- Door
- Randy ten Have
- geplaatst op
- 21 augustus 2009 08:03 uur
Diverse xSP’s waren vorige week aanwezig bij HAR2009. Providers Cyso Managed Hosting bouwde zelfs een compleet kantoor op in een tent en verbleef enkele dagen met vrijwel het voltallige personeel in Vierhouten, vanwaar in 3-uurs shifts gewerkt werd. “Maar het is geen vakantie”, zo liet directeur Sven Visser weten. Doel was dat het personeel kennis opdoet van de veiligheidsproblemen die de techniek met zich meekrengt. En dat doel lijkt geslaagd. Stanley Westerveld, Magager systeembeheer bij Cyso Managed Hosting heeft een verslag geschreven voor de lezers van ISPam.nl.
Het zal de lezers van ISPam niet ontgaan zijn dat zo’n 2500 hackers, security specialisten, voorvechters van digitale burgerrechten en andere geïnteresseerden zich vorige week gedurende 4 dagen verzamelden op Hacking at Random in Vierhouten. Sterker nog, diverse lezers van ISPam zullen zelf aanwezig zijn geweest. Gedurende 4 lange dagen werden in een ontspannen setting diverse lezingen en workshops gehouden en mengde het publiek uit vele landen en van divers pluimage zich met elkaar. Zwaar technische verhandelingen werden afgewisseld met filosofische discussies over de mogelijke toekomstige impact van de voortschrijdende techniek op de maatschappij, enthousiasme over de wederopstanding van Bits of Freedom werd afgewisseld door zorgen over de beperkte technische middelen die voor handen zijn om privacy te beschermen tegen de gretige ogen van (totalitaire) regimes. Tussen de bedrijven van dit alles door werden nieuwe contacten opgedaan, samen een drankje genuttigd, of werden eveneens aanwezige klanten welkom geheten in ons tijdelijke kantoor op De Paasheuvel.
Pas enige dagen na afloop van Hacking at Random dringen langzaam de grote lijnen van de onderwerpen die voor het voetlicht gebracht werden door, en wordt ook hun samenhang mij steeds beter duidelijk. Hacken, security, het heeft maar in beperkte mate met techniek te maken. Het zijn vooral de mens en de menselijke aard die bepalen in welke mate je informatie en informatiesystemen als veilig mag beschouwen. Techniek is niet onfeilbaar, want immers ontsproten uit het feilbare menselijk brein. De techniek moet bovendien toegepast worden door mensen. Mensen die de techniek wellicht niet helemaal kunnen doorgronden en daarom verkeerd toepassen, mensen die zich onvoldoende bewust zijn van de noodzaak om zaken te beveiligen, of mensen die beveiliging bewust of onbewust omzeilen omdat ze deze als te lastig ervaren in het dagelijks gebruik.
Dan Kaminsky, introductie is hier waarschijnlijk niet nodig, wist het perfect te verwoorden in zijn geweldig gepresenteerde lezing over de (mogelijke) samenhang tussen SSL, de daarvoor gebruikte algoritmen, DNS en DNSSEC en de trust models die daarbij een rol spelen. SSL werkt bij de gratie van encryptie algoritmen die al gebroken zijn of op korte termijn gebroken zullen worden, en software die losjes omgaat met de wijze waarop authenticiteit gecontroleerd wordt. Tel daarbij op dat er op bedenkelijke wijze wordt omgegaan met het signen van root certificaten en het uitgeven van dergelijke certificaten. Conclusie kan dan niet anders zijn dan dat het trust model van SSL wankelt.
