Wat doe je privé aan security? Wat voor informatie staat er online van jou? Je hebt waarschijnlijk niks te verbergen, dus sla je cookies op, accepteer je privacy voorwaarden net zoals iedereen met een simpele klik. Toch kan het zomaar gebeuren, hackers gebruiken jouw profiel om in te breken of op een andere manier te frauderen. Hoe dat kan, en wat men er mee doet is een vorm van hacken en een belangrijk onderwerp binnen internet security: Social Engineering.

InWork de zakelijke dienstverlener die professionals weet te vinden en te verbinden binnen IT en techniek, heeft onder andere mij gevraagd te spreken op hun eerste nieuwe kennissessie: Check-In. Met dit concept willen ze vanuit hun organisaties kennisdelen voor iedereen (personeel, professionals en klanten). Deze eerste editie werd gehouden op 6 juni 2018 In Utrecht (op het Shared Service Center van InWork) en tweede sessie op 7 juni 2018 in Amsterdam op het hoofdkantoor van InWork.

Op beide dagen trapte Carlos Hernandez (jr. Consultant Cyber Risk) af met zijn presentatie “Digitale weerbaarheid”. Daarna mocht ik stokje overnemen en in duidelijke taal uitleggen wat we wel te verbergen hebben. Als laatste heeft Rion Rijker, privacy jurist, de avond leuk afgesloten met het thema “misbruik van vertrouwen”.

Op uitnodiging een gastcollege gegeven over “Programmeren, maar hoe zit het nu met Security & Privacy” op het Metis Montessori Lyceum in Amsterdam. De have/vwo leerlingen waren enthousiast en de gevoeligheid op gebied van security/privacy was duidelijk te merken. De houding van “Ik heb niks te verbergen” sloeg al snel om. Het was me een genoegen om het bedrijfsleven dichter bij educatie te brengen en te zien welke investeringen er reeds zijn gedaan op het gebied van ICT op deze school.

​Op uitnodiging heb ik vandaag een lezing mogen geven op het event Big Data Expo in de Jaarbeurs, Utrecht. Het event werd na een succesvolle start in 2015 voor de 2e keer gehouden en staat in het teken van “Big Data is overal”. Het onderwerp valt immers niet meer te ontkennen en is te vinden in iedere economie, sector of organisatie. In het verleden was dit het domein van een enkele specialisten of technici, maar is inmiddels een breed onderwerp dat prominent op de agenda staat van vele organisaties. ​Big Data Expo wil hierbij een bijdrage leveren door informatie, praktische handvatten, trends, case studies aan te bieden. Het merendeel van de lezingen ging over de ‘positieve’ toepassing en gebruik van Big Data, mijn lezing was daarentegen niet bepaald zaligmakend gezien de mogelijke risico’s.

‘Big Data is alleen maar aan het toenemen. Op gebied van security & privacy kijkt men voornamelijk naar de ‘legale’ Big Data van bedrijven en organisaties. Maar hoe zit het nu met de ‘illegale’ verzameling van data die verhandeld worden door bijvoorbeeld criminelen? Wordt dit al zodanig misbruikt en wat zijn hiervan de gevolgen?'- Jort Kollerie

Mijn titel voor de lezing ‘De mogelijke keerzijde van Big Data…’ had al de nodige interesse gewekt en zodoende mocht ik als 2e starten na Google in de Keynotezaal.

De presentatie is via Slideshare te bekijken en of te downloaden: https://www.slideshare.net/BigDataExpo/dell-jort-kollerie

Security is belangrijker dan ooit. Toch zijn de informatiesystemen van lang niet elk bedrijf goed beveiligd. Hoe kan dat? Maar vooral: wat doe je eraan? “Dagelijks lees je op internet en in de krant over digitale bedreigingen. DDoS-aanvallen, hacks en uitbraken van ransomware bijvoorbeeld”, zegt Jort Kollerie, Security Specialist bij Dell Security. “Of je hoort van laptops die onbeheerd worden achtergelaten en waarop mogelijk vertrouwelijke data staan, zoals patiëntgegevens. Dan begrijp je wel dat security een belangrijk onderwerp is voor bedrijven.

Aantal bedreigingen groeit

Het aantal bedreigingen zal eerder toe- dan afnemen, stelt Kollerie. “Vergelijk het maar met de opkomst van auto’s en snelwegen. In de jaren vijftig van de vorige eeuw waren er weinig auto’s en dus weinig ongelukken. Tegenwoordig is dat andersom: veel verkeer en veel incidenten. Zo is het ook op de digitale snelweg. Daar wordt het alleen maar drukker. Ga maar na: bijna de gehele wereldpopulatie is via 2G met elkaar verbonden. Het aantal breedband/glasvezel-, 3G- en 4G-aansluitingen stijgt met een enorme snelheid. Dat kan niet anders dan tot meer ongelukken leiden. Bewust, dus door criminelen, of onbewust.'

