De afgelopen dagen werd het Internet getroffen door een beveiligings-aardbeving van ongekende kracht. Voor de ongeoefende volger van beveiligings-bugs zou het probleem nog afgedaan kunnen worden als een fout in een stukje open-source-software en wie gebruikt dat nu voor serieuze toepassingen? Maar waarom haalde dit probleem dan al snel de (inter)nationale pers?
Het ‘foutje’ in kwestie zat niet in zomaar een software-module, het zat (al een jaar of twee) in een module die vele professionele gebruikers van het Internet inzetten zodat we allemaal veilig kunnen communiceren over het niet meer uit onze maatschappij weg te denken data-netwerk.
Communiceren via het Internet willen we allemaal, maar hoe houden we het veilig? We willen zeker weten dat de communicatie niet door iemand anders gelezen kan worden (vertrouwelijkheid), niet onderweg door iemand ongemerkt veranderd kan worden (integriteit) en dat de communicatie-partner is wie hij zegt te zijn (identiteit). Zonder die drie componenten te borgen is veilig communiceren onmogelijk. En laat de heartbleed-bug nu net zijn oorsprong vinden in beveiligings-software die dit veilig-communiceren mogelijk moet maken! Als gevolg van de bug ‘lekken’ er gegevens weg die rechtstreeks de privacy aantasten en alle veilig geachte communicatie mogelijk onveilig maken.
Inmiddels zijn er tegenmaatregelen beschikbaar die het lek dichten, waarmee veel beheerders wereldwijd aan het werk zijn gegaan om de oorzaak van de heartbleed-bug te stoppen. Maar daarmee zijn we er helaas niet. Nog lang niet. Want als het al ongeveer twee jaar mogelijk is om privé-gegevens te verzamelen via dit lek, welke data die je dacht veilig te delen via het Internet is dan mogelijk toch weggelekt? En wat is daarmee gedaan? Ik ben bang dat we het antwoord op die vraag nooit helemaal zullen weten, maar zeker is dat vele componenten in de beveiligingsketen de komende dagen vervangen dienen te worden aangezien deze door de heartbleed-bug weggelekt kunnen zijn. Daarbij spelen de beheerders van alle kwetsbare webservers (en andere componenten) een belangrijke rol. Het reparatie werk is nu grotendeels gedaan, echter de rol van de eindgebruiker valt niet te onderschatten. Want ook als je geen webserver beheert, maar wel met een lekkende server veilig dacht te communiceren is er een kans dat je gegevens ‘op straat liggen’.
De hoogste tijd om je wachtwoorden te vervangen van de sites waarvan je zeker weet dat ze het lek niet (meer) bevatten (dat kun je hier testen). En dan zijn er de aanvallers die proberen misbruik te maken van de ontstane situatie. Klik niet op links in emails die aanmanen gebruikersnamen en wachtwoorden ergens in te voeren, deel geen gebruikersnamen en wachtwoorden met vriendelijk bellende service-desks. Gebruik een gezonde portie achterdocht. Zet dezelfde antennes aan die ervoor zorgen dat je aan het eind van een drukke winkelstraat je geld en smartphone nog hebt. Vertrouw niet zomaar alles op je scherm(pje) en ga als je het niet vertrouwt, net als in het echte leven, even aan de andere kant van de straat verder.
Voor de toekomst moet de Heartbleed-bug elke security expert of it-manager in ieder geval aan het denken zetten over waar security op vertrouwt. Je mag verwachten dat er een zekere veiligheid uitgaat van producten die diverse producenten ter beschikking stellen (klanten van HP TippingPoint NGIPS hadden met Digital Vaccine de Heartbleed-dreiging snel onder controle). Maar uiteindelijk is het als organisatie relevant om zelf een vangnet te bouwen, het liefst in een gelaagde constructie. De website van de NCSC heeft nuttige Heartbleed-informatie beschikbaar, voor het geval je er nog eens (opnieuw) in wilt duiken.
Een beetje mosterd na de maaltijd. De linux foundation heeft al een initiatief gestart dat door de grote leveranciers ondersteund wordt.
HP is daar niet bij.
Het lastige is, en ik mis dat in je betoog, dat het altijd een soort kat & muis spel is. Tegelijkertijd word dan ook de grote flaw in open source ontwikkeling ondubbelzinnig helder.
Wanneer je namelijk iedereen aan eenzelfde product laat werken, dan kan het gebeuren dat er een soort ‘blindheid’ optreed waardoor je onvolkomenheden over het hoofd ziet. Dat is in en met een materie als IT niet zo heel erg vreemd.
De tweede in dit geval is dat niet iedereen bij machte blijkt de meest basale routine, Ontwikkel – Test – Release, machtig is dat dan vervolgens ook nog eens bij draagt aan het ontsnappen van die onvolkomenheden.
Iets als heartbleed is wat dat betreft niets anders als het ILoveYou virus. Je komt er bijna altijd pas achter als het leed is geleden. Gewoon een ‘fact of life in/with IT’.
Wat het verder aan geeft is dat men niet genoeg kan benadrukken vooral goed en wel doordacht om te gaan met de persoonlijke gegevens, wachtwoorden en bankgegevens op het internet. Internet is wat dit betreft allerminst veilig en welke maatregelen men telkens weer bedenkt, het is een kwestie van tijd dat er weer ‘knappe koppen’ zijn die daar weer op schieten.
Het word tijd dat iedereen dat zichzelf eens gewoon realiseert. Wat dat betreft is open source net zo (schijn)heilig als andere modellen.