DNS werkt bij de gratie van intermenselijk vertrouwen. In de praktijk blijkt DNS, ondanks de eerder door hem bloot gelegde onvolkomenheden, veel beter te werken in termen van veiligheid dan de wijze waarop SSL certificaten aangemaakt en verstrekt (in de worden van Kaminsky: voor $100.000 kan iedereen een God Certificate kopen) worden, zelfs zonder dat DNSsec breed geïmplementeerd is en root zones gesinged zijn. Kaminsky hield dan ook een gepassioneerd pleidooi om toch vooral verder te gaan met het de implementatie van DNSSEC, om vervolgens te zoeken naar manieren om de authenticiteit van aanvragen voor SSL certificaten te controleren via DNS. Daarnaast mag natuurlijk niet nagelaten worden om over te stappen op sterkere algoritmen voor het signen van SSL root certificaten, Kaminsky schat in dat het algoritme dat hiervoor gebruikt wordt nog ongeveer een half jaar stand zal houden. Iets om eens goed over na te denken en een extra reden om DNSSEC de aandacht te geven die het nodig heeft (SIDN?) .
Een ander onderwerp met betrekking tot `trust’ dat in diverse presentaties naar voren kwam is het vertrouwen tussen burger en overheid. We kunnen er kort over zijn, daar is het niet best mee gesteld. De burger voelt zich niet vertrouwd door de overheid en daarom vertrouwd de burger de overheid niet. De overheid ziet echter wel redenen om inzicht te vragen of eisen in allerhande informatie over haar burgers. Los van het feit dat burgers, of in ieder geval de burgers aanwezig op Hacking at Random, er niets in zien om die informatie zomaar te (laten) verstrekken, worden er ook terecht vragen gesteld over de wijze waarop de overheid omgaat met de beveiliging van de door haar vergaarde informatie.
Ik moet het de vertegenwoordigers van de overheid die de moeite namen om een presentatie te komen geven nageven: de wil is er en ze doen echt wel hun best. De kloof is echter groot, het wederzijds vertrouwen te klein, en daardoor onstaat het gevoel dat de belangen tegengesteld zijn. Of die belangen echt zo tegengesteld zijn durf ik niet te zeggen, maar het is duidelijk dat we nog in een fase zitten waarin we nog onvoldoende duidelijk kunnen krijgen wat de gezamenlijke belangen zijn en hoe we daar in goed overleg werkende oplossingen voor kunnen bedenken. Het is niet voor niets dat WikiLeaks alom aanwezig was, dat representanten van diverse burgerrechtenbewegingen vurige pleidooien hielden om toch vooral op te staan tegen de plannen van diverse regeringen om steeds meer informatie over haar burgers te kunnen en mogen vergaren, dat in presentaties uitgebreid werd ingegaan op de mogelijkheden om je aan het oog van de overheid te kunnen onttrekken, en dat de wederopstanding van Bits of Freedom met een minuten lange staande ovatie werd begroet.
Gelukkig stonden er ook lichtere onderwerpen op het programma. Hacker Jeopardy was een feest, de confrontatie tussen Tim Kuijk en de vertegenwoordiger van The Pirate Bay legendarisch. Ook kun je het rustig aan een camping vol hackers overlaten om hun eigen presentaties buiten het programma om te houden. Zo konden we getuige zijn van een zelfgebouwde Tesla Coil in actie, werd er gemusiceerd op handgemaakte synthesizers en liepen, reden en vlogen diverse zelfgebouwde voertuigen over het terrein.
Inmiddels zitten we weer een paar dagen gewoon achter ons bureau op ons eigen kantoor te werken. Het ergste slaaptekort is weggewerkt, de eerste indrukken verwerkt, de eersten van de stapels aangeschafte boeken worden gelezen, linux kernels worden gepatched. Terugkijkend was Hacking at Random een geweldig festijn met vooral een hoop bevestiging van wat we bewust of onbewust al weten. Veiligheid en beveiliging is mensenwerk, en er blijft een hoop werk te doen. DNSSEC implementeren op onze DNS caches bijvoorbeeld, maar ook stug vasthouden aan procedures die klanten soms heel vervelend vinden. “Nee, ik kan u telefonisch geen wachtwoorden verstrekken” komt weer met extra overtuiging en volharding uit onze monden.
De foto’s zijn in het online fotoboek van Cyso te bekijken.