De grote securityrampen van de afgelopen tijd – en waarschijnlijk ook de komende tijd – hebben één belangrijk ding gemeen. Ze overvallen ons vanuit het verre verleden. Shellshock, Poodle, Heartbleed, het zijn allen gaten en bugs in oude, vertrouwde technologie.
Deze en andere recente kwetsbaarheden zijn symptomatisch. Het toont aan hoe oude technologie ten onrechte voor veilig wordt aangezien en ons dagelijks in de problemen brengt. Let wel: nieuwe technologie is niet altijd beter. maar qua veiligheid blijkt veel oude of oudere technologie toch echt achter te lopen. Dit kan meerdere oorzaken hebben. Bijvoorbeeld dat beveiliging niet goed is ingebouwd in de oude technologie, omdat het niet is meegenomen in het basisontwerp. Het is namelijk niet makkelijk – en vaak niet afdoende – om security achteraf ‘toe te voegen’ aan iets dat ooit is ontworpen zonder rekening te houden met het beveiligingsaspect.
Te veel vertrouwen
Een andere mogelijke oorzaak is dat er te veel wordt vertrouwd op de oudere technologie, die zich immers door jarenlang gebruik heeft bewezen. Naast complexe it-systemen op de achtergrond betreft dit tevens bekende toepassingen als pinautomaten waar tegenwoordig ook steeds vaker malware op wordt geplaatst. Door nieuwe ontwikkelingen in detectiemethodes voor kwetsbaarheden en de complexe benutting daarvan, worden we hier nu (pas) mee geconfronteerd. Ondertussen is cybercrime een serieuze business geworden en de inzet is dus hoog.
Vandaar dat veel security-onderzoekers – white hats, grey hats én black hats – zich storten op deze ‘nieuwe’ gaten in oude technologie. Technologie die voorheen niet interessant was voor aanvalsdoeleinden of technologie die veilig werd geacht. De nog onontdekte gaten hierin, zogeheten zero days, zijn kostbare goederen voor een lucratieve handel. De recente Shellshock-bug is er zo eentje. De zoveelste zero day van de afgelopen tijd, en vast ook niet de laatste die een zeer brede impact heeft.
Grootste securityramp
De breedte van de impact wordt mede bepaald door het wijdverbreide gebruik van een oude, vertrouwde technologie. In het geval van Shellshock komt het rampenscenario aan bod van binnendringers op vele Linux- en Unix-systemen wat naast servers ook vele embedded apparaten raakt. Denk aan routers en modems, maar bijvoorbeeld ook aan Wi-Fi-hotspots. Hiermee komen ook de devices van het Internet of Things in beeld. De ‘softwarefout’ die ten grondslag ligt aan de Shellshock-bug is behoorlijk complex, maar het misbruik ervan blijkt relatief eenvoudig. Op simpele wijze is de macht over computers over te nemen. Het heeft na de ontdekking van Shellshock dan ook nog geen dag geduurd voordat kwaadwillenden volautomatische scans loslieten op internet, speurend naar kwetsbare systemen.
Zo’n kwetsbaar systeem hoeft niet eens het daadwerkelijke doelwit te zijn, maar kan juist een middel zijn. Om bijvoorbeeld internetverkeer af te luisteren, zoals het grote Heartbleed-lek ook mogelijk maakte. En terwijl er onder security-experts nog de discussie liep welk beveiligingsgat de grootste securityramp was, diende de volgende zich alweer aan. Het Poodle-gat in het wijdverbreide en lang geleden ontworpen beveiligingsprotocol SSLv3. Weer een oude technologie die ons opbreekt.
Het goede nieuws is dat veel van deze kwetsbaarheden nu worden ontdekt omdat we kritisch kijken naar de fundamenten van onze onmisbare ict. Het slechte nieuws is dat door die kritische blik er nog meer onaangename verrassingen zijn te verwachten. Door rekening te houden met deze mogelijke verrassingen, kunnen we securityrampen echter zoveel mogelijk proberen te voorkomen of op zijn minst in te dammen. Wees dus alert.
Oude technologie kost ons dan misschien de kop, nieuwe technologie is geen haar beter!
