Ik vermoed dat de marketingdivisie van Microsoft - net als die van de VVD - momenteel op volle toeren draait nu een ontwerpfout in alle versies van Windows aan het licht is gekomen.

Om een technische verhaal simpel te maken, ARP spoofing is als Mark Verheijen verkiezen en er achter komen dat je bedrogen bent omdat integriteit meer is dan je mooi voordoen. Zeggen wie je bent en dat niet bewijzen middels wederzijdse authenticatie zorgt dus voor problemen in het netwerk.

Voor alle duidelijkheid, als de oorzaak van Jasbug ligt in een zwakheid die al zijn 15-jarige lustrum gevierd heeft, dan is de stilte hierover bij NCSC oorverdovend. Het kan natuurlijk ook dat NCSC vorig jaar direct geïnformeerd is toen Microsoft op de hoogte werd gesteld van gevonden zwakheid en dus zijn eigen vrienden bevoordeeld. In dat geval is er sprake van: ‘All animals are equal, but some animals are more equal than others’  Want het euvel van usance met ‘responsible disclosure’ is dat de koopman zich voordoet als dominee. En dat zorgt voor een ‘unresponsible enclosure’ omdat organisaties net als onze minister vaak alleen maar camera’s bij de grens hebben opgehangen. Ze vertrouwen voor de digitale toegang teveel op de firewall zonder het netwerk te segmenteren en blijven hierbij onbetrouwbare protocollen gebruiken.

Wie nog authenticatie-mode van Windows 2003 gebruikt moet zich dan ook zorgen maken over hetRole-Based-Access-Control-systeem dat gebruikt wordt. Het oplossen van nu bekend geworden zwakheden omvat meer dan het aanbrengen van de twee uitgebrachte patches. De ontwerpfout van Microsoft biedt namelijk ‘man-in-the-middle’ aanvalsmogelijkheden die dieper liggen en niet eenvoudig op te lossen zijn. Microsoft veegt dan ook erg makkelijk zijn straatje schoon door te stellen dat het oplossen van gevonden bug voor Windows 2003 te grote architectuur wijzigingen vraagt. Want veel databases in back-office maken nog gebruik van een authenticatie op basis van een protocol uit de vorige eeuw, zoals NTLM.

Het gaat misschien wat ver om Jasbug een ‘millennium bug’ te noemen maar de gedachte komt wel bij me op omdat het niet alleen een patch is op Active Directory, maar dus ook een aanpassing op de protocollen. Een ‘educated guess’ is dat organisaties een flinke uitdaging hebben om alle spaghetti code die in Group Policy Objecten en scripts zit na te lopen. Veel oplossingen maken voor authenticatie en autorisatie namelijk gebruik van pre-Internet technologie en dus is dit werk dat niet meer uitgesteld kan worden om het ‘interconnected risk’ te mitigeren. De definitie voor de term 'IT Debt' is: De kwantificeerbare meting om onvolledige of uit te voeren it-projecten inzichtelijk te maken.

Vorig jaar nam één op de drie gemeenten geen stappen om Windows XP uit te faseren, terwijl van organisaties werd verwacht dat zij systemen waarop zich persoonsgevoelige informatie bevind up-to-date en beveiligd houden. Hetzelfde geldt voor bescherming van intellectueel eigendom of anderszins waardevolle informatie. Maar hoe compenseren we nu het verhoogde risico dat ontstaat als gevolg van een ‘Old Boys’ netwerk?

Uiteraard kan er gekozen worden om weer door de pijn van patches en testen heen te gaan, maar met DigiNotar leerden we dat patches niet altijd aangebracht worden als hiermee functionaliteit verloren gaat. Nu Microsoft gestopt is met het Trusthworthy Computing initiatief wordt het hoog tijd om de aandacht te verleggen naar vertrouwde communicatie. Unisys Stealth in combinatie met een Triple A Framework lost bijvoorbeeld risico’s als gevolg van beperkingen met patchen op. De oplossing is gebaseerd op het Risk Accepted Access Control-principe met effectieve controles op (remote) network sessies. Dit door een secure parser tussen laag 2 en 3 van OSI model aan te brengen, wat de scheidslijn tussen fysieke link laag en logische verbinding is. De oude applicaties kunnen op deze manier dus ongewijzigd en veilig gebruikt blijven worden, waardoor de beheercapaciteit en responsetijden op gevonden zwakheden in het netwerk verlaagd worden.

In ‘Jip & Janneke’ taal betekent dit dat niet alleen de toegang aan de netwerkpoort verbeterd wordt door wederzijdse authenticatie, waardoor de met Stealth beveiligd endpoints onzichtbaar worden op het netwerk. En doordat ook de communicatie versleuteld wordt, verdwijnen ze dus in de digitale illegaliteit volgens Opstelten met zijn idee van ontsleutelplicht.

Computable

Lees meer...

Overige NieuwsTips

• 11 FEB 17:31
  Microsoft shows off how containerized apps will work in Windows 10X
• 11 FEB 15:00
  Microsoft backtracks on 'Bing-jacking' Chrome with its Microsoft Search extension
• 5 FEB 17:16
  Microsoft to combine its Windows client and hardware teams under Chief Product Officer Panos Panay
  It's reorg day in Microsoft's Experiences and Devices unit.
• 5 FEB 17:07
  LinkedIn's Jeff Weiner to pass the CEO torch to Ryan Roslansky
• 5 FEB 16:08
  Windows 10 users encountering problems with built-in search
  Microsoft's Windows Search service that's built into Windows 10 is encountering issues.
• 4 FEB 20:26
  Microsoft outlines its updated Dynamics 365 Human Resources roadmap