Onveilige producten kunnen soms best worden geïntroduceerd

Schneier begrijpt dat er in Nederland voor wordt gekozen een gekraakte OV-chipkaart toch in te voeren. “Het hangt er vanaf wat de kosten van het kraken van die kaarten is versus de kosten van het maken.” Wat Schneier betreft is het helemaal niet zo vanzelfsprekend dat je geen onveilige producten zou mogen introduceren. Hij noemt als voorbeeld hoe eenvoudig het is een handtekening na te maken en te versturen per fax. “Is er iets meer stupide dan een handtekening per fax te versturen? De fax is doodeenvoudig te misbruiken en toch gebruiken we het continu.”

“Er zijn zeker veel problemen met het Mifare-systeem, maar dat betekent nog niet dat het niet slim is het toch uit te rollen. Het kan een bestaand systeem zijn, het kan te duur zijn om het nog te veranderen, misschien valt de verwachtte fraude mee of maakt men zich daar geen zorgen over. Je moet de context van het beveiligingssysteem zien voordat je kunt zeggen of het een goed of slecht idee is”, betoogt hij. “Cryptografisch gezien is het systeem echt slordig,” zegt Schneier, maar dat wil niet zeggen dat het per se onbruikbaar is voor de bussen en de tram.

Privacy gaat over menselijke waardigheid

Waar mensen roepen dat het bewaren van gegevens goed is voor je eigen veiligheid, stelt Schneier dat het goed voor je veiligheid is als dergelijke data worden vernietigd. “Ik zie niet in hoe de opslag van gegevens goed voor onze veiligheid kan zijn”, meent hij. Hij ziet de trend van “wholesale surveillance” over de hele wereld. “Het gaat niet alleen om tickets of vervoersbewijzen. Het gaat ook om tolpoorten, controle op mobiele telefonie, wetten die internetproviders dwingen jarenlang gegevens over internetgebruik bij te houden; die gedachte dat we iedereen in de gaten kunnen houden en terug in de tijd kunnen gaan om alle mensen te observeren die we willen, of over iedereen statistieken te kunnen uitdraaien.”

Voor Schneier is duidelijk dat dit een slechte ontwikkeling is, die haaks staat op vrijheden en ons uiteindelijk minder veilig zal maken. “Het maakt totalitaire actie tegen mensen mogelijk. De enige keer dat we zo'n massale observatie van mensen eerder hebben gezien is echt in Oost-Duitsland en daar deden ze het handmatig”, weet hij. “Daar werkten ze met een netwerk van informanten en spionnen, die de bevolking in de gaten hielden. Niemand voelde zich daar veilig en niemand voelde zich vertrouwd. Zo’n maatschappij verdient geen navolging. Maar tegenwoordig kan exact datzelfde met technologie worden gedaan.”

Schneier vreest dan ook dat we slaapwandelen naar een maatschappij met minder vrijheden en veel meer angst. “De politie heeft daar meer macht, terwijl we ons niet meer vrij en veilig voelen”, verzucht hij. “Het gaat niet om wat je verbergt, maar het gaat om menselijke waardigheid.”

Mensen gebruiken beveiliging alleen als het standaard aan staat

Ondanks dat het al jaren mogelijk is e-mailberichten te versleutelen, gebeurt het nagenoeg niet. “Wat mensen aan beveiliging doen, doen ze alleen als het standaard wordt aangeboden. TLS-versleuteling of SSL voor het web gebruikt iedereen, omdat ze geen keus hebben. Het gebeurt gewoon”, stelt hij. “Er zit versleuteling in je mobiele telefoon en je gebruikt het. Niet omdat je dat kiest, maar omdat het er is. Mensen die versleuteling op een laptop gebruiken, doen dat omdat hun werkgever dat heeft geïnstalleerd.”

Voor hem is het dan ook duidelijk dat om beveiliging te verbeteren meer functionaliteit standaard moet worden aangeboden. “Dan denkt niemand er over na en wordt het gebruikt”, betoogt hij. Hij benadrukt dat een bedrijf bij het introduceren van beveiligingsbeleid na moet denken over hoe mensen beveiliging kunnen gebruiken zonder dat ze zich daarvan bewust zijn.

