Het NRC bracht vorige week woensdag een alarmerend bericht over de
toegenomen kwetsbaarheid van onze samenleving. Netwerkstoringen kunnen grote
problemen en overlast veroorzaken, zoals het uitvallen van delen van het
Libertel netwerk, de bagageafhandeling op Schiphol of de kabeltelevisie rond
Amsterdam. Dit soort storingen leidt vooral tot economische schade en
overlast. Aanleiding voor het stuk was wellicht de nota Digitale Delta, die
maandag aan de Tweede Kamer werd aangeboden. Daarin wordt de noodzaak van
veiligheid en betrouwbaarheid van netwerken onderstreept. De consumentenbond
verwacht weinig heil van de overheid. IT security valt onder verschillende
ministeries tegelijk, wat belemmerend zal werken, zo oordeelt de bond.
Waardoor de storingen veroorzaakt worden, is voor de getroffenen niet
interessant, maar als je ze wilt kunnen voorkomen, wordt de vraag wel
belangrijk. Dergelijke storingen zijn namelijk security problemen.

Maar ook samenwerkende ministeries zullen geen alomvattende oplossing voor
de veiligheid van netwerken kunnen vinden. Juist die netwerken die met hun
zwakke plekken de samenleving kwetsbaar kunnen maken zijn voor een groot
deel in particuliere handen. De meest kritische infrastructuur is te vinden
bij banken, telecombedrijven en voormalige nutsbedrijven. De overheid heeft
geen vat op de beveiliging van deze systemen.

Toch heeft de overheid haar handen vol aan deze materie. Al sinds 1989 wordt
er in opdracht van de Raad van Europa gewerkt aan internationale
regelgeving, wat binnenkort moet uitmonden in het Cybercrime Treaty. Eind
dit jaar moet de internationale werkgroep de concepttekst voor het verdrag
inleveren. Het verdrag moet de lacune dichten in de regelgeving omtrent
computercriminaliteit en het tevens mogelijk maken de verdachten op te
sporen. Een mooi streven. Iedere bijdrage aan de bestrijding van kinderporno
op Internet verdient lof. Wat de concepttekst nu precies zal bevatten, valt
moeilijk te achterhalen. De werkgroep, onder voorzitterschap van de
Nederlandse jurist prof. Kaspersen, houdt de deuren gesloten. Duidelijk is
wel dat hier een heel conglomeraat van juristen en vertegenwoordigers van
opsporingsdiensten aan het werk is, uit alle landen van de raad van Europa.
Verder zijn ondermeer de G8, OESO, de Europese Commissie en UNESCO betrokken
bij de voorbereidingen voor het Cybercrime Treaty. En dan zijn er natuurlijk
nog de 'specialisten' van een aantal grote IT-bedrijven als Intel en Oracle.
Voor zover bekend blijven de deuren dicht voor erkende security-organisaties
als SANS en brancheverenigingen van security specialisten zoals de ISSA. Dit
dreigt zich te gaan wreken in een onuitvoerbaar en contraproductief verdrag.

Wat er in het Cybercrime Treaty komt te staan is nu natuurlijk nog niet vast
te stellen. Maar de berichten die af en toe uitlekken, voorspellen weinig
goeds. Artikel 6 van een concepttekst die op Internet te vinden is, stelt
voor dat de deelnemende landen het bezit, de verspreiding en de productie
van software en hardware bedoeld om te hacken strafbaar moeten maken.
Hieronder vallen ook wachtwoorden en andere achterdeurinformatie, waarmee
toegang verkregen kan worden tot computersystemen van derden. Uiteraard zijn
deze middelen alleen strafbaar als de bezitter of de verspreider ervan
criminele intenties heeft. Zo'n wet lijkt op het eerste gezicht misschien
mooi, maar is in de eerste plaats onuitvoerbaar. Openlijke verspreiding van
de 'hackerstools' via internet zal dan verboden moeten worden. Gezien de
anonimiteit van het internet is immers nooit vast te stellen wie er precies
de tools heeft en of deze er kwade intenties mee heeft. Daarnaast is het
eigenlijk onmogelijk vast te stellen wat nu precies een hackerstool is. Hoe
de verdragmakers de in IT securityland gebruikelijke openheid en anonimiteit
willen tegenhouden, wordt niet in de tekst vermeld.

