image

"Ex-hackers niet integer en ongeschikt voor security werk"

woensdag 5 oktober 2005, 12:18 door Redactie, 18 reacties

Bedrijven doen er verstandig aan om geen ex-hackers in dienst te nemen voor het controleren of opzetten van hun beveiliging, aldus chief security officer Mark Hanvey. Nu zijn sommigen van mening dat je een dief nodig hebt om een dief te vangen. Alleen hackers weten tenslotte hoe hackers en crackers denken en kunnen daarom deze dreiging afvangen. En ook de statistieken ondersteunen deze opvatting. Slechts 6% van de bedrijven die ex-criminelen heeft aangenomen, heeft problemen gekregen vanwege het verleden van deze werknemers.

Hanvey laat echter weten dat information security een gewaardeerd beroep is en dat hackers het tegenovergestelde zijn waar security professionals voor staan. Wat hem betreft moeten bedrijven hackers geen kans geven, en alleen mensen in dienst nemen die integer zijn.

Om hun vaardigheden uit te breiden en lekken in het systeem te herkennen kunnen bedrijven hun personeel naar "ethisch hacking" en andere cursussen sturen.

Reacties (18)
05-10-2005, 13:21 door Anoniem
Er zijn voldoende security experts (hackers) met een "Bewijs
van Goed Gedrag" (terecht) verstrekt door locale overheden.

Onethische hacker = Cracker!
Ethische hacker = Security Expert!

De "security professionals" waar Hanvey het over heeft staan
buiten de realiteit en prediken in 90% van de gevallen ONZIN!
Ook is deze groep "professionals" verantwoordelijk voor het
hypen van security items. Slechts een selecte groep van deze
" professionals" is integer en is eerlijk tegen zijn werk- /
opdrachtgever.

Het hacken van je eigen netwerk is niet verboden (zelfs aan
te raden!) en brengt heel veel kennis naar de onderneming om
daarmee een security-policy uit te rollen.
05-10-2005, 13:25 door SirDice
Door - de BrulBaviaan -
Het hacken van je eigen netwerk is niet verboden (zelfs aan te raden!) en brengt heel veel kennis naar de onderneming om daarmee een security-policy uit te rollen.
Het hacken van je eigen netwerk is niet verboden zolang het inderdaad jouw eigen netwerk is. Zodra je werkt voor een bedrijf (als secprof) en je hackt het netwerk doe dat dan MET toestemming (schriftelijk) anders kan het wel eens heel anders aflopen dan je denkt. Ook al heb je de beste bedoelingen.. Managers en directie willen wel eens veranderen en daarmee ook de opvattingen over bepaalde zaken.
05-10-2005, 13:43 door [Account Verwijderd]
Zucht en vandaar dat Microsoft op de Conferentie in Kuala
Lumpur IE7 vertoonde aan de hacker om eventuele bugs eruit
te vissen en security leaks.

Vandaar dat Via zijn Strongbox laat testen door Hackers.

Waarom liepen er 400(!) Scouts op HAL2005 ? Niet omdat ze zo
risky zijn.

Zullen we nog even door gaan ?

i rest my case
05-10-2005, 13:46 door Anoniem
Door SirDice
Door - de BrulBaviaan -
Het hacken van je eigen netwerk is niet verboden (zelfs aan
te raden!) en brengt heel veel kennis naar de onderneming om
daarmee een security-policy uit te rollen.
Het hacken van je eigen netwerk is niet verboden zolang het
inderdaad jouw eigen netwerk is. Zodra je werkt voor een
bedrijf (als secprof) en je hackt het netwerk doe dat dan
MET toestemming (schriftelijk) anders kan het wel eens heel
anders aflopen dan je denkt. Ook al heb je de beste
bedoelingen.. Managers en directie willen wel eens
veranderen en daarmee ook de opvattingen over bepaalde
zaken.

Vandaar dat het is aan te raden! aan je werk- /
opdrachtgever uiteraard..;)

Indien er een goede security-policy is uitgerold gebeurd een
test-hack minstens twee keer per jaar, dan weet iedereen
waar hij/zij aan toe is, werkgever en werknemer.

Goede interne-communicatie is voor iedere onderneming van
levensbelang.
05-10-2005, 13:55 door Anoniem
Door ShadowBumble
Zucht en vandaar dat Microsoft op de Conferentie in Kuala
Lumpur IE7 vertoonde aan de hacker om eventuele bugs eruit
te vissen en security leaks.

