Saturday, April 19, 2014

IT snapt Heartbleed niet

door

heartbleed, vraagteken, question
door
Opinie - De reactie van IT-afdelingen op het Heartbleed-lek is bijna net zo verontrustend als het gat zelf.
Het patchen van OpenSSL, het installeren van nieuwe certificaten en het veranderen van wachtwoorden is prima, maar de kritieke follow-up ontbreekt. We zouden beter moeten nadenken over het omgaan met security van missiekritische software.
Als je er als buitenstaander naar kijkt, is Heartbleed een godsgeschenk voor IT: het is een belangrijke wake-up call voor fundamentele problemen in de omgang met internetsecurity. Als iedereen nu wakker wordt, gaat security er flink op vooruit. Maar als deze kwetsbaarheid gewoon wordt gepatcht en verder genegeerd, dan zijn we ten dode opgeschreven. (Ik denk al jaren dat we er allemaal aan gaan, maar nu heb ik daar meer bewijs voor in handen.)
Laten we eens teruggaan hoe Heartbleed ontstond. Het is kennelijk per ongeluk twee jaar terug aangemaakt door de Duitse softwareontwikkelaar Robin Seggelmann. In een interview met de Australische Sydney Morning Herald, zei Seggelmann: "Ik werkte aan het verbeteren van OpenSSL, voerde verschillende bugfixes door en voegde een aantal nieuwe features toe. Voor een van deze nieuwe functies miste ik, helaas, de validatie van een variabele."
Nadat Seggelmann de code had ingestuurd, heeft de reviewer de missende validatie kennelijk niet opgemerkt en is de code van de developmentfase in de productieversie terecht gekomen. Seggelmann stelt dat de fout zelf "vrij triviaal" is, terwijl de consequenties dat allerminst zijn . "Het was een simpele programmeerfout voor een nieuwe feature. Helaas heeft dit plaatsgevonden in een voor security belangrijk gebied."
Wat Segelmann deed was perfect te begrijpen en te vergeven. Het grote probleem is dat er onvoldoende veiligheidsmaatregelen in het systeem zijn ingebouwd om simpele wiskundige fouten te voorkomen. Als de checks and balances in het systeem zo fragiel zijn dat een typfout alle getroffen securitymaatregelen kan ondermijnen, zijn er een aantal fundamentele zaken die oplossing behoeven. Laten we niet vergeten dat toen Robert Tappan Morris in 1988 zijn Internet Worm losliet, het hele internet crashte. Ook dit was het resultaat van een rekenfout. Hij had nooit voorzien dat servers zouden crashen, maar toch gebeurde dit.
CIO David Schoenberger van securityleverancier Transcertain stelt dat de echte securityzwakheid waar we hier mee te maken hebben een teveel aan vertrouwen is onder IT-professionals. Persoonlijk denk ik dat je daaraan kunt twijfelen, maar Schoenberger maakt wel een interessant punt.
"Dit gaat mensen opnieuw doen nadenken over wat we eigenlijk doen. Er worden zoveel dingen over het hoofd gezien en als vanzelfsprekend ervaren. In de IT-wereld hebben we te lang op vertrouwen geleund", zegt hij. "Kijk maar naar de miljardenbedrijven die vertrouwen op peer-reviewed open-source. We nemen niet meer de moeite om zelf de proef op de som te nemen. Omdat het meestal werkt en het, in onze perceptie, goed werkt, slaagt het voor onze tests. Op dit moment heeft open-source gefaald, maar het had ook een commercieel product kunnen gebeuren. Dit had overal kunnen plaatsvinden."


Microsoft vertrouwt al jaren op crowdsourcing. Een softwareproduct wordt voor miljoenen mensen gelanceerd en Microsoft vertrouwt erop dat de community de gaten vindt. Ik grapte eerder daarover dat Microsoft kwaliteit op plaats 1.1 zet. Het idiote is dat de strategie van Microsoft werkt. Maar hoe kon Heartbleed twee jaar lang rondspoken zonder dat een securityonderzoeker het opmerkte?




Sommigen zijn ervan overtuigd dat mensen en instanties ervan hebben moeten weten. De NSA is beschuldigd van kennis en misbruik van het gat. Deze beschuldiging leidde tot een ontkenning. In een statement liet men weten: "De federale overheid was niet op de hoogte van de recent geopenbaarde kwetsbaarheid in OpenSSL totdat deze publiek gemaakt werkt in een cybersecurity rapport afkomstig uit de private sector."
Er zijn twee onderdelen van het volledige statement (lees die hier) waarin de geloofwaardigheid van de NSA te betwisten valt. Allereerst is het idioot om te verklaren dat niemand van de federale overheid (dus de CIA, FBI, NSA, het leger en 200 overheidsinstellingen) ook maar iets van het gat wist. Hoe weet je zeker dat een securityspecialist van het leger het niet wist? Niet ieder gat dat wordt ontdekt wordt noodzakelijkerwijs gerapporteerd aan het senior management. Als ze hadden gezegd "voor zover ons bekend" of "we kunnen het niet met zekerheid stellen dat, maar...", dan zou dat wel plausibel zijn. Het is alsof mijn tienerdochter vertelt dat niemand op haar school drinkt of drugs gebruikt.
Mijn tweede punt bij het NSA-statement heeft betrekking op de laatste regel: "Tenzij er een heldere noodzaak is vanuit nationale veiligheid of wetshandhaving, brengen wij zulke kwetsbaarheden altijd naar buiten." Niets in het statement wijst erop dat zo'n noodzaak er in dit geval was. Het is vergelijkbaar met mijn dochter die na haar eerdere uitspraak zegt: "Ik vertel altijd de waarheid over zulke dingen, tenzij het mijn vrienden in de problemen zou brengen, dan zou ik wel liegen."
Ik ben nooit een fan van het toevoegen van extra bureaucratie, maar het is misschien tijd om formele controlerende procedures in te stellen - liefst meerlaags - waarbij mensen actief en transparant onderzoek doen naar mogelijke gaten. Peer review is goed, maar voor iets cruciaals als internetbeveiliging, zijn we allang het punt gepasseerd waarbij er soms iets op mag duiken. We moeten er proactief naar op zoek.


Evan Schuman was eerder hoofdredacteur van techsite StorefrontBacktalk en columnist bij CBSNews.com, RetailWeek en eWeek. Tegenwoordig schrijft hij columns voor zustersite Computerworld.com.

No comments:

Post a Comment