Groot nieuws is de hack van het Microsoft netwerk. Op het televisie nieuwswerd een gejaagde CEO Steve Ballmer getoond, die eerst ontkende en toen
erkende dat 'de source' gecompromitteerd was. Met de source wordt de geheime
broncode bedoeld waarmee bijvoorbeeld het besturingssysteem Windows kan
worden gemaakt. Waarom zou een hacker al die moeite nemen? Microsoft
verstrekt geregistreerde ontwikkelaars "debug versies" van Windows, zodat
deze toch al alles over het geheime leven van het favoriete OS te weten
kunnen komen. Een jaartje of wat in het torentje van "Lubbers" om de diepste
roerselen van Windows besturen is nu al mogelijk, en het door verschillende
partijen gemelde risico dat iemand jarenlang de meest nare en zieke grappen
zal verzinnen om het OS onderuit te halen is dus niet nieuw. Als de broncode
naar buiten gekomen is wordt Windows misschien wel 'open source'. De
voorsprong op de concurrentie in het maken van Windows applicaties staat dan
op de tocht, veel effectievere virussen zijn te verwachten en het aantal
buffer overflow en stack overflow aanvallen zal toenemen. Vooral het laatste
is een interessante: nu is het nog zo dat zwaktes in de code van Microsoft
alleen op een zeer kundige manier gevonden kunnen worden. De nieuwe situatie
kan zijn dat ook niet-Microsoft gecontroleerde techneuten Windows gaan
'debuggen', en eventuele hierdoor verkregen kennis gebruiken om de reus uit
Redmond nog meer schade te berokkenen. Inmiddels wordt er weer gezegd dat de
broncode niet gecompromitteerd is. Overigens steeg de koers van de Microsoft
aandelen na de bekendmaking van de hack. De FBI heeft de zaak in onderzoek
gekregen.

Op TV werd niet duidelijk gemaakt wat er nu precies gebeurd was. Ook alle
andere berichtgeving is wazig te noemen, en verschillende MS medewerkers
geven tegenstrijdige lezingen. Enig onderzoek van de verschillende berichten
maakt duidelijk dat hoogstwaarschijnlijk Microsoft het slachtoffer is
geworden van een per e-mail ontvangen trojan, met de naam W32.HLLW.Qaz.A,
ook wel Qaz.Trojan. Dit virus is in juli in China voor het eerst in het wild
gevonden. Inmiddels zijn 4 ondersoorten aangetroffen. De trojan opent een
backdoor op poort 7597, en probeert andere PC's op hetzelfde netwerk te
besmetten via onbeschermde shares. De hackers gebruikten de besmette PC om
met andere software wachtwoorden van het netwerk te onderscheppen.
Beheerders van Microsoft zagen dat wachtwoorden naar een e-mail adres in St.
Petersburg verstuurd werden. Microsoft zei eerst dat het netwerk een maand
open heeft gestaan, maar zegt ook vijf en twaalf dagen. Er wordt nog hard
gewerkt om eventuele schade vast te stellen en te herstellen. Het is niet
met zekerheid uitgesloten dat de broncode 'aangepast' is door de hackers,
hoewel de engelse Microsoft manager Shaun Orpen het tegendeel claimde: "zulk
belangrijk materiaal laat je immers niet op je netwerk slingeren". Gezien de
campus-structuur van Microsoft is het onwaarschijnlijk dat de claim in de
pers dat de source van Windows en de source van Office gedownload was, juist
is. De verschillende afdelingen van MS hebben eiland netwerken, en
productieklare software ligt in de kluis. Waarschijnlijk is er alleen
toegang tot software in ontwikkeling geweest. Overigens zijn de hackers
betrapt omdat ze een foutje maakten. Het verzenden van wachtwoorden werd
opgemerkt, terwijl al enige tijd gebruik werd gemaakt van eerder (met de
sniffer?) verkregen wachtwoorden om source en andere bestanden te
downloaden. Als de hacker(s) de sniffer uitgeschakeld had - deze was immers
niet meer nodig -, had het langer geduurd voordat MS erachter was gekomen.
Maar goed, iedereen maakt fouten.

