“Veilig internet behoeft geen sleutel maar alarm”

computerveiligheidInternet en veiligheid, het lijkt een onverenigbaar duo. Internet is een gigantisch netwerken met honderden miljoenen, zo niet miljarden gebruikers en dito in- en uitgangen. De aantallen zullen alleen maar groeien nu daar nog het internet-der-dingen bij komt. Elke ingang is een aangrijpingspunt voor een onverlaat, of dat nu een cyberboef is of een NSA-agent. Onbegonnen werk. Er wordt gewerkt aan versleuteling, maar volgens Mike Gault in het Amerikaanse blad Wired is integriteit het zwakke punt. Hoe kwetsbaar zijn je beveiligingssystemen zelf? Bedenk systemen waarmee je de inbreker kan pakken.

In de beveiligingswereld hebben ze het over drie belangrijke zaken: vertrouwelijkheid, integriteit en beschikbaarheid. Vertrouwelijkheid gaat over het beschermen en bewaren van je geheimen. Spionage en gegevensdiefstal bedreigen de vertrouwelijkheid. Beschikbaarheid gaat over de diensten, waarbij beheerders toegang hebben tot netwerken en de bediening. Massa-aanvallen en vertraging van het webverkeer zijn daarbij de kwaaie pieren. Integriteit in dit geval gaat over de betrouwbaarheid van de netwerken en de systemen. Circuleren er geen kwaadaardige of ongeautoriseerde codes of fouten. Virussen en kwaadaardige programmatuur bedreigen de ‘integriteit’ van het systeem.
Dat laatste, dat ik maar naar de Amerikaanse (vertaalde) term integriteit blijf noemen, is het neveligste terrein en meteen ook de grootste dreiging voor zakenwereld en overheid. Terwijl de webveiligheid vooral gericht is op vertrouwelijkheid (versleutel alles en sluit de poorten), is natuurlijk duidelijk dat die sleutels, waarmee die tekst weer ontcijferd moet worden of de toegang afsluiten, het tere punt worden. Dat zou ook zo zijn voor geavanceerde algoritmes als AES-GCM van de Stanford-universiteit. Als je de vertrouwelijkheid kraakt van je auto, dan komt de kraker je rijgewoontes te weten, als hij de integriteit kraakt dan kan hij de auto overnemen. We hebben het dan natuurlijk over een met elektronica volgepropte moderne auto en niet over een Lelijke Eend.
De meeste bedrijven en overheidsinstanties mikken op versleuteling en bewaking van de ‘poorten’. Ze onderschatten beschikbaarheid en houden zich zelden met integriteit bezig. Volgens de beruchte Amerikaanse spionnenchef James Clapper zou de grootste vijand van de nationale veiligheid de verandering of manipulatie van elektronische informatie zijn. Kennelijk niet het stelen daarvan. Hij zei dat dit najaar tegen een Congrescommissie.

Technologie

Een deel van het probleem is de technologie waar de veiligheidssector zich op verlaat. De openbare-sleutelinfrastructuur, in de Engelse afko PKI, is al tientallen jaren het dominante systeem. Dat is in feite het oude sleutel/slot-principe om ongeautoriseerde toegang te voorkomen, maar krakers proberen alle deuren en als ze er eenmaal binnen zijn is PKI zinloos. Daarom weten de meeste organisaties niet wie er hun systeem zijn binnengedrongen en wat ze daar gedaan hebben/aan het doen zijn. Net zo min als een slot op je deur je voor inbraken behoedt via die gesloten deur.

Vanuit het oogpunt van de integriteit, systeemveiligheid, zou je ook geen slot op de deur willen hebben maar een alarm, dat alle onderdelen van het netwerk controleert, van de toegangspunten tot de gevoelige gegevens. Dat alarm zou moeten afgaan als dat iets vreemds ontdekt. Er zijn systemen die dat doen, schrijft Gault, zoals Merkle-bomen en wat heet systemen voor bewijsbaar data-eigendom. Die systemen zouden moeten worden opgewerkt tot praktisch bruikbare. Als we de fase van ‘versleutel alles’ en ‘sluit de poorten’ voorbij zijn kunnen we gaan werken aan systemen die verschillende vormen van inbraak bestrijden, met de nadruk op integriteit, aldus Gault in Wired. We kunnen er niet op rekenen dat we de inbrekers buiten houden, laten we er dan zeker van zijn dat we ze kunnen pakken als ze binnen zijn.

 Bron: Wired

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.