Recent in het nieuws
Automatiseringsgids: Lekke software: ‘fact of life’
Joost Bijl van Fox-IT geeft een reactie op het feit dat software gekraakt is op de PWN2OWN wedstrijd.
Lekke software: ‘fact of life’
De Nijmeegse beveiligingsspecialist Peter Vreugdenhil kraakte vorige week tijdens de hackwedstrijd CanSecWest twee belangrijke beveiligingsmechanismen van Windows 7. Een derde was al eerder gekraakt. Daarmee is bewezen dat ook Windows 7 in feite onveilig is. Maar Windows is geen uitzondering. Vrijwel alle software bevat fouten die misbruikt kunnen worden. Die software niet gebruiken blijkt echter geen optie.
“In principe is software inderdaad onveilig”, zegt een woordvoerder van beveiliger Fox-IT. “Maar wat is het alternatief? Alle software bevat veiligheidsissues. Er zijn wel bedrijven die software hierop controleren en voor de bescherming van staatsgeheimen keurt de overheid software hierop. Gezien de tijd die dit kost, is dat maar voor een zeer beperkt aantal programma’s gebeurd. Daarbij gaat het vooral om tamelijk simpele software. Er is echter heel veel complexe software, zoals besturingssystemen, en die is niet foutloos.”
Lekken zijn niet te voorkomen
Bugjager Vreugdenhil merkt dat softwarefabrikanten de beveiliging de laatste jaren beter aanpakken. “Microsoft bijvoorbeeld doet het heus wel goed. Maar programmatuur is heel complex en het blijft mensen-werk. Dan sluipen er gaten in. Dat kun je niet voorkomen.”
Een alomvattende oplossing voor dit probleem ziet hij ook niet. “Wat wel helpt zijn betere kwaliteitscontroles. En extra beveiligingsmechanismen maken het moeilijker om misbruik van gaten te maken. Maar daarmee wordt het niet waterdicht.”
Volgens Andrew Jaquith van Forrester is hacken nog steeds niet ‘makkelijk’. “Vreugdenhil had er twee weken voor nodig. Tegen een uurtarief van 200 dollar kostte deze exploit dus 16.000 dollar. Een hacker schreef tien jaar geleden één exploit per dag. Dan zou je bijna kunnen zeggen dat het tien keer zo moeilijk is geworden om Windows te kraken.”
Aangezien er weinig alternatieven zijn, zullen bedrijven en banken de software toch gebruiken. “Je hebt nu eenmaal je bedrijfsprocessen die door moeten gaan. Bedrijven moeten zich daarom goed realiseren dat het onveilig is en dat ze extra beveiliging moeten gebruiken, zoals monitoring en defense-in-depth.” Ook is het volgens hem raadzaam minder gangbare software te gebruiken omdat vooral veelgebruikte software het doelwit is van hackers.
Ook Andrew Jaquith, senior analist bij Forrester, ontraadt het klanten niet de software te gebruiken. “Als ik banken of overheden moet adviseren over het wel of niet gebruiken van Windows 7, dan vertel ik ze dat ze de afweging tussen de voordelen en de nadelen alleen zelf kunnen maken. Sommige onderdelen van nationale inlichtingendiensten gebruiken ‘trusted’ besturingssystemen zoals Trusted Solaris en SELinux. Die zijn voorzien van Mandatory Access Control. Andere organisaties vinden commerciële besturingssystemen, maar dan ‘gehard’ en correct geconfigureerd, goed genoeg.”
GOVCERT ziet wel mogelijkheden om goed te werken met onveilige software. “We zouden niet durven zeggen dat alle software onveilig is, maar wel dat uiteindelijk heel veel software te kraken is en dus onveilig gemaakt kan worden”, meldt een woordvoerster van GOVCERT. “Heel veel bedrijven en overheidsorganisaties zijn zich daarvan bewust, maar geen bedrijf kan nog zonder software. Dus moet je zorgen dat je wel veilig kunt werken, ook al zit er een lek in de software. Dat betekent dat je aanvullende maatregelen moet nemen.” Zij benadrukt dat het met de juiste maatregelen heel goed mogelijk is veilig te werken. “Wat nu veilig is, kan morgen onveilig zijn. Dat betekent echter niet dat die organisatie dan per definitie onveilig is.”
Volgens professor Paul Klint, hoogleraar Software Engineering bij het CWI, is het een kwestie van geld. “Er is niets fundamenteel mis met software waardoor die makkelijk te kraken zou zijn. Het is gewoon duur om iets volkomen waterdicht te maken.” Want dat betekent onder meer dat bij het ontwerp op een hoog niveau inzicht moet zijn in de beveiliging en dat er meer en dieper getest moet worden. Dat gebeurt in veel gevallen echter niet. En het resultaat is dat software inderdaad vaak onveilig is, constateert Klint. Dat verschilt overigens wel per soort applicatie. “Hoe kritischer de toepassing, hoe meer er geïnvesteerd wordt in de veiligheid ervan. Software in vliegtuigen en in kerncentrales is heel betrouwbaar. Maar bij chatapplicaties ligt dat heel anders.”
Of je onveilige software zakelijk moet gebruiken, is een eigen keuze. Hij ziet hierin een verantwoording voor de makers, maar ook voor de gebruikers om zich aanvullend te beveiligen. “Banken zijn zich hiervan goed bewust, consumenten niet en bedrijven zitten daar tussenin. En dat laatste volstaat niet.” Hij verwacht echter dat dat bewustzijn verbetert naarmate steeds duidelijker wordt hoe afhankelijk men wordt van software. “Er moet veel meer onderzoek gedaan worden. Als je kijkt wat nu al het economisch belang is van software en als je dan ziet wat er in onderzoek naar de kwaliteit en beveiliging daarvan wordt gestoken, dat is een fooi!”