Welke conclusies zijn er nu te trekken? @Stake concludeerde dat Microsoft
blijkbaar geen 'military style' netwerk heeft, waarin de productie omgeving
gescheiden is van systemen met toegang tot Internet. Dat zou ook vreemd
zijn, dat past immers niet in de product filosofie van Microsoft: daarin
hangen alle systemen in een enkelvoudig netwerk. Wat wordt er verder nog
duidelijk? Ten eerste het falen van de virusscanners. De trojan is al enige
maanden bekend bij een aantal anti-virus software makers. Dus of Microsoft
heeft moeite met het up to date houden van de signature files, of gebruikt
niet al te beste anti-virus software. Ten tweede wordt duidelijk dat
Microsoft Firewalls gebruikt die dit blijkbaar toestaan. Maar het betreft
hier initieel een outbound connectie, en die worden zelden tegengehouden
door een Firewall. Ten derde blijkt dat er niet continu actief gescand wordt
op openstaande poorten. Ten vierde blijken ook Microsoft medewerkers gewone
werknemers, procedures omtrent attachments worden ook hier niet nageleefd.
Als dergelijke procedures tenminste bestaan, maar dat is wel te verwachten.
Ten vijfde worden e-mails niet gefilterd op attachments. Ten zesde dat het
blijkbaar mogelijk is te snifferen op het Microsoft netwerk zonder dat er
gelijk allerlei alarmbellen afgaan. Ten zesde dat Microsoft niet standaard
dialback gebruikt om de verbinding van thuiswerkers veiliger te maken. Ten
zevende dat MS geen communicatiescenario heeft liggen voor dergelijke
situaties, hetgeen een naar buiten toe aandoenlijk amateuristisch beeld
geeft. En tenslotte bewijst de affaire dat Microsoft vasthoudt aan de
(relatieve) openheid op securitygebied. De meeste bedrijven zouden dergelijk
nieuws niet naar buiten brengen. Zou dit de gunstige ontwikkeling van de
aandelenkoers veroorzaakt hebben?

Vanuit een inside bron bij Microsoft kreeg de CSN na het sluiten van de
kopij weer een andere lezing. Het zou hier gaan om een lokaas-systeem,
waarmee hackers gelokt worden, dat altijd, ook nu nog, open staat. MS zou
alleen nog niet weten welke exploit er gebruikt is om de Exchange 2000
server te compromitteren, maar elke stap aandachtig ter lering ende vermaak
volgen. Dit is conform bepaalde 'common practices' om met hackers om te
gaan, dus al met al geen onwaarschijnlijk verhaal. Het levert ze immers
inzicht op over hoe ver hackers nu kunnen gaan, en welke zwakheden er
eventueel nog in hun applicaties te vinden zijn. Normaal kosten dergelijke
onafhankelijke penetratie testen een fiks bedrag.

Het aantal met gebruik van de unicode bug gehackte sites die NT/IIS draaien
was de afgelopen weken enorm groot. Slechts enkele haalden toevallig het
nieuws. Het is duidelijk dat de traditionele ITIL gang van zaken echt niet
meer kan in het Internettijdperk. De doorlooptijd van een fix, door eerst
een RFC, dan Change Management, dan testen en dan implementeren, is veel te
lang. De Unicode patch en andere cruciale fixen kunnen niet wachten tot de
bureaucratie van een traditionele IT afdeling doorlopen is. Het blijkt in
het Unicode verhaal dat veel beheerders de Unicode patch van MS, die sinds
10 augustus verkrijgbaar is, domweg niet uitgevoerd hebben. Drie mogelijke
redenen: onwetendheid, tijdgebrek of bureaucratie. Voor de onwetende
beheerder is geen excuus mogelijk, maar helaas is het zo dat er vaak andere
redenen zijn. Gelukkig voor de meeste bedrijven zijn er beduidend meer IIS
servers dan actieve inbrekers. Het gaat hier niet alleen om specifieke
webservers, maar om alle NT servers die IIS draaien. Dit zijn dus ook MS
Proxy en MS Exchange servers. Het aantal servers waarop 'per ongeluk' IIS
draait als bijwerking van een 'Enter en Je Bent Er' installatie is ook erg
groot, en hoewel deze binnen een netwerk meestal afgeschermd van de
buitenwereld staan - als het goed is - zijn ook interne exploits te
verwachten, gegeven het feit dat verreweg de meeste aanvallen van binnenuit
komen. Tijdgebrek bij beheerders is veelal te wijten aan de structurele
onderbezetting en andere taken zoals het inwerken van weer nieuwe collega's.

