Wettige zelfverdediging

Internet en Intranet onveilig ? Klopt. Wie zeker wil zijn, moet dus investeren in beveiliging. Daarvoor bestaan inmiddels degelijke oplossingen, en soms krijg je er zelfs een verzekering tegen eventuele schade bovenop.

Op 19 oktober jongstleden kende STARLab, een team van de Vrije Universiteit Brussel, wereldwijd zijn eigen five minutes of fame. Het team kwam immers als winnaar uit de bus van een wat ongewone wedstrijd : het “kraken” van de sleutel van een programma dat bestanden moet coderen met het oog op een beveiligd gebruik van Internet. “We deden alleen maar mee voor de lol”, aldus coördinator Jo Hermans van het winnende team.

De overigens volkomen wettelijke wedstrijd was op het getouw gezet door RSA, een Amerikaans bedrijf dat zich toelegt op versleutelingstechnieken.

Bedoeling was aan te tonen dat de door de Amerikaanse regering opgelegde beperking op de export van beveiligingsprogramma’s niet volstond. “Wij wilden alleen maar bewijzen dat de 56-bits beperking (lengte van de sleutel – nvdr.) ontoereikend is, dat er groen licht moet komen voor de 128-bits norm die van kracht is op het Amerikaanse grondgebied.” Het hele gebeuren is tekenend voor de beveiligingsoorlog die is losgebroken op Internet, een medium dat een heuse boom kent als communicatiemiddel maar vanwege de vele risico’s vooralsnog niet doorbreekt in het bedrijfsleven.

Is die terughoudendheid

van de zakenwereld terecht ? Het lijdt alvast geen twijfel dat de risico’s toenemen met het Internet-gebruik. “Het gaat om een openbaar netwerk, zodat het aantal gebruikers dat voor problemen kan zorgen, toeneemt”, aldus Luc Golvers, Voorzitter van de Belgische Club voor Informaticaveiligheid (BELCLIV) (1) en gerechtsdeskundige. “Er bestaat immers ook zoiets als een Belgische hackers-gemeenschap.” Hacker is jargon voor een specialist, doorgaans een programmeur, die zijn grondige kennis van de computersystemen gebruikt om er van op afstand in binnen te breken (zie ook blz. 26). “Op de Kléline-site (verdeler van een elektronische portemonnee, nvdr) noteren wij tientallen inbraakpogingen per dag”, zegt Jean-Michel Billaut, verantwoordelijke voor het technologisch toezicht bij de Compagnie Bancaire (Frankrijk). Ook het Belgische CERA stelt geregeld pogingen tot inbraak vast.

Hackers hebben trouwens niet alleen ongezonde belangstelling voor Internet, maar voor alles wat toegankelijk is via openbare netwerken. “Ze hebben het bijvoorbeeld ook gemunt op de gratis 0800-nummers die bedrijven hun verkopers ter beschikking stellen voor het doorsturen van informatie over de bestellingen die zij overdag hebben genoteerd”, zegt Luc Golvers. “Ze proberen erachter te komen of achter dat telefoonnummer een computersysteem schuilgaat dat ze kunnen kraken.”

De drie risico’s… en het verweer

Computersystemen lopen op drie vlakken grote risico’s :

Beschikbaarheid. Blokkeren van een web-server door een spervuur van aanvallen. Als ze er niet in slagen een systeem binnen te dringen, willen sommige hackers nog wel eens proberen het van op afstand “plat” te krijgen of lam te leggen. Ook elektronische tafelschuimers, die gebruik maken van een service zonder ervoor te betalen, zijn nadelig voor de beschikbaarheid van een systeem.

Integriteit. Het bewust wijzigen van informatie of gegevens. Het meest geruchtmakende voorbeeld op Internet is dat van de CIA-server, door Zweedse hackers omgedoopt tot “server van het Central Stupidity Agency”. Een andere aanslag op de integriteit, waaronder ook de eindgebruiker te lijden heeft, is de verspreiding van virussen.

Vertrouwelijkheid. Het kopiëren van informatie die ondergebracht is op een computer of het aftappen ervan tijdens de communicatie. Typisch voor deze vorm van hacken is het “afluisteren” van een wachtwoord, de inhoud van elektronische post of het nummer van een creditcard, ofwel tijdens de communicatie (met behulp van een sniffer), ofwel door inbraak in de computer.

