Leidmotieven

Angst is geen goede raadgever, feiten wel, alternatieve feiten niet.

Vertrouwen is goed, controle is beter, mits je de controleur vertrouwd.

Wie kan je nog vertrouwen?

Gelijktijdig ontploffende apparaten … dat voedt de twijfels over apparaten die "elders" gemaakt worden. Sommige overheden willen niet langer apparaten gebruiken van verdachte bronnen. Dat werd en wordt vaak beschouwd als paranoia, omdat er geen bewijzen lijken te zijn dat er effectief iets aan de hand zou zijn met die apparaten.

De verwachtte problemen in geval van gemanipuleerde apparaten situeren zich eerder rond de internetverbinding. Een (draadloze) internetverbinding leent zich voor controle op afstand. Het assortiment van apparaten dat deze functie heeft stijgt gestaag. Het is héél moeilijk om zekerheid te krijgen dat er geen "slapende functie" aanwezig is (te vergelijken met een "slapende terroristen cel"). Twijfels, twijfels…

De recente gebeurtenissen verduidelijken de situatie in die zin dat de haalbaarheid van zo'n slapende functies opnieuw bewezen is. Ze tonen ook aan dat we niet alleen naar een bepaalde richting moeten kijken, maar durven de vraag ruimer te stellen: hoeveel vertrouwen kunnen we hebben in onze toestellen, privé én professioneel? Hoe zit het met een antivirus met Russische signatuur, of een firewall met Israëlische wortels, omvormers uit China, of cloud oplossingen uit de VS? Daarmee heb ik zowat alles buiten Europa genoemd, je wantrouwen moet ergens stoppen, niet? Dit zijn geen comfortabele vragen om te stellen, en kunnen gemakshalve als paranoia bestempeld worden, of als middel om twijfel te zaaien met andere motieven.

Het gaat om het vertrouwen in de toeleveringsketen!

Zonder veel kennis over de concrete methode voor deze recente gebeurtenis, is er sowieso een belangrijke les te leren: let op de toeleveringsketen! Je moet hierbij niet onmiddellijk denken aan toegevoegde springstof, dat is en blijft vermoedelijk (en hopelijk) extreem uitzonderlijk.

De betrouwbaarheid van de producent is meestal wel een belangrijk punt van aandacht bij de aankoop, waarbij vooral financiële aspecten gecontroleerd worden. Het verkooppunt ga je ook controleren, zeker op internet, al is het maar om een bonafide handelaar te gebruiken en fraude tegen te gaan. Voor de meeste producten is dit ook voldoende.

Dat ligt toch anders voor bijvoorbeeld security gevoelige infrastructuur. Nemen we als voorbeeld computers (laptops, desktops, tablets). Ongeveer iedereen bestelt computers die mits wat parameters in te geven klaar voor gebruik is. De veiligheidstoestand ervan wordt vaak blindelings vertrouwd. Er zijn nochtans genoeg mogelijkheden om een goed verborgen Trojaans paard toe te voegen. Zou ik de enige zijn die ooit ontdekte dat er (gewiste) foto's op de harde schijf van een (nieuw?) apparaat bleken te staan?

De andere stappen in de toeleveringsketen zijn echter even belangrijk. De te leveren systemen bevinden zich geruime tijd in transitie mét relatief gemakkelijk fysische toegang. Net zoals drugs zich vaak laten vervoeren in onschuldige producten kan de toegang tot open, niet geconfigureerde systemen misbruikt worden voor subtiele wijzigingen.

Zeker in de laatste schakels van de ketting is de bestemmeling van de apparatuur gekend. Dat impliceert dat een gerichte aanpassing van de systemen op dat moment misschien de gemakkelijkste ingang is tot systemen en organisaties. Het is waarschijnlijk dat de aangekochte systemen verbonden worden met een bedrijfsnetwerk voor configuratiedoeleinden wat een aanval van binnenuit zou kunnen betekenen.

Grotere organisaties vermijden de meeste problemen die de onzekere toestand kan meebrengen door een andere werkwijze. In plaats van alle nieuwe apparatuur te configureren, wordt er een copy van een geconfigureerde en geteste versie van de basis standaard software voor het apparaat op het nieuwe apparaat gekopieerd. Dat is sneller en veiliger. Slechts enkele parameters moeten daarna nog aangepast worden.

Deze techniek kan niet altijd even gemakkelijk gebruikt worden. Denk bijvoorbeeld aan appliances, firewalls, switches, routers, …

Media en randapparatuur 

Andere randapparatuur kan evenzeer verrassingen bevatten. Elk USB apparaat dat aangesloten wordt heeft het potentieel om kwaadaardig gedrag te vertonen, zoals in het verleden al meerdere malen bewezen werd. Het beperken van USB apparaten is een geregeld voorkomende maatregel waarbij de beperkingen heel strikt of eerder ruim kunnen zijn. Bekend is ook de aanval waar een kwaadaardig USB apparaat (meestal geheugenstick) "verloren" wordt in de buurt van het doel van de aanvaller. Het zou duidelijk moeten zijn dat een gelijkaardig scenario met USB apparaten via de toeleveringsketen mogelijk is.

Dit is opnieuw geen fabeltje. In 2005 was er een probleem met hoe een anders betrouwbare producent van CDs de bescherming van auteursrechten voor CDs realiseerde. Zonder vermelding en zonder toestemming werd er software geïnstalleerd op de computers van gebruikers die dan ook nog technieken gebruikte van malware om zichzelf moeilijk zichtbaar te maken.

Wat met vertrouwen in de software?

Voor software hebben we meer en meer – en liefst altijd- de elektronische handtekening om de integriteit te controleren zodat we kwaadaardige tussenstations kunnen uitsluiten.

Toch was er recent ook nog ander nieuws dat enige commotie veroorzaakte. Het ging in dit geval om open source software. Een aantal ontwikkelaars die reeds geruime tijd meewerkten aan bepaalde software kregen te horen dat ze niet langer meer konden meewerken, omwille van de geopolitieke situatie. Het toont wel aan dat er mogelijk een erg groot vertrouwen is in de publieke, openlijke aard van deze software en daarom (kort door de bocht…) de veiligheid ervan.

Het is geen slecht idee om voor software ook een inventaris van alle derde partij componenten te vereisen, ook voor commerciële software, want die steunen geregeld ook op bepaalde bibliotheken die open source zijn. Het helpt ook om het opvolgen van kwetsbaarheden beter te doen, wanneer je weet welke softwarecomponenten er aanwezig zijn. Een voorbeeld hiervan was de kwetsbaarheid van de log4j bibliotheek (zie CVE-2021-44228) die door veel software gebruikt werd, meestal zonder dat men ervan op de hoogte was. Zaak was daarom eerst te identificeren welke software log4j gebruikte, wat voor grotere organisaties geen sinecure was en tijd nam, geen leuke situatie voor een belangrijke kwetsbaarheid.

Besluit

Organisaties schaffen zich software en hardware aan en stellen die binnen de organisatie aan het werk. Het vertrouwen in de producent is een goede basis om dit veilig te kunnen doen. Toch verdient de toeleveringsketen ook enige aandacht, zowel voor de hardware als de software. Voor andere zaken ligt dit moeilijker. We weten nu met nog meer overtuiging dat het geen hypothetische mogelijkheid is om de toeleveringsketen te misbruiken, en dat het zeer moeilijk is om de dader met zekerheid aan te duiden.