image

Column: Ethiek en Security?

woensdag 27 juni 2007, 15:18 door Redactie, 17 reacties

Uit reacties op mijn stukje over het vinden van software via ranzige .ru en .lv domeinen blijkt dat er nogal hoge verwachtingen bestaan over de ethiek van de Security consultant. Kennelijk vinden sommige lezers het onwenselijk dat een senior consultant kennis heeft van de wat meer duistere zijden van het Internet. De kreet jeugdzonde is gevallen. Dank, dank, zo jong ben ik niet meer....

Maar het aangesneden punt, ethiek, is wel belangrijk en verdient zeker aandacht. Er zijn al tal van schrijfsels over en het onderwerp heeft zelfs geleid tot een aparte beroepsgroep, de 'Ethical Hackers'. In de jaren 90 dook het begrip al eerder op, waarbij de huidige variant impliceert dit niet alleen ethisch verantwoord bezig te zijn maar dat ook gecertificeerd te doen. Als ik de EC Council moet geloven is een ethical hacker een gecertificeerde persoon die, gewapend met 'dezelfde kennis als een hacker' de beheerder bijstaat. Iemand dus die denkt als een dief om zo dieven te vangen maar zelf niet steelt. Klinkt helemaal toppie.

Om dit body te geven hebben ze er een opleiding voor gestart - die van alles vertelt over allerlei types aanval, maar helaas erg gemakkelijk voorbijgaat aan het 'niet stelen'. Zoals de meeste mensen weten maakt de gelegenheid de dief: als je in staat bent in te breken voor je eigen baan, waarom zou je dat dan niet doen om indruk te maken op dat pittige meisje en haar antiglobalistenvriendjes? Daar gaat de EC Council in haar curriculum voor de Certified Ethical Hacker (CEH) niet op in - wel een beetje jammer.

Ik wil hier even dat traditionele religieuze debat over hackers en crackers maar het laat zich niet helemaal vermijden. Waar het vaak op neerkomt is het volgende: Crackers zijn illegaal en passen alleen domme tooltjes toe voor verderfelijke, criminele of commerciële zaken, hackers hebben een aura van intelligentie en integriteit. Om aangeduid te worden als hacker geeft dus ook dat aura. Omdat niet iedereen dat gelijk doorheeft, kun je dat aura versterken door dit expliciet te maken, bijvoorbeeld met een voorvoegsel als über of leet, of meer van deze tijd, Ethical.

Terug naar de CEH. Blijkbaar is er voor hackers een standaard 'Body Of Knowledge', zoals er ook bestaat voor de project manager. Welke kennis zit daar in? Volgens Ankit Fadia in de tweede uitgave van zijn officieuze gids voor 'Ethical' Hacking uit januari 2005, is de essentie van een ethical hacker dat hij over de volle breedte van het veld elementaire kennis heeft en alle tooltjes kent. Niks mis met SAINT en NATAS, maar om het anno 2005 nog als serieuze hulpmiddelen te positioneren.... Maar goed, Ankit is als professional zeer omstreden, omdat hij zijn materiaal bij elkaar gegoogled zou hebben. Bij hem schittert de beroepsethiek door afwezigheid, terwijl het vak nota bene gedefinieerd wordt als een ethische activiteit. Nu moge Ankit omstreden zijn, ISECOM is dat zéker niet. ISECOM geeft in haar trainingen voor tiener hackers (www.hackerhighschool.org) diep weg in het opleidingsmateriaal een schets van de werkwijze van een ethische hacker. Ook hier hetzelfde patroon: een volgorde van zeven stappen van een aanval over het internet .... en daar houdt het hoofdstuk op. Het zelfde overkomt je bij een bezoekje aan www.ethicalhacker.net; geen spoor van denken over ethiek. Het enige wat je ziet zijn mensen die lekker willen hacken, maar dan 'legaal'.

