relevant onderwerp lijkt, zeker nu er massaal geout-, off- en near- shored en –tasked wordt. Blijkbaar hebben de Security-mensen andere prioriteiten: PAM verkoopt dan ook voor geen meter.

Ik kreeg hetzelfde angstige gevoel bij de DNSSec training van de NGN door Olaf Kolkman die je hier kunt zien. Dat is nogal een andere wereld dan de alledaagse Security-wereld. Twee dagen over Security waarbij het woord borging is niet gevallen en een proces iets is in een computer … Wat een verademing.

Eindelijk een oplossing voor een levensgroot probleem in de veiligheid van het Internet - het is nu immers nog de vraag of je wel op het adres uitkomt wat je ingetypt hebt. Weet je wel zeker dat je op security.nl zit, en niet op een onbetrouwbare server in Griekenland die je pc volstopt met virussen en je netwerk toevoegt aan een megabotnet? Je weet het niet, en je kunt het nu niet weten. DNSSec lost dat op. Eindelijk. Gaan we DNSSec dus zo snel mogelijk uitrollen met z’n allen? Nee, integendeel. We hebben het immers al zo druk…. Gebruikers vragen niet om DNSSec – meldt SiDN - alleen de bewakers van Internet werken er aan. Dus met al die Security mensen die ons land rijk is, is de uitrol van deze cruciale verbetering van het internet en alles wat aan die namespace hangt aanbodgedreven. Geen klant die erom vraagt, terwijl het problemen van de grootste orde oplost. Maar wie weet welk levensgroot probleem DNSSec oplost? Nu nog niet, ja nee, wellicht, waarschijnlijk, want, maar….

Als we het wel weten komt het ultieme argument: anderen doen het ook nog niet en we gaan geen unproven dingen doen. Een nieuwe oplossing zal nooit proven genoeg worden als niemand het gebruikt. Bovendien zijn de problemen zélf absoluut proven technology en erg goed gedocumenteerd. De anonieme jongelui met witte maskers hebben ze gelukkig nog niet ontdekt, maar er komt een moment dat zij er massaal gebruik van zullen maken in het hippe hacktivisme. En dan zijn we te laat.

Internet domeinnamen zullen de komende jaren dus nog gespoofed kunnen worden, vooral bij grotere instellingen die hun eigen zones beheren. Vervelend genoeg als het de website van je bank betreft, maar er zijn doelen met nog veel meer impact. Nu ja, we gaan het meemaken.

Het is niet beperkt tot bovengenoemde dossiers. Het is een terugkerend patroon. Er zijn goede oplossingen en die gebruiken we niet. Zo zijn man-in-the-middle aanvallen op https mogelijk en gedocumenteerd door de sessie te onderscheppen vóórdat die overschakelt naar https. Dit breekt het meest toegepaste beveiligingsmiddel volledig. Gelukkig is daar een oplossing voor: HSTS – weet iemand wat het is? Veel belangrijker nog – wie gebruikt het? De grote massa niet – hoezo dan, nog even niet, ja nee, want, maar. Toch?

HSTS vraagt natuurlijk wel om browserondersteuning, en niet iedereen heeft dat al, dus dan hoeft het blijkbaar niet uitgerold worden. Zo roept de consumentenbond dat de banken veilig zijn, terwijl dit op dit punt Strict Transport Security aantoonbaar niet het geval is. HSTS is overigens niet het enige puntje van aandacht voor de bankiers, zo worden ook zwakkere cryptografische cijfers als RC4 en MD5 ondersteund dan noodzakelijk. Want dat vraagt ook weer browserondersteuning.

Ik kan dus niet optimaal veilig internetbankieren omdat sommige andere klanten een oudere browser draaien en mijn bank dit blijkbaar geen doorslaggevende zaak vindt. En bij andere banken is het niet beter. Dat de Nederlandse Vereniging van Banken NVB stelt dat er geen reden voor de consument is om zich zorgen te maken is een prachtig bewijs voor de semantische strijd die computerbeveiliging in de praktijk is. De uitspraak van Tutert van de NVB dat “internetbankieren [] absoluut veilig”is, klopt alleen in die zin dat banken de schade vergoeden – niet omdat de veiligheid technisch gegarandeerd is. Als hij al weet hoe het precies zit kan hij moeilijk zeggen hoe het precies zit, want dan breekt geheid een mediarel uit. De consumentenbond heeft vast wel goede bedoelingen maar zeker niet de goede kennis. Als consumenten zich houden aan de adviezen van banken en de consumentenbond, en hun computer goed beveiligen, kan er namelijk nog steeds van alles gebeuren. En ondanks gigantische inspanningen van tal van competente computerbeveiligers en bijpassende kosten blijft het gatenkaas. Kosten die gewoon doorberekend worden, want de financiële positie van de banken, nou dat weten we onderhand wel. Ik moet dus extra betalen voor brakke beveiliging omdat de beveiligers van banken conservatief zijn. En jij betaalt ook.

