Veel had hij niet gelezen over de kraak van de ov-chipkaart, die in Nederland media- en kamerbreed de gemoederen bezighoudt. Maar genoeg voor een uitgesproken mening over het omstreden project. 'Wie denkt dat zo'n systeem, eigenhandig achter gesloten deuren ontwikkeld, veilig kan zijn, heeft het niet begrepen', aldus 'securitygoeroe' Bruce Schneier na afloop van z'n lezing maandagmiddag op het kantoor van netwerkbeheerder BT in Amsterdam.

'Falen is makkelijk'

Schneier draagt daarmee hetzelfde standpunt uit als zijn Nederlandse evenknie, hacker Rop Gonggrijp, vorige week op Webwereld. Een gesloten ontwikkeltraject, zonder feedback en tests door onafhankelijke derden, is funest voor de veiligheid van een product 'in het wild'. Oftewel: beveiliging door heimelijkheid (security through obscurity) is gedoemd te mislukken, vroeger of later.

Dat is een alom bekende 'wetmatigheid' in de security-sector, en daarom onbegrijpelijk dat de betrokken partijen het met de voeten hebben getreden. Schneier: 'Het is moeilijk om het goed te doen, en het is makkelijk om te falen. Iedereen kan een systeem ontwerpen dat hij zelf niet kan kraken. Maar ik vraag me dan af, wie ben jij nu helemaal?'

Over waarom bijvoorbeeld TransLink geen open kaart speelde na het aantonen van de kwetsbaarheid van de chip was Schneier kort: 'Ontkennen is goedkoper dan herstellen.' En op de vraag wat er moet gebeuren met degenen verantwoordelijk voor de ov-chipkaart, luidde het spottende antwoord: 'Ik zou ze ontslaan.'

'Symantec wordt overgenomen'

Naast z'n gepeperde opinie schetste Bruce Schneier tien belangrijke trends met betrekking tot security. Één daar van is convergentie van ICT-diensten met security als onlosmakelijk onderdeel van het hele pakket.

Steeds meer grote software-, netwerk- en telecomconcerns kopen securitybedrijven op om in hun eigen producten en diensten te integreren. De overname van Internet Security Systems (ISS) door IBM is illustratief voor die trend. Evenals trouwens de overname door BT van Schneier's eigen beveiligingsbedrijf, Counterpane in 2006; alsmede BT's recentere acquisities INS en het Franse Net2S.

"Ook securitybedrijven zoals Symantec en Check Point zullen binnen afzienbare tijd worden overgenomen door niet-securitybedrijven", zo orakelde Schneier.

Wormen en botnets

Andere trends die Schneier aankaartte waren ondermeer de toenemende complexiteit van wormen en botnets. 'Wormen zijn steeds vaker veelvormig (polymorphic) en botnets gedecentraliseerd. 'Vroeger' haalde je de 'control-node' van een botnet offline en dan was het einde oefening, maar nu ís er überhaupt geen centrale controle meer, botnets zijn vaak volledig decentraal en zelfvoorzienend. En die zijn momenteel simpelweg onmogelijk te elimineren.'

Patch-dinsdag, exploit-woensdag

Naast veelvormigheid en decentralisatie winnen de cyberboeven ook de wapenwedloop op snelheid. De verhouding tussen de snelheid waarmee nieuwe exploits verschijnen en de traagheid waarmee de gaten worden gedicht groeit steeds schever, zo waarschuwde Schneier.

Dit komt onder andere omdat veel bedrijven een afwachtende houding hebben en hun patchbeleid incidentgestuurd is. "Patches worden gehaast ontwikkeld, nauwelijks getest en vaak ook nog eens niet of niet meteen door klanten geïnstalleerd."

Schneier prees in dit kader Microsoft, dat met haar automatische update en maandelijke patchcyclus voor Windows en andere producten veel duidelijkheid verschaft. 'Door patch-dinsdag zijn de patches van Microsoft vaak goed getest en, evenzo belangrijk, is de installatiegraad van updates en patches sterk omhoog gegaan.'

Maar Schneier schetste ook het risico van dergelijke regelmaat. 'Als ik een cybercrimineel was zou ik het wel weten en meteen na patch-dinsdag m'n malware loslaten. Die heeft dan ten minste een maand om z'n kwaadaardige werk te doen.'