image

Column: Tunnelvisie

maandag 5 maart 2012, 10:14 door Peter Rietveld, 13 reacties

Als consumenten zich houden aan de adviezen van banken en hun computer goed beveiligen, kan er namelijk nog steeds van alles gebeuren.

Ik denk wel eens dat we alle belangrijke zaken onderhand wel beveiligd hebben. Dat we alleen nog de nieuwste ontwikkelingen hoeven te volgen. Maar nee. Dat is niet zo. Regelmatig duikt er weer een blinde vlek op in zaken die al jaren meegaan. En dat zijn geen bugs in software, welnee, we missen complete dossiers en cruciale inzichten. Dit gaat samen met een heel verontrustende trend: de tijd tussen het aanbrengen van een substantiële verbetering en het moment van invoering ervan in de praktijk wordt steeds langer. Veel nieuwe dingen worden zelfs pas ingevoerd als ze al achterhaald zijn. Het lijkt erop dat we als beroepsgroep aan een collectief oogkleppensyndroom lijden en de prioriteiten structureel verkeerd leggen.

Wat we zijn geworden is een ultiem conservatieve beroepsgroep die de stroop die de ICT-bureaucratie van nature al is, nog wat dikker maakt. Dat is acceptabel als de resultaten goed zijn. Maar de resultaten zijn niet goed: met grote regelmaat komen ICT Security drama’s naar voren. Die stroom neemt niet af maar toe. Er blijken nog tal van lijken in de kast te liggen, ondanks tien jaar van commerciële voorspoed in de beveiliging, dertig jaar best practices, over elkaar buitelende structurele aanpakken en methodieken en veertig jaar wetenschappelijk onderzoek.

Denk ook niet dat er geen Security mensen bij die drama’s betrokken zijn: bij het EPD, de OV-chip, Diginotar, de KPN hack – daar zitten echte professionals, geen amateurs. En toch gaat het Niet Goed. Met Hoofdletters.

Want we zien tal van zaken over het hoofd. Met ons allen. Structureel. En dat beangstigt mij.

Dat had ik laatst heel sterk toen een oud-collega, die nu bij een software vendor werkt, mij attent maakte op het verschijnsel 'Privileged Account Management' PAM. PAM is het beheer van toegang door beheerders, in het bijzonder voor de techneuten van externe leveranciers. Het product van die oud-collega legt alle toetsaanslagen vast van de gevoelige accounts. Mja, dan heb je tenminste iets.

Toch knaagt het gevoel dat er nog meer bij komt kijken, want met het vastleggen van de toetsaanslagen weet je weliswaar wat er allemaal gedaan is, maar nog niet door wie. Bovendien kijk je pas als je weet dat er iets aan de hand is en heel vaak weet je dat niet. Daarbij heb je de hele tijd een root account dat actief is en gebruikt kan worden, ook als er niets aan de hand is. Dat moet je niet willen.

Dus ik ging eens zoeken wat de literatuur te melden heeft op dit punt en of de andere aanbieders in deze niche misschien een beter verhaal hebben. Dat blijkt wel beter maar niet goed te zijn – blijkbaar hebben nog maar weinig mensen aan het PAM-dossier gesnuffeld. Terwijl het toch echt een relevant onderwerp lijkt, zeker nu er massaal geout-, off- en near- shored en –tasked wordt. Blijkbaar hebben de Security-mensen andere prioriteiten: PAM verkoopt dan ook voor geen meter.

Ik kreeg hetzelfde angstige gevoel bij de DNSSec training van de NGN door Olaf Kolkman die je hier kunt zien. Dat is nogal een andere wereld dan de alledaagse Security-wereld. Twee dagen over Security waarbij het woord borging is niet gevallen en een proces iets is in een computer … Wat een verademing.

Eindelijk een oplossing voor een levensgroot probleem in de veiligheid van het Internet - het is nu immers nog de vraag of je wel op het adres uitkomt wat je ingetypt hebt. Weet je wel zeker dat je op security.nl zit, en niet op een onbetrouwbare server in Griekenland die je pc volstopt met virussen en je netwerk toevoegt aan een megabotnet? Je weet het niet, en je kunt het nu niet weten. DNSSec lost dat op. Eindelijk. Gaan we DNSSec dus zo snel mogelijk uitrollen met z’n allen? Nee, integendeel. We hebben het immers al zo druk…. Gebruikers vragen niet om DNSSec – meldt SiDN - alleen de bewakers van Internet werken er aan. Dus met al die Security mensen die ons land rijk is, is de uitrol van deze cruciale verbetering van het internet en alles wat aan die namespace hangt aanbodgedreven. Geen klant die erom vraagt, terwijl het problemen van de grootste orde oplost. Maar wie weet welk levensgroot probleem DNSSec oplost? Nu nog niet, ja nee, wellicht, waarschijnlijk, want, maar….

