De nuchtere ideeën van Bruce Schneier
In de IT-beveiligingswereld lopen veel markante figuren rond. De prominente cryptograaf Bruce Schneier is een van hen. Met zijn soms tegendraadse, nuchtere verklaringen weet de oprichter van netwerkbeveiligingsbedrijf BT Counterpane zijn publiek steevast te verbazen.
Op een congres van Govcert.nl (de Nederlandse CERT) heeft de beveiligingsgoeroe vorige week zijn karakteristieke geluid laten horen. We willen je zijn opvattingen over onder meer dataopslag, softwarelekken en ‘tweefactor-authenticatie’ niet onthouden.
Klaag softwarebedrijven aan
Volgens Schneier is het wel degelijk mogelijk om kwaliteitssoftware te schrijven die goed werkt en niet constant hoeft te worden gepatcht. "Het probleem is dat het duur is en veel tijd vreet." Doordat de computerindustrie momenteel niet aansprakelijk wordt gesteld voor fouten, kan ze meer producten in een sneller tempo uitbrengen. Eerder heeft Schneier dit een "enorme overheidssubsidiëring van de computerindustrie" genoemd.
De softwarebedrijven moeten worden gedwongen, door ze aan te klagen. Op die manier kun je ook monopolies aanpakken, meent hij. "Er zullen altijd beveiligingsproblemen zijn. Je moet het probleem doorschuiven naar de maker. Dat is het basisprincipe achter software veiliger maken."
Het werkt ook zo in de auto-industrie, vergelijkt hij. "Als daar iets misgaat, dan wordt de fabrikant aangeklaagd. Dat is de enige manier om ervoor te zorgen dat iets vanaf het begin veilig wordt ontworpen." Overigens maakt hij voor openbronsoftwaremakers een uitzondering. "Openbronsoftware is een cadeau, dan geldt geen aansprakelijkheid."
Veel softwarebedrijven maken het klanten wel lastig om ze aan te klagen, geeft Schneier toe. Dat doen ze bijvoorbeeld door in de gebruiksovereenkomst op te nemen dat ze geen aansprakelijkheid accepteren bij software. Maar: "Bij een echt contract moeten beide partijen onderhandelingsmacht hebben. Dus er is een argument dat er geen redelijk contract is."
Tweefactor-authenticatie is geen oplossing
En wij in België en Nederland maar denken dat we zo veilig internetbankieren. Wij gebruiken immers tweefactor-authenticatie om in te loggen en te betalen, in plaats van een wachtwoord. Schneier maakt korte metten met deze vorm van beveiliging.
"De reden dat ik denk dat tweefactor-authenticatie niet werkt, is omdat er geen authenticatieprobleem is maar een fraudeprobleem", verklaart Schneier. "Het zal criminelen alleen maar dwingen om hun tactieken aan te passen." Hij wijst op slimme malware die ook transacties met tweefactor-authenticatie kan saboteren. "De oplossing: verifieer de transactie."
Zo gaat dat met creditcards, legt hij uit. "Niemand controleert de handtekening, niemand controleert of je de kaart hebt. Er is geen persoonsverificatie. De creditcardindustrie verifieert de transactie door te kijken naar het uitgavegedrag en nog veel meer. Dat werkt prima. Banken stappen niet uit deze handel. Creditcards zijn uitermate winstgevend."
Er is wel fraude met creditcards, geeft hij toe. Maar: "Als banken echt geld gaan verliezen, dan bedenken ze wel een oplossing, geloof me."
Privacy is vrijheid
Privacy gaat niet om zaken verbergen, het is een mensenrecht, stelt Schneier in een van zijn essays. Op het bekende argument ‘Als je niets fout doet, wat heb je dan te verbergen?’ heeft hij een aantal slimme antwoorden. Zoals: "Als ik niets fout doe, dan heb je geen reden om me in de gaten te houden". En: "Omdat de overheid mag definiëren wat fout is, en ze blijven de definitie veranderen". Of: "Omdat je iets verkeerds kan doen met mijn informatie."