De 'ethische' cursussen schetsen het volgende beeld van een aanvaller: hij is goed thuis in 'UNIX', kan scripten en proggen, beschikt over een breed arsenaal aan tools en weet ongeveer wat hij ermee kan doen. Dat is blijkbaar de Body Of Knowledge van de hacker, die verdacht veel lijkt op die van allerlei andere security opleidingen. Een hacker weet dus hetzelfde als een consultant.

Mijn ervaring is anders. Een aanvaller hoeft maar een beperkt aantal trucjes te kennen in een smal stukje, maar wél heel erg goed. Vergelijk het met een fietsendief. Hij hoeft maar van één type gangbaar slot één manier te weten om hem open te krijgen en hij kan aan het werk. Er staat altijd wel ergens een fiets met het slot dat hij kan kraken. Bovendien zijn niet alle trucjes technisch. De über-fietsendief weet waar z'n collega's de opengebroken fietsen die ze nog moeten verkopen, verstoppen. Die steelt hij, zonder ooit een slot te kraken. Of is dit nu juist een ethische fietsendief?

Het beeld van een aanvaller die op een Unix prompt van een doos die hij zojuist geroot heeft 'dir' intypt wordt vaak gebruikt om de effectiviteit van toolies versus de onkunde van de scriptkiddie te onderstrepen. Dat kán inderdaad zo zijn, maar het kan net zo goed betekenen dat de aanvaller nu eenmaal weinig weet van Unix maar heel veel van de ISA-box of de content switch die in de stap daarvoor gehacked is. De gangbare definitie van een 'echte hacker' als iemand met in ieder geval verstand van Unix en C is écht passé. Je hebt andere skills nodig, als je de Blackberry van Balkenende wil kraken.

De protagonisten van 'Ethical' Hacking laten wel meer steken vallen. Zo wordt erop gewezen dat een penetratietester bijna hetzelfde is als een hacker, maar het verschil wordt nergens uitgelegd. Een penetratietest is een ondersoort van het fenomeen testen en maakt gebruik van een gestructureerde methodiek. In alle stukken van de ethische hackers gaat het over hoe de tools werken, niet over wat en hoe je test, of wat de waarde is van de testresultaten.

Samengevat: Blijkbaar is ethisch hacken hetzelfde als de wet niet overtreden. De protagonisten van ethisch hacken hebben uit marketingoverwegingen de kreet gekozen, zonder enige moeite te doen om eens te kijken wat er mee bedoeld wordt. Aan de vervolgens geboden brede, oppervlakkige en enigszins verouderde technische kennis en de ongestructureerde werkwijze is echter niets ethisch. Eerder het tegendeel: ondermaats werk voor te veel geld.

Ethiek is iets anders dan het zich al dan niet houden aan de wet. Tussen je aan de wet houden (de legaliteit) en maatschappelijk verantwoord gedrag (hoe het hoort) zit een groot verschil. De wet is in veel gevallen ook niet heel expliciet dus je moet per situatie interpreteren. En over wat maatschappelijk verantwoord is, lopen de meningen ook wel eens uiteen. Dit is nu het speelveld van de ethiek.

Blijkbaar is dit lastig, dus ik zal het even uitleggen met een voorbeeld. Je zit de avond na de InfoSecurity beurs tijdens een hevige onweersbui in een taxi van Utrecht naar Den Haag. De chauffeur vloekt hartgrondig, omdat iemand zonder licht 90 rijdt op de middenbaan van een verder uitgestorven A12. Wat doe je? Bel je het taxibedrijf om te klagen over het gedrag van de chauffeur, omdat de chauffeur de bestuurder van de andere auto voor lid van een etnische minderheid met een dodelijke ziekte uitmaakt? Doe je aangifte wegens discriminatie? Of ben je blij dat de chauffeur er niet tegenaan gereden is en geef je hem extra fooi?