Als we het wel weten komt het ultieme argument: anderen doen het ook nog niet en we gaan geen unproven dingen doen. Een nieuwe oplossing zal nooit proven genoeg worden als niemand het gebruikt. Bovendien zijn de problemen zélf absoluut proven technology en erg goed gedocumenteerd. De anonieme jongelui met witte maskers hebben ze gelukkig nog niet ontdekt, maar er komt een moment dat zij er massaal gebruik van zullen maken in het hippe hacktivisme. En dan zijn we te laat.

Internet domeinnamen zullen de komende jaren dus nog gespoofed kunnen worden, vooral bij grotere instellingen die hun eigen zones beheren. Vervelend genoeg als het de website van je bank betreft, maar er zijn doelen met nog veel meer impact. Nu ja, we gaan het meemaken.

Het is niet beperkt tot bovengenoemde dossiers. Het is een terugkerend patroon. Er zijn goede oplossingen en die gebruiken we niet. Zo zijn man-in-the-middle aanvallen op https mogelijk en gedocumenteerd door de sessie te onderscheppen vóórdat die overschakelt naar https. Dit breekt het meest toegepaste beveiligingsmiddel volledig. Gelukkig is daar een oplossing voor: HSTS – weet iemand wat het is? Veel belangrijker nog – wie gebruikt het? De grote massa niet – hoezo dan, nog even niet, ja nee, want, maar. Toch?

HSTS vraagt natuurlijk wel om browserondersteuning, en niet iedereen heeft dat al, dus dan hoeft het blijkbaar niet uitgerold worden. Zo roept de consumentenbond dat de banken veilig zijn, terwijl dit op dit punt Strict Transport Security aantoonbaar niet het geval is. HSTS is overigens niet het enige puntje van aandacht voor de bankiers, zo worden ook zwakkere cryptografische cijfers als RC4 en MD5 ondersteund dan noodzakelijk. Want dat vraagt ook weer browserondersteuning.

Ik kan dus niet optimaal veilig internetbankieren omdat sommige andere klanten een oudere browser draaien en mijn bank dit blijkbaar geen doorslaggevende zaak vindt. En bij andere banken is het niet beter. Dat de Nederlandse Vereniging van Banken NVB stelt dat er geen reden voor de consument is om zich zorgen te maken is een prachtig bewijs voor de semantische strijd die computerbeveiliging in de praktijk is. De uitspraak van Tutert van de NVB dat “internetbankieren [] absoluut veilig”is, klopt alleen in die zin dat banken de schade vergoeden – niet omdat de veiligheid technisch gegarandeerd is. Als hij al weet hoe het precies zit kan hij moeilijk zeggen hoe het precies zit, want dan breekt geheid een mediarel uit. De consumentenbond heeft vast wel goede bedoelingen maar zeker niet de goede kennis. Als consumenten zich houden aan de adviezen van banken en de consumentenbond, en hun computer goed beveiligen, kan er namelijk nog steeds van alles gebeuren. En ondanks gigantische inspanningen van tal van competente computerbeveiligers en bijpassende kosten blijft het gatenkaas. Kosten die gewoon doorberekend worden, want de financiële positie van de banken, nou dat weten we onderhand wel. Ik moet dus extra betalen voor brakke beveiliging omdat de beveiligers van banken conservatief zijn. En jij betaalt ook.

Ook klagen we massaal over de problemen met PKI. Ik ook. Het punt is echter niet dat de PKI niet klopt, maar dat de kwesties die opgelost zijn en die in updates van de standaarden benoemd zijn, door niemand doorgevoerd worden. Er wordt dus ook nergens met of zelfs maar naar RFC3280 toe gewerkt. Maar we klagen wel over de onveiligheid van PKI. Certificaten kunnen dus de komende jaren nog gewoon gespoofed worden. Slotje in de groene balk, verklaringen, adviezen – puur theater.

