Cobra Effect

Het cobra effect beschrijft een probleem van de Britten in het koloniale India. Er waren veel te veel cobra's in Delhi. Om dat aantal in te perken, besloten de Britten een beloning te geven voor elke cobra-huid. En die drijfveer werkte heel goed. Hierdoor begonnen Indiërs massaal cobra's te kweken, alleen om de premie te incasseren. Het kostte de Britten veel te veel geld en daarom trokken zij het initiatief in. De Indische cobra kwekers deden het meest voordehand liggende ding; zij lieten de cobra's vrij. Het probleem was nu groter dan aan het begin.

Sindsdien zijn andere problemen op een vergelijkbare manier bestreden en met vergelijkbare resultaten. Het verband met een wildezwijnenplaag in de Amerikaanse staat Georgia en een rattenplaag in Zuid-Afrika is eenvoudig in te zien. Maar ook de carbon credits die vandaag de dag verhandeld worden, berusten op dezelfde gedachtefout. De prikkel was bedoeld zodat bedrijven minder broeikasgassen uitstoten en wordt nu misbruikt/gebruikt om geld mee te verdienen.

De reden dat dit boemerangeffect optreedt, is dat geen overheid, denktank of groep van specialisten zo goed is, dat zij iedereen daarbuiten te slim af is (jammer joh; dat geldt ook voor security specialisten). In de veel grotere buitenwereld zullen er altijd mensen zijn die een manier vinden om te profiteren van de wet, regel of het voorschrift. Het is niet zo moeilijk te bedenken hoe een regel je eigen gedrag verandert. Maar de mensen wiens gedrag je wil veranderen, denken niet altijd op dezelfde manier als jijzelf. Daarbij is het gedrag van mensen niet onveranderlijk. Op het moment dat een regel verandert, verandert het gedrag van de betrokkenen ook. Alleen verandert dat niet altijd in de richting die je vooraf had gepland.

Beveiligingspecialisten zijn er ook erg goed in om maatregelen te bedenken die de veiligheid verzwakken in plaats te verbeteren. Laat ik een voorbeeld geven over wachtwoordcomplexiteit. We horen zo vaak dat er hoofletters, kleine letters, cijfers en als het even kan ook leestekens in moeten staan. Doe je dat niet, dan hebben hackers je wachtwoord zo gekraakt, zo wordt beweerd. Om het voorbeeld eenvoudig te houden, neem ik een wachtwoord van twee tekens uit een tekenset van kleine letters en cijfers.

Als er geen regels zijn voor wachtwoordcomplexiteit, dan zijn er 36 mogelijkheden voor het eerste teken en 36 voor het tweede. Totaal kun je kiezen uit 36x36=1296 wachtwoorden. Nu gaan we "veiliger" wachtwoorden maken: er moet minimaal één cijfer en één letter in staan. Er zijn dan twee mogelijkheden voor samenstelling: cijfer+letter of letter+cijfer. Het totaal aantal wachtwoorden komt dan op 10x26 (10 mogelijke cijfers op de eerste positie en 26 mogelijke letters op de tweede) + 26x10 (je snapt het), totaal 520 wachtwoorden. Het aantal mogelijke wachtwoorden is gereduceerd tot minder dan de helft van de mogelijkheden zonder wachtwoordcomplexiteit. Hoe helpt dit nu om het moeilijker te maken om het wachtwoord te raden? Nou, het helpt dus niet. Door de regels van wachtwoordcomplexiteit worden perfecte wachtwoorden verboden.

Zo zijn er meer voorbeelden. Ik stuur iemand een e-mail met daarin een zipfile. De zipfile bevat vertrouwelijke bestanden en dus voor het verzenden versleutel ik de zipfile met een wachtwoord dat ik vooraf heb afgesproken met de ontvanger. Versleuteld met AES256 wordt de zip-file verzonden. Dan kan er toch niets misgaan? Toch wel. De antivirus software op de mailserver van het ontvangende domein ziet een zipfile en wil onderzoeken of daar malware in zit. Omdat de file versleuteld is, mislukt dat. Uit voorzorg wordt de file dan maar niet afgeleverd. De antivirus-maatregel verhindert hier dat gegevens op een vertrouwelijke manier uitgewisseld worden. Het gaat vaak ook mis als je de bestanden zonder encryptie in een zipfile stopt, dan die zipfile in een nieuwe zipfile stopt, dan het resultaat weer in een zipfile en dat kunstje nog een keer of 300 herhaalt. De ontvangende mailserver moet dat allemaal weer uitpakken en stopt daar meestal op een bepaald moment mee, zonder dat de kern bereikt is. Dan besluit de antivirus ofwel om deze bijlage door te laten, ofwel deze te blokkeren. Dit leidt vaak tot false positives (er wordt een bonafide bijlage geblokkeerd) of false negatives (er wordt een malafide doorgelaten). In mijn ervaring werkt encryptie met PGP/GPG het best. De e-mail bevat dan uitsluitende normale ASCII-tekens en wordt meestal niet herkend als een versleuteld bericht. Virussen en EICAR-strings worden gewoon doorgelaten.Waar ik eerder schreef dat er in de buitenwereld altijd wel iemand slimmer is, wordt in dit voorbeeld, waar de maatregel is bedacht door een domoor, pijnlijk duidelijk.

En zelfs als een specifieke beveiligingsmaatregel niet kan worden doorbroken, kan dit leiden tot ernstige beveiligingsincidenten. Ik herinner mij dat een Airbus A320 van Germanwings in maart 2015 is neergestort in de Franse Alpen. De gezagvoerder had de cockpit verlaten voor een toiletbezoek. Toen hij terugkwam, was de cockpitdeur door de co-piloot vergrendeld. Om bepaalde dreigingen te kunnen weerstaan, was de deur "terrorismebestendig". Het was kansloze zaak te proberen de deur met geweld te openen. Gelukkig had de gezagvoerder nog een mogelijkheid de deur te openen. Deze was maatregel moest ervoor zorgen dat een piloot de cockpit kan betreden als hij zichzelf onverhoopt heeft buitengesloten. De gezagvoerder toetste op een bedieningspaneel buiten de cockpit een code in om de deur elektronisch te openen. De co-piloot kon deze poging in de cockpit overrulen en de deur bleef gesloten. Alle 150 inzittenden kwamen om het leven.

Tenslotte nog een voorbeeld uit de actualiteit. Frontex is een organisatie die zich o.a. bezighoudt met het bestrijden van illegale migratie en het redden van mensen in nood. Mensensmokkelaars uit uit Libië bellen gewoon het crisiscentrum van Frontex in Rome en vertellen dat ze de migranten met 150 man in bootjes proppen, enkele kilometers varen en ze dan aan hun lot overlaten. Ze vertellen de kustwacht in Rome: kom ze maar halen. En dat gebeurt dan ook met grote operaties: schepen, helikopters, vliegtuigen enzo, die allemaal daar naartoe komen en ze dan richting Italië brengen. Zo heeft Frontex hun missie nooit bedoeld (bron).

Denk nog eens aan het cobra effect als je van plan bent om een regel in te voeren of te wijzigen. Ook als dat is op basis van een advies van een gerenommeerde expert. Vraag dan gewoon eens de mening van een buitenstaander, zonder dat je die eerst een uitgebreide uitleg geeft over de beoogde werking. Alleen zo krijg je een onbevangen mening. Je eigen moeder of een kind kunnen je al het schaamrood naar de kaken doen stijgen.

Door: Cor Rosielle, professioneel pentester ism met kennisplatform cqure.nl