BLOG – Vroeger ontvoerden criminelen vermogende mannen voor losgeld, nu worden data op computers gegijzeld. Het zijn dezelfde principes, gestoken in een nieuw jasje. Oplichting, spionage, gijzelingen; de digitale wereld neemt dezelfde slechte gewoontes over van het analoge leven. Dat komt omdat we dezelfde principes hebben in de digitale wereld als in de analoge. Een van de belangrijkste principes in het security-vak is dan ook het scheiden van data met logica.
Ter verduidelijking, het verhaal van Joe Engressia die in 1957 werd geboren in Amerika. Deze blinde en zeer intelligente jongen weet op zevenjarige leeftijd het Amerikaanse telefoonnetwerk te kraken. Hij komt erachter dat als je de telefoontonen nabootst (phone phreaking) de telefoonmaatschappij afgesloten wordt van het gesprek. Zo kon telefoondata niet worden getraceerd en kon Joe zonder te betalen met iedereen ter wereld bellen. John Draper, ook wel bekend als Captain Crunch, werd later met eenzelfde soort hack wereldberoemd. Hij kraakte het telefoonnetwerk met een simpel speelgoedfluitje dat destijds cadeau werd gedaan bij een pak cornflakes. Saillant detail is dat twee, toen nog onbekende mannen Steve Jobs en Steve Wozniak, een zogeheten blue box ontwikkelden en verkochten, voortbordurend op Joe’s ontdekking: een apparaat dat een fluittoon van 2.600 hertz produceert. Daarmee werd het bereik van de hack nog verder uitgebreid.
John Draper kraakte het telefoonnetwerk met een simpel speelgoedfluitje
Uiteindelijk wisten de telefoonnetwerken de hackers te slim af te zijn door data en logica van elkaar te scheiden. Simpel gezegd: door twee lijnen die beide centrales met elkaar verbinden. Daarbij werden de data (het telefoongesprek, met daarbij alle geluiden die vanaf beide eindgebruikers over de lijn werd gestuurd) afgesloten van de logica (de tonen waarmee verbinding wordt gemaakt). Zo werd het onmogelijk gemaakt om telefoonnetwerken te hacken. Althans, op deze manier. Dit principe is ook in de moderne tijd het antwoord op het tegengaan van hacks. Denk aan SQL-injecties. Daarmee kunnen hackers met een bepaalde logica (data) vrij eenvoudig bij gevoelige data uit een database komen. Als de logica wordt losgetrokken van de invoerdata, waar hackers dus invloed op hebben, maak je ze het lastiger om schade toe te brengen.
Omzeilen
Systemen kunnen geen onderscheid maken tussen wat data is en wat logica. Een tool of de techniek kan niet uit de voeten met context, mensen juist wel. Hackers zullen daarom altijd op zoek gaan naar een manier om het vooraf bedachte proces te omzeilen, niet alleen op technisch vlak, maar zeker ook in de logica. Een mooi voorbeeld hiervan is het lekken van de Miljoenennota in 2012. Het lek ontstond doordat iemand simpelweg experimenteerde met het aanpassen van de link waar de miljoenennota’s al jaren op te vinden waren naar het huidige jaartal. En ja hoor, de Miljoenennota stond al in concept klaar om gepubliceerd te worden. Het gedachtegoed van de pas overleden Kevin Mitnick blijft met andere woorden nog steeds relevant: het gaat bij hacken niet alleen om bits & bytes. Ook middels andere technieken zoals social engineering en logisch nadenken, krijg je toegang tot computersystemen.
Dat het belangrijk is om data en logica van elkaar te scheiden is evident. Belangrijk daarbij is om de software altijd functioneel te testen op mogelijke zwaktes. Het is raadzaam dit minstens een keer per jaar te doen en ook bij major releases. Het liefst doe je dat modulair, vooraf, en by design, maar vooral met oudere systemen is dat niet meer mogelijk. Het goede nieuws is wel dat dit soort zwaktes vaak wel goed achteraf nog zijn te herstellen. De oude principes die golden voor Engressia, Draper en Mitnick zijn in het huidige securitylandschap nog steeds relevant.
Sterker, houd ze dagelijks in het achterhoofd bij alles wat je doet. Het zijn de grondbeginselen van alle vakinhoudelijke beslissingen die je maakt.
Wouter van Rooij is global it security Director bij Leaseweb
