[openstandaarden] VLACO vs openstandaarden.be

[Wim Stubbe]

On Saturday 10 August 2002 03:09, Frans Gerbosch Consulting wrote:
> On Fri, 9 Aug 2002, Wouter Verhelst wrote:
<knip echelon/
> > Een goed beveiligingssysteem is open, zodat iedereen die daar belang bij
> > heeft (in dit voorbeeld kunnen dat de klanten van de bank, de
> > geldkoeriers, en de bankbedienden zelf zijn) het systeem kan controleren
> > op eventuele fouten. Of, om het met Linus' law te zeggen: 'Given a
> > million eyes, all bugs will be solved'.
</knip echelon>
>
> Hmmm, dit wordt een discussie zonder einde vrees ik, maar ik wil toch een
> poging wagen je een andere invalshoek te tonen. Temeer dat het juist zo is
> dat (bijna) alles te kraken is, het hangt alleen af van de effort en de
> middelen die je er in kunt steken. Hoe meer een bepaalde incriptie
> gebruikt wordt en hoe meer ze aan belang wint, hoe meer bepaalde
> organisaties er hun best voor zullen doen om de sleutel tot het kraken te
> vinden. Als het niet goedschiks lukt, lukt het misschien wel
> kwaadschiks....


Juist daarmee, als het te kraken is bewijs je dat de beveiliging niet stevig 
genoeg is of dat er een fout in zit. Iemand met kwade bedoelingen zal dat 
zeker vinden. (toch eentje, en dat is genoeg, die geven dat dan wel door)

Als je backup krijgt van mensen die je protocol kunnen evalueren en testen 
vermijd je precies dat de fout niet gevonden wordt door de 
gebruiker/ontwikkelaars en wel door crackers.

Op korte termijn kan obscurity misschien even werken en geeft het een veilig 
gevoel, op lange termijn is het een slechte zaak. 

Door obscurity niet te gebruiken ben je ook op lange termijn veiliger. Al is 
het maar doordat derden fouten er uit halen of bewijzen dat de encryptie niet 
stevig genoeg meer is. Je krijgt er dus feedback over de veiligheid als 
extraatje bij.

>
> Bovendien meng je twee zaken door elkaar. Linus heeft deze uitspraak niet
> gedaan over een data-encryptie systeem, wel over een operatingsystem. Een
> operatingsystem wordt bovendien geacht open te zijn on applicaties te
> draaien die eventueel door derden worden ontwikkeld. Dit past volkomen in
> de strategie en de denkwijze van openheid en open standaarden. In dit
> geval treed ik je voor 100% bij, maar om terug te keren naar je bank....
> (al vind ik deze vergelijking niet 100% omdat banken per definitie niet
> de meest communicatieve bedrijven zijn) als obscurity geen beveiligings
> vorm is, snap ik niet waarom men de geldtransporten alle dagen andere
> routes laat volgen en op verschillende tijdstippen laat vertrekken....
> Het blijft evident dat men ondanks die obsurity toch met gepanserde
> geldtransport wagens rijdt (die ook niet echt standaard in de handel te
> koop zijn) en met Gepanserde politiewagens deze nog eens extra beschermd.
> Moet jij me nu maar eens verklaren wat hier standaard bij is in
> vergelijking met het transport van ABX of De Post ?

Een postwagen valt altijd te overvallen, hoe stevig hij ook is. Een goeie 
encryptie valt niet te kraken tenzij door brute force. Dat vereist een enorm 
computerpark. De vergelijking gaat dus niet (helemaal) op.

> Uiteraard moet je een obscure server even goed dicht timmeren als je dat
> met een openstandaard oplossing doet. Ik wil wel eens met jou de volgende
> denkpiste bekijken: Neem twee even sterk dichtgetimmerde boxen, de ene
> gebaseerd op een open standaard systeem, de ander om een specifiek
> daarvoor ontwikkelde toepassing. Van de open standaard zet ik er 1000 van
> op het internet, van de obscure zetten we er maar 1. We schrijven
> bovendien een wedstrijd uit dat diegene die het meest aantal toestellen
> hacken kan, een porche wint..... Welke zal men in jouw ogen het meest
> attackeren ? Die ene oscure en twee openstandaarden of zal men meteen met
> de openstandaarden beginnen ?

De obscure, de uitdaging voor iemand met slechte bedoelingen is groter als hij 
niet de gegevens zelf viseert. Als hij jou gegevens viseert ben je nog 
slechter af. Dan is die honeypot helemaal out of the question.

> Ik garandeer je dat die ene met moeite zal bekeken worden..... Het zelfde
> geldt voor 1001 mailtjes waarvan er 1000 volgens eenzelfde procedure
> versleuteld zijn of die ene die met een private versleuteling
> versleuteld is.....