Ook klagen we massaal over de problemen met PKI. Ik ook. Het punt is echter niet dat de PKI niet klopt, maar dat de kwesties die opgelost zijn en die in updates van de standaarden benoemd zijn, door niemand doorgevoerd worden. Er wordt dus ook nergens met of zelfs maar naar RFC3280 toe gewerkt. Maar we klagen wel over de onveiligheid van PKI. Certificaten kunnen dus de komende jaren nog gewoon gespoofed worden. Slotje in de groene balk, verklaringen, adviezen – puur theater.

In 2005 beargumenteerde het Jericho gebeuren overtuigend dat het kokosnootmodel voor IT-beveiliging niet houdbaar meer is. Voor diegenen die dit niet kennen: het kokosnootmodel stelt dat het eigen netwerk hard van buiten is de buitengrenzen zijn sterk beveiligd en binnenin niet zoveel behoefte aan echte beveiliging heeft en dus zwakke of afwezige binnengrenzen heeft. Iedereen beschouwt de kokosnoot als iets uit het verleden. Ja, vroeger, toen waren we naïef.

Nou, dat zijn we nog steeds.

Met Anonymous blijkt dat we nog steeds mentaal in de Kokosnoot zitten. Waarom denken vrijwel alle Security mensen dat Anonymous bedrijven niet raakt, behalve dan wellicht de webservers? Waarschijnlijk omdat Anonymous alleen op internet actief is. Maar, wat is de grens dan - die firewall toch? Ga je schamen en lees voor straf het Jericho manifest drie keer.

Uiteindelijk doen we niets aan oncontroleerbare root accounts in ons netwerk, de spoofbaarheid van onze certificaten en de zwaktes van het huidige DNS, want we zitten knus achter onze beschermende firewall. Tuurlijk joh. Bovendien zijn we te druk met processen en beleid, of als we technisch bezig zijn, met GRC in a Box of Security as a Service in elkaar te klikken. De managers vertellen hoe erg het is, is blijkbaar harder nodig dan het minder erg maken. En al die nieuwerwetse dingen staan toch nergens in ons jaarplan en we krijgen er toch geen budget voor.

Denk eens na.

Waarom komen bepaalde dossiers onder de aandacht maar de meesten niet? Zelfs de herrie van grote, sexy hacks dringt uiteindelijk niet door. Weet je een jaar na Comodo en Diginotar wat je organisatie moet doen als je Internet Trust Anchor wegvalt? Heb je ook al getest of dat kan?

Nou dan.

Heb je er een maand na het bekend worden van de VeriSign hack al over nagedacht? Dit keer vast wel, maar wie verder?

Wat gaan we doen met dit inzicht? Volgend jaar blijkt ongetwijfeld dat we niets gedaan hebben, omdat andere zaken een hogere prioriteit hadden. Alles moet toch wijken om de iPads van de directie toegang te geven tot het netwerk, nietwaar?

In de praktijk blijkt alleen de herrie van mensen die je met plezier en vakkundig uitleggen welke problemen jij hebt, door te dringen tot de planning. Professionele sales dus. Zo bepaalt Gartner de beveiligingsagenda. En dat klopt niet. Gartner is een trendwatcher die de aanbodzijde van oplossingen uit de commerciële hoek toont, en die volgen we dan op geruime afstand. Die commerciële hoek loopt een paar jaar achter op de Open Source producten, die een paar maanden achterlopen op de aanvallers. De vraagzijde – wij dus – is intussen oorverdovend stil. Wij wachten af tot er iets nieuws komt en zeggen dan dat het te nieuw is. Conservatief is dus een te vriendelijke beschrijving: inert is beter. En het resultaat is navenant. Geen enkel.

Klagen is natuurlijk gemakkelijker dan fixen. Wij doen hier ook aan branchevervaging – ik ook, ik weet het. In de Security worden alleen auditoren betaald om te klagen en de rest is er om problemen op te lossen en te voorkomen.

Wat kun je hieraan doen? Bovengenoemde dossiers op de lijst van je organisatie zetten? Ja, dat kan, maar dat is niet het belangrijkste. Vraag je af waarom je ze nog niet had. En waarom de dingen die je zelf wel hebt gezien niet op de to-do-lijst van je eigen organisatie staan en die verhalen van dat stomme Gartner wél.

En als je bovenstaande onderwerpen allemaal wel had, verwacht je nu zeker hulde. Nou, die krijg je niet. Mijn lijstje is namelijk ook maar toevallig tot stand gekomen... Ik zit in die innovatiehoek en daarom zie ik bepaalde dossiers, mijn dashboard is zeg maar wat beter verlicht. Er zijn echter ongetwijfeld bendes dringende onderwerpen die ik totaal niet ken. We zitten echt met zijn allen in deze tunnel. Er is weliswaar licht aan het eind ervan, maar ik denk dat dat een tegenligger is.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Laatste 10 columns