‘We vertrouwen veel te vlug op de veiligheid van de nieuwste technieken'- Jort Kollerie

De mens als zwakste schakel

Zo’n onbewust digitaal ongeluk heeft in de ogen van Kollerie maar één oorzaak: de mens, de gebruiker zelf. “Die is namelijk de zwakste schakel . Als kuddedieren adopteren wij de nieuwste technieken vrij snel en gemakkelijk. Daarbij vertrouwen we veel te vlug op de veiligheid ervan. Maar helaas: bijna alles is lek!”

Bewust van alle risico’s

“Het is dus enorm belangrijk dat elke gebruiker zich bewust is van alle risico’s. Ik hoor zo vaak bij klanten dat ze nieuwe medewerkers een toegangspas, een laptop en wat toegangscodes geven. Daarbij gaan ze ervan uit dat die medewerker heus wel weet hoe hij met een computer en (vertrouwelijke) informatie moet omgaan.”

Volgens Kollerie is dat een misverstand. “Neem een telemarketingbedrijf, waar vaak studenten of vakantiewerkers werken. Die krijgen met een gigantische hoeveelheid vertrouwelijke data te maken, zoals namen en telefoonnummers van allerlei mensen. Hoe voorkomt het bedrijf dat de werknemers deze data niet kopiëren, delen of per ongeluk lekken? Echt, je kunt de allergrootste firewall hebben, maar die voorkomt niet dat de mens fouten maakt. De meeste incidenten kun je bijvoorbeeld met training voorkomen. Train de gebruiker in het omgaan met digitale informatie en de mogelijke gevaren.”

Kostenpost?

Overigens treft niet alleen de gebruiker blaam. De bedrijven zelf hebben security te lang als ondergeschoven kindje beschouwd. “Om eerlijk te zijn gebeurt dat nog steeds. Percentages kan ik niet geven, maar bij heel veel organisaties is het nog altijd niet goed gesteld met security. Dat heeft ermee te maken dat security vooral als kostenpost wordt beschouwd. Het is een investering die niets oplevert, ja, hooguit bescherming. En veelal zelfs extra irritatie bij een gebruiker, zoals de vertragingsfactor die optreedt bij de tweestapsverificatie bij het inloggen.”

‘In de afgelopen vijf jaar is Sony meerdere malen het slachtoffer geworden van onder andere hacks. De laatste keer zelfs extreem zwaar'- Jort Kollerie

Achteloze houding

Een voorbeeld van hoe zo’n achteloze houding tegenover security rampzalige gevolgen kan hebben, is Sony. “Nog geen tien jaar geleden zei de security-baas van Sony dat hij geen reden zag om zo’n 10 miljoen dollar te investeren in security. Omdat beveiliging hooguit 1 miljoen dollar verlies zou kunnen voorkomen. In de afgelopen vijf jaar is Sony echter meerdere malen het slachtoffer geworden van onder andere hacks. De laatste keer zelfs extreem zwaar, want die laatste hack resulteerde in publicatie van vele interne gegevens zoals filmbudgetten, films, passwords, burgerservicenummers, salarissen en andere gegevens van medewerkers. Kortom, het commerciële belang heeft bij Sony lang zwaarder gewogen dan het security-belang.”

Benader security proactief, niet reactief

Hamvraag: wat dan? Hoe moet je als bedrijf omgaan met security? De visie van Dell Security is kortweg: benader security proactief, en niet langer reactief. Kollerie legt dat uit: “Veel bedrijven reageren alleen. Die hebben te maken met een virus en kopen vervolgens een virusoplossing. Dan krijgen ze te maken met een hack en verbeteren ze de firewall. Dit is echter niet meer dan het plakken van pleisters achteraf met als gevolg dat er ‘silo’s’ ontstaan in het securityapparaat in een bedrijf.”

Security chain

“Het is veel beter om proactief security te benaderen. Door het koppelen en het laten samenwerken van verschillende securityoplossingen krijg je als het ware een ‘security-chain’, die wij shared context-aware intelligence noemen. Een goed voorbeeld van wat je hieraan hebt is de next step in bedreigingen.”

“Nu heb je nog te maken met massale aanvallen op het netwerk. Maar in de toekomst vinden meer gepersonaliseerde aanvallen plaats, op specifieke personen (social engineering). Een firewall houdt alle kwaad in principe tegen, maar laat geen alarmbel afgaan als de aanval op één persoon in een organisatie is gericht. Door de firewall te koppelen aan bijvoorbeeld het identity & access management-platform wordt dit wel inzichtelijk. Door vooraf gedefinieerde beveiligings- en beleidsmaatregelen kunnen de rechten van die gebruiker vervolgens proactief worden verlaagd tot nader onderzoek heeft plaatsgevonden.”