En zo komen we terug bij de oorspronkelijke vraag; wat zouden de ethische standaarden van een consultant in beveiligingsland dán moeten zijn. Volgens leidende instanties in het vakgebied is een beveiligingsconsultant een lichtend voorbeeld, iemand die door de zuiverheid van zijn daden anderen weerhoudt van het overtreden van regels. Zo moeten leden van de ISSA (Information Systems Security Association) de 'hoogste ethische standaarden toepassen', 'de wet niet overtreden' en 'intellectueel eigendom beschermen'. Bovendien moeten zij de 'algemeen geaccepteerde' beveiligingstandaarden en 'best practices' uitdragen. Wat niet wordt toegelicht wélke hoge standaarden, best practices en intellectueel eigendom, al dan niet ethisch of beveiligingsgeoriënteerd... De ISSA wil toch niet beweren dat je niet naar closed source mag kijken of er toevallig een gat in zit, omdat de vendor dat in de EULA heeft gezet? ISC2, bekend van de CISSP, doet het in haar code al heel wat beter. Maar door in het geheel niet op in te gaan op intellectueel eigendom, blijven actuele en belangrijke vakspecifieke vragen open en dat is erg jammer.

Praktisch gezien gaat de ethiekdiscussie hierover: hoe vind je dat je je kennis op niveau moet houden? Hoe weet je van gangbare en nieuwe aanvalstechnieken zonder bepaalde sites en communities mee te lezen? Hoe weet je welk internetgedrag riskant is als je de websites niet kent? Hoe weet je of een systeem veilig is? Of hoef je alleen maar bij te houden wat de 'best practices' en productcertificeringen voorschrijven, en laat je de donkere zijde over aan de onbekenden die de best practices en de default rules van je IDS opstellen? Ik houd mijn handen schoon en ik kijk neer op de mensen die dat niet doen? Wie zo denkt, accepteert een structurele kennisachterstand van járen. Dat mag natuurlijk. Maar nu wordt het nog ethischer: dan moet je wél je klant vertellen dat je hem alleen beschermt tegen aanvallen tot pakweg 2005.

Nee, dat is niet aardig. Maar wil je goed genoeg zijn, dan zul je je hackerskennis up-to-date moeten houden. Met een mes kun je ook hele nare dingen doen. Toch is een mes an sich geen moordwapen. Als we messen gaan verbieden omdat je er iemand mee kan neersteken, hoe snijden we dan onze uien?

Okee, okee, virale code is iets anders dan een mes. Als niemand zou weten hoe virussen in elkaar zitten, zouden ze er niet zijn. Er is geen ander nut voor virale code. Dat is over het algemeen wel juist, ja. Kennis verdwijnt echter niet omdat dat moreel beter is, en virussen gaan écht niet meer weg. Om virussen te kunnen onderscheppen moet je écht heel goed weten hoe ze werken; zelfs een junior bij een firma als Kaspersky zal meer van virussen (moeten) weten dan de meeste virusbakkers in het wild. Pogingen om kennis te verbieden, ook in een recent verleden door onze regering, zijn een zekere koers om moreel verheven naar de bliksem te gaan.

De ethische vragen waar je in de praktijk voor komt te staan, zijn gewoon niet eenvoudig. Ze gaan bovendien niet alleen over het opdoen van kennis maar ook over daden. Mag je je kennis inzetten voor een organisatie die wellicht kwaad in de zin heeft? Mag je de systemen van zo'n 'kwade organisatie' opzettelijk zwak laten? Laat je je rekruteren om stiekem iets in het systeem van een ver buitenland te doen? Mag je de details van een gat in een stuk software publiek maken als de leverancier niet thuis geeft? Mag je een worm uitbrengen die andere aanvallen voorkomt of de schade herstelt? Kun je het maken om een systeem in een ver land wat dieper te bekijken om vast te stellen of het een zombie is of misschien de doos van de aanvaller zélf? Breek je bij forensisch onderzoek de veiligheidsmaatregelen van de verdachte? Doe je dat ook als je het vermoeden hebt dat er politieke motieven meespelen? Als je een exploit verkocht hebt, wat doe je als blijkt dat de exploit ook na zes maanden nog niet is doorgegeven aan de maker van de software, zodat het gat blijft bestaan en de hele wereld kwetsbaar blijft?

