De problemen rondom "wormen" als Code Red (bloody ignorance van beheerders) en "virii" als Sir Cam (bloody ignorance van eindgebruikers) worden steeds groter.
Het verschil tussen beide besmettingen is evident.
In het eerste geval is er sprake van een programma dat moedwillig op zoek gaat naar niet-up-to-date servers, met als duidelijk doel ze te mis- danwel ge-bruiken voor verdere verspreiding en aanvallen op derde partijen. Ondanks het feit dat een dergelijke aanval kan worden voorkomen door het op tijd "patchen" van een OS (alhoewel dit in sommige gevallen nog wel bestreden kan worden, maar dat even terzijde) leert de praktijk ons dat dit een maar al te vaak niet gebeurt omdat het niet de primaire aandacht heeft.
In het tweede geval is er sprake van een programma dat gebruik maakt van menselijke zwakheden (of deugden, het is maar hoe je nieuwsgierigheid omschrijft) om de initiele verspreiding in gang te zetten. Het heeft niets te maken met het up-to-date houden van een virusscanner (die strijd hebben we allang verloren) maar met gezond verstand.
Hoe kunnen we deze problemen voorkomen?
De analogie tussen het normale verkeer en verkeer op het internet wordt vaak gemaakt. Vanuit die optiek wordt ook al wel vaker gepleit voor het instellen van een rijbewijs voordat men het internet op mag. Politiek gezien wil men liever een paspoort vanuit het gevoel dat de openbare weg voor mensen zonder rijbewijs (voetgangers, voor fietsers en scooters zijn rijbewijzen al beschikbaar) ook beschikbaar is.
Een platte vergelijking; door de Europese Comissie wordt de waarde van een een bespaard mensenleven gesteld op 1 Miljoen Euro [1]. Als er een nieuwe verkeersmaatregel wordt opgesteld (dit gebeurt "dwingend", bijvoorbeeld "Gij zult fietsers en brommers van rechts voorrang geven") wordt deze grens gehanteerd. Dit heeft zijn weerslag op de aansprakelijkheidsverzekering die men afsluit. Idem geldt dit voor het internet (zie [2], pagina 29).
De (economische) schade die een voetganger (zonder rijbewijs) op de openbare weg kan maken staat echter in geen enkele verhouding tot de potentiële schade die de argeloze voorbijganger op het internet kan veroorzaken [3]. Het instellen van een paspoort zorgt in deze alleen voor het vaststellen van de identiteit van de veroorzaker (doorrijden na een ongeval is er niet meer bij). Stel dat we de veroorzakers van de verspreiding van het Sir Cam virus (dus niet alleen de maker van dat virus, maar ook de mensen die lijden aan het dubbel-klik syndroom) verantwoordelijk kunnen stellen voor de schade die er geleden is, dan begint het circus pas echt.
Want wat maakt het uit of je een claim krijgt van 5 Miljoen, 10 Miljoen of 100 Miljoen? Voor 99% van de mensheid geldt dat dit onoverkomelijke bedragen zijn en een failliet van de persoon is dan ook onafwendbaar. De gedachte "ik kon er niets aan doen, want ik wist het niet" wordt dan al snel vervangen door "Kijk eens op mijn rug, zie je daar iets groeien?" [4]. Het lijkt erop alsof de ingeslagen weg waarvoor we hebben gekozen niet de weg is die ons uiteindelijk het zo vurig gewenste resultaat geeft, namelijk een veiliger en betrouwbaarder internet.
Van verantwoordelijkheid krijgen, nemen en er op afgerekend worden zijn in de Nederlandse cultuur alleen de eerste twee stappen geïmplementeerd. Afrekenen doen we niet in onze maatschappij en zoals hierboven al is aangetoond kan dit in het specifieke geval van het internet ook niet. Het is wachten op de eerste internet toerist die "per ongeluk" een virus los laat op het internet en aantoonbaar kan maken bij de rechter dat hij of zij er niets aan kon doen omdat hem of haar nooit is geleerd om te gaan met het internet. Wapperend met zijn paspoort waar de onbekwaamheid vanaf druipt stapt verdachte de rechtszaal uit.
Beheerders van websites zijn vanuit hun functie verantwoordelijk voor het correct beheren van hun webservers en kunnen in het geval van problemen daar op aangesproken worden. Verspreiders van bombrieven vermomd als e-mail attachments kunnen zich verschuilen achter volledige onwetendheid en gaan vrijuit.
