Business
Trending
TechPulse op WhatsApp De beste e-bikes Telenet verhoogt prijzen Windows 10-account Goedkoper laden bij Tesla Windows 12 naar 2025
  1. Home
  3. Nieuws
  5. De toekomst van de beveiligingsindustrie
Nieuws
Redactie TechPulse

De toekomst van de beveiligingsindustrie

 

Eind februari kon LSEC een aantal topmensen uit de beveiligingswereld strikken voor een rondetafelgesprek, goed voor heel wat opmerkelijke uitspraken. Over security-as-a-service, de risico’s van cloud computing, het verdwijnen van privacy, de evolutie naar opener encryptiealgoritmes, kwantumcomputers, … Een samenvatting van deze visionaire avond.

Van 22 tot 28 februari was Leuven het decor voor twee conferenties van wereldniveau: enerzijds FSE (International Workshop on Fast Software Encryption), dat zich concentreert op het optimaliseren van cryptografische algoritmes, en anderzijds de First SHA-3 Candidate Conference van het Amerikaanse NIST (National Institute of Standards and Technology). Het NIST heeft een publieke competitie geopend om een nieuw hash-algoritme te ontwikkelen, SHA-3. In Leuven stelden 64 teams hun algoritme voor.

Dat was dan ook de ideale gelegenheid om een aantal knappe koppen bijeen te brengen. K.U.Leuven-professor en gastheer van dienst Bart Preneel merkte dan ook terecht op dat de kans dat u Bruce Schneier, Adi Shamir, John Manferdelli, Ron Rivest en Vincent Rijmen ooit nog samen in België zal zien, heel klein is.

Open algoritmes
Op het niveau van de algoritmes is beveiliging de laatste 30 jaar heel wat verbeterd, benadrukt Adi Shamir: "Vandaag zijn we de workshop gestart om het nieuwe SHA-3-algoritme te kiezen, wat in alle openheid verloopt. In het verleden was dat wel anders: het encryptiealgoritme DES bijvoorbeeld werd door mensen van IBM en de NSA ontworpen. In principe was het wel een open standaard, maar het was nooit duidelijk waarom het juist op die manier ontworpen was. Er kwamen bijvoorbeeld parameters voor in de specificatie waarvan niemand juist kon zeggen wat de betekenis ervan was. De opvolger AES daarentegen werd in een volledig open proces ontworpen. Voor de SHA-hashfuncties om de integriteit van boodschappen te evalueren, geldt hetzelfde: zij zijn ontwikkeld door de NSA, die een aantal onduidelijke trucs heeft toegepast. De competitie voor SHA-3, die loopt van 2008 tot 2012, zal nu eindelijk ook een hash-algoritme opleveren dat in alle openheid uitgewerkt is."

Security-as-a-service
Bruce Schneier begon als cryptograaf en zijn boek Applied Cryptography baadt nog in het technologisch optimisme: als we maar correct geïmplementeerde algoritmes gebruiken, zitten we veilig. Ondertussen is Schneier wel wat wijzer geworden: hij benadrukt dat elke beveiligingsoplossing niet alleen uit beveiligingstechnologie bestaat, maar ook uit hardware, software, netwerken én mensen. Schneier is zich in de loop van zijn carrière dan ook steeds breder gaan richten: van cryptografie naar netwerkbeveiliging en ondertussen zelfs naar wat hij ‘security psychology’ noemt.

 

 

De grootste uitdagingen qua beveiliging op dit moment bevinden zich volgens hem dan ook niet zozeer op technisch dan wel op sociaal vlak te vinden: "We hebben heel wat goede technologie, maar er is een mismatch tussen kopers en verkopers. Het probleem is dat computergebruikers niet de beveiligingssoftware kopen die ze nodig hebben. En als ze dat wel doen, configureren ze die niet correct. Beveiligingsbedrijven verkopen nog te veel oplossingen die de gebruiker niet begrijpt."