Een specialist die op al deze vragen direct een pasklaar antwoord heeft, is hetzij helderziend, hetzij arrogant en gemakzuchtig. Iedere situatie kent nuances, en in iedere situatie handel je - zeker in het begin - met onvolledige en deels onjuiste informatie. Een zinvolle beroepsethiek zal dan ook hiermee moeten samenhangen: blijf onderzoeken, blijf nadenken, en blijf communiceren, ook over je twijfels en de onvermijdelijke fouten. En voor de omgang met 'de duistere zijde' geldt het aloude adagium: wel ín de wereld maar niet ván de wereld, met alle verleiding van dien. Mensen die er prat op gaan dat ze bepaalde kennis niet willen opdoen vanwege 'morele' overwegingen, kun je maar beter mijden.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

  • De kleren van de keizer zijn dood, leve de nieuwe kleren van de keizer
  • Over Security Architectuur
  • Best Practices bestaan niet
  • Unified Threat Management: dure mensen, goeie spullen?
  • Security maturity
  • Komt het nog wel goed
  • Geen nieuws is goed nieuws
  • Awareness best belangrijk
  • Een papieren tijger in een zilveren lijstje
  • Een goed idee is niet goed genoeg
  • Uit de loopgraven
  • Waarom beveiligingsbeleid faalt
  • Groot slaat dood
  • Reacties (17)
    27-06-2007, 16:50 door Anoniem
    Prachtig stuk, wederom!
    27-06-2007, 20:13 door Anoniem
    Ankit professioneel ?

    Die jongen was rond de 16 toen hij dat boek schreef, dus wat dat betreft is
    het best een aardig boek, maar je kan aan hem denk ik niet de eisen
    stellen wat betreft kwaliteit die je zou stellen aan een volwassene die
    reeds jaren als security consultant zijn brood verdient ?

    En je betoog over CEH - Is penetration testing onzin ?

    Want dat is feitelijk waarop deze cursus gericht is. Misschien dat ze het
    echter Certified Penetration Tester o.i.d. hadden moeten noemen.
    27-06-2007, 20:56 door V.
    Stof tot nadenken!
    27-06-2007, 21:18 door Anoniem
    Las de ethische fietsenmaker/-dief 'in' de wereld die de politie voorhield
    dat achtergebleven warakken in een grote stad niet gejat maar gevonden
    zijn - en daar geen panklare veroordeling danwel gedoogverklaring voor
    kreeg, want ook deze politieman was 80's verantwoord.
    27-06-2007, 21:18 door Anoniem
    Een keer een goed artikel!

    Persoonlijk ben ik van meening dat security "consultancy's en andere
    security opleidingen misbruik maken van stuk kennis wat door hackers
    gebruikt wordt. Deze groep mensen die security opleidingen gaat kennis
    koppelen aan status. Status waarvan hun denken dat ze het risico beleid
    kunnen bepalen in het bedrijfs leven dat iets "hacker proof" zou zijn.

    Ze verschuilen zich achter de wet geving. Plakken een etiket op als "ethical
    hackers". Terwijl ze "vaak" niks begrijpen van de cultuur opzich. En
    verkopen iets aan een bedrijf dat gewoon bedrog en misleidend is.

    Ze gebruiken middelen en technieken die verouderd zijn en allang niet
    meer intrek zijn bij hackers zelf die steeds bezig zijn na nieuwe technieken.
    En op basis hier van moet een zou een bedrijf kunnen zeggen dat
    personeel veilig kan emailen en surfen?

    Natuurlijk kan dat want ethical hackers zij meester in gebruikte/gejatte/
    code en dan maar zelf de stikker op plakken van ik ken unix. Of ik ken
    exploits.
    27-06-2007, 21:32 door Anoniem
    Tja, dat is wel erg oude koek. Anti-virus mensen hebben 20 jaar geleden al
    de bodem gelegd voor ethisch denken over security.

