Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 34, views: 13.666 •

Fouten van gebruikers zijn niet uit te bannen en dus zal hij of zij altijd de zwakste schakel zijn. Dat stelt beveiligings- en cryptografiegoeroe Bruce Schneier. Het is daarom zaak om software te bouwen die daar rekening mee houdt.

Bruce Schneier"Ik maak me meer druk om de menselijke factor dan de technische kant van het verhaal", zo zegt Bruce Schneier tegenover Tweakers op de RSA Conference, een beveiligingsconferentie die deze week in San Francisco wordt gehouden. "Zo lang er mensen in het spel zijn, heb je menselijke fouten. Je moet dus systemen bouwen die daarmee om kunnen gaan", aldus Schneier.

"In de meeste netwerken is de beveiliging zo zwak als de zwakste schakel", stelt de beveiligingsgoeroe. Die zwakste schakel is in de praktijk de zwakste gebruiker. "We proberen de gemiddelde gebruiker nu te 'verbeteren'. Dat slaat nergens op. We moeten systemen bouwen die ervan uitgaan dat er inbraken zullen zijn en die zichzelf daarna kunnen herstellen."

Schneier zet echter vraagtekens bij het vermogen van de ict-industrie om zijn systemen aan te passen. "We kunnen niet eens ipv6 en dnssec geïmplementeerd krijgen. Beide zijn goede oplossingen, die bepaalde problemen oplossen, goed ontworpen en verheven tot standaarden. En we krijgen ze niet geïmplementeerd." Daar valt wel een kanttekening bij te zetten: veel providers zijn momenteel hard bezig om ipv6 geïmplementeerd te krijgen en ook dnssec, een veiligere versie van het dns-protocol, wordt langzaam maar zeker geïmplementeerd.

Feit is wel dat het lang duurt voordat beide standaarden worden geïmplementeerd: ipv6 stamt al uit 1998 en rond die tijd werd ook al over dnssec gesproken. "Dat komt doordat niemand ze dwingt. Als je naar de cijfers kijkt, is het goedkoper om niet de eerste te zijn die iets implementeert, maar de laatste." Daardoor wacht iedereen op elkaar en gebeurt er niks. "Vergelijk het met het plaatsen van een blusinstallatie in je appartement. Bij het eerste appartement is het het duurst. Dus iedereen wacht."

De beveiligingsexpert zegt zich verder zorgen te maken over de enorme hoeveelheden data die bedrijven als Facebook en Google van gebruikers verzamelen, en die vervolgens door overheden kunnen worden bemachtigd. Ook maakt hij zich zorgen over overheden die digitale wapens inzetten. "Ik maak me meer zorgen om overheden en bedrijven dan om criminelen", zegt Schneier.

Waar Schneier zich in ieder geval geen zorgen om maakt, zijn de gevolgen van quantumcomputers voor cryptografie. Sommige huidige cryptografie-algoritmes, waaronder de RSA- en ElGamal-algoritmes, zijn achterhaald als quantumcomputers werkelijkheid worden. Dat komt doordat ze zijn gebaseerd op het berekenen van grote priemgetallen en het feit dat bestaande computers die berekeningen niet, of slechts na lange tijd, kunnen achterhalen. Quantumcomputers zouden dat wel kunnen, als het concept werkelijkheid wordt.

"Sommige algoritmes zullen stoppen met werken, maar er zijn andere algoritmes die het dan wel gewoon nog doen", aldus Schneier. "Het zal een flinke kluif worden om over te stappen, maar geen catastrofe." Ook zullen langere sleutellengtes moeten worden behaald. Schneier tekent overigens aan dat quantumcomputers nog lang geen werkelijkheid zijn. "Er is nog behoorlijk wat voor nodig om quantumcomputers werkelijkheid te maken", zegt hij.

Reacties (34)

Hij heeft natuurlijk een punt. Je kan nog zo'n goed systeem bouwen, wanneer een gebruiker overal hetzelfde password gebruikt dan hoeft iemand maar een e-mail te hacken. Even te kijken waar iemand bv werkt en dan ben je al op de helft.

Ook heel simpel het afgeven van deze gegevens gebeurd vaak. Of het niet locken van een pc. Of heel simpel het vertellen wat niemand anders hoort te weten.

