Het meest opvallende bericht van de afgelopen twee weken is volgens mij het
dinsdag uitgekomen Gartner rapport. Volgens deze analyse zal de helft van
alle kleinere en middelgrote bedrijven die zelf de netwerk security ter hand
nemen, tegen 2003 prooi zijn geworden van een succesvolle cybermisdaad. Meer
dan 60% van deze bedrijven zal het geeneens merken. Vooral kleinere
bedrijven zouden gevoelig zijn voor virii en gehackte websites. Goed zeg,
maar bij een virus dat niet opvalt of een gehackte website die niet
opvallend verstoord is, kun je je afvragen in hoeverre er dan sprake is van
misdaad. Gartner heeft in alle wijsheid nog meer te melden.
Een ander groot risico dat het MKB neemt, is diensten afnemen bij regionale
ISP's, die, impliceert Gartner, minder goed hun klanten kunnen beveiligen
tegen kwaadwillenden dan de grote jongens. Dus moeten we van een ISP als
Knoware omschakelen naar Chello? UPC is volgens de directeur immers een van
de vernieuwendste bedrijven van het nieuwe millennium (zaterdag geciteerd in
NRC Handelsblad). Via een ISP wiens netwerk geen toegang geeft tot het
Internet, ben je inderdaad veiliger. Is vernieuwend voor een ISP. Maar dat
is volgens mij niet wat Gartner bedoelt. Of naar een van de andere groten in
providerland, zoals Libertel, wiens mailserver SMTP relaying toestaat, zoals
een van mijn collega's ze van de week heeft moeten melden? (het probleem is
als het goed is woensdag overdag verholpen). Als de CSN-lezers behoefte
hebben aan een langere lijst; dat kan.

Gartner adviseert het MKB ook nog andere maatregelen te nemen om hun
netwerken beter te beveiligen, teneinde verlammende aanvallen te voorkomen.
Let wel, van die aanvallen die 60% niet opmerkt. Ten eerste het inschakelen
van gespecialiseerde bedrijven om de systemen te auditen en risico
management te implementeren. Ten tweede een firewall te installeren die
onderhoudsarm is. Daarnaast alle mail te scannen op virussen en als laatste
geconsolideerde modempools en remote access servers te gebruiken in plaats
van dial up access. Hierdoor zou twee derde van de netwerken veilig worden.
Volgens mij kun je dat security bedrijf beter anders inzetten. Een
onderhoudsarme firewall is een eenvoudige firewall, van het soort dat in de
professionele pers niet eens besproken wordt. Je kent ze wel, geïntegreerd
in een telefooncentrale, of zo eentje die automatisch updates van het
Internet haalt. Dit soort systemen biedt vrijwel alleen schijnveiligheid.
Laat dat securitybedrijf een echte firewall optuigen. Vinden ze
waarschijnlijk ook veel leuker. En van de securitybedrijven biedt een zeer
kleine minderheid risicomanagement. Dat is misschien toch echt iets anders
dan technische security, en meer wat voor management consultants. Gartner
geeft verdergaand advies aan bedrijven die gevoelige informatie op hun
systemen hebben, zoals advocatenkantoren, banken, kleine verzekeraars en de
lokale overheden. Die kunnen het beste outsourcen.

Een onderzoek van Information Security magazine meldt dat 8 van de 10
bedrijven in de VS dit jaar al slachtoffer zijn geworden van een of meer
grote cyberaanvallen. Nogal andere getallen dan Gartner gebruikt, maar los
daarvan: hoeveel security specialisten zijn er nodig? Kan dat outsourcen nog
wel, als het advocatenkantoor op de hoek moet concurreren met de grote
bedrijven van deze wereld om de schaarse specialisten?
Dit past wel bij de ontwikkeling naar steeds meer gecertificeerde security
specialisten en het uit de grond schieten (vooral in de VS) van cursussen en
nieuwe papiertjes met zegel en lijstje voor boven het bed. In het forum van
CISSP's, en dat zijn de zwaarst gecertificeerde securityfreaks, wordt al
tijden steen en been geklaagd dat het opleidingsniveau daalt, met
waarschijnlijk als doel te zorgen dat er straks tenminste genoeg 'erkende'
specialisten zullen zijn. Krijgen we dus een herhaling van de depreciatie
van het MCSE papiertje. Oftewel voor veel geld slechte techneuten.
Wel interessant in het Gartner stuk zijn de projecties van de omzetstijging
in de ICT-securitybranche. Van 2.5 miljard dollar in 1999 naar ruim 6.7
miljard in 2004. Het is dus wel een interessante bedrijfstak voor diegenen
die door het tegenvallen van de e-buzz even niets te doen hebben. En voor
Gartner zelf, die nog meer interessante analyses kan loslaten op de wereld.
Ik hoop dat ze tegen die tijd er wel verstand van hebben, want deze analyse
is ver onder de maat.

