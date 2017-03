"Good is the enemy of great", zeggen techbedrijven die iets revolutionairs in de markt proberen te zetten. Het idee is natuurlijk dat als een stukje hardware of software 'goed genoeg' is, het zich nooit zal onderscheiden als iets wat werkelijk vernieuwend is of iets met eeuwigheidswaarde. Kortom, als Steve Jobs genoegen had genomen met iets wat simpelweg voldeed, was de eerste iPhone een Windows Mobile-kloon geweest.

Pakketje schroot, dun laagje chroom

Ik denk daar vaak aan als een beveiliger iets presenteert over het omzeilen van een beveiligingsmaatregel. We weten allang dat menig techproduct basale beveiliging ontbeert en we zijn daar zo aan gewend geraakt, dat we het fatalistisch beginnen te benaderen. Dat merk ik bij mezelf, zie ik bij security-professionals, bij veel IT'ers, bij bewuste consumenten en zelfs de zeldzame politicus die deze problemen wel ziet. Alles is stuk, beveiliging is een illusie, privacy is dood, laten we het maar opgeven en deze realiteit accepteren.

Wat security betreft is het andersom: "perfect is the enemy of good". Het streven naar perfecte beveiliging gaat ten koste van goede beveiliging. Je ziet het al met patchbeleid, waar iets te vaak wordt gekeken naar de spannende gaten, de opvallende exploits en de gaten die zeer kritiek scoren. Dat terwijl in de praktijk juist de gaten met een lagere impactsscore worden belaagd. De reden daarvoor ligt voor de hand: in de race om kritieke kwetsbaarheden te dichten, verliezen 'gewone' lekken prioriteit en worden ze op termijn zelfs vergeten.

Imperfect, maar prima

Vorig jaar las je op diverse plekken berichten dat 2FA via SMS onveilig is. De aanleiding daarvoor was een advies van standaardeninstituut NIST om deze vorm van multifactor-authenticatie uit te faseren. Sms'jes kunnen worden onderschept met alles van IMSI-catchers tot malware op de smartphone en dus leveren ze niet de beveiliging die voor sommige toepassing wordt vereist. Dat klopt, maar het trieste feit is dat menig organisatie geen enkele vorm van 2FA toepast.

Ja, een gemotiveerde aanvaller omzeilt 2FA via SMS op tal van manieren, maar de gemiddelde aanval stuit op zo'n extra beveiligingslaag en breekt daarna af. Neem een voorbeeld aan de beruchte Sony-hack, waarbij aanvallers binnenkwamen omdat ze de inloggegevens van een werknemer hadden gephisht. Bij Yahoo precies hetzelfde verhaal. Met die credentials alleen zouden ze niet zijn binnengekomen als er ook nog 2FA werd toegepast en hadden ze op zoek moeten gaan naar een tweede aanval op bijvoorbeeld een smartphone.

Goed genoeg

Als je kijkt naar grote security-incidenten van de afgelopen jaren - Sony, Diginotar, Target, Ashley Madison, Yahoo, om er een paar te noemen - zie je dat het in de meeste gevallen niet gaat om complexe hacks, maar om het falen van basale beveiliging. Het toepassen van 2FA zou al veel ellende hebben voorkomen, vertrouwen op IT'ers die monitoren in plaats van geautomatiseerde tools zou schade hebben beperkt en configuraties waarbij simpelweg de standaardinstellingen zijn vervangen scheelt al een heleboel.

Honderd procent beveiliging bestaat niet, maar dat is geen reden om fatalistisch te zijn. Met kleine, inderdaad imperfecte stappen, zouden we onze wereld al sterk verbeteren. Kleine stappen als het gebruik van unieke wachtwoorden en het vermijden van standaardinstellingen zorgen ervoor dat de drempel voor gelegenheidsaanvallers wordt verhoogd en dat is al een groot goed. 'Goed genoeg' is in veel gevallen, nou ja, goed genoeg.