Vandaar dat Via zijn Strongbox laat testen door Hackers.

Waarom liepen er 400(!) Scouts op HAL2005 ? Niet omdat ze zo
risky zijn.

Zullen we nog even door gaan ?

i rest my case

Bugs = voor ontwikkelaars niet voor hackers.

Strongbox test = NIET representatief.

400 scouts?? haha... zoveel "experts" lopen er niet op HAL2005

Ik klim terug in mijn koffer.
05-10-2005, 14:05 door maus_man
Door - de BrulBaviaan -
Er zijn voldoende security experts (hackers) met een "Bewijs
van Goed Gedrag" (terecht) verstrekt door locale overheden.

Een bewijs van goed gedrag is in veel gevallen niet voldoende. Het is een
papiertje dat iedere gemeente af zal geven als er geen directe strafbare
feiten van in het algemeen minder dan 5 jaar op je naam staan. Dit is
aardig als het om een bedrijf gaat dat wat minder strategisch op de markt
ligt maar voor een organisatie die echt integere mensen wenst te hebben
zal er een screening op één van de 4 niveaus van de staat nodig zijn.
Behalve een eventueel strafblad worden dan ook alle mogelijke invloeden
uit de omgeving bekeken die iemand eventueel in de verleiding zou
kunnen brengen tot.
Ik zou niet graag een ongescreende hacker (hoe etisch hij ook is) aan de
staatsgeheime documentatie willen laten komen.

Kortom het is geheel afhankelijk hoe een organisatie zijn eigen strategisch
belang inschat en eventuele kosten van screeningen daar tegenover wil
zetten.
05-10-2005, 14:10 door [Account Verwijderd]
Door - de BrulBaviaan -
eigen geblaat

Bugs = voor ontwikkelaars niet voor hackers.

Strongbox test = NIET representatief.

400 scouts?? haha... zoveel "experts" lopen er niet op HAL2005

Ik klim terug in mijn koffer.

http://news.com.com/Microsoft+meets+the+hackers/2009-1002_3-5747813.html

Even 1 van de nieuws artikelen, bovendien weet ik zelf uit
eigen ervaring dat veel meer bedrijven dit doen maar het
misschien niet aan de grote clock hangen.

Of dacht je nou werkelijk dat op Bevoorbeeld HAL2005 en
HackInTheBox ( Kuala Lumpur ) zulke sponsors ( Juniper ,
ISS, NSS & Transiton) had zonder zelf scouts in te zetten ?
Lijkt me naief
05-10-2005, 14:13 door maus_man
Door - de BrulBaviaan -
Indien er een goede security-policy is uitgerold gebeurd een
test-hack minstens twee keer per jaar, dan weet iedereen
waar hij/zij aan toe is, werkgever en werknemer.

Bij het uitrollen van een security policy heb ik maar wat vaak gezien dat
zowel het bedrijf als de EDP'ers geen duidelijk kader hebben vastgesteld
waarop een penetratietest moet zijn gebaseerd. (fysieke gebouw
beveiliging, social engeneering, PABX scans, netwerk scans, penetratie
vanuit een medewerker profiel, penetratie van buitenaf en zo kan ik nog wel
even doorgaan.)

Waneer dit soort pentests niet goed worden ingevuld ontstaat een gevoel
van schijn veiligheid. (er is toch een 'expert' geweest die naar ons netwerk
heeft gekeken)
Daarnaast als er een goede pentest wordt uitgevoerd zullen meerdere
dicipines nodig zijn en is één 'security expert/ hacker' niet voldoende.
05-10-2005, 14:41 door Anoniem
Door maus_man
Door - de BrulBaviaan -
Indien er een goede security-policy is uitgerold gebeurd een
test-hack minstens twee keer per jaar, dan weet iedereen
waar hij/zij aan toe is, werkgever en werknemer.

Bij het uitrollen van een security policy heb ik maar wat
vaak gezien dat
zowel het bedrijf als de EDP'ers geen duidelijk kader hebben
vastgesteld
waarop een penetratietest moet zijn gebaseerd. (fysieke gebouw
beveiliging, social engeneering, PABX scans, netwerk scans,
penetratie
vanuit een medewerker profiel, penetratie van buitenaf en zo
kan ik nog wel
even doorgaan.)

