Agenda Lidmaatschap
Over het internet Standaarden
Publicaties Beleid
Over ISOC.nl Voor de pers
Internet Society: Het internet voor iedereen
Word lid van ISOC



 
Michiel Leenaars

Stuff Michiel Leenaars has written

Ga naar het overzicht  | homepage

Burgersurfen naar billenbloot

Webwereld, 30 oktober 2008 (verschenen onder de titel "My First Mifare cloner")

De beveiligingswereld is in rep en roer nu er vrij beschikbare (open source) software beschikbaar is gekomen die een groot gedeelte van de electronische toegangssleutels voor gebouwen kan kopieren en manipuleren. Het zat er al van kilometers ver aan te komen, nadat wetenschappelijk onderzoekers stap voor stap ontrafeld hadden hoe zwak de beveiliging eigenlijk was. Maar op beleidsniveau heerste de ontkenning: het was nog maar theorie vonden ze samen met de leveranciers. De klap dat sommige mensen ideeen kunnen omzetten in praktische toepassing moet hard zijn aangekomen.

Op dit moment heeft een digitale toegangsbeveiliging op basis van de veelgebruikte Mifare-chip niet meer security-impact dan een deurklink. Het houdt alleen de allersimpelste vorm van binnenlopen door peuters, kleuters en dronken zwervers tegen. Iemand met een apparaatje van enkele tientjes die fysiek binnen enkele meters van iemand kan komen die de hoogste clearance heeft, draait zo die digitale klink om en loopt probleemloos naar binnen. Mocht je denken dat daar allerlei heimelijke dingen voor nodig zijn: langslopen bij de ingang van het ministerie terwijl iemand anders naar binnen gaat is al goed genoeg om 'access all areas' te krijgen. Gejuich bij leveranciers van beveiligingspersoneel: er gaat behoorlijk extra menskracht ingezet moeten worden. Het heeft een enorme impact op de manier waarop we dit soort maatregelen nog kunnen vertrouwen, maar ook dat we dit soort technologie minder naief mogen inzetten - en dus zijn er ook behoorlijke budgetimplicaties.

De professionaliteit van de 'andere zijde' mag je niet onderschatten. Een paar weken geleden kwam boven water dat in hele ladingen pinapparatuur al in de fabriek in China (door derden?) een extra hardwaremodule was geplaatst die alle gegevens asynchroon doorseinde aan criminelen - daarmee een hele nieuwe dimensie van "skimming" van bankpasjes gevend. Daarbij is het kopieren van een Mifare-pas om bij een defensiedepot binnen te lopen feitelijk kinderspel. Hopelijk beseffen mensen dat je niet alleen stemcomputers niet kunt vertrouwen; ook voor digitale beveiliging geldt dat als het stuk gaat of door iemand anders kan worden gemanipuleerd je ineens een gigantisch probleem hebt.

Onze ICT-beveiliging heeft een Mifare-achtigprobleem, alleen dan in exponentiele vorm. Er is door allerlei omstandigheden sinds eind jaren tachtig een monocultuur op besturingssysteemniveau ontstaan. Dat is inmiddels een groot probleem geworden doordat ondertussen dankzij de revolutie van het internet een andere planeet is ontstaan. Je kunt dat op cosmetisch niveau verhullen, maar dat is onvoldoende. Vergelijk het met een bankautomaat die je zo met een huis-tuin-en-keuken-schroevendraaier aan de voorkant openmaakt, om vervolgens zonder problemen al het geld dat erachter ligt mee te nemen. Van echte veiligheid zie je maar het topje van de ijsberg, en je herkent het niet gemakkelijk. Wat er op het schermpje van de bankautomaat zich afspeelt is natuurlijk de o zo belangrijke gebruikservaring. Een apparaat dat niet lekker "werkt" in de user interface, zullen we liever vermijden. Maar een goed ontworpen infrastructuur voor een veilige oplossing begint veel vroeger in het traject en zit daar veel dieper in - letterlijk de fundamenten, de wrikvrije schroefloze behuizing, bedrading van alarmsystemen, cameracontrole. Terecht vertrouwen zit in dingen goed dichtmaken en daar toch ook nog streng toezicht op kunnen houden, niet in leuke animaties van het wisselen van venstertjes. Het is zo vanzelfsprekend, maar alleen als we niet fysiek worden afgeleid kunnen we onze aandacht voldoende focussen om die constatering te maken.

Een van de belangrijke redenen voor de Nederlandse overheid om meer open source te willen gebruiken is om te kunnen controleren of er ergens achterdeurtjes in zitten. Daar geldt dan vervelend genoeg ook nog eens voor dat kwaadwillenden net als Alice in Wonderland zichzelf door hele kleine deurtjes kunnen wurmen - gaatjes die op broncodeniveau op een enkel bewust verkeerd geplaatst karakter neerkomen, of die ingebouwd zijn in een compiler of zelfs processor. Escrow is dus niet goed genoeg - je wil je eigen 'kritische' software op ieder moment kunnen (laten) compileren, controleren en vooral vervangen door wat anders. Softwarekwaliteit enerzijds en code screening anderzijds is geen luxe maar harde noodzaak. Het gebruik van open standaarden - 100% voorspelbare communicatieprotocollen en bestandsformaten die niet afhankelijk zijn van specifieke bits om ze te draaien - eveneens. Een half jaar geleden was het misschien nog okay om je geld te parkeren bij Icesave en Lehmann Brothers, nu is het mantra dat iedereen in zijn hoofd geprent heeft: "risico spreiden". Wat je niet kunt controleren, moet je opsluiten - in een sandbox, een virtuele machine of liefst draaiend op een andere machine.

Natuurlijk, een deur die automatisch opengaat als je er met je toverkaartje langszwaait blijft iets magisch hebben. We zijn primitieve wezens, tenslotte, en zelfs al zie je het honderd keer gebeuren blijft het toch iets bijzonders. Het appeleert aan onze luie geest. Maar deuren die automatisch opengaan voor ongewenste individuen moet ons in opperste staat van alertheid brengen. Dat geldt nog meer voor onze ICT. Op dat punt zitten we al jaren in de situatie dat mensen die de klink omlaag kunnen doen, op veel plekken zo binnenlopen. Dat laten we nu veel te lang op zijn beloop.

Laten we er eens voor zorgen dat we qua denkniveau uit de peuterfase van automatisering komen, waarin de behoefte aan kekke toeters en bellen alles overheerste. Het is verleden tijd dat we tevreden mogen zijn als het 'het maar doet', en dat alles werkt met de spulletjes uit de vorige (dreumes)fase waar we zo aan gewend zijn en zoveel in hebben geinvesteerd. De kennisachterstand bij onze gebruikers is ten onrechte leidend. Computers binnen bijvoorbeeld de overheid zijn rode lopers naar de (wat mij betreft) kostbaarste informatie die er in de wereld is: persoonlijke informatie over Nederlandse burgers zoals u en ik. Het zijn 'back stage'-pasjes voor de VIP-area die met hele bonkige meneren moeten worden bewaakt, geen hele slimme gameconsoles aan een netwerk die leuke plaatjes en een fijne gameplay moeten realiseren en meer niet.

We denken in onze ICT niet in eerste instantie aan eisen op het vlak van veiligheid, interoperabiliteit en accountability. Maar elders in ons hoofd weten we dat er behoorlijk misbruik van gemaakt wordt. Dat begint bij degenen die toegangsrechten hebben. Zodra iemand interessant wordt - of het nu Joe the Plummer, Robin van Persie, Rob Oudkerk of de winnares van de wedstrijd rondom de mooiste billen van Nederland is - 'googlen' overheidsmedewerkers de interne systemen op zoek naar sappige details. Persoonlijke nieuwsgierigheid, winstbejag of wraakzucht - het is om het even. De resultaten zullen in bruikbaarheid (en waarschijnlijk ook aantrekkelijkheid) ongetwijfeld varieren, maar het bestaan van het fenomeen 'burgersurfen' is klip en klaar. In de buitenwereld zijn er nog veel meer mensen die toegang willen, en dankzij de krukkige digitale beveiliging is dat niet gegarandeerd uitgesloten. Integendeel. In de digitale wereld geldt een burgerrecht als basisprincipe: als het de overheid niet lukt om informatie te beschermen, moet ze er maar niet aan beginnen. Dataretentie voorop.