Het tegengaan van openheid op het gebied van IT security is niet alleen
bijzonder lastig uit te voeren, het is ook een contraproductieve
onderneming. Steeds meer producenten kiezen juist voor meer openheid in
plaats van minder. Niet alleen de onafhankelijke e-zines zoals @Stake en
Georgi Guninski, maar ook bijvoorbeeld de Microsoft Security Bulletins,
geven regelmatig 'full disclosure' omtrent gaten in de beveiliging van
producten en systemen. Hierbij wordt voldoende informatie gegeven over het
gat in de beveiliging of de afwezigheid van beveiliging bij bepaalde
systemen, om deze te kunnen exploiteren. Het doel hiervan is de gebruikers
van de producten wakker te schudden zodat ze de beschikbare fix of
workaround ook daadwerkelijk uitvoeren. Daarnaast dwingen dergelijke
publicaties de producenten om de gaten te dichten. Leveranciers die deze
trend niet volgen en alleen vertellen dat er een fix is maar niet waarvoor
de fix nodig is, blijven achter in de veiligheid van hun producten.
Dergelijke fixes worden in de praktijk dan ook maar niet uitgevoerd.
Openheid vormt in IT security de basis van een zelfregulerende praktijk. Het
Cybercrime Treaty dreigt deze praktijk te doorkruisen.

Natuurlijk volgen ook hackers en scriptkiddies de anonieme en openbare
e-zines over security. Maar wat wordt er gewonnen als de huidige openheid
verboden is? Security bulletins van software en hardware fabrikanten kunnen
dan hooguit naar geregistreerde gebruikers gestuurd worden. En ze zullen
minder inhoud moeten hebben, gezien het risico van doorsturen.
Security-bedrijven en organisaties hebben geen geregistreerde gebruikers,
dus zij kunnen helemaal niets meer melden.

Niet alleen software en hardware, het hele internet zal onveiliger worden
wanneer dit verdrag serieus wordt uitgevoerd. Een zeer groot deel van de
hosts op het Internet werkt met een open source operating system. In de
'open source' wereld is volledige openheid de norm, dus ook op security
gebied. FreeBSD, RedHat, Mandrake en consorten geven van elke mogelijke
exploit veel tot alle details vrij. Deze besturingssystemen worden mede door
personen die als hackers aan te duiden zijn, tot volwaardige en veilige
platformen gemaakt. Deze ontwikkeling valt dan direct stil.

Uiteindelijk zal de hele samenleving juist kwetsbaarder worden.
Netwerkbeheerders kunnen hun eigen systemen niet meer testen, omdat juist
deze testtools moeilijker verkrijgbaar en mogelijk strafbaar zullen zijn.
Testen wordt dus achterwege gelaten, uit angst om met illegale software rond
te lopen. En dan zijn we écht terug bij af: terug naar de tijd van security
through obscurity, waarbij een hacker die echt kwaad wil feitelijk zijn gang
kan gaan. Bedrijven, banken en overheden zullen veel kwetsbaarder worden.
Initiatieven zoals op dit moment van VISA, waarbij de security van
webwinkels getest wordt door een securitybedrijf, alvorens de webstore VISA
betalingen mag ondersteunen, worden door het verdrag doorkruist. De gehele
security industrie, die op dit moment sterk groeit, wordt met Artikel 6
gecriminaliseerd.

Het cybercrime verdrag maakt het voor organisaties dus moeilijker in plaats
van gemakkelijker de beveiliging op niveau te brengen en te houden. Wellicht
dat het aantal aanvallen zal verminderen, (de scriptkiddies zullen immers
moeilijker aan hun tooltjes kunnen komen) maar dat is niet de kern van het
probleem. Het gaat niet om het aantal aanvallen, maar om het succes ervan.
Minder aanvallen leidt tot een verslapping van aandacht. Fouten in
configuraties komen minder snel aan het licht. We zullen als afnemers van
hardware en software de leveranciers maar op hun woord moeten geloven dat de
producten veilig zijn. Van Windows NT4 werd het eerste jaar ook gezegd dat
het absoluut veilig was, zoals sommigen zich misschien nog kunnen
herinneren. En dat terwijl de Unicode bug, waardoor op dit moment vrijwel
alle NT machines kwetsbaar zijn voor hack aanvallen, in 1997 al bekend was
binnen Microsoft. De fix is pas deze zomer uitgekomen, nadat security
specialisten Microsoft onder druk hadden gezet met de dreiging van
openbaarmaking. Een groot succes voor de zelfregulering.

