Beveiligingsexpert Schneier: mens zal altijd zwakste schakel blijven

Fouten van gebruikers zijn niet uit te bannen en dus zal hij of zij altijd de zwakste schakel zijn. Dat stelt beveiligings- en cryptografiegoeroe Bruce Schneier. Het is daarom zaak om software te bouwen die daar rekening mee houdt.

Bruce Schneier"Ik maak me meer druk om de menselijke factor dan de technische kant van het verhaal", zo zegt Bruce Schneier tegenover Tweakers op de RSA Conference, een beveiligingsconferentie die deze week in San Francisco wordt gehouden. "Zo lang er mensen in het spel zijn, heb je menselijke fouten. Je moet dus systemen bouwen die daarmee om kunnen gaan", aldus Schneier.

"In de meeste netwerken is de beveiliging zo zwak als de zwakste schakel", stelt de beveiligingsgoeroe. Die zwakste schakel is in de praktijk de zwakste gebruiker. "We proberen de gemiddelde gebruiker nu te 'verbeteren'. Dat slaat nergens op. We moeten systemen bouwen die ervan uitgaan dat er inbraken zullen zijn en die zichzelf daarna kunnen herstellen."

Schneier zet echter vraagtekens bij het vermogen van de ict-industrie om zijn systemen aan te passen. "We kunnen niet eens ipv6 en dnssec geïmplementeerd krijgen. Beide zijn goede oplossingen, die bepaalde problemen oplossen, goed ontworpen en verheven tot standaarden. En we krijgen ze niet geïmplementeerd." Daar valt wel een kanttekening bij te zetten: veel providers zijn momenteel hard bezig om ipv6 geïmplementeerd te krijgen en ook dnssec, een veiligere versie van het dns-protocol, wordt langzaam maar zeker geïmplementeerd.

Feit is wel dat het lang duurt voordat beide standaarden worden geïmplementeerd: ipv6 stamt al uit 1998 en rond die tijd werd ook al over dnssec gesproken. "Dat komt doordat niemand ze dwingt. Als je naar de cijfers kijkt, is het goedkoper om niet de eerste te zijn die iets implementeert, maar de laatste." Daardoor wacht iedereen op elkaar en gebeurt er niks. "Vergelijk het met het plaatsen van een blusinstallatie in je appartement. Bij het eerste appartement is het het duurst. Dus iedereen wacht."

De beveiligingsexpert zegt zich verder zorgen te maken over de enorme hoeveelheden data die bedrijven als Facebook en Google van gebruikers verzamelen, en die vervolgens door overheden kunnen worden bemachtigd. Ook maakt hij zich zorgen over overheden die digitale wapens inzetten. "Ik maak me meer zorgen om overheden en bedrijven dan om criminelen", zegt Schneier.

Waar Schneier zich in ieder geval geen zorgen om maakt, zijn de gevolgen van quantumcomputers voor cryptografie. Sommige huidige cryptografie-algoritmes, waaronder de RSA- en ElGamal-algoritmes, zijn achterhaald als quantumcomputers werkelijkheid worden. Dat komt doordat ze zijn gebaseerd op het berekenen van grote priemgetallen en het feit dat bestaande computers die berekeningen niet, of slechts na lange tijd, kunnen achterhalen. Quantumcomputers zouden dat wel kunnen, als het concept werkelijkheid wordt.

"Sommige algoritmes zullen stoppen met werken, maar er zijn andere algoritmes die het dan wel gewoon nog doen", aldus Schneier. "Het zal een flinke kluif worden om over te stappen, maar geen catastrofe." Ook zullen langere sleutellengtes moeten worden behaald. Schneier tekent overigens aan dat quantumcomputers nog lang geen werkelijkheid zijn. "Er is nog behoorlijk wat voor nodig om quantumcomputers werkelijkheid te maken", zegt hij.