Waneer dit soort pentests niet goed worden ingevuld ontstaat
een gevoel
van schijn veiligheid. (er is toch een 'expert' geweest die
naar ons netwerk
heeft gekeken)
Daarnaast als er een goede pentest wordt uitgevoerd zullen
meerdere
dicipines nodig zijn en is één 'security expert/ hacker'
niet voldoende.

Dus was er GEEN (goede) security-policy.

Je hebt volkomen gelijk dat dit niet door een enkele
"security-expert" kan worden uitgevoerd, dat is teamwork!

100% veiligheid bestaat niet, dat weten we toch allemaal?

Een goede security-policy start met een goede analyse!

Goede communicatie scheelt ook een hoop "vingerwijzen" dat
nu veel gebeurt binnen de security branche.

Schijnveiligheid = een Chinese 4X4 ;) (thanks SirDice ;)
05-10-2005, 14:59 door SirDice
Door - de BrulBaviaan -
Schijnveiligheid = een Japanse 4X4 ;)
Je bedoelt Chinees ;)
05-10-2005, 20:27 door Leon van der Eijk
Door maus_man
Door - de BrulBaviaan -
Er zijn voldoende security experts (hackers) met een "Bewijs
van Goed Gedrag" (terecht) verstrekt door locale overheden.

Een bewijs van goed gedrag is in veel gevallen niet
voldoende. Het is een
papiertje dat iedere gemeente af zal geven als er geen
directe strafbare
feiten van in het algemeen minder dan 5 jaar op je naam
staan. Dit is
aardig als het om een bedrijf gaat dat wat minder
strategisch op de markt
ligt maar voor een organisatie die echt integere mensen
wenst te hebben
zal er een screening op één van de 4 niveaus van de staat
nodig zijn.
Behalve een eventueel strafblad worden dan ook alle
mogelijke invloeden
uit de omgeving bekeken die iemand eventueel in de
verleiding zou
kunnen brengen tot.
Ik zou niet graag een ongescreende hacker (hoe etisch hij
ook is) aan de
staatsgeheime documentatie willen laten komen.

Kortom het is geheel afhankelijk hoe een organisatie zijn
eigen strategisch
belang inschat en eventuele kosten van screeningen daar
tegenover wil
zetten.


Hmm, ik was 18 jaar toen ik via een exploit een website een
deface gaf. Ben nu 36 en wijzer geworden, ik heb tenslotte
een hyphoteek :)
Ik weet hoe hackers denken, ik ben zelf ook zo dom geweest.
Ja kiddo's,het is dom en onverantwoordelijk (en arrogant,
zoals ik ook was)
Of een omgeving is slecht ingericht of in beheer door slecht
geinfomeerde beheerders (tjezus, wat een understatement).
That's it. Een easy target ? Hell yeah ! Alhoewel ik nu
ouder ben weet ik hoe het is aan de "andere kant"
JA ! It takes one to get one. De methodes en denkwijze zijn
nog _steeds_ hetzelfde. De fouten en incompetentie ook.
Zoals ik eerder schreef, ik ben nu......ach, eigenlijk
hetzelfde, alleen....voorzichtiger ?...
Dus. Hier ben ik. 36 jaar en tot inzicht gekomen. Ben ik
daarom slecht ??.
05-10-2005, 21:50 door Rotterdammer
Zijn informatiebeveiligers dan wel te vertouwen? Zolang er nog geen
wettelijke verplicht screening voor informatiebeveiliger is, blijven ook zij niet
te vertouwen.

Massa’s ITer worden tegenwoordig omgeschoold tot informatiebeveiliger,
CISSPer etc. ( kijk maar eens een stuk je verder op deze site. )

Door dit fenomeen is het voor kwaadwillende erg eenvoudig om de wereld
van informatiebeveiliging te betreden. Privacy gevoelig informatie ligt voor
het grijpen!!

De oplossing is een wettelijke verplicht screening voor
informatiebeveiligers, net zoals nu al voor beveiligingsbeambte, particulier
rechercheurs en horeca portiers gebeurd.
06-10-2005, 00:17 door Ouwe Douwe Egberts
@Leon van der Eijk

Je bent nu 36. Dus je geboorte jaar is 1969. Toen je 18 was heb je een
site gehackt. Dat was dus het jaar 1987.


