[openstandaarden] VLACO vs openstandaarden.be
Frans Gerbosch Consulting
fragerco at fragerco.com
Sat Aug 10 03:09:03 CEST 2002
On Fri, 9 Aug 2002, Wouter Verhelst wrote:
> On Fri, 9 Aug 2002, Frans Gerbosch Consulting wrote:
> > Als iemand al van Echelon heeft gehoord (er was laatst een programma op
> > Canvas hierover die een tipje van de sluier oplichtte) dan besef je pas
> > dat security door obscurity in vele opzichten de enige weg zal zijn om
> > bepaalde bedrijfsinfo te gaan beveiligen.
>=20
> Sorry, maar hier moet ik me met klem tegen verzetten.
>=20
> 'security through obscurity' betekent dat je het systeem waarmee je werkt
> geheimhoudt, inclusief de eventuele lekken die erin zouden kunnen
> zitten. Da's even belachelijk als stellen 'De bank is beveiligd, want
> niemand weet van de geheime deur in de kluis waardoor je aan al het geld
> in diezelfde kluis kunt'.
>=20
> Een goed beveiligingssysteem is open, zodat iedereen die daar belang bij
> heeft (in dit voorbeeld kunnen dat de klanten van de bank, de
> geldkoeriers, en de bankbedienden zelf zijn) het systeem kan controleren
> op eventuele fouten. Of, om het met Linus' law te zeggen: 'Given a millio=
n
> eyes, all bugs will be solved'.=20
Hmmm, dit wordt een discussie zonder einde vrees ik, maar ik wil toch een
poging wagen je een andere invalshoek te tonen. Temeer dat het juist zo is=
=20
dat (bijna) alles te kraken is, het hangt alleen af van de effort en de=20
middelen die je er in kunt steken. Hoe meer een bepaalde incriptie
gebruikt wordt en hoe meer ze aan belang wint, hoe meer bepaalde=20
organisaties er hun best voor zullen doen om de sleutel tot het kraken te
vinden. Als het niet goedschiks lukt, lukt het misschien wel=20
kwaadschiks....
Bovendien meng je twee zaken door elkaar. Linus heeft deze uitspraak niet
gedaan over een data-encryptie systeem, wel over een operatingsystem. Een
operatingsystem wordt bovendien geacht open te zijn on applicaties te
draaien die eventueel door derden worden ontwikkeld. Dit past volkomen in
de strategie en de denkwijze van openheid en open standaarden. In dit
geval treed ik je voor 100% bij, maar om terug te keren naar je bank....
(al vind ik deze vergelijking niet 100% omdat banken per definitie niet
de meest communicatieve bedrijven zijn) als obscurity geen beveiligings
vorm is, snap ik niet waarom men de geldtransporten alle dagen andere
routes laat volgen en op verschillende tijdstippen laat vertrekken....
Het blijft evident dat men ondanks die obsurity toch met gepanserde
geldtransport wagens rijdt (die ook niet echt standaard in de handel te
koop zijn) en met Gepanserde politiewagens deze nog eens extra beschermd.=
=20
Moet jij me nu maar eens verklaren wat hier standaard bij is in
vergelijking met het transport van ABX of De Post ?
Uiteraard moet je een obscure server even goed dicht timmeren als je dat
met een openstandaard oplossing doet. Ik wil wel eens met jou de volgende
denkpiste bekijken: Neem twee even sterk dichtgetimmerde boxen, de ene
gebaseerd op een open standaard systeem, de ander om een specifiek
daarvoor ontwikkelde toepassing. Van de open standaard zet ik er 1000 van
op het internet, van de obscure zetten we er maar 1. We schrijven
bovendien een wedstrijd uit dat diegene die het meest aantal toestellen
hacken kan, een porche wint..... Welke zal men in jouw ogen het meest
attackeren ? Die ene oscure en twee openstandaarden of zal men meteen met
de openstandaarden beginnen ?
Ik garandeer je dat die ene met moeite zal bekeken worden..... Het zelfde
geldt voor 1001 mailtjes waarvan er 1000 volgens eenzelfde procedure
versleuteld zijn of die ene die met een private versleuteling
versleuteld is.....
Wees gerust onze belastingscenten worden misschien soms slecht besteed
maar weinig ambtenaren gaan hun vingers willen verbranden om miljoenen
euro's uit te geven om de sleutel van 1 mailtje te bemachtigen als ze met
het zelfde geld er 1000 kunnen kraken.=20
=20
> > Maar dit geldt ook voor
> > diplomatieke communicatie bijvoorbeeld (of communicatie van criminele
> > aard).
>=20
> Als je de *content* van je communicatie wilt beveiligen, heb je geen
> security through obscurity nodig, maar encryptie.
>=20
> Encrypteren kan je *perfect* met open standaarden. Goeie voorbeelden zijn
> SSL (voor connection-based communicatie) en PGP (voor connection-less
> communicatie).
