Elke dag komen er onthullingen naar buiten die maar weer eens aantonen dat overheden gigantische hoeveelheden data verzamelen over binnen- en buitenlandse burgers. Daartoe onderscheppen ze telefoongesprekken en internetcommunicatie en maken ze gebruik van backdoors in encryptiealgoritmen en man-in-the-middle aanvallen.
Waarschijnlijk zit de NSA zelfs achter de hacks van het Border Gateway Protocol (BGP) die soms plaatsvinden. Onlangs leerden we ook dat de NSA verschillende IT-leveranciers betaalt om backdoors te kunnen plaatsen.
NSA-hacks worden door leveranciers doodgezwegen
In alle persuitingen rond nieuwe besturingssystemen, nieuwe hardware, nieuwe processoren en doorbraken rond storage, networking en zelfs security is dit de grote roze olifant die niemand lijkt te zien.
We kunnen niet langer een hardwareapparaat of een softwareoplossing vertrouwen zonder de mogelijkheid de code regel voor regel te inspecteren. Van de code in ASICs tot de BIOS, het OS en de applicatie zelf: we moeten het zien om zeker te kunnen zijn van de beveiliging. Ieder greintje vertrouwen is weggenomen.
Wat is het doel van security eigenlijk? Bescherming tegen hackers is een antwoord, maar dat gevaar kun je vrij eenvoudig mitigeren. Firewalls, IDS-oplossingen en networkmonitoring stellen je in staat je netwerk goed te beschermen tegen scriptkiddies.
Beveiliging vroeger
Maar echte security ging verder. Het ging over het beveiligen van bedrijfsgegevens, intellectueel eigendom, handelsinformatie, plannen en strategieën. We beveiligden toegang op afstand door tweefactorauthenticatie in te bouwen. We kennen uitgebreide audits van data en netwerktoegang.
We zetten complexe regels op om gebruikers alleen toegang tot de data te laten hebben waarvoor ze toestemming hebben. Maar wat maakt dat allemaal uit als binnen- en buitenlandse inlichtingendiensten die data toch kunnen verkrijgen via backdoors in de tools die wij kopen om onszelf te beschermen?
Klanten worden besodemieterd
Als we een strikt nieuw securityplan implementeren, doen we dat omdat we de toegang tot gevoelige informatie willen verhinderen. Nergens in de documentatie van hard- en softwareleveranciers staat dat door implementatie van hun oplossing, we ook een externe partij toegang geven tot ons netwerk en dus onze data - toch is dit precies wat er gebeurt.
Waarom zouden we überhaupt nog moeite doen om verder te gaan dan plaatsing van een firewall en een IDS? Wat beschermen we eigenlijk? Als onze pogingen om onze netwerken en data af te sluiten het tegenovergestelde effect resulteren, lijkt er geen reden te zijn om voor deze aanvullende beveiliging te kiezen.
Dit is een gigantisch probleem. De securityindustrie kan bestaan dankzij vertrouwen. We vertrouwen de leverancier van onze firewall. We vertrouwen de certificaatautoriteit. En bovenal vertrouwen we onze encryptieleverancier.
Op de volgende pagina: Vroeger waarschuwden alleen complottheoretici hiervoor; nu is het algemene kennis.
We moeten onze leveranciers vertrouwen. We hebben geen keuze. We kunnen hun code niet zien en we kunnen niet onafhankelijk vaststellen of hun claims kloppen. We moeten ze op hun woord geloven dat de dienst of de software die ze leveren niet alleen veilig is, maar dat ze ook geen derden hebben toegestaan om via een backdoor alsnog ons netwerk binnen te dringen.
Tot voor kort uitten alleen complottheoretici deze beschuldigingen. We dachten allemaal dat het mogelijk zou zijn, maar we geloofden nooit dat het ook daadwerkelijk gebeurde. Nu weten we beter.
Onherstelbare vertrouwensbreuk
Nu kunnen we de leveranciers van commerciële, propriëtaire software niet meer vertrouwen - nooit meer. Geen enkel stukje hard- of software is geloofwaardig en daar zijn onze eigen overheden schuldig aan. Dit heeft de securitywereld op zijn kop gezet en het landschap permanent veranderd - op een huiveringwekkende manier.
Leveranciers kunnen dat vertrouwen nooit terugwinnen. De grootste klap was nog wel dat de RSA miljoenen dollars aannam om de NSA via een backdoor toegang te verlenen tot zijn securityproducten. Hoe bedrijven nog steeds zaken met RSA kunnen doen, stelt me voor een raadsel.
Vergis je niet, het gaat niet alleen om de RSA. Het gaat ook om certificaatautoriteiten en andere toezichthouders op internetsecurity. Nu steeds meer onthullingen naar buiten komen, lijkt het erop dat bijna iedere grote leverancier links of rechtsom betrokken is in dit schandaal.
Verraad van grote bedrijfsleveranciers
De lijst met NSA-exploits groeit met de dag en er zijn zelfs embedded backdoors in producten als Dells Poweredge servers op te vinden. Maar gelukkig maakt Dell excuses voor het ongemak, toch? De volledige lijst kent namen van bedrijven als Apple, HP, Cisco, Huawei, Juniper Networks, Maxtor, Microsoft, Seagate, Samsung en Western Digital.
Als je nu nog een Dell server draait, kun je nooit met zekerheid zeggen wat het BIOS van het apparaat doorsluist. Als jij zo'n machine hebt gekocht, aangesloten in je datacenter en gevoed met missiekritieke, gevoelige data omdat je Dell vertrouwde, kun je daar nu niet meer van op aan. Hetzelfde geldt voor de schijven in je servers en storage arrays of voor je routers en je firewalls. Gooi ze maar weg, want je kunt ze niet meer vertrouwen.
De enige uitweg: 100% open-source
Daar is dat woord weer: vertrouwen. Zoals ik blijf benadrukken dat het vertrouwen compleet verdwenen is, zal dit nooit kunnen terugkeren voordat we alles in de stack open-source maken, van de absolute top tot de absolute bodem. Als we hierin slagen, kunnen we weer na gaan denken over zaken als netwerkbeveiliging. Zolang het noodzakelijke niveau van openheid ontbreekt, heeft het geen zin. Het is een onbegonnen taak als de tools ontworpen zijn om je een loer te draaien.
Hardware zonder backdoors, encryptie ( customized ) goed kijken naar wat er beveiligd moet worden, en encryptie,encryptie,encryptie
Ook 100% Open Source biedt geen volledige garantie want moderne operating systems hebben allerlei legitieme datakanalen die voor spionagedoeleinden misbruikt kunnen worden (denk daarbij bijvoorbeeld aan hulp op afstand). Wanneer een veilheidsdienst door het vorderen van certificaten toegang krijgt tot zo'n datakanaal dan heeft ze bij wijze van spreken de hoofdsleutel tot de voordeur in handen en is het inbouwen van backdoors niet eens noodzakelijk. Die backdoors kun je opsporen met code audits maar wanneer een veiligheidsdienst een certificaat van een bedrijf vordert en dat bedrijft juridisch de mond snoert kun je dat onmogelijk aantonen.
Reageer
Preview