    Typisch is dat ook de huidige *nix kiddies denken dat ze dat nog een paar
    keer ongenuanceerd over moeten doen en dat een van hen ook nog eens
    tracht zij die het wel weten af te schilderen als helderziend, arrogant en
    gemakzuchtig, zodat de aldus opgebouwde theorie schijnbaar
    onfalsificeerbaar wordt.
    27-06-2007, 23:46 door Anoniem
    Door Solid
    Een keer een goed artikel!

    Persoonlijk ben ik van meening dat security
    "consultancy's en andere
    security opleidingen misbruik maken van stuk kennis wat door
    hackers
    gebruikt wordt. Deze groep mensen die security opleidingen
    gaat kennis
    koppelen aan status. Status waarvan hun denken dat ze het
    risico beleid
    kunnen bepalen in het bedrijfs leven dat iets "hacker
    proof" zou zijn.

    Ze verschuilen zich achter de wet geving. Plakken een etiket
    op als "ethical
    hackers". Terwijl ze "vaak" niks begrijpen
    van de cultuur opzich. En
    verkopen iets aan een bedrijf dat gewoon bedrog en
    misleidend is.

    Ze gebruiken middelen en technieken die verouderd zijn en
    allang niet
    meer intrek zijn bij hackers zelf die steeds bezig zijn na
    nieuwe technieken.
    En op basis hier van moet een zou een bedrijf kunnen zeggen dat
    personeel veilig kan emailen en surfen?

    Natuurlijk kan dat want ethical hackers zij meester in
    gebruikte/gejatte/
    code en dan maar zelf de stikker op plakken van ik ken unix.
    Of ik ken
    exploits.

    Gedeeltelijk eens, security kent verschillende niveaus.
    Een hulpvaardige 'buurjongen of meisje' kan in staat zijn de
    computer van de buren zodanig te configureren dat 70% van
    risicovolle actie's door een eindgebruiker niet langer
    mogelijk zijn. Daar heeft 'iedereen' baat bij.

    Voor bedrijfskritieke systemen is men echt aangewezen op
    professionals, en daar komt dus het probleem (waar je
    volkomen gelijk in hebt) om de hoek kijken. Wie is de echte
    security professional en wie heeft er slechts een security
    'certificering' ... (vraag het de buurjongen, die weet het
    waarschijnlijk wel;)
    28-06-2007, 09:19 door Anoniem
    "Kennelijk vinden sommige lezers het onwenselijk dat een
    senior consultant kennis heeft van de wat meer duistere
    zijden van het Internet." = Ouwe wijven gezeur, daar had je
    m.i. echt niet zo'n uitgebreidde verontschuldiging over
    hoeven neer te pennen... ;)
    28-06-2007, 09:50 door Anoniem
    Ethiek ..sommigen hebben het van nature anders hebben het eigen
    gemaakt door studie en openstaan voor andersdenkenden.


    Heb je een jaartje of tig?
    28-06-2007, 11:04 door Mameomowskwooz
    Peter,

    Eén van je beste columns en tegelijk één van de minst controversiële op
    dit podium gezien de positieve reacties alhier. Volgende keer je collegae
    weer maar meer kietelen? Ik lees ook graag boze of gefrustreerde
    reacties. ;-)

    gr.,

    HvH
    28-06-2007, 13:04 door Anoniem
    Goh, een goed stuk dit keer.
    @Anoniem van woensdag 27 juni 2007 20:13:
    Lees het verhaal nog eens. Pentesten is zeker geen onzin.
    (CEH overigens wel, maar dat is heel iets anders)
    29-06-2007, 02:00 door secyourit.nl
    "Daar gaat de EC Council in haar curriculum voor de
    Certified Ethical Hacker (CEH) niet op in - wel een beetje
    jammer."

    Daar gaat de cursus wel op in. Ik ben trainer CEH geweest.