Ten dele akkoord. Als je de content tegen over je buur of de wijkagent wil
beschermen, volg ik je volkomen, maar geloof je nu echt dat PGP (de naam
zegt het zelf "pretty good privacy") voor dat soort van netwerken
onkraakbaar is ? Ik niet.... Als men het budget heeft om 400.000 mensen in
dienst te hebben wereldwijd om alleen maar gesprekken af te luisteren, dan
heeft men ook de budgetten om PGP te kraken. Als er volop het gebruik van
PGP wordt gepromoot zeker.... Politionele diensten gaan er zowiezo van
uit dat wat versleuteld is risico houdende data is....=20
Wij Belgen zijn eigenlijk verwend. Onze staatsveiligheid is de laatste
jaren zo slecht behandeld qua financiele middelen dat Belgie zelfs niks
afwist van Echelon tot voor enkele jaren.=20
In Nederland doet men er al jaren aan mee, net als Noorwegen trouwens. Dit
is wel een publiek geheim maar soit....=20
In London is het trouwens zo dat alle internet netwerken die op Linx
peeren verplicht door de "tapkamer" heen lopen en dit onder de noemer van
"lawful interception"...
Ik zou jullie aanraden, voor hen die het interesseert, eens dieper te gaan
duiken in te wetgeving die men in Europa en in de verschillende landen
betreffende "Cyber Crime" en "lawful interception" aan het uitwerken is of
uitgewerkt heeft. Daar wordt je niet vrolijk van.....
Het is bovendien niet gezond te stellen dat door encryptie je data veilig
is, het vertraagt alleen....
Ik gebruik al jaren geen versleuteling meer voor mijn e-mail omdat ik
er het nut niet meer van in zie. Of men mijn mail meteen lezen kan of men
er misschien 24u over moet doen om het te kraken.... Als ik het
onversleuteld verstuur zal het in ieder geval minder de aandacht
trekken....
Denk hier ook maar eens aan het geldtransport. Het enige wat overvallen
heeft afgeremd is de plofkoffer waarmee het geld waardeloos wordt door het
met een onuitwisbare verf te bekladden, niet de bepansering (=3D encryptie)
En toch is die bepansering MEER dan voldoende op jou en mij op andere
gedachten te brengen.....
Maw zolang data bij het kraken van de versleuteling zichzelf niet gaat
onbruikbaar maken of zelfs wissen, blijft data kwetsbaar voor hen die ze
perse in handen willen krijgen.
Mijn excuses dat ik het zo zwart stel, maar jammer genoeg is het
realiteit. Ik denk dat het tijd wordt dat de mensen zich eens beginnen te
realiseren dat de vooruitgang ook op andere vlakken een achteruitgang zal
zijn. Wees gerust, ik zou het ook liever anders zien, misschien juist
daarom dat ik er zo op hamer ;-)
> > Als iemand/een firma/een organisatie er voor opteert om een bepaalde
> > communicatie niet via openstandaarden te versturen, is het niet aan ons=
om
> > daar een oordeel over te vellen zolang deze communicatie geen publiekel=
ijk
> > doel heeft of er vooraf in onderling overleg deze gesloten standaard is
> > afgesproken. Gesloten standaarden zouden niet aan het "publiek" mogen
> > opgedrongen worden, dat is zo klaar als flessenwater.
>=20
> Daar kan ik me dan w=E9l enigzins achter plaatsen; en deze stelling is oo=
k
> in het verleden reeds (met succes) op deze mailinglijst verdedigd, dacht
> ik.
Alleen heb ik hier een andere invalshoek gebruikt, dacht ik.
> > De staat zou hierover aanbevelingen kunnen doen en hierin het voorbeeld
> > geven.... maar willen ze dat wel ? De staat heeft immers zwaar
> > geinvesteerd in heel wat departementen in automatisatie van de
> > administratie. Ik vrees dat een groot deel hiervan helemaal geen gebrui=
kt
> > maakt van standaarden die door meerdere leveranciers worden gebruikt, l=
aat
> > staan open standaarden.... ! Maar het is uiteraard het proberen waard.
>=20
> Ik denk dat dat vrij goed meevalt. Heb in het verleden vragen gezien van
> overheidsdiensten op (o.a.) be.comp.os.linux, die aantoonden dat ze met
> open standaarden en/of vrije software werken.
Er zijn er zeker... maar ik heb ook andere zaken gezien ;-) Ik vrees
alleen dat die enkelingen eerder hun boodschap staan te verkondigen in het
midden van de Saharah.... Maar het lijkt me inderdaad een uitdaging om hen
te helpen.... Tenslotte geven die enkelingen hoop.... en hoop doet leven
;-)
Vriendelijke groeten,
Frans Gerbosch
--=20
<------------------- Frans Gerbosch Consulting --------------------->
Frans Gerbosch Voice +32/(0)486/58.26.20
fragerco at fragerco.com Fax +32/(0)486/81.23.97
Fr. Rooseveltlaan 463 / B-9000 Gent / Belgium
<--------------------- http://www.fragerco.com ----------------------->
More information about the Openstandaarden
mailing list