regels zijn er om gebroken te worden.

Dus....
Bullshit

Wetgeving dicht een lek niet, maar beoogt het gebruik ervan
te stoppen.
Moeten we hier nu lijsten met voorbeelden noemen van dingen
die niet mogen, maar wel gebeuren?

Mijn stelregel: Als je iets niet wilt, maak het technisch
onmogelijk. Lukt dat niet, maak het zo moeilijk mogelijk en
zorg voor een verbod. Lukt het helemaal niet, denk dan nog
eens goed na waarom het sowieso kan.

Als er in de handleiding van de magnetron niet staat dat je geen hondjes
mag drogen in de magnetron, dan mag het blijkbaar. Dus zodra iemand
dat dan probeert en het gaat mis, dan is de magnetronfabrikant
aansprakelijk en kan je miljoenen dollars schadevergoeding ontvangen.

Zo werkt het al jaren in de VS.

Uitstekende oplossing! Inbreken is ook bij de wet verboden. Er wordt dan
ook nooit ingebroken.

Wetgeving bepaalt ook hoe hard je mag rijden, dat je moet
betalen voor dingen die je uit winkels meeneemt, dat je een
ander geen schade mag berokkenen enz.
Maar mensen houden zich niet altijd aan de wet. Zonder
uitvoerige controle en bestraffing stelt een wet niets voor,
en is het opzich geen oplossing dus.
In Amerika en Nederland lijkt het er op, dat de meeste
regeringsleden niets beters kunnen bedenken dan het
verbieden van symptomen van de huidige problemen (komt dat
misschien door de eigen opvoeding van die beste mensen?).
Wat als de politiek bepaalt dat het verspreiden van lekke
software strafbaar is? Dan krijgen gedupeerden een wettige
stok om de leverancier mee te slaan. Vooral als zo'n
leverancier in reclame's luidkeels verkondigt dat zijn
software heel veilig is.
Verboden zullen vermoedelijk niet voldoende zijn (de
stelling) en waarschijnlijk veel ongewenste neveneffecten
met zich meebrengen.
Ik denk dat het voor de ontwikkeling van software beter is
als (in elk geval de huidige) politici zich er zo min
mogelijk mee bemoeien. En dat geldt ook voor internet en nog
talloze andere zaken.

off-topic:
stam + t: ik bepaal, jij bepaal-t, hij/zij/het bepaal-t.

Hahaha! Fantastisch! Dat is mijn tekst! ;-)

Anyway, ik kan in volle overtuiging zeggen dat die wetgeving natuurlijk kant noch wal raakt. Ten eerste is de fabrikant verantwoordelijk voor het lek. Ten tweede is het doorgaans veel eenvoudiger om lekken technisch op te lossen dan om
wetgeving in te voeren c.q. aan te passen.

Trouwens, wellicht loont het de moeite om de link naar [url=http://www.security.nl/article/17184]het betreffende
artikel[/url] in dit artikel even aan te passen. :-)

In die strekking zou Hans Brinker destijds voor een wet
moeten hebben zorgen en niet zijn vinger in de dijk hoeven
steken.......

M.a.w. het is kul.

Wetten dichten geen lekken, maar kunnen zorgen dat wat
beschermd moet worden (belangen meestal), beschermd kan
worden zonder andere maatregelen te moeten hoeven treffen.
Of het verstandig is het ongerepareerd te laten is wat
anders. Dus is zo'n wet niet voldoende.

Als je de rechtsgang in een natie compleet wil stagneren,
moet je vooral zo blijven redeneren. Want uit strafwetten
volgen sancties, die sancties moeten toegewezen worden aan
een schuldige en een schuldige moet eerst bepaald worden
middels een procedure.

Je 'dicht' dus een lek met het een en elders in je 'systeem'
klapt het er weer uit. Principe van de weg van de minste
weerstand, ofwel de zwakste schakel.

Die wedloop zal altijd duren, zolang uit de principes geen
gelijkmatigheid van krachten ontstaat. In de mens zit altijd
een drang naar superieuriteit en zal er altijd gezocht
blijven worden naar 'lekken' om er voordeel mee te behalen.

- Unomi -

Wetgeving is wel wenselijk, omdat het dan duidelijk is dat iets illegaal is.
Zo kun je overtreders ook echt aanpakken.

