Science

Onveiligheid is essentieel voor een kassucces

Computersystemen moeten veilig zijn, dat zal geen ontwerper durven tegenspreken. De praktijk echter leert anders. Drs. Edo Roos Lindgreen, faculteit TWI, leerstoel operating systems, beoordeelde de gangbare ontwerpregels en zal morgen zijn promotie-onderzoek verdedigen.

Zijn conclusie: ontwerpers hebben wel wat anders aan hun hoofd.

Wie aan gekraakte computersystemen denkt, denkt automatisch aan hackers. Het romantische mediabeeld van de geniale hacker heeft echter zijn langste tijd gehad. De hacker van vandaag kan, teleurstellend genoeg, eenieders buurman zijn die via zijn gloednieuwe Internet-toegang met een zoekterm als ‘computer security‘ een kant-en-klaar kraakprogramma downloadt. Via de optie ‘hack system? yes/no‘ kunnen hem alle zwakheden van zijn systeem op een presenteerblaadje worden aangereikt. Niets staat hem nog in de weg op zijn systeembeheerder af te stappen en de man genoeglijk de les te lezen, desnoods zonder zelf te weten waar hij het over heeft.

Computer(on)veiligheid is niet het domein van hackers alleen. Integendeel, bij het zoeken van kandidaten voor het beklaagdenbankje zijn profielschetsen als de overhaaste ontwerper, de gestresste systeembeheerder, de slordige gebruiker en de koppige manager evenzo op hun plaats.

Al sinds eind jaren zestig is er academische aandacht voor computerveiligheid. Om houvast te bieden aan het ontwerpen en realiseren van zo veilig mogelijke systemen, evenals aan het latere gebruik en onderhoud ervan, zijn al vele ontwerpregels bijeen gebrainstormd.

Juist hierom maakte Roos Lindgreen pas op de plaats. In plaats van met de zoveelste aanpak of methodiek op de proppen te komen, onderwierp hij de populairste beveiligingsmethodieken, hun toepasbaarheid en hun gebruik in de praktijk aan een nadere beschouwing.

Een eerste kennismaking met zijn vakgebied rekent direct af met het idee dat koele, mathematische berekening de boventoon zou voeren. De talrijke maatregelen en voorschriften waar Roos Lindgreen zich over boog hebben wel wat weg van de checklists zoals gebruikt bij een verhuizing: ellenlang en nooit compleet, maar er is in elk geval al vast over nagedacht.
Spraakverwarring

Lastig is dat het voertuig van zijn vakgebied, de taal zelf, zoals zo vaak garant staat voor spraakverwarring en dubbelzinnigheden. Een illustratie. Om uit te kunnen drukken van welke kwaliteit de veiligheid van een systeem moet zijn, dienen allereerst passende kwaliteitsaspecten te worden bedacht. Een veel gebruikt drietal is vertrouwelijkheid, integriteit en beschikbaarheid.

Vertrouwelijkheid is de eis dat in het systeem opgeslagen informatie alleen onder ogen komt van de daartoe gerechtigde personen. Integriteit verlangt daarnaast dat zulke informatiealleen door diezelfde personen gewijzigd kan worden. Beschikbaarheid, ten slotte, betekent niets anders dan dat het systeem zoveel mogelijk in de lucht is.

Waar de eerste eis wellicht een grotere rol speelt in bijvoorbeeld militaire systemen, kunnen de laatsten meer nadruk vinden in niet-militaire of civiele toepassingen. Zulke nuanceverschillen lenen zich echter nauwelijks voor precieze formuleringen. Wat betekent het als een civiel systeem een matige vertrouwelijkheid, een goede integriteit en een uitmuntende beschikbaarheid moet vertonen? En belangrijker, hoe kunnen dergelijke eigenschappen achteraf ook maar met enige precisie gemeten worden?

Uitgesplitst naar de context van deze aspecten kan het verwarrende woordenspel zelfs nog opgevoerd worden: zoals de integriteit van financiële gegevens de vertrouwelijkheid van passwords in het besturingssysteem kan vereisen, kan de beschikbaarheid van een systeem weer afhangen van de integriteit van zijn besturingssysteem. Het ene kwaliteitsaspect roept het andere op, wat het werk van de ontwerper er niet overzichtelijker op maakt.

Gevolg is dat er geen manier bekend is om de werkelijke veiligheid van een systeem te kunnen vaststellen. Al was het alleen maar omdat een hacker via een onbeduidend gat in de beveiliging een systeem op slag bloot kan leggen. Het enige wat volgens Roos Lindgreen inzicht biedt, is het produkt zowel tijdens ontwikkeling als na ingebruikname genadeloos aan testen te onderwerpen.
Over-optimistisch

Ondanks deze kritiek blijven veiligheidscriteria onmisbaar, benadrukt Roos Lindgreen. Zonder enige richtlijn is de ontwerper immers reeds bij voorbaat verzekerd van een onveilig produkt. En uit zijn onderzoek zijn wel degelijk goede methodieken gerold, waarmee – mits met zorg gekozen en uitgevoerd – goeddeels veilige systemen zijn te ontwerpen.

De vraag rijst echter of software-ontwikkelaars daar zelf wel in geïnteresseerd zijn. Geen leverancier zal beweren zich bekwaamd te hebben in het leveren van onveilige produkten. Maar is in de markt van op maat geleverde systemen de opdrachtgever eenmaal binnengehaald, noodzakelijkerwijs door over-optimistische offertes en dito tijdsplanningen op het menu te zetten, dan bestaat er nog maar één doodzonde: te laat afleveren.

Daarnaast moet ook de vrije consumentenmarkt razendsnel bediend worden, alleen al om te voorkomen dat een vergelijkbaar produkt van de concurrent de acceptatie van het eigen paradepaardje in de weg staat. Wanneer de tijd dringt worden kwaliteit en veiligheid hierom domweg aan de kant geschoven, of op hun best uitgesteld tot versie twee-punt-nul – als dat nog mogelijk is. Roos Lindgreen stelt dan ook uitdagend, dat het ontwikkelen van onbetrouwbare en onveilige systemen in wezen essentieel is voor commercieel succes is.

Maar niet alleen ontwerpers treft blaam. Systeembeheerders, naderhand verantwoordelijk voor het onderhouden en draaiend houden van de systemen, vergeten standaardinstellingen aan te passen of voegen onveilige uitbreidingen toe. Bedrijfsmanagers rechtstreeks vragen naar de veiligheid van hun systemen iseven vruchteloos als op de man af informeren naar iemands persoonlijke hygiëne: bij hoog en laag zal men beweren dat er geen vuiltje aan de lucht is. En ook de gebruiker gaat niet vrijuit. Veelvuldig passwordgebruik en stringente veiligheidsprocedures worden vaak als hinderlijk ervaren. De praktijk wijst uit dat de sfeer op de werkvloer bij het aan de laars lappen van de regels met punten stijgt.

Niettemin zijn, zoals eerder gezegd, met de juiste inspanningen goeddeels veilige systemen wel degelijk te realiseren. Goeddeels, want honderd procent veilige systemen zullen volgens Roos Lindgreen nooit bestaan. Om genoemde redenen en door de aard van het beestje zelf: software zal boven een bepaalde omvang nooit foutvrij zijn.

Een hopeloze zaak? Hooguit voor de perfectionist. Roos Lindgreen geeft nuchter aan dat gevoelige en cruciale informatie het beste in aparte, extra beveiligde systemen beheerd kan worden. In de overige praktijk zullen we een zekere mate van onveiligheid voor lief moeten nemen. Zoals met zoveel zaken het geval is.

Rowdy Blokland

Computersystemen moeten veilig zijn, dat zal geen ontwerper durven tegenspreken. De praktijk echter leert anders. Drs. Edo Roos Lindgreen, faculteit TWI, leerstoel operating systems, beoordeelde de gangbare ontwerpregels en zal morgen zijn promotie-onderzoek verdedigen. Zijn conclusie: ontwerpers hebben wel wat anders aan hun hoofd.

Wie aan gekraakte computersystemen denkt, denkt automatisch aan hackers. Het romantische mediabeeld van de geniale hacker heeft echter zijn langste tijd gehad. De hacker van vandaag kan, teleurstellend genoeg, eenieders buurman zijn die via zijn gloednieuwe Internet-toegang met een zoekterm als ‘computer security‘ een kant-en-klaar kraakprogramma downloadt. Via de optie ‘hack system? yes/no‘ kunnen hem alle zwakheden van zijn systeem op een presenteerblaadje worden aangereikt. Niets staat hem nog in de weg op zijn systeembeheerder af te stappen en de man genoeglijk de les te lezen, desnoods zonder zelf te weten waar hij het over heeft.

Computer(on)veiligheid is niet het domein van hackers alleen. Integendeel, bij het zoeken van kandidaten voor het beklaagdenbankje zijn profielschetsen als de overhaaste ontwerper, de gestresste systeembeheerder, de slordige gebruiker en de koppige manager evenzo op hun plaats.

Al sinds eind jaren zestig is er academische aandacht voor computerveiligheid. Om houvast te bieden aan het ontwerpen en realiseren van zo veilig mogelijke systemen, evenals aan het latere gebruik en onderhoud ervan, zijn al vele ontwerpregels bijeen gebrainstormd.

Juist hierom maakte Roos Lindgreen pas op de plaats. In plaats van met de zoveelste aanpak of methodiek op de proppen te komen, onderwierp hij de populairste beveiligingsmethodieken, hun toepasbaarheid en hun gebruik in de praktijk aan een nadere beschouwing.

Een eerste kennismaking met zijn vakgebied rekent direct af met het idee dat koele, mathematische berekening de boventoon zou voeren. De talrijke maatregelen en voorschriften waar Roos Lindgreen zich over boog hebben wel wat weg van de checklists zoals gebruikt bij een verhuizing: ellenlang en nooit compleet, maar er is in elk geval al vast over nagedacht.
Spraakverwarring

Lastig is dat het voertuig van zijn vakgebied, de taal zelf, zoals zo vaak garant staat voor spraakverwarring en dubbelzinnigheden. Een illustratie. Om uit te kunnen drukken van welke kwaliteit de veiligheid van een systeem moet zijn, dienen allereerst passende kwaliteitsaspecten te worden bedacht. Een veel gebruikt drietal is vertrouwelijkheid, integriteit en beschikbaarheid.

Vertrouwelijkheid is de eis dat in het systeem opgeslagen informatie alleen onder ogen komt van de daartoe gerechtigde personen. Integriteit verlangt daarnaast dat zulke informatiealleen door diezelfde personen gewijzigd kan worden. Beschikbaarheid, ten slotte, betekent niets anders dan dat het systeem zoveel mogelijk in de lucht is.

Waar de eerste eis wellicht een grotere rol speelt in bijvoorbeeld militaire systemen, kunnen de laatsten meer nadruk vinden in niet-militaire of civiele toepassingen. Zulke nuanceverschillen lenen zich echter nauwelijks voor precieze formuleringen. Wat betekent het als een civiel systeem een matige vertrouwelijkheid, een goede integriteit en een uitmuntende beschikbaarheid moet vertonen? En belangrijker, hoe kunnen dergelijke eigenschappen achteraf ook maar met enige precisie gemeten worden?

Uitgesplitst naar de context van deze aspecten kan het verwarrende woordenspel zelfs nog opgevoerd worden: zoals de integriteit van financiële gegevens de vertrouwelijkheid van passwords in het besturingssysteem kan vereisen, kan de beschikbaarheid van een systeem weer afhangen van de integriteit van zijn besturingssysteem. Het ene kwaliteitsaspect roept het andere op, wat het werk van de ontwerper er niet overzichtelijker op maakt.

Gevolg is dat er geen manier bekend is om de werkelijke veiligheid van een systeem te kunnen vaststellen. Al was het alleen maar omdat een hacker via een onbeduidend gat in de beveiliging een systeem op slag bloot kan leggen. Het enige wat volgens Roos Lindgreen inzicht biedt, is het produkt zowel tijdens ontwikkeling als na ingebruikname genadeloos aan testen te onderwerpen.
Over-optimistisch

Ondanks deze kritiek blijven veiligheidscriteria onmisbaar, benadrukt Roos Lindgreen. Zonder enige richtlijn is de ontwerper immers reeds bij voorbaat verzekerd van een onveilig produkt. En uit zijn onderzoek zijn wel degelijk goede methodieken gerold, waarmee – mits met zorg gekozen en uitgevoerd – goeddeels veilige systemen zijn te ontwerpen.

De vraag rijst echter of software-ontwikkelaars daar zelf wel in geïnteresseerd zijn. Geen leverancier zal beweren zich bekwaamd te hebben in het leveren van onveilige produkten. Maar is in de markt van op maat geleverde systemen de opdrachtgever eenmaal binnengehaald, noodzakelijkerwijs door over-optimistische offertes en dito tijdsplanningen op het menu te zetten, dan bestaat er nog maar één doodzonde: te laat afleveren.

Daarnaast moet ook de vrije consumentenmarkt razendsnel bediend worden, alleen al om te voorkomen dat een vergelijkbaar produkt van de concurrent de acceptatie van het eigen paradepaardje in de weg staat. Wanneer de tijd dringt worden kwaliteit en veiligheid hierom domweg aan de kant geschoven, of op hun best uitgesteld tot versie twee-punt-nul – als dat nog mogelijk is. Roos Lindgreen stelt dan ook uitdagend, dat het ontwikkelen van onbetrouwbare en onveilige systemen in wezen essentieel is voor commercieel succes is.

Maar niet alleen ontwerpers treft blaam. Systeembeheerders, naderhand verantwoordelijk voor het onderhouden en draaiend houden van de systemen, vergeten standaardinstellingen aan te passen of voegen onveilige uitbreidingen toe. Bedrijfsmanagers rechtstreeks vragen naar de veiligheid van hun systemen iseven vruchteloos als op de man af informeren naar iemands persoonlijke hygiëne: bij hoog en laag zal men beweren dat er geen vuiltje aan de lucht is. En ook de gebruiker gaat niet vrijuit. Veelvuldig passwordgebruik en stringente veiligheidsprocedures worden vaak als hinderlijk ervaren. De praktijk wijst uit dat de sfeer op de werkvloer bij het aan de laars lappen van de regels met punten stijgt.

Niettemin zijn, zoals eerder gezegd, met de juiste inspanningen goeddeels veilige systemen wel degelijk te realiseren. Goeddeels, want honderd procent veilige systemen zullen volgens Roos Lindgreen nooit bestaan. Om genoemde redenen en door de aard van het beestje zelf: software zal boven een bepaalde omvang nooit foutvrij zijn.

Een hopeloze zaak? Hooguit voor de perfectionist. Roos Lindgreen geeft nuchter aan dat gevoelige en cruciale informatie het beste in aparte, extra beveiligde systemen beheerd kan worden. In de overige praktijk zullen we een zekere mate van onveiligheid voor lief moeten nemen. Zoals met zoveel zaken het geval is.

Rowdy Blokland

Editor Redactie

Do you have a question or comment about this article?

delta@tudelft.nl

Comments are closed.