Informatiebeveiliging is complexer geworden en kan daarom ook niet meer volstaan met losstaande beveiligingsproducten. Toch wordt security als zodanig verkocht. Goede beveiliging realiseer je met een combinatie van verschillende oplossingen die met elkaar kunnen integreren, aangevuld met de juiste procedures en processen. Maar waar begin je als organisatie?

Bij het inrichten van een security-infrastructuur binnen organisaties wordt vaak de nadruk gelegd op authenticatie. Tokens, smartcards of biometrische oplossingen voegen in zekere mate een extra beveiligingslaag toe die het risico en misbruik van een verloren of gelekt wachtwoord verkleint. Helaas zorgt dit er niet voor dat gebruikers ook veiliger met informatie omgaan. Nog steeds zullen er mensen zijn die op onveilige links klikken of informatie buiten de bedrijfsinfrastructuur opslaan. Security-oplossingen moeten daarom intelligenter worden en dat kan alleen als ze op een geïntegreerde manier met elkaar gaan samenwerken.

Leren van grote hacks

Het is een pijnlijk feit dat bij vrijwel alle grote hacks in de media sprake is van reactieve security. De inbraken worden allemaal gemeld als het al veel te laat is. Pas dan zijn de getroffen bedrijven bereid om serieus in security te investeren. Het probleem is echter dat de ontwikkelingen in IT-security veel te snel gaan om de bedrijfsomgeving te beschermen met een paar gescheiden security-oplossingen. Je kunt wel een hoge kasteelmuur om je infrastructuur bouwen, maar als er geen informatie gedeeld kan worden tussen de bestaande beveiligingsoplossingen, is het onmogelijk om security proactief te benaderen. Stel dat er aan één kant van je organisatie herhaaldelijk door een hacker aan de deur wordt geklopt en deze informatie niet wordt gecorreleerd met andere monitoring of informatie tools, dan zul je nooit ontdekken dat er aan de andere kant misschien wel een heel leger klaar staat om binnen te vallen.

Menselijke factor

Het wordt steeds lastiger voor mensen om zonder de juiste tooling goede beveiliging te garanderen. Men moet immers steeds meer doen met minder mensen en middelen. En dat terwijl aanvallen steeds sneller, agressiever en complexer worden. Security moet verzekerd worden op alle niveaus binnen de infrastructuur, van het user-profiel en de authenticatie op een endpoint tot de verbinding naar het datacenter en de applicaties. Al deze oplossingen moeten onderling en op een intelligent manier informatie met elkaar kunnen delen, iets dat ook wel shared, context-aware intelligence heet. Door een dergelijke synergie te creëren tussen verschillende security-producten, kunnen organisaties hun security op een aanzienlijk hoger niveau brengen. Daarmee worden de risico’s van menselijke fouten verlaagd en heeft men meer grip en controle op de zowel de organisatie als de gebruikte security-producten.

Context is king

Zonder een geïntegreerde security-omgeving blijf je als organisatie reactief met security omgaan. Je koopt oplossingen als een firewall, iets voor encryptie en voor twee-staps verificatie, maar als die producten van verschillende leveranciers komen, werken ze vaak niet met elkaar samen. Beveiligingsrisico’s kunnen dan niet worden ingeschat op basis van de context. Neem bijvoorbeeld een firewall. Die registreert allerlei informatie over de toegang van gebruikers tot bepaalde content en applicaties en welke websites ze bezoeken. Maar bijvoorbeeld ook dat er malware wordt gedetecteerd, of dat ze onderdeel zijn van een botnet. Door deze intelligente informatie over specifieke systemen of users te integreren en delen met een Identity & Access Management-platform, krijgt je een soort security-analytics. Je kunt dan veel beter inschatten welke risico’s bepaalde gebruikers introduceren met hun
gedrag. Door hier policy’s voor op te stellen, zou je de rechten van zo’n gebruiker uit voorzorg (automatisch) kunnen verlagen. Dan praat je over proactieve security, mogelijk gemaakt door shared, context-aware intelligence.

Zowat elke dag is er nieuws over security breaches en hacks en de implicaties hiervan voor bedrijven en mensen. Maar wat mij opvalt is dat deze hacks, buiten de security-vakmedia, langzaamaan niet meer als nieuws worden beschouwd door andere media. We weten dat we kwetsbaar zijn, maar we gaan er te gemakzuchtig mee om.

Vorig jaar werden door middel van een “spear phishing attack” honderden foto’s van Hollywoodsterren buitgemaakt. Wereldwijd hebben velen een poging gewaagd privé-foto’s of filmpjes van de gedupeerde sterren te zien. En heel recent kwamen de gegevens van inmiddels totaal 37 miljoen mensen op straat te liggen, die ingeschreven stonden bij Ashley Madison; een site die propageert dat het leven te kort is om geen affaire te hebben. Dit was ook wereldnieuws omdat dit op persoonlijk vlak mensen diep raakte. Naar waarschijnlijkheid hebben zelfs twee mensen waarvan de gegevens openbaar zijn gemaakt zich van het leven beroofd. Dit is natuurlijk bizar en triest.

