image

Auditor: Open standaarden zijn gevaar voor infrastructuur

maandag 29 mei 2006, 16:50 door Redactie, 18 reacties

Het gebruik van open standaarden voor belangrijke onderdelen van de infrastructuur is gevaarlijk, zo waarschuwt Certified information systems auditor (CISA) Barry Munns. Volgens Munns negeren auditors de overstap van gas, energie en water aanbieders op open standaarden als oplossing voor hun infrastructuur.

"Het dumpen van gesloten systemen en proprietary-achtige structuren, zoals software en besturingssystemen, voor meer open systemen zorgt ervoor dat aanbieders met risico's zoals hacking en denial of service te maken krijgen", aldus Munns.

Het gaat dan voornamelijk om SCADA systemen. SCADA (Supervisory Control And Data Acquisition) is een automatiseringslaag tussen productie en kantooromgeving en gaat meer richting een open model. Een gebied dat bij veel auditors niet bekend is en voornamelijk genegeerd wordt.

Hadden aanvallers vroeger nog kennis nodig van de infrastructuur en soms zelfs fysiek toegang, door het kiezen van open standaarden en ook open source wordt dit een stuk eenvoudiger, zo laat de CISA auditor weten.

"Had je vroeger een gesloten, proprietary SCADA systeem dat je kocht van een aanbieder die je alle hardware en software gaf, dan was dat een uniek systeem. Vandaag koop je een SCADA systeem of ontwikkel je er zelf eentje, maar gebruik je misschien Linux als het besturingssysteem of TCP/IP als communicatieprotocol en misschien een algemeen beschikbaar zijnde firewall. Je gebruikt dan spullen die normaal zijn, en omdat het normaal is, ben je kwetsbaarder.".

Munns is bang dat we naar een situatie gaan waar je geen specifieke kennis meer hoeft te hebben, en dat is het grote probleem, want hierdoor neemt het aantal potentiele aanvallers flink toe.

Reacties (18)
29-05-2006, 17:18 door Anoniem
** staat weer op van zijn stoel na lachend om te zijn gerold

Munns zou beter moeten weten, bijvoorbeeld dat je OSS zelf
bestendiger kan maken tegen aanvallen i.p.v. een maand op
een niet-kraakbare pleister te moeten wachten die ook nog
regelmatig de beschikbaarheid in gevaar brengt of de wond
groter maakt

De laatste dia in zijn presentatie spreekt boekdelen:
http://www.uq.edu.au/internal_audit_office/anzuiag/ANZUIAG_Integrity_Systems.ppt
29-05-2006, 20:58 door Constant
Kritische infrastructuur mag je gewoon niet aan het internet hangen, ook
niet met een firewall. Dat is een belangrijkere maatregel dan de keuze
tussen wel of geen open source.

Verder kan een systeem wel gebaseerd zijn op open source, de
applicaties zijn dermate maatwerk dat veel van de stelling niet opgaat. En
er zijn inmiddels al vrij veel grote bedrijven met Linux oplossingen voor
kritische processen, dus als deze meneer gelijk heeft dan zou hij toch
wel zijn stelling met praktijkvoorbeelden moeten kunnen onderbouwen.
Verder een FUD verhaal, wat mij betreft mag deze meneer zijn CISA
certificaat inleveren voor dit slappe gelul zonder onderbouwing met
feiten.
29-05-2006, 20:58 door Anoniem
In een ivoren toren waan je je al snel onkwetsbaar. Barry
Munns heeft een zeer eenzijdige kijk op veiligheid. Alsof de
geheime gevaren van gesloten systemen niet zouden gelden
zodra je ze als auditor niet te pakken krijgt. En dat komt
hem goed uit, want alles waar hij zijn mond over kan houden
omdat hij er niets over weet kan hij geen kritiek op te
hebben en dan kan hij wat systemen aanbevelen wat de schijn
met zich mee heeft.
29-05-2006, 21:51 door Anoniem
Je weet niet wat het personeel van de critische
infrastructuren op de machines doet. Misschien staan ze op
die belangrijke dingen wel heel de dag te gamen of lekker te
browser over met spyware bevolkte sites.

Even serieus: Het gaat er toch om dat het stabiel draait en
dus niet in't soeppie loop? Volgens mij kan je dan beter
veel gebruikte software nemen die zich bewezen heeft en waar
een hoop bug-zoekers omheen staan dan een systeempje van 1
fabrikant waar je totaal afhankelijk van ben.
30-05-2006, 08:00 door Anoniem
Blijft toch allemaal een Riskmanagement, of ben ik nou gek?

