5 security-kwalen die ons pijn blijven doen

Security is een vak apart, zeker in de ict. Maar het blijft anno 2012 vaak een gedachte achteraf, als het kalf verdronken is. Erger nog is dat we veel security-fouten bjven maken, telkens weer.


Wachtwoordfalen
Wachtwoorden vormen een security-kwaal die zo oud is als de ict, maar die een steeds grotere impact heeft. Voor veel mensen moet dit trouwens 'het wachtwoord' zijn; enkelvoud. Want vanwege het toenemende aantal logins voor verschillende systemen en online-diensten lijkt het wel zo handig om maar overal hetzelfde wachtwoord te gebruiken. Zoals voor je webmail en voor een makkelijk te kraken webshop zoals Baby-Dump.

Over die laatste is nog onbekend of die de veelgemaakte basisfout heeft gemaakt van wachtwoordopslag in plain text. Veel websites doen dat nog altijd, ook na Lektober, waardoor de buit bij cyberinbraak gelijk binnen is. Hackers hoeven dan niet eens de moeite te doen om versleutelde wachtwoorden te kraken.

Het vorige week gehackte KPN blijkt uiteindelijk geen gebruikersgegevens te hebben gelekt, maar maakt weer eigen wachtwoordfouten. KPN-klanten melden Webwereld verontwaardigd dat zij na het netjes resetten van hun wachtwoord een onaangetekende brief van de telco kregen met daarin hun gebruikersnaam n hun wachtwoord. Gewoon leesbaar op papier. Auw!

Alles aan internet
Groot was de schrik in Nederland toen deze week op tv kwam dat onder andere rioleringspompen en gemalen van een Zeeuwse gemeente gemakkelijk via internet door Anonymous en alleman zijn te bedienen. De systemen voor die waterwerken hangen namelijk online; met elkaar en de hoofdcomputer verbonden. Deze zogeheten SCADA-systemen (supervisory control and data acquisition) zijn met een simpele internetscan te vinden en dankzij brakke beveiliging z te kapen.

Voor kenners is dit geen nieuwe kwaal. Dergelijke industrile beheersystemen staan al sinds 2010 op de radar van Webwereld. Met dank aan de geavanceerde multitrapsmalware Stuxnet, waarschijnlijk versie 2, hoewel SCADA-lekken natuurlijk jaren eerder al zijn ontdekt. Maar tegenwoordig hangen er steeds meer systemen aan internet, vaak zonder dat eigenaren of gebruikers daar goed weet van hebben. Dat erkent ook ons nationale overheidsbeveiligingsorgaan NCSC.

Het zijn namelijk echt niet alleen de kleine gemeenten of hun onderaannemers en bijvoorbeeld sporthallen die hierin fouten maken. Ook grote organisaties en bedrijven weten niet wat ze in huis hebben, waar ze mee bezig zijn, wat hun systemen doen, en wat er hoe aan internet hangt. Ook technisch expert TNO wordt erdoor verrast.

En grote SCADA-leverancier Siemens weet ook niet bepaald van wanten als het op security aankomt. Systemen staan standaard open voor beheer op afstand met een simpel en openlijk bekend wachtwoord. Bovendien is dat default wachtwoord door een bug automatisch en ongemerkt weer van toepassing als een gebruiker een ongeldig wachtwoord instelt. Zo'n gevaarlijke opstelling hoort niet, en hoort zeker niet aan internet te hangen. Auw!

Auto-update
Gelukkig heeft niet iedereen een SCADA-systeem. Maar iedereen heeft wel software, en in alle software worden gaten gevonden. Dus moeten er pleisters worden geplakt. Vanuit security-oogpunt is automatisch updaten een goede behandelmethode. Bijvoorbeeld voor een webbrowser of voor Adobe Flash. Vaak wordt er nog wel een onderscheid gemaakt tussen updates voor 'maar' eindgebruikerssoftware en voor serieuze zakelijke programmatuur. Eerstgenoemde kun je best blind auto-updaten, maar de tweede wil je toch eerst even testen.

In de praktijk blijkt dat weinig uit te maken. Enerzijds doordat de grenzen tussen werk en priv vervagen, anderzijds doordat testwerk niet heiligmakend is. Niet het testwerk door de fabrikant - van zowel consumenten- als bedrijfssoftware - en niet het testwerk door een eigen it-afdeling of dienstverlener. Zie de vele berichten over brakke updates van leveranciers als Apple en Microsoft, voor consumenten- n bedrijfssoftware. Inclusief security-software, die alarm kan slaan bij legitieme sites en zelfs heel Windows kan slopen.

Meehollen in de mallemolen van constant uitkomende nieuwe updates brengt dus ook risico's met zich mee. Zie ook het gloednieuwe kritieke gat dat exclusief is voor het gloednieuwe Firefox 10, dat wel heel snel is gedicht met een heel kleine patch. Dat doet haast denken dat dit met wat meer ontwikkeltijd en QA-tests te voorkomen was geweest.

