Dagelijks zien we in de massamedia berichten over creditcardgegevens die in grote volumes gestolen zijn en vervolgens voor vijf euro per set aangeboden worden, login en passwords van social media sites die zijn ontvreemd of pizza’s die gratis besteld kunnen worden via internet. De ene keer is de daad wat minder schadelijk dan de andere keer maar dat de criminaliteit op internet toeneemt, is inmiddels bij elke Nederlander wel bekend. Hoe kan het dat, ondanks grote investeringen in ict-security, zelfs de meest gerenommeerde banken of verzekeringsinstellingen nog steeds gehackt worden? En als het voor hen al zo moeilijk is om zich te beschermen, wat moet dan het gemiddelde mkb-bedrijf doen om het internetkwaad buiten de deur te houden?
Vaak kiest het mkb voor een te simpele oplossing: een firewall aan de rand van het netwerk en een antiviruspakket op de pc's. Helaas is die firewall vaak een stateful firewall die uit de jaren '80 stamt. Het houdt misschien een paar netwerkpoorten dicht, maar zelfs een aspirant hacker wandelt daar fluitend doorheen. Een firewall moet op zijn minst met ‘deep packet inspection' uitgerust zijn of met een zogenaamd intrusion prevention system (IPS). Dit laatste is een intelligent systeem dat kijkt naar het binnenkomende netwerkverkeer. Het systeem vraagt zich continu af of het verkeer eventueel kwaadaardig is en afgebroken moet worden om een zogenaamde 'intrusion' te voorkomen. IPS'en komen in alle maten en soorten voor maar vooral op allerlei kwaliteitsniveaus. ‘Firewalls' zitten tegenwoordig zelfs al in een router van 75 euro. Is er dan niemand die de arme mkb'er kan helpen het kaf van het koren te scheiden in deze enorme complexe materie? Want je kunt security zo 'plug & play' mogelijk proberen te maken, het is en blijft de snelst evoluerende sector van de georganiseerde criminaliteit.
Gelukkig zijn er organisaties die kwaliteitsstempels op het gebied van ict-security uit willen delen om zo een eerste selectie te maken, met de CCRA (Common Criteria Recognition Agreement) voorop. ICSA Labs is ook zo'n organisatie die kwaliteitsstempels uitdeelt, maar hoe die volledig onafhankelijk en dus objectief kan opereren met een partij als Verizon erachter is mij een raadsel. Daar achteraan hobbelen veel nationale inlichtingendiensten die ook kwaliteitsstempels uit willen delen voor het gebruik van bepaalde ict-securityoplossingen binnen nationale overheidsomgevingen. Helaas blinken de meeste van deze organisaties niet uit in het communiceren van hun doelstellingen en resultaten naar het bedrijfsleven en zeker niet naar het mkb. Als je wilt uitzoeken wie de beste firewall met IPS levert volgens de CCRA, dan is dat nog steeds een aardige studie. Maar daarvoor ben je toch ict-securityspecialist, niet?
Het probleem is dat de CCRA een organisatie in evolutie is en daarbij komt nog eens dat er intussen maar liefst 26 landen lid zijn. Natuurlijk, hoe meer leden, hoe beter en des te succesvoller hun ‘kwaliteitstempels' op een mondiaal niveau kunnen zijn. Echter, het zijn veelal de nationale inlichtingendiensten van die landen die lid zijn en overheidsorganisaties hebben nu eenmaal niet de reputatie de snelste van de klas te zijn.
De evolutie van deze organisatie kenmerkt zich door de versies die ze definiëren op het gebied van het certificeringproces. Ben je er nog? Dus zo'n vier jaar geleden kon je nog rustig met versie 2.3 (of ouder) van het certificeringproces een EAL 4+ halen. Fantastisch! Dat je dan zelf als ict-securityleverancier mocht bepalen tegen welke exacte criteria (TOE) het product werd gecertificeerd, mocht de pret niet drukken. En sindsdien prijken er op vele brochures het begeerde EAL4+-niveau zonder dat ooit iemand informeert wanneer deze behaald is, oftewel op basis van welke versie. De leverancier laat het natuurlijk ook wel uit zijn hoofd om het erbij te zetten.
Maar de CCRA maakt sprongen vooruit en ik draag ze ook een warm hart toe omdat ze de enige wereldwijde organisatie is die op dit vlak onafhankelijk opereert. En als er nog meer landen lid worden, dan kan misschien ooit de dominantie van de Amerikaanse nationale inlichtingendienst enigszins afnemen. Gelukkig is er sinds versie 3 van het certificeringproces een heleboel verbeterd, zeker op het gebied van firewalls en IPS. Lees het volgende citaat van de CCRA-website en huiver bij de gedachten dat jouw firewall (of IPS) misschien op versie 2.3 een EAL (desnoods 4+) behaald heeft. Let op: het gaat hier om een vergelijking die zij zelf maken tussen v2.3 en v3.1:
Some basic IT security principles were completely missing (the absence of an architecture argument meant that that all of the claimed security functions could be corrupted or bypassed, making them meaningless). And in all cases, there was no acknowledgement that some parts of the TSF are more critical and security-interesting than others, the result of which was that the analysis had to be performed — even on parts that no security professional would bother with – thereby expending vast amount of unnecessary effort.
Misschien dat er nog een paar banken en verzekeringsinstellingen een v2.3 EAL4+-firewall hebben staan?
Waar gaat dit artikel nu over. Het stelen van Credit cards of firewall’s?? Het lijkt mij toch duidelijk dat er niet alleen firewalls nodig zijn als security en dat deze security maatregelen meer bij de banken/transactie switches zou moeten liggen. Ook al heb je thuis een firwall met ips, dan nog komen ze er wel doorheen omdat de gemiddelde gebruiker een ips niet zal snappen en daarom misschien openingen toe laat, die je niet zou willen.
De site van de pizza’s was gewoon een lek in de webwinkel software.
Naar mijn mening is dit een heel slecht artikel met onduidelijke doelen.
Wat mij betreft had dit artikel afkeurd mogen worden. Een zeer slechte web space vulling zullen we maar zeggen.
Het artikel gaat over certificeringen van (IPS-)firewalls
Een statefull firewall die uit de jaren ’80 stamt? merkwaardige opmerking. De eerste firewall kwam pas in ’92 in de handel. Maar goed, daar was je wellicht nog niet bij, Rolf?
Beetje gekunsteld trucje om zo een sterker contrast te schetsen om een IPS of iets dergelijks aan te prijzen; nieuw is niet noodzakelijkerwijs beter. Nieuw is complexer en een essentieel principe in beveiligingsland is KISS.
Het zou je sieren om de intrinsieke problemen van inline IPS dan ook te noemen – met name het probleem van de parsers. Ieder packet, ongeacht de herkomst, moet door de IPS geinspecteerd worden. Veel packets zeggen niets zonder ze terug te brengen tot het bestand – en als je dat ‘inspecteert’ verwerk je mogelijk onveilige code. Iedereen die mailscanners gebruikt kent het probleem – de mailscanner zelf wordt het aanvalsdoel. je IPS is dat van nature. Geef mij maar een klassieke statefull firewall en een IDS met een log correlatie geval. Als losse doosjes.
Wat je ook weglaat is het allerbelangrijkste in perimeter security, dat – wat je ook doet – je outbound moet filteren, omdat die ‘hacker’ anders fluitend naar buiten loopt met je data, EAL4 IPS of anderzins. Je firewall is immers zelden de enige weg naar ‘binnen’. Lees eens wat over Jericho.
Samenwattend: A fool with a certified tool, is still a fool. Maar dan één die meer geld kwijt is.