Voor elk van deze risico’s

bestaan er afweermiddelen. Ze gaan van het versleutelen van de doorgestuurde informatie over de elektronische handtekening (die de authenticiteit van documenten of transacties bekrachtigt) tot de zogenaamde firewall, die moet voorkomen dat ongewenst bezoek toegang krijgt tot lokale netwerken die in contact staan met Internet.

Vooral banken zijn gretige afnemers van dit soort beveiligingen. Als grote investeerders in de veiligheid zijn zij ook de belangrijkste doelgroep van de netwerkpiraten. In België zijn het nochtans precies de banken die uitpakken met de eerste grootschalige diensten voor elektronische handel, in de vorm van rekeningbeheer op Internet. Na CERA, Beroepskrediet-Flexibank, Anhyp en Fortis maken nu ook de Generale Bank, de BBL en het Gemeentekrediet zich op voor de grote stap.

Alvorens we nader ingaan op de verschillende oplossingen, willen we nog wijzen op de noodzaak van een strategie, een beveiligingsprocedure. Vaak immers zit de piraat binnenin. “Ongeveer 58 % van de verliezen als gevolg van computerfraude zijn te wijten aan kwaad opzet”, citeert Luc Golvers een BELCLIV-studie uit 1996.

Een eerste oplossing,

zowel geschikt om het intern gevaar te bezweren als om de externe dreiging af te weren, is de digitale certificatie. Daarbij wordt een virtuele identiteitskaart aangemaakt die de identiteit van een gebruiker of een site kan bekrachtigen. Het certificaat dient een drieledig doel : identificeren, een boodschap versleutelen en een digitale handtekening aanmaken. De banken bijvoorbeeld doen een beroep op dit systeem, al ontwikkelen ze elk een eigen variant voor de elektronische bank op het Web. Zo komt stilaan een certificatiesysteem tot stand dat geschikt is voor alle mogelijke toepassingen.

Met de oprichting van de firma BelSign loopt België voorop wat publieke certificatie betreft. BelSign is een creatie van de Kamers van Handel en Nijverheid en NetVision (Leuven), die al snel het gezelschap kregen van overheidsinstanties zoals de GIMV, de SRIW (via Technicom), Bruficom ( GIMB en een aantal privé-partners). Deze nieuwkomer verkoopt digitale certificaten, houdt een register bij en zeker niet onbelangrijk staat ook borg voor de certificaten. Een certificaat van klasse 3 (prijskaartje : 2000 frank per jaar) geeft recht op een dekking van anderhalf miljoen frank (zodra het in december beschikbaar komt). Een certificaat van klasse 2 (750 frank) krijgt ook een garantie mee (zie kaderstuk : Uw identiteitskaart, a.u.b.).

BelSign vond een verzekeraar in de Verenigde Staten. “In Europa wou geen enkele van de maatschappijen die we hebben aangezocht eraan beginnen”, zegt Anthony Belpaire, general manager bij BelSign.

België heeft zijn “stapje vóór”

inzake certificatie nog aan een andere factor te danken : de wetgeving. Het gebruik van versleutelingstechnieken, de facto toegelaten in België, wordt straks bekrachtigd door een wet op de telecommunicatie, die tegen eind dit jaar goedgekeurd moet zijn. Van een legislatieve impasse zoals in de VS of in Frankrijk is dus bij ons geen sprake. Anderzijds heeft de regering zich ertoe verbonden begin volgend jaar een wet goed te keuren die de elektronische handtekening bewijskracht verleent in de relaties tussen de Staat en de burger of de onderneming.

Zo’n handtekening heeft trouwens nu reeds kracht van bewijs indien die bepaling is voorzien in de overeenkomst tussen de partijen. Bancontact, Mister Cash en Isabel, de elektronische bank voor de bedrijfswereld, werken op basis van dit principe. De legalisering zal tot gevolg hebben dat ook BTW-aangiften kunnen worden ingediend via Internet, iets waarmee nu reeds wordt geëxperimenteerd in het kader van een project dat de naam Agora meekreeg. De nieuwe wet maakt de elektronische handtekening ook rechtsgeldig tussen individuen of bedrijven die geen voorafgaande overeenkomsten hebben lopen, wat bij een deel van de elektronische handel frequent het geval is.