Als je gedegen risicoanalyse uitvoert moet ook dit probleem ergens
geparkeerd kunnen worden.

Maar goed als we kijken naar bv al die scripting solutions van MS in Office
zit de beste man niet echt ver verwijderd v.d. waarheid denk ik.


M.v.g.


MrHawkeye
30-05-2006, 08:03 door Anoniem
Door Constant
Kritische infrastructuur mag je gewoon niet aan het internet hangen, ook
niet met een firewall. Dat is een belangrijkere maatregel dan de keuze
tussen wel of geen open source.

Verder kan een systeem wel gebaseerd zijn op open source, de
applicaties zijn dermate maatwerk dat veel van de stelling niet opgaat. En
er zijn inmiddels al vrij veel grote bedrijven met Linux oplossingen voor
kritische processen, dus als deze meneer gelijk heeft dan zou hij toch
wel zijn stelling met praktijkvoorbeelden moeten kunnen onderbouwen.
Verder een FUD verhaal, wat mij betreft mag deze meneer zijn CISA
certificaat inleveren voor dit slappe gelul zonder onderbouwing met
feiten.

BLAAT!

waar zijn jouw onderbouwingen voor het feit dat je geen kritische
infrastructuur mag hangen aan het internet?
30-05-2006, 08:20 door d.lemckert

Munns is bang dat we naar een situatie gaan waar je geen specifieke
kennis meer hoeft te hebben, en dat is het grote probleem, want hierdoor
neemt het aantal potentiele aanvallers flink toe.

Ehm.. geldt dit niet altijd? Dit is een van de primaire redenen waarom
systemen kwetsbaar zijn: Organisaties willen geen geld uitgeven aan met
name beheer en nog specifieker: beveiligingsbeheer.
Men gaat er maar vanuit, dat als je een aap voldoende bananen geeft, hij
vanzelf gaat doen wat je wilt.

DAT IS DE VERKEERDE DENKTRANT!!!!!

Maar goed, ik preek voor eigen parochie denk ik.


Overigens vind ik de totale redenering waanzin, aangezien het inmiddels
allang bewezen is, dat een volledig proprietary systeem NIET veiliger is
dan een systeem gebaseerd op open standaarden.
Ook Ma Bell werd volledig overhoop gehaald, domweg door de
handleidingen te lezen...

Over het huidige discussiestuk uit Redmond maak ik maar geen
opmerkingen, aangezien ik mijn asbest ondergoed niet aan heb...
30-05-2006, 08:26 door carolined
Jeetje zeg, van een CISA gecertificeerde auditor zou je toch een kwalitatief
beter standpunt verwachten. Iedereen weet toch dat security by obscurity
niet werkt?
Is dat CISA eigenlijk wel een betrouwbare opleiding of heeft ie het niet
begrepen.
Verder ben ik het met voorgaande schrijvers eens natuurlijk. Open
Standaarden beschermen eerder door hun kwaliteit dan dat ze kwaad
kunnen en natuurlijk hang je geen infrastructuur aan het internet. Ik neem
aan dat de Nuons en Eneco's van deze wereld daar adequate maatregelen
op genomen hebben.
30-05-2006, 11:37 door Anoniem
Barry Munns heeft gelijk. Security by obscurity is the way
to do it!
Ontwerp je eigen computer chip, eigen OS en een eigen
netwerk protocol en maak bij het implementeren geen fouten.
Vertel NIEMAND hoe het werkt. Als je dan je systeem niet
aanzet ben je redelijk veilig.

Uw EDP auditor,
s10
30-05-2006, 12:38 door Anoniem
Vooral auditors hebben de mond vol over transparantie. Open source is
per definitie transparant en daardoor goed te auditen.
30-05-2006, 13:04 door Anoniem
Door Constant
Kritische infrastructuur mag je gewoon niet aan het internet hangen, ook
niet met een firewall. Dat is een belangrijkere maatregel dan de keuze
tussen wel of geen open source.

Verder kan een systeem wel gebaseerd zijn op open source, de
applicaties zijn dermate maatwerk dat veel van de stelling niet opgaat. En
er zijn inmiddels al vrij veel grote bedrijven met Linux oplossingen voor
kritische processen, dus als deze meneer gelijk heeft dan zou hij toch
wel zijn stelling met praktijkvoorbeelden moeten kunnen onderbouwen.
Verder een FUD verhaal, wat mij betreft mag deze meneer zijn CISA
certificaat inleveren voor dit slappe gelul zonder onderbouwing met
feiten.

