 |
| Afbeelding via Unsplash |
Pssst… Kun je een geheimpje bewaren? Ik geef je een verzegelde envelop waar een naam op staat. Het geheim zit daarin. Je mag zelf niet in de envelop kijken. Als degene, wiens naam erop staat, langskomt, geef je hem de envelop. Hij kijkt erin, verzegelt de envelop weer en geeft hem terug. Je bewaart hem tot de volgende keer. En verder doe je er helemaal niks mee.
Dit is ongeveer
hoe het in veel gevallen werkt als twee computersystemen met elkaar
communiceren*. Bijvoorbeeld omdat op het ene systeem een programma draait dat
gegevens nodig heeft die op het andere systeem staan. Systeem A moet dan
inloggen bij systeem B, want natuurlijk mag niet iedereen zomaar die gegevens
ophalen – ook een ander computersysteem niet. In de eerste alinea bewaarde jij
een envelop; systeem A heeft daar een digitale variant van: een digitale kluis,
of vault in het Engels. Daar staat het wachtwoord versleuteld in. Als A
gegevens moet ophalen bij B, dan haalt hij het wachtwoord uit de kluis,
ontsleutelt het logt ermee in bij B.
De crux hierbij
is dat er geen mens aan te pas komt. En dat geen mens het wachtwoord ooit ziet.
En dat er dus niemand misbruik kan maken van het account van A. Net zoals jij
niet in die envelop keek, zo ziet nooit iemand het ontsleutelde wachtwoord.
Althans, zo is het bedacht. Een poosje geleden stuurde een collega mij een
mailtje met als onderwerp: ZUCHT… Hij had geconstateerd dat iemand stiekem in
de envelop had gekeken, of in de digitale variant: het wachtwoord handmatig had
ontsleuteld. Om vervolgens te proberen handmatig met dat account in te loggen,
“om ff te proberen of het werkt”. Terwijl zo’n account toch echt een
machine-machine-account is, met andere woorden: het is bedoeld om de ene
machine (A) bij de andere (B) te laten inloggen.
De zucht op de
onderwerpregel betekende zoveel als: snappen ze het nu nóg niet? Let wel, we
hebben het hier over beheerders en ontwikkelaars die deze fratsen uithalen. Van
hen zou je mogen verwachten dat ze snappen hoe het werkt. Dat het openen van een envelop waar je naam niet op staat
simpelweg niet mag. En dat het handmatig aanloggen met een machine-account óók
niet mag. De zucht was er ook omdat dit bepaald geen eenmalige constatering
was. Het gebeurt veel te vaak. Daarmee ondergraaf je onze beveiliging.
Misschien vraag je je af waarom dit überhaupt mogelijk is. Maar dat is hier nu
niet de kwestie. Natuurlijk zou het niet moeten kunnen, maar op dit moment is
het nu eenmaal zo; zie ook de voetnoot.
Als aan een
bankje in het park een bordje “NAT” hangt, ga je dan voelen of de verf echt nog
nat is? Waarom zou je? Je loopt kans op verf aan je vingers en het bankje wordt er niet mooier van. De
meeste mensen snappen dat het niet hoort en houden hun handen netjes thuis. Zo
werkt het ook met die versleutelde wachtwoorden. Dat iets kan, betekent nog
niet dat het ook mag, of dat het verstandig is om te het te doen.
Diep van binnen
weet je dat. Maar voor de zekerheid toch maar nog even een oproep aan iedereen
die wel eens wat gemakkelijk met dergelijke zaken omspringt: doe het niet. Al
was het alleen al omdat die zuchtende collega er grijze haren van krijgt, en ik
vol verbazing over iets moet schrijven waarvan ik dacht dat jullie het
onderhand wel zouden begrijpen. En natuurlijk ben ik blij met die vele
collega’s die het gewoon goed doen <3
*: Er
zijn alternatieven, maar die laat ik hier even buiten beschouwing.
En in de grote boze buitenwereld …
- verschuiven cybersecurity-vacatures van techniek naar governance.
- zoekt Amerika nieuwe bondgenoten.
- ontdekten onderzoekers een zeer geavanceerd malware-framework voor Linux.
- hebben ook oortjes en speakers soms een update nodig.
- willen politie en OM meer geld voor ICT.
- bestaat er ook privacy-vriendelijke AI.
- liet ENISA een document door AI opstellen, en dat ging niet helemaal goed. [DUITS]
Geen opmerkingen:
Een reactie posten