Niet voor iemand die het echt slecht meent, maar je stelling gaat misschien 
wel op voor scriptkiddies, die achter lopen op de echte crackers. Het is voor 
die laatste dat je vooral moet oppassen. Die gaan heus niet luidop 
verkondigen dat ze je beveiliging doorbroken hebben. Die gaan  je onwetend 
laten om langer aan je gegevens te kunnen geraken.

<knip>

> > Encrypteren kan je *perfect* met open standaarden. Goeie voorbeelden zijn
> > SSL (voor connection-based communicatie) en PGP (voor connection-less
> > communicatie).
>
> Ten dele akkoord. Als je de content tegen over je buur of de wijkagent wil
> beschermen, volg ik je volkomen, maar geloof je nu echt dat PGP (de naam
> zegt het zelf "pretty good privacy") voor dat soort van netwerken
> onkraakbaar is ? Ik niet.... Als men het budget heeft om 400.000 mensen in
> dienst te hebben wereldwijd om alleen maar gesprekken af te luisteren, dan
> heeft men ook de budgetten om PGP te kraken. Als er volop het gebruik van
> PGP wordt gepromoot zeker.... Politionele diensten gaan er zowiezo van
> uit dat wat versleuteld is risico houdende data is....

Als de encryptie foutloos is en voldoende stevig is dit geen punt. Deze twee 
voorwaarden worden best gegarandeerd door Open Standaarden, niet door 
obscurity.

> Wij Belgen zijn eigenlijk verwend. Onze staatsveiligheid is de laatste
> jaren zo slecht behandeld qua financiele middelen dat Belgie zelfs niks
> afwist van Echelon tot voor enkele jaren.
> In Nederland doet men er al jaren aan mee, net als Noorwegen trouwens. Dit
> is wel een publiek geheim maar soit....
> In London is het trouwens zo dat alle internet netwerken die op Linx
> peeren verplicht door de "tapkamer" heen lopen en dit onder de noemer van
> "lawful interception"...
> Ik zou jullie aanraden, voor hen die het interesseert, eens dieper te gaan
> duiken in te wetgeving die men in Europa en in de verschillende landen
> betreffende "Cyber Crime" en "lawful interception" aan het uitwerken is of
> uitgewerkt heeft. Daar wordt je niet vrolijk van.....
> Het is bovendien niet gezond te stellen dat door encryptie je data veilig
> is, het vertraagt alleen....

huh?

> Ik gebruik al jaren geen versleuteling meer voor mijn e-mail omdat ik
> er het nut niet meer van in zie. Of men mijn mail meteen lezen kan of men
> er misschien 24u over moet doen om het te kraken.... Als ik het
> onversleuteld verstuur zal het in ieder geval minder de aandacht
> trekken....
>
> Denk hier ook maar eens aan het geldtransport. Het enige wat overvallen
> heeft afgeremd is de plofkoffer waarmee het geld waardeloos wordt door het
> met een onuitwisbare verf te bekladden, niet de bepansering (= encryptie)
> En toch is die bepansering MEER dan voldoende op jou en mij op andere
> gedachten te brengen.....
> Maw zolang data bij het kraken van de versleuteling zichzelf niet gaat
> onbruikbaar maken of zelfs wissen, blijft data kwetsbaar voor hen die ze
> perse in handen willen krijgen.

Een open protocol dat je data vernietigd kan misschien ontwikkeld worden. 
Verbetering is altijd mogelijk.

>
> Mijn excuses dat ik het zo zwart stel, maar jammer genoeg is het
> realiteit. Ik denk dat het tijd wordt dat de mensen zich eens beginnen te
> realiseren dat de vooruitgang ook op andere vlakken een achteruitgang zal
> zijn. Wees gerust, ik zou het ook liever anders zien, misschien juist
> daarom dat ik er zo op hamer ;-)

> > > Als iemand/een firma/een organisatie er voor opteert om een bepaalde
> > > communicatie niet via openstandaarden te versturen, is het niet aan ons
> > > om daar een oordeel over te vellen zolang deze communicatie geen
> > > publiekelijk doel heeft of er vooraf in onderling overleg deze gesloten
> > > standaard is afgesproken. Gesloten standaarden zouden niet aan het
> > > "publiek" mogen opgedrongen worden, dat is zo klaar als flessenwater.
> >
> > Daar kan ik me dan wél enigzins achter plaatsen; en deze stelling is ook
> > in het verleden reeds (met succes) op deze mailinglijst verdedigd, dacht
> > ik.
>
> Alleen heb ik hier een andere invalshoek gebruikt, dacht ik.
>
<knip>
-- 
Met vriendelijke groet,

Wim Stubbe


***************************************************************************
*  VZW ter promotie van het gebruik van Open Standaarden
*  http://www.openstandaarden.be


***************************************************************************
*  Linux User Group West-Vlaanderen
*  http://www.lugwv.be