Te veel mensen karakteriseren het debat als ‘veiligheid versus privacy’, meent hij. "De echte keuze is vrijheid versus controle."
Privacy is niet dood
Is het gedaan met onze privacy, in deze tijden van Facebook en dataopslag? Schneier, wars van doemdenken, gelooft dat niet. "Privacy heeft altijd een legale structuur nodig, dat zal niet verdwijnen. Het zit in de menselijke aard."
Tijdens een congres in 2007 heeft hij dit verder toegelicht. "Technologie kan de privacy beperken, maar dat er camera’s zijn uitgevonden, betekent niet meteen dat er overal naaktfoto’s van jou verschijnen."
Het is waar dat er iedere dag meer gegevens over ons worden verzameld, beaamt hij. "Maar wat gebeurt er met die data? Wie mag ze bekijken, hoe wordt het opgeslagen en verwijderd – dit is allemaal een kwestie van wetten." Hij denkt dat we uiteindelijk over stevige dataprivacywetten zullen beschikken die ons beschermen.
Mensen willen geen IT-beveiliging kopen
IT-beveiliging is lastig te verkopen. Het is een van Schneiers stokpaardjes en hij illustreert dit aan de hand van de bekende prospect theory. "Als je mensen de keuze geeft tussen een zekere winst van vijfhonderd dollar en een munt opgooien en daarbij kans maken op duizend dollar winst, dan zal driekwart kiezen voor de zekere winst", legt hij uit.
"Maar als je mensen de keuze geeft tussen een zeker verlies van vijfhonderd dollar en kans op duizend dollar verlies, dan zal driekwart ervoor kiezen om de munt op te gooien." De clou: computergebruikers sparen de kosten van beveiligingssoftware liever uit en nemen het risico op de koop toe.
Daarom proberen de softwaremakers hun producten te verkopen door gebruikers flink angst aan te jagen. "Onze hersenen verkiezen de kans op een groot verlies boven een onvermijdelijk klein verlies. Maar als we écht bang zijn, zullen we bijna alles doen om van dat gevoel af te komen", verklaart Schneier in een essay. Wat je dan krijgt is fear, uncertainty, doubt (FUD).
IT-beveiliging is een ongeluk
"De hele IT-beveiligingsindustrie is een ongeluk, een artefact van hoe de computerindustrie zich heeft ontwikkeld", poneert de goeroe. "Terwijl IT in de achtergrond vervaagt en gewoon een nutsvoorziening wordt, zullen gebruikers gewoon verwachten dat het werkt. De details van hoe het werkt doen er niet toe."
Op het Govcert-congres heeft Schneier dit verder uitgelegd. Volgens hem zal beveiliging uiteindelijk niet meer op zichzelf staan. Het zal steeds meer ingebed worden in andere producten en wordt op die manier een "industrie voor de industrie".
Hij ziet een bewijs voor deze trend in het feit dat beveiligingsbedrijven worden gekocht door grote spelers in een andere markt. Zo heeft British Telecom zijn bedrijf Counterpane gekocht en is Internet Security Systems (ISS) overgenomen door IBM. Op deze manier kunnen fabrikanten beveiliging in hun producten bundelen.
Security wordt niet onzichtbaar, benadrukt Scheier. "Het zal aanwezig zijn in de marketing, zoals auto’s adverteren met beveiligingsfuncties." Voor consumenten zal dit betekenen dat beveiliging gebundeld is met andere producten, zodat ze zich er niet meer mee bezig hoeven te houden.
Cloud computing is: mijn data op andermans harddisk
Schneider vertaalt de term cloud computing liever in: "Mijn data op andermans harde schijf". Hij merkt op dat mensen tegenwoordig verbazingwekkend sterk ontwikkeld zijn in het sociale gebruik van ICT. "Maar op technisch vlak zijn ze erg naïef."
Dit is kenmerkend voor een volwassen industrie, volgens hem. Om auto te kunnen rijden, hoef je bijvoorbeeld ook geen technische kennis meer te hebben. "Gebruikers raken minder geïnteresseerd in details en meer in resultaten. Ze geven er niet meer om hoe de infrastructuur in elkaar zit, hoe de bits bewegen, waar zich hun firewall bevindt of wat het OS van Facebook is. De data zelf vinden ze wél belangrijk."
