Security is dood
Door Jos Visser <josv at osp.nl>
De najaarsconferentie 2003 van de Nederlandse vereniging van Unix specialisten (NLUUG) stond geheel in het teken van beveiliging. Een dag lang lieten allerlei specialisten hun licht schijnen over onderwerpen als netwerkbeveiliging, practische toepassingen van cryptografie, het voorkomen van "buffer overflows" en wat dies meer zij. Het belangrijkste, edoch helaas onuitgesproken, thema van die dag was echter dat security als onderwerp eigenlijk helemaal van het toneel is verdwenen. Security is een beetje zoals die narrige oude oom die je op ieder familiefeestje weer tegenkomt. Hij hoort erbij, en iedereen nodigt hem om die reden telkens weer uit, maar niemand wordt echt vrolijk van hem. Hij verpest ieder feestje met narrige opmerkingen en het is zelden of nooit goed. Het maakt niet uit met welk plan je komt, hij weet altijd wel tegenwerpingen te verzinnen waarom het toch weer allemaal niks is en al helemaal niks zal worden.
Publiek en sprekers op de eerder genoemde conferentie liepen dan ook heel de dag zwaar te zuchten en vast te stellen dat het toch allemaal niet meevalt. Zo heb je een wiskundig waterdichte manier om gegevens te beveiligen, en dan is het sleutelbeheer weer zo'n crime. Of heb je eindelijk je toegangsbeveiliging op orde, en dan gaan gebruikers wachtwoorden uitwisselen en pincodes opschrijven. En dan blijkt de kwaliteit van software door de bank genomen ook nog eens onder de maat, en het beveiligingsprotocol voor draadloze netwerken zo lek als een mandje (IEEE 802.11b WEP), en installeren systeembeheerders niet continu de nieuwste patches, en klikken gebruikers op iedere hen toegemailde executable, en blijken er zelfs in OpenSSH security bugs te zitten, en als klap op de vuurpijl overstromen EDP auditors en andere "beveiligingsexperts" je met oeverloze lijsten van processen en procedures die moeten worden bedacht, ingevoerd, opgevolgd, nageleefd en gecontroleerd. Het is, alles in overweging nemende, niet meer en niet minder dan een waarlijk drama. En in situaties waar gebruikers wel bijzonder beveiligingsbewust zijn en alles versleutelen wat los en vast zit staat de overheid om iedere hoek te gluren en alles te loggen zodat iedere burger die van plan is om ook maar onrechtmatig over te steken al op voorhand kan worden ingerekend.
Security is hard op weg om het meeste genegeerde belangrijke onderwerp van de IT te worden. Het is gewoonweg te moeilijk om iets werkends op te leveren indien aan alle eisen van beveiliging invulling moet worden gegeven. De meeste organisaties knijpen dan ook een oogje dicht als het om beveiliging gaat. Met de mond wordt wel de grootst mogelijke ondersteuning voor effectieve beveiliging beleden, maar practisch gesproken is het droefheid alom. In mijn eigen consultancy praktijk maak ik dat vrijwel dagelijks mee, variërend van receptionistes die de codes van het beveiligingssysteem aan me geven tot banken waar spreadsheets met de wachtwoorden van de productieomgevingen worden gebruikt.
Nu ben ik momenteel bezig met de ontwikkeling van een cursus over het schrijven van veilige software (met Java) en ik zal de eerste zijn om te bekennen dat het inderdaad niet meevalt. Het onderwerp is te groot, te complex en we ontberen nog steeds de modellen, standaarden en hulpmiddelen om zonder al te veel problemen een veilig systeem te bouwen. Zowel programmeurs als gebruikers maken in hun dagelijkse leven vele tientallen beveiligingsgerelateerde beslissingen per uur en aangezien het gemiddelde IQ (per definitie) slechts 100 is vallen die beslissingen nu eenmaal niet allemaal goed uit. Het zal pas goed komen met de beveiliging als de beveiligingsbeslissingen niet meer individueel hoeven te worden genomen. Als ik kijk naar de beveiligingsstandaarden in de IT (zoals de Britse BS779 standaard, of de Nederlandse Code voor Informatiebeveiliging (EZ/NNI)) dan zakt de moed me ook wel in de schoenen. Het zijn schier onafzienbare lijsten van dingen die je geregeld moet hebben, procedures die moeten bestaan en processen die je op orde moet hebben. En het frustrerende van die voorschriften is dat met negen van de tien IT-hulpmiddelen die voorschriften helemaal niet op voor de hand liggende wijze kunnen worden ingevuld. En het blijkt dat je van de gemiddelde organisatie helemaal niet kunt verwachten dat ze zich in allerlei bochten gaan wringen om die beveiliging dan toch conform de standaard op orde te brengen. Dat lukt banken en overheden al niet eens, dus laat staan dat het MKB zich hieraan gaat conformeren.
Nu werkt de gemiddelde beveiligings- of EDP-audit-afdeling ook niet echt mee. Het zijn doorgaans beveiligingsbureaucraten die de "100% beveiligingsgedachte" propageren en met minder geen genoegen kunnen nemen. Een bevriende projectleider, werkzaam in de financiële sector, vertelde me dan ook dat als zijn projecten bij beoordeling door de in-house EDP-auditors een "matig" scoorde hij zeer tevreden was: "want anders heb ik teveel gedaan". De meeste "beveiligingsexperts" zijn feitelijk beveiligingsbureaucraten die zelf nog nooit iets werkends hebben opgeleverd en voor wie geen enkele verzameling van practisch implementeerbare beveiligingsmaatregelen afdoende is. En daardoor zitten we dus waar we zitten. Het beveiligingsprobleem is gewoonweg te moeilijk om practisch op te lossen: de software biedt namelijk niet de juiste handvatten en daardoor komen teveel fundamentele beveiligingsbeslissingen te liggen in de handen van personen wiens primaire focus het niet is om de vertrouwelijkheid en integriteit van de systemen te bewaken.
Persoonlijk vind ik dat trouwens geen dramatische conclusie; het feit dat mensen zeer hulpvaardig (social engineering) en gedreven zijn om het eigenlijke werk voor elkaar te boksen vind ik eigenlijk wel een mooi gegeven. Mensen leven namelijk in groepen om daardoor hun comfort en veiligheid te verhogen. De welstand van de homo sapiens is toch welbeschouwd nog nooit zo groot geweest als in de moderne westerse samenlevingen. Maar die veiligheid is (gelukkig) niet compleet. Een bepaalde onveiligheid zit namelijk ingebakken in ons menszijn en de wijze waarop we met anderen willen verkeren. En zoals onze huizen geen onneembare forten zijn, en onze auto's geen gepantserde amfibievoertuigen, zo zullen ook onze informatiesystemen nooit onkraakbare vestingen van gegevensbeveiliging vormen. Het is tijd voor een practische blik op beveiliging.
last change 2003-12-21 10:10:24
| December | ||||||
|---|---|---|---|---|---|---|
| Mo | Tu | We | Th | Fr | Sa | Su |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 | ||||
| Nov | Jan | |||||
Dutch language entry
Security (als interessant IT-onderwerp) is dood. Het is te moeilijk implementeerbaar en we worden overspoeld door security-fundamentalisten die geen genoegen nemen met een minder dan totale oplossing...
