Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over security by obscurity, een hardnekkige gewoonte.
Ict-security is anno 2015 een onmiskenbare noodzaak. Onveilige automatisering kan veel geld kosten en in extreme gevallen de organisatie de kop kosten. Het is geen kwestie óf je wordt gehackt, maar wannéér je wordt gehackt, weten securityleveranciers de wereld te vertellen. Dat zeggen ze uit directe ervaring: bij klanten en zelfs bij zichzelf.
Helaas is erkenning van security één ding, maar er serieus aan (blijven) werken een ander ding. Security by obscurity is een oud adagium uit de beveiligingswereld dat anno 2015 nog springlevend is. De notie dat security gebaat is bij het stil houden van eventuele zwakheden. De OV-chipkaart is een klassiek voorbeeld, de brakke autochip in miljoenen auto’s van Volkswagen een recenter voorbeeld. Laatstgenoemde kwetsbaarheid is met een gerechtelijk bevel twee jaar lang onder de pet gehouden. Volkswagen is zeker niet de eerste die security zo ‘aanpakt’ en het concern zal zeker niet de laatste zijn. Wat vind jij?
Ik vind de genoemde voorbeelden eerder een voorbeeld voor slecht systeemontwerp en schaamte daarvoor en niet zozeer voor security by obscurity.
Ik vind dat Computable zijn reageerders maar eens moet beschermen door eindelijk een keer een SSL certificaat te installeren!
Ik val in herhaling maar je gebruikersnaam en wachtwoord zijn door *iedereen* te lezen die zich op hetzelfde netwerk bevind, en worden als platte tekst over het publieke internet verstuurd. Dus ook bijv. je ISP kan deze gebruikersnamen en wachtwoorden gewoon uitlezen, maar ook als je ergens op een WIFI bent aangesloten, zelfs als deze WIFI beveiligd is, dus niet alleen op openbare gratis WIFI.
Computable weigert er actief iets aan of mee te doen en op het moment dat er een incident plaatsvind loopt Computable en diens moeder bedrijf Marqit behoorlijk imago schade op. Dus als je het hebt over security by obscurity dan is deze site een prachtig voorbeeld van hoe het niet moet.
Dus nogmaals, neem je bedrijf en website nu eens serieus en regel in ieder geval de OPTIE mogelijkheid om veilig in te loggen.
Kleine aanvulling: Computable maakt het probleem overigens nog erger door de tijd dat je inlog sessie geldig is in te stellen op twee weken. Dus iedere twee weken moet je weer opnieuw inloggen om te reageren. Dat hebben ze natuurlijk gedaan omdat ze denken dat dit veiliger is, de waarheid is dat dit de website nog onveiliger maakt dan ze nu al is.
Elke keer als ik hieraan denk maak ik me weer boos. Het word misschien wel eens tijd om echt te stoppen met de Computable…. Bah!
Fouten maken is menselijk. Security by obscurity kan een prima aanpak zijn een tijdje lang als reactieve maatregel op een fout.
Maar helaas zijn er veel organisaties die dit als first line of defence hanteren en het vertikken om echt in te grijpen. De OV-chipkaart, de stemautomaat, autosleutels, etc.
Dus als een bekend probleem niet na een redelijke termijn is opgelost, dan lig ik er niet wakker van als iemand een bekend probleem publiek maakt en uitlegt waarom het een fout is.
Als daardoor een organisatie ten onder gaat, dan is dat een mooi voorbeeld voor andere organisaties. Deze hele discussie hebben we ook gehad over defecten in auto’s. Ik ben wel blij dat de Ford Pinto niet meer te krijgen is, jammer voor Ford…
Het feit dat Computable blijkbaar erg onveilig is, is dus al langer bekend. Dit is dus geen obscurity meer. Dit is de andere kant opkijken en je lezers niet serieus nemen.