In 2005 beargumenteerde het Jericho gebeuren overtuigend dat het kokosnootmodel voor IT-beveiliging niet houdbaar meer is. Voor diegenen die dit niet kennen: het kokosnootmodel stelt dat het eigen netwerk hard van buiten is de buitengrenzen zijn sterk beveiligd en binnenin niet zoveel behoefte aan echte beveiliging heeft en dus zwakke of afwezige binnengrenzen heeft. Iedereen beschouwt de kokosnoot als iets uit het verleden. Ja, vroeger, toen waren we naïef.

Nou, dat zijn we nog steeds.

Met Anonymous blijkt dat we nog steeds mentaal in de Kokosnoot zitten. Waarom denken vrijwel alle Security mensen dat Anonymous bedrijven niet raakt, behalve dan wellicht de webservers? Waarschijnlijk omdat Anonymous alleen op internet actief is. Maar, wat is de grens dan - die firewall toch? Ga je schamen en lees voor straf het Jericho manifest drie keer.

Uiteindelijk doen we niets aan oncontroleerbare root accounts in ons netwerk, de spoofbaarheid van onze certificaten en de zwaktes van het huidige DNS, want we zitten knus achter onze beschermende firewall. Tuurlijk joh. Bovendien zijn we te druk met processen en beleid, of als we technisch bezig zijn, met GRC in a Box of Security as a Service in elkaar te klikken. De managers vertellen hoe erg het is, is blijkbaar harder nodig dan het minder erg maken. En al die nieuwerwetse dingen staan toch nergens in ons jaarplan en we krijgen er toch geen budget voor.

Denk eens na.

Waarom komen bepaalde dossiers onder de aandacht maar de meesten niet? Zelfs de herrie van grote, sexy hacks dringt uiteindelijk niet door. Weet je een jaar na Comodo en Diginotar wat je organisatie moet doen als je Internet Trust Anchor wegvalt? Heb je ook al getest of dat kan?

Nou dan.

Heb je er een maand na het bekend worden van de VeriSign hack al over nagedacht? Dit keer vast wel, maar wie verder?

Wat gaan we doen met dit inzicht? Volgend jaar blijkt ongetwijfeld dat we niets gedaan hebben, omdat andere zaken een hogere prioriteit hadden. Alles moet toch wijken om de iPads van de directie toegang te geven tot het netwerk, nietwaar?

In de praktijk blijkt alleen de herrie van mensen die je met plezier en vakkundig uitleggen welke problemen jij hebt, door te dringen tot de planning. Professionele sales dus. Zo bepaalt Gartner de beveiligingsagenda. En dat klopt niet. Gartner is een trendwatcher die de aanbodzijde van oplossingen uit de commerciële hoek toont, en die volgen we dan op geruime afstand. Die commerciële hoek loopt een paar jaar achter op de Open Source producten, die een paar maanden achterlopen op de aanvallers. De vraagzijde – wij dus – is intussen oorverdovend stil. Wij wachten af tot er iets nieuws komt en zeggen dan dat het te nieuw is. Conservatief is dus een te vriendelijke beschrijving: inert is beter. En het resultaat is navenant. Geen enkel.

Klagen is natuurlijk gemakkelijker dan fixen. Wij doen hier ook aan branchevervaging – ik ook, ik weet het. In de Security worden alleen auditoren betaald om te klagen en de rest is er om problemen op te lossen en te voorkomen.

Wat kun je hieraan doen? Bovengenoemde dossiers op de lijst van je organisatie zetten? Ja, dat kan, maar dat is niet het belangrijkste. Vraag je af waarom je ze nog niet had. En waarom de dingen die je zelf wel hebt gezien niet op de to-do-lijst van je eigen organisatie staan en die verhalen van dat stomme Gartner wél.

