De 6 achilleshielen van internet

Het grote probleem van internet is dat het nooit is ontworpen. Het groeide organisch en protocollen werden gemaakt om in de behoefte van de dag te voorzien. Beveiliging speelde in de begindagen eigenlijk geen rol. Nu de wereld is veranderd, vormen deze verouderde protocollen een groot gevaar. Met lapwerk werden de afgelopen jaren de grootste beveiligingsrisico's afgedicht. Het wachten is echter op een volgende 'Heartbleed'-ramp. Computerworld somde 6 protocollen op die het meest in aanmerking komen voor snelle vervanging door een moderne, robuuste variant. Helaas is vervanging in veel gevallen eigenlijk niet mogelijk.

• Border Gateway Protocol (BGP) BGP zorgt er voor dat routers elkaar op de hoogte houden van wijzigingen in de netwerktopologie. Het is daarmee een van de oudste protocollen van internet en daarmee ook een van de onveiligste omdat het uitwisselen van verkeer in de begindagen van internet volledig op vertrouwen berustte. Routers kunnen daarom makkelijk om de tuin geleid worden met gefalsificeerde BGP-informatie. Het aanpassen van BGP staat hoog op de todo-lijst van het 'Core infrastructure Initiative', maar omdat BGP zo'n cruciaal onderdeel vormt van de internetfundamenten, is vervanging voorlopig nog niet aan de orde.
• Simple Mail Transfer Protocol (SMTP) Een van de oudste protocollen op internet vormt nog altijd de basis van het e-mailverkeer. Ondanks verwoede aanvallen op de populariteit van e-mail, lijkt deze vorm van communicatie nog lang niet afgeschreven. SMTP is zo'n protocol uit de beginjaren van internet, toen beveiliging niet iets was om bij stil te staan. Er zijn al verschillende initiatieven geweest om het e-mailverkeer te beveiligen maar ze gaan mank op de afhankelijkheid van de medewerking van verschillende schakels in de keten.
• Domain Name System (DNS) De kwetsbaarheid van DNS - de verwijsindex van internet - is al vele malen aan het licht gekomen. De belangrijkste fout in het protocol kwam in 2008 aan het licht via het werk van IT-beveiliger Dan Kaminsky. De oplossing voor de problemen met DNS, DNS Secure (DNSSEC), is al lang voorhanden maar de implementatie is complex en verloopt langzaam. Bovendien kan DNSSEC de prestaties van DNS-servers aantasten en zo DDoS-aanvallen vereenvoudigen.
• Network Time Protocol (NTP) NTP is een aardig hulpmiddeltje dat er vanaf het begin van internet voor zorgt dat de klokken van alle op internet aangesloten computers synchroon lopen. Maar tijdens het ontwerp was beveiliging niet aan de orde. En daar maken kwaadwillenden nu goed gebruik van, bijvoorbeeld bij het organiseren van DDoS-aanvallen. NTP-servers kunnen als een versterker van de DDoS-aanval worden ingezet. Mits goed opgezet, kunnen NTP-servers tegen dit soort misbruik worden beschermd. Maar er zijn veel slordige implementaties en bovendien vast ook meer exploits mogelijk.
• Internet Protocol versie 4 (IPv4) IPv4 is eindig, vooral vanwege het beperkte aantal adressen dat er in kan worden aangemaakt. Toch gaat de invoering van de opvolger IPv6 maar tergend langzaam. IPv6 kan internet veiliger maken, maar ook onveiliger. Vooral het gebrek aan kennis over IPv6, die de ingebruikname hindert, kan ook zorgen voor grote gaten in de beveiliging wanneer onoordeelkundig ingezet.
• Secure Sockets Layer (SSL) SSL is ontworpen om verbindingen op applicatieniveau zoals HTTP, te beveiligen met een versleuteling. De laatste revisie van het protocol stamt echter uit 1996. Drie jaar daarna werd een opvolger geïntroduceerd Transport Security Layer (TLS), maar SSL bleef in gebruik dankzij het ontbreken van een backwards compatibiliteit met SSL. Elke browser heeft nog een SSL-implementatie, hoewel volgens Mozilla nog slechts 0,3 procent van de transacties met SSL wordt beveiligd. Het POODLE-debacle moet het signaal zijn SSL voorgoed te dumpen.