5 keer Security through Obscurity
Gepubliceerd: Dinsdag 26 april 2011
Auteur: Michiel van Blommestein
Beveiligers trekken bij de term een gezicht alsof je ze een maaltijd voorschotelt in een luier. Toch komt Security through Obscurity binnen ict-afdelingen en -bedrijven nog steeds voor.
Wie een schat veilig wil houden, kan dat op verschillende manieren doen. Je kunt het in een bomwerende kluis stoppen, die wordt afgesloten met drie sleutels, die worden verdeeld onder drie personen, die elkaar vervolgens nooit meer fysiek mogen zien. Je kunt ook een sterk wachtwoord gebruiken voor die kluis, zodat alleen de personen die toegang moeten hebben ook daadwerkelijk toegang hebben.
Maar, zo denken velen, je kunt de schat ook gewoon in een kist stoppen, en deze bij een bepaalde boom begraven. Zolang niemand weet onder welke boom de schep in het zand gezet moet worden, kan ook niemand bij de schat, zo is de redenatie. Dat is Security through Obscurity: ervan uitgaan dat geheimhouding alleen voldoende is om een object of informatie veilig te houden. Binnen de ict komt het nog heel veel voor, ondanks alle waarschuwingen die experts regelmatig afgeven.
Het is niet alsof Security through Obscurity persé een slecht idee is, volgens die security-experts. Je moet het alleen niet zien als dé enige manier om iets te beveiligen. "Het is absoluut bruikbaar", zegt Jeremy Butcher, CTO van de afdeling Crypto bij Fox-IT, "maar je moet er nooit honderd procent op vertrouwen."
Webwereld zet vijf voorbeelden van Security through Obscurity op een rijtje. Maar het kan natuurlijk altijd erger, extremer of dommer/briljanter.
Online verstoppertje Spelen
Hoe hou je persoonlijke gegevens toch toegankelijk voor mensen die erbij moeten kunnen? Een mogelijkheid is ze op de website te zetten, maar dan kan iedereen erbij. Het telkens weer versturen van inlogcredenties/wachtwoorden maakt het proces omslachtig, en dus besluiten sommige beheerders om te werken met ingewikkelde url's: wie de url niet kent, kan niet bij de informatie. Dat gaat wel eens mis.
"Een voorbeeld waarbij het duidelijk niet heeft gewerkt is de website van de regiopolitie Noord-Holland", zo rakelt Butcher een bekend geval op uit 2009. "Wie geflitst wordt, kan de foto's opvragen. Dat was voor de politie een flinke administratieve last." In plaats van de foto's te moeten afdrukken en opsturen, kreeg de aanvrager een briefje met de url waar diens foto staat. "Ze gingen ervan uit dat je de url niet kunt gokken. Maar door een foutje in de webserver waren die url's wel degelijk te achterhalen." Gevolg: de flitsfoto's van iedereen waren gewoon beschikbaar.
Toch blijft het gebruik van een 'vage' url populair. "Men vergeet vaak dat url's in proxies worden opgeslagen", stelt Maarten Hartsuijker, Security Consultant bij Classity Security Scans, "of dat ze terugkomen in referrerlogs. Een unieke, moeilijk te raden URL is daardoor niet afdoende om de toegang tot data af te schermen." Maar, zo zegt Butcher, soms werkt het wel goed, zoals in het geval van Facebook. "Afgeschermde foto's op Facebook staan ook achter een url, en zijn door iedereen op te vragen als je de url kent. Maar er is geen makkelijke manier om de urls boven tafel te krijgen, tenzij je ze via Facebook zelf kunt opzoeken", zegt hij. "Maar als je ze kunt opzoeken, dan ben je dus vriendjes met diegene, dus dan mag je ze ook zien."