IT is een commodity geworden

Maar er gebeurt meer op het gebied van security-aanvallen en data breaches. Er gaat eigenlijk geen dag voorbij waarin in de security-vakmedia te lezen is welke zakenbank of retailketen nu weer gedupeerd is door een Trojan Horse of andere vorm van malware. Het valt me alleen op dat steeds minder van de berichten die ik op bijvoorbeeld security.nl lees, ook zijn terug te vinden in de breder georiënteerde IT-media of zelfs de dagbladen. Het nieuws en de sensatie gaan er langzaam van af. IT is een commodity geworden die bij ons dagelijks bestaan hoort. En dat baart me zorgen. Mag ik een parallel trekken met de afschuwelijke beelden die de wereld in werden gezonden door IS? Een aantal maanden geleden beheerste dat alle nieuwszenders. Zelfs de beurzen reageerden op de opmars van de terroristen. Maar deze, nog steeds gruwelijke acties die elke dag nog steeds plaatsvinden, halen niet meer de headlines en zoals een aantal maanden geleden. We zijn er, hoe raar dat ook klinkt, aan gewend geraakt. Niet dat het minder eng is geworden; we weten ervan maar kijken de andere kant uit.

Gemak

Teruggaand naar IT-security denk ik dat er veel organisaties zijn die zich wel degelijk realiseren dat ze vulnerabilities in hun infrastructuur hebben. Zwaktes in programmatuur, defecten in apparaten of in routers die kunnen worden misbruikt om in het netwerk te komen. Of zero-day vulnerabilities waarvan we het bestaan nog niet eens kennen. Dit kwam duidelijk naar voren toen Hacking Team zelf werd gehackt. Organisaties die zich realiseren dat er eigenlijk geen gedegen en bijgewerkte security-toolset is, gaan er vanzelfsprekend van uit dat ‘die’ volgende hack toch niet bij hen zal plaatsvinden. Het gemak waarmee organisaties hiermee omspringen levert gevaar op. In mijn gesprekken met klanten merk ik toch dat er met het beschikbare budget eerder een keuze wordt gemaakt voor bijvoorbeeld uitbreiding van het server-park. De security-vernieuwing wordt dan weer een jaar opgeschoven. Dit is een bewust risico nemen; de focus ligt eerder op het maximaliseren van de bedrijfsdoelstellingen en minder op een bijgewerkte security-infrastructuur. Met alle gevolgen van dien.

Bewustwording

Er moet meer bewustwording rondom security komen binnen bedrijven; te beginnen bij de IT-verantwoordelijken. Men is vaak geneigd te zeggen dat de firewall voldoende bescherming biedt, maar vergeet dat bijvoorbeeld cryptolocker/ransomware in 80% van de gevallen binnenkomt via e-mail. Een simpele vraag die ik ook stel is of ze bekend zijn met password-retentie. Daar wordt een klant soms heel erg moedeloos van; hij is er zich wel van bewust maar weet het niet degelijk uit te voeren. Daarom moeten de IT-verantwoordelijken van bedrijven hun werknemers trainen in bewustwording over security.

Vergeet niet dat het gros van de recent afgestudeerden is opgegroeid met internet en behoort tot de zogenaamde ‘digital natives.’ Deze specifieke gebruikersgroep weet feilloos de weg in het digitale landschap, installeert en deelt naar lieve lust apps en beschouwt het bezit en gebruik van smartphones, tablets en laptops als volkomen normale gebruiksvoorwerpen. En hierin schuilt het gevaar van gemakzucht, daar waar het om security gaat. Onlangs zijn 225.000 iPhones van Apple geïnfecteerd met een nieuwe malware genaamd: KeyRaider. Hierdoor zijn vele financiële en inloggegevens verzameld van slachtoffers in diverse landen. Dat komt omdat mensen gebruik maken van telefoons die gejailbreaked zijn. Mensen gaan bewust hun iPhone openbreken om een customised operating system op hun smartphone te laden. Daarmee kunnen bijvoorbeeld features worden geïmplementeerd die Apple zelf (nog) niet heeft. Maar zo’n niet gesloten operating system brengt dus wel grote risico’s met zich mee. En het is weer het pure gemak waar mensen naar op zoek zijn.

Ondertussen treedt deze jonge generatie toe tot het bedrijfsleven. En hoe ‘digital savvy’ ze ook zijn, ze moeten wel, door onder andere interne trainingen, voldoende bewust worden gemaakt van gedrag waarover vaak niet goed wordt nagedacht. Gedrag dat de bedrijfs-security wel degelijk in gevaar kan brengen.

