Ik vermoed dat de marketingdivisie van Microsoft – net als die van de VVD – momenteel op volle toeren draait nu een ontwerpfout in alle versies van Windows aan het licht is gekomen. Om een technische verhaal simpel te maken, ARP spoofing is als Mark Verheijen verkiezen en er achter komen dat je bedrogen bent omdat integriteit meer is dan je mooi voordoen. Zeggen wie je bent en dat niet bewijzen middels wederzijdse authenticatie zorgt dus voor problemen in het netwerk.
Voor alle duidelijkheid, als de oorzaak van Jasbug ligt in een zwakheid die al zijn 15-jarige lustrum gevierd heeft, dan is de stilte hierover bij NCSC oorverdovend. Het kan natuurlijk ook dat NCSC vorig jaar direct geïnformeerd is toen Microsoft op de hoogte werd gesteld van gevonden zwakheid en dus zijn eigen vrienden bevoordeeld. In dat geval is er sprake van: ‘All animals are equal, but some animals are more equal than others’ Want het euvel van usance met ‘responsible disclosure’ is dat de koopman zich voordoet als dominee. En dat zorgt voor een ‘unresponsible enclosure’ omdat organisaties net als onze minister vaak alleen maar camera’s bij de grens hebben opgehangen. Ze vertrouwen voor de digitale toegang teveel op de firewall zonder het netwerk te segmenteren en blijven hierbij onbetrouwbare protocollen gebruiken.
Maatschappelijk probleem
Wie nog authenticatie-mode van Windows 2003 gebruikt moet zich dan ook zorgen maken over hetRole-Based-Access-Control-systeem dat gebruikt wordt. Het oplossen van nu bekend geworden zwakheden omvat meer dan het aanbrengen van de twee uitgebrachte patches. De ontwerpfout van Microsoft biedt namelijk ‘man-in-the-middle’ aanvalsmogelijkheden die dieper liggen en niet eenvoudig op te lossen zijn. Microsoft veegt dan ook erg makkelijk zijn straatje schoon door te stellen dat het oplossen van gevonden bug voor Windows 2003 te grote architectuur wijzigingen vraagt. Want veel databases in back-office maken nog gebruik van een authenticatie op basis van een protocol uit de vorige eeuw, zoals NTLM.
Het gaat misschien wat ver om Jasbug een ‘millennium bug’ te noemen maar de gedachte komt wel bij me op omdat het niet alleen een patch is op Active Directory, maar dus ook een aanpassing op de protocollen. Een ‘educated guess’ is dat organisaties een flinke uitdaging hebben om alle spaghetti code die in Group Policy Objecten en scripts zit na te lopen. Veel oplossingen maken voor authenticatie en autorisatie namelijk gebruik van pre-Internet technologie en dus is dit werk dat niet meer uitgesteld kan worden om het ‘interconnected risk’ te mitigeren. De definitie voor de term ‘IT Debt’ is: De kwantificeerbare meting om onvolledige of uit te voeren it-projecten inzichtelijk te maken.
Vorig jaar nam één op de drie gemeenten geen stappen om Windows XP uit te faseren, terwijl van organisaties werd verwacht dat zij systemen waarop zich persoonsgevoelige informatie bevind up-to-date en beveiligd houden. Hetzelfde geldt voor bescherming van intellectueel eigendom of anderszins waardevolle informatie. Maar hoe compenseren we nu het verhoogde risico dat ontstaat als gevolg van een ‘Old Boys’ netwerk?
Trusthworthy Communication
Uiteraard kan er gekozen worden om weer door de pijn van patches en testen heen te gaan, maar met DigiNotar leerden we dat patches niet altijd aangebracht worden als hiermee functionaliteit verloren gaat. Nu Microsoft gestopt is met het Trusthworthy Computing initiatief wordt het hoog tijd om de aandacht te verleggen naar vertrouwde communicatie. Unisys Stealth in combinatie met een Triple A Framework lost bijvoorbeeld risico’s als gevolg van beperkingen met patchen op. De oplossing is gebaseerd op het Risk Accepted Access Control-principe met effectieve controles op (remote) network sessies. Dit door een secure parser tussen laag 2 en 3 van OSI model aan te brengen, wat de scheidslijn tussen fysieke link laag en logische verbinding is. De oude applicaties kunnen op deze manier dus ongewijzigd en veilig gebruikt blijven worden, waardoor de beheercapaciteit en responsetijden op gevonden zwakheden in het netwerk verlaagd worden.
In ‘Jip & Janneke’ taal betekent dit dat niet alleen de toegang aan de netwerkpoort verbeterd wordt door wederzijdse authenticatie, waardoor de met Stealth beveiligd endpoints onzichtbaar worden op het netwerk. En doordat ook de communicatie versleuteld wordt, verdwijnen ze dus in de digitale illegaliteit volgens Opstelten met zijn idee van ontsleutelplicht.
