Blog

Gebruikers zijn niet om te lachen

7x Aanbevolen

Gepubliceerd:17-03-2010 om 14:10 Auteur:Kenneth van Wyk

In de IT zijn we geneigd te lachen om onze hulpeloze gebruikers, of ons te ergeren aan de manier waarop ze in zeven sloten tegelijk lopen. Als we ooit iets willen bereiken, zal die instelling moeten veranderen.

Afgelopen maand heb ik (opnieuw) Windows moeten installeren bij een vriend, en ik krijg die ervaring maar niet uit mijn hoofd. Ik heb het sterke gevoel dat we nog eens goed moeten kijken hoe we op veiligheidsgebied de gebruikers in de kou hebben laten staan. Het zou toch niet nodig moeten zijn dat gebruikers een beveiligingsexpert moeten inschakelen om veilig een computer te kunnen gebruiken?

Toch lijkt dat wel de boodschap die we uitdragen. “Je had beter moeten weten dan op dat linkje te klikken,” zeggen we dan. “Waarom ga je er zomaar vanuit dat dat mailtje echt van je moeder kwam?” We kunnen onze minachting niet verbergen als we zien hoe gebruikers keer op keer in oude trucjes trappen. Maar wat doen we nou eigenlijk om die mensen te helpen?

Het lijkt me gezond eerst eens op een rijtje te zetten wat voor misvattingen er allemaal heersen over veiligheid rond email en websites. Denk aan dit soort zaken:

Als een email er authentiek uitziet, is het veilig. Het lijkt wel alsof we echt denken dat ieder gebruiker zo murw gebeukt is als wij zelf. Tenslotte is spam, phishing en al die andere ellende niet bepaald iets van de laatste jaren, of wel? Wij IT-ers kijken er niet van op als aanvallen eruit zien als volkomen legitieme emails. Wij gaan ervan uit dat misleiding in cyberspace net zo vaak voorkomt als in de natuur. Maar we moeten niet vergeten dat het ingebakken wantrouwen dat ons in ons beroep zo goed beschermt, niet op dezelfde manier leeft onder onze gebruikers. We verbazen ons elke keer weer over de manier waarop onze goedbedoelende gebruikers reageren op zo’n aanval – we lachen er zelfs om. En toch, als je eerlijk bent: als een van je familieleden afgelopen week gereageerd heeft op een van de vele phishing-mailtjes die op dit moment de ronde doen, was dat dan echt zo fout? Hij of zij reageert op een bericht dat er in zijn of haar ogen betrouwbaar uitziet, afkomstig van een partij waar ze vaak inderdaad ook echt zaken mee doen…
Dit mailtje komt van iemand die ik ken, dus dat kan ik vertrouwen. Ook hier staan wij beveiligingsexperts er weer versteld van dat iemand niet lijkt te beseffen dat spammers en andere mail-misbruikers al jarenlang hun aanvallen verzenden vanaf vervalste adressen. Wij begrijpen de technieken en mechanismen die de booswichten ter beschikking staan, en die ze kunnen gebruiken om zich als onze vrienden voor te doen. Natuurlijk begrijpen zelfs mijn vrienden en familie met minder computerkennis dat ik ze niet via de mail illegale partijen Viagra probeer aan te smeren, maar soms vallen de zender en de boodschap mooi samen, en dan kan het zomaar fout gaan. “Maar hoe kan zo’n mailtje nou niet van Tante Loes zijn?” vragen ze zich dan af. En dan leg ik weer uit dat bij email, net als bij de gewone post, de vermelde afzender heel eenvoudig kan worden aangepast aan de wensen van de werkelijke afzender.
Als een vriend op Facebook of Hyves of Twitter een link post, dan is dat veilig. Nu dat soort sociale gemeenschappen steeds populairder wordt, groeit ook de groep fans in de misbruik-categorie. Dat zijn dezelfde mensen die al vele jaren spam en andere troep via de mail versturen, en nu richten ze zich op onze sociale netwerken. Met behulp van allerlei web-applicatie-aanvallen zoals cross-site scripting (XSS) kunnen berichten worden geplaatst die eruit zien alsof ze van je vrienden afkomstig zijn. Het is niet zo, maar het ziet er wel zo uit. (Zie je de trend? Misleiding werkt.)
Zolang ik een bericht alleen maar bekijk, zonder op attachments of links te klikken, ben ik veilig. Zelfs de meest naïeve gebruikers ruiken onraad bij de meer bizarre berichten, maar ze denken dat het geen kwaad kan er even naar te kijken, gewoon om het zeker te weten. En dat terwijl er allerlei manieren zijn waarop een aanvaller aanvallen kan uitvoeren per email zonder dat het slachtoffer daarvoor op een link hoeft te klikken (denk aan HTML IMG of IFRAME tags, gecombineerd met XSS op een kwetsbare website). Bij veel van die technieken loop je evenveel gevaar door er alleen maar naar te kijken dan wanneer je rechtstreeks op een executable klikt. Maar ik moet het toch weer vragen: waarom verwachten we van onze gebruikers dat ze dat weten?
Als ik naar een bepaalde URL ga, maar ik doe daar verder niets, dan ben ik veilig. Wat kan er nou fout gaan als je alleen maar een link volgt, maar verder niks doet op de site die zich dan opent? Nou, heel veel dus – maar kun je het gebruikers echt kwalijk nemen dat ze op die manier redeneren?
Als ik in mijn browser een gesloten slotje zie staan, is de website veilig. We vertellen onze gebruikers al jaren dat ze SSL moeten gebruiken, toch? En nou gaan we beweren dat een met SSL versleutelde site niet noodzakelijkerwijs veilig of betrouwbaar is? Natuurlijk doen we dat. Maar denk eens aan de boodschap die je daarmee naar je gebruikers stuurt.