[color=red]25 april 1986: eerste internetverbinding met Nederland.[/color]

1987: Het internet bestaat in 1987 uit 28.000 hosts. Aangezien NSFNet
niet toegangelijk was voor commerciële doeleinden werd UUNet opgericht,
de eerste commerciële internetfirma.

Hierbij heb je je geloofwaardigheid verspeelt.
06-10-2005, 00:48 door Virtal
Door leken en computercriminelen worden hackers vaak
tendentieus en ten onrechte met computercriminaliteit
geassocieerd.
http://nl.wikipedia.org/wiki/Hacker
Er kan dus worden gesteld dat het beschrijvend misbruik van
de term in Van Dale inmiddels de norm is geworden en het
onder deze invloeden door de jaren heen blijkbaar van
betekenis is veranderd.

Hierdoor kun je je afvragen of de onduidelijke term niet
beter geheel vermeden kan worden en voortaan het beestje
onverbloemd helder bij naam te noemen.

To the point lijkt het mij niet verstandig om
(ex-)(computer)criminelen aan te stellen die veroordelingen
op hun naam hebben danwel waarvan bekend is dat zij in het
verleden bijvoorbeeld site's wederrechtelijk gedefaced
hebben. Ik zou er althans het vertrouwen zeer waarschijnlijk
niet voor op kunnen brengen. Natuurlijk is dat subjectief.
Screening kan daar bij helpen, maar is dat objectief niet
waterdicht daar het momentopnamen betreft die in wezen op
zichzelf staand ook geen garanties voor de toekomst biedt.

Kijk bijvoorbeeld naar het gezinsdrama van enige maanden
geleden waarbij een politieagent zijn gezin ombracht. Die
was ook voor zijn dienstbetrekking door de molen gehaald en
okay bevonden. Andersom zal het wellicht ook mogelijk kunnen
zijn dat iemand die in het verleden een fout heeft begaan,
inmiddels wel een verstandig eerbiedig burger is.
Hieruit blijkt kennelijk de onvoorspelbaarheid van de
grillen van de mens, moeilijk vast te stellen en eigenlijk
niet 100% te garanderen.

Security is volgens mij vooral een delicaat proces van
vertrouwen en frequente (her)evaluatie.
06-10-2005, 09:03 door smarty
Door Ouwe Douwe Egberts
@Leon van der Eijk

Je bent nu 36. Dus je geboorte jaar is 1969. Toen je 18 was heb je een
site gehackt. Dat was dus het jaar 1987.


[color=red]25 april 1986: eerste internetverbinding met Nederland.[/color]

1987: Het internet bestaat in 1987 uit 28.000 hosts. Aangezien NSFNet
niet toegangelijk was voor commerciële doeleinden werd UUNet opgericht,
de eerste commerciële internetfirma.

Hierbij heb je je geloofwaardigheid verspeelt.

Om nog maar te zwijgen over het bestaan van het woord "Website"
of "Defacen" in 1987....

Remember this? http://www.w3.org/Protocols/HTTP/HTTP2.html
06-10-2005, 10:25 door maus_man
Door Ronald M. Eygendaal
Zijn informatiebeveiligers dan wel te vertouwen? Zolang er nog geen
wettelijke verplicht screening voor informatiebeveiliger is, blijven ook zij niet
te vertouwen.
......
De oplossing is een wettelijke verplicht screening voor
informatiebeveiligers, net zoals nu al voor beveiligingsbeambte, particulier
rechercheurs en horeca portiers gebeurd.

Virtal
To the point lijkt het mij niet verstandig om
(ex-)(computer)criminelen aan te stellen die veroordelingen
op hun naam hebben danwel waarvan bekend is dat zij in het
verleden bijvoorbeeld site's wederrechtelijk gedefaced
hebben. Ik zou er althans het vertrouwen zeer waarschijnlijk
niet voor op kunnen brengen. Natuurlijk is dat subjectief.
Screening kan daar bij helpen, maar is dat objectief niet
waterdicht daar het momentopnamen betreft die in wezen op
zichzelf staand ook geen garanties voor de toekomst biedt.

Ik ben het er mee eens dat er een wettelijke verplichting zou moeten
komen voor informatiebeveiligers. Zoals eerder al gesteld een papieertje
als CISSP is voor iedereen met wat kennis van zaken te halen, dus ook
iemand die kwaad willend is.