Cloud computing mag dan wel de toekomst zijn, toch moeten gebruikers nog steeds voorzichtig zijn aan wie ze hun gegevens overlaten, waarschuwt Schneier. "Je wilt niet dat jouw cruciale gegevens op een of andere cloud computer staan die ineens verdwijnt omdat de eigenaar failliet gaat. Je wilt niet dat het bedrijf dat je gebruikt wordt verkocht aan je directe concurrent." Of dat zo’n bedrijf ineens de tarieven verhoogt en vervolgens weigert jouw data terug te geven.
Google verkoopt ons
Maak jezelf maar niet wijs dat je een klant van Google of Facebook bent en daardoor iets te zeggen hebt. "Wij zijn geen Google-klanten, dat zijn de adverteerders", aldus Schneier. "Wij zijn het product dat Google verkoopt aan adverteerders. Facebook doet dat ook. Zij verkopen toegang tot ons."
Als gebruiker van een gratis dienst heb je geen macht, daar komt het op neer. Schneier waarschuwt dat je alles kunt verliezen. "Bedrijven als Google en Amazon zullen daar niet veel tijd aan besteden." Volgens hem zijn er bijvoorbeeld gevallen geweest waarbij Gmail-gebruikers e-mail kwijtraakten en Google daar weinig mee deed.
Je hebt meer te vertellen als betalende gebruiker, maar niets is gegarandeerd. "Wees voorzichtig met wie je vertrouwt, wees voorzichtig met waarmee je hen vertrouwt, en wees voorzichtig in welke mate je hen vertrouwt."
De dreiging van roofdieren is overdreven
Scheier vindt dat veel IT-bedreigingen overdreven worden, zoals cyberterrorisme of dataverlies. Ook het gevaar van online predators – volwassenen die via internet kinderen en tieners proberen te misleiden met als doel hen seksueel te misbruiken – vindt hij overtrokken. "Kinderen hebben volwassenen die online iets proberen wel door." Volgens hem worden jongeren ‘internetwijs’.
Op zijn blog verwijst Schneier naar een onderzoek uit 2008 waarin een aantal mythes wordt blootgelegd. Zo blijken ‘internetroofdieren’ geen pedofielen te zijn die achter jonge kinderen aanzitten. Ze richten zich op tieners. Slechts vijf procent van hen heeft zich op internet zelf voorgedaan als een tiener.
Online contacten met onbekenden zijn volgens dit onderzoek op zich niet zo riskant. Wat wel gevaarlijk is, is het vrijgeven van namen, telefoonnummers of foto’s aan onbekenden. Schneier prijst een Nederlandse campagne die jongeren laat stilstaan bij hun online reputatie. Die campagne informeert over hoe je je online gegevens kunt beschermen.
Dataopslag: doe het niet!
Overal in de EU worden momenteel wetten rond opslag van telecommunicatie geïmplementeerd. Volgens Schneier is daar geen goede reden voor. Als we hem vragen wat hij tegen de Europese overheden zou willen zeggen, klinkt het overtuigd: "Don’t do it!"
Ieder jaar brengt meer internetcensuur en controle, constateerde hij in 2007 al. "Het is slechte burgerlijke hygiëne om technologieën te bouwen die op een dag een politiestaat kunnen faciliteren. Deze stellen ons allen bloot aan een groter risico, ongeacht wat de luistervinken en censors zeggen." Immers, communicatiesystemen zonder afluistermogelijkheden zijn veiliger dan systemen mét.
Massale dataopslag zorgt volgens Schneier voor een risico van officieel én onofficieel misbruik. Vooral dat laatste vindt hij zorgwekkend. "Waarom denkt iemand dat alleen geautoriseerde wetshandhavers verzamelde internetdata zullen bekijken of zullen meeluisteren met telefoon- en IM-conversaties?" Een heel goede vraag.