Geen van alle bovenstaande gebruikersacties is onredelijk, vanuit hun perspectief bezien. Wij techneuten doen er goed aan te beseffen dat zelfs de gebruikers die echt hun best doen van tijd tot tijd een van bovenstaande fouten zullen maken, zonder dat ze het zelf doorhebben. En dat doen ze niet omdat ze stom zijn, maar omdat ze gewoon niet hetzelfde technische inzicht hebben als wij. En dat zou ook niet nodig moeten zijn!

Dit is waar de beveiligingsindustrie het heeft laten liggen. Jarenlang hebben we geprobeerd de aanvallen van de bovenbeschreven soort te voorkomen door onze gebruikers simpelweg te vertellen dat ze gewoon geen “domme” dingen moeten doen, zoals op linkjes klikken. We slaan ons voor onze kop als ze het toch doen, en leggen de schuld bij hun onnozelheid. We doen net alsof we hoogst verbaasd en verontwaardigd zijn dat ze al die artikelen over phishing, malware en XSS niet hebben gelezen.

OK – ik weet dat we wel wat meer hebben gedaan dan dat. We hebben ze ook gedwongen antivirus software te installeren, en firewalls, en malware en spyware detectie en zo voorts. Maar laten we wel wezen: die producten (en zeker die van het type dat leunt op signature detectie) hebben in al die jaren nauwelijks weten te voorkomen dat we keer op keer nieuwe aanvallen te verwerken krijgen.

Begrijp me niet verkeerd: ik zeg niet dat er een simpele oplossing is voor deze ellende. De problemen zijn hardnekkig, en kunnen niet eenvoudig worden opgelost. Maar er moet iets gebeuren. Onze systemen, van de kern van hun besturingssystemen tot de email clients en de webbrowsers, moeten zo worden opgebouwd dat ze gebruikers veilig hun ding laten doen, zonder dat ze iedere keer onderuit gaan als een gebruiker eens iets “fout” doet. In zijn algemeenheid is op dat soort zaken niet fatsoenlijk geanticipeerd in onze mainstream systemen.

Kenneth van Wyk heeft 20 jaar ervaring in de information security, onder meer bij CERT/CC en het Amerikaanse Department of Defense.