Indien u mijn artikels leest of mijn Twitter tweets volgt, dan is u duidelijk dat (ICT) security mijn interesse heeft. Dat is overigens al jaren het geval. Jaren geleden beheerde ik een bedrijfsnetwerk met een 6 tal (Linux) firewalls met 8 fysieke netwerkinterfaces ieder, en met talloze subnetten en tientallen VPN verbindingen elk. Toen was ik er verantwoordelijk voor.
Inmiddels doe ik geen technisch inhoudelijk werk en komt IPTABLES alleen nog aan bod in de (Linux) training die ik geef. De interesse voor met name netwerk-security is gebleven en dan vooral het idee dat iemand op afstand een machine van je “over neemt” en daar informatie af kan halen of voor diens eigen doelen kan inzetten.
“Van mij en alleen van mij”
Op mijn eigen machines (webservers, latptops en desktops) neem ik dan ook uitgebreide maatregelen om misbruik te voorkomen. Zo maak ik gebruik van IPTABLES firewall, inloggen met SSH keys only, Fail2ban, scripts die logfiles “doorspitten” etc. Ik maak me geen enkele illusie, mijn maatregelen zijn niet voldoende. Mijn punt is, dat ik alle maatregelen tref die ik (in alle redelijkheid en binnen mijn kennis) kan treffen.
“Van jou of van mij?”
De maatregelen die ik tref maken me natuurlijk nieuwsgierig naar hoe anderen dit doen. Als ik met collega-vakbroeders praat die verstand hebben van beveiliging dan stel ik ze altijd dezelfde vraag. “Hoe weet je zeker dan jouw systeem echt van jouw alleen is?” Steevast krijg ik hetzelfde onbevredigende antwoord, “dat weet je niet”. Soms voegt men daar nog aan toe dat het meest verstandige wat je kan doe is de netwerkkabel los te trekken. Hoewel dat een machine volstrekt nutteloos maakt, kan zelfs deze maatregel in twijfel worden getrokken. Zo verscheen er een paar maanden geleden een artikel over een security specialist die meent malware (BadBIOS) te hebben gevonden dat een “air gap” kon overbruggen omdat het geluid gebruikte om te communiceren.
Deze zaken blijven knagen bij me.
Edward Snowden
Het afgelopen jaar zijn we “verrast” door de onthullingen van Edward Snowden. Deze waren voor mij dan ook buitengewoon interessant. Van alle akelige dingen die ik me eerder kon voorstellen is inmiddels aangeven dat die ook daadwerkelijk plaats vinden. Bij elke onthulling dacht ik dan ook, “het verbaast me eigenlijk niets”. Ik zou er bijna cynisch van worden, maar ik sta nu op het standpunt, dat je dus inderdaad van het ergste uit moet gaan. Niet alleen criminelen proberen rottigheid uit te halen, maar onze eigen overheid en “bevriende” overheden ook.
Koude drukte
Zoals eerder gesteld, de onthullingen hebben me dus niet echt verbaast, maar hebben mijn ergste vermoedens bevestigd. Maar wat mij wel bevreemd is de gelatenheid van mijn ICT collega’s. Zo wordt netwerk apparatuur uit USA voorzien van standaard hardware waarmee de NSA zich toegang kan verschaffen. Als netwerkspecialist zou mij dat mateloos irriteren. Als ik verantwoordelijk ben voor een netwerk (van mijzelf of van een betalende klant), dan zou ik zeker willen weten dat de NSA – of wie dan ook – daar niet binnen kan komen. Ik zou alle maatregelen treffen die ik binnen redelijke grenzen kan realiseren. Ik bemerk echter een gelatenheid bij mijn collega’s. Ze reageren vaak met, “Tja wat kan je eraan doen?”, of “Ik heb toch niets te verbergen”.
Wake up call
Naar mijn idee kan – en moet – je er juist heel veel aan doen. Neem alle maatregelen die je kan treffen, ga altijd van het slechtste scenario uit (zie Snowden) en gebruik zoveel mogelijk Open Source Software. Natuurlijk zit ook in deze software fouten en exploits, maar het is de beste garantie dat fouten gevonden, en snel gefixed worden. Wees achterdochtig en controleer zaken, gaat het zoals ik verwacht of zie ik bijvoorbeeld netwerk verkeer dat ik niet kan verklaren? Maar bovenal, leg je er niet bij neer. Een “Big Brother” maatschappij laat je zelf gebeuren of niet..