In het vorige Pictogram-nummer schreef Frank Brokken in zijn
security-column over o.a. de onveiligheid van telnet- en ftp-servers. Naar
aanleiding hiervan ontving de redactie de volgende reactie van Doeko Homan,
werkzaam bij de afdeling Computerzaken van het RC.
Uit de parallel van ICT-security en een middeleeuws kasteel (zie Pictogram
april/mei 2002) valt het nodige te leren. Maar zoals iedere analogie gaat ook
deze vergelijking mank. In dat kasteel zal het een komen en gaan geweest zijn,
denk maar aan leveranciers en ambachtslieden. De poortwachter zal alleen bij
vreemden moeilijk doen, en bekenden zonder verder vragen doorlaten.
Toegepast op ICT-security, het 'zonder verder vragen doorlaten' is de
telnet/ftp-toegang. En het is zwaar overdreven dat te rangschikken onder het
kopje 'Maar werkelijk het stomste wat onze kasteelheer kan doen'. Bij
ICT-security word je voortdurend geconfronteerd met de afweging 'ideale
situatie' versus 'in de praktijk gegroeide situatie'. Het gaat niet aan te
doen alsof de wereld pas vandaag is ontstaan en alles nog ideaal te regelen
is. Het van toepassing verklaren van waardeoordelen als bovenstaande is dan
ook krenkend voor iedereen die in een niet-ideale wereld probeert er het beste
van te maken.
Je kan niet zomaar de telnet/ftp-gebruikers in de kou laten staan. Want het
moge duidelijk zijn dat handhaven van telnet/ftp naast een andere toegang de
beveiliging niet verbetert. Een gebouw is nog nooit veiliger geworden door het
creëren van een extra toegang.
We zullen eens volgen wat er gebeurt als je 'het stomste wat je kan doen,
telnet/ftp beschikbaar houden', vervangt door een andere faciliteit die we ssh
zullen noemen. Je weet in principe aan wie je toegang geeft, maar er kan
misbruik van gemaakt worden zoals door
- Afluisteren van of inbreken op de communicatielijn van toetsenbord
naar computer.
- Slordigheden van de gebruiker, zoals opschrijven of overdragen aan
bekenden van username/password.
Het eerste punt, de communicatielijn, valt voor een groter of kleiner deel
onder netwerkbeheer. Het tweede punt onttrekt zich aan iedere controle.
Met het verbieden van telnet/ftp creëer je schijnzekerheid. Het onderdeel
'afluisteren van de communicatielijn' leidt niet meer direct tot misbruik.
Maar, ook via de toegang ssh kan misbruik gemaakt worden als er ingebroken is
op de communicatielijn. De gebruiker krijgt bij opnieuw inloggen dan mogelijk
een vraag waarop ok gegeven moet worden. Net als bij de last-login-melding
van telnet, wordt dan de alertheid van de gebruiker op de proef gesteld. En
daar moet je geen illusies over te hebben. De kans lijkt mij het grootst dat
de gebruiker denkt 'weer zo’n rare melding van de computer', en gewoon ok
geeft.
Dat wordt verergerd door het feit dat ssh van de gebruiker een actieve
houding vereist. In ssh worden nog steeds security holes gevonden, en
de gebruiker zal de laatste update of nieuwste versie moeten
installeren. Het is de ogen sluiten voor de realiteit als je denkt dat de
massa van gebruikers dat zal doen.
Wat ik constateer bij ICT-security is, dat heel gemakkelijk voorbijgegaan
wordt aan de consequenties voor gebruikers van een opgelegde maatregel.
Bijvoorbeeld ook het aantal username/passwords in gebruik per gebruiker (pc’s,
elektronische agenda e.d.) is dermate groot, en de afgedwongen wijziging van
passwords is dermate frequent, dat opschrijven haast onontkoombaar is.
Betreffende de communicatielijnen denk ik dat het juist een taak van een
Rekencentrum is om te zorgen dat communicatielijnen niet afgeluisterd of
gekraakt kunnen worden. Voorlichting naar gebruikers is dan aangeven welke
lijnen als 'veilig', en welke als 'onzeker' beschouwd moeten worden.
Overigens ben ik van mening dat bewustwording van ICT-security prima is, maar
dat het gegeven voorbeeld van de gestolen laptop paniekzaaierij is. Mijn
inschatting is dat die laptop gewoon gestolen is om het apparaat zelf, niet om
de datafiles. De conclusie dat versleuteling van die data 'de nodige slapeloze
nachten' voorkomen heeft, is onjuist. Als het inderdaad te doen geweest is om
de files, is er pas echt reden tot slapeloze nachten. Want de dief zal dan
zeker terugkeren om de sleutel dan wel de onversleutelde data in handen te
krijgen ….