Het ‘Snowden effect’ is één van redenen dat het gebruik van HTTPS het afgelopen jaar is verdubbeld. Steeds meer organisaties gebruiken inmiddels HTTPS. Na Google, Facebook en Twitter volgen ook Wikipedia en Reddit met nieuw ontwikkelde macOS-applicaties en sinds kort wordt dat gedaan door ’s werelds grootste krant de Washington Post.

Niet alleen organisaties in de commerciële sector stappen massaal over op HTTPS, ook de overheid gaat, wel of niet gedwongen, steeds vaker over op het gebruik van HTTPS. In een recent uitgegeven memorandum van de Amerikaanse overheid wordt vereist dat ze voor 2016 HTTPS moeten gaan implementeren voor hun websites en web services.

Toename gebruik HTTPS

HTTPS maakt gebruik van SSL/TLS-encryptie om de communicatie tussen websites en gebruikers te beveiligen. Dit biedt bescherming tegen afluisteren en ‘man-in-the-middle’ attacks, maar HTTPS kent helaas ook enkele beperkingen. Zo worden IP-adressen en domeinnamen van bestemmingen niet versleuteld tijdens de communicatie. HTTPS garandeert alleen de integriteit tussen twee systemen, maar niet de systemen zelf. Ook biedt het geen bescherming tegen een webserver die gehackt is of gecompromitteerd, noch kan de web service voorkomen dat gebruikers informatie wordt gehackt.

Certificate pinning

Om het versleutelde SSL-verkeer te kunnen ontcijferen en de inhoud van de data te kunnen lezen, moeten firewalls daarvoor geschikt zijn. De meeste grote organisaties hebben inmiddels Next Generation Firewalls in gebruik genomen, maar die zijn functioneel soms te beperkt, gezien de vereiste rekenkracht om SSL-decryptie toe te passen. Standaard maakt een SSL-verbinding gebruik van het beveiligingscertificaat van een server. SSL controleert echter niet of het certificaat in kwestie ook daadwerkelijk door de server wordt gebruikt. Dit vertrouwen tussen de computer en de remote server kan een beveiligingsriscico met zich meebrengen. Certificate pinning biedt een oplossing voor dit probleem. Met deze techniek wordt de SSL-verbinding eerst ontsleuteld en voorzien van een eigen certificaat, en
vervolgens weer versleuteld. Banken maken gebruik van SSL pinning voor een controleslag in de beveiliging naar de computer. Het dataverkeer van en naar banken kan dan ook niet geïnspecteerd worden door firewalls met SSL-decryptie, omdat ze van deze SSL pinning-techniek gebruik maken en zodoende de encryptie breken.

Let’s encrypt

Vertrouwt men op een uitgegeven certificaat van derden of is het mogelijk om zelf certificaten uit te geven? Een nieuwe ontwikkeling die hier op aansluit is het Let’s Encrypt-initiatief van de Linux Foundation, dat in september dit jaar gelanceerd zal worden. Dit maakt het voor elke gebruiker mogelijk om een http-server in te stellen die automatisch een browser-trusted certificaat genereert. Om dit mogelijk te maken draait er een certificate management agent op de webserver. Let’s Encrypt is een gratis, geautomatiseerde en open certificaat-autoriteit.

Aanpassing IT-architectuur

Wat veel bedrijven zich moeten afvragen is of hun IT-infrastructuur wel goed is voorbereid op de toename van HTTPS-verkeer. Waarschijnlijk is dit niet het geval, want de meeste organisaties hebben in de afgelopen jaren gekozen voor bescherming van hun netwerkinfrastructuur met technologie die enkel in staat is om informatie in platte tekst, waaronder HTTP- en FTP-verkeer, te inspecteren. Het is daarom noodzakelijk dat men de komende tijd versneld de transitie maakt naar geavanceerde en krachtigere Next Generation Firewalls, die in staat zijn om een hoog aantal DPI-SSL- connecties te ondersteunen. Dit soort apparatuur is namelijk wel geschikt om het HTTPS-verkeer te ontsleutelen en de data te controleren op malware en andere risciofactoren.

Er is nog een lange weg te gaan om encryptie standaard onderdeel te maken van het internetverkeer. De vraag is echter of dit de veiligheid op het internet in het algemeen zal vergroten. Ik denk dat dit zeer waarschijnlijk het geval is. Ongetwijfeld zullen hackers manieren weten te vinden om deze verbeterde beveiliging te omzeilen. Recent toonden onderzoekers van de KU Leuven nog aan dat RC4- encryptie (gebruikt in onder andere SSL/TLS) steeds makkelijker en sneller te kraken valt.

Wat we onder privacy verstaan, is uiterst rekbaar. Tien jaar geleden waren we met z’n allen nog heel verontwaardigd over het plaatsen van camera’s in de openbare ruimte, maar tegenwoordig vinden we dat de normaalste zaak van de wereld. Er zitten echter grote risico’s aan dit afbrokkelende gevoel van privacy, waar we ook nu al de eerste gevolgen van zien.