Minder aanvallen wellicht, maar de kans is groot dat de aanvallen toenemen
in impact, omdat de beveiliging van de systemen zelf slechter wordt. Met het
succes van Nederland Gaat Digitaal neemt het aantal systemen dat deel
uitmaakt van de kritische infrastructuur snel toe. En met nieuwe wetgeving
conform het verdrag de risico's.

Tenslotte is het natuurlijk nog de vraag in hoeverre de cybercriminelen zich
iets zullen aantrekken van het nieuwe verdrag. Het gevaar ligt immers niet
alleen bij scriptkiddies van 14 (letterlijke of mentale leeftijd), maar komt
in toenemende mate van politiek geëngageerde groepen. We zien verschillende
berichten over de cyberwarfare in het Midden Oosten, waarbij Palestijnse
activisten het op Israëlische sites voorzien hebben. Het verbod op
vliegtuigen kapen weerhield deze lieden er in het verleden ook niet van hun
strijd te voeren, en het lijkt onwaarschijnlijk dat een cybercrime treaty
meer indruk zal maken. De aandacht van de opsporingsdiensten zal opgeëist
worden door de jacht op scriptkiddies en misschien wel door invallen bij
bedrijven omdat deze 'illegale' testtools gebruiken. Intussen verzwakt de
beveiliging van de kritische infrastructuur.

Hierin schuilt het grootste gevaar, ook voor de Nederlandse samenleving.
Zolang het hier gaat om goed uitgevoerde, gerichte acties zal het wel
loslopen met de schade alhier, maar op het moment dat een actie tegen
bijvoorbeeld Israël uit de hand loopt kan ook ons land ernstig getroffen
worden. Het ILOVEYOU virus toonde aan hoe kwetsbaar onze economie is voor
een eenvoudig virus.

Het cybercrime treaty is kortweg een contraproductieve maatregel, waarmee de
deur wagenwijd opengezet wordt voor cyberterrorisme. Maar ja, als het
verdrag er eenmaal ligt, welk land zal durven weigeren het te ondertekenen
en internationaal als hackersparadijs te boek willen staan?

Het verdrag zal ook nog andere nare bijwerkingen hebben. Het voorkomen dat
de cybercriminelen aanvalsprogramma's downloaden van het Internet vereist
een verregaande controle door de overheden van wat er zoals op het Internet
gebeurt. Iedere download moet gemonitored worden, niet alleen op
bestandsnaam, maar op bestandsinhoud. Hiervoor zal elke anonimiteit op het
Internet opgeheven moeten worden. Het is namelijk niet mogelijk alle sites
die dergelijke programma's aanbieden te verwijderen, ook niet bij een
internationaal verdrag, zolang niet alle landen ter wereld meedoen, en
zolang de ISP's en hostingcompanies niet actief betrokken zijn bij de
opsporing. Het Internet is gewoonweg te groot en groeit te snel voor de
capaciteit van de opsporingsdiensten. Bij blokkade van downloads kunnen
beheerders en specialisten het testen van de eigen beveiliging wel vergeten,
bij registratie van downloads zal het probleem van spoofing en andere
identiteitsverhulling zeer groot worden. Om dit probleem dan weer op te
lossen zijn verregaande veranderingen op het Internet nodig, waarbij de
privacy van gebruikers ernstig geschaad zal worden. Nu is dit iets waar veel
opsporingsdiensten toch al naar streven - denk aan het Internetkenteken voor
de digitale snelweg dat de Nederlandse politie nog niet zo lang geleden
voorstelde, maar waartegen veel weerstand bestaat. Overigens bestaat
hierover al jurisprudentie in een aantal landen, die strijdig is met wat het
cybercrime treaty nodig heeft.

Duidelijk is dat de meeste systemen meer beveiliging moeten hebben, en als
de beheerders deze niet zelf mogen aanbrengen, wie gaat dit dan doen? De
overheid heeft noch de mankracht, noch de kennis om dit te doen.