Campus

‘Van een vergiet kun je geen hogedrukpan maken’

De geheimen liggen op straat. Prof.dr. I.S. Herschberg legde jarenlang de zwakheden van onze informatiemaatschappij bloot, maar die kruistocht is voorbij.

,,Het model van een open wereld spreekt mij nu meer aan.”

Bewaar me, heet het liber amicorum dat de scheidende hoogleraar liet samenstellen. Waar andere professoren bij hun afscheid slechts een dun boekje achterlaten, wordt de uittreerede van Herschberg rijkelijk gelardeerd met eigenhandig vertaalde gedichten en vele teksten van vrienden. Tweehonderdvijfendertig pagina’s in totaal, met een late deadline. ,,Daarvoor heeft een aantal mensen zich volledig uit de naad gewerkt, dat begrijpt u wel”, merkt hij vanuit zijn rolstoel op. ,,Ik ben er dan ook heel trots op.”

De titel van het vriendenboek is dubbelzinnig. Gegevensopslag, jazeker, maar ook het afwenden van groter en kleiner onheil. Daar vallen ook geautomatiseerde informatiesystemen onder, die immers voor iedere half begaafde hacker vrij toegankelijk zijn. Met alle gevolgen van dien. Herschberg toonde tijdens zijn loopbaan keer op keer aan dat computers aan alle kanten gegevens lekken, maar bleef toch een roepende in de woestijn. Het vertrouwen van de mensheid in grote computersystemen is er niet minder om geworden.

Ten onrechte, meent de informaticus. ,,Het is nog steeds zo dat onze systemen maar in elkaar geflanst worden, en daardoor zo lek zijn als een mandje. En dat zullen ze blijven.” Hij haalt een recent onderzoek aan waarin Nederland wordt vergeleken met de rest van de wereld. ,,Daaruit blijkt dat het met onze beveiliging zeer slecht gesteld is. Naar verhouding is die echter goed, want buiten Nederland is het nog slechter. Hoe verder, hoe lekker, zou je kunnen zeggen.”
Ponsbandje

Herschberg mag dan bekend zijn geworden als krakende professor, zijn wortels liggen in de scheikunde. Tijdens zijn afstudeertijd in Amsterdam kwam hij haast terloops in aanraking met elektronisch rekentuig. ,,Ik moest de eigenwaarden en eigenvectoren van een aantal matrices bepalen. Toen dat gelukt was, vroeg mijn afstudeerhoogleraar tot mijn schrik veel grotere stelsels op te lossen. Ik kon op de achterkant van een envelop uitrekenen dat dat veel langer zou duren dan de drie maanden die toen voor een afstudeeropdracht stonden.”

Een paar vrienden op het Mathematisch Rekencentrum brachten uitkomst. ,,Tot mijn verrassing konden we het probleem op een ponsbandje kwijt”, vertelt Herschberg. ,,Na vijf minuten rolden daar vijf eigenwaarden uit, terwijl twee uitkomsten mij al twee weken rekenen gekost zouden hebben. Toen ben ik bekeerd: ik was namelijk geen handig chemicus, maar wel een handig gebruiker van machines. Ik heb daarna nooit meer terugverlangd naar mijn oude vak.”

Een lange omweg via de toenmalige Staatsmijnen en Unilever, brachthem in 1978 naar Delft. Informatica was toen nog een vak zonder duidelijke status, en werd daarom ingelijfd door Wiskunde. Volgens Herschberg bestonden er geen grote spanningen tussen de vakgebieden, maar helemaal soepel liep de samenwerking ook niet. ,,Er was toen wel iets wat ik zou willen omschrijven als een groot onbegrip”, zegt hij diplomatiek. ,,Tussen wiskunde en informatica ontstond uiteindelijk een soort liaison.”
Nederig

Maar het was de periode voor Delft die hem in de richting van de systeembeveiliging duwde. En de schuld van de computer. ,,Ik had een programma geschreven dat wat lineaire algebra uitvoerde. Nu is het wetenschappelijk toetsen van een programma principieel onmogelijk. Je kunt namelijk nooit bewijzen dat het programma doet wat het moet doen, en je bent meestal al blij dat het überhaupt werkt. Ik had de output van het programma daarom vergeleken met een aantal bekende resultaten. Dat leek te werken, dus ik vond het allang goed.”

,,Na twee weken werd ik echter door mijn baas bij mijn nekvel gegrepen: mijn programma was fout. Het past de programmeur om nederig te zijn, dus ik ging aan de slag en zocht in alle hoeken en gaten van het systeem. Het bleek uiteindelijk een hardwarefout: de machine telde een kwart en een kwart op tot éénachtste.”

De gedwongen speurtocht door het systeem gaf wel aardig inzicht in de werking van de computer, en dat leidde tot de gedachte dat een aanhoudende wroeter zo bij alle gegevens kon komen, gevoelig of niet. Vanaf dat moment begon de kruistocht tegen slecht beveiligde computersystemen. Liefde voor de informatica en het ideaal van werkelijk vertrouwelijke systemen, was hierbij een belangrijk motief. ,,Het is zo’n mooi vak”, verzucht Herschberg. ,,Ik vind het gewoon irritant als een mooi instrument zo slecht gebruikt wordt. En er zijn nogal wat beveiligingsvraagstukken omtrent de privacy van de burger.”
Gaatjes

Telkens als Herschberg en de zijnen een firma op de hoogte brachten van een beveiligingsprobleem, stuitten zij evenwel op een ijzeren wetmatigheid die dichten van lekke systemen aanzienlijk bemoeilijkt. En die is niet zozeer technisch van aard, als wel psychisch en organisatorisch. Herschberg, veelbetekenend: ,,Eerst krijg je de ontkenning, net als bij iemand die hoort dat hij kanker heeft. Dat overkomt mij niet, klinkt het dan.” In de volgende fasen komt het bedrijf via bagatellisering en langdurig uitstel, tot een oplossing van het probleem. ,,Het bedrijf huurt hiervoor twee studenten in die dit even als vakantiebaan doen. Het volgende tragische punt is dat de verbetering geen verbetering is. In een muur vol gaatjes is er één gaatje gedicht.”

,,Het ergste is nog dat het de gebruikers eigenlijk niets kan schelen. Het levert hun immers schade op als ze een systeem een tijd niet kunnen gebruiken. En zo sukkelen we voort met lekke systemen.”

Herschberg meent dat de komst van Internet het probleem alleen maar heeft verergerd. ,,Ook zonder trucs is Internet al een open systeem dat is gericht op onderlinge communicatie. Het is dus opzettelijkontworpen om lek te zijn. Internetexperts kunnen met bepaalde technieken schadelijke handelingen verrichten zonder dat ooit te achterhalen is wie de dader is, en waar hij zich bevindt. De informatie ligt op straat.” Waterdichte beveiliging van het wereldwijde informatienetwerk lijkt Herschberg ondoenlijk. ,,Van een vergiet kun je nu eenmaal geen hogedrukpan maken. En dan doe ik het vergiet nog tekort, want daarvan weet je precies waar de gaatjes zitten. Maar goed, zo staan onze zaken ”
IJsjes

De kruistocht is dus ten einde, en de gedrevenheid heeft plaats gemaakt voor een zekere berusting. Komt Herschberg nu terug van zijn eerdere ideeën? ,,Nee, ik gooi dat niet te grabbel”, verzekert hij, ,,maar ik denk nu niet meer dat alles geheim te houden is. Bovendien trekt het model van een open wereld mij meer aan dan dat van een tot in detail vastgelegde wereld. Dat je dingen mag weten, in plaats van niet mag weten.”

Dat veel vertrouwelijk bestempelde informatie praktisch openbaar is, vindt hij ook niet zo erg meer. ,,Vervelend misschien, maar erg, nee. De oplossing is dan maar niet zo geheim te doen. Veel zaken zijn namelijk minder vertrouwelijk dan je denkt. Een voorbeeld: Unilever dankt een groot deel van haar winst aan de verkoop van ijsjes. De winst van Unilever kun je dus voorspellen door het verloop van de zomer te volgen. En die KNMI-gegevens zijn gewoon openbaar.”

In elk geval wordt zijn boodschap nu ook door anderen verkondigd. ,,Ik heb op mijn manier toch school gemaakt, ik heb sommige mensen duidelijk kunnen maken dat de zaken niet zo veilig zijn als we denken. Maar daar moeten we mee leren leven. Het briefgeheim is ook niet onfeilbaar. Helaas, een andere wereld heb ik niet voor u.”

Afgelopen vrijdag hield hij zijn uittreerede. De titel: Al goed. Weer die berusting, maar zonder spoor van instemming.

De geheimen liggen op straat. Prof.dr. I.S. Herschberg legde jarenlang de zwakheden van onze informatiemaatschappij bloot, maar die kruistocht is voorbij. ,,Het model van een open wereld spreekt mij nu meer aan.”

Bewaar me, heet het liber amicorum dat de scheidende hoogleraar liet samenstellen. Waar andere professoren bij hun afscheid slechts een dun boekje achterlaten, wordt de uittreerede van Herschberg rijkelijk gelardeerd met eigenhandig vertaalde gedichten en vele teksten van vrienden. Tweehonderdvijfendertig pagina’s in totaal, met een late deadline. ,,Daarvoor heeft een aantal mensen zich volledig uit de naad gewerkt, dat begrijpt u wel”, merkt hij vanuit zijn rolstoel op. ,,Ik ben er dan ook heel trots op.”

De titel van het vriendenboek is dubbelzinnig. Gegevensopslag, jazeker, maar ook het afwenden van groter en kleiner onheil. Daar vallen ook geautomatiseerde informatiesystemen onder, die immers voor iedere half begaafde hacker vrij toegankelijk zijn. Met alle gevolgen van dien. Herschberg toonde tijdens zijn loopbaan keer op keer aan dat computers aan alle kanten gegevens lekken, maar bleef toch een roepende in de woestijn. Het vertrouwen van de mensheid in grote computersystemen is er niet minder om geworden.

Ten onrechte, meent de informaticus. ,,Het is nog steeds zo dat onze systemen maar in elkaar geflanst worden, en daardoor zo lek zijn als een mandje. En dat zullen ze blijven.” Hij haalt een recent onderzoek aan waarin Nederland wordt vergeleken met de rest van de wereld. ,,Daaruit blijkt dat het met onze beveiliging zeer slecht gesteld is. Naar verhouding is die echter goed, want buiten Nederland is het nog slechter. Hoe verder, hoe lekker, zou je kunnen zeggen.”
Ponsbandje

Herschberg mag dan bekend zijn geworden als krakende professor, zijn wortels liggen in de scheikunde. Tijdens zijn afstudeertijd in Amsterdam kwam hij haast terloops in aanraking met elektronisch rekentuig. ,,Ik moest de eigenwaarden en eigenvectoren van een aantal matrices bepalen. Toen dat gelukt was, vroeg mijn afstudeerhoogleraar tot mijn schrik veel grotere stelsels op te lossen. Ik kon op de achterkant van een envelop uitrekenen dat dat veel langer zou duren dan de drie maanden die toen voor een afstudeeropdracht stonden.”

Een paar vrienden op het Mathematisch Rekencentrum brachten uitkomst. ,,Tot mijn verrassing konden we het probleem op een ponsbandje kwijt”, vertelt Herschberg. ,,Na vijf minuten rolden daar vijf eigenwaarden uit, terwijl twee uitkomsten mij al twee weken rekenen gekost zouden hebben. Toen ben ik bekeerd: ik was namelijk geen handig chemicus, maar wel een handig gebruiker van machines. Ik heb daarna nooit meer terugverlangd naar mijn oude vak.”

Een lange omweg via de toenmalige Staatsmijnen en Unilever, brachthem in 1978 naar Delft. Informatica was toen nog een vak zonder duidelijke status, en werd daarom ingelijfd door Wiskunde. Volgens Herschberg bestonden er geen grote spanningen tussen de vakgebieden, maar helemaal soepel liep de samenwerking ook niet. ,,Er was toen wel iets wat ik zou willen omschrijven als een groot onbegrip”, zegt hij diplomatiek. ,,Tussen wiskunde en informatica ontstond uiteindelijk een soort liaison.”
Nederig

Maar het was de periode voor Delft die hem in de richting van de systeembeveiliging duwde. En de schuld van de computer. ,,Ik had een programma geschreven dat wat lineaire algebra uitvoerde. Nu is het wetenschappelijk toetsen van een programma principieel onmogelijk. Je kunt namelijk nooit bewijzen dat het programma doet wat het moet doen, en je bent meestal al blij dat het überhaupt werkt. Ik had de output van het programma daarom vergeleken met een aantal bekende resultaten. Dat leek te werken, dus ik vond het allang goed.”

,,Na twee weken werd ik echter door mijn baas bij mijn nekvel gegrepen: mijn programma was fout. Het past de programmeur om nederig te zijn, dus ik ging aan de slag en zocht in alle hoeken en gaten van het systeem. Het bleek uiteindelijk een hardwarefout: de machine telde een kwart en een kwart op tot éénachtste.”

De gedwongen speurtocht door het systeem gaf wel aardig inzicht in de werking van de computer, en dat leidde tot de gedachte dat een aanhoudende wroeter zo bij alle gegevens kon komen, gevoelig of niet. Vanaf dat moment begon de kruistocht tegen slecht beveiligde computersystemen. Liefde voor de informatica en het ideaal van werkelijk vertrouwelijke systemen, was hierbij een belangrijk motief. ,,Het is zo’n mooi vak”, verzucht Herschberg. ,,Ik vind het gewoon irritant als een mooi instrument zo slecht gebruikt wordt. En er zijn nogal wat beveiligingsvraagstukken omtrent de privacy van de burger.”
Gaatjes

Telkens als Herschberg en de zijnen een firma op de hoogte brachten van een beveiligingsprobleem, stuitten zij evenwel op een ijzeren wetmatigheid die dichten van lekke systemen aanzienlijk bemoeilijkt. En die is niet zozeer technisch van aard, als wel psychisch en organisatorisch. Herschberg, veelbetekenend: ,,Eerst krijg je de ontkenning, net als bij iemand die hoort dat hij kanker heeft. Dat overkomt mij niet, klinkt het dan.” In de volgende fasen komt het bedrijf via bagatellisering en langdurig uitstel, tot een oplossing van het probleem. ,,Het bedrijf huurt hiervoor twee studenten in die dit even als vakantiebaan doen. Het volgende tragische punt is dat de verbetering geen verbetering is. In een muur vol gaatjes is er één gaatje gedicht.”

,,Het ergste is nog dat het de gebruikers eigenlijk niets kan schelen. Het levert hun immers schade op als ze een systeem een tijd niet kunnen gebruiken. En zo sukkelen we voort met lekke systemen.”

Herschberg meent dat de komst van Internet het probleem alleen maar heeft verergerd. ,,Ook zonder trucs is Internet al een open systeem dat is gericht op onderlinge communicatie. Het is dus opzettelijkontworpen om lek te zijn. Internetexperts kunnen met bepaalde technieken schadelijke handelingen verrichten zonder dat ooit te achterhalen is wie de dader is, en waar hij zich bevindt. De informatie ligt op straat.” Waterdichte beveiliging van het wereldwijde informatienetwerk lijkt Herschberg ondoenlijk. ,,Van een vergiet kun je nu eenmaal geen hogedrukpan maken. En dan doe ik het vergiet nog tekort, want daarvan weet je precies waar de gaatjes zitten. Maar goed, zo staan onze zaken ”
IJsjes

De kruistocht is dus ten einde, en de gedrevenheid heeft plaats gemaakt voor een zekere berusting. Komt Herschberg nu terug van zijn eerdere ideeën? ,,Nee, ik gooi dat niet te grabbel”, verzekert hij, ,,maar ik denk nu niet meer dat alles geheim te houden is. Bovendien trekt het model van een open wereld mij meer aan dan dat van een tot in detail vastgelegde wereld. Dat je dingen mag weten, in plaats van niet mag weten.”

Dat veel vertrouwelijk bestempelde informatie praktisch openbaar is, vindt hij ook niet zo erg meer. ,,Vervelend misschien, maar erg, nee. De oplossing is dan maar niet zo geheim te doen. Veel zaken zijn namelijk minder vertrouwelijk dan je denkt. Een voorbeeld: Unilever dankt een groot deel van haar winst aan de verkoop van ijsjes. De winst van Unilever kun je dus voorspellen door het verloop van de zomer te volgen. En die KNMI-gegevens zijn gewoon openbaar.”

In elk geval wordt zijn boodschap nu ook door anderen verkondigd. ,,Ik heb op mijn manier toch school gemaakt, ik heb sommige mensen duidelijk kunnen maken dat de zaken niet zo veilig zijn als we denken. Maar daar moeten we mee leren leven. Het briefgeheim is ook niet onfeilbaar. Helaas, een andere wereld heb ik niet voor u.”

Afgelopen vrijdag hield hij zijn uittreerede. De titel: Al goed. Weer die berusting, maar zonder spoor van instemming.

Editor Redactie

Do you have a question or comment about this article?

delta@tudelft.nl

Comments are closed.