Geld investeren in dit soort noodoplossingen lijkt me geen goed beleid. Als je nog steeds een (MS)-systeem in de lucht houdt van 2003, dan heb je gefaald en als je leverancier van software de bottleneck is, heb je duidelijk een verkeerde gekozen.
Volgens mij zou dit een tijdstip moeten zijn waar het concept van de IT grondig bekeken wordt en te gaan zoeken naar een oplossing die meer betrouwbaar en toekomstzeker is.
Noodpleisters plakken rond een structureel probleem levert in de toekomst alleen maar grotere problemen.
In een nieuwe situatie kan Unisys Stealth natuurlijk ook ingezet worden, het is zeker een fatsoenlijk product.
Ik begrijp de redenatie en voorgestelde oplossingsrichting.
Maar toch – dit komt wel heel erg dicht in de buurt van een “wij-van-WC-eend” artikel.
@Ewout, ik snap dat je als Unisys-medewerker graag een Unisys Stealth-oplossing aandraagt en misschien is die ook wel goed, maar zijn er ook oplossingen die niet van jouw baas zijn? Ben het met Will Moonen eens met zijn “wij-van-WC-eend” opmerking.
@Ewout vermakelijk en interessant artikel !
@Wil Moonen, ik begrijp je opmerking maar het lijkt me logisch dat Ewout wat minder bekend is met soortgelijke producten van de concurrent.
Beside… met WC-eend krijg je wel degelijk een schone plee !
@Jan
Unisys Stealth is in te zetten voor oude en nieuwe oplossingen waardoor de investering beter rendeert door hergebruik. Gebruik ervan in de hier geschetste situatie koopt inderdaad vooral tijd omdat probleem niet alleen in W2003 zit zoals ik probeerde uit te leggen aangaande de protocollen.
Let even op definitie ‘IT-debt’ als we overwegen dat we stap-voor-stap naar IPv6 migreren omdat business de waarde ervan niet ziet, netwerk is voor meeste een abstractie wat er gewoon is. Hoe dit precies werkt vinden meesten niet interessant en over integriteit ervan maakt al helemaal niemand zich zorgen.
@Will
Dat je redenantie en oplossingsrichting begrijpt is al winst, het is misschien wat productgericht ingevuld maar de vraag die ik stel is hoe we het verhoogde risico als gevolg van aanwezigheid (en acceptatie?) van kwetsbaarheden in infrastructuur compenseren?
De hier gegeven oplossingrichting geeft een verbeterde toegangs- en beschikbaarheidsprocedures voor het netwerkverkeer, inclusief controle. Het is makkelijk om met ‘WC-eend’ argument te komen om nog eens 15 jaar niets te doen door een exclusief contract met Microsoft af te sluiten.
Neem me niet kwalijk dat ik Unisys Stealth als kapstok gebruik, toegang tot technische details van eigen producten is nu eenmaal makkelijker als we kijken naar fenomeen van ‘responsible disclosure’. Als we het over eenden gaan hebben lijkt in dit geval term ‘sitting duck’ me toepasselijker.
Zoals ik al zei richting Jan is tijd dus geld, vertrouwen komt dan ook te voet en gaat ter paard. Doel van deze opinie is vooral gericht op bewustwording en daarom gebruik ik metaforen. Het is namelijk opmerkelijk dat we wel camera’s ophangen boven autowegen maar de digitale snelweg vrijwel ongecontroleerd laten.
@Ewout:
In mijn beleving ligt de kern van het probleem op een heel ander vlak. Waarbij de inzet van Stealth-achtige producten niet meer is als een vorm van symptoom bestrijding.
In de meeste bedrijven wordt 80% van de opbrengst gegeneerd met 20% van de IT middelen. Je moet dan al van heel goede huize komen wil je die bedrijven zover krijgen dat ze die 20% vervangen – als is het maar gedeeltelijk. Ook al omdat bedrijfskritische systemen gekocht worden met een verwachte levenstermijn van 10-15 jaar.
Om dat vraagstuk op te lossen is het zaak de complexiteitsfactor drastisch terug te brengen zodat vervanging sterk vereenvoudigd wordt en dus nauwelijks meer een risico is. Die complexiteitsfactor speelt zowel op applicatie als op infrastructuur nivo.
