Is Security Safe?

Gelukkig nieuwjaar. Heb je ook goede voornemens met betrekking tot security? Want er zijn natuurlijk weer tal van mogelijkheden met betrekking tot security. Houdende crackers en script-kiddies het dit jaar voor gezien? Ik denk het niet. Ik hoop het niet. Want laat ik eerlijk zijn: zij zorgen bij mij wel voor een goede boterham.

Wat is"hot" en wat is "not" in 2008? Laten we eens kijken hoe het gesteld is met de security van mobiele apparaten als smartphones, PDA, blackberries, laptops en mobiele telefoons. Worden onze laptops nu minder gestolen omdat we betere beveiligingen hebben, zoals sloten of versleutelde filesystemen? Gebruikt iedereen nu een SSL verbinding op zijn PDA, smartphone of blackberry, en zetten we standaard onze Wi-Fi en bluetoothconnecties uit als we deze niet nodig hebben?

Hoe is het dit jaar trouwens gesteld met onze verzameling van besturingssystemen? Komt er nu eens een systeem dat out-of-the-box meteen veilig genoeg is? Of blijven Microsoft, Linux en Apple roepen dat zij het meest veilige systeem hebben, terwijl er toch een IT-expert nodig is om dit in de praktijk te verwezenlijken? Is het nog steeds de computernerd die als enige weet hoe een computer het bestete configureren is? Maken de grote bedrijven zoals McAfee en Symantec hier weer gretig gebruik van om software aan te bieden die broodnodig is om het gebrekkige besturingssysteem dicht te zetten?

Zorgen we er dit jaar voor dat ons patch-management op de rit is, of kost dit teveel tijd omdat de zelfgebouwde systemen te complex zijn geworden? Hoe gaan we om met serverbeveiliging op het gebied van zowel hardware als software? Voldoen onze datacenters aan de laatste eisen of kan iedereen zomaar binnen lopen en de stekker er uit trekken? Hoe zit het met hardening van onze applicatielaag (PHP,Perl, Ruby, C, C#, ASP, ASP#, MySql, MSSQL, Oracle, IIS, Apache)?

Zorgen we erdit jaar voor dat onze website niet meer informatie vrijgeeft dan nodig is, zodat Google niet alles zal indexeren en een exploit binnen no-time onze website platlegt? Of plakken we alleen maar een logo van HackerSafe in een banner om aan te geven dat de website veilig is? (De vraag over HackerSafe is dan ook: werkt het echt of is het alleen een goed geoliede marketingtruc, waarbij niets meer dan een Nessus engine wordt gebruikt om voor grof geld aan te bieden wat iedereen zelf ook in elkaar kan zetten. Zelf denk ik dat het niet zo zeer zou moeten gaan om een merkgeilheid, maar meer om de kredietwaardigheid en integriteit van het product. Dat het logo van HackerSafe meer verkoop genereert is mooi meegenomen (voor HackerSafe dan), maar kopers moeten zich er wel van bewust zijn dat een logo geen veiligheid garandeert.

Phishing en spamming zijn nog steeds hotter than hot. Moeten we straks eerst vijf minuten een webwinkel analyseren voor we over kunnen gaan tot koop? Voor je het weet heb je te maken met een phishing site of een DNS-spoofing truc.

En hoe zit het met vamming (VOIP spamming) ook wel bekend als SPIT (Spam over InternetTelephony). Wordt 2008 het jaar waarin we terug rennen naar de oude vertrouwde PSTN of ISDN lijnen? Of gaan we ons rot betalen aan anti-vamming software, die natuurlijk is gebrouwen in de gaarkeuken van de VOIP leverancier zelf?

Hoe is het trouwens gesteld met onze identiteits- en toegangsmanagement? Waar zit het gevaar van beveiliging? Intern of extern? Heeft onze aardige systeembeheerder nog steeds alle toegang tot alle systemen en neemt hij deze mee als hij van functie verandert? Of gaan we toch maar gebruikmaken van een authorisatie-matrix, waarin duidelijk staat aangegeven wie welke rechten heeft (door bijvoorbeeld een applicatie als Foxt BoKS Servercontrol te implementeren)? Maar alleen maar een veilige applicatie aanschaffen is niet voldoende. Zonder een goed beleid en een organisatie-matrix is ieder softwarepakket eigenlijk een overbodige luxe. Awareness is toch wel de belangrijkste sleutel in dit hele verhaal. Het kan een begin zijn van een echt CERT team, dat nadenkt voordat men overgaat tot acties.

Zoveel punten die voor verbetering vatbaar zijn. Zou 2008 dan echt het jaar zijn van de grote veranderingen ten opzichte van security? Of wachten we alles gewoon maar af?