En als je bovenstaande onderwerpen allemaal wel had, verwacht je nu zeker hulde. Nou, die krijg je niet. Mijn lijstje is namelijk ook maar toevallig tot stand gekomen... Ik zit in die innovatiehoek en daarom zie ik bepaalde dossiers, mijn dashboard is zeg maar wat beter verlicht. Er zijn echter ongetwijfeld bendes dringende onderwerpen die ik totaal niet ken. We zitten echt met zijn allen in deze tunnel. Er is weliswaar licht aan het eind ervan, maar ik denk dat dat een tegenligger is.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Laatste 10 columns


Meer columns van Peter Rietveld.
Reacties (13)
05-03-2012, 11:34 door Mozes.Kriebel
Zolang directies niet bewust zijn het feit dat security een succes-factor is voor een onderneming, krijg je nooit de funding om dat lijstje op de agenda te zetten, laat staan er iets mee te doen. Security is nog steeds een kostenpost, een stelpost zo je wilt. Net als facilities en catering. Als de schoonmakers staken, draait het bedrijf wel door, met wat improvisaties.
Awareness -door het hele bedrijf heen- is helaas geen adagium. Dus blijven we brandjes blussen.

"Alles moet toch wijken om de iPads van de directie toegang te geven tot het netwerk, nietwaar? " So true...
05-03-2012, 11:37 door JorgD
Als alle advisering voor beveiliging net zo wollig en onsamenhangend is als deze column dan begrijp ik de security incidenten wel...
05-03-2012, 11:47 door Anoniem
Het probleem ligt inderdaad bij het feit dat we niet genoeg naar elkaar luisteren en de mensen met het minst verstand van zaken de beslissingen nemen. Laten we allemaal vooral doorgaan met die korte termijn visies en beslissingen.

Daardoor heb ik al jaren een prima baan. ;-)
05-03-2012, 13:58 door Anoniem
OV-chip, professionals ? The chip die ze gebruiken was al 10 jaar oud toen ze aan het project begonnen en was al eerder gekraagt, lijkt me heel verstandig om daar nog je project op de baseren. Nee, dat lijkt me niet zo goed voorbeeld.

DNSSEC is nog steeds leuk, DANE (voor het koppelen van het certificaat aan het domein via DNSSEC) is ook heel interresant.

Waarom is er weinig vraag naar DNSSEC ?

Veel DNS-servers die in het wild in gebruik zijn ondersteunen het nog niet.

Tevens zijn er stapels DSL-routers die voorkomen dat DNSSEC werkt, er is niet 1 workaround die met alle DSL-routers werkt (sommige blokkeren TCP, andere hebben een ingebouwde DNS-relay die DNSSEC niet snapt, etc.).

De browserfabrikanten willen geen DNSSEC-resolver toevoegen aan hun code. Het hoort thuis in het besturingssysteem. Maar volgens mij is er geen besturingssysteem die dat standaard aan boord heeft.

Tevens is het belangrijk dat de tijd/datum van je systeem goed staat anders werkt DNSSEC niet. Waar haal je de tijd vandaan ? Van het netwerk, met NTP. Maar NTP is afhankelijk van DNS in veel gevallen... ohh, dat is een 'bootstrap'-probleem.

Er zijn veel providers (lees vooral: regitrars) die nog geen DNSSEC ondersteuning hebben, zelfs niet als doorgeef luik van de 'trust-anchor'.

En zo zijn er meer problemen met deployment van DNSSEC.

DNSSEC en DANE kan wel prima werken trouwens, als de probleem gevallen maar worden opgelost.

DNSSEC trigger is waarschijnlijk de beste weg op de korte termijn om validatie werkend te krijgen op een desktop/laptop machine:

http://www.nlnetlabs.nl/projects/dnssec-trigger/
05-03-2012, 14:35 door dnmvisser
Als de banken zelf zeggen dat fraude via internet toeneemt, dan weet je een ding zeker, namelijk dat de werkelijkheid nog veel erger is. Het hele DNSSEC-verhaal zou dus bij uitstek geschikt zijn voor banken.
DNSSEC snappen en implementeren is nou niet echt triviaal, en er is ook nog geen standaardprocedure om DS records in de .nl zone te hangen. Maar het is wel degelijk mogelijk. Zeker voor een bank met (praktisch gezien) ongelimiteerde budgetten.

Het is daarom vreemd om te lezen dat banken claimen alles te doen:

Uiteraard neemt de ING alle mogelijke voorzorgsmaatregelen om fraude tegen te gaan.

Bron: http://www.ing.nl/de-ing/veilig-bankieren/meest-voorkomende-bankfraude


Uiteraard nemen wij de nodige maatregelen om een veilig gebruik van internetbankieren, mobiel bankieren, pinnen, iDEAL en betalingen via creditcards te borgen.