De bureaucratie van het ITIL model is te vinden binnen vrijwel alle grote
shops, en zal in dit specifieke geval ongeveer als volgt uitwerken. Een
beheerder krijgt het MS Security Bulletin binnen, of leest op bijvoorbeeld
security.nl dat er een gat ontdekt is. De beheerder kiest voor een stiekeme
update met alle risico's van dien, of besluit de change molen in gang te
zetten. Daarvoor moet een RFC geschreven worden, waarbij alle risico's
benoemd worden. Het risico dat de server de patch niet overleeft moet
opgenomen worden, er zijn immers al eerder situaties geweest waarin een MS
Fix de boel onderuit trok. Het gaat hier per definitie om een serieuze
update, waarover goed vergaderd moet worden. Als er een testomgeving is,
wordt de patch eerst daar uitgevoerd en uitgebreid getest. Worden de
voorgeschreven testen doorlopen, dan duurt dat minimaal een paar dagen.
Weken komt ook voor. Intussen is, als daar tijd voor is, een
implementatieplan geschreven, anders gebeurt dit na het testen. Vervolgens
kunnen de systemen op de eerstvolgende binnen de organisatie beschikbare
servicedag gepatched worden. Dit is waarschijnlijk in een weekeinde, omdat
het rollbackscenario theoretisch de volledige restore of herbouw van de
server bevat. Gezien het aantal NT/IIS-servers in een beetje netwerk, kan
niet alles in een dag, en worden in het eerste service weekeinde alleen de
cruciale servers gefixed. Met dit scenario kan het dus wel een paar maanden
duren voor een netwerk met tientallen servers gefixed is. Zeker omdat veel
beheerders ervoor passen alle weekeinden op te draven en er ook nog ander
onderhoud bestaat dan fixes draaien op NT. En dan is het nog te hopen dat er
niet intussen een andere essentiële fix voor NT/IIS uitgekomen is. Er
ontstaat zo snel een permanente achterstand, die in het Internettijdperk
echt niet kan. Behalve als scriptkiddies en crackers zelf ook conform ITIL
gaan werken. Maar dat lijkt me onwaarschijnlijk.

Veel organisaties kiezen er uit praktische overwegingen voor om alleen de
major updates, ofwel de servicepacks, uit te voeren. Zo is een van de
grootste Nederlandse banken op dit moment aan het testen of ze al dan niet
service pack 6a voor NT4 (nu al bijna een jaar uit) gaan implementeren. Dit
betekent dat cruciale security fixes pas na zeer lange tijd uitgevoerd
worden. Deze aanpak dateert nog uit het mainframe tijdperk, en is op z'n
minst riskant. Het lijkt er veel op dat niets anders dan forse schade door
een hack de verantwoordelijken wakker kan schudden. En dan moet er een
alternatief komen voor ITIL, en dat is ook niet zo snel voorhanden.

De onderbezetting bestrijden is een probleem van heel andere aard. Op de
overheid wordt druk uitgeoefend om de tijdelijke inhuur van buitenlandse
IT-ers toe te staan, uit India, Indonesië, China of de Filippijnen. Nu zijn
dit soort tijdelijke krachten soms zeer nuttig, maar als het management niet
zeer goed is, neemt de kans op security-ongevallen enorm toe. Het duurt
immers enige tijd voordat iemand een netwerk of specifiek systeem afdoende
begrijpt om de configuratie echt veilig te krijgen. Voor de functie van
beheerder of andere support professional is kennis van het Nederlands
vereist, omdat diegene regelmatig contact moet hebben met gebruikers en
management. Zij moeten elkaar kunnen verstaan. Hoogopgeleide IT-ers uit
India spreken ongetwijfeld goed Engels. De vraag hierbij is dan ook meer of
het Engels van de Nederlanders voldoende is. Zullen de digitale
gastarbeiders het Nederlandse IT-Engels, dat steeds verder van de taal van
BBC en CNN af komt te staan, begrijpen? Ik heb zelf al menig native speaker
met gegeneerde blikken en onderdrukt gegrinnik op 'Engels'-talige
vergaderingen gezien. Wat is het beveiligingsrisico als een van deze
ingehuurde personen over een paar jaar weer in de sloppenwijken van Manilla
woont met hoogwaardige IT-kennis, diepgaande kennis van bijvoorbeeld de
beveiliging van een beurssysteem en hij even zijn rekeningen niet kan
betalen?

