Security

..\plst-nl.htm; Computable 5 september 1997

Noodzakelijke Beveiligingsrituelen

Beveiliging van informatiesystemen was lange tijd een redelijk overzichtelijk ritueel. Bedrijfsnetwerken waren niet toegankelijk van buiten en de meeste PC's waren alleenstaand. De combinatie gebruikersnaam + wachtwoord moest de centrale systemen beveiligen. Keer op keer bleek de menselijke schakel de zwakste te zijn: wachtwoorden stonden onder het toetsenbord, in de agenda of waren simpel te raden. Een ander vervelend fenomeen bestond uit virussen - Konijntjes zoals het Kerstmisvirus dat kerstboodschappen razendsnel vermenigvuldigt, Trojaanse Paarden die zich vermommen als onschuldige programma's, en Tijdbommen die op "vrijdag de 13^e" afgaan (http://www.heise.de/doc/cert/virus-l/archives/1989/v2i189). Info over virussen is te vinden in de Zweedse programmeurshemel (http://www.lls.se/~mux/area54.htm ) en VirusAlert legt uit welke eenvoudige voorzorgen te nemen (http://www.garfnet.org.uk/new_millenium/garf1.htm ). Toen PC's opgenomen werden in bedrijfsnetwerken werden gebruikers gesommeerd geen spelletjes en andere software op de PC's te zetten en werden virusscanners ingezet zoals het populaire MacAfee (http://www.mcafee.com/) met inmiddels 53% marktaandeel, dat honderden virussen herkend en veelal verwijdert. Van recente datum in de virale geschiedenis zijn MS Word macro-virussen met namen als "Meat Grinder" en "Word.generic" waarover in de discussiegroepen comp.virus en alt.comp.virus veel alarmerende berichten verschijnen. Let er dus op regelmatig anti-virus-definities op te halen en toe te passen op Word-bestanden (http://www.public.asu.edu/~fayst/virus.html#Warnings).

Het gebruik van modems om computers via het publieke net te laten communiceren introduceerde het probleem van hackers (http://www.ccil.org/jargon/jargon_toc.html). Lezenswaardig is het internetartikel "The Hackers Crackdown" (http://www.mit.edu:8001/hacker/hacker.html). Het voormalige Hactic (nu: XS4ALL) is een voorbeeld van een hackersvereniging, waarin het een sport was elkaar te helpen aan toegangscodes. Hoe beveiligder het instituut hoe leuker: NASA, Amerikaanse ministerie van Defensie, NATO, enz. Allen werden één of meerdere keren het slachtoffer van hackers. Criminele organisaties en inlichtingendiensten begonnen zich hierdoor meer en meer te interesseren voor deze nieuwe beroepsgroep. Met de komst van internet ging de poort naar aangesloten organisaties nog verder open. Een waar hackerswalhalla ontstond en tegelijk de reactie daarop: de versnelde ontwikkeling van technologieën voor beveiliging. Firewalls - zie de FAQ van de universiteit van Ohio (http://www.cis.ohio-state.edu/hypertext/faq/usenet/firewalls-faq/faq.html) - voor het afschermen van een bedrijfsnet, en versleutelingstechnologie voor documentbeveiliging, en identificatie- en betaaldiensten. Voor het succes van internethandel is een goede beveiliging een noodzakelijke randvoorwaarde. Vandaar dat IBM, VISA, Tandem e.a. er zo hard aan trekken om de SET-standaard (http://www.visa.com/cgi-bin/vee/sf/set/intro.html) als beveiligingsstandaard in de markt geaccepteerd te krijgen voor met name on-line betalingen. Andere dankbare objecten voor aanvallen zijn inmiddels ook de browsers van Microsoft en Netscape. Gaten in de beveiliging zijn meermalen ontdekt met betrekking tot ActiveX en Java-scripts (http://www-genome.wi.mit.edu/WWW/faqs/wwwsf7.htm - Q62) ), zoals de mogelijkheid om de gebruikerssessie te monitoren, het lekken van informatie tussen frames en het versturen van email zonder dat de gebruiker dat wil! Een beschrijving hiervan biedt de site van LoVerso (http://www.osf.org/~loverso/javascript/ ). Vanzelfsprekend doen Netscape (http://home.netscape.com/info/security-doc.htm ) en Microsoft hun best bugs te verhelpen en zwaardere encryptie toe te passen in zoverre de exportwetten van de VS dat toelaten.

Het ontstaan van het internet introduceerde ook beveiligingsrisico's op besturingssysteemniveau zoals beschreven in de Web Security FAQ: "of de Unix-gemeenschap het leuk vindt of niet, de keerzijde van Unix' openheid en flexibiliteit is haar kwetsbaarheid." http://www.genome.wi.mit.edu/WWW/faqs/www-security-faq.html ). Produkten als SATAN (http://www.cs.ruu.nl/cert-uu/satan.html) moeten systeembeheerders helpen om zulke netwerk beveiliginsproblemen te onderkennen en op te lossen.

Het meest Kafkaiaanse van alle beveiligingsrituelen is nog dat de te beveiligen kennis iedere dag op twee benen de beveiligingsmedewerker groet en vrolijk door de poort naar buiten gaat, regelmatig van baan verwisselt, geheime rapporten in zijn koffer laat slingeren en geanimeerd roddelt over de bedrijfspolitiek in café's, in de trein of in het vliegtuig. Sociale codes staan het ons - gelukkig - niet toe dit gapende lek te dichten. Terecht speelt het beschermen van privacy hier in de discussies een centrale rol. De Internet Privacy Coalition (http://www.privacy.org/ipc/) spant zich in om het gebruik van encryptie aan zo min mogelijk wettelijke regels te onderwerpen. De grote voorvechter van vrije export is de inmiddels wereldberoemde Philip Zimmerman die zijn encryptieprodukt PGP - Pretty Good Privacy - illegaal, gratis heeft geëxporteerd en daarvoor een tijdlang vervolg werd. Zijn introductie tot PGP is inmiddels uitgegeven door MIT Press (http://mitpress.mit.edu/book-home.tcl?isbn=0262740176 ). Bedrijfsspionage via versleutelde email wordt via produkten als PGP wel heel moeilijk tegen te gaan. Niet alleen bedrijfsspionage. Vandaar de verhitte discussies in het Congres van de VS, over een escrowregeling binnen de secure public networks act (http://thomas.loc.gov/cgi-bin/query/z?c105:S.909 ), beschikbaar via de bibliotheek van het Congres. De nachtmerrie van overheden is dat ze geen afluistermogelijkheden hebben bij criminele communicatie, en dat de fiscus transacties niet meer kan traceren waardoor de bodem onder bestaande belastingregimes wegvalt. Niet onlogisch dus dat Bill Clinton voorstelde om binnen internet dan maar geheel af te zien van belastingheffing!

Om de drie weken schrijft dr. Martijn Hoogeveen, manager Partnership & Service Development bij PTT Telecom Internetdiensten, over de beste Internet-sites rond een interessant IT-onderwerp. Volgend onderwerp: Rapid Application Development.

Alle http-adressen van de genoemde staan in Computable Online: http://www.bpa.nl/computable/internet.