Door Joost Schellevis

Redacteur

Feedback • 28-02-2013 07:46 34

28-02-2013 • 07:46

34

Lees meer

Icann: dnssec-implementatie passeert grens van 50 procent
Icann: dnssec-implementatie passeert grens van 50 procent Nieuws van 24 januari 2014
Boycotters RSA Conference organiseren eigen beveiligingsconferentie
Boycotters RSA Conference organiseren eigen beveiligingsconferentie Nieuws van 17 januari 2014
'Europa moet haast maken met exportstop digitale wapens aan schimmige landen'
'Europa moet haast maken met exportstop digitale wapens aan schimmige landen' Nieuws van 31 oktober 2013
Google en NASA kopen quantumcomputers en openen researchlab
Google en NASA kopen quantumcomputers en openen researchlab Nieuws van 16 mei 2013
'Ict-beveiligers lopen achter op hackers'
'Ict-beveiligers lopen achter op hackers' Nieuws van 1 maart 2013
Amerikaanse overheid kiest algoritme voor sha-3-hashes
Amerikaanse overheid kiest algoritme voor sha-3-hashes Nieuws van 4 oktober 2012
Onderzoeker: kwalificatie 'cyberoorlog' wordt bewust misbruikt
Onderzoeker: kwalificatie 'cyberoorlog' wordt bewust misbruikt Nieuws van 16 februari 2011
Bruce Schneier: mensen geven veel om privacy, maar zijn naïef
Bruce Schneier: mensen geven veel om privacy, maar zijn naïef Nieuws van 12 oktober 2010
Beveiligingsexpert Schneier: quantumcryptografie nutteloos
Beveiligingsexpert Schneier: quantumcryptografie nutteloos Nieuws van 17 oktober 2008
Meer producten en artikelen
Beveiliging en antivirus Netwerk en systeembeheer

Reacties (34)

-Moderatie-faq
34
32
27
0
0
0
Wijzig sortering

Sorteer op:

Weergave:
Grrrrrene 28 februari 2013 07:51
Helemaal mee eens. Wat heb je aan een beveiligingsprotocol als gebruikers dat maar lastig vinden en omwegen gaan zoeken om makkelijker te kunnen werken? Je kunt je firewall nog zo dichtbouwen, je kunt nog zoveel virussen afvangen, als gebruikers dat ene dubieuze attachment toch openen kun je als ICT'er weer uren klooien om de schade te herstellen.

En hoe dicht je netwerk ook zit, een verloren (en onbeveiligde) usb-stick of doorverteld wachtwoord en al je werk is teniet gedaan :)

Maar goed, de uitspraak is opzich ook wel een beetje een open deur :)
Verwijderd @Grrrrrene28 februari 2013 15:07
Ook een typisch IT'er probleem... Ze maken een technisch goede oplossing, maar vergeten dat de gebruiker er óók nog normaal mee moet kunnen werken.

De IT-er loopt te klagen dat hij uren moet klooien om schade van een virus te herstellen...
De gebruiker loopt te klagen dat hij uren moet klooien om simpele dingen gedaan te krijgen, omdat vanwege security niets meer normaal werkt.


Iemand anders de schuld geven van de problemen, is geen oplossing voor je security problemen.
BartOtten @Verwijderd28 februari 2013 20:15
Ik ken iemand *kuch* die gewerkt heeft bij een verzekeraar die de hele boel dichtgetimmerd had. Dat werkte, zachtjes uitgedrukt, erg rot en die persoon kon onmogelijk efficient werken.

Uiteindelijk kwam het er om neer dat ik hij geforceerd werd attachments naar zijn prive mail door te sturen om ze thuis te kunnen openen. De extreem strenge beveiliging had dus een averechts effect.

Je kunt water beter geleiden dan blokkeren.
Spockz @Grrrrrene28 februari 2013 11:31
En daarom geen USB sticks meer toestaan. Alle communicatie verloopt via VPN en door het bedrijf uitgegeven devices waar niets anders op geïnstalleerd mag worden.

Maar dan krijg je alleen maar nog meer dat dingen als lastig worden ervaren door je personeel. :-(
Verwijderd 28 februari 2013 08:00
Tsja, deze man verdient een prijs voor het intrappen van een open deur.

Een ander groot probleem wat hier ook raakvlak mee heeft is dat de gemiddelde 'gebruiker' lak heeft aan alle security regels. Hij of zij wil gewoon lekker aan de slag, zijn privé usb-stickje er zo in rammen, daar rustig een paar wachtwoordjes in txt bestanden opslaan omdat het zo handig is - of aan een 'geeltje' op hun monitor?!. En waarom gebeurd dit te vaak? Omdat men het security beleid niet prettig vind werken. Ik ben van mening dat we eerst met z'n allen een soort opvoedcursus moeten geven aan de gebruiker. Een stukje bewustwording wat je allemaal kunt met een schijnbaar lullig iets als een wachtwoordje. Laat zien wat er fout kan gaan en wat voor hels karwij het is om schade weer te herstellen. Daarnaast zorg je alsnog dat je netwerk dichtgetimmerd is tot het laatste kiertje aan toe en de enige zorg die je dan nog hebt is 'menselijk falen'.

Of zeg ik nu iets raars? :)
Verwijderd @Verwijderd28 februari 2013 15:13
Typisch IT... Lekker de schuld geven aan de gebruiker...

