De zwakste schakel
Gepubliceerd: Donderdag 2 maart 2006
Auteur: Tom Sanders
Elk jaar wanneer beveiligingsgoeroe Bruce Schneier voor de kerst zijn moeder opzoekt, verwijdert hij een berg spyware en adware van haar computer. Elk jaar legt hij haar uit dat haar persoonlijke informatie gevaar loopt en dat zij meehelpt om phishing-mails en spam te versturen.
"Ze vindt het erg spijtig, maar om eerlijk te zijn, kan het haar geen moer schelen", bekende Schneier in februari op de RSA Security beurs in San Jose, de officieuze hoofdstad van Silicon Valley.
Schneiers moeder is het prototype computergebruiker waar we aan denken wanneer we zoeken naar een zondebok voor het huidige gebrek aan computerveiligheid: gebruikers die verzuimen om updates voor hun systeem en antivirussoftware te installeren, phishing e-mails openen en op alles klikken dat maar knippert.
Wij - u en ik - zijn natuurlijk niet zo dom. Nog nooit heeft een worm of spyware zich bij ons naar binnen weten te wurmen.
Toch moeten we er rekening mee houden dat het binnenkort een keer misgaat. Want zolang er geld is te verdienen met het kraken van computers, zullen criminelen alles doen om de digitale muren te bestormen.
De oorzaak van het probleem van de computer onveiligheid ligt niet bij de gebruikers. Het ligt ook niet bij Microsoft, Apple of de open-source ontwikkelaars achter Linux. Zolang criminelen een behoefte hebben om spam te versturen of creditcardgegevens te stelen, zullen zij manieren vinden om hun doel te bereieken.
Sinds de terroristische aanvallen van 11 september is de wereld ervan doordrongen dat we onze cyberinfrastructuur beter moeten beschermen. Krap vijf jaar later hebben we betere firewalls, creëert de beveiligingssector zijn antivirussen sneller dan ooit en patchen we dat het een lieve lust is. En toch markeerde 2005 opnieuw een dieptepunt.
Het is tijd voor een radicale koerswijziging. Want een boot waarvan de bemanning constant moet hozen om te voorkomen dat hij zinkt, is verkeerd ontworpen.
Sommigen zoeken de oplossing bij regelgeving: stel degene aansprakelijk die in een positie is om de beveiliging te verbeteren.
Dat doen we vandaag al - en zeker in Amerika - in grote mate. Pinfraude is in de States nauwelijks een probleem omdat de banken opdraaien voor de kosten. In landen waar de consument aansprakelijk is, zoals in Engeland en in zekere mate in Nederland, zijn er minder veiligheidsmaatregelen.
Dus waarom zouden Apple en Microsoft niet een paar miljoen mogen ophoesten wanneer er door klunswerk fouten in hun software sluipen? De internetprovider van Schneiers moeder had kunnen zien dat haar computer een uitvalsbasis is voor wormen en spam, en moet ze dus stoppen.
Of wellicht moet de computer volledig op de schop. Met virtualisatietechnologie is het vandaag al mogelijk om waterdichte compartimenten op een computer te maken (Microsoft dacht aanvankelijk op deze manier Windows Vista te beveiligen, maar is op dat besluit teruggekomen). Elk virtueel compartiment heeft een eigen besturingssysteem en gedraagt zich als een zelfstandige computer. Alle software komt via de browser binnen.
In praktijk zijn we dan bij de wegwerpcomputer aankomen, waarbij de gebruiker elke keer dat hij opstart een vers, virusvrij besturingssysteem krijgt voorgeschoteld. Want uiteindelijk gooi je een vies zakdoekje ook gewoon weg.
Het heeft 20 jaar geduurd, maar we komen dan uit bij wat Sun Microsystems al die tijd heeft omschreven als de netwerkcomputer.
Als gebruikers niet met software overweg kunnen, moet je ze ook geen software geven. Het volgende voorbeeld bewijst wel dat de gebruiker altijd de zwakste schakel in elke beveiligingsysteem is.
Tijdens een proef vorig jaar stuurden onderzoekers een phishing e-mail naar medewerkers van twee organisaties. Het bericht zag eruit alsof hij was verstuurd door het hoofd van de automatiseringsafdeling. De ene e-mail vroeg de gebruikers om hun wachtwoord voor het bedrijfssysteem te veranderen. Een andere informeerde de werknemer dat het bedrijf een nieuwe website had die de 'veiligheid' van een wachtwoord controleerde. De sites waren nep.
De helft van de ontvangers gooide het bericht ongelezen weg, omdat zij dat kennelijk met alle interne post van de IT-afdeling doen. Maar 25 tot 30 procent gaf braaf gehoor aan de oproep en vulde zijn wachtwoord in. Een fantastisch resultaat wanneer je beseft dat een gemiddelde phishing aanval op een bank een gemiddeld rendement bereikt van 0,002 procent.
De vraag is niet of mijn computer voldoende beveiligd is, maar wanneer ook ik in één van deze doortrapte trucjes val. En u.
