Wie een schat veilig wil houden, kan dat op verschillende manieren doen. Je kunt het in een bomwerende kluis stoppen, die wordt afgesloten met drie sleutels, die worden verdeeld onder drie personen, die elkaar vervolgens nooit meer fysiek mogen zien. Je kunt ook een sterk wachtwoord gebruiken voor die kluis, zodat alleen de personen die toegang moeten hebben ook daadwerkelijk toegang hebben.

Maar, zo denken velen, je kunt de schat ook gewoon in een kist stoppen, en deze bij een bepaalde boom begraven. Zolang niemand weet onder welke boom de schep in het zand gezet moet worden, kan ook niemand bij de schat, zo is de redenatie. Dat is Security through Obscurity: ervan uitgaan dat geheimhouding alleen voldoende is om een object of informatie veilig te houden. Binnen de ict komt het nog heel veel voor, ondanks alle waarschuwingen die experts regelmatig afgeven.

Het is niet alsof Security through Obscurity persé een slecht idee is, volgens die security-experts. Je moet het alleen niet zien als dé enige manier om iets te beveiligen. “Het is absoluut bruikbaar”, zegt Jeremy Butcher, CTO van de afdeling Crypto bij Fox-IT, “maar je moet er nooit honderd procent op vertrouwen.”

Webwereld zet vijf voorbeelden van Security through Obscurity op een rijtje. Maar het kan natuurlijk altijd erger, extremer of dommer/briljanter.

Online verstoppertje Spelen

Hoe hou je persoonlijke gegevens toch toegankelijk voor mensen die erbij moeten kunnen? Een mogelijkheid is ze op de website te zetten, maar dan kan iedereen erbij. Het telkens weer versturen van inlogcredenties/wachtwoorden maakt het proces omslachtig, en dus besluiten sommige beheerders om te werken met ingewikkelde url's: wie de url niet kent, kan niet bij de informatie. Dat gaat wel eens mis.

“Een voorbeeld waarbij het duidelijk niet heeft gewerkt is de website van de regiopolitie Noord-Holland”, zo rakelt Butcher een bekend geval op uit 2009. “Wie geflitst wordt, kan de foto's opvragen. Dat was voor de politie een flinke administratieve last.” In plaats van de foto's te moeten afdrukken en opsturen, kreeg de aanvrager een briefje met de url waar diens foto staat. “Ze gingen ervan uit dat je de url niet kunt gokken. Maar door een foutje in de webserver waren die url's wel degelijk te achterhalen.” Gevolg: de flitsfoto's van iedereen waren gewoon beschikbaar.

Toch blijft het gebruik van een 'vage' url populair. “Men vergeet vaak dat url's in proxies worden opgeslagen”, stelt Maarten Hartsuijker, Security Consultant bij Classity Security Scans, “of dat ze terugkomen in referrerlogs. Een unieke, moeilijk te raden URL is daardoor niet afdoende om de toegang tot data af te schermen.” Maar, zo zegt Butcher, soms werkt het wel goed, zoals in het geval van Facebook. “Afgeschermde foto's op Facebook staan ook achter een url, en zijn door iedereen op te vragen als je de url kent. Maar er is geen makkelijke manier om de urls boven tafel te krijgen, tenzij je ze via Facebook zelf kunt opzoeken”, zegt hij. “Maar als je ze kunt opzoeken, dan ben je dus vriendjes met diegene, dus dan mag je ze ook zien.”

Hoezo alleen de broncode geheim?

Als het gaat om software, wordt vanuit open source-hoek vaak geklaagd dat veel bedrijven denken dat het product veiliger wordt wanneer de broncode niet is gedeeld. Het zou immers een stuk lastiger zijn om het programma te reverse-engineeren. Maar je hebt ook baas-boven-baas, zo vertelt de Poolse beveiligingsexpert Joanna Rutkowska. Volgens haar heeft Intel er een handje van om heel erg ver te gaan met Security through Obscurity. Heel erg ver.

Intel AMT is een goed voorbeeld van hoe ver Intel gaat met dat idee”, aldus Rutkowska. “Niet alleen is er geen broncode beschikbaar, iets dat je nog kunt verklaren uit het feit dat het commerciële software is: De gebruiker heeft geen rechtsgeldige manier om zelfs de binaire code in te zien die door de AMT-processor wordt uitgevoerd.”

Intel brengt geen software uit waarmee het AMT-geheugen mee is uit te lezen, wat nog een stap verder gaat dan alleen de broncode geheim te houden, een regelrechte irritatie voor beveiligingsonderzoekers als Rutkowska, die zich vooral richten op de diepere niveau's. “En we hebben het hier over zeer security-gevoelige code, omdat een bug in de AMT webserver controle kan verschaffen tot het systeem, welk besturingssysteem je ook draait!”, schrijft Rutkowska in een mail. “Ja, dat lees je goed: ieder vPro-systeem met AMT geactiveerd draait een webserver en een gehele dedicated OS op een kleine processor in je chipset!”

Eigen encryptie eerst

Terug naar de eigen ict, en vooral die van kleinere webshops. “Het gebeurt wel eens dat wordt besloten om wachtwoorden op te slaan met een eigen, geheim algoritme”, vertelt Butcher. “Daar is de gehele security op gebaseerd.” Het gevaar dat dergelijke algoritmes worden geraden is volgens Butcher best reëel. “Dat algoritme moet uitgevoerd worden, en soms is het zo erg dat dat lokaal gebeurt. Een hacker heeft volledige controle over zijn eigen pc, dus die kan ermee aan de slag.”

Dat sommige bedrijven ervoor kiezen om een eigen algoritme te gebruiken, in plaats van geaccepteerd veilige algoritmes als AES, is volgens Butcher “voor een deel hobbyisme”. Zeker bij webshops kan het iemand zijn die het bedrijfje is gestart als bijbaan naast de studie. “Je kunt niet verwachten dat zo iemand ook alle ins en outs van security kent. In het begin heeft hij het opgelost met zijn eigen algoritme, en dat is blijven hangen.”

De dollar-share

Dan noemt Hartsuijker nog wat hij als een klassieker' betitelt: Het gebruik van de Windows dollar share, zoals in (\\computer\geheimeshare$). Door het plaatsen van een $ achter een sharenaam komt de share niet uit zichzelf naar voren. Hartsuijker komt het nog regelmatig tegen.

“Als men vanuit een applicatie interactief data van een share wil aanspreken, is het soms lastig om een gebruikersnaam en wachtwoord te gebruiken. Het lijkt dan aantrekkelijk om te denken: ach wie raadt de naam van die verborgen share nou...”

Obscure legacy

Butcher noemt er nog eentje die hij nog wel eens bij klanten ziet: servers waar een oud, legacybesturingssysteem op draait. Vooral oude varianten van Unix zijn volgens hem nog uiterst populair om bedrijfskritische gegevens mee op te slaan en te verschuiven. “Het gaat dan om echt belangrijke processen, die worden afgehandeld door een server waar niemand aan durft te komen”, zegt Butcher. “Op het moment dat we tegen zo'n klant opmerken dat dat misschien geen goed idee is vanwege de security, dan wordt geantwoord: “Joh, dat is zóóó oud, daar heeft niemand meer de kwetsbaarheden van.”

“En ergens hebben ze wel een punt: websites voor scriptkiddies waar de kwetsbaarheden de vinden zijn, bieden geen kwetsbaarheden van pak 'm beet twintig jaar terug.” Maar, zo zegt Butcher nog wel, iemand die het echt serieus probeert, komt er echt wel in.