IMHO is dit niet de juiste weg. Wat is er op tegen om mensen een rijbewijs te laten halen voordat ze het internet op gaan? Ik denk dat men dit drempelverhogend vind werken, en dat druist in tegen het motto "Iedereen op het internet, zo snel mogelijk, want we moeten geld, GELD en G E L D verdienen" [5]&[6]. De gevolgen van alleen het I-LOVE-YOU virus werd wereldwijd geschat op 10 Miljard dollar. Op een totaal aantal internet gebruikers van rond de 400 Miljoen komt dit neer op 25 dollar per persoon.
Laat dat nou precies de prijs zijn van het nieuwe nederlandse paspoort.
Leon Kuunders
Achtergrond:
- Kosten
van de verkeersonveiligheid in Nederland
- Eindrapport
van het onderzoekproject "Kwetsbaarheid van het Internet"
(KWINT)
- Man
uit Sneek besmet internet met Anna-virus
- Nederlandse
spreekwoorden ("geld groeit")
- On
Economic and Ethical Value
- The Theorie of Value
Een aantal reacties van lezers van Security.nl en de reactie van de auteur daarop:
- Gepost door Iljitsch, 29.07.2001:
Paspoorten, verzekeringen... Hoe komen jullie toch op die ideeën?
Ik heb toch ook geen paspoort of verzekering nodig om een brief te kunnen
versturen? Bovendien helpen die dingen welgeteld niks: of je nu een worm
krijgt van iemand met een kopie van z'n paspoort of verzekeringspolis erbij
of gewoon zoals nu, of je er last van hebt ligt toch echt aan de software
die je draait en hoe je die gebruikt. Als je dus stom bezig bent ben je het
zelf die er last van heeft, en in principe niemand anders.
Individuele gebruikers kunnen moeilijk zeggen "ich habe es nicht gewußt" na
alle verhalen in de kranten en bedrijven al helemaal niet. En als ze het
echt niet weten komen ze er dus wel op de moeilijke manier achter... Net als
mensen die nooit backups maken.
Volstrekt overbodig om hier actie op te ondernemen, dus. Vooral ook omdat we
absoluut niet zitten te wachten op bureaucratie op het net.
- Reactie van de auteur, 30.07.2001:
De ZIN en de ONZIN van het paspoort en het rijbewijs.
In bovenstaande column heb ik de volgende twee stellingen aangedragen:
1) De onbekendheid met IT en het internet maakt dat het merendeel van de
mensen die het internet opgaan een potentieel gevaar zijn voor zichzelf en
anderen.
2) De beweegredenen om mensen een paspoort te geven en zodoende "vertrouwen"
te wekken in het internet zijn vals en dit streven is dan ook gedoemd te
mislukken.
In mijn optiek is het zo dat vertrouwen op een bepaalde manier wordt
verleend danwel gekregen. Mensen zullen vertrouwen eerder verlenen aan iets
dat ze begrijpen en waarvan ze denken dat ze er een bepaalde invloed op uit
kunnen oefenen. Onbekend maakt onbemind en onbemind = onvertrouwd (...).
De mobiele telefoon en het internet hebben onze wijze van communiceren
drastisch veranderd. De mobiele telefoon heeft vrij eenvoudig een groot
vertrouwen kunnen wekken omdat het 1) gebaseerd is op een bekende en
vertrouwde techniek en 2) omdat het zo verdomde makkelijk is. Het internet
is voor velen echter nog bellen met een vreemde, alsof blindelings een
telefoonnummer wordt ingetoetst.
Al deze (relatief) nieuwe technieken waarmee wij ons huidige leven kunnen
indelen vereisen een bepaalde kennis van de gebruiksregels. Het leren van
deze regels wordt op nogal eenvoudige wijze afgedaan. Om de reclame campagne
van een bekende ISP aan te halen: "Je hoeft het niet te kennen om het te
kunnen". Ik denk dus dat dat niet waar is. Ik denk dat je het wel moet
kennen om het te kunnen.
Aan de diverse reakties te zien op deze column hebben wij (wetenden) echter
een groot probleem met ons verplaatsen in hen die niet wetende zijn. Degenen
die in de IT het brood verdienen kunnen zich niet voorstellen hoe het leven
zou zijn als ze niet met computers hadden leren werken. Uit al de reakties
blijkt dat deze mensen wel heel duidelijk kennis hebben van hun gereedschap.
Naar alle waarschijnlijkheid hebben de meeste zelfs de 'getuigschriften' en
andere 'rijbewijzen' trots aan de muur hangen.