Dit kan je technologisch misschien voor een groot deel voorkomen, bv met irisscanners op pc's of pasjes (maar die kan je ook afgeven).
Helemaal mee eens. Wat heb je aan een beveiligingsprotocol als gebruikers dat maar lastig vinden en omwegen gaan zoeken om makkelijker te kunnen werken? Je kunt je firewall nog zo dichtbouwen, je kunt nog zoveel virussen afvangen, als gebruikers dat ene dubieuze attachment toch openen kun je als ICT'er weer uren klooien om de schade te herstellen.

En hoe dicht je netwerk ook zit, een verloren (en onbeveiligde) usb-stick of doorverteld wachtwoord en al je werk is teniet gedaan :)

Maar goed, de uitspraak is opzich ook wel een beetje een open deur :)
En daarom geen USB sticks meer toestaan. Alle communicatie verloopt via VPN en door het bedrijf uitgegeven devices waar niets anders op ge´nstalleerd mag worden.

Maar dan krijg je alleen maar nog meer dat dingen als lastig worden ervaren door je personeel. :-(
Ook een typisch IT'er probleem... Ze maken een technisch goede oplossing, maar vergeten dat de gebruiker er ˇˇk nog normaal mee moet kunnen werken.

De IT-er loopt te klagen dat hij uren moet klooien om schade van een virus te herstellen...
De gebruiker loopt te klagen dat hij uren moet klooien om simpele dingen gedaan te krijgen, omdat vanwege security niets meer normaal werkt.


Iemand anders de schuld geven van de problemen, is geen oplossing voor je security problemen.
Ik ken iemand *kuch* die gewerkt heeft bij een verzekeraar die de hele boel dichtgetimmerd had. Dat werkte, zachtjes uitgedrukt, erg rot en die persoon kon onmogelijk efficient werken.

Uiteindelijk kwam het er om neer dat ik hij geforceerd werd attachments naar zijn prive mail door te sturen om ze thuis te kunnen openen. De extreem strenge beveiliging had dus een averechts effect.

Je kunt water beter geleiden dan blokkeren.
In onze hoogbeveiligde omgeving kan je ook eigenlijk niks alleen doen, er is duidelijke functiescheiding waardoor collega A, altijd Collega B nodig heeft om iets voor elkaar te krijgen (en soms zelfs collega C).
Ook dit is natuurlijk niet feilloos, maar zorgt wel voor, Ún een laag controle (4 ogen), Ún een laag beveiliging.

Overigens als iemand hier graag wil dat ik de beveiliging van je mail wil eens wil controleren of alles goed staat, PM me dan even je username+password.

:*)
Ik zie dat je niks alleen kan doen ook als risico. Dan heeft collega B toch zijn /haar wachtwoord af want die heeft het druk.

Dat werkt alleen als je ook kan (en doet) controlleren of deze twee ook daadwerkelijk aanwezig zijn. Zelfs als een van de twee weg gaat naar de wc moet het systeem terugvallen. Niet echt gebruikersvriendelijk.
Ik zie dat je niks alleen kan doen ook als risico. Dan heeft collega B toch zijn /haar wachtwoord af want die heeft het druk.
Dat ben ik toch niet helemaal met je eens. Ik werk hier ook in een omgeving waar vaak 4, soms zelfs 6 ogen nodig zijn van verschillende afdelingen (mag ook geen familie e.d. zijn) om ergens in te loggen. Het is echt hier ondenkbaar om "even je wachtwoord" te geven aan een collega. Ik geloof echt niet dat dat hier gebeurd.
Het probleem met dat soort systemen is dat er eens iemand ziek is of op vakantie is, iemand is even buiten het bedrijf of komt wat later ivm huisartsbezoek of tandarts... Dat zijn de momenten dat er "even" een wachtwoord wordt "geleend" zodat het bedrijf door kan. Het gebeurt echt in alle organisaties en "ik geloof echt niet dat dat hier gebeurt" is daarom echt een gevaarlijke aanname.

Als een rechter, een officier van justitie, medewerkers van het OM of medewerkers van Bureau Jeugdzorg het belang van veiligheid bij gevoelige informatie niet snapten, waarom zouden jouw collega's het dan wel snappen? ;)

[Reactie gewijzigd door Grrrrrene op 28 februari 2013 10:13]

Die voorbeelden die jij aanhaalt zijn compleet iets anders, dan heb je het over dingen verliezen in de trein of mensen die oude hardware verkopen en bestanden vergeten. Buiten dat zijn het geen technische mensen waar dat over gaat.
In mijn voorbeeld zijn het allen ICTers in een vertrouwelijke omgeving van de overheid en hebben zij een AIVD screening gehad en krijgen zij (op zijn minst) op staande voet ontslag bij onjuist gebruik/misbruik.

Wat ik probeer te zeggen is dat een systeem als dit prima kan werken, zo lang de "gebruikers" maar bewust zijn van de gevaren en de achterliggende gedachten achter de regels ook snappen.
Tsja, deze man verdient een prijs voor het intrappen van een open deur.

Een ander groot probleem wat hier ook raakvlak mee heeft is dat de gemiddelde 'gebruiker' lak heeft aan alle security regels. Hij of zij wil gewoon lekker aan de slag, zijn privÚ usb-stickje er zo in rammen, daar rustig een paar wachtwoordjes in txt bestanden opslaan omdat het zo handig is - of aan een 'geeltje' op hun monitor?!. En waarom gebeurd dit te vaak? Omdat men het security beleid niet prettig vind werken. Ik ben van mening dat we eerst met z'n allen een soort opvoedcursus moeten geven aan de gebruiker. Een stukje bewustwording wat je allemaal kunt met een schijnbaar lullig iets als een wachtwoordje. Laat zien wat er fout kan gaan en wat voor hels karwij het is om schade weer te herstellen. Daarnaast zorg je alsnog dat je netwerk dichtgetimmerd is tot het laatste kiertje aan toe en de enige zorg die je dan nog hebt is 'menselijk falen'.

Of zeg ik nu iets raars? :)
Eenvoudig op te lossen. Social pentests, met ontslag op staande voet als er kan worden bewezen dat er bijvoorbeeld wachtwoorden op geeltjes worden gezet.
Je hebt vanuit de techniek gezien zeker een punt. In veel gevallen is er meer dan alleen de techniek, er zijn mensen aan het werk. Mensen zijn bv verdomd slecht in wachtwoorden onthouden, als je als gebruiker dan gedwongen wordt om een complex wachtwoord te kiezen is het niet gek dat ze dit opschrijven (op wat voor manier dan ook). In plaats van de gebruiker steeds maar dwingen nieuwe of complexere wachtwoorden te kiezen en onthouden, zouden we ook kunnen zoeken naar andere methoden om het veilig te houden. Leer gebruikers een makkelijk te onthouden en toch lastig te kraken wachtwoord te kiezen: ipv 234hubklasid$gyu3 iets van halloikbende1stemeteensupervetwachtwoord!echtjonguh!

Of zeg ik nu iets raars? :)
Typisch IT... Lekker de schuld geven aan de gebruiker...

Je schijnt te vergeten dat de gebruiker degene is die daadwerkelijk iets produceert! De IT die daarvoor nodig is, dient dus altijd in dienst te staan van de gebruiker. Als vanwege security, de gebruiker niet meer normaal kan werken, dan ben je verkeerd bezig. Je hoofdtaak als dienst naar de gebruiker, wordt dan ondergraven.

Natuurlijk kan het zijn dat je bepaalde rechten moet ontnemen van de gebruiker, maar dat moet je dan op een dusdanig manier doen, dat het geen negatieve invloed heeft op zijn werken.
Hoewel je een punt hebt, heeft Bruce hierin gewoon keihard gelijk. Het is een uitspraak die al vaker is gedaan, door mij maar ook door vele andere echte security specialisten. Je kan een systeem nog zo veilig maken, zolang er gebruikers mee werken is de gebruiker het zwakste punt.

ICT dient ondersteunend te zijn aan de bedrijfsprocessen. Als de gebruiker zijn / haar werk niet kan doen omdat de beveiliging in de ICT hem/haar het werk onmogelijk maakt dan ben je inderdaad niet goed bezig.

Het probleem is echter dat de scheiding tussen veilig en werkbaar een heel dun lijntje kan zijn. Ofwel het werk wordt onmogelijk door alle procedures, ofwel de beveiliging laat te schorten over.

En dat is dus het werkveld van de IT security man. Hoe maak je iets werkbaar en toch veilig. Vaak is het gewoon een risico afweging.

Edit: Even mijzelf wat minder als security specialist voorgedaan :P

[Reactie gewijzigd door Equator op 28 februari 2013 16:07]

De systemen werken het som ook gewoon in de hand dat een gebruiker een zwakkere schakel wordt. Verzin een wachtwoord van minstens 10 tekens met minstens x leestekens en y cijfers en bla bla... Dat wordt dus gewoon op een briefje geschreven. Dat mensen tegenwoordig honderden accounts hebben (waarvan een groot deel bij webwinkels en websites die maar ÚÚn keer gebruikt worden) zorgt er wel voor dat mensen wachtwoorden dubbel gebruiken. Overal aparte accounts voor verwachten is dus eigenlijk ook niet handig.

Ja, er zijn wel keepass en zijn vriendjes, maar dat kent/snapt niet iedereen. Hopelijk hebben we over 10 jaar gewoon IRMA-achtige dingen die ook voor websites werken, waarmee je nooit meer iets hoeft te onthouden.
En verplicht iedere 3 of 6 maanden een nieuw wachtwoord, waardoor je echt helemaal gek wordt.
Als je keepass gebruikt kun je eigenlijk net zo goed overal 1 wachtwoord voor gebruiken, nl die van keepass.
Ik kan me nog een verhaal herinneren van een collega van mij die in Azie werkt op een ambassade. Alle telecommunicatie lijnen waren encrypt met Europa, maar de ambassadeur stuurde zijn zakelijk account door naar zijn hot-mail account zodat hij zijn e-mail dan in een internet cafe kon controleren. Moet er wel bij zeggen dat dit jaren geleden was uit de tijd dat er geen mobiele telefoons waren.
Vreemd.
Mobiele telefoons waren er eerder dan internet voor iedereen.

Internet kwam pas begin jaren 90 en ervoor directe inbel modems op de server.
Mobiele telefoons waren er al in de jaren 80 welke ook met een scrambler te leveren waren en mobilefax.

Dus in welk land was dat dan dat men geen mobile telefoons had maar wel een hotmail account.? en hoeveel jaar mag dat dan wel niet geleden zijn.
Alleen het feit hotmail account zegt mij al genoeg, professionele gebruikers met een hotmail account, het blijft een lachwekkende vertoning en die neem ik nooit serieus..
Helemaal mee eens. Uiteindelijk is iets langs het beste.
Wat toevallig dat hij quantumcomputers betrekt in zijn verhaal. Ik had gisteren nog een discussie met mijn neefje, die bijna zijn master in wiskunde heeft afgerond, over hoe dit de IT security zou gaan be´nvloeden.

We waren eigenlijk tot de conclusie gekomen dat het probleem zich dan verplaatst van platform. Quantumcomputers zullen de sleutels van normale computers binnen relatief snelle tijd kunnen achterhalen. Echter sleutels die gebaseerd zijn op quantumbits zal dezelfde situatie opleveren als de huidige situatie met de normale computers. Het gevaar zal hem zitten in de overstap van binary naar quantum.
Maar zn punt was juist dat het lang duurt om van de enne standaard over te stappen naar de volgende.
Ik denk dat elke 'cryptografiegoeroe' het daar wel vaker over heeft.
Dus net zoals een hacktooltje dat verouderde systemen kan aanvallen, zullen quantumcomputers beschikbaar komen om verouderde encryptietechnieken aan te kunnen vallen.
Het enige wat je kunt doen om je te beschermen is alles goed dichttimmeren en software up-to-date houden of niet meer te gebruiken (beter geen communicatie dan onveilige communicatie).
Hij plaatst een interessante paradoxale bewering.
Computers en software systemen zijn zo 'perfect' als de mensen die ze maken.
Evenals beveiliging zo perfect is als de zwakste schakel (gebruiker die deze inricht).

Uiteraard kunnen newbie gebruikers mooi meeliften op de systemen van beveiligingsexperts en dat 'versterken' kan je creeeren door het systeem zelf een aantal dingen te laten bepalen.
Ook kan het een zwakke schakel worden als het systeem zelf ook deuren gaat openen.
Een systeem dat vind dat een actie zoals deze wordt uitgevoerd 'geoorloofd' zou moeten zijn terwijl dit niet het geval is.

Ik ben bang dat de techniek de afstand tussen gebruiker en apparatuur vergroot met als gevolg vergroting van de onkunde / begrip voor de techniek en daarmee een nieuw soort beveiligings issue.
Daarom moet je mensen alleen hun duim op een reader laten drukken, verder niks.
vingerafdrukken zijn heel makkelijk te liften. En hoe krijg je dmv een vingerafdruk toegang tot je webmail?
Met je duim op dat envelopje boven aan je keyboard drukken. Kijk maar boven de F10 toets

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013