Tijdens Hack in the Box Amsterdam had Security.nl een persoonlijk en exclusief interview met Bruce Schneier, Chief Security Technology Officer van BT. We vroegen hem waarom er nog steeds SQL-injection is, wanneer bodyscanners verdwenen zullen zijn en hoe we als samenleving met cybercrime om moeten gaan. De vragen zijn deels gebaseerd op Schneier's nieuwste boek: Liars and Outliers.

In het boek 'Liars and outliers' schets je een beeld dat er altijd mensen zijn die zich niet aan de bestaande norm houden of tegen het systeem ingaan. Hoe verhoudt die opvatting zich tot het internet, en betekent dat dat we een bepaalde hoeveelheid spam moeten tolereren of dat je niet alle cybercriminelen gaat vervolgen?
Schneier: Het gaat niet om het vervolgen van bepaalde groepen, het gaat om het niet uitgeven van het geld om ze op te sporen. Een beetje spam is niet zo erg, het probleem met spam is dat er zoveel van is dat je je e-mail niet kunt lezen. Als er nog maar 1 spambericht per week zou binnenkomen, zou niemand het wat kunnen schelen.

Als je achter spammers aangaat en spammers vervolgt, dan wordt het binnenhalen van de marginale gevallen steeds kostbaarder. Het is eenvoudig om de grote en middelgrote spammers te vinden, maar een aantal zullen lastig te pakken zijn. En uiteindelijk moet je dan zeggen dat het het geld niet waard is om er achteraan te gaan. Je tolereert dan een beetje spam. Het is niet anders dan inbraken of moorden, of wat voor soort misdrijf dan ook. Absolute perfectie is zo kostbaar dat je het niet kunt bereiken.

Maar wat is dan de juiste balans, en hoe meet je dat?
Schneier: De maatschappij is vrij goed in staat om de balans te bepalen. Denk aan de moordratio. Als die te hoog is, zeggen mensen dat we meer politie nodig hebben. Als de moordratio naar beneden gaat, zeggen mensen dat er teveel geld aan politie wordt uitgegeven en dat we ons op andere problemen moeten richten. Als het aantal spamberichten te groot wordt dan zeggen mensen dat er iets aan gedaan moet worden en als die laag genoeg wordt, klaagt niemand er meer over.

Het is niet dat je het meet of naar een bepaald getal zoekt, de samenleving vindt uit zichzelf een bepaalde maat. Het aantal zakkenrollers in het winkelcentrum, het aantal spamberichten, het aantal gevallen van identiteitsdiefstal, het aantal mensen dat koekjes uit de koekjestrommel steelt. Wat ook het verwerpelijke gedrag is, er zal altijd een natuurlijk aantal zijn. Het is subjectief, het verandert en het hangt van allerlei zaken af die de samenleving lijkt te tolereren.

Maar voor mensen is het internet nog zo nieuw, zijn we al in staat om te bepalen wat de norm is?
Schneier: Niemand weet wat normaal is. En dat is het probleem. We hebben dit natuurlijke aantal van haviken dat we tolereren en technologie verandert dingen. We tolereren een bepaald aantal criminelen. Iemand ontdekt het internet en opeens is er cybercrime en het aantal criminelen schiet omhoog. We hebben het misschien niet door, we weten misschien niet dat het slecht is, we zien misschien niet wat het is. Dus ja, dit verandert het natuurlijke aantal van haviken ten opzichte van duiven en in bepaalde gevallen gaat het om technologie en hebben mensen geen grip op wat het is. Veel cybercrime is bijvoorbeeld verborgen voor het blote oog, dus mensen zien niet de volle omvang van het probleem. Dat zijn problemen en misschien is het niet op te lossen.

Wat zowel spannend als beangstigend aan onze tijd is, is dat technologie zo snel verandert. Het verandert sneller dan we het kunnen opnemen en wat dat voor gevolgen heeft weten we nog niet.

Het voelt als een niet op te lossen puzzel.
Schneier: Inderdaad, het voelt als een niet op te lossen puzzel en dat is het misschien ook. Dit is de eerste keer dat we als mensheid met deze puzzel te maken hebben. We hebben er geen ervaring mee en we leren terwijl we het doen. Er zijn bepaalde manieren waarop we het kunnen oplossen, maar net als alle andere grote problemen die we in de maatschappij hebben is het complex, verbonden met elkaar en is er veel wetenschappelijke kennis die mensen die beslissingen maken niet hebben. En het kan heel goed mogelijk niet op te lossen zijn.

In het boek Liars and Outliers geef je nergens concrete antwoorden om de problemen op te lossen.
Schneier: Ik zou graag willen dat ik ze had en in een bepaald opzicht was het einde ook frustrerend voor me, omdat ik geen duidelijke antwoorden had. Ik ben in principe een optimist en ik geloof dat we deze vraagstukken zullen oplossen, net zoals we met alles doen. Maar het mechanisme voor die oplossing is erg lastig om te zien en het is geen geval van het volgen van een aantal eenvoudige stappen

Een van de dingen die we moeten doen is niet meer proberen om de aanvallers in te halen. Dat werkt niet. Wat ik al anderhalf decennium verkondig is het juiste antwoord, dat we nooit slimmer of innovatiever dan de 'bad guys' zullen zijn. Het beste wat we kunnen doen is zien wat ze doen en snel genoeg reageren dat er nog steeds security is. Het is net als de kudde van 250.000 gazellen op Afrikaanse Savanne, waar 500 leeuwen op loeren en continu de traagste gazellen opeten. Toch floreert de kudde

Maar kun je het wel verkopen dat we de 'bad guys' nooit kunnen verslaan. Dat is geen populaire opvatting.
Schneier: Natuurlijk is het niet prettig om een van die gazellen te zijn die wordt opgegeten, maar we doen het continu. Ook al geven we het niet toe. Elk jaar sterven in de Verenigde Staten 42.000 mensen door verkeersongelukken. We praten er niet over, maar dat is het aantal doden dat de samenleving tolereert om snel op de snelweg te kunnen rijden. Als je over terrorisme praat zal niemand zeggen dat we zoveel terreuraanvallen per decenium willen tolereren, maar het is wel 100% de juiste manier om te denken.

Een van de problemen die we hebben, is dat de correcte taal om dit te bespreken is vloeken voor politici. Je kunt niet op het politiek podium verschijnen en zeggen dat het moordratio laag genoeg is en we er verder niets aan gaan doen. Toch doen we het continu, ook al geven we het niet toe. Kijk bijvoorbeeld naar milieurisico's. We maken continu de afweging wat het kost om het probleem te verhelpen en wat het kost als we dat niet doen.

Kun je dan ook zeggen dat het 'defenders dilemma', waarbij een verdediger 100 systemen moet verdedigen, terwijl de aanvaller 1 systeem moet hacken, ook een dilemma voor de aanvallers is, aangezien de verdediger maar 1 gehackt systeem hoeft te ontdekken?
Schneier: Als je naar security kijkt leer je keer op keer dat aanvallers en verdedigers op zoveel manieren gelijk aan elkaar zijn. Daarom hou ik er niet van als mensen zeggen dat we geen hacking moeten leren, dat hacken slecht is of dat we op scholen niet kunnen leren hoe je virussen schrijft. De vaardigheden en expertise en manier van denken om de havik, de outlier, de aanvaller te zijn, is precies hetzelfde als die van de verdediger. En als je voordoet alsof hackingvaardigheden slecht zijn, dan leer je niet om jezelf te verdedigen.

Hoe kan het dat we na vijftien jaar nog steeds met SQL-injection te maken hebben?
Schneier: Kijk naar buffer overflows, die zijn 40 jaar oud en zijn er nog steeds. En dat is een interessante les, dat de oude problemen niet verdwijnen. Wij in het computersecurity-gebied hebben geen methodologie om problemen op te lossen. En het is lastig om er een te krijgen. Neem als voorbeeld virussen in de echte wereld. We hebben de pokken weten uit roeien, maar dat is een uitzondering en het duurde tientallen jaren en bestond uit een enorme gezamenlijke inzet van bijna alle landen. We zouden SQL-injection met dezelfde inzet kunnen uitroeien, maar ik denk dat landen het niet eens worden dat het al die inzet en moeite waard is. Het is gewoon lastig.

Buffer overflows en SQL-injection komen steeds terug omdat het eenvoudige fouten om te maken zijn. Het is dezelfde reden waarom we ernaar kijken en vaststellen dat het zo eenvoudig te verhelpen is. Het is een eenvoudige fout om te maken en mensen maken continu dezelfde fouten. We kunnen stellen dat we onze software engineers niet trainen, we kunnen stellen dat we slechte tools hebben die hier niet op controleren. Je kunt allerlei redenen aangeven, maar de werkelijke reden is dat het te eenvoudig is.

Kan maatschappelijke druk of reputatieschade dit veranderen?
Schneier: misschien, maar dat is nog niet het geval. Het is de angst ervoor. Het probleem is dat bedrijf A met een SQL-injection aanval te maken krijgt en op de voorpagina van de krant verschijnt dat het idioten zijn. Vervolgens moet bedrijf B daarnaar kijken en zeggen dat het een bepaald bedrag uittrekt om te voorkomen dat dit niet gebeurt. En dat is een lastige link om te leggen. De kans is groter dat ze ernaar kijken en stellen dat het jammer voor bedrijf A is, maar dat ze een deadline moeten halen om de software klaar te krijgen.

Zullen bodyscanners en ander 'security theater' ooit van onze vliegvelden verdwijnen?
Schneier: Ik denk uiteindelijk van wel, maar in het geval van luchthavenbeveiliging en maatregelen die niet werken, en daar zijn er veel van, zal het echt een generatie duren voordat het verdwenen is. Veel van deze maatregelen zijn gemotiveerd door angst. En het is de angst van een bepaalde leeftijdsgroep. Ik denk dat het pas zal verdwijnen als deze leeftijdsgroep niet meer de aan de macht is. Dus helaas denk ik dat het nog een generatie zal duren, zo'n tien tot vijftien jaar.