Informatiebeveiliging: kan het nog gekker?

De nieuwsberichten over problemen met de
informatiebeveiliging bij de overheid volgen
elkaar momenteel in rap tempo op.  We recupereren:
Diginotar, de miljoenennota, onbenullige
beveiliging bij de Gemeente Amsterdam,
digid-fraude, etc.  Geen spoor van een
systematische aanpak om deze misstanden uit te
roeien.

We pakken Diginotar bij de kop.  Daar is een
inbraak geweest waarbij hackers certificaten
hebben gegenereerd waardoor het mogelijk bleek om
Internetverkeer om te leiden zodat het
afgeluisterd kon worden.  Dit speelt zich af in de
hoek van dissidenten die met het midden oosten
corresponderen.  Een neveneffect hiervan is dat
daarmee de Diginotar certificaten niet meer te
vertrouwen zijn.  En daarom zijn de websites van
bijvoorbeeld de overheid ook niet meer 100% 
veilig omdat die de grootste klant waren.

Als ik klant was van Diginotar had ik om te
beginnen een periodieke ISO 2700x certificering
afgedwongen.  Voor wie niet weet wat dat is, hier
een citaat uit de inleiding:  ``This International
Standard has been prepared to provide a model for
establishing, implementing, operating, monitoring,
reviewing, maintaining and improving an
Information Security Management System''.  Daarmee
borg je in ieder geval wat je minimaal op orde
moet hebben.

Daarnaast had ik afgedwongen dat elke maand een
penetratietest werd uitgevoerd.  Vervolgens had ik
periodieke softwarekwaliteitsonderzoeken vereist
waarbij een forensisch oordeel geveld wordt over
kwaliteitsattributen zoals beschikbaarheid en
betrouwbaarheid aan de ene kant en security en
privacy aan de andere kant.  Dit alles door
onafhankelijke en ter zake kundige partijen.
Opvolging van bevindingen is verplicht en kan door
derde partijen worden overgenomen indien Diginotar
niet, onvoldoende of te laat met oplossingen komt.

Verder had ik als klant door een FMEA (Failure
Mode Effect Analysis) vastgesteld dat
onbetrouwbare certificaten een single point of
failure waren.  En dus had ik maatregelen genomen
door met meerdere partijen afspraken te maken, en
certificaten regelmatig te rouleren (spare parts).
De klanten van Diginotar ontberen schijnbaar de
kennis en kunde om dit soort eisen te stellen en
de eigen risico's in te schatten.   Die zitten op
de IT-motor zonder helm.

Ik heb nergens kunnen vinden dat Diginotar een ISO
2700x certificering heeft.  Ook via
www.isoregister.nl niet.  Aldus het register is
een vijftiental bedrijven gecertificeerd.  Als dat
waar is, is het niet best.  In ieder geval is het
zeer opmerkelijk dat een bedrijf dat de
beveiliging op Internet mede moet borgen geen ISO
2700x certificering kent.

Daarnaast is het schokkend om te lezen in een
security blog dat zelfs na een audit bij Diginotar
vanwege de inbraak er op de website van Diginotar
nog steeds defacing pages stonden.  Het blog meldt
dat sinds mei 2009 een gehackte pagina op hun
website stond en op 30 augustus 2011 nog steeds.
Bij een forensisch onderzoek aan de systemen van
Diginotar had ik binnen 5 minuten de defacing
pages gevonden via een paar triviale tests.

Een paar hints over hoe dat werkt.  Bij een
onderzoek wil je allereerst weten wat voor vlees
je in de kuip hebt in termen van technologie"en.
Een van de middelen daartoe is de extensie
analyse.  Extensies van bestanden (zoals .doc) die
je zou verwachten op een website zijn html en in
dit geval ook crt (van certificaat).  Maar
bijvoorbeeld niet txt extensies, al is het maar
omdat die niet mooi vormgeven op een website.  En
die stonden er wel op (ook na de audit dus!):

https://www.diginotar.nl/Portals/0/Extrance.txt
https://www.diginotar.nl/Portals/0/owned.txt
https://www.diginotar.nl/Portals/0/fat.txt

Die bekijk je dan meteen en dan zie je dat het
defacing pages zijn.  Gehackt dus.

Daarnaast wil je ook weten waar het over gaat in
de bestanden.  Dat kun je doen middels een
concordantie analyse.  Een concordantie is een
lijst van voorkomende woorden plus hun frequentie.
Heel frequente (descriptieve) woorden geven aan
wat er hoofdzakelijk in de bestanden gebeurt en
heel weinig voorkomende geven uitzonderingen weer.
Daar waren vast de woorden Iranian, Moromoroth,
Persian of Yahoo uitgekomen die in bovenstaande
txt bestanden staan.  Dus: gehackt.

Voor natuurlijke taal geldt over het algemeen de
empirische wet van Zipf die ruwweg zegt dat het
meest frequente woord tweemaal zoveel voorkomt als
het op een na meest frequente woord, drie keer zo
vaak als het woord op nummer drie, etc.  Bij
bestanden waar ook kunstmatige taal aanwezig is
(denk aan HTML of code) kunnen er afwijkingen
zijn.  Die kun je meten en analyseren.

Als de staart van zeldzame(re) woorden te lang is
voor uitputtende inspectie, zijn er andere
gerelateerde toetsen.  Bijvoorbeeld een krachtterm
analyse of een taboewoorden analyse.  Bij de
eerste kijk je naar schuttingtaal en bij de tweede
naar zaken die je niet wilt zien gegeven een
vraagstelling.  Die lijsten hou je tegen de
concordantie aan.  In krachttermenlijsten
ontbreken woorden zoals fuck niet en taboewoorden
zoals hack staan in beveiligingslijsten.  En ook
dan was direct aan het licht gekomen dat de
website van diginotar was gehackt omdat die termen
ook in de defacing pages stonden.

Zodra duidelijk was dat Diginotar gehackt was, had
het forensisch onderzoek opgeschaald moeten worden
en waren de misstanden bij Diginotar jaren eerder
aan het licht gekomen.  

Het is jammer dat we keer op keer geconfronteerd
worden met steeds banalere beveiligingsmisstanden.
Niemand bij de overheid schijnt zich te realiseren
dat je er systematisch iets aan kunt doen.  Men
staat erbij, kijkt ernaar, bedenkt het zoveelste
excuus en dan op naar het volgende incident.  

X

Meer weten over de wondere wereld van ICT
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica
aan de Vrije Universiteit in Amsterdam en
wetenschappelijk adviseur voor overheid en
bedrijfsleven.  Hij schrijft regelmatig een
column in AG II.  Hij is te bereiken via email:
x@cs.vu.nl.  Deze tekst is copyright SDU.  Niets
van deze uitgave mag zonder schriftelijke
toestemming van de uitgever worden overgenomen of
worden gepubliceerd.