Volgens Schneier moeten we dan ook absoluut naar security-as-a-service evolueren: "IT is zo belangrijk geworden als onze elektriciteitsvoorziening: het maakt niet uit hoe en waarom het werkt, als het maar werkt. We moeten dan ook naar een situatie waarin je beveiligingsproducten niet meer apart moet kopen en updaten om veilig te zijn, maar beveiliging standaard geïntegreerd wordt als een dienst."

Vincent Rijmen is het daarmee eens: "IT beïnvloedt het leven van de man in de straat. Bijna iedereen vertrouwt nu bijvoorbeeld blindelings op zijn gps zonder te weten of hij nu richting noord, oost, zuid of west aan het rijden is. Als hackers in dat soort dagelijkse IT-toepassingen beginnen in te breken, dan zitten we echt serieus in de problemen."

Privacy is illusie
Shamir kijkt wel met weinig enthousiasme uit naar de evolutie van cloud computing. "In essentie komt die evolutie erop neer dat een groot aantal kleine bedrijven hun rekenwerk en gegevens uitbesteden aan een klein aantal grote bedrijven. Dat maakt die laatste groep natuurlijk heel interessant voor hackers: de cloud is voor hen een speeltuin. Al je waardevolle informatie op één plaats zetten, is nooit een goed idee."

Ook op een ander vlak toon Shamir zich resoluut pessimistisch: "Privacy is een verloren zaak. Vijftig jaar geleden hadden enkel bekende mensen geen privacy meer. Nu kan je over iedereen informatie opzoeken op Google, mensen positioneren via hun gsm, enzovoort. De mensheid heeft zijn privacy onomkeerbaar verloren."

Online stemmen ondermijnt autoriteit verkiezingen
Volgens Shamir zijn de oorzaken van heel wat beveiligingsproblemen vrij eenvoudig: "The devil is in the details." Neem bijvoorbeeld de stemmachines van Diebold in de VS. Die machines, die in de kieshokjes van heel wat Amerikaanse staten worden gebruikt, zijn voorzien van een slot om verkiezingsfraude tegen te gaan. Maar ze moeten natuurlijk ook wel eens gerepareerd worden. En Diebold vond daar geen betere oplossing op dan alle machines met een slot uit te rusten dat door één en dezelfde sleutel geopend kan worden.

Het gevolg: elke reparateur die ooit één van de machines moet repareren, heeft de kans om de sleutel te kopiëren en later een willekeurige andere machine te openen. Maar dat is nog niet alles: Diebold heeft een foto van de sleutel op zijn online webwinkel staan. Een onderzoeker van Princeton kon de sleutel op basis van die foto heel eenvoudig namaken. Dat soort fouten zijn volgens Shamir zo elementair dat Diebold ze niet had mogen maken.

 

 

Ron Rivest is dan weer niet voor online stemmen gewonnen: "Als je weet dat 25% van de pc’s onderdeel zijn van een botnet… Met 25% van de stemmen kan je een verkiezing serieus ontwrichten. En doordat het stemmen thuis gebeurt, kan je als overheid niet garanderen dat een man bijvoorbeeld zijn vrouw niet verplicht om voor dezelfde partij te stemmen. Het fundament van een verkiezing is dat die eerlijk verloopt, zodat de verliezer zijn nederlaag aanvaardt. Door stemmen via internet mogelijk te maken, creëer je echter de onzekerheid dat een deel van de stemmen door hackers of onder dwang is gemanipuleerd. Dat ondermijnt de autoriteit van de verkiezing."

Overreageren houdt steek voor politicus
De IT-industrie reageert ook niet altijd even snel op beveiligingsrisico’s. Zo heeft Rivest in 1991 bijvoorbeeld het hash-algoritme MD5 ontwikkeld, en al vanaf 1996 waren er theoretische zwakheden bekend. Ondanks negatief advies bleven toch heel wat bedrijven MD5 gebruiken, onder andere voor SSL-certificaten. Er was een demonstratie in december 2008 voor nodig waarbij een vals SSL-certificaat werd aangemaakt voordat de laatste vijf Certificate Authorities MD5 verbanden.