Veilige software ontwerpen en bouwen heeft geen enkele prioriteit. Niet bij de opleidingsinstituten, niet bij de leveranciers en ook niet bij de klanten. Er worden dagelijks nieuwe diploma’s uitgereikt aan afgestudeerde programmeurs die geen idee hebben wat security is, nieuwe software opgeleverd die zo lek als een mandje is en nieuwe software aangeschaft die zo lek als een mandje is. Beveiliging is niet interessant, men wil het niet weten.
Totdat het misgaat… Dan heeft iemand “het” gedaan maar zodra het stof is gaan liggen, gaan we weer verder met de dagelijkse beslommeringen.
Voorlopig zal ik niet werkloos worden, dat is dan weer het mooie van deze situatie 🙂
Ander voorbeeld: destijds kon IBM er voor kiezen iets in exe-bestanden in te bouwen, waardoor die exe’s niet besmet konden worden met een virus. Ingebouwde zelfbescherming, zeg maar. Hoe precies, weet ik niet.
Vanwege één bepaald obscuur IBM-computerprogramma (die dan niet (meer) zou werken) besloten ze dat niet te doen.
We weten allemaal hoeveel ellende dat ons heeft bezorgd… Nu nog steeds, meer dan 20 jaar later, hebben we daar nog steeds last van.
@M Muv MicroSoft hebben alle leveranciers van besturings systemen dat het helemaal niet zo lastig is om software tegen virussen te beschermen, ook niet als het opensource spul betreft.
Echter MicroSoft vind monopolie belangrijker dan goede software.
Die monopolie dankt het bedrijf aan onkunde, onachtzaamheid en onwil van gebruikers, beheerders, ontwikkelaars en beleidsmakers.
Heel simpel voorbeeld.
Als ik hier zeg telnet, dan springen meteen een hoop helden op die enthousiast door elkaar beginnen te kakelen zonder te weten waarvoor je telnet zoal kunt gebruiken,
Maar dat de hele wereld nog steeds vrolijk ftp gebruikt en daarmee precies dezelfde veiligheids issues op zich afroept doet er even niet toe, want tante Nel moet nu eenmaal wel haar foto’s op de website kunnen plempen. (er zijn zelfs providers die hiervoor aan hun klanten een smb verbinding aanbieden… dit verzin je toch niet.
Het probleem is heel eenvoudig te omschrijven:
Iedereen wil het graag over security hebben en er interesant over doen,
maar niemand wil er wat aan doen en de bijhorende beperkingen accepteren, of de zaak dusdanig correct regelen dat de genoemde maatregelen geen beperking meer vormen.
Martijn,
Veiligheid moet je in de keten bekijken. Ik denk dat het een illusie is als je denkt dat je de negatieve gevolgen van de ouderdom in de keten weg kunt halen. Dit wordt in het bijzonder een uitdaging als je naar automatisering binnen de industrie kijkt.
Maar terecht wat je aangaf!
Pascal: Je aversie tegen MS is duidelijk, maar de laatste tijd erger ik me steeds meer aan je antwoorden.
In jouw ogen zijn bijna alle ontwikkelaars zijn prutsers, snapt de nieuwe generatie er geen biet van en kijk je op allerlei manieren op mensen neer.
Gezien de technologie die je aanhaalt FTP / Telnet e.d. heb ik het idee dat je ook wat in de tijd bent blijven hangen.
Omdat jij je blijkbaar begeeft in het land der blinden is het gemakkelijk om alles wat in je opkomt in een reactie te plempen zonder tegenspraak. Maar er valt ook genoeg op jouw reacties af te dingen. Onderbouw ze eens zonder generalisaties en neerbuigendheid.
