De nuchtere ideeën van Bruce Schneier

Door | | ,
Reacties uitgeschakeld voor De nuchtere ideeën van Bruce Schneier

Beveiligingsgoeroe wars van angstzaaierij

In de IT-beveiligingswereld lopen veel markante figuren rond. De prominente cryptograaf Bruce Schneier is een van hen. Met zijn soms tegendraadse, nuchtere verklaringen weet de oprichter van netwerkbeveiligingsbedrijf BT Counterpane zijn publiek steevast te verbazen.

Op een congres van Govcert.nl (de Nederlandse CERT) heeft de beveiligingsgoeroe vorige week zijn karakteristieke geluid laten horen. We willen je zijn opvattingen over onder meer dataopslag, softwarelekken en ’tweefactor-authenticatie’ niet onthouden.

Klaag softwarebedrijven aan
Volgens Schneier is het wel degelijk mogelijk om kwaliteitssoftware te schrijven die goed werkt en niet constant hoeft te worden gepatcht. “Het probleem is dat het duur is en veel tijd vreet.” Doordat de computerindustrie momenteel niet aansprakelijk wordt gesteld voor fouten, kan ze meer producten in een sneller tempo uitbrengen. Eerder heeft Schneier dit een “enorme overheidssubsidiëring van de computerindustrie” genoemd.

De softwarebedrijven moeten worden gedwongen, door ze aan te klagen. Op die manier kun je ook monopolies aanpakken, meent hij. “Er zullen altijd beveiligingsproblemen zijn. Je moet het probleem doorschuiven naar de maker. Dat is het basisprincipe achter software veiliger maken.”

Het werkt ook zo in de auto-industrie, vergelijkt hij. “Als daar iets misgaat, dan wordt de fabrikant aangeklaagd. Dat is de enige manier om ervoor te zorgen dat iets vanaf het begin veilig wordt ontworpen.” Overigens maakt hij voor openbronsoftwaremakers een uitzondering. “Openbronsoftware is een cadeau, dan geldt geen aansprakelijkheid.”

Veel softwarebedrijven maken het klanten wel lastig om ze aan te klagen, geeft Schneier toe. Dat doen ze bijvoorbeeld door in de gebruiksovereenkomst op te nemen dat ze geen aansprakelijkheid accepteren bij software. Maar: “Bij een echt contract moeten beide partijen onderhandelingsmacht hebben. Dus er is een argument dat er geen redelijk contract is.”

Tweefactor-authenticatie is geen oplossing
En wij in België en Nederland maar denken dat we zo veilig internetbankieren. Wij gebruiken immers tweefactor-authenticatie om in te loggen en te betalen, in plaats van een wachtwoord. Schneier maakt korte metten met deze vorm van beveiliging.

“De reden dat ik denk dat tweefactor-authenticatie niet werkt, is omdat er geen authenticatieprobleem is maar een fraudeprobleem”, verklaart Schneier. “Het zal criminelen alleen maar dwingen om hun tactieken aan te passen.” Hij wijst op slimme malware die ook transacties met tweefactor-authenticatie kan saboteren. “De oplossing: verifieer de transactie.”

Zo gaat dat met creditcards, legt hij uit. “Niemand controleert de handtekening, niemand controleert of je de kaart hebt. Er is geen persoonsverificatie. De creditcardindustrie verifieert de transactie door te kijken naar het uitgavegedrag en nog veel meer. Dat werkt prima. Banken stappen niet uit deze handel. Creditcards zijn uitermate winstgevend.”

Er is wel fraude met creditcards, geeft hij toe. Maar: “Als banken echt geld gaan verliezen, dan bedenken ze wel een oplossing, geloof me.”

Privacy is vrijheid
Privacy gaat niet om zaken verbergen, het is een mensenrecht, stelt Schneier in een van zijn essays. Op het bekende argument ‘Als je niets fout doet, wat heb je dan te verbergen?’ heeft hij een aantal slimme antwoorden. Zoals: “Als ik niets fout doe, dan heb je geen reden om me in de gaten te houden”. En: “Omdat de overheid mag definiëren wat fout is, en ze blijven de definitie veranderen”. Of: “Omdat je iets verkeerds kan doen met mijn informatie.”

Te veel mensen karakteriseren het debat als ‘veiligheid versus privacy’, meent hij. “De echte keuze is vrijheid versus controle.”

Privacy is niet dood
Is het gedaan met onze privacy, in deze tijden van Facebook en dataopslag? Schneier, wars van doemdenken, gelooft dat niet. “Privacy heeft altijd een legale structuur nodig, dat zal niet verdwijnen. Het zit in de menselijke aard.”

Tijdens een congres in 2007 heeft hij dit verder toegelicht. “Technologie kan de privacy beperken, maar dat er camera’s zijn uitgevonden, betekent niet meteen dat er overal naaktfoto’s van jou verschijnen.”

Het is waar dat er iedere dag meer gegevens over ons worden verzameld, beaamt hij. “Maar wat gebeurt er met die data? Wie mag ze bekijken, hoe wordt het opgeslagen en verwijderd – dit is allemaal een kwestie van wetten.” Hij denkt dat we uiteindelijk over stevige dataprivacywetten zullen beschikken die ons beschermen.