De inzet van Stealth-achtige producten in het netwerk deel van die infrastructuur gaat niet helpen. Enerzijds omdat zoiets de complexiteit alleen maar doet toenemen; anderzijds omdat er een gevoel van schijnveiligheid ontstaat. Samen zorgen ze er voor dat er opnieuw 10-15 jaar niks gebeurd (i.e. alsnog een sitting-duck situatie?)… er is immers net stevig geïnvesteerd in een nieuw, bedrijfskritisch product…
🙂
@Will
Puntjes verbindend, plaatjes kleurend en het verhaaltje afmakend denk ik dus dat jij van ‘WC-eend’ bent als ik je eerdere schrijven er even bij pak over TCP/IP fingerprinting:
https://www.computable.nl/artikel/opinie/management/5152862/2379250/hoe-grip-te-houden-op-een-itlandschap.html
Informatieketens blijven kwetsbaar voor technieken als ‘eavesdropping’ middels bijvoorbeeld Deep Packet Inspection als je 15-jaar oude applicatiecode virtualiseert. Waar ik het dus over heb is kwetsbaarheid in koppelvlakken welke juist zo complex zijn geworden de door ‘lasagna-architecturen’ van laagjes.
Ik heb het over touwtje beveiligen dat tussen de blikjes zit, je 80/20 opmerking is aantoonbaar onjuist als ik overweeg dat ‘disruptive innovation’ van Internet om communicatie gaat. Als je dit onveilig doet door openlijk in de trein de gastactiek te gaan bespreken dan levert dat meer schade dan winst op.
Sorry Will maar je klinkt als de gemiddelde politicus waardoor er soms flink geïnvesteerd wordt in infrastructuur zonder onderhoudsafdeling te raadplegen zoals bleek bij FYRA project, belevingswereld van sommigen is gewoon wonderland.
Het meest bedrijfskritische product blijft vertrouwen, wie dat verliest kan nog zoveel complexiteit met elkaar vermenigvuldigen maar zal uiteindelijk telkens op nul uitkomen.
Beste Ewout,
Mijn reactie was niet meer dan een poging om een lans te breken voor de afbouw van iets wat jij omschrijft als “lasagna-architecturen”!
Het aangehaalde 80/20 voorbeeld was niet meer dan een stukje achtergrond informatie over de business drivers achter die lasagna-architecturen!
Dat bedrijven Stealth-achtige producten inzetten omdat ze een firewall per server en per applicatie niet vertrouwenwekkend genoeg vinden is ook prima!
Maar als je van mening bent dat de applicatie en het OS in de basis al niet veilig en vertrouwenwekkend is vanwege die lasagna-architecturen en het gebruik van out-dated technologie, dan is de inzet van Stealth-achtige producten toch niet te zien als een structurele oplossing? Want dat is in zekere zin wel wat je impliceert met je artikel!
Allez – tis te zeggen – in je artikel bezig je termen als “millenium bug”, “spaghetti code”, “verhoogd risico met Windows XP” en een “Old Boys” netwerk. Met die terminologie heb ik aangenomen dat je applicaties en infrastructuren die gebruik maken van Windows XP en Windows 2003 niet beschouwd als een veilige gebruikersomgeving.
Maar als ik dat niet-structurele karakter van je oplossingsrichting dan expliciet benoem in een reactie, dan ben ik ineens een (blonde?) “gemiddelde politicus” die niet weet waar die het over heeft? Tsss… meten met twee maten…
@Will
Gezien het veelvuldige gebruik van uitroeptekens bekruipt mij het gevoel dat de laatste reactie is geschreven door Reza;-)
Waar jij het over hebt is de economisch aangestuurde ICT, eerder effectief dan efficiënt als ik overweeg dat nog geen 1% van de organisaties levensduur van technische componenten koppelt aan de service. Een hiaat in het contractmanagement dat zorgt voor het ontstaan van legacy.
Als je werkelijk geïnteresseerd bent in de problematiek dan kan ik het uittekenen voor je op een ‘whiteboard’ omdat tussen applicatie en data link dus nog wat lagen zitten. En nu organisaties steeds vaker middels laagste laag gekoppeld worden denk ik inderdaad dat de firewall ontoereikend is.
Idee van structurele oplossing is jouw aanname, een fata morgana van ontzorgen als het om de beveiliging van informatie gaat heb ik namelijk nimmer geschetst. Enige dat ik gedaan heb is een metafoor trekken naar politici die denken dat meer opleiding gebrek aan werk kan compenseren als we het over cybersecurity gaan hebben.
@ICT-er
Zoals ik al uitlegde heb ik wat meer inzicht in eigen producten, er zullen vast nog meer wegen naar Rome leiden. Want uiteraard staat het iedereen vrij om in plaats van ‘cuisine de l’assemblage’ waar ik over schrijf te kiezen voor ‘haute cuisine’ maar tijd is geld in dit geval zoals naar mijn opinie ook twee andere artikelen concluderen die min of meer over hetzelfde onderwerp gaan:
1. Opinie van Jack Niessen die ook over protocollen gaat.
2. Rapport van KPMG dat over een effectief framework gaat.