5 oorzaken van een falende beveiliging
Gepubliceerd: Woensdag 23 december 2009
Auteur:
Iedereen in de beveiligingsindustrie zal beamen dat elke oplossing wel eens faalt. Dat is niet eens zo erg, als er maar iets geleerd wordt van deze missers.
Wat kan er allemaal misgaan en welke lessen kun je eruit trekken? We zetten vijf oorzaken op een rij.
De zwakste schakel
Een ketting is net zo sterk als zijn zwakste schakel. Dit adagium blijft een waarheid als een koe, ook als het gaat om beveiliging. De meest bekende voorbeelden van een kwetsbare beveiliging waar de zwakste schakel het begeeft, zijn te vinden binnen de encryptiewereld.
Neem het beste encryptiealgoritme met de langst mogelijke lengte voor de sleutel. Laten we ervan uitgaan dat dit volledig beveiligd is. Heb je even kritisch naar de waarde van de sleutel gekeken als dat je het algoritme hebt uitgezocht? Als je sleutel gebaseerd is op een standaardwachtwoord en niet even lang is als de maximale waarde, dan wordt de sleutel door encryptiesoftware automatisch tot een langere waarde uitgerekt. Toch blijft de sleutel in essentie even klein, waardoor het minder veilig is dan je zult denken.
Ook kun je vraagtekens zettenbij de manier waarop je de eerder genoemde sleutel naar anderen communiceert. Vaak gaat het namelijk mis bij de communicatie. Een klassiek voorbeeld is het gebruik van One-Time-Pad (OTP) dat al zo ongeveer sinds de Tweede Wereldoorlog bestaat. Een OTP-sleutel is even lang als de tekst die versleuteld wordt en is daardoor in theorie superveilig. Maar is dat echt zo? De kwetsbaarheid ligt in de communicatie van een OTP-sleutel naar derden en hoe de sleutel wordt gebruikt. Ook al verstuur je zo'n sleutel verzegeld per koerier naar een andere partij, dan nog kunnen in zo'n systeem fouten sluipen. Als je dezelfde OTP-sleutels meerdere keren gebruikt, is het voor een onderschepper vrij eenvoudig en kunnen je berichten makkelijk gedecodeerd worden.
Proprietary versus open standaarden
Gebruik maken van proprietary software heeft als voordeel dat ook hackers niet de complete broncode kennen. Toch zijn proprietary oplossingen waarover niet zoveel bekend is een groot risico. We kijken even opnieuw naar encryptiemethoden.
Het gebruik van industriële standaarden (zoals bijvoorbeeld AES) houdt in dat meerdere experts het algoritme hebben onderzocht en er geen grote kwetsbaarheden in hebben kunnen ontdekken. Wanneer die in een later stadium alsnog gevonden worden, wordt dat publiek bekend gemaakt. Neem bijvoorbeeld de eerste wifi-beveiliging WEP. Het bleek al snel dat deze vorm van versleuteling grote kwetsbaarheden kende. Omdat het een standaard was, ging de industrie, vanwege alle commotie, als een speer aan de slag om een veiliger methode te ontwikkelen.
Wees dus waakzaam bij leveranciers die algoritmes niet willen prijsgeven en toch grote woorden hebben over beveiligingsmethoden.
