Als het om beveiliging en IT gaat, hoor je vaak dingen zoals “het kan toch geen kwaad”, “beter iets dan niets” of “hoe meer beveiliging, hoe beter”. Nee, nee en nogmaals nee! We geven een overzicht van wat echt werkt en wat niet, zodat je de juiste maatregelen kunt nemen.
Als het om security gaat, kun je er niet zomaar op los beveiligen. Veel beveiligingsmaatregelen kunnen ongewenste en zelfs onveilige bijwerkingen hebben. Een slechte beveiliging kan gevaarlijk en daarmee erger zijn dan helemaal geen beveiliging. Als je te stringente beveiligingsmaatregelen treft, krijg je ofwel een situatie waarin gebruikers niets meer kunnen uitvoeren, met alle negatieve gevolgen van dien, of gebruikers bedenken creatieve workarounds om ondanks de beveiliging het toch enigszins leefbaar te houden. Omdat de gevaarlijke mantra’s keer op keer weer de kop opsteken, volgen hier enkele praktijkvoorbeelden die illustreren wat de mogelijke consequenties kunnen zijn.
Beveiliging, mythe 1: “Het kan toch geen kwaad?”
De firewalls die deel uitmaakten van diverse internet security suites volgden geruime tijd het principe dat ze alleen bepaalde toepassingen toegang verleenden tot het internet, zoals browsers en mailprogramma’s. Daarbij werden er ook beloftes gemaakt dat ze aanvallen konden herkennen en dat ze netwerkpakketjes van kwaadaardige systemen konden blokkeren. Dat zou dan moeten verhinderen dat trojans schadelijke code van internet konden ophalen. Kortom, aanvallen zouden in de kiem gesmoord worden.
Desondanks lukte het de trojans om deze blokkades te omzeilen. En tegelijkertijd werkten talloze toepassingen niet meer die het van de internetverbinding moesten hebben. Het uiteindelijke resultaat was niet alleen een grote tijdverspilling bij de zoektocht naar probleemoplossingen, maar vooral serieuze veiligheidsproblemen. Persoonlijke firewalls verhinderden bijvoorbeeld de automatische update van programma’s. Met als gevolg dat gebruikers virussen op het systeem kregen omdat ze met verouderde toepassingen werkten. Bij c’t-tests is het ons meerdere keren gelukt om de persoonlijke firewalls over te halen om de updateservers voor virusdefinities op de blacklist met kwaadaardige systemen te plaatsen, zodat de updates van antivirusprogramma’s werden geblokkeerd. De overdaad aan security was dus wel degelijk schadelijk.
Beveiliging, mythe 2: “Beter iets dan niets?”
Voor de versleuteling van verbindingen over een onveilig netwerk (Transport Layer Security, TLS) activeerden veel beheerders als fallback-oplossing voor verouderde software ook versleutelingsopties waarvan al bekend was dat ze gekraakt konden worden. Het argument was dat het kraken toch enige moeite zou kosten en dat de fallback-oplossing altijd nog beter was dan de gegevens als leesbare tekst te verzenden. Dat lijkt op zichzelf genomen een steekhoudend argument.
Dat dit niet zonder meer zo is, bewijst bijvoorbeeld de DROWN-aanval die in 2016 werd gedemonstreerd. Dit acroniem staat voor Decrypting RSA with Obsolete and Weakened eNcryption en beschrijft het principe achter de aanval. De aanvallers dwingen daarbij het gebruik van de verouderde SSLv2-versleuteling af. En die kan vervolgens met minimale inspanning worden gekraakt.
De clou hiervan is dat daarmee de centrale beveiliging kan worden achterhaald van de server die alle verbindingen veilig moet houden. Met deze pre-master-secret kunnen de aanvallers dan achteraf zelfs gegevens ontsleutelen die met de actuele TLS 1.2-versleuteling zijn beveiligd. Destijds had ongeveer een derde van alle HTTPS-servers dit veiligheidsgat. De oudere versleuteling was dus niet beter dan helemaal geen beveiliging, maar vormde juist een acuut gevaar.
Beveiliging, mythe 3: “Hoe meer bescherming, hoe beter?”
Een goed wachtwoord is flink lang en bestaat uit een mix van letters, hoofdletters, cijfers en speciale tekens. Veiligheidsbewuste beheerders stellen de boel dan zo in, dat gebruikers alleen maar wachtwoorden kunnen kiezen die aan deze vereisten voldoen. Bovendien moeten ze om de maand een nieuw wachtwoord instellen. Een mooi eisenpakket, maar je kunt op je vingers natellen dat het gebruikers nooit lukt om al deze wachtwoorden steeds te onthouden. Dus zoeken ze naar andere oplossingen. Het wachtwoord wordt dan op een papiertje geschreven dat onder het toetsenbord of in een la wordt bewaard. Daarom vind je deze eisen ook niet bij nieuwe adviezen voor wachtwoorden.
Een goed praktijkvoorbeeld: het is voorgekomen dat bij een bedrijf een belangrijk bestand voor een presentatie in de vergaderruimte niet beschikbaar was. Het gebruik van usb-sticks was uit veiligheidsoverwegingen verboden en werd onmogelijk gemaakt door de usb-poorten op bedrijfsapparaten te blokkeren. De apparaten in de vergaderruimte konden uiteraard ook geen verbinding maken met het gemeenschappelijke netwerk en de gedeelde netwerkopslag van de kantoor-pc’s. De presentatie dreigde stevig de mist in te lopen vanwege het bestandje dat niet beschikbaar was.
Uiteindelijk losten ze het maar op door een collega het bestand via mail naar het privé mailaccount van de presentator te laten sturen, omdat hij in de vergaderruimte wel toegang had tot zijn webmail. De extreem gevoelige informatie werd dus uiteindelijk onversleuteld via het internet verstuurd en stond dus onbeveiligd op de server van de mailprovider. Bij navraag bevestigden gebruikers dat ze dit weleens vaker deden, omdat bestanden regelmatig uitgewisseld moesten worden, maar dit vanwege de beveiliging op geen andere manier kon.
Minder is soms meer!
In al deze gevallen zijn niet de gebruikers het probleem. Die proberen alleen maar hun werk te doen, niet dankzij maar ondanks de beveiliging. Het probleem zijn de beheerders, die veiligheidsmaatregelen belangrijker vinden dan de behoeften van de gebruikers. Een gebruiksvriendelijke insteek met minder pseudo-security leidt veelal tot een betere beveiliging.
Om een lang verhaal kort te maken: wie een goede bescherming wil, zet gepaste beveiligingsmaatregelen doelgericht in: zo veel als nodig, maar ook zo min mogelijk. Je moet dan uiteraard wel weten wat waartegen beschermt, wat het niet waar kan maken en welke bijwerkingen de gekozen maatregelen kunnen hebben. In c’t 4/2018 belichten we dit in een reeks artikelen met betrekking tot malware, het internet, bestanden en authenticatie.
(Jürgen Schmidt / Daniel Dupré, c’t magazine 4/2018)