Bron: http://www.rabobank.nl/particulieren/servicemenu/veilig_bankieren

ABN AMRO doet er alles aan om www.abnamro.nl, Internet Bankieren en Mobiele applicaties, optimaal te beveiligen.

Bron: https://www.abnamro.nl/nl/overabnamro/veiligheid.html


De ASN Bank vindt het heel belangrijk dat u veilig online kunt bankieren. Wij doen alles om uw gegevens te beschermen, veilig en betrouwbaar te verwerken en te onderhouden.

Bron: http://www.asnbank.nl/index.asp?nid=9426

terwijl van alle bestaande iDEAL-paymentboeren (ABN AMRO, ASN Bank, Friesland Bank, ING, Rabobank, RegioBank, SNS Bank, Triodos Bank, Van Lanschot Bankiers) precies niemand DNSSEC doet...

Ze doen misschien veel, maar zeker niet alles wat in hun macht ligt.
05-03-2012, 22:54 door Anoniem
Welnee.. echte misstanden kunnen niet gemeld worden omdat je aangeschoten wild bent als je iets wilt melden.

Daarnaast killen ze je met geheimhoudingsclausules.

Of ontslaan ze je.

Dat is de wijze waarop het huidige management met echte security problematiek omgaat.
05-03-2012, 22:59 door Anoniem
Money rules inclusief de korte termijnvisie van de hedendaagse managers. Heel Nederland wordt voor de haaien gegooid tbv financieel gewin.

Ja, ik weet waar ik over praat.

Daar zit het knelpunt....begeerte op korte termijn...
06-03-2012, 10:22 door 0101
Tja, die banken...

Rabobank:
Onveilige ciphers: Nee
Zwakke versleuteling: Nee
Veilige heronderhandeling: Nee
Onveilige heronderhandeling: Nee
STS: Nee
BEAST aanval: Ja
https://www.ssllabs.com/ssldb/analyze.html?d=bankieren.rabobank.nl

/!\ BEAST aanval


ING:
Onveilige ciphers: Nee
Zwakke versleuteling: Nee
Veilige heronderhandeling: Nee
Onveilige heronderhandeling: Nee
STS: Nee
BEAST aanval: Ja
https://www.ssllabs.com/ssldb/analyze.html?d=bankieren.rabobank.nl

/!\ BEAST aanval


ABN Amro:
Onveilige ciphers: Nee
Zwakke versleuteling: Nee
Veilige heronderhandeling: Nee
Onveilige heronderhandeling: Nee
STS: Nee
BEAST aanval: Ja
https://www.ssllabs.com/ssldb/analyze.html?d=mijn.ing.nl

/!\ BEAST aanval


ASN Bank:
Onveilige ciphers: Nee
Zwakke versleuteling: Nee
Veilige heronderhandeling: Ja
Onveilige heronderhandeling: Nee
STS: Nee
BEAST aanval: Nee
https://www.ssllabs.com/ssldb/analyze.html?d=www.asnbank.nl
07-03-2012, 08:29 door S-q.
@0101

Je reaktie maar eens aangereikt bij Rabo Nederland.
Als ik info terug krijg zal ik het je laten weten.

Voor mij als eindgebruiker;
Vertaal voor mij eens in J&J-taal de impact?
(Wat BEAST is heb ik overigens al wel opgezocht)
07-03-2012, 10:17 door [Account Verwijderd]
[Verwijderd]
07-03-2012, 10:47 door S-q.
@Krakatau

Bedankt voor je reaktie, duidelijk.
Nuttig voor mij zodat ik kan relativeren, maar niettemin wel een aanvalsrichting dus waar ik nu rekening mee kan houden.

Het viel mij overigens nog wel op dat andere banken/instellingen dus hoger scoren!

Wat is de kwaliteit van zo een beoordeling of reputatie van zoiets?
07-03-2012, 11:44 door S-q.
@0101

Zoals hiervoor beloofd;

"Hartelijk dank voor uw reactie.

Wij hebben uw e-mail doorgestuurd binnen Rabobank Nederland. Van hen kunt u een reactie verwachten.

Wij vertrouwen erop u hiermee voldoende te hebben geïnformeerd."

Met vriendelijke groet,

Rabobank
10-03-2012, 18:46 door Anoniem
Wacht even de rabobank wedr door toch partij X beheerd?


Gaan we weer...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.