Daar ligt wel een stuk besluitvorming aan ten grondslag. Heeft de juiste persoon bij Computable besloten hier niet op te reageren? Heeft Computable afgewogen of het slechts een handjevol lezers betrof? Hebben ze geaccepteerd dat ze deze negatieve publiciteit in lezersreacties op de koop toenemen? Of zijn de inkomsten dusdanig laag dat er geen geld is om dit op te lossen? Heeft Computable getracht om security by obscurity toe te passen door niet te reageren, of de opstandige lezers niet meer toe te laten? Was dat echt een bewuste beslissing?
Security by obscurity vraagt dus wel om kennisname en besluitvorming. Of het uitblijven van veiligere toegang tot Computable een bewuste beslissing is geweest weet ik niet.
Ik neig naar volledige transparantie ten aanzien van kwetsbaarheden. Het zet tenminste aan tot kwaliteitsverbetering van producten en diensten. Daar zijn klanten erg bij gebaat. En het zijn tenslotte die klanten weer die jouw salaris betalen. Je bent het eigenlijk wel verplicht om kwalitatief goede en veilige producten en diensten te ontwerpen, te maken, te verkopen en te ondersteunen.
Geen security is meer dan belachelijk en Computable krijgt rapportcijfer 1.
“Security by obscurity” is het geheim houden van het beveligingsprotocol en daar is al zoveel over geschreven dat het geen verdere uitleg nodig heeft: het is dommer dan dom.
Het voorbeeld van Volkswagen is “keep insecurty secret”, iets heel anders. Echter, het valt ook in de categorie “dommer dan dom”.
@Henri
dan ook met een oplossing komen.
Bijv. nu via Namecheap een Comodo-certificate kopen, kost €9,- per jaar. Of tot november wachten en https://letsencrypt.org/ gebruiken om de server van een uitgebreider certificate te voorzien, zelfs kostenloos.
Wel even op de site vermelden dat m.i.v. xx-xx-xxxx de url naar https gaat.
Ter informatie, een certificate op de server installeren kost minder als een uurtje werk, inklusief aanpassen van .htaccess voor het domain.
Mijn observatie bij bedrijven is dat ze heel ondernemend zijn als het geen geld kost, geld oplevert of aantoonbaar geld verlies kan voorkomen. De keuzen zijn dan duidelijk.
Ik heb in een bedrijf gewerkt heb waar veilig werken bovenaan stond, dus werd elke werk gerelateerd incident nauwkeurig onderzocht, voorzien van aanbevelingen en waarschuwingen en uitgebreid onder de aandacht gebracht. Er was geen ontkomen aan.
Maar ja, de bottom line was dat de regels duidelijk zijn en incidenten niet direkt het bedrijf aan te rekenen waren omdat het meestal ongelukken zijn of veroorzaakt doordat de regels niet in acht werden genomen. Maar vooral: wanneer men geen actie ondernam dat kreeg men aantoonbaar de rekening dubbel en dwars gepresenteerd: een medewerker die moet revalideren kost aantoonbaar geld: hij werkt niet en moet ook nog doorbetaald worden.
Maar dan de ICT beveiliging. Er moeten keuzen worden gemaakt en investeringen worden gedaan. Keuzen maken is al moeilijk, laat staan investeringen. Werkt de beveiliging naar behoren, dan is er niets van te merken. Wie weet of de beveiliging werkt of dat er nooit een bedreiging was? Men telt het aantal dagen dat er geen ongeluk was, maar niet het aantal dagen dat men niet gehacked is.
Veelal is er geen oog voor en wordt het als lastig ondervonden en een hinderpaal in het produktie proces. Externe firmanten moeten aan allerlei regels voldoen en zelf gecertificeerd zijn, maar ze kunnen hun eigen (geinfecteerde) devices zonder problemen meebrengen. Het aantal handhelds dat onveilig is,is enorm.
Uiteindelijk worden er toch langzamerhand veranderingen doorgevoerd omdat een groep mensen het voortouw neemt of omdat externe regels dat eisen. Het management is dan tevreden, want men heeft geen onaangename beslissingen moeten nemen.
Of de beveiliging adequaat genoeg is, is natuurlijk een tweede.