Deze kennis overbrengen is een van de belangrijkste dingen die we moeten
doen. Ook anderen zijn de mening toegedaan dat het duidelijk schort aan
overbracht van kennis (zie "2600: AUSSIE POLITIE BETER TRAINEN" op deze site
en het rapport van de taskforce ICT-en-kennis als voorbeeld). Niemand neemt
echter het initiatief hiertoe. We praten er alleen over.
Deze discussie gaat niet over het eigen schuld dikke bult gevoel of over
software pakket X dat gevoeliger is voor problemen dan software pakket Y.
Het gaat over het feit dat we deze problemen het hoofd kunnen bieden door te
zorgen voor minimale kennis bij iedereen. De overheid zou een rol moeten
spelen waardoor iedereen, ongeacht afkomst, de mogelijkheid krijgt om op
zijn/haar eigen wijze deel te nemen aan dit wereldomvattende netwerk.
Vertrouwen begint bij kennis. En nee, we hoeven niet alle details te weten
om te kunnen internetten. Maar een minimale hoeveelheid kennis is wel
geboden. En als dat wil zeggen dat niet iedereen vanaf de eerste seconde de
mogelijkheden van het internet ten volle kan benutten ... "so be it". Ik kan
daar niet rouwig over zijn, omdat ik weet dat het uiteindelijk in het
voordeel is van alle partijen.
Een door de overheid gesponsorde cursus (CBT) waarin de mogelijkheden en
gevaren van het internet worden uitgelegd lijkt mij dan ook zeer welkom. Net
als het vaststellen van verkeersregels lijkt mij dit een taak van de
overheid die men niet kan overlaten aan marktpartijen. Want zoals
weergegeven stroken de doelen van de marktpartijen niet met die van de
overheid (het algemeen belang laat zich niet uitdrukken in
"time-to-market").
En het vertrouwen komt dan vanzelf wel.
Leon Kuunders
- Reactie van Iljitsch, 31.07.2001:
Ok, Leon, ik snap je argumentatie nu wat beter.
Waar we dus eigenlijk mee zitten is het "information overload" probleem.
Hoeveel mensen lezen er nog een handleiding? Ik zou de mensen die niet
snappen hoe ze hun videorecorder een programma op moeten laten nemen niet
graag de kost geven.
Omdat er tegenwoordig van alle kanten zoveel informatie op je af komt, moet
je wel selecteren, als je niet in drie maanden in een muisarmig
burnout-slachtoffer wilt veranderen. En ondertussen wordt de software steeds
"gebruikersvriendelijker" waardoor het lijkt of je de handleiding niet nodig
hebt. Helaas is die gebruikersvriendelijkheid maar schijn: de dingen die
toch al simpel waren worden nog simpeler, de ingewikkelde dingen blijven
lastig. Hierdoor snapt de gemiddelde gebruiker minder van z'n systeem,
waardoor je een tweedeling in powerusers/experts die alles snappen en "het
werkt toch"-gebruikers die niks snappen krijgt.
Maar wat doen we hieraan? Vrij weinig denk ik. Maar een simpele disclaimer
op iedere computer zou de gebruikers misschien aan het denken zetten:
"Alles wat je in deze computer opslaat kan volledig verloren gaan."
En op modems en andere apparatuur om het net mee op te gaan:
"Alles wat in je computer zit kan via dit apparaat in handen van onbevoegden
vallen."
Maar gebruikers zijn ook niet gek. Dat weten ze eigenlijk best wel: daarom
durven ze niet via een creditcard te betalen bij online winkelen.
- Reactie van de auteur, 31.07.2001:
De ZIN en de ONZIN
quote:
--------------------------------------------------------------------------------
Originally posted by iljitsch
(...)een simpele disclaimer op iedere computer zou de gebruikers misschien
aan het denken zetten:
"Alles wat je in deze computer opslaat kan volledig verloren gaan."
--------------------------------------------------------------------------------
Goed idee.
quote:
--------------------------------------------------------------------------------
Originally posted by iljitsch
Maar gebruikers zijn ook niet gek. Dat weten ze eigenlijk best wel: daarom
durven ze niet via een creditcard te betalen bij online winkelen.
--------------------------------------------------------------------------------
Dat is nou het vertrouwen waarover gesproken wordt. Mensen betalen niet met
een credit-card omdat ze 1) de computer, 2) het internet en 3) de webwinkel
niet vertrouwen.