    "Pentesten is zeker geen onzin.
    (CEH overigens wel, maar dat is heel iets anders)"

    Da's helemaal waar. Ik ben trainer CEH *geweest*.

    Diashowtjes afspelen kan iedereen, tooltjes downloaden ook,
    de CEH is niet van veel waarde.

    Echt hacken leer je bij mijn vorige werkgever, Fox-IT.
    29-06-2007, 15:00 door Anoniem
    Door secyourit.nl
    Echt hacken leer je bij mijn vorige werkgever, Fox-IT.
    Vorige? Reclame maken voor een oudwerkgever is een soort secxmet je
    ex....
    03-07-2007, 01:59 door Anoniem
    Een hacker weet dus hetzelfde als een consultant.

    Er is een heel belangrijk verschil tussen hacker en een
    consultant.

    Een hacker heeft vanuit zijn hobby zich zoveel mogelijk
    kennis eigen willen maken, deze motivatie zul je niet vinden
    bij iemand die via een opleiding als consultant zal eindigen.

    Deze consultant zal slechts standaard tools en oplossingen
    tot zijn beschikking hebben en nooit uitdagingen aangaan,
    omdat hij daar voor niet betaald zal worden.

    Terwijl een hacker maanden lang zich kan vastbijten tot dat
    hij iets ontdekt waarmee hij weer een stap verder komt.

    Het enige wat ethiek van consultants heeft bereikt is dat er
    steeds minder mensen zijn die zich niet laten verleiden door
    financieël gewin en dat komt juist door al die consultants
    die overheden hebben geadviseerd om toch vooral streng op te
    treden tegen mensen die beveiligingen doorbreken. Zodat hun
    belangen als ook die van software fabrikanten beter
    beschermd zijn.

    Met als gevolg dat wij op dit moment niet weten of mensen de
    Blackberries van CDA politici kunnen hacken en de kans dat
    we daar achter komen ook nihil is.

    Ook weten consultants die geen achtergrond hebben niet weten
    wat er underground speelt en dat op dit moment er voor
    vrijwel elke gangbare platform zeroday exploits bestaan maar
    niet massaal misbruikt worden (ivm gerichte aanvals
    strategie) slechts het resultaat is van hun handelen.

    De scriptkiddies van vandaag en gisteren zijn de consultants
    van morgen waarbij er ongewenst een balans is gevonden die
    waarschijnlijk nooit ten bate van de klant (waar het
    uiteindelijk om gaat) goed zal uitpakken.

    Ik vraag me af of Peter Rietveld weet dat er in Nederland
    maar vooral in derde wereld landen er regelmatig tieners
    zijn die binnen 6 maanden nadat ze met linux kennis hebben
    gemaakt, kernel rootkits schrijven. En dat je deze aanwas
    van nieuwe "hackers" niet met huidige generatie mentaliteit
    van onwetende consultants tegen kunt houden.

    Aan het einde van de dag gaat het op welke parate kennis
    iemand heeft en naar mate iemand meer consultants is, naar
    mate hij minder parate diepe technische kennis zal hebben.
    03-07-2007, 11:17 door Anoniem
    Een nieuwe categorie - de "calvinistische' hacker? Omdat een consultant
    alleen voor geld iets doet, zal deze slechts standaard tools en oplossingen
    hebben. En omdat er niet betaald wordt voor parate kennis.... hebben ze
    dat niet.

    Geld is immers de bron van alle kwaad en hackers zijn allemaal
    menslievende geldhatende tiepjes. Ze stemmen ook allemaal CU, PvdD
    of GroenLinks.... En alle mensen die geld niet belangrijk vinden zijn wel
    slim, inventief en helemaal bij de tijd.

    Get a Life: als je buiten de gebaande paden gaat kun je nog veel meer
    geld krijgen. Niet alle consultants dragen een blauw pak met een
    gestreepte stropdas.

