'De security-zeepbel is gebarsten'

Eindelijk weet de wereld wat security-experts al jaren weten: alles en iedereen valt te hacken. "De security-zeepbel is gebarsten" en wat we jarenlang hebben gedaan, werkt niet.

Security-onderzoeker Dan Kaminksy, bekend van het grote gat in internetbasisprotocol DNS, is blij dat mensen beseffen eindelijk beseffen dat geen enkel netwerk immuun is voor cyberaanvallen. Dat betekent, zegt hij tegen techmagazine Wired, dat de security-industrie en haar klanten eindelijk de pijnlijke waarheid kunnen accepteren dat wat ze jarenlang hebben gedaan niet werkt.

Zinloos theater
Kaminsky legt uit dat er een enorm convervatieve houding heerst in de beveiligingswereld. "Doe wat iedereen ook doet, of het nou werkt of niet", schetst hij dit security-theater. "Het gaat niet om overleven, het gaat om kunnen claimen dat je je best (due diligence) hebt gedaan." Hij vertelt dat dat goed is als je een baan probeert te behouden, maar dat het funest is voor het oplossen van een technisch probleem. Zoals dus het beveiligen van it-systemen en netwerken.

Het probleem is dat niemand weet hoe je een netwerk echt veilig maakt, aldus Kaminsky. En dat ligt niet aan gebrek aan inzet. "Er is geen voor de hand liggend antwoord, dat we toevallig niet doen omdat we lui zijn." Het simpelweg installeren van firewalls en inbraakdetectiesystemen (intrusion detection systems, IDS) en het uptodate houden van antivirusdefinities is niet meer afdoende.

Onwetendheid
Deze traditionele middelen schieten tekort mede omdat de meeste bedrijven pas beseffen dat ze zijn gehackt als een buitenstaander het ze vertelt. "Als iemand op straat op je afloopt en je slaat met een loden pijp, weet je dat je op je hoofd bent geslagen met een loden pijp", trekt Kaminsky een vergelijking met fysieke aanvallen. Bij computersecurity is er volgens hem helemaal geen sprake van dit weten hoe je waar bent geraakt, laat staan door wie.

Wired haalt securityfirma Mandiant aan die op basis van eigen metingen stelt dat het gemiddelde cyberspionagegeval maar liefst 416 dagen ongedetecteerd blijft. Bedrijven ontdekken dus pas na ruim een jaar dat ze zijn gehackt. Enkele jaren geleden lag dit gemiddelde nog op twee tot drie jaar, meldt Mandiant, dat onder meer Google heeft geholpen met forensisch it-werk en opruiming na een succesvolle cyberaanval.

Google, RSA, Lockheed
Google is eind 2009 gehackt, door aanvallers vanuit China. Daarbij zijn niet alleen de Gmail-accounts van Chinese dissidenten gekraakt, maar is ook code buitgemaakt bij Google zelf. Anonieme bronnen hebben begin 2010 gemeld dat dit ook broncode van het inlogsysteem van de internetreus omvat.

Vorig jaar nog is securitybedrijf RSA vergaand gehackt. Dat it-bedrijf levert de beveiligde inlogsystemen waar veel bedrijven en overheden gebruik van maken. Daaronder ook Defensie-toeleveranciers als Lockheed-Martin, die later zelf doelwit is geworden van een cyberaanval via nep RSA-inlogtokens.

Waakzame overheid
Security-specialist Mandiant weet Wired te vertellen dat de detectietijd voor cyberspionage weliswaar is afgenomen, maar dat dit niet te danken is aan de getroffen bedrijven zelf. Eventuele betere interne monitoring heeft de ontdekking van cyberaanvallers niet bevorderd. Toegenomen waakzaamheid, detectie en actieve meldingen door overheidsinstanties hebben geholpen. Mandiant noemt naast de FBI ook speciale onderzoeksdiensten van de Amerikaanse marine en luchtmacht.

Experts van die organen begeven zich ook op hackerforums om informatie te verzamelen. Daarbij recruteren ze ook echte hackers, om die als informanten in te zetten. De FBI heeft zo eerder dit jaar het losvaste hackerscollectief Lulzsec een gevoelige klap toegebracht. Een van de Lulzsec-leiders bleek al geruime tijd voor de FBI te werken.

FBI: we verliezen het
Toch is de toegenomen overheidswaakzaamheid en -optreden geen reden tot optimisme. Vind niet alleen security-expert Dan Kaminsky, maar zegt ook de FBI openlijk. 'We verliezen het van de hackers', heeft opstappend FBI-'cybercop' Shawn Henry opgebiecht aan de Wall Street Journal. Hij zegt dat de huidige aanpak - door overheden én bedrijven - om cyberaanvallers af te weren niet vol te houden is.

Er zijn teveel hackers, die te getalenteerd zijn, en de beschikbare verdedigingsmiddelen zijn te zwak om ze tegen te houden. Dit zegt FBI-topman Henry na ruim twintig jaar in dienst bij die Amerikaanse opsporingsdienst. Hij stapt over naar het nieuw opgerichte cybersecuritybedrijf CrowdStrike Services in Washington. Over de onhoudbaarheid van de huidige cybersecurity-aanpak echoot hij de woorden van Kaminsky: "Je krijgt nooit een voorsprong, zult nooit veilig zijn, en nooit een redelijke verwachting hebben van privacy of van security".

Loopgravenoorlog of innovatie
Terwijl FBI-cyberspecialist Henry een soort eeuwige loopgravenoorlog tegen hackers voorspiegelt, is Kaminsky niet zo pessimistisch. De it-expert houdt voor dat het barsten van de security-zeepbel nu juist de deur openzet voor innovatie. "De status quo is onacceptabel. Dus wat gaan we doen? Hoe gaan we dingen veranderen? Er is echt ruimte voor innovatie in de defensieve security."

Kaminsky stelt bijvoorbeeld voor om de doelwitten te verkleinen door serverinstallaties op te delen in kleinere eilanden. "Zo klein als operationeel haalbaar is." Daarmee wordt de huidige grote omheining om it-systemen en -netwerken verkleint naar een reeks kleinere. Elk heeft dan eigen beveiliging en authenticatie van de beveiligde verbindingen naar de overige eilanden, zowel extern als intern.

Gezonde paranoia
"Dat verandert de regels van het spel. Je kunt er niet op vertrouwen dat de machines van je developers niet gecompromitteerd zijn. Je kunt er niet op vertrouwen dat je supportsystemen niet gecompromitteerd zijn." Kaminsky erkent wel dat dit een dure oplossing is en dat niet iedereen in staat is dit toe te passen.

Vorig jaar is al gebleken dat zelfs certificatenverstrekker DigiNotar een dergelijke - eigenlijk verplichte - scheiding van bedrijfskritieke systemen niet had doorgevoerd. Een andere optie is het radicaal afschaffen van de huidige infrastructuur en het opbouwen van een geheel nieuwe. Ook daarbij is segmentering aan te raden, al was het maar voor de security-afdeling die de verdedigingsplannen voor de rest van de it-omgeving formuleert.

Voormalig FBI-topman Henry adviseert: ga ervan uit dat de vijand al op je netwerk zit. Die aanname dwingt tot een andere benadering van het netwerk: van wat er wel en wat er niet op hoort te zitten, en hoe wel aanwezige informatie opgeslagen en verzonden dient te worden. Dit alles is veel meer werk dan het netjes bijhouden van Windows- en applicatiepatches, maar het belooft wel iets meer veiligheid.