Mensen willen geen IT-beveiliging kopen
IT-beveiliging is lastig te verkopen. Het is een van Schneiers stokpaardjes en hij illustreert dit aan de hand van de bekende prospect theory. “Als je mensen de keuze geeft tussen een zekere winst van vijfhonderd dollar en een munt opgooien en daarbij kans maken op duizend dollar winst, dan zal driekwart kiezen voor de zekere winst”, legt hij uit.

“Maar als je mensen de keuze geeft tussen een zeker verlies van vijfhonderd dollar en kans op duizend dollar verlies, dan zal driekwart ervoor kiezen om de munt op te gooien.” De clou: computergebruikers sparen de kosten van beveiligingssoftware liever uit en nemen het risico op de koop toe.

Daarom proberen de softwaremakers hun producten te verkopen door gebruikers flink angst aan te jagen. “Onze hersenen verkiezen de kans op een groot verlies boven een onvermijdelijk klein verlies. Maar als we écht bang zijn, zullen we bijna alles doen om van dat gevoel af te komen”, verklaart Schneier in een essay. Wat je dan krijgt is fear, uncertainty, doubt (FUD).

IT-beveiliging is een ongeluk
“De hele IT-beveiligingsindustrie is een ongeluk, een artefact van hoe de computerindustrie zich heeft ontwikkeld”, poneert de goeroe. “Terwijl IT in de achtergrond vervaagt en gewoon een nutsvoorziening wordt, zullen gebruikers gewoon verwachten dat het werkt. De details van hoe het werkt doen er niet toe.”

Op het Govcert-congres heeft Schneier dit verder uitgelegd. Volgens hem zal beveiliging uiteindelijk niet meer op zichzelf staan. Het zal steeds meer ingebed worden in andere producten en wordt op die manier een “industrie voor de industrie”.

Hij ziet een bewijs voor deze trend in het feit dat beveiligingsbedrijven worden gekocht door grote spelers in een andere markt. Zo heeft British Telecom zijn bedrijf Counterpane gekocht en is Internet Security Systems (ISS) overgenomen door IBM. Op deze manier kunnen fabrikanten beveiliging in hun producten bundelen.

Security wordt niet onzichtbaar, benadrukt Scheier. “Het zal aanwezig zijn in de marketing, zoals auto’s adverteren met beveiligingsfuncties.” Voor consumenten zal dit betekenen dat beveiliging gebundeld is met andere producten, zodat ze zich er niet meer mee bezig hoeven te houden.

Cloud computing is: mijn data op andermans harddisk
Schneider vertaalt de term cloud computing liever in: “Mijn data op andermans harde schijf”. Hij merkt op dat mensen tegenwoordig verbazingwekkend sterk ontwikkeld zijn in het sociale gebruik van ICT. “Maar op technisch vlak zijn ze erg naïef.”

Dit is kenmerkend voor een volwassen industrie, volgens hem. Om auto te kunnen rijden, hoef je bijvoorbeeld ook geen technische kennis meer te hebben. “Gebruikers raken minder geïnteresseerd in details en meer in resultaten. Ze geven er niet meer om hoe de infrastructuur in elkaar zit, hoe de bits bewegen, waar zich hun firewall bevindt of wat het OS van Facebook is. De data zelf vinden ze wél belangrijk.”

Cloud computing mag dan wel de toekomst zijn, toch moeten gebruikers nog steeds voorzichtig zijn aan wie ze hun gegevens overlaten, waarschuwt Schneier. “Je wilt niet dat jouw cruciale gegevens op een of andere cloud computer staan die ineens verdwijnt omdat de eigenaar failliet gaat. Je wilt niet dat het bedrijf dat je gebruikt wordt verkocht aan je directe concurrent.” Of dat zo’n bedrijf ineens de tarieven verhoogt en vervolgens weigert jouw data terug te geven.

Google verkoopt ons
Maak jezelf maar niet wijs dat je een klant van Google of Facebook bent en daardoor iets te zeggen hebt. “Wij zijn geen Google-klanten, dat zijn de adverteerders”, aldus Schneier. “Wij zijn het product dat Google verkoopt aan adverteerders. Facebook doet dat ook. Zij verkopen toegang tot ons.”

Als gebruiker van een gratis dienst heb je geen macht, daar komt het op neer. Schneier waarschuwt dat je alles kunt verliezen. “Bedrijven als Google en Amazon zullen daar niet veel tijd aan besteden.” Volgens hem zijn er bijvoorbeeld gevallen geweest waarbij Gmail-gebruikers e-mail kwijtraakten en Google daar weinig mee deed.

Je hebt meer te vertellen als betalende gebruiker, maar niets is gegarandeerd. “Wees voorzichtig met wie je vertrouwt, wees voorzichtig met waarmee je hen vertrouwt, en wees voorzichtig in welke mate je hen vertrouwt.”

De dreiging van roofdieren is overdreven
Scheier vindt dat veel IT-bedreigingen overdreven worden, zoals cyberterrorisme of dataverlies. Ook het gevaar van online predators – volwassenen die via internet kinderen en tieners proberen te misleiden met als doel hen seksueel te misbruiken – vindt hij overtrokken. “Kinderen hebben volwassenen die online iets proberen wel door.” Volgens hem worden jongeren ‘internetwijs’.

Op zijn blog verwijst Schneier naar een onderzoek uit 2008 waarin een aantal mythes wordt blootgelegd. Zo blijken ‘internetroofdieren’ geen pedofielen te zijn die achter jonge kinderen aanzitten. Ze richten zich op tieners. Slechts vijf procent van hen heeft zich op internet zelf voorgedaan als een tiener.

Online contacten met onbekenden zijn volgens dit onderzoek op zich niet zo riskant. Wat wel gevaarlijk is, is het vrijgeven van namen, telefoonnummers of foto’s aan onbekenden. Schneier prijst een Nederlandse campagne die jongeren laat stilstaan bij hun online reputatie. Die campagne informeert over hoe je je online gegevens kunt beschermen.

Dataopslag: doe het niet!
Overal in de EU worden momenteel wetten rond opslag van telecommunicatie geïmplementeerd. Volgens Schneier is daar geen goede reden voor. Als we hem vragen wat hij tegen de Europese overheden zou willen zeggen, klinkt het overtuigd: “Don’t do it!”

Ieder jaar brengt meer internetcensuur en controle, constateerde hij in 2007 al. “Het is slechte burgerlijke hygiëne om technologieën te bouwen die op een dag een politiestaat kunnen faciliteren. Deze stellen ons allen bloot aan een groter risico, ongeacht wat de luistervinken en censors zeggen.” Immers, communicatiesystemen zonder afluistermogelijkheden zijn veiliger dan systemen mét.

Massale dataopslag zorgt volgens Schneier voor een risico van officieel én onofficieel misbruik. Vooral dat laatste vindt hij zorgwekkend. “Waarom denkt iemand dat alleen geautoriseerde wetshandhavers verzamelde internetdata zullen bekijken of zullen meeluisteren met telefoon- en IM-conversaties?” Een heel goede vraag.

bron: ZDNet



Privacycommissie België moet tanden krijgen

Door | | ,
1 reactie

EU-maatregelen op komst

België laat zich van zijn goede kant zien in de strijd tegen spam en spyware, vindt de Europese Commissie. Het grootste probleem is dat er geen toezichthouder is met de bevoegdheid om boetes op te leggen. Dat verklaart de Europese Commissie naar aanleiding van een analyse van meer dan 140 vervolgde gevallen binnen de EU.

Het blijkt dat de boetes die de lidstaten hebben opgelegd in gevallen van spam, spy of malware sterk uiteenlopen. De Nederlandse telecomwaakhond Opta heeft de hoogste boete opgelegd: een miljoen euro. Daarna volgen Italië en Spanje met boetes van 570.000 en 30.000 euro. In landen als Roemenië, Ierland, en Letland zijn boetes opgelegd die variëren van enkele honderden tot enkele duizenden euro’s.

Positief
In het onderzoeksrapport komt ons land tamelijk positief naar voren. Er zijn diverse maatregelen getroffen tegen spam en malware. Zo leidde de samenwerking tussen overheidsorganen tot initiatieven zoals Ecops.be en Spamsquad.be. En verschillende autoriteiten zijn competent gemaakt om de strijd aan te gaan.

De Europese Commissie is te spreken over de deelname van België in internationale actieplannen en denktanks. Ons land is zich ervan bewust dat spam en spyware belangrijke problemen zijn die moeten worden aangepakt, meent ze. Voorlichtingscampagnes voor burgers zijn uitgewerkt.

Probleem
“Helaas heeft de DPA geen echte macht om sancties op te leggen”, luidt het. DPA staat voor Data Protection Authority. In ons land is die rol weggelegd voor de Privacycommissie. Het gebrek aan bevoegdheid “maakt het erg moeilijk om snel en efficiënt te handelen als het gaat om spam en spyware”.

Als het aan de Europese Commissie ligt, komt daar verandering in. Ze wil de lidstaten verplichten om hun nationale privacyautoriteiten te voorzien van voldoende middelen. Dat wordt geregeld in een door de Europese Commissie voorgestelde hervorming van de EU-telecomwetgeving, die momenteel door het Europees Parlement en de Raad wordt voltooid.

De nieuwe regels bepalen verder dat de sancties op schendingen van de nationale wetgeving rond privacy op internet “doeltreffend, evenredig en afschrikkend” moeten zijn. Nationale spambestrijders kunnen straks toetreden tot het Europese netwerk van autoriteiten voor consumentenbescherming.

Tevens krijgen bedrijven zoals internetproviders de mogelijkheid om gerechtelijke stappen te ondernemen tegen spammers die hun netwerken misbruiken. Ter aanvulling onderhandelt de Commissie over een samenwerking op het gebied van spam tussen de EU en de Verenigde Staten.

bron: ZDNet