Informatiebeveiliging is morsdood
De tools die we gebruiken om onze netwerken te beveiligen blijken ineens waardeloos.
De tools die we gebruiken om onze netwerken te beveiligen blijken ineens waardeloos.
Informatiebeveiliging is morsdood
De tools die we gebruiken om onze netwerken te beveiligen blijken ineens waardeloos.
Elke dag komen er onthullingen naar buiten die maar weer eens aantonen dat overheden gigantische hoeveelheden data verzamelen over binnen- en buitenlandse burgers. Daartoe onderscheppen ze telefoongesprekken en internetcommunicatie en maken ze gebruik van backdoors in encryptiealgoritmen en man-in-the-middle aanvallen.
Waarschijnlijk zit de NSA zelfs achter de hacks van het Border Gateway Protocol (BGP) die soms plaatsvinden. Onlangs leerden we ook dat de NSA verschillende IT-leveranciers betaalt om backdoors te kunnen plaatsen.
NSA-hacks worden door leveranciers doodgezwegen
In alle persuitingen rond nieuwe besturingssystemen, nieuwe hardware, nieuwe processoren en doorbraken rond storage, networking en zelfs security is dit de grote roze olifant die niemand lijkt te zien.
We kunnen niet langer een hardwareapparaat of een softwareoplossing vertrouwen zonder de mogelijkheid de code regel voor regel te inspecteren. Van de code in ASICs tot de BIOS, het OS en de applicatie zelf: we moeten het zien om zeker te kunnen zijn van de beveiliging. Ieder greintje vertrouwen is weggenomen.
Wat is het doel van security eigenlijk? Bescherming tegen hackers is een antwoord, maar dat gevaar kun je vrij eenvoudig mitigeren. Firewalls, IDS-oplossingen en networkmonitoring stellen je in staat je netwerk goed te beschermen tegen scriptkiddies.
Beveiliging vroeger
Maar echte security ging verder. Het ging over het beveiligen van bedrijfsgegevens, intellectueel eigendom, handelsinformatie, plannen en strategieën. We beveiligden toegang op afstand door tweefactorauthenticatie in te bouwen. We kennen uitgebreide audits van data en netwerktoegang.
We zetten complexe regels op om gebruikers alleen toegang tot de data te laten hebben waarvoor ze toestemming hebben. Maar wat maakt dat allemaal uit als binnen- en buitenlandse inlichtingendiensten die data toch kunnen verkrijgen via backdoors in de tools die wij kopen om onszelf te beschermen?
Klanten worden besodemieterd
Als we een strikt nieuw securityplan implementeren, doen we dat omdat we de toegang tot gevoelige informatie willen verhinderen. Nergens in de documentatie van hard- en softwareleveranciers staat dat door implementatie van hun oplossing, we ook een externe partij toegang geven tot ons netwerk en dus onze data - toch is dit precies wat er gebeurt.
Waarom zouden we überhaupt nog moeite doen om verder te gaan dan plaatsing van een firewall en een IDS? Wat beschermen we eigenlijk? Als onze pogingen om onze netwerken en data af te sluiten het tegenovergestelde effect resulteren, lijkt er geen reden te zijn om voor deze aanvullende beveiliging te kiezen.
Dit is een gigantisch probleem. De securityindustrie kan bestaan dankzij vertrouwen. We vertrouwen de leverancier van onze firewall. We vertrouwen de certificaatautoriteit. En bovenal vertrouwen we onze encryptieleverancier.
Op de volgende pagina: Vroeger waarschuwden alleen complottheoretici hiervoor; nu is het algemene kennis.
Hardware zonder backdoors, encryptie ( customized ) goed kijken naar wat er beveiligd moet worden, en encryptie,encryptie,encryptie
Ook 100% Open Source biedt geen volledige garantie want moderne operating systems hebben allerlei legitieme datakanalen die voor spionagedoeleinden misbruikt kunnen worden (denk daarbij bijvoorbeeld aan hulp op afstand). Wanneer een veilheidsdienst door het vorderen van certificaten toegang krijgt tot zo'n datakanaal dan heeft ze bij wijze van spreken de hoofdsleutel tot de voordeur in handen en is het inbouwen van backdoors niet eens noodzakelijk. Die backdoors kun je opsporen met code audits maar wanneer een veiligheidsdienst een certificaat van een bedrijf vordert en dat bedrijft juridisch de mond snoert kun je dat onmogelijk aantonen.
Reageer
Preview