Waarom heeft dat meer dan 10 jaar geduurd? Volgens Schneier is dat heel menselijk: "Die bedrijven beseften de traag toenemende onveiligheid van MD5 niet, net zoals veel mensen global warming niet als een probleem beschouwen omdat de evolutie ervan nauwelijks merkbaar is." Shamir voegt toe: "Maar wanneer er plots een crisis opduikt, reageren we heel snel. Dat is vaak ook een overreactie. Denk maar even terug aan 9/11: de veiligheidsvoorschriften werden natuurlijk enorm verscherpt, en dat vaak op een absurde en inefficiënte manier die onze wereld echt niet veiliger maakt. Je kan van je huis wel een fort maken, maar dat is niet de meest kostenefficiënte manier om het te beveiligen."

"Als politicus houdt het natuurlijk steek om te overreageren", legt Schneier uit. "Dat is eenvoudig te begrijpen vanuit de speltheorie. Als je de burgers na een aanslag sust met de boodschap dat de huidige maatregelen voldoende zijn om dat in de toekomst te vermijden, en er gebeurt toch opnieuw een aanslag, dan verwijt men je dat je te laks bent geweest. Als er inderdaad geen aanslag plaatsvindt, is er geen probleem. Als je daarentegen na de eerste aanslag strenge veiligheidsmaatregelen neemt, en er volgt toch weer een aanslag, gaan mensen je dat niet kwalijk nemen want je hebt gedaan wat je kon. En als er toch geen aanslag gebeurt, krijg je schouderklopjes omdat je maatregelen de wereld blijkbaar veiliger hebben gemaakt. Voor een politicus is het dus in alle gevallen beter om na een crisis strengere maatregelen te nemen." Maar voor de maatschappij is het niet de beste manier, voegt Schneier toe. Hij citeert verrassende cijfers: er worden 8 keer meer Amerikaanse burgers gedood door een politieman dan door terroristen. Een bewijs dat we niet goed zijn in het inschatten van risico’s.
 

 

 

De sprekers

Bruce Schneier…
… is medeoprichter en CTO van BT Counterpane en gerenommeerd cryptograaf. Zijn boek Applied Cryptography geldt als standaardwerk in dat vakgebied. Hij ontwierp verschillende cryptografische algoritmes, zoals Blowfish en Twofish. Maar ook Solitaire, dat bruikbaar is voor mensen die geen toegang tot een computer hebben, is van zijn hand. Schneier dingt met zijn hash-functie Skein ook mee in de SHA-3-competitie van NIST.

Adi Shamir…
… wordt aanzien als pionier op het vlak van publieke sleutelencryptie, en is één van de ontwerpers van het RSA-algoritme (Rivest, Shamir en Adleman). Shamir is ook één van de uitvinders van differentiële cryptanalyse, een methode om blokvercijfering te kraken. In 2002 ontving hij samen met mede-uitvinders Rivest en Adleman de ACM Turing Award, wat wordt beschouwd als de Nobelprijs voor computerwetenschappen.

John Manferdelli…
… is werkzaam als distinguished engineer bij Microsoft. Hij was de originele architect van de secure computing en digital rights managementmogelijkheden van Windows.

Ron Rivest…
… staat bekend als mede-uitvinder van RSA en RC6, en grondlegger van de symmetrische encryptiealgoritmes RC2, RC4 en RC5. Rivest heeft ook de cryptografische hash-functies MD2, MD4, MD5 en MD6 op zijn palmares staan.

Vincent Rijmen…
… is een Belgische cryptograaf. Na zijn doctoraat aan het vermaarde COSIC-lab van de K.U.Leuven werkte hij samen met Joan Daemen aan het algoritme Rijndael, dat in 2000 door NIST geselecteerd werd voor AES (Advanced Encryption Standard), de opvolger van DES. Nadat Rijmen als professor aan de universiteit van Graz (Oostenrijk) gewerkt had, werd hij hoofddocent aan de K.U.Leuven.
 

 

TechPulse
Redactie TechPulse

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
69% korting + 3 maanden gratis

69% korting + 3 maanden gratis

Bezoek NordVPN

Trending berichten

Business