Recentelijk verscheen het boek Cryptography Engineering, waaraan Schneier heeft meegeschreven. Hij ziet dat als een update van zijn standaardwerk Applied Cryptography. “Er is zoveel nieuws dat ik niet eens de moeite heb genomen een derde editie te maken. In plaats daarvan heb ik alle nieuwe ontwikkelingen in een nieuw boek opgenomen.” Het doel was een technisch werk te maken, waarin cryptografie en wiskunde centraal staan. Hij hoopt dat het boek ertoe bijdraagt dat cryptografie vaker standaard wordt aangeboden in programmatuur.

Adobe heeft concurrentie nodig om veiliger te worden

Dat er zoveel problemen met de beveiliging van Adobe-producten zijn, is voor Schneier niet verwonderlijk. “Ze opereren nog altijd in het oude paradigma”, stelt hij: een bedrijf als Adobe heeft nooit de beslissing genomen echt veilig te willen zijn. Hij wijst op Microsoft, dat uiteindelijk door externe bedreigingen gedwongen werd beveiliging serieus te nemen. “Ik geloof echt dat de opkomst van Linux en OpenOffice dat op gang heeft geholpen.”

“Ze zijn in feite een monopolist en zien beveiliging nog niet als een onderscheidend kenmerk”, stelt hij. Een alternatief voor bijvoorbeeld Flash zou kunnen helpen. “Voor een bedrijf dat zijn producten moet verbeteren is er niets beter dan concurrentie.”

We overschatten terreur en onderschatten beveiliging

“Tegenwoordig kijk ik naar de psychologie van beveiliging en hoe mensen keuzes maken”, vertelt Schneier. “Er zijn risico's die we overdrijven en andere die we bagatelliseren. Er zijn spectaculaire dreigingen die we overdrijven, zoals een vliegtuigcrash. Er zijn andere zaken die we onderschatten, zoals ongevallen met de auto.”

De laconieke reactie op het feit dat de persoonlijke gegevens van 168.000 OV-chipkaartgebruikers niet in veilige handen blijken bij de provincies Gelderland, Overijssel en Flevoland (zoals Webwereld onlangs onthulde), verbaast hem dan ook niet. “40.000 mensen komen om het leven bij auto-ongevallen, in groepen van één of twee. Hoe kun je dat bagatelliseren? Doordat het niet het eerste ongeval is.” Dit is ongetwijfeld niet de eerste SQL-injection-aanval geweest, wil hij maar zeggen. “Ze gebeuren continu.”

“Een computermisdrijf is typisch iets dat we bagatelliseren, omdat het niet spectaculair is. We maken ons druk over cyberterreur, wat een mythe is, en bagatelliseren cybercrime, terwijl het continu gebeurt”, stelt hij. “Dit is normaal. Helaas, maar het is normaal.” Een oplossing ziet hij niet. “Dit is de manier waarop mensen reageren.”

Schneier is ook niet verbaasd over het incident met de 'Damschreeuwer' op vier mei. “Menigten zijn in de geschiedenis in paniek geraakt en zullen dat ook in de toekomst blijven doen. Het is zeldzaam”, observeert hij. Voor hem is het evident dat als iemand het woord “bom” roept in een massa in een tijd van angst voor terreur, dat genoeg is om een menigte in paniek te krijgen. “We hebben de neiging overdreven te reageren en overdreven te compenseren”, stelt hij. Zelf is hij niet bang voor terreur en terroristen. “Zij zijn in de Verenigde Staten net zo gevaarlijk als huishoudelijke apparatuur. Als je nu naar de statistieken kijkt dan zijn ze ongeveer even gevaarlijk.”

Wat hem betreft is het dan ook duidelijk wat we met terreur moeten doen: “We moeten niet eens beginnen ons daar zorgen over te maken.”