De nuchtere ideeën van Bruce Schneier
Beveiligingsgoeroe wars van angstzaaierij
12 oktober 2009 | Janneke Scheepers
In de IT-beveiligingswereld lopen veel markante figuren rond. De prominente cryptograaf Bruce Schneier is een van hen. Met zijn soms tegendraadse, nuchtere verklaringen weet de oprichter van netwerkbeveiligingsbedrijf BT Counterpane zijn publiek steevast te verbazen.
Op een congres van Govcert.nl (de Nederlandse CERT) heeft de beveiligingsgoeroe vorige week zijn karakteristieke geluid laten horen. We willen je zijn opvattingen over onder meer dataopslag, softwarelekken en 'tweefactor-authenticatie' niet onthouden.
Klaag softwarebedrijven aan
Volgens Schneier is het wel degelijk mogelijk om kwaliteitssoftware te schrijven die goed werkt en niet constant hoeft te worden gepatcht. "Het probleem is dat het duur is en veel tijd vreet." Doordat de computerindustrie momenteel niet aansprakelijk wordt gesteld voor fouten, kan ze meer producten in een sneller tempo uitbrengen. Eerder heeft Schneier dit een "enorme overheidssubsidiëring van de computerindustrie" genoemd.
De softwarebedrijven moeten worden gedwongen, door ze aan te klagen. Op die manier kun je ook monopolies aanpakken, meent hij. "Er zullen altijd beveiligingsproblemen zijn. Je moet het probleem doorschuiven naar de maker. Dat is het basisprincipe achter software veiliger maken."
Het werkt ook zo in de auto-industrie, vergelijkt hij. "Als daar iets misgaat, dan wordt de fabrikant aangeklaagd. Dat is de enige manier om ervoor te zorgen dat iets vanaf het begin veilig wordt ontworpen." Overigens maakt hij voor openbronsoftwaremakers een uitzondering. "Openbronsoftware is een cadeau, dan geldt geen aansprakelijkheid."
Veel softwarebedrijven maken het klanten wel lastig om ze aan te klagen, geeft Schneier toe. Dat doen ze bijvoorbeeld door in de gebruiksovereenkomst op te nemen dat ze geen aansprakelijkheid accepteren bij software. Maar: "Bij een echt contract moeten beide partijen onderhandelingsmacht hebben. Dus er is een argument dat er geen redelijk contract is."
Tweefactor-authenticatie is geen oplossing
En wij in Nederland maar denken dat we zo veilig internetbankieren. Wij gebruiken immers tweefactor-authenticatie om in te loggen en te betalen, in plaats van een wachtwoord. Schneier maakt korte metten met deze vorm van beveiliging.
» Review Ubuntu 12.04 (Precise Pagolin)
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
» De technologie van het 9/11-monument
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
» Wel borstvoeding, geen tepels op Facebook
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