Je schijnt te vergeten dat de gebruiker degene is die daadwerkelijk iets produceert! De IT die daarvoor nodig is, dient dus altijd in dienst te staan van de gebruiker. Als vanwege security, de gebruiker niet meer normaal kan werken, dan ben je verkeerd bezig. Je hoofdtaak als dienst naar de gebruiker, wordt dan ondergraven.

Natuurlijk kan het zijn dat je bepaalde rechten moet ontnemen van de gebruiker, maar dat moet je dan op een dusdanig manier doen, dat het geen negatieve invloed heeft op zijn werken.
Equator Crew Council @Verwijderd28 februari 2013 16:04
Hoewel je een punt hebt, heeft Bruce hierin gewoon keihard gelijk. Het is een uitspraak die al vaker is gedaan, door mij maar ook door vele andere echte security specialisten. Je kan een systeem nog zo veilig maken, zolang er gebruikers mee werken is de gebruiker het zwakste punt.

ICT dient ondersteunend te zijn aan de bedrijfsprocessen. Als de gebruiker zijn / haar werk niet kan doen omdat de beveiliging in de ICT hem/haar het werk onmogelijk maakt dan ben je inderdaad niet goed bezig.

Het probleem is echter dat de scheiding tussen veilig en werkbaar een heel dun lijntje kan zijn. Ofwel het werk wordt onmogelijk door alle procedures, ofwel de beveiliging laat te schorten over.

En dat is dus het werkveld van de IT security man. Hoe maak je iets werkbaar en toch veilig. Vaak is het gewoon een risico afweging.

Edit: Even mijzelf wat minder als security specialist voorgedaan :P

[Reactie gewijzigd door Equator op 27 juli 2024 06:51]

theborgnl @Verwijderd28 februari 2013 11:19
Je hebt vanuit de techniek gezien zeker een punt. In veel gevallen is er meer dan alleen de techniek, er zijn mensen aan het werk. Mensen zijn bv verdomd slecht in wachtwoorden onthouden, als je als gebruiker dan gedwongen wordt om een complex wachtwoord te kiezen is het niet gek dat ze dit opschrijven (op wat voor manier dan ook). In plaats van de gebruiker steeds maar dwingen nieuwe of complexere wachtwoorden te kiezen en onthouden, zouden we ook kunnen zoeken naar andere methoden om het veilig te houden. Leer gebruikers een makkelijk te onthouden en toch lastig te kraken wachtwoord te kiezen: ipv 234hubklasid$gyu3 iets van halloikbende1stemeteensupervetwachtwoord!echtjonguh!

Of zeg ik nu iets raars? :)
Verwijderd @Verwijderd28 februari 2013 09:09
Eenvoudig op te lossen. Social pentests, met ontslag op staande voet als er kan worden bewezen dat er bijvoorbeeld wachtwoorden op geeltjes worden gezet.
Alcmaria 28 februari 2013 07:57
In onze hoogbeveiligde omgeving kan je ook eigenlijk niks alleen doen, er is duidelijke functiescheiding waardoor collega A, altijd Collega B nodig heeft om iets voor elkaar te krijgen (en soms zelfs collega C).
Ook dit is natuurlijk niet feilloos, maar zorgt wel voor, én een laag controle (4 ogen), én een laag beveiliging.

Overigens als iemand hier graag wil dat ik de beveiliging van je mail wil eens wil controleren of alles goed staat, PM me dan even je username+password.

:*)
Kevinp @Alcmaria28 februari 2013 08:20
Ik zie dat je niks alleen kan doen ook als risico. Dan heeft collega B toch zijn /haar wachtwoord af want die heeft het druk.

Dat werkt alleen als je ook kan (en doet) controlleren of deze twee ook daadwerkelijk aanwezig zijn. Zelfs als een van de twee weg gaat naar de wc moet het systeem terugvallen. Niet echt gebruikersvriendelijk.
useruser @Kevinp28 februari 2013 09:16
Ik zie dat je niks alleen kan doen ook als risico. Dan heeft collega B toch zijn /haar wachtwoord af want die heeft het druk.
Dat ben ik toch niet helemaal met je eens. Ik werk hier ook in een omgeving waar vaak 4, soms zelfs 6 ogen nodig zijn van verschillende afdelingen (mag ook geen familie e.d. zijn) om ergens in te loggen. Het is echt hier ondenkbaar om "even je wachtwoord" te geven aan een collega. Ik geloof echt niet dat dat hier gebeurd.
Grrrrrene @useruser28 februari 2013 10:12
Het probleem met dat soort systemen is dat er eens iemand ziek is of op vakantie is, iemand is even buiten het bedrijf of komt wat later ivm huisartsbezoek of tandarts... Dat zijn de momenten dat er "even" een wachtwoord wordt "geleend" zodat het bedrijf door kan. Het gebeurt echt in alle organisaties en "ik geloof echt niet dat dat hier gebeurt" is daarom echt een gevaarlijke aanname.