    Het gepresenteerde gegeven dat 3e wereld kids binnen zes maanden
    rootkits bouwen - wat zegt dat? Dat de linux kernel blijkbaar slecht is? Dat
    er ook slimme mensen wonen in de derde wereld en dat daar geen
    stropdas tegen helpt? Dat je dus maar beter géén linux kan gebruiken,
    want dan komen die armoedzaaiers uit de derde wereld die het allemaal
    NIET voor geld doen, en zetten een rootkit in je kernel.
    06-07-2007, 05:26 door Anoniem

    Het gepresenteerde gegeven dat 3e wereld kids binnen zes
    maanden
    rootkits bouwen - wat zegt dat?

    Och, ook bij de bedrijf achter security.nl werken mensen die
    binnen enkele maanden zonder enige achtergrond of ervaring
    met programmeren linux exploits vonden en maakten.

    Waarom niet voor windows? Wellicht omdat documentatie van
    laag niveau is en de ontwikkel omgeving geld kost.

    Overigens hadden deze jongens (en meisjes) in Nederland en
    Belgie ook gewone verplichtingen zoals school, hobbies en
    bijverdiensten (zoals bokito's voeden) dus laatstaan hoe
    deze mensen zich ontwikkeld hadden als ze zeeën van tijd
    hadden en in mindere welvaart hadden geleefd.

    Met 16 miljoen mensen is de kans dat er vele zich tot dit
    niveau zullen ontwikkelen redelijk klein, maar in een
    opkomende economie met ruim 1 miljard mensen is het
    vanzelfsprekend dat er een veelvoud aan lowlevel hackers
    zullen ontstaan die niet de normen en waarde noch de
    welvaart hebben om hun kennis en kunde voor ethisch te
    verantwoorden zaken toe te passen.

    Dus om je vraag te beantwoorden, het gepresenteerde gegeven,
    beweer ik.


    Dat de linux kernel blijkbaar slecht is? Dat
    er ook slimme mensen wonen in de derde wereld en dat daar geen
    stropdas tegen helpt? Dat je dus maar beter géén linux kan
    gebruiken,
    want dan komen die armoedzaaiers uit de derde wereld die het
    allemaal
    NIET voor geld doen, en zetten een rootkit in je kernel.

    Men mag niet vergeten dat de uitgangspunten van elke
    besturingsysteem dat op eenzelfde hardware functioneerd
    overlappingen kent.
    De stap om een andere os eens kritisch door te lichten zal
    eerder ingegeven worden door de economische belang.

    Je kunt nu voor 10 dollar per uur elk stuk closed software
    anoniem laten auditten in China, custom made exploits laten
    maken etc.

    En het zijn er nu al honderden aanbieders van dergelijke
    diensten.

    Wat wil je daar als "westerse" land tegen doen waar elke
    een-oog in de land der security blinden koning is.

    Ik ben dan ook van mening dat indien we security niet vanuit
    het laagste technisch perspectief gaan bekijken maar slechts
    vanuit beleid gaan beschouwen derhalve invulling geven door
    incompetente mensen in te zetten, we ons te nimmer kunnen
    beschermen tegen een individu die zich niet aan dat beleid
    gaat houden en op een technisch vlak een ingang gaat zoeken.
    28-08-2007, 12:00 door Anoniem
    <quote>
    Ik ben dan ook van mening dat indien we security niet vanuit
    het laagste technisch perspectief gaan bekijken maar slechts
    vanuit beleid gaan beschouwen derhalve invulling geven door
    incompetente mensen in te zetten, we ons te nimmer kunnen
    beschermen tegen een individu die zich niet aan dat beleid
    gaat houden en op een technisch vlak een ingang gaat zoeken.
    </quote>

    Zo lang uitspraken dat techniek het probleem niet is en dat mensen de
    zwakste schakel zijn populair blijven onder niet technische mensen zoals
    managers en procesboeren en consultants, zal dit niet gaan gebeuren.
    Terwijl je erg gelijk heb.
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.