BelSign heeft overigens

als certificerende autoriteit het rijk niet voor zich alleen. De firma moet een licentie of een vorm van erkenning zien te verkrijgen volgens de modaliteiten van de wet. Ook andere instellingen of bedrijven zouden dus zo’n rol op zich kunnen nemen. Belgacom, ook al betrokken bij het Agora-project, is naar verluidt een van de gegadigden. Isabel, dat de overstap van zowat vijftigduizend bedrijven naar een elektronische Intranet-bank in goede banen moet leiden, verdeelt digitale certificaten in de vorm van chipkaarten die worden gebruikt voor het ondertekenen van de overschrijvingen en andere bankverrichtingen.

Die certificaten zouden zonder enig probleem ook buiten het eigenlijke Isanet inzetbaar zijn en op die manier het leven van de klanten een stuk aangenamer kunnen maken, aangezien dezelfde chipkaart voor verschillende toepassingen bruikbaar zou zijn. Ook Isabel zou dus om een officiële erkenning kunnen vragen. En dan is er nog Banksys, dat met zijn elektronische portemonnee Proton beschikt over een instrument waarmee het grote publiek een handtekening kan aanmaken. Vooralsnog is niets beslist, maar het bedrijf introduceert de kaart nu ook op Internet via een kaartlezer die aan de pc wordt gehangen (C-Zam/PC).

Het lijkt misschien allemaal wat ingewikkeld, maar de meest recente software laat het gebruik van de certificaten automatisch verlopen. Met name de Explorer 4.0 van Microsoft en de jongste Navigator van Netscape hanteren een procédé waarbij de versleuteling van e-mail via S-Mime, op basis van een certificaat à la BelSign, volkomen transparant wordt voor de gebruiker. De lezer kan dan niet alleen zeker zijn van de identiteit van de auteur van een bericht, hij weet ook dat de integriteit van de inhoud gewaarborgd is.

Ook een bedrijf als Honda

werkt sedert kort met een dergelijke beveiliging in het kader van de onderdelendistributie. De dealers sturen hun bestelling door via Internet en bekrachtigen hun order met een digitaal certificaat. Al bij al een schoolvoorbeeld van hoe je het gemak van een openbaar netwerk kan combineren met een beveiligde communicatie.

Het procédé staat evenwel nog in de kinderschoenen. BelSign is amper opgestart, en allerlei punten moeten nog worden opgeklaard. Zo zal de certificatie pas de verwachtingen kunnen inlossen indien de bevoegde autoriteiten instemmen met interoperabiliteit. De gebruiker moet de authenticiteit van zijn communicatie kunnen blijven garanderen, zonder onnodige complicaties en op transparante wijze. De registratie van individuen en bedrijven moet gebeuren volgens feilloze modaliteiten. “Het volstaat niet een fotokopie van een identiteitskaart te sturen”, aldus Luc Golvers van de BELCLIV. De ideale oplossing om de sleutel van een certificaat te bewaren is de chipkaart, die men gewoon door een kaartlezer op de PC haalt. Momenteel stelt BelSign voor de sleutel op te slaan op de harde schijf, beschermd door een wachtwoord, maar het gebruik van de kaart zou moeten worden gestimuleerd.

Waartoe dient een firewall ?

Identificatie en versleuteling lossen evenwel niet alles op. Ze leggen de grondslag voor handel en uitwisseling maar zijn geen wapen tegen indringers, een bedreiging die uiteenlopende vormen aanneemt. De belangrijkste indringer waarmee de eindgebruiker te kampen krijgt, is het virus. Hier dringt zich dan ook een virusscanner op, en liefst nog de recentste versie. Zo’n scanner moet geregeld een update krijgen en de hele tijd op de achtergrond draaien.

Een bedrijf zal zich bij voorkeur beveiligen door middel van een firewall (letterlijk : brandmuur). Zo’n firewall is de geknipte beveiliging voor organisaties die hun lokaal netwerk in verbinding willen stellen met Internet. Vele bedrijven zien ertegenop om het personeel toegang te geven tot Internet vanaf de desktop, maar de communicatie met de handelspartners maakt dat zowat onvermijdelijk. In dat geval kan een firewall worden opgetrokken om het local area network (LAN) te beschermen. Een firewall is een combinatie van software en hardware die de toegang tot het netwerk regelt. Eerst moet men een strategie uitstippelen : de interne gebruikers moeten immers e-mail kunnen versturen en ontvangen, maar anderzijds mag het niet zover komen dat een computer van het LAN in de greep raakt van een computer op afstand (telnet-toepassing op Internet). Er zijn verschillende manieren om dit verkeer te regelen : soms gebeurt dat softwarematig, soms via een combinatie van soft- en hardware.

Een firewall is specialistenwerk.