In de vorige CSN maakte ik melding van Qualysguard, een online scanner; er
is weer een nieuwe, dit keer opgezet door VISA, te vinden op
http://www.visa.com/secured. Een interessante vraag is wat de rol kan zijn
van dergelijke over het web scanners. VISA richt zich op e-commerce
initiatieven, zodat het merendeel van de security issues, die zoals wellicht
bekend vooral vanuit de eigen organisatie spelen, niet voorkomen. Het gaat
dus per definitie om meer technische issues. Het is me nog niet bekend wat
voor een scanners VISA aanbiedt, maar het is niet waarschijnlijk dat ze meer
kunnen dan de grote producten als STAT, ISS, Nessus, Retina en March. Of ze
bieden een combinatie van deze producten, hoewel dit technisch niet bepaald
mogelijk lijkt. Ik vermoed dat VISA hiermee een redelijke startpropostitie
voor e-klanten biedt, maar deze moeten oppassen, omdat geen enkele scanner
van buitenaf de echte problemen kan vinden, zonder daadwerkelijke penetratie
uit te voeren. En dat kan niet de bedoeling zijn. Daarnaast, hoe kan een
doorsnee e-ntrepeneur de uitkomsten van een scanner voldoende op waarde
schatten, zonder diepgaande kennis van het securityvakgebied? Of de gaten
die gevonden zijn dichten? Dat is meer de taak van de hosting company. De
rol van een scanner als deze is primair als awareness tool.
Voor alle leveranciers en producenten van software en hardware komt er zeer
belangrijk nieuws van CERT.org. CERT vond het tijd voor een nieuwe
disclosure policy. Nu werkt het zo dat een producent op de hoogte gesteld
wordt van een bug of ander security issue, en als een fix of bruikbare
workaround beschikbaar is, het bericht de wereld ingestuurd wordt. Daardoor
krijgt de maker van de fout de kans deze te herstellen zonder dat er vanuit
klanten grote druk uitgeoefend word. De nieuwe policy is dat 45 dagen na de
melding van het issue, openheid gegeven zal worden, ongeacht of er een fix
is of niet. Hiermee verschuift de opstelling van CERT van pure white hat
naar een wat meer resultaatgerichte grijstint. Dit is wellicht ingegeven
door de traagheid of erger van sommige leveranciers. Het komt wel eens voor
dat reproduceerbare issues ontkent en dus gewoon niet verholpen worden. CERT
geldt als toonaangevend, te verwachten is dat andere instanties dit
voorbeeld zullen volgen. Een ander resultaat zal zijn dat het aantal
security alerts groter zal worden, omdat zaken niet onder de pet kunnen
blijven. De nieuwe policy is te vinden op
http://www.cert.org/faq/vuldisclosurepolicy.html.

Inmiddels is vastgesteld wat de opvolger wordt voor DES. Onder de naam AES
(Advanced Encryption System) wordt een Rijndael implementatie de nieuwe norm
voor banken, verzekeraars en online activiteiten. Bekend was dat sommige
specialisten een DES versleuteld bericht met een 40 bits decodeersleutel
behoorlijk snel konden kraken. Oprekken naar 56 bits heeft even geholpen,
maar nu zal iedereen echt afscheid van DES moeten nemen.

Vrijwel tegelijkertijd is ook het 25 jaar oude RSA versleutel mechanisme
vrijgegeven. Het staat iedereen nu vrij om dit versleutel mechanisme te
gebruiken, maar ook dit werkpaard begint wat amechtig te worden.
Cryptografen zijn al een aantal jaren in verschillende weiden aan het zoeken
maar tot op heden hebben zij alleen maar beloftevolle veulens aangetroffen,
en geen degelijke reus die tegen de gestelde taken opgewassen is. Het is nog
even afwachten wat hier de ontwikkelingen gaan worden.

Een migratie naar AES binnen afzienbare tijd is voor DES gebruikers
onvermijdbaar en we moeten maar hopen dat ook voor RSA een goede vervanger
wordt gevonden. De vraag naar cryptografen en gespecialiseerde programmeurs
zal de komende tijd dan ook snel groeien. Het vinden van deze lieden is wat
lastig, omdat deze beroepsgroep zulke activiteiten niet prominent voeren op
visitekaartje, in CV's en dergelijke. Dus vind ze maar.

Peter Rietveld is security expert en eindredacteur van de CSN nieuwsbrief.