Security werd in het verleden nog gedefinieerd als de maatregelen die je moest nemen om te voorkomen dat ongewenste individuen toegang krijgen tot je netwerk. Niemand had toen nog gedacht over de stormachtige ontwikkeling in ICT en het gebruik van Internet en het feit dat bijna iedere applicatie via het Internet wereldwijd toegankelijk zou worden. Veel oudere systemen werden vervolgens voorzien van een web-interface en toen werd al snel duidelijk dat die systemen erg kwetsbaar waren. Daarnaast had ook nog niemand nagedacht over de gevolgen van deze ontwikkelingen op de risico’s van onveilig gedrag van de medewerkers. Security gaat nu allang niet meer alleen om de techniek. Er moet nu veel meer gedacht worden over de risico’s die je loopt, hoe kan ik die verlagen om de weerbaarheid van mijn medewerkers en mijn organisatie te vergroten. De reactie van Joost hierboven is 100% raak: Bij de opleidingen tot programmeur wordt nog steeds geen aandacht besteed aan het bouwen van veilige software. Sommige programmeurs vertelden ons dat er wel eens een keer een gastcollege was geweest over “hoe moet je hacken”. Even ter vergelijking: We leren bouwvakkers dus niet om veilige huizen te bouwen maar wel hoe ze moeten inbreken.
De bedrijfsprocessen dienen zodanig worden ingericht dat security op de agenda komt van de hele organisatie. Van boven naar beneden en van links naar rechts. Software die ontwikkeld wordt dient getest te worden op security. Van alle security incidenten wordt 40% veroorzaakt door menselijk handelen. Met 100 Firewalls voorkom je geen incidenten als je personeel op phishing e-mails blijft klikken en/of als er geen password-beleid, Social Media beleid, incident management of een security awareness programma is.
Security Awareness in je organisatie brengen betekent vaak een verandering van het gedrag van mensen. Dit bereik je niet door het personeel jaarlijks met een web-applicatie even 10 security-vraagjes te laten aanklikken. Goede training waarin mensen worden gestimuleerd en gemotiveerd naar veilig gedrag helpt bij het verlagen van het aantal incidenten en vergroot de weerbaarheid van je organisatie. Met vriendelijke groet, Rob Koch (Sebyde BV)
Elke technologie is legacy geworden op het moment van lanceren, en voor software geldt dat het meest. Keken we eerst alleen of het functioneel fit bleef, tegenwoordig moeten alle onderdelen keer op keer onder de loupe genomen worden t.a.v. mogelijk kwetsbaarheden. Dat is lastig, maar niet onmogelijk, en het is inderdaad ook duur. Voordeel is wel dat we nu eerder een technologische vernieuwing doorvoeren omdat de business case sneller rond is. Het gaat niet alleen maar om terugverdienen maar vooral ook om imago. Daarmee is de board eerder akkoord dan met een procentuele kostenbesparing op termijn.
Helaas zijn die aspecten die nodig zijn om veilige toepassingen te ontwikkelen, dan bedoel ik nog niet externe toegangen, maar ook binnen een lokale tieoassing te saai en moeilijk voor ICT studenten. Data base ontwerp, zorgen dat de relationele integriteit van de data base behouden blijft, zoals journalling, Commit control, roll back, waarom toch als men accepteert dat de gebruiker maar moet zorgen dat het correct ingegeven en verwerkt wordt. Flashy moet het zijn, sommige denken nu al dat App’s ontwikkelen het ICT gebeuren is. Automatiseren is een vak.
Is het de oude technologie die ons de kop kost, of de illusie dat we vanuit elke uithoek van de wereld bij onze privé en werkomgeving moeten kunnen, liefst zonder al te veel overhead?
De grote uitdaging is een goede balans te vinden wat technisch kan, wat werkbaar is en wat de risico’s zijn. Veel van de consumenten hebben niet eens meer een idee van wat er vandaag de dag mogelijk is. Zo stond mijn vrouw ervan te kijken dat de servicedesk van mijn TV-merk vanuit hun omgeving konden kijken welke firmware er op onze TV geïnstalleerd is.
Het is makkelijk om de techniek de schuld te geven, maar bewustwording bij de eindgebruikers mag zeker niet vergeten worden in mijn ogen.
“Security Awareness in je organisatie brengen betekent vaak een verandering van het gedrag van mensen. Dit bereik je niet door het personeel jaarlijks met een web-applicatie even 10 security-vraagjes te laten aanklikken.”
Zelfs iets dergelijks als dat laatste zie je zelden.
“Van alle security incidenten wordt 40% veroorzaakt door menselijk handelen.”
Ik beweer dat dat gewoon 100% is.
Zelfs in de toekomst, als je rondlopende, werkende humanoids hebt die securityfouten zullen maken, dan nog zo ik redeneren dat de schuld bij de ontwerper/programmeur/protocollen ligt.