“Het is niet zomaar een systeem dat je ergens in een hoekje dumpt en waarnaar je vervolgens geen omkijken meer hebt”, waarschuwt Yves Moulart, verantwoordelijke beveiliging bij Banksys. “Dit systeem vereist wel degelijk een hele administratie.” Een specialist van de informaticadienst moet dus zorgen voor de opvolging van deze vorm van beveiliging. Hij verzamelt daartoe informatie bij de leveranciers en bij organisaties zoals het Computer Emergency Response Team (CERT, zie de korte site-bespreking onderaan blz. 32), een centraal meldpunt voor berichten over “incidenten” en inbraken via Internet. Het jaarverslag voor 1996 geeft melding van 2573 veiligheidsincidenten, waaronder 345 pogingen tot inbraak. Bedrijven kunnen zich abonneren op het CERT, zodat ze via e-mail aan de allernieuwste gegevens kunnen komen of de hotline kunnen bellen voor advies. Veiligheid op Internet is dus een dynamisch gebeuren, net als de bescherming tegen de computerfraude in het algemeen.

Dagelijkse analyse

en daarbij aansluitende beslissingen zijn noodzakelijk wanneer met een firewall wordt gewerkt. Als er op grote schaal wordt geprobeerd binnen te dringen, kan men het systeem beter volledig isoleren en de verbinding tussen het LAN en Internet verbreken. Maar vaak is er helemaal geen toezicht. Bij een Belgische uitgever van telecommunicatiesoftware werden dagelijks tot 30 % van de pogingen om toegang te krijgen tot het lokaal netwerk afgewezen ; hier was dus duidelijk een indringer aan het werk. De firma was zich echter van geen kwaad bewust en voelde pas nattigheid toen een concurrent melding maakte van pogingen tot elektronische spionage !

Dit is overigens geen alleenstaand incident. Bedrijven die het zaakje niet helemaal vertrouwen, kunnen ook een beroep doen op onderaannemers. Tal van firma’s, zoals bijvoorbeeld het Leuvense NetVision, hebben zich inmiddels immers gespecialiseerd in de Internet-beveiliging. NetVision krijgt geregeld vragen om bijstand vanwege de banken. Het installeert en parametreert de firewall en voert meteen ook de nodige tests uit, want een optimale beveiliging moet de vuurproef van opzettelijke aanvallen doorstaan. Het onderaannemingscontract omvat voorts ook de opvolging van het beveiligingssysteem, het nemen van beslissingen bij incidenten en het geregeld bijsturen van het hele concept.

Controle van firewalls

voor derden : op dat specifieke marktsegment gooit Telindus, aandeelhouder van NetVision, zich vanaf januari aanstaande. Voor een aantal bedrijven verzorgt Telindus nu reeds de netwerkopvolging, en ook de beveiliging van Isabel behoort tot zijn opdrachten. Maar er zijn kapers op de kust.

Thilly Van Eessel bijvoorbeeld, een grote naam in de Belgische verzekeringsmakelaarswereld en lid van de groep Sedgwick, wil zijn klanten toegang geven tot hun dossiers via Internet. Die taak werd in handen gegeven van de firma Syntax, “die zich ook bezighoudt met het probleem van de beveiliging”, aldus informaticadirecteur Claude Van Overtvelt. In het contract zouden eventueel ook boetebepalingen in geval van schadelijke inbraken kunnen worden opgenomen.

Ideaal zou zijn dat men zich tegen het Internet-risico kan verzekeren. Ook op dat vlak beweegt er nogal wat tegenwoordig, getuige de situatie bij BelSign, waar het identificatieprocédé in fine gedekt wordt door een verzekering. Maar de deuren van bedrijven die zich bijvoorbeeld willen indekken tegen de gevaren van hun elektronisch handelsverkeer worden vooralsnog niet bepaald plat gelopen door kandidaat-verzekeraars. De banken, de pioniers op Internet, kunnen veelal terugvallen op een zogenaamde “Globale Bankpolis”, die ook computerfraude dekt. Het is alvast een begin.

Robert van Apeldoorn

(1) BELCLIV, Stuiversstraat 8, 1000 Brussel, tel.(02)515.08.57. E-mail adb@vbo-feb.be; opgericht op initiatief van het VBO.

LUC GOLVERS (BELCLIV – ULB) Computermisdrijven doen zich vooral voor binnen het bedrijf zelf.

ANTHONY BELPAIRE (BELSIGN) Een certificaat van klasse 3 is gedekt voor 1,5 miljoen frank.