Hoe we denken over privacy is vrijwel niet meer te vergelijken met pakweg vijftien jaar geleden. Denk maar aan de introductie van de mobiele telefoon. Toen de eerste toestellen in het straatbeeld verschenen, riepen er nog mensen dat ze zo’n mobiel niet nodig hadden. Bellen kon je immers thuis. En waarom zou je altijd en overal bereikbaar willen zijn? Toch werden die mobieltjes razendsnel populair. Inmiddels heeft iedereen er eentje en heeft vrijwel niemand er bezwaar tegen dat hij continu in contact staat met de rest van de wereld. Nu word je gezien als een hipster als je géén mobiele telefoon hebt.

Beveiligingscamera’s

Een vergelijkbare gewenning zie je op het gebied van je privacy. Toen we de eerste publieke beveiligingscamera’s verschenen, schreeuwden we nog moord en brand. Maar nu we er aan gewend zijn, bekommert niemand er zich nog om. Inmiddels worden zelfs de voordelen van deze camera’s geprezen: ze maken de buurt veiliger en lossen criminaliteit op. Nog duidelijker is die ontwikkeling te zien op het internet. Bedrijven als Google, Facebook en Whatsapp bieden gratis diensten aan en verzamelen daarmee constant gegevens van hun gebruikers. Door slim verbanden te leggen krijgen ze een uiterst gedetailleerd beeld van al die gebruikers en bieden op basis daarvan gepersonaliseerde reclames aan. Vijftien jaar geleden werden we hier heel erg kwaad om, maar tegenwoordig vinden we het de normaalste zaak van de wereld dat we onze persoonlijke data als wisselgeld gebruiken.

Verzekering en privacy

Een deel van je privacy inruilen voor een gratis dienst met gepersonaliseerde reclame is één ding. Maar de interpretatie van wat privacy is, lijkt nu steeds verder te versoepelen. En waar het stopt, is niet duidelijk. Ik heb daar wel zo mijn bedenkingen bij. Laatst las ik dat Kassa had uitgezocht dat ex-kankerpatiënten geen hypotheken meer kunnen afsluiten. Kanker, zo redeneert de verzekeraar, kan altijd terugkomen en een overlijdensrisicoverzekering zit er daarom niet in. En als je zo’n verzekering niet hebt, mag je ook geen hypotheek afsluiten. Dat de dokter een ex-kankerpatiënt genezen en gezond kan verklaren, wordt even vergeten. Ik vind dat een verschrikkelijk gevolg van ons verslapte besef over de waarde van privacy. Volgens mij bestaat er een serieus risico dat dit soort zaken in de toekomst steeds meer gaan voorkomen. Internetbedrijven verzamelen nu gegevens om reclame en marketing te personaliseren. Maar wat als ze die gegevens ook gaan gebruiken voor andere doeleinden? Wat gebeurt er als er databrokers ontstaan, die het nog makkelijker maken om gegevens te koppelen? En wat als wij al onze rechten op privacy dan al lang hebben opgegeven. Dat zijn volgens mij heel reële toekomstscenario’s.

Meren van data

Wie denkt dat de overheid onze privacy wel beschermt, heeft het mis. Het CBP, de instantie die toeziet op de naleving van privacy, heeft niet de mensen en juridische slagkracht om goede privacy-bescherming af te dwingen. Daar komt nog bij dat de wetgeving over privacy ook internationaal niet goed is afgestemd. En bovendien, hoe bereik je overeenstemming over een subjectief begrip als privacy? Daarnaast kunnen persoonlijke gegevens natuurlijk ook nog illegaal verkregen en verhandeld worden. We leven momenteel in de wildwest-jaren van het internettijdperk, omdat wettelijke kaders en standaarden nog grotendeels ontbreken. Het zou goed zijn als we die gaan optuigen. Waarom zouden we bijvoorbeeld bedrijven niet kunnen verplichten om gegevens met een bepaald veiligheidsniveau te beschermen? Alleen als we dit soort regels internationaal met elkaar afspreken, kunnen we echt gaan werken aan een betere privacy-bescherming.

Regelmatig berichten de media over het oppakken van hackers op verdenking van cybercrime. De vraag is of de overheid nog actiever zou moeten optreden tegen cybercrime. Zou het niet meer een proactief security-beleid moeten voeren in plaats van achteraf actie te ondernemen? Moet de lokale overheid actie ondernemen om de internetveiligheid te waarborgen en handhaven of is het beter om dit in internationaal verband te doen?