Als een rechter, een officier van justitie, medewerkers van het OM of medewerkers van Bureau Jeugdzorg het belang van veiligheid bij gevoelige informatie niet snapten, waarom zouden jouw collega's het dan wel snappen? ;)

[Reactie gewijzigd door Grrrrrene op 27 juli 2024 06:51]

useruser @Grrrrrene28 februari 2013 11:04
Die voorbeelden die jij aanhaalt zijn compleet iets anders, dan heb je het over dingen verliezen in de trein of mensen die oude hardware verkopen en bestanden vergeten. Buiten dat zijn het geen technische mensen waar dat over gaat.
In mijn voorbeeld zijn het allen ICTers in een vertrouwelijke omgeving van de overheid en hebben zij een AIVD screening gehad en krijgen zij (op zijn minst) op staande voet ontslag bij onjuist gebruik/misbruik.

Wat ik probeer te zeggen is dat een systeem als dit prima kan werken, zo lang de "gebruikers" maar bewust zijn van de gevaren en de achterliggende gedachten achter de regels ook snappen.
bwerg 28 februari 2013 08:02
De systemen werken het som ook gewoon in de hand dat een gebruiker een zwakkere schakel wordt. Verzin een wachtwoord van minstens 10 tekens met minstens x leestekens en y cijfers en bla bla... Dat wordt dus gewoon op een briefje geschreven. Dat mensen tegenwoordig honderden accounts hebben (waarvan een groot deel bij webwinkels en websites die maar één keer gebruikt worden) zorgt er wel voor dat mensen wachtwoorden dubbel gebruiken. Overal aparte accounts voor verwachten is dus eigenlijk ook niet handig.

Ja, er zijn wel keepass en zijn vriendjes, maar dat kent/snapt niet iedereen. Hopelijk hebben we over 10 jaar gewoon IRMA-achtige dingen die ook voor websites werken, waarmee je nooit meer iets hoeft te onthouden.
ArnoutV @bwerg28 februari 2013 09:36
En verplicht iedere 3 of 6 maanden een nieuw wachtwoord, waardoor je echt helemaal gek wordt.
Als je keepass gebruikt kun je eigenlijk net zo goed overal 1 wachtwoord voor gebruiken, nl die van keepass.
clogie886 28 februari 2013 08:12
Ik kan me nog een verhaal herinneren van een collega van mij die in Azie werkt op een ambassade. Alle telecommunicatie lijnen waren encrypt met Europa, maar de ambassadeur stuurde zijn zakelijk account door naar zijn hot-mail account zodat hij zijn e-mail dan in een internet cafe kon controleren. Moet er wel bij zeggen dat dit jaren geleden was uit de tijd dat er geen mobiele telefoons waren.
webcamjan @clogie8861 maart 2013 02:02
Vreemd.
Mobiele telefoons waren er eerder dan internet voor iedereen.

Internet kwam pas begin jaren 90 en ervoor directe inbel modems op de server.
Mobiele telefoons waren er al in de jaren 80 welke ook met een scrambler te leveren waren en mobilefax.

Dus in welk land was dat dan dat men geen mobile telefoons had maar wel een hotmail account.? en hoeveel jaar mag dat dan wel niet geleden zijn.
Alleen het feit hotmail account zegt mij al genoeg, professionele gebruikers met een hotmail account, het blijft een lachwekkende vertoning en die neem ik nooit serieus..
Nimrodx 28 februari 2013 09:11
Wat toevallig dat hij quantumcomputers betrekt in zijn verhaal. Ik had gisteren nog een discussie met mijn neefje, die bijna zijn master in wiskunde heeft afgerond, over hoe dit de IT security zou gaan beïnvloeden.

