Is de IP-protocolsuite überhaupt wel veilig?

Computable Expert

René Visser

Senior Riskmanagement Consultant / Hogeschool docent

Expert van Computable voor het topic Security

Meer

Een kleine reis door de ip-suite laat zien dat de veiligheid op het internet elke keer opnieuw wordt ingehaald door de werkelijkheid. De lijst is eindeloos: van SSL cookiemonster, MTM, DNS Spoofing, SYN, rfid, MiFare, WEP, WPA, DDOS tot SQL-injectie.

Het probleem zit hem dan ook in de verwachting, de verkoopargumenten van de oplossingen. Producten en diensten worden vaak verkocht als de oplossing in functionaliteit, services of beveiliging. De (eind) gebruiker/klant heeft dan iets te hoge verwachtingen gekregen van het product. De (over)reactie en schade bij falen of verkeerd gebruik is daardoor meestal groter. Immers, als ik weet dat het fout kan gaan ben ik voorzichtig en zijn mijn verwachtingen meestal ook reëler. In deze lijn is het dan ook een verkeerde verwachting dat het ip-protocol, bijbehorende ISO-lagen, applicaties en services veilig zijn. De basis van ip en nog steeds het merendeel van de applicaties zijn eerder vanuit een functioneel perspectief dan vanuit beveiligingsoogpunt ontwikkeld en getest.

Het is überhaupt utopisch (wellicht onnozel) om te geloven dat iets 100 procent veilig is. Er is nog nooit een security oplossing geweest die niet (na een bepaalde tijd) op wat voor manier dan ook gekraakt, gestolen, afgeluisterd of door ondoordachtzaamheid (in gebruik) te achterhalen is geweest. De laatste DNS securitybug hype is er dus een van vele en er zullen nog vele volgen. Zelfs de voorgestelde oplossingen als patching, IPSEC, DNSSEC, IPv6 zullen of hebben nu ook al hun zwakheden. Het enige wat ze bieden is een (tijdelijke) extra drempel, een zogenaamd extra deurslot. Het is nu wachten tot de volgende (bekende) zwakheid wordt gebruikt (bijvoorbeeld het raam).

Is dit een negatief doem scenario. Ik denk het niet. Wel is het zaak om reëler naar de risico's te kijken en daar vooral over geïnformeerd te worden. Bewust te worden hoe je bijvoorbeeld internet dient te gebruiken, wat de gevaren zijn. Hoe deze te ontdekken en wat je vooral niet moet doen. De discussie die dan ook nu gevoerd wordt om bedreigingen, werking en oplossingen alleen aan een kleine sub-groep bekend te maken, vind ik dan ook een zeer onwenselijke situatie. Immers lucifers, olie en aardgas zijn mooie producten, bij onjuist gebruik, verwerking, transport kan het ook hier mis gaan. Mag ik dat dan niet weten omdat ik niet tot de uitverkorenen behoor!