Ik vermoed dat de marketingdivisie van Microsoft – net als die van de VVD – momenteel op volle toeren draait nu een ontwerpfout in alle versies van Windows aan het licht is gekomen. Om een technische verhaal simpel te maken, ARP spoofing is als Mark Verheijen verkiezen en er achter komen dat je bedrogen bent omdat integriteit meer is dan je mooi voordoen. Zeggen wie je bent en dat niet bewijzen middels wederzijdse authenticatie zorgt dus voor problemen in het netwerk.
Voor alle duidelijkheid, als de oorzaak van Jasbug ligt in een zwakheid die al zijn 15-jarige lustrum gevierd heeft, dan is de stilte hierover bij NCSC oorverdovend. Het kan natuurlijk ook dat NCSC vorig jaar direct geïnformeerd is toen Microsoft op de hoogte werd gesteld van gevonden zwakheid en dus zijn eigen vrienden bevoordeeld. In dat geval is er sprake van: ‘All animals are equal, but some animals are more equal than others’ Want het euvel van usance met ‘responsible disclosure’ is dat de koopman zich voordoet als dominee. En dat zorgt voor een ‘unresponsible enclosure’ omdat organisaties net als onze minister vaak alleen maar camera’s bij de grens hebben opgehangen. Ze vertrouwen voor de digitale toegang teveel op de firewall zonder het netwerk te segmenteren en blijven hierbij onbetrouwbare protocollen gebruiken.
Maatschappelijk probleem
Wie nog authenticatie-mode van Windows 2003 gebruikt moet zich dan ook zorgen maken over hetRole-Based-Access-Control-systeem dat gebruikt wordt. Het oplossen van nu bekend geworden zwakheden omvat meer dan het aanbrengen van de twee uitgebrachte patches. De ontwerpfout van Microsoft biedt namelijk ‘man-in-the-middle’ aanvalsmogelijkheden die dieper liggen en niet eenvoudig op te lossen zijn. Microsoft veegt dan ook erg makkelijk zijn straatje schoon door te stellen dat het oplossen van gevonden bug voor Windows 2003 te grote architectuur wijzigingen vraagt. Want veel databases in back-office maken nog gebruik van een authenticatie op basis van een protocol uit de vorige eeuw, zoals NTLM.
Het gaat misschien wat ver om Jasbug een ‘millennium bug’ te noemen maar de gedachte komt wel bij me op omdat het niet alleen een patch is op Active Directory, maar dus ook een aanpassing op de protocollen. Een ‘educated guess’ is dat organisaties een flinke uitdaging hebben om alle spaghetti code die in Group Policy Objecten en scripts zit na te lopen. Veel oplossingen maken voor authenticatie en autorisatie namelijk gebruik van pre-Internet technologie en dus is dit werk dat niet meer uitgesteld kan worden om het ‘interconnected risk’ te mitigeren. De definitie voor de term ‘IT Debt’ is: De kwantificeerbare meting om onvolledige of uit te voeren it-projecten inzichtelijk te maken.
Vorig jaar nam één op de drie gemeenten geen stappen om Windows XP uit te faseren, terwijl van organisaties werd verwacht dat zij systemen waarop zich persoonsgevoelige informatie bevind up-to-date en beveiligd houden. Hetzelfde geldt voor bescherming van intellectueel eigendom of anderszins waardevolle informatie. Maar hoe compenseren we nu het verhoogde risico dat ontstaat als gevolg van een ‘Old Boys’ netwerk?
Trusthworthy Communication
Uiteraard kan er gekozen worden om weer door de pijn van patches en testen heen te gaan, maar met DigiNotar leerden we dat patches niet altijd aangebracht worden als hiermee functionaliteit verloren gaat. Nu Microsoft gestopt is met het Trusthworthy Computing initiatief wordt het hoog tijd om de aandacht te verleggen naar vertrouwde communicatie. Unisys Stealth in combinatie met een Triple A Framework lost bijvoorbeeld risico’s als gevolg van beperkingen met patchen op. De oplossing is gebaseerd op het Risk Accepted Access Control-principe met effectieve controles op (remote) network sessies. Dit door een secure parser tussen laag 2 en 3 van OSI model aan te brengen, wat de scheidslijn tussen fysieke link laag en logische verbinding is. De oude applicaties kunnen op deze manier dus ongewijzigd en veilig gebruikt blijven worden, waardoor de beheercapaciteit en responsetijden op gevonden zwakheden in het netwerk verlaagd worden.
In ‘Jip & Janneke’ taal betekent dit dat niet alleen de toegang aan de netwerkpoort verbeterd wordt door wederzijdse authenticatie, waardoor de met Stealth beveiligd endpoints onzichtbaar worden op het netwerk. En doordat ook de communicatie versleuteld wordt, verdwijnen ze dus in de digitale illegaliteit volgens Opstelten met zijn idee van ontsleutelplicht.
@Ewout:
Uiteraard slaat dit aspect op de economische kant van IT. Immers, elk IT vraagstuk heeft minimaal 2 kanten: technologie en economie. De combinatie gaat door het leven als de “business case”… 😉
Vrij vertaalt naar het eerder aangehaalde OSI model hebben we het hier over laag 8 (geloof), 9 (politiek) en 10 (geld). Ik realiseer me wel degelijk dat daarbinnen lang niet altijd de meest handige keuzes gemaakt worden doordat politiek en zeker geld vaak een groter gewicht in de schaal leggen dan de overige 8 lagen.
Maar hoe dan ook, ik heb er wel mee te dealen. Al was het maar omdat ik lang niet altijd in een positie zit dat ik die besluitvorming kan beïnvloeden… laat staan dat het balletje uiteindelijk de goede(?) kant op rolt… 🙂
Verder heb ik inderdaad serieus interesse in de (technische?) details achter de geschetste problematiek en oplossingsrichting. Dus ja, ik zou graag gebruik maken van je aanbod om een uurtje te whiteboarden. Heb je volgende week woensdag (18-3) of vrijdag (20-3) nog ergens ruimte?
Ik ben me er niet van bewust ergens de stelling te hebben neergelegd dat er geen aanvullende maatregelen nodig zijn. Sterker nog, zelfs als een gegeven applicatie- en infrastructuur landschap eenvoudig in elkaar steekt en volledig up-to-date is, dan blijven die maatregelen nodig. De eenvoud en het up-to-date zijn maakt dat het minder risicovol is om te moderniseren.
In het kader van modernisering zie ik een belangrijke rol weggelegd voor technologie bedrijven in de vorm van input voor opleidingsprogramma’s. Niet zozeer als een vervanging van werk maar meer als een vorm van bewustwording en (on)mogelijkheden – zeker in de wereld van cybersecurity.
🙂
@Will
De business-case gaat bijna nooit over cybersecurity. Zal kijken wat ik op korte termijn kan doen, zit momenteel in het buitenland maar denk dat woensdag of anders vrijdag wel gaat lukken. Mogelijk dat er nog meer nieuwsgierigen zijn?
Als een bonnetje een bonnetje een bonnetje
Een bonnetje dat niemand vind.
Met een recuutje onder een parapluutje
Zo’n hele dikke vette bon bon bon
Als een bonnetje een bonnetje een bonnetje
En Ivo weet waar ie aan begint
Een heel mooi reisje, naar de zon
Zonder die hele dikke vette veel grote dure
Bon, Bon, Bon
Met dank aan Toon voor de melodie.
@Pascal
Titel was een fonetische woordgrap die door politieke realiteit misschien nog een beetje grappiger wordt, de communicatie van Opstelten was namelijk altijd al cryptisch;-)
@Ewout in één woord een geweldig stuk opinie!
Technisch inhoudelijk en vermakelijk vooral door de woordspelingen…
Ook dank aan de respondenten… 🙂
“secure parser tussen laag 2 en 3 van OSI model”… hmm hoe performt dat in de hedendaagse throughput eisen waar 10Gbit commodity begint te worden… als het functioneert tussen laag 2 en 3 dan trek je veel verkeer naar je routinglaag lijkt me en dat is lang niet altijd wenselijk. Ik kan me ook nog wel andere nadelen voorstellen zoals mixed omgevingen waar je wil monitoren op basis van management protocollen enz.
Maar Ewout, ondanks het verwijt van sommigen dat het een WC eend artikel is ben ik best geïnteresseerd naar een link van de volledige productbeschrijving.
@Victoire22
Vanochtend uitleg en demonstratie van Stealth aan Will gegeven en daarin kwamen ook verschillende use cases in naar voren. Dat er een penalty is zal duidelijk zijn als je gebruik maakt van bit-splitting en encryptie maar belastingen zijn uiteindelik vooral afhankelijk van de wijze van inzet.
http://www.unisys.nl/offerings/security-solutions/unisys-stealth
Vraag aangaande mixed omgevingen kwam te sprake en ook hier moet ik dus antwoorden dat dit afhankelijk is van wat je wilt bereiken want het is niet handig is om investeringen in beveiliging te verzwakken. Beste om dit dus via een ‘whiteboard’ sessie uit te leggen;-)
@Will,
Als founder en architect van het gepatenteerde Triple A concept is er een ding wat niet het geval is en dat is symptoombestrijding. De fundering van Accepted Access controlled Audit is namelijk dat de beperkingen van “ouderwetse” technieken zoals vpn`s en andere vorm van tunnelling wel degelijk inzichtbaar worden gemaakt. Tevens is het delen van wachtwoorden niet meer nodig en hebben we de zones gereengineerd.
Dat iemand security en goed product in het voetlicht stelt omdat er business value uit ontstaat ( transparent toegang voor de business users , en de it afdeling in control ) kan iemand geen wc eend noemen.
Het zou iets anders zijn als dit gestoeld was op product bashing en zou graag het alternatief oproepen wat bovenstaande beperkingen ( geen SSO, tunnels en end point protectie wat grilling is en zo secure als de next zero day). Als ik nu vraag hoeveel remote access connecties heb je , wie heeft er remote access, welk device gebruiken ze, waarvandaan, op welke assets zitten ze, met welke permissies en belangrijker welke permisies hebben ze , is het non generiek account of generiek account en welke containment middelen zijn er toegepast ?
En dan de hamvraag wat is precies veranderd dan denk ik dat je met veel moeite de eerste 10 kan beantwoorden .
Buiten kostbaar ( expertise en tijd) dat je even bezig bent om uit alle devices een correlatie te maken over diverse disciplines heen . Ewout zit dan allang aan cocktail heeft deze informatie direct beschikbaar…
Dus itt tot wat je beweert, misschien eerst de feiten bekijken en dan repliek geven.
Bonus wij kunnen ook aantonen WAT er veranderd is , unique feature van ons framework..
Groet
Peter Rus