Met mijn scherpe neus weet ik op basis van geur haarfijn verschillende gevriesdroogde snacks de lekkere (zalm, witvis, eend) te scheiden van niet lekkere (kip). Ieder brokje selecteer ik met chirurgische precisie. Zelfs als Brenno probeert me te neppen, blijft hij kansloos. Ik laat alles wat mij niet bevalt simpelweg liggen.
Wat is het een gekke gewaarwording dat dit bij mensen soms wel zo werkt en soms helemaal niet. Voordat jullie een slok wijn nemen, stoppen jullie eerst de neus in het glas, maar qua software installeren jullie ongezien soms alles. Windows en Mac OS X hebben een systeem om via een digitale handtekening de authenticiteit te controleren. Deze programmatuur is afkomstig van een vertrouwde bron.
Het belang van vertrouwde bronnen werd onlangs duidelijk toen de Iraanse overheid de Amerikaanse boycot gebruikte om bekende apps te voorzien met spionagemalware. Zonder de zekerheden van de Play Store werden apps langs andere routes verspreid. Bijvoorbeeld doordat mensen ze onderling deelden. Makkelijk voor de spreiding, want er is geen check op authenticiteit. De actie werd ontdekt door CheckPoint in het onderzoek ‘Operation Domestic Kitten’. Wat een stomme naam voor een goed rapport.
Onlangs maakte Apple een fout. Installatiesoftware controleerde weliswaar of de software was getekend, alleen hoefde dat niet het juiste certificaat van Apple te zijn. Zo kon er toch onvertrouwde programmatuur op de computer komen. Slachtoffers vertrouwen op de zekerheden van de installatiesoftware, die er in dit geval eigenlijk niet waren. De enige check die wordt gedaan is of er met een sleutel is getekend. Het is alsof je ruikt dat iets een kipsnack is en het dan toch eet. Voordat je het weet heb je die nare kippensmaak in je mond en heb je spijt.
Stel dat mijn scherpe neus een vergissing maakt – wat helemaal niet kan, maar stel – dan kan ik die kippensnack nog wel uitspugen. Op een computer gaat dat minder makkelijk. Als antivirus afwijkend gedrag niet stopt en uitzet, heb je dus mogelijk onvertrouwde software. En stel nu dat toch die vieze snack doorslik – wat volstrekt ondenkbaar is, maar stel – dan verwerkt mijn spijsvertering dat wel. Maar bij software blijft de onzekerheid aanwezig, het speelt over een langere periode. Afhankelijk van je dreigingsprofiel zou je eigenlijk alle software opnieuw moeten installeren. Maar of jullie mensen dat gaan doen betwijfel ik.
Bij softwaretesten gaat de aandacht vaak uit naar de vraag of ‘het werkt’. Als er naar beveiliging wordt gekeken dan staat te vaak centraal of er een bekend lek in zit. Te weinig staat de lastigere vraag centraal wat de programmatuur doet of waarborgt. In het geval van getekende software is dat het waarborgen van de integriteit van de supply chain. Het testen zou zich er ook op moeten richten of de software levert wat de diepere gedachte was. Een fout als die van Apple zou dan moeten opvallen, omdat dit al vaker is misgegaan. Mijn tip is dat jullie wat vaker van katten leren en goed ruiken voordat je iets in je computer of mobiel stopt.
Keiko is de driejarige ocicat van Brenno de Winter. Ze kijkt al jaren mee over zijn schouder en bepaalt het gezicht van openkat.nl. Maandelijks schrijft ze hier over informatiebeveiliging en privacybescherming.
Lees ook:
- Keiko’s Kijk: Beveiligingscultuur
- Keiko’s Kijk: Log4J