Maar het is natuurlijk niet voldoende. Je mag ook niet inbreken, maar toch
hebben we politie en beveiligingsbedrijven nodig om dat te voorkomen.

Het internet is een INTERNATIONAAL medium. Dergelijke wetten
zijn zinloos, omdat dan ieder land moet meewerken (en ze ook
nog eens allemaal de afspraken(wetten) goed moeten naleven).
Iets wat ik nog niet zie gebeuren..

En de Redbox was een intern probleem, de 'Amerikaanse
telefoonmaatschappijen' waren daarvan de dupe. Wat er in
andere landen gebeurd is dan niet van belang... voor hun
portemenee.

(Het zijn eigenlijk 2 totaal verschillende problemen, maar
dat zullen mensen zoals Balkellende of Bush niet zo snel
begrijpen..)

Volksaangelegenheid, "we zijn van Duitsen bloed"..............

Wetgeving zal er ongetwijfeld toe leiden dat het niveau van de beveiliging
omhoog gaat, doordat wetgeving verantwoordelijkheid/aansprakelijkheid
met zich brengt, en dat hierdoor bedrijven worden aangemoedigd om hun
beveiliging op te schroeven, om zich zoveel mogelijk tegen financiele
risico's in te dekken.

Ook zullen zij zich willen verzekeren tegen mogelijke kosten, en ook deze
verzekeraars zullen vanuit de optiek van risk management eisen stellen
aan het beveiligingsniveau, en audits eisen van de verzekerde.

Natuurlijk zal wetgeving niet elk lek dikken, maar het draagt er indirect
absoluut aan bij. Zie bijvoorbeeld ook de invloed van de Sarbanes Oxley
Act op het beveiligingsniveau van bedrijven binnen de VS of die op de
Amerikaanse markt actief zijn.

De compliance eisen die deze wet met zich mee brengt, om aan te tonen
dat men ''in control'' is, heeft grote invloed op onder meer IT Security beleid.

"Wetgeving is wel wenselijk, omdat het dan duidelijk is dat iets illegaal is.
Zo kun je overtreders ook echt aanpakken."

De inbreker is niet het middelpunt van deze discussie. Het gaat om de
verantwoordelijkheid van degene bij wie wordt ingebroken als je dit als
vergelijking wilt gebruiken. Heeft deze voldoende maatregelen genomen
om dit te voorkomen, en zoniet, welke verantwoordelijkheid draagt deze
dan zelf ?

Als bedrijven aansprakelijk worden daarvoor, willen ze de risico's verlagen,
en willen ze zich ook tegen deze risico's verzekeren. Deze combinatie zal er
dan toe leiden, dat bedrijven hun inbraakbeveiliging verder opvoeren.

Hier staat een interessant artikel van Bruce Schneier waarin wordt
uitgelegd waarom wetgeving een goede impuls geeft om lekken te
dichten :

Make vendors liable for flaws, says Schneier
http://www.techworld.com/security/news/index.cfm?newsid=8043

e.e.a. was inderdaad ingegeven als reactie op jouw posting in genoemd
draadje (tiener hackt alarmcentralen) Incompatible ;-). Grappig dat er
vervolgens een nieuw artikel van gemaakt is, ik kon mijn reactie
vanmorgen al niet vinden in het betreffende draadje.

On topic dan maar:
Dat door wetgeving een lek nog steeds lek is een vaststaand feit, en het
kan nog steeds misbruikt worden daar is geen enkelle discussie over wat
mij betreft.

In de huidige maatschappij, in Nederland, in het buitenland en ook op
deze website zie ik vaak dat 'slecht' wel weer 'goed' gepraat word. Dit
gebeurt op vele terreinen waar onze netwerken er slechts één van zijn;

- "regels zijn er om gebroken te worden. "
- "Uitstekende oplossing! Inbreken is ook bij de wet verboden. Er wordt
dan
ook nooit ingebroken."
-"Die wedloop zal altijd duren, zolang uit de principes geen
gelijkmatigheid van krachten ontstaat. In de mens zit altijd
een drang naar superieuriteit en zal er altijd gezocht
blijven worden naar 'lekken' om er voordeel mee te behalen.
"
(om er even 3 uit dit draadje bij te pakken)

In reactie op de eerste; Bedankt voor je illustratieve reactie, houdt je er
verder lekker buiten omdat je verder weinig zinnigs toevoegd.

