Wederom signaleren wij een nieuwe speler op het securitywerkveld. EDS meldt
nu dat ze een totaalpakket bieden en al ruim van tevoren op de hoogte zijn
van een aanval voordat deze losbarst. Het lijkt er op dat de markt inderdaad
oplossingen gaat bieden om de kwetsbaarheid van de informatiemaatschappij
onder controle te krijgen. Of even geld gaat verdienen. De kunst voor
bedrijven en organisaties is om hier de goeden van de slechten te scheiden.

Steeds meer aanbieders kiezen de volgende werkwijze: zet een securityscanner
of meer neer, scan naar de gaten, schop wat consultants naar binnen om uit
te leggen wat er mis is en stuur een hele hoge rekening. Ik denk dat hier
vergeten wordt dat securityscanners hulpmiddelen met een nogal beperkte
waarde zijn. Want waar scannen producten als Nessus, STAT, Cybercop en
RealSecure nu precies op? De scanners kijken in het beste geval of bekende
bugs gefixed zijn en de rechten in een standaardconfiguratie goed staan. Op
zich waardevol, maar verre van volledig. Het is zeker interessant om te
kijken of een firewall goed geconfigureerd is, maar of de machine goed in
het netwerk hangt is een heel andere vraag. Scanners kijken op
systeemniveau, niet op het ontwerpniveau.

Een andere zwakte van de scanners is dat ze vrijwel alleen kijken naar de
known issues, en dat zijn in de regel zaken die door de maker van het
gescande product erkend zijn en waar fixes voor bestaan. De IIS security
tool van Microsoft kijkt of de rechten goed staat en alle fixes gedraaid -
die bekend waren op het moment dat de scanner gemaakt werd. De problemen die
IIS webservers de afgelopen maanden en ook nu nog hebben door de Unicode
problematiek, worden niet dus gemeld. Logisch, want een scanner vindt niet
wat niet herkend wordt. Daarom moet een scanner ook regelmatig geupdate
worden. Een heuristisch algoritme voor een securityscanner is vooralsnog
niet in beeld. Het is gebleken dat de updates van security scanners soms
nogal op zich laten wachten, net als bij sommige virusscanners. Een systeem
of een netwerk kan zo enige maanden kwetsbaar zijn voor een aanval die
uitgebreid publiciteit heeft gekregen, teneinde de fix aan te prijzen.
Oftewel, scanners vinden de gaten die gebruikt worden door niet ervaren
hackers, meestal aangeduid als scriptkiddies. En dat doen ze vaak als de
modieuze hack al een beetje achterhaald is. De securityscanner als
bezemwagen.

Je leest dan dat een scanner maar liefst 2000 gaten herkent, of op 190
bekende problemen scant, en het lijkt er op dat meer beter is. 2000 issues
voor een netwerkscan is gezien het aantal componenten eigenlijk heel weinig,
een enkele machine kan al complex genoeg zijn voor dit aantal. Het gebruik
van verschillende scanners naast elkaar is dus noodzakelijk, want de ene
scant registries goed, een andere poorten en ga zo maar even door. Maar de
producenten van commerciële scanners zien dat liever niet en claimen
volledigheid. Niet openlijk, zo slim zijn ze nog net wel. Maar wat is dan
volledig? Regelmatig worden exploits niet door producenten erkend en komt er
gewoon geen fix. In de regel worden dergelijke gaten dan ook niet door de
scanners herkend. Soms duurt het een paar jaar voor een gat bekend wordt
gemaakt, omdat veel mensen niet in het bugtraq circus waarin het bekendmaken
van een exploit tot status leidt, meedraaien. Dat wil niet zeggen dat het
gat er niet was, of dat het slechts in zeer kleine kring bekend was. Genoeg
personen denken er botweg niet aan om het gat te melden bij de leverancier,
omdat ze gewoon een hekel aan het product hebben, of omdat ze liever anoniem
blijven. Of, en dat komt steeds meer voor, dat het oplepelen van exploits
een marketingbezigheid is. Daar blijf je als techneut toch liever verre van.

De marketing van allerlei nieuwe securityclubs leidt tot een snelle toename
van het aantal wel bekendgemaakte exploits, en de scannerbouwers racen dus
tegen de klok. Sommige soorten exploits kun je al nauwelijks scannen, of
vereisen aanpassingen in de engine. Waarschijnlijk is dan ook dat een
scanner steeds verder achterop komt, naarmate de tijd verstrijkt.

Steeds meer scanners maken gebruik van de exploit coderingen van Mitre, maar
vaak duurt het erg lang voordat een exploit door de hele molen is, en zie je
dat een exploit publiek gemaakt wordt voordat een nummer toegekend is. Deze
vertraging werkt door in de scanners, die zo verder achterop raken. Het
gebruik van de Mitre CVE coderingen is dus geen voordeel.

Daarnaast kunnen scanners niet anders dan zich richten op de grootst gemene
deler. Specifieke configuraties leiden tot specifieke gaten. Die worden
alleen gevonden als een expert even gaat graven.
Implementatiefouten worden dus zelden gevonden, en fouten in eigen
applicaties vallen helemaal buiten het zichtsveld. Scanners controleren vaak
het versienummer van een bestand, en zullen eigen fixes in scripts niet
herkennen, of erger, omdat de checksum niet klopt, als gehacked aanmerken.
Vals alarm dus.

Het zal zeker zo zijn dat de scanners steeds beter worden en de taak van de
expert daardoor wordt verlicht.
De ontwikkeling van scanners is van groot belang omdat heterogene netwerken
steeds complexer worden en in omvang het bevattingsvermogen van de mens nu
al geruime tijd te boven gaan. Voor de specialist is het dan ook van
essentieel belang dat deze hulpmiddelen betrouwbaar zijn. De grafische schil
zal de leek kunnen verleiden tot het doen van onjuiste uitspraken omdat het
ogenschijnlijk erg eenvoudig is en de complexiteit (analyseren, inschatten
van risico en het stellen van prioriteiten) hem ontgaat.

Het is waarschijnlijk dat het gebruik van securityscanners door 'gewone'
techneuten wel leidt tot enige verbetering van de beveiliging, maar ook tot
veel verwarring. De aandacht verslapt of concentreert zich op de misschien
wel minder belangrijke issues die door de scanner gevonden worden, terwijl
de grote gaten blijven. Dienstverlening gebaseerd op een securityscanner kan
niet meer bieden dan schijnzekerheid. Er is geen andere echte aanpak dan
vakkennis.