Het opvallendste nieuws volgens Hans van de Looy

Hij had dat verzameld om wereldkundig te maken hoe ver de NSA gaat, in samen met verschillende andere geheime diensten waaronder GCHQ, om willekeurige data te bemachtigen over zoveel mogelijk individuen en organisaties en deze te analyseren en te profileren. Sinds die tijd weten niet alleen specialisten, maar ook steeds meer normale gebruikers, wat het belang is van sterke versleuteling en hoe deze, min-of-meer correct, te gebruiken.

En dan gebeuren er, niet lang na elkaar, een aantal opmerkelijke zaken. Er wordt een fout in OpenSSL ontdekt die nu de historie is ingegaan als het grootste lek sinds het ontstaan van het internet (Heartbleed). De, nog steeds anonieme, ontwikkelaars van TrueCrypt, gooien de handdoek in de ring met een mededeling dat het programma niet veilig zou zijn en dat gebruikers beter kunnen overstappen naar een standaard Microsoft oplossing. En op 5 juni werd er weer een beveiligingsfout bekend in OpenSSL.

Uit het bovenstaande zijn er twee zaken die me, als IT-beveiligingsspecialist, zorgen baren. Laat ik beginnen met OpenSSL. Dit product wordt niet alleen gebruikt voor het beschermen van data in HTTPS-verkeer tussen browsers en webservers, maar bijvoorbeeld ook voor VPN-tunnels; zeg maar het beveiligen van alle netwerkverkeer tussen bijvoorbeeld een client en het bedrijfsnetwerk. Het is daardoor een uitermate belangrijke bouwsteen geworden voor vele programma’s om gegevens tijdens het transport te beschermen.

Maar! OpenSSL is ook groot geworden, en het is in het verleden nooit goed onderzocht op lekken. Applicatie-ontwikkelaars zijn er in het verleden en gaan er tegenwoordig nog steeds van uit dat het op dat cruciale niveau wel goed zou zitten. Heartbleed en meer recente lekken laten duidelijk zien dat dat niet het geval was en is. Alle patches die zijn aangebracht zijn niet meer dan dat. Het zijn lapmiddelen om te proberen de code “veilig" te houden, maar de scheuren in de enorme hoeveelheid code zijn nu duidelijker zichtbaar dan ooit. Het is tijd om deze TLS/SSL-implementatie opnieuw te bouwen en dit keer met een focus op de veiligheid ervan. Pas dan worden andere programma’s die gebruik moeten maken van een TLS/SSL-implementatie weer gebouwd op een solide basis. Een basis die hard nodig is om onze gegevens veilig te houden.

Maar hoe zit het dan met TrueCrypt? Is dat programma werkelijk onveilig? Recentelijk is er zelfs een eerste gedeelte van een audit uitgevoerd op deze open-source code. Ja, er kwamen een aantal verbeter-puntjes naar voren, maar niets wereldschokkends. Waarom deze overdreven reactie en wat is daarvan het gevolg? De werkelijke reden kan denk ik alleen maar duidelijk worden gemaakt door de ontwikkelaars zelf. Het gevolg is wel duidelijker en heeft niets met crypto te maken — hoewel sommigen zullen zeggen dat de teksten die gebruikt worden in licenties zelf al versleuteld zijn.

Zoals ik al schreef is TrueCrypt een open-source project, en met veel open-source projecten is het zo dat als een groep ontwikkelaars er mee stopt of personen of organisaties een andere richting op willen ze een “fork” kunnen maken van het bestaande project en verder kunnen met de ontwikkeling en ondersteuning.

Helaas hebben de anonieme ontwikkelaars van TrueCrypt hun licentie zodanig laten groeien dat dit niet eenvoudig te regelen is. En nu zitten we dus met een hoeveelheid code waar andere ontwikkelaars niet mee verder kunnen. Dus niet de boodschap dat TrueCrypt onveilig zou zijn is het grootste probleem, maar het feit dat een nieuw team van ontwikkelaars er op dit moment niet mee verder kan gaan is het grote struikelblok. En daardoor staat een, volgens mij, uniek tool om gegevens veilig op USB-apparatuur op te slaan en deze uiteindelijk toch te kunnen gebruiken met een veelvoud van besturingssystemen (niet alleen Microsoft Windows, maar ook Linux, *BSD en Apple OSX) voorlopig in de ijskast.

Het zijn en blijven interessante tijden. Onze gegevens moeten beschermd worden. Er komen steeds meer wetten om dit kracht bij te zetten. Maar ondertussen blijkt die beveiliging toch lastiger dan in eerste instantie gedacht. Om af te sluiten met wat goed nieuws. Voorlopig blijft er meer dan voldoende te doen voor ICT'ers, dus als je je studie-lening binnen een redelijke tijd wilt terug kunnen betalen weet je welke studie interessant blijft!