Om de overheid daarin te adviseren is onlangs een rapport uitgebracht door de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) over ‘de publieke kern van het internet’. Onder de ‘publieke kern’ verstaat men de verzameling internetprotocollen, waaronder de TCP/IP, DNS en routing. In dit rapport komt men tot de conclusie dat ‘overheden uiterst terughoudend moeten zijn met beleid, wetgeving en operationele activiteiten die ingrijpen in de kernprotocollen van het internet’. Het rapport stelt dat het beheer van deze publieke kern van het internet in handen is van een aantal organisaties, de ‘technische gemeenschap’ genaamd. Het rapport vermeldt dat het beheer in principe in goede handen is, maar dat er vanuit verschillende kanten druk wordt opgebouwd om daar verandering in aan te brengen. Waar die precies vandaan komt, wordt niet vermeld.

Neutrale zone

Een van de aanbevelingen is om een internationale norm op te stellen, waarin de centrale protocollen van het internet aangemerkt worden als een neutrale zone, en overheidsbemoeienis omwille van nationale belangen niet geoorloofd is. De gedachten gaan uit om bijvoorbeeld via de EU, OESO, VN en Raad van Europa in handelsverdragen een clausule op te nemen. Echter over het handhaven en controleren van de naleving van een dergelijke internationale norm, wordt met geen woord gerept. De vraag is of de naleving daarvan ooit gaat lukken. Nu al is het, ondanks alle technische middelen die ons ter beschikking staan, vaak lastig om te achterhalen wie er achter een cyber-aanval zit. De vraag is daarom of de aanvaller (lees: een overheid) voor een internationaal gerechtshof kan worden gesleept.

Haalbaar

Het rapport komt met veel aanbevelingen in de vorm van normen, waarbij de vraag is of deze realistisch dan wel haalbaar zijn. Het stellen van normen biedt absoluut geen garantie dat landen zich gaan houden aan deze afspraken. Neem als voorbeeld het verdrag tegen de verspreiding en verdere ontwikkeling en productie van kernwapens. Dat verdrag is door de meeste landen ondertekend, maar in het geheim gaan sommige landen gewoon door met de ontwikkeling van kernwapens, puur voor de ‘veiligheid’.

Begin bij de jeugd

Kunnen we dan helemaal niets doen om ons tegen het gebruik van het onveilige internet te beschermen? Jazeker, de oplossing ligt voor een groot deel aan de gebruikerskant. Zij moeten op de gevaren worden gewezen en op de mogelijkheden om hun veiligheid te vergroten. Dat kan al bij de jeugd beginnen door, net zoals verkeerslessen, lessen over internetveiligheid op te nemen in het onderwijs. Verder zou men kunnen denken een ‘rijvaardigheidsbewijs’ voor het gebruik van het internet. Wil men een (digitale) dienst afnemen bij de overheid of bank, dan moet men eerst een cursus volgen voor een veilig gebruik en het nemen van voorzorgsmaatregelen zoals firewalls en virusscanners. Dit is een veel effectievere aanpak dan het door de overheid laten uitvaardigen van normen in ‘de publieke kern van het internet’, die in de praktijk waarschijnlijk niet kunnen worden gehandhaafd.

Helaas zijn er nog steeds ondernemingen en organisaties die denken dat hun eerste generatie firewall nog een goede bescherming biedt tegen aanvallen van buitenaf. Wat ze niet weten is dat hackers steeds vaker gebruik maken van de openstaande netwerkpoorten om de inhoud van data packets te inspecteren. Op basis van deze informatie zijn hackers in staat om kritische informatie te verzamelen om gerichte aanvallen uit te voeren.

In een eerdere blog gaf ik aan dat een bedreiging kan worden veroorzaakt door kwaadaardige email, de zogenaamde spam en phishing. De traditionele ‘state full packet inspection’ van alleen packet headers, is een verouderde inspectiemethode die gebaseerd is op port filtering. Het biedt slechts een beperkte bescherming omdat het merendeel van het Internetverkeer nu via een web browser gaat op basis van slechts één standaard protocol (http of https). Internet services, van mail en streaming video tot social networking, gaan allemaal via dezelfde (altijd openstaande) poort 80 en/of 443.

De huidige en steeds vaker kritische zakelijke applicaties worden via de open poorten verstuurd, die voorheen gereserveerd waren voor een enkele functie (zoals http). De legacy firewall-technologie is in feite ‘blind’ geworden en niet in staat om een onderscheid te maken tussen het gewone http-verkeer en de nieuwe niet-http-services, zoals VoIP, Skype, Torrents, of Instant Messaging (IM). Het is dan niet verstandig om langer te blijven vertrouwen op de port en protocol- combinaties bij het bepalen welke netwerkapplicaties toegang hebben en welke niet. Tijd dus voor een firewall die in staat is om de inhoud van alle data packets te inspecteren om vast te stellen welke applicaties over welke poorten mogen gaan. Op basis daarvan zijn beslissingen te definiëren over welke applicaties wel of niet toegang hebben. Een dergelijke functionaliteit wordt geboden door de nieuwe generatie firewalls: de Next Generation Firewall (NGFW).

De nieuwe generatie firewall is met oog op de performance die geleverd moet worden gebasseerd op een hardware-apparaat dat in staat is om gesofisticeerde aanvallen te detecteren en blokkeren. Het maakt gebruik van security policies op zowel applicatie als op port en protocol-niveau. Het voegt een extra functie toe aan het beslissingsproces doordat het de details van het web-applicatieverkeer ‘begrijpt’. Aan de hand daarvan kan het actie ondernemen, bijvoorbeeld de blokkering van het betreffende netwerkverkeer of het genereren van een waarschuwing.

De nieuwe firewall-technologie omvat (naast de traditionele firewall-technieken): Intrusion Prevention System (IPS), Content Filtering System (CFS), Anti-Malware Prevention, DPI-SSL en Application Intelligence & Control (AIC). Deep Packet Inspection (DPI) is een geavanceerde methode van packet filtering die op de applicatielaag van het OSI-model functioneert. Met behulp daarvan zijn packets te vinden, te identificeren, te classificeren en packets met specifieke data of code payloads te blokkeren of om te leiden. Met deze techniek biedt een NGFW bescherming tegen malware, intrusions en exploits in applicaties. Ook door het toenemende gebruik van Web 2.0 en sociale netwerken (zowel voor zakelijk als persoonlijk gebruik), kan met behulp van beleidsregels voor individuele gebruikers en groepen een betere inzage verkregen worden in het verbruik van het netwerk- en applicaties. We spreken hier dan over netwerkoptimalisatie.

SSL wordt in toenemende mate inmiddels ook door cyber-criminelen gebruikt om detectie te omzeilen en malware te distribueren. Daarom hebben de meeste NGFW-firewalls de mogelijkheid om de met SSL versleutelde data packets te decrypten. De inspectie van de met SSL-versleutelde packets vergt wel het nodige van de system resources; de organisatie NSS Labs (https://www.nsslabs.com/next-generation-firewall-security-value-map-download) onderzoekt ieder jaar diverse leveranciers van NGFWs. En zij doen dit niet alleen op technisch vlak, maar ook bijvoorbeeld op papier (datasheet). Er zijn namelijk een aantal leveranciers die op papier pretenderen een bepaalde performance te kunnen leveren, terwijl dat in de praktijk helemaal niet het geval is.

De Next Generation Firewall

De nieuwe generatie firewall is met oog op de performance die geleverd moet worden gebasseerd op een hardware-apparaat dat in staat is om gesofisticeerde aanvallen te detecteren en blokkeren. Het maakt gebruik van security policies op zowel applicatie als op port en protocol-niveau. Het voegt een extra functie toe aan het beslissingsproces doordat het de details van het web-applicatieverkeer ‘begrijpt’. Aan de hand daarvan kan het actie ondernemen, bijvoorbeeld de blokkering van het betreffende netwerkverkeer of het genereren van een waarschuwing. De nieuwe firewall-technologie omvat (naast de traditionele firewall-technieken): Intrusion Prevention System (IPS), Content Filtering System (CFS), Anti-Malware Prevention, DPI-SSL en Application Intelligence & Control (AIC). Deep Packet Inspection (DPI) is een geavanceerde methode van packet filtering die op de applicatielaag van het OSI-model functioneert. Met behulp daarvan zijn packets te vinden, te identificeren, te classificeren en packets met specifieke data of code payloads te blokkeren of om te leiden. Met deze techniek biedt een NGFW bescherming tegen malware, intrusions en exploits in applicaties. Ook door het toenemende gebruik van Web 2.0 en sociale netwerken (zowel voor zakelijk als persoonlijk gebruik), kan met behulp van beleidsregels voor individuele gebruikers en groepen een betere inzage verkregen worden in het verbruik van het netwerk- en applicaties. We spreken hier dan over netwerkoptimalisatie.

NGFW en SSL-versleutelingSSL wordt in toenemende mate inmiddels ook door cyber-criminelen gebruikt om detectie te omzeilen en malware te distribueren. Daarom hebben de meeste NGFW-firewalls de mogelijkheid om de met SSL versleutelde data packets te decrypten. De inspectie van de met SSL-versleutelde packets vergt wel het nodige van de system resources; de organisatie NSS Labs (https://www.nsslabs.com/next-generation-firewall-security-value-map-download) onderzoekt ieder jaar diverse leveranciers van NGFWs. En zij doen dit niet alleen op technisch vlak, maar ook bijvoorbeeld op papier (datasheet). Er zijn namelijk een aantal leveranciers die op papier pretenderen een bepaalde performance te kunnen leveren, terwijl dat in de praktijk helemaal niet het geval is.

Tenslotte, NGFWs worden vaak nog als perimeter ingezet. Ze doen een prima job in het bewaken van de poort van en naar het internet. Maar wat als je hacker nu binnen zit? Tijd om na te denken om de NGFW ‘inline’ te plaatsen waarbij zowel north-to-south als east-to-west traffic geinspecteerd kan worden.