In reactie op de 2e en 3e: Dergelijke gelatenheid op 'kwaad', het naar mijn
insziens stoïcijns "het gebeurt toch dus voorkom het maar gewoon." (vrij
vertaald, mijn excuses indien dit een misinterpretatie is) reageren komt mij
nog steeds vreemd over. Ik weet dat ik hetzelf ook doe in het dagelijks
leven maar toch bijt het mij af en toe. Wij accepteren maar gewoon dat we
continu gevaar lopen door 'slechte' individuen of groepen, wij nemen
hiertoe beschermende maatregelen maar doen niks aan 'het kwaad'.


Het is vanmorgen nog vroeg voor mij ;-), dus ik laat het hier lekker even bij.

J.

De stelling zou moeten zijn; "Wetgeving is genoeg om
aansprakelijkheid af te wenden"

Het nut van wet en regelgeving in de beveiligingscyclus is evident, vooral
(maar niet uitsluitend) in de terugkoppelingsfase naar de aanvaller.
Maar, zoals bij elke stelling die neerkomt op het uitroepen van een
specifiek stuk gereedschap tot de ultieme oplossing: de stelling klopt niet
omdat alle gereedschappen met elkaar gezamenlijk de oplossing
uitmaken.
Terecht wordt opgemerkt, dat een nationale wetgeving voor het Internet
nooit erg effectief zal worden.
Terecht wordt getwijfeld aan de kwaliteiten van specifieke stukken
wetgeving.
De stelling zou dus eigenlijk als vraag moeten worden gesteld: welke
wetgeving denk je eigenlijk nodig te hebben?

Uit het boekje "auditing voor beginners": een automated control is altijd te
verkiezen over een procedurele control. Tot zover de stelling.

Wat betreft het uitputtend beschrijven van alle niet-toegestane zaken in
wetgeving: hier valt zeker op het gebied van techniek wel e.e.a. te
verbeteren door juist de toegestane zaken te noemen.

Bijvoorbeeld: "gebruik van openbare communicatie-faciliteiten is beperkt
tot (...) tegen een door de eigenaar van faciliteiten vastgesteld tarief". Met
zo'n formulering ondervang je in 1 klap alle trucjes die erop zijn gericht om
gratis van de faciliteiten gebruik te maken: het is daarmee immers
misbruik geworden.

Peter

Als de wielen van je auto afbreken en het is een
fabrieksfout ,dan is de automaker aanspakelijk.
Is het na een banden of wiellager wissel is de garage
aansprakelijk.
Dus als de software niet werkt op de PC en het is mogelijk
om in te breken en er maar wat op te zetten...en 95% van de
mensen zijn net als bij de auto leken....Is de maker van de
software verantwoordelijk.!!
Dus de wetgeving moet de software bedrijven aanpakken.
Bij de software in vliegtuigen is dat heel duidelijk.
Ook de makers van CNC machines software zijn altijd de klos
als er fouten zijn.
Waarom willen ze dan NU de gewone man pakken die niet eens
weet wat een byte is maar wel weet dat ie ze moet hebben.
SOFTWARE MAKERS AANSPAKELIJK STELLEN ALS DE BOEL ZO SLECHT
IS DAT EEN NIETSWETENDE GEBRUIKER PROBELEM KRIJGT.
Dan worden er eindelijk echte software ingenieurs opgeleid.
En komt er net als bij archtecten een dikke
verantwoordelijkheid voor de software makers.
HET SPELEN IS AFGELOPEN!!!!!
En de politiek moet de gebruikers licenties eens doornemen
en aanpassen.
SOFTWARE KAN WEL GOED (motormanagement etc....)
En als ik de EPROM laat aanpassen of een andere ECU monteer
is de garantie weg...

Dat is zo ongeveer dan ook wat er gebeurd is. Maar daarmee
los je het mankement niet op. Je kunt namelijk ook zeggen
dat het oversteken van een kruispunt uitsluitend mag
plaatsvinden ten tijde van het uitstralen van de vooraf
afgesproken kleur door de daarvoor bedoelde lichtbron. (of
zoiets) Maar steