Stuff Michiel Leenaars has written

Ga naar het overzicht  | homepage

Ongezond vertrouwen

Webwereld, 26/9/2008

Afgelopen zomer werd er een tekortkoming van manier waarop onze computers domeinnamen opvragen ontdekt: er zijn maar een zeer beperkt aantal antwoorden mogelijk op een bewust manipulerende domeinnaamvraag die een aanvaler zelf bedenkt. Dat is bijvoorbeeld een verwijzing naar een plaatje op het niet-bestaande domein onzin.overheid.nl in een webpagina. Als de aanvaller een antwoord met een goed controlenummer heeft gegeven (wat altijd lukt als je weet dat er vanuit het protocol exact 32768 nummertjes mogelijk zijn), vertrouwen we dat hij ook mag vertellen dat overheid.nl (of ns1.overheid.nl) van hem is. Nadien heb je controle over het verkeer van en naar overheid.nl van alle gebruikers van die bepaalde DNS-server. En dat alles onder de motorkap, dus onzichtbaar voor de gemiddelde internetter. Je kunt jezelf niet altijd vertrouwen veroorloven, als degene die je vertrouwt dat vertrouwen niet bewaakt - met een dronken gevoerde chauffeur is het slecht rijden.

Het kan zelfs nog indirecter, zo bleek een maand later. Toen demonstreerden onderzoekers Anton Kapela en Alex Pilosov op hackerconferentie DefCon hoe ze eenvoudig met behulp van het routeringsprotocol BGP (Border Gateway Protocol) internetverkeer naar zelfgekozen adressen onmerkbaar konden omleiden - en vervolgens ook afluisteren en zelfs manipuleren. Ook hier weer goedgelovigheid: als een andere BGP-router op het internet roept dat hij een betere route weet, wordt hij min of meer automatisch geloofd - zelfs al gaat je verkeer dan voortaan via een harmonica van de Italiaanse maffia, de Israelische geheime dienst en de Russische overheid.

De denktank Pirate Bay lanceerde eerder dit jaar plannen om al het internetverkeer af te schermen voor inspectie van buitenaf, en ik vind het een ijzersterk punt. Je kunt behoorlijk pech hebben in wie je vertrouwt, en de ISP is wel een van de grote risicogroepen. De tijd van het onbeschermde web is over, niet dankzij continue aanvallen maar dankzij ISP's die advertenties injecteerden in langskomend verkeer. En onder leiding van Nederlander Ben Verwaayen verkocht British Telecom jarenlang allerlei gevoelige gegevens over online activiteiten achter en over de rug van hun klanten. Voor een voormalig staatsbedrijf is een dergelijke handelswijze een absolute doodzonde. Bedrijven zoals Airmiles, sociale netwerken, zoekmachines en advertentienetwerken staan erom bekend dat ze grotendeels leven van het verzamelen en verkopen van informatie over jou als deel van je doelgroep - maar dat beeld past niet bij een internetprovider?

Misschien is het helemaal geen goed idee dat degene die onze bits op en neer schuift uberhaupt in staat om te zien wat we op het web doen, en wat we mailen (hetzelfde geldt uiteraard voor zoekmachines en makers van browsers)? Ik weet niet of bijvoorbeeld het auteursrecht opgaat voor wat ik in een zoekmachine intyp, maar het voelt wel als mijn bits - en die hoeven wat mij betreft niet over het internet te gaan zwerven. Natuurlijk gaat voor the Pirate Bay, Scroogle en Tor hetzelfde als voor ISP's geldt, maar het lijkt erop alsof het risico in ieder geval meer gespreid is.

Ik ben op dit punt een groot voorstander van 'security by design': in de infrastructuur ingebouwde zekerheid en vertrouwelijkheid. We hebben het tenslotte niet over mensen die lijden onder bureaucratie maar over machines die het helemaal niet erg vinden om aan het werk gezet te worden. 'Security by design' moet je niet verwarren met proefballonnetjes zoals recentelijk vanuit de ITU omhoog kwamen - op verzoek van onder meer de Chinese overheid - om opsporingsfaciliteiten in het DNA van ieder internetpakketje in te bouwen, zodat dissidenten eenvoudiger opgepakt kunnen worden. Security vereist juist vertrouwelijkheid en gegarandeerde intransparatie van buitenaf, en de 'geheimen' om die vertrouwelijkheid te waarborgen wil je zo goed mogelijk beschermen. Machines hoeven elkaar alleen maar te vertrouwen zolang je de zaken niet goed voor elkaar hebt. Ineens kan dat naïeve vertrouwen niet meer, en het enige wat dan helpt is goed gedoseerde technologie die een minimum aan vertrouwen vereist en een maximum aan verificatie biedt.

Een belangrijk punt is dat je een antwoord van iemand niet zomaar moet geloven, ook al komt het van een vertrouwd iemand (zeg: je privacy- en securitybewuste internetprovider). Dat leren we kinderen ook: je mag niet meegaan met andere mensen, zelfs al zijn ze familie of zeggen ze dat papa en mama hebben gezegd dat je mee moest komen. Als dat al eens een keer nodig mocht zijn, dan bewijs het maar ter plekke: bel papa maar met je mobiele telefoon of laat maar een filmopname zien van papa op het vliegveld die roept dat het okay is om vandaag (met weekdag en al) mee te gaan met X. En dan nog even bij een andere vertrouwde volwassene (bijvoorbeeld een docent) controleren.

Natuurlijk kan ik niet voorkomen dat individuele burgers die op ieder knopje klikken dat langs komt flitsen op een infectueuze bak rotzooi zitten te werken. En natuurlijk kan ik ook niet voorkomen dat de mensen met wie je communiceert niet te vertrouwen zijn. Maar een overheid hoort maar beter niet al te kwetsbaar te voor de risico's zoals hierboven geschetst. Zeker niet als ze allerlei matig beveiligde databases online brengt met daarin mijn verkeersgegevens, elektronische patientendossiers, politiedossiers, militaire geheimen, kopieen van bankafschriften, enzovoort. Geen vertrouwen tot het tegendeel bewezen is - voor DNS-servers, voor stemcomputers en voor mijn eigen computer (want ook daar vertrouw ik liefst zo weinig mogelijk programmeurs, ook daar kunnen internetwormen op inbreken, ook daar kan hardwarematig een backdoor zijn ingebouwd in een BIOS-chip door een leverancier, ook daar kan ik iets misconfigureren). En zelfs als iets ooit theoretisch veilig zou moeten zijn, moet je continu blijven nadenken of dat met technologische innovaties niet kan wijzigen. Of dat er geen omwegen zijn. De prijs van vertrouwen kan anders hoog oplopen.