Vorige week had Security.nl een persoonlijk en exclusief interview met Snort-bedenker Martin Roesch, waarbij ook de vragen van onze lezers aan bod kwamen. Snort is het gratis en open source Intrusion Detection en Prevetion systeem, bedoeld om indringers buiten systemen te houden. Lezers van Security.nl konden vragen insturen, die Roesch allemaal heeft beantwoord.

Daarnaast heeft hij tien vragen uitgekozen die allemaal een gesigneerd Snort t-shirt en een luxe Sourcefire pen krijgen. Sourcefire is het bedrijf dat Roesch rondom Snort oprichtte. De komende dagen zullen de vragen en antwoorden vanwege de lengte in verschillenden artikelen online verschijnen.

Verwacht u dat de wet- en regelgeving vanuit de overheid op het gebied van beveiliging (snel) zal verbeteren? En wat zou u graag wettelijk geregeld willen zien?

Roesch: "Ik ben erg teleurgesteld als het om wetgeving voor internet en netwerkbeveiliging gaat. We zien een academische onwetendheid en wetgeving uit de VS komen. We zien dingen als PCI-DSS we zien Sarbanes-Oxley. Je hebt PCI-DSS compliant netwerken die gehackt worden. Hebben we onszelf een plezier gedaan? Nee. Je ziet wetgeving waar mensen beleidsmakers vragen om hun businessmodel te beschermen, omdat mensen hun spullen stelen. Je businessmodel heeft geen bescherming nodig, je businessmodel moet zich evolueren om de realiteit weer te geven dat we in een netwerk-verbonden wereld leven. Met internet als 'replicator' kun je een oneindig aantal kopieën van alles maken. Je moet met een businessmodel komen dat dat verzilvert. Het kan niet zijn dan je zegt 'het zijn mijn koekjes en niemand mag ze omdat iemand anders een recept voor koekjes publiceert'. We zien veel van dat soort onwetendheid."

Een ander punt dat Roesch hekelt is het IP-protect wetgeving die nu in Washington rondgaat. "Ze hebben nieuwe ISP-wetgeving waarbij ze providers aansprakelijk willen stellen voor de content die over hun netwerk gaat. Dat werkt niet. Het probleem is dat deze gasten zo weinig van de technologie begrijpen waarvoor ze de wetten maken. Het is hetzelfde als het terugbrengen van iemand uit de 18e eeuw om de telecomindustrie te reguleren. Het werkt niet. Zoveel van deze gasten zijn onwetend over technologie dat ze vaker meer kwaad dan goed doen, omdat ze vaak door mensen met commerciële belangen worden benaderd, wat vaak niet de belangen van de burger maar van de bedrijven zijn, waardoor een hoop slechte dingen gebeuren. De DMCA-wetgeving is een goed voorbeeld van hoe beleidsmakers en politici niet weten hoe technologie werkt. Dus laten ze zaken reguleren als het niet mogen reverse engineeren van die dingen die je zelf bezit en dat je geen kopieerbeveiliging mag verwijderen. Het zijn allemaal bits. Hoe kun je zeggen dit zijn goede en dit zijn slechte bits. Het zijn allemaal enen en nullen. Er gaat een hoop mis."

"Wat ik graag gereguleerd zou zien is hoe politici hun geld voor hun campagnes krijgen. Er zijn wel partijen als de EFF en EPIC die dingen willen veranderen, maar ze bereiken de politici niet omdat ze over onvoldoende geld beschikken. Ze hebben veel uitdagingen omdat ze niet zoveel geld als de andere partijen hebben. En geld is het enige dat praat. Er moet echter een oplossing komen. Soms denk ik dat alle IT'ers van de wereld een schaduw internet moeten oprichten, een wireless mash of wat dan ook, omdat de overheden beter en beter worden om alles te monitoren en in de gaten te houden. Er is veel potentie voor misbruik."

Waarom koos je een varken als logo voor Snort?

Roesch: Het varken gaat helemaal terug naar het begin. We noemden het programma Snort, wat staat voor Sniffer but more, en dat is een Snort. Er was een Russische ontwikkelaar aan de universiteit van Kirgizië die me hielp. Toen ontwikkelde ik Snort in mijn eigen vrije tijd. Dus ik deed 's ochtends een Snort release en ging dan naar bed en had de volgende ochtend wat updates en opmerkingen. Hij was mijn 'schoonmaker'. Op een dag stuurde hij mij een foto van een varken. Een klein, bruin, harig, modderig, neergeschoten varken liggend in een modderpoel, met zijn gigantische neus naar boven gekeerd. Hij vond het een goed idee voor een Snort logo. Dat vond ik ook. We plakten Snort erboven en dat was het eerste Snort logo.

Het logo dat we vandaag gebruiken is de stripversie van het varken. Toen ik Sourcefire begon besloot ik dat we aan bedrijven zouden verkopen, dus wilde ik een logo dat iets bedrijfsvriendelijker was. Ik benaderde de tekenaar die de tekeningen voor het OpenBSD project doet en vertelde hem dat ik een logo voor mijn project wilde. Ik stuurde hem een aantal suggesties van hoe het eruit moest zien. Hij kwam met een aantal voorbeelden en die waren perfect. Daar komt dus het Snort logo vandaan. Het is erg iconisch. Iedereen herkent het. Waarschijnlijk de beste branding die we ooit hebben gedaan, op de Sourcefire kalenders na.

Hoe ben je op het idee voor Snort gekomen?

Roesch: Het idee voor Snort dateert van 1998. Ik kreeg mijn eerste kabelmodem in mijn huis en ik was geïnteresseerd om mijn thuisnetwerk in de gaten te houden, om te zien wie er aan de deur klopte terwijl ik aan het werk was. Ik gebruikte het ook om andere dingen waar ik aan werkte te debuggen. In eerste instantie had het verschillende toepassingen, maar eigenlijk schreef ik Snort als leeroefening.

Ik had op dat moment nog geen software voor libpcap geschreven, en wilde leren hoe libpcap te gebruiken en wilde iets maken om mijn kabelmodem mee te monitoren terwijl ik op kantoor zat. Dus zo kwam ik op het idee en toen begon ik met het ontwikkelen van de rule-language, omdat ik het elke dag doorlopen van alle packetdumps een beetje zat werd. Naast de rule-language voegde ik patroonherkenning toe en werd het steeds groter en groter.

Morgen het tweede deel van het lezers interview met Martin Roesch