We waren eigenlijk tot de conclusie gekomen dat het probleem zich dan verplaatst van platform. Quantumcomputers zullen de sleutels van normale computers binnen relatief snelle tijd kunnen achterhalen. Echter sleutels die gebaseerd zijn op quantumbits zal dezelfde situatie opleveren als de huidige situatie met de normale computers. Het gevaar zal hem zitten in de overstap van binary naar quantum.
darkfader @Nimrodx28 februari 2013 20:53
Ik denk dat elke 'cryptografiegoeroe' het daar wel vaker over heeft.
Dus net zoals een hacktooltje dat verouderde systemen kan aanvallen, zullen quantumcomputers beschikbaar komen om verouderde encryptietechnieken aan te kunnen vallen.
Het enige wat je kunt doen om je te beschermen is alles goed dichttimmeren en software up-to-date houden of niet meer te gebruiken (beter geen communicatie dan onveilige communicatie).
SXander @Nimrodx28 februari 2013 09:29
Maar zn punt was juist dat het lang duurt om van de enne standaard over te stappen naar de volgende.
mrlammers 28 februari 2013 13:03
Beveiligingsexpert Schneier: mens zal altijd zwakste schakel blijven
Daar hoef je geen expert voor te zijn om dat te bedenken.

Mijn filosofie is: alles dat door mensenhanden gemaakt is, is feilbaar. Zelfs als een systeem, een algorithme of een gebruiksvoorwerp volmaakt zou zijn, dan maakt het feit dat er een mens aanstaat het hele zaakje kwetsbaar.
Skyclad @mrlammers28 februari 2013 13:45
Veel 'experts' focussen te veel op de gebruiker wanneer het gaan om beveiliging. Goede passwords hebben en er ook verantwoord mee omgaan is natuurlijk belangrijk, maar dat is maar een klein deel van netwerk beveiliging. Ook de 'beveiligingsexperts' zijn maar mensen, en voor mensen die kwaad willen is het dan ook een kwestie van het vinden van een menselijke fout, of dat nou een zwak password is van een gebruiker of een mogelijke ingang die de 'expert' over het hoofd heeft gezien of is vergeten.

Aan de andere kant is beveiliging juist ook het moeilijkste om een computer zelf te leren. Je moet tenslotte de computer dan leren gaten te herkennen die nog niet bekend zijn, in plaats van alleen de bekende gaten te repareren. En ook natuurlijk om aanvallen op de 'beveiligingscomputer' zelf te herkennen en te blokkeren, zodat die ook niet een trojan in zich krijgt. Menselijke beveiligingsexperts zullen dan ook nog lang nodig zijn.
Kevinp 28 februari 2013 07:50
Hij heeft natuurlijk een punt. Je kan nog zo'n goed systeem bouwen, wanneer een gebruiker overal hetzelfde password gebruikt dan hoeft iemand maar een e-mail te hacken. Even te kijken waar iemand bv werkt en dan ben je al op de helft.

Ook heel simpel het afgeven van deze gegevens gebeurd vaak. Of het niet locken van een pc. Of heel simpel het vertellen wat niemand anders hoort te weten.

Dit kan je technologisch misschien voor een groot deel voorkomen, bv met irisscanners op pc's of pasjes (maar die kan je ook afgeven).
Eric Oud Ammerveld 28 februari 2013 09:45
Hij plaatst een interessante paradoxale bewering.
Computers en software systemen zijn zo 'perfect' als de mensen die ze maken.
Evenals beveiliging zo perfect is als de zwakste schakel (gebruiker die deze inricht).

Uiteraard kunnen newbie gebruikers mooi meeliften op de systemen van beveiligingsexperts en dat 'versterken' kan je creeeren door het systeem zelf een aantal dingen te laten bepalen.
Ook kan het een zwakke schakel worden als het systeem zelf ook deuren gaat openen.
Een systeem dat vind dat een actie zoals deze wordt uitgevoerd 'geoorloofd' zou moeten zijn terwijl dit niet het geval is.

Ik ben bang dat de techniek de afstand tussen gebruiker en apparatuur vergroot met als gevolg vergroting van de onkunde / begrip voor de techniek en daarmee een nieuw soort beveiligings issue.
Verwijderd 28 februari 2013 12:47
Ook mensen met verstand van beveiliging kunnen zwaar de fout in gaan door arrogantie en nalatigheid. Niet zozeer die ene sukkel die 1234 als wachtwoord heeft en het met watervaste stift op de monitor schrijft. Maar juist die sukkelige beveiligingsexpert die weigert te luisteren op het moment dat een gebruiker met minder verstand denk iets gevonden te hebben wat niet in de haak is. Dergelijke beveiliginglekken worden dan met een 'airtje' weggewuifd, met de mededeling dat je met zaken bezig bent die je niet aangaan. Denk dat het lastig wordt om sofware te bouwen die daar rekening mee houd; met de arrogantie en nalatigheid van de hoofdgebruiker.

HAL 9000: "I'm sorry Dave, I'm affraid I cant do that..." (2001: A Space Odyssey)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq