Een open, flexibele verbinding tussen academische netwerken. Zo begon internet veertig jaar geleden. Nu drie miljard mensen er handelen, pronken en video’s kijken levert dat problemen op met de veiligheid.
De nieuwjaarsbijeenkomst van Delft Data Science op maandag 26 januari stond in het teken van cyber security of veiligheid op internet. Daar is het namelijk niet best mee gesteld. En het zal eerst nog wel erger worden voordat mensen leren op een veilige manier met dat wereldwijde kunstmatige zenuwstelsel om te gaan.
Met een life-hack tijdens zijn voordracht maakte Christian Doerr (cybersecurity bij EWI) duidelijk dat veel servers op internet gaten in de beveiliging hebben. Fouten in software zijn nu eenmaal niet te voorkomen, en vaak zijn die fouten te gebruiken om controle over de server te krijgen.
Eenmaal ontdekt worden zulke veiligheidslekken meestal gepubliceerd waarna een golf van aanvallen volgt. ICT-afdelingen op hun beurt gaan aan de slag om met updates de gaten te dichten. Maar dat doet niet iedereen zodat ook kraakprogramma’s van drie tot vijf jaar geleden nog best vaak bruikbaar zijn. Het opzoeken van zwakke sites gaat automatisch.
Doerr demonstreert het met een programmaatje dat een webwinkel bombardeert met wachtwoorden totdat de beveiliging ermee ophoudt en hem na enkele seconden binnenlaat. Foutje, bedankt. Eenmaal binnen geeft de server braaf alle informatie waar Doerr om vraagt. Het is alsof je naar een hackersfilm kijkt, maar dit gebeurt gewoon in het openbaar tijdens een lezing.
Erger is het met ingebouwde (embedded) software in bijvoorbeeld telefoons, auto’s of deursloten. Die worden namelijk zelden of nooit geüpdatet zodat veiligheidslekken op zulke systemen een eeuwigheidswaarde hebben. Doerr demonstreert het door een elektronisch deurslot te openen met een kinderspeeltje van twee euro. Het slot is namelijk zo vriendelijk om bij een verkeerde sleutel de juiste code te antwoorden zodat het een volgende keer wel goed gaat.
Als elektronica en netwerken zo kwestbaar zijn voor aanvallen, wat is dan nog de verdediging? Keurig de software patches bijhouden helpt natuurlijk, maar is niet afdoende. Ronald Prins, TU-alumnus en directeur van IT-beveiligingsbedrijf Fox-IT, ziet perspectief in de big-data benadering. Afwijkende datapatronen kunnen duiden op een hackpoging. “Vergelijk het met wanneer je de secretaresse opeens bij de financiële administratie ziet rondstruinen. Dat is toch ook raar?”, zegt Prins.
Maar wie zou die informatiestromen in een bedrijf in de gaten moeten houden? Fox-IT biedt die diensten aan, mocht u het niet geraden hebben, en grotere bedrijven hebben vaak iemand in dienst met de portefeuille cyber security. “Dat kunnen wiskundigen zijn, maar ook bedrijfskundigen komen we tegen”, aldus Prins.
Volgens hoofdspreker Dr. Gerald Friedland (International Computer Science Institute uit Berkeley, Californië) is internetveiligheid vooral een kwestie van educatie. Je moet nooit meer gegevens delen dan nodig, vindt hij. Locatie doorgeven bij Angry Birds? Onzin, niet doen. Foto’s met gps-labels? Uitzetten. Zelf heeft hij bij wijze van demonstratie op basis van vakantiefilmpjes op Youtube 120 adressen bij hem in de buurt gevonden waarvan hij wist dat de mensen weg van huis waren. Je locatie op Facebook of Youtube zetten? Beter van niet.
En dan is er nog het duistere internet dat niet vindbaar is met zoekmachines. Het TOR-netwerk anonimiseert gebruikers zodat die zich over kunnen geven aan alles dat god verboden heeft. Martijn Spitters (TNO) deed er onderzoek naar en bevond zich plots tussen drugsdealers, wapenhandelaren en liefhebbers van kinderporno. Ook kun je er huurmoordenaars contracteren of hackers inhuren.
Van een keurig academisch netwerk gebaseerd op vertrouwen en goede manieren, is internet een virtuele kopie geworden van een ruige stad, compleet met louche buurten en duistere industrieterreinen. Als mensen dat beter gaan beseffen, is er al een boel gewonnen, was de strekking van de bijeenkomst. Want techniek alleen kan van internet geen veilige plaats maken.
Heb je een vraag of opmerking over dit artikel?
delta@tudelft.nl
Comments are closed.