Gelukkig dat Firefox zichzelf niet automatisch update, zodat niet alle Firefox-gebruikers gelijk kwetsbaar waren. Maar auto-update staat wel op stapel voor deze browser. Dat komt ergens in het tweede kwartaal van dit jaar. Gelukkig is er nog een uitwijkbrowser, die van Microsoft die dit auto-updaten afwijst. Oh nee, toch niet meer. Auw!

Antiek
Goed, auto-update valt dus niet te vertrouwen. Maar het absolute tegendeel ervan is weer een andere security-kwaal. Acht jaar lang niet bijgewerkte besturingssystemen zitten namelijk tsjokvol bekende gaten, die dus zo te benutten zijn. Dat heeft KPN vorige week op een pijnlijke manier ondervonden. Het bedrijf belooft nu maatregelen. Maar een topman introduceert die met een relativerende opmerking: "Vooropgesteld, de ontwikkelingen in onze sector gaan natuurlijk razendsnel."

Razendsnel? Klopt, al acht jaar lang. En het houdt maar niet op. Gelukkig erkent KPN dit ook. Na het excuus van de razendsnelle ict-ontwikkelingen vervolgt de topman: "Dat gezegd hebbende, door onderzoek in de afgelopen weken hebben we gezien dat het onderhoud aan internet-IT systemen niet steeds optimaal is geweest." Klopt, al acht jaar lang.

Overigens kan de zinsnede 'oude systemen' een relatief begrip zijn. Dat geldt voor bedrijven, maar ook zeker ook voor consumenten. Een pc die vr oktober 2009 is gekocht heeft daarop Windows Vista. Een besturingssysteem waarvan de consumentenuitvoeringen over krap anderhalve maand zou vervallen. Dus geen fixes meer krijgen voor zaken die niet, niet goed of niet meer werken, n ook geen patches meer krijgen voor security-gaten. Auw.

Gelukkig is Microsoft deze week ineens tot inkeer gekomen. Net nadat Webwereld ernaar is gaan vragen. Vast toeval, Microsoft had waarschijnlijk allang gepland dat het zijn klanten niet in de steek ging laten. Alleen heeft het dat tot anderhalve maand voor het uur U aan niemand laten weten. Auw!

Blind voor het verleden
Tot slot een klassieke kwaal die niet beperkt is tot de ict alleen. Deze geldt voor alle menselijke activiteiten: geen lering trekken uit het verleden. "Wie de geschiedenis vergeet, is gedoemd de fouten uit het verleden te herhalen", weet elke geschiedenisleraar zijn leerlingen te vertellen. Jammer dat die lessen niet in de ict worden gegeven, of niet worden onthouden.

De ict krijgt dankzij de 'razendsnelle ontwikkelingen' telkens nieuwe mogelijkheden, maar ook gaten. Tegelijkertijd zijn veel beveiligingsproblemen in de kern herhalingsoefeningen van fouten gemaakt in het verleden die ons in het heden en helaas ook de toekomst opnieuw achtervolgen. Daarom is het zo belangrijk om te onthouden n om dat geheugen ook echt toegankelijk te hebben. Jammer dat een nationaal beveiligingsorgaan dit niet zo ziet. Auw.

Het miskennen van het verleden gebeurt niet alleen op 'hoger', abstract niveau en bij grote ict-gebruikende organisaties en overheden. Het gebeurt ook in de hand van de consument, letterlijk. Kijk bijvoorbeeld eens naar de mobiele telefoon waarop erg veel kostbare data en loginggegevens samenkomen en aangemaakt worden.

In de kern is de mobiele telefoon, zeker in de vorm van een smartphone, een persoonlijke computer. Dat is een type systeem waarover we al jaren pijnlijke security-gezondheidslessen hebben geleerd. Zou je denken. Maar helaas worden ook hier fouten herhaald, zowel door de mobiele gebruikers met bijvoorbeeld hun wachtwoordhergebruik als door de mobiele makers.

Zie bijvoorbeeld een SSL-browserlek dat afluisteren van beveiligde verbindingen mogelijk maakt. Dat afluistergat viert binnenkort zijn tiende verjaardag, maar is vorig jaar opnieuw ontdekt in de iPhone van Apple. Maar de eerste daarvan is in 2007 uitgekomen, dus vijf jaar na de ontdekking van dat ingebakken lek. Inmiddels is dit gat gedicht, maar niet voor oudere iPhones. Apple-smartphones van vr juni 2009 (de lancering van de 3G S) komen niet in aanmerking voor de patch. Gebruikers van antieke ict (zie eerder in deze De 5) staan dus in de kou. Auw!