Ik vind het bedenkelijk als wordt uitgelegd hoe de
beveiliging van een systeem kan worden omzeild.

Ik niet. Ik vind het juist een goede zaak. Dan weet iedereen
ook gelijk dat het systeem wel wat tegenhoudt maar niet
alles. Zoals het nu in de media geprofileerd wordt moet dit
DE beveiliging zijn tegen malware. Dat is echter niet waar,
het is alleen maar een (extra) drempel. Overigens zijn dit
soort truuks al jaren bekend. Solaris/Sparc heeft al heel
lang een dergelijke voorziening. Inmiddels is wel gebleken
dat ook dat te omzeilen is.

@Peter V.

Security through obscurity is zeker jouw hoofdmotto ?

Als je geen uitleg geeft waarom en hoe iets fout is kan je het niet
verbeteren en blijft de fout aanwezig. Dus er is niets bedenkelijks aan.

ja voor jouw aangezien je waarschijnlijk het type bent van "wat niet weet
dat niet deert"

dus sus jezelf maar in slaap ;)

Dan lees je het toch niet?!

Ik vraag mij af of men het ook nog steeds leuk vindt als ze de alarmsystemen
van je huis en auto weten te omzeilen. Mag je s'morgens met de bus naar
het werk en als je thuis komt geen tv meer kijken! ;-)

Nog leuker word het als je erachter komt dat je buurman (die daar verstand
van heeft) op iedere lantaarnpaal in de straat uitlegt hoe ze jouw auto
kunnen stelen en gelijk je huis leeg kunnen halen.

Ik ben het dus eens met Peter,

Ik vind het bedenkelijk als wordt uitgelegd hoe de
beveiliging van een systeem kan worden omzeild.

Niet als blijkt dat elke junk/inbreker/onverlaat het wel
weet en jij als eigenaar van die auto/beveiligingssysteem
denkt dat het veilig is. Door dit soort dingen
openbaar te maken wordt iedereen erop gewezen dat er
problemen mee zijn. Dan is het aan jou om de keuze te maken
of die auto of dat systeem veilig genoeg is.

Sommige mensen hier kennen: "Security through obscurity" niet.
Vandaar dat ze ook dus ondoordachte, bijna achterlijke, reactie
geven. Dat soort mensen werken hopelijk niet in de beveiliging.

Anders kan/zal de nadenkende mens wel meer moeten gaan betalen voor
verzekeringen.

Vind je het dan normaal dat er beroepsinbrekers zijn, nou als je dat
normaal vindt, dan vraag ik je dringend om contact te maken met een
therapeut.

Je kan (en moet) ervanuit gaan dat kwaadwillenden altijd op
de hoogte zijn van zulke zwakheden, ook al zijn ze niet aan
het publiek bekend gemaakt. Ik vind het eerder bedenkelijk
dat er beweerd wordt dat de beveiliging wel werkt, terwijl
dat niet zo is. Uit de praktijk blijkt ook dat fabrikanten
niet aan problemen doen als die niet aan de grote klok
worden gehangen. Ze zien security helaas nog steeds als PR
probleem en niet als technisch probleem. Lekker bekend maken
dus.

Inbrekers, rovers en andere misdadigers zijn er al zolang de
mens er is. Dus ja, het is normaal.

Het punt is, kennis over het omzeilen van alrmsystemen is
binnen "het wereldje" van "de crimineel" algemeen bekend. Er
wordt niet voor niet sgezegd dat criminelen in de bak van
alles bijleren... men bespreekt daar de laatste technische
mogelijkheden en onmogelijkheden.

Theoretisch kun je stellen dat ieder systeem dat door mensen
gemaakt wordt ook door mensen gekraakt kan worden. Geen mens
is in staat om zeer complexe systemen volledig te begrijpen.
Als we deze lijn doortrekken naar informatiesystemen, dan
kunnen we zeggen dat de huidige softwaresystemen dermate
groot en complex zijn dat het heel lastig is om een garantie
af te geven dat zo'n systeem niet faalt, laat staan dat zo'n
systeem herhaalbaar veilig faalt.
Op zich is het niet erg dat systemen falen. Het is wel erg
op het moment dat de lerancier van een systeem die
mogelijkheid tot falen niet wil onderkennen.

In de IT wordt vaak de vergelijking met autofabrikanten
gemaakt, soms terecht, soms onterecht. Maar je kunt niet om
het feit heen dat iedere autofabrikant kwetsbaarheden in het
ontwerp uitgebreid bekend maakt en er gratis een oplossing
voor beschikbaar stelt. Hoe anders is dit in de IT-wereld,
waar softwareleveranciers problemen met hun producten
glashard ontkennen en proberen de informatie binnenskamers
te houden.

Op deze manier worden klanten, die soms heel veel geld
betalen voor software, voor de gek gehouden. Men denkt een
veilig systeem te gebruiken, terwijl dat in werkelijkheid
niet zo is. Zoals ik al zei is geen enkel systeem veilig, en
het is heel belangrijk om je daar bewust van te zijn. Maar
het is nog veel belangrijker dat een leverancier zijn
verantwoordelijkheid neemt. En om dat te bereiken heb je
"full disclosure" nodig... het laat jou, als normale
systeembeheerder/techneut zien wat mensen met kwade
bedoelingen al lang weten... en vaak genoeg wat mensen met
kwade bedoelingen al lang uithalen.

Overigens wil dat niet zeggen dat er kant-en-klare code
gepost wordt... ik heb de presentaties doorgenomen, en ik
kan je vertellen dat het absoluut geen presentaties zijn
waar een script kiddie iets aan heeft. Het materiaal dat
gepresenteerd wordt verlangt een hoge mate van kennis van de
interne werking van een operating system in het algemeen en
windows in het bijzonder.

En nogmaals... de meeste mensen die kwaad willen weten dit al...