Door Anoniem
Vooral auditors hebben de mond vol over transparantie. Open source is
per definitie transparant en daardoor goed te auditen.

Sinds wanneer is open source gelijk aan open standaarden??????????
Lezen is ook een vak, zullen we maar zeggen.
En ja, sinds er een virus in een Amerikaanse kerncentrale is gekomen,
mogen we inderdaad we heel voorzichtig zijn.
Specifieke situaties kunnen vragen voor specifieke behandelingen, dus
ook andere standaarden.
30-05-2006, 13:19 door Anoniem
Door Anoniem

Door Anoniem
Vooral auditors hebben de mond vol over transparantie. Open
source is
per definitie transparant en daardoor goed te auditen.

Sinds wanneer is open source gelijk aan open
standaarden??????????
Lezen is ook een vak, zullen we maar zeggen.
En ja, sinds er een virus in een Amerikaanse kerncentrale is
gekomen,
mogen we inderdaad we heel voorzichtig zijn.
Specifieke situaties kunnen vragen voor specifieke
behandelingen, dus
ook andere standaarden.
Open source is per definitie een implementatie van een open
standaard. Leg mij maar eens uit hoe ik een gesloten
standaard gesloten kan houden als de implementatie van die
standaard op straat ligt.

Wat jij bedoelt te zeggen is dat open source niet altijd een
standaard volgt. Dat is waar, maar door de open natuur van
de software is het vervolgens altijd mogelijk om te kijken
wat men precies doet, en op die manier interoperabel te zijn.
30-05-2006, 13:49 door Constant
Door Anoniem
Door Constant
Kritische infrastructuur mag je gewoon niet aan het internet hangen, ook
niet met een firewall. Dat is een belangrijkere maatregel dan de keuze
tussen wel of geen open source.

Verder kan een systeem wel gebaseerd zijn op open source, de
applicaties zijn dermate maatwerk dat veel van de stelling niet opgaat. En
er zijn inmiddels al vrij veel grote bedrijven met Linux oplossingen voor
kritische processen, dus als deze meneer gelijk heeft dan zou hij toch
wel zijn stelling met praktijkvoorbeelden moeten kunnen onderbouwen.
Verder een FUD verhaal, wat mij betreft mag deze meneer zijn CISA
certificaat inleveren voor dit slappe gelul zonder onderbouwing met
feiten.

BLAAT!

waar zijn jouw onderbouwingen voor het feit dat je geen kritische
infrastructuur mag hangen aan het internet?

Doe eens effe lekker normaal. LEER LEZEN in plaats van BLAAT roepen,
het artikel gaat over de aansturingssystemen van gas, energie en water
leveranciers.

De besturing van bijv. kern centrales, hebben die internet nodig? Nee, dus
geen onnodig risico lopen door deze aan internet te hangen, kunnen ze
ook niet gehackt worden. Is een gouden regel in IT beveiliging, dat zou je
zonder uitleg moeten weten. Firewalls houden de zwaartste hackers niet
tegen en daar moet je als energie leverancier wel rekening mee houden.
Hoef ik niet uit te leggen aan een echte security specialist, wel blijkbaar
aan BLAAT-roepers. Er zijn trouwens praktijk voorbeelden genoeg, o.a. uit
Amerika dat hackers energie centrales en verkeerstoren op vliegvelden
hebben gehackt, blijkbaar weet je dat als BLAAT-roeper ook niet. Ga even
lekker buiten spelen.
30-05-2006, 14:38 door Anoniem
Door Anoniem
Door Anoniem

Door Anoniem
Vooral auditors hebben de mond vol over transparantie. Open
source is
per definitie transparant en daardoor goed te auditen.

Sinds wanneer is open source gelijk aan open
standaarden??????????
Lezen is ook een vak, zullen we maar zeggen.
En ja, sinds er een virus in een Amerikaanse kerncentrale is
gekomen,
mogen we inderdaad we heel voorzichtig zijn.
Specifieke situaties kunnen vragen voor specifieke
behandelingen, dus
ook andere standaarden.
Open source is per definitie een implementatie van een open
standaard. Leg mij maar eens uit hoe ik een gesloten
standaard gesloten kan houden als de implementatie van die
standaard op straat ligt.

Wat jij bedoelt te zeggen is dat open source niet altijd een
standaard volgt. Dat is waar, maar door de open natuur van
de software is het vervolgens altijd mogelijk om te kijken
wat men precies doet, en op die manier interoperabel te zijn.

Open source is per definitie een implementatie van een open
standaard.


Nee, dus.Dus je hebt het echt niet begrepen. Open source betekent niets
meer en niets minder dat het vrijgegeven source is. En dat mag zelfs met
gesloten standaarden. Open standaarden en open source hoeven niet
hand in hand te gaan.

Open source kan een implementatie van een gesloten standaard zijn.
30-05-2006, 15:00 door Anoniem
Door Anoniem
Door Anoniem
Door Anoniem

Door Anoniem
Vooral auditors hebben de mond vol over transparantie. Open
source is
per definitie transparant en daardoor goed te auditen.

Sinds wanneer is open source gelijk aan open
standaarden??????????
Lezen is ook een vak, zullen we maar zeggen.
En ja, sinds er een virus in een Amerikaanse kerncentrale is
gekomen,
mogen we inderdaad we heel voorzichtig zijn.
Specifieke situaties kunnen vragen voor specifieke
behandelingen, dus
ook andere standaarden.
Open source is per definitie een implementatie van een open
standaard. Leg mij maar eens uit hoe ik een gesloten
standaard gesloten kan houden als de implementatie van die
standaard op straat ligt.

Wat jij bedoelt te zeggen is dat open source niet altijd een
standaard volgt. Dat is waar, maar door de open natuur van
de software is het vervolgens altijd mogelijk om te kijken
wat men precies doet, en op die manier interoperabel te zijn.

Open source is per definitie een implementatie van een open
standaard.


Nee, dus.Dus je hebt het echt niet begrepen. Open source
betekent niets
meer en niets minder dat het vrijgegeven source is. En dat
mag zelfs met
gesloten standaarden. Open standaarden en open source hoeven
niet
hand in hand te gaan.

Open source kan een implementatie van een gesloten standaard
zijn.
Nee dus! Een OPEN implementatie van een gesloten standaard
betekent dus dat de standaard dan open is! Je kunt namelijk
de implementatie van de standaard zien, en dus de standaard
er uit destilleren. Open source werkt op die wijze standaard
bevorderen.

Het ENIGE dat open source niet doet is patenten omzeilen...
en open implementatie kan nog steeds een implementatie van
een patent bevatten (zie openssl). Maar een gesloten
protocol in open source software implementeren staat gelijk
aan het protocol openen.
30-05-2006, 15:28 door Anoniem

Nee dus! Een OPEN implementatie van een gesloten standaard
betekent dus dat de standaard dan open is! Je kunt namelijk
de implementatie van de standaard zien, en dus de standaard
er uit destilleren. Open source werkt op die wijze standaard
bevorderen.

Het ENIGE dat open source niet doet is patenten omzeilen...
en open implementatie kan nog steeds een implementatie van
een patent bevatten (zie openssl). Maar een gesloten
protocol in open source software implementeren staat gelijk
aan het protocol openen.

Nee dus, kijk maar eens naar de NTFS implementatie binnen Linux.
De NTFS van Microsoft is een gesloten standaard. Echter is deze door
middel van Reverse Engineering toegevoegd aan Linux.
Is de standaard nu open? Nee, Microsoft houdt het nog steeds gesloten.
31-05-2006, 09:00 door Anoniem
Door Anoniem

Nee dus! Een OPEN implementatie van een gesloten standaard
betekent dus dat de standaard dan open is! Je kunt namelijk
de implementatie van de standaard zien, en dus de standaard
er uit destilleren. Open source werkt op die wijze standaard
bevorderen.

Het ENIGE dat open source niet doet is patenten omzeilen...
en open implementatie kan nog steeds een implementatie van
een patent bevatten (zie openssl). Maar een gesloten
protocol in open source software implementeren staat gelijk
aan het protocol openen.

Nee dus, kijk maar eens naar de NTFS implementatie binnen Linux.
De NTFS van Microsoft is een gesloten standaard. Echter is
deze door
middel van Reverse Engineering toegevoegd aan Linux.
Is de standaard nu open? Nee, Microsoft houdt het nog steeds
gesloten.

En dus kan ik nu kijken hoe NTFS werkt en mijn eigen NTFS
driver schrijven. Boeien!
31-05-2006, 23:26 door Jachra

En dus kan ik nu kijken hoe NTFS werkt en mijn eigen NTFS
driver schrijven. Boeien!

Duidelijk iemand die verslagen is in een commentaar. Lekker
zielig zijn.
Je kan altijd proberen een eigen driver te schrijven. Maar
je schendt waarschijnlijk wel een aantal patenten van M$.
Echt dus iemand zonder verstand!!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.