Column - De magie van allowlisting
Door Martijn Hoogesteger 18 aug 2022
Hoe weet ik dat een bericht echt van jou komt? Het is een vraag waar we al bijna drieduizend jaar mee bezig zijn. Heel vroeger werd er een bolletje gemaakt van klei met speciale symbolen die aangaven waar het bericht vandaan kwam. Een ‘bulla’. Was de gebakken klei gebroken, dan wist je dat er iemand de integriteit van de zending misschien had aangetast.
De klei met symbolen kwam daarna op papier, wat we nu nog steeds kennen als een zegel. In die tijd slecht na te maken, dus prima voor authenticatie en zelfs voor een integriteitscheck. Later gebruikten we onze handtekening als authenticatie; ook niet altijd even makkelijk na te maken. Vroeger prima manieren om zeker te weten dat het echt je overleden oom uit Zimbabwe was die je een erfenis had nagelaten. Maar toen vond iemand e-mail uit.
In mijn vorige column omschreef ik drie manieren hoe criminelen binnenkomen: technische kwetsbaarheden, slechte wachtwoorden en phishing. Ik ging in op de eerste twee, die relatief makkelijk opgelost kunnen worden. Die laatste blijkt toch altijd weer een lastige. Of niet? Eigenlijk lopen we weer tegen hetzelfde probleem aan als met de bolletjes klei, wassen zegels en complexe pentekeningen. Hoe weet ik dat een e-mail echt van jou komt? Uiteraard hebben we hier een overmaat aan technische hulpmiddelen voor.
Als je je domeinnaam correct instelt voor e-mail, stel je ook je SPF, DMARC en DKIM in. Niet veel werk, maar het zorgt ervoor dat een ontvanger kan checken of je e-mail wel verstuurd is vanaf een server die jij hebt goedgekeurd. Deed iedereen dat maar. (Check het! www.internet.nl) Als je wat verder wil gaan, kun je je wassen zegel ook digitaal krijgen. Met PGP of S/MIME zet je een persoonlijke cryptografische zegel op je mail, en iedereen weet zeker dat het van jou afkomt. Deed iedereen dat maar.
De realiteit is dat je er niet vanuit kun gaan dat mensen zo’n techniek gebruiken, dus vertrouwen we nog steeds alles wat binnenkomt, of het nou een officiële zegel heeft of niet. Er staat een document klaar voor me om te downloaden? Prima! Klik. Dat was het voordeel van die bolletjes klei en wassen zegels, die we een paar honderd jaar gebruikten. De snelheid waarmee IT verandert wacht helaas niet op een awareness-cursus die vier eeuwen duurt.
Maar, ik heb een gouden oplossing. Allowlisting. Het is hoe we de wapenwedloop van input filteren op het web ook ooit wonnen. Vanaf volgende maand maken we een lijst van domeinnamen die we vertrouwen en als je van die domeinen een mailtje krijgt, zetten we er een groen bolletje bij. Hoe maak je die lijst? Kijk maar waar je bedrijf het afgelopen jaar mee heeft gemaild bijvoorbeeld. Komt er een nieuwe domeinnaam bij? Check even (automatisch natuurlijk) of hij heel erg lijkt op iets wat al op je lijst
staat (typosquatting), of de domeinnaam pas net bestaat (verdacht), en misschien zelfs of er een website bij die domeinnaam hoort (bij phishing bestaat er soms geen). Ziet het er fout uit? Rood bolletje, iemand even extra laten checken voordat we deze op de allowlist zetten. Opgelost! Extra voordeel, je bent ook niet afhankelijk van anderen die niet snappen hoe PGP werkt.
Natuurlijk zitten er wat haken en ogen aan en bij een e-mailadres-hack, beschermt dit je niet. Maar we zouden er een goede deuk mee kunnen maken! Zoals bij elke vorm van criminaliteit: als wij het lastiger maken is het verdienmodel van de crimineel op den duur kapot. De magie van allowlisting
Martijn Hoogesteger
Martijn is Head of Cyber bij S-RM en bereikbaar via m.hoogesteger@s-rminform.com en columnist van iB-Magazine.
Deze column verscheen in iB4-2022.