Overigens zijn er bij het gesignaleerde dramatische tekort aan IT-ers nogal
wat vraagtekens te plaatsen. Het aantal vacatures is heel moeilijk correct
in te schatten. Het komt nogal eens voor dat aanvragen door de mangel van
verschillende detacheerders worden gehaald, waardoor ze niet meer duidelijk
herkenbaar zijn en dubbel, driedubbel en nogmeerdubbel tellen voorkomt.
Daarnaast bestaat de situatie dat, door de werking van de arbeidsmarkt in IT
land, er naast veel lege stoelen, ook veel techneuten bij de detacheerders
'op de bank' zitten. Deze detacheerders hebben de pech niet op de juiste
shortlists te staan, en mogen dus niet rechtstreeks leveren. Ook beschikken
deze techneuten veelal niet over de gevraagde ervaring; van inhuur wordt
immers een veel betere match verlangd dan voor eigen mensen, die vaak
eindeloos omgeschoold worden. Er is een groot grijs gebied ontstaan van
doordetacheerders en gespecialiseerde doorverhuurders, die zelf vaak wel
geshortlist zijn. Dit grijze gebied wil ook graag veel geld verdienen, zodat
de inhuurprijzen verder stijgen. Is het nu verstandig om extra specialisten
uit het buitenland te halen? Je zou je eigenlijk eerst moeten afvragen
waarom veel ervaren mensen liever bij een detacheerder werken dan
rechtstreeks bij de 'eindklant'. Ik denk dat dit een uiting is van matig
personeelsbeleid bij veel bedrijven, gebrekkige werving, slecht management
en ondermaatse arbeidsvoorwaarden. Het is natuurlijk ook een erfenis uit de
tijd dat outsourcing in de mode was omdat bedrijven huiverig waren voor
vaste aanstellingen. Maar nu veel bedrijven juist niets liever willen dan
IT-ers in vaste dienst nemen, trekken ze aan het kortste eind. Bij een
detacheerder heeft een IT-er in de regel meer carrièrekansen en meer
afwisseling. De salarissen van IT-ers mogen grosso modo de laatste jaren dan
wel fors gestegen zijn, dit gaat meestal niet op voor de beheerders en
andere techneuten met een direct dienstverband bij een bedrijf, terwijl zij
veel meer verantwoordelijkheid hebben gekregen, en de dragers zijn van de
beveiliging.

De grote vooruitgang in arbeidsvoorwaarden is te vinden bij consultants en
managers, lees het salarisonderzoek van de Breedt er maar op na. Een
techneut blijft een techneut. Binnen een organisatie is zelden sprake van
functiegroei. De techneut die ook een hoger salaris wil, kan vaak nog maar
het beste een andere werkgever zoeken. Of niet langer techneut zijn.

Gaan de import IT-ers dan wel in vaste dienst bij de traditionele
inhuurders? Waarschijnlijk wel, ze zullen wel een tijdje onder de indruk
zijn van de - voor hun land - hoge salarissen. Maar dit zal een tijdelijke
situatie zijn. Ook zij zullen vroeg of laat gaan jobhoppen. Moeten ze dan
terug? Intussen kunnen de Nederlandse IT-ers zich dan gaan voorbereiden op
een consultancy- of managementsbaan, omdat deze functies gezien het
taalprobleem niet snel open zullen staan voor import. Maar veel techneuten
willen nu juist vooral techneut zijn - zij hebben niet de instelling of de
capaciteiten om in pak en stropdas anderen te vertellen hoe het moet. Voor
deze mensen zal de import dus rechtstreekse concurrentie zijn. De mobiliteit
van personeel, wat toch vele verregaande securityaspecten heeft, zal er al
met al zeker niet minder op worden.

Tot slot vraag ik me af wat het zou kunnen betekenen voor de economie van
landen als India, om de fine fleur van hun IT talent te verliezen. Ik denk
dat we van digitaal kolonialisme kunnen gaan spreken.

Voordat we een toevloed gaan krijgen van digitale gastarbeiders als
schijnoplossing voor interne managementproblemen, zouden de grote bedrijven
en de overheid er goed aan doen eerst deze vraagstukken te overdenken.

Overigens, naar de securitybeurs geweest? In Utrecht in de Jaarbeurs was de
fine fleur van Nederlandse security bedrijven verzameld om hun kunnen te
presenteren. Alom presentaties van mooie software. Opvallend was dat de
meeste software draaide op systemen die wijd open stonden. Ingelogd als
admin, verder alleen guest account, genieten dus van de kwaliteit van het
gebodene. Waarschijnlijk verwachten Nederlandse security bedrijven dat
hackers niet naar dergelijke beurzen gaan. Gezien het aanbod wel te
begrijpen, veel pakken en veel sales, weinig diepgang. Of zoals de
medewerker van een stand me toevertrouwde: "ja kijk, we kunnen ons niet
veroorloven hier niet te staan, maar we kunnen eigenlijk niks."

Peter Rietveld is security expert en eindredacteur van de CSN nieuwsbrief.