De Nederlandse staat kent al 4 niveaus van screening. Overigens is dat
niet helemaal een moment opname. In de meest uitgebreidde screening
zoals ik die gehad heb word je hele levensloop overhoop gehaald en niet
alleen naar je geschiedenis gekeken maar met name probeert men in te
schatten hoe groot de kans is dat iemand bv chanteerbaar is dan wel in de
verleiding kan komen tot. hiertoe worden bv alle contacten die je hebt en
had in kaart gebracht en eveneens op antecedenten nagelopen.
Uiteraard is dat nog steeds niet 100% waterdicht en dat zal ook nooit
mogelijk zijn. Het is alleen het in kaart brengen en accepteerbaar maken
van de dan geinventariseerde risicos.
Grootste probleem van deze screenings zijn de tijd en kosten. Een
uitgebreide screening neemt al gauw 6 maanden in beslag en kost om en
nabij de 15.000 euro.
Daarom blijft van kracht dat het afhanklijk is welk niveau de strategische
belangen van een bedrijf en zijn informatie hebben en hierop dienen eisen
die aan de beveiligers worden gesteld te zijn afgestemd.
Mogelijk dat er een classificatie voor informatiebeveiligers moet komen die
niet alleen naar de kennis maar ook de integriteit en risicos kijkt.
06-10-2005, 10:47 door rob
Door Leon van der Eijk
...
Hmm, ik was 18 jaar toen ik via een exploit een website een
deface gaf. Ben nu 36 en wijzer geworden, ik heb tenslotte
een hyphoteek :)
Ik weet hoe hackers denken, ik ben zelf ook zo dom geweest.
Ja kiddo's,het is dom en onverantwoordelijk (en arrogant,
zoals ik ook was)
Of een omgeving is slecht ingericht of in beheer door slecht
geinfomeerde beheerders (tjezus, wat een understatement).
That's it. Een easy target ? Hell yeah ! Alhoewel ik nu
ouder ben weet ik hoe het is aan de "andere kant"
JA ! It takes one to get one. De methodes en denkwijze zijn
nog _steeds_ hetzelfde. De fouten en incompetentie ook.
Zoals ik eerder schreef, ik ben nu......ach, eigenlijk
hetzelfde, alleen....voorzichtiger ?...
Dus. Hier ben ik. 36 jaar en tot inzicht gekomen. Ben ik
daarom slecht ??.

Je verloochent jezelf. Arrogantie op jonge leeftijd is niet voor niets, het is de
drijvende kracht achter het aankunnen van de leercurve. Natuurlijk is het
defacen van een site niet echt zo'n presentatie ;-) het ligt eraan welke kennis
je daarbij nodig hebt. Maar ik denk dat de arrogantie dat de meeste jonge
personen hebben helpt bij het hebben van zelfvertrouwen dat je iets kunt
begrijpen. Dingen die op het eerste gezich te moeilijk lijken, sommigen
geven het meteen al op, anderen storten zich erin.
06-10-2005, 12:05 door Virtal
Door maus_man
De Nederlandse staat kent al 4 niveaus van screening.
Overigens is dat
niet helemaal een moment opname. In de meest uitgebreidde
screening
zoals ik die gehad heb word je hele levensloop overhoop
gehaald en niet
alleen naar je geschiedenis gekeken maar met name probeert
men in te
schatten hoe groot de kans is dat iemand bv chanteerbaar is
dan wel in de
verleiding kan komen tot. hiertoe worden bv alle contacten
die je hebt en
had in kaart gebracht en eveneens op antecedenten nagelopen.
Uiteraard is dat nog steeds niet 100% waterdicht en dat
zal ook nooit
mogelijk zijn.
Het gaat er om dat screening geen
blind vertrouwen in de hand werkt. Dat is wellicht
het meest integriteit bedreigende. Iemand kan tot in de
hoogste graad gescreend zijn en toch niet of niet geheel
integer.
Het is alleen het in kaart brengen en accepteerbaar
maken van de dan geinventariseerde risicos.
Daar
kunnen geen bezwaren tegen bestaan.
...
Daarom blijft van kracht dat het afhanklijk is welk niveau
de strategische belangen van een bedrijf en zijn informatie
hebben en hierop dienen eisen die aan de beveiligers worden
gesteld te zijn afgestemd.
Mogelijk dat er een classificatie voor informatiebeveiligers
moet komen die
niet alleen naar de kennis maar ook de integriteit en
risicos kijkt.
Geheel mee eens maar komt daar meer bij kijken dan slechts
screening.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.