Punt 3) proberen we op te lossen door certificaten te gebruiken [IMNSHO
lopen daar al genoeg afzetters mee te zwaaien, zie o.a. mijn column
alhier]
. Punt 2) proberen we op te lossen door iedereen inderdaad een nummerbord te
geven (oftewel een paspoort). Wat IMNSHO dus je reinste onzin is; niet het
paspoort an sich, maar de doelstelling waarvoor men het inzet en dan last
and least nummertje 1) tsja .... daar doen we dus niets mee.
Het klinkt ongelooflijk maar reden nummer 1) waarom de gehele eBizz en B2C
naar de z.g. klote gaat is het feit dat (zoals Iljitsch en eigenlijk
iedereen al opmerkt) men doodgewoon geen flauw idee heeft wat een computer
is en hoe er mee om te gaan (zie
de Internet Helpdesk van Wes
Borg als voorbeeld).
Dit probleem is nu al groter dan verwacht en wordt nog vele malen groter. De
huidige generatie "experts" is een uitstervend ras. Goed voor het
jaarsalaris, maar slecht voor de continuïteit. En laat ik als rasecht
altruïst met het laatste nou de meeste moeite hebben.
Grtz,
Leon
- Gepost door <anonymous>, 15.08.2001
paspoort en Big Brother
Leuk hoor zo'n paspoort om losers en onwetenden te kunnen traceren. Je kan
er echter nog veel meer mee traceren.
Ben ik, als ik per ongeluk naar een nieuwsgroep ga waar op dat moment
kinderporno op staat (je weet nooit waar het verschijnt) onmiddelijk een
pedofiel?
Ben ik als ik security.nl of slashdot lees automatisch staatsgevaarlijk?
Ik ben bang dat zo'n paspoort voor een aantal overheden DE vrijbrief is om
mensen op te pakken (of te volgen) die bepaalde sites bezoeken.
Laat mij alsjeblieft anoniem blijven en laat de verantwoordelijkheid bij
mijzelf.
- reactie van de auteur, 15.08.2001
Re: paspoort en Big Brother
quote:
--------------------------------------------------------------------------------
Ik ben bang dat zo'n paspoort voor een aantal overheden DE vrijbrief is om
mensen op te pakken (of te volgen) die bepaalde sites bezoeken.
Laat mij alsjeblieft anoniem blijven en laat de verantwoordelijkheid bij
mijzelf.
--------------------------------------------------------------------------------
Hier sluit ik mij graag bij aan. Alleen al omdat ik die keuze heb.
Deze thread heeft zich ontwikkelt rondom de zin en de onzin van een
rijbewijs (or.) en het gevaar of gemak van een paspoort (re.).
De realiteit?
Echelon, Carnivore,
de elektronische schaduw,
SirCam, Code Red. En meer. Nog veel meer dat we helemaal niet weten.
Vrijheid is een duur verworven en goedkoop weggegeven goed geworden. Een oud
spreekwoord luidt: "de eerste generatie bouwt het op, de tweede breidt het
uit en de derde breekt het af". Dit lijkt ook van toepassing op de internet
(semi-) vrijheid, edoch:
Na het publiceren van deze column op 25 juli heb ik passief en actief
deelgenomen aan de discussie die er ontstond. De meest uiteenlopende ideeen
werden naar voren gebracht door de diverse deelnemers en door dit groot
aantal reakties werd een duidelijke lijn vinden in deze reakties moeilijker.
Ik wil graag terug naar de kern van deze column. Niet het paspoort (dat komt
nog wel) maar het rijbewijs.
Mijn stelling is als volgt: "het invoeren van een internetrijbewijs zal
zorgen voor een groter vertrouwen bij de mensen in het internet en haar
mogelijkheden door een beter begrip van de verkeersregels die er gelden en
de gereedschappen die nodig zijn om deze snelweg te betreden".
Het overbrengen van deze kennis is van wezenlijk belang voor onze
Nederlandse economie. Het verkleint de kwetsbaarheid van ons internet en het
vergroot de arbeidsproductiviteit.
En in plaats van te schoppen en te roepen dat het ieders eigen schuld is wil
ik eigenlijk graag daaraan iets doen. Niet vanuit een persoonlijk, maar
vanuit een algemeen belang. Ik nodig iedereen die daar zijn of haar
medewerking aan wil verlenen uit om contact met me op te nemen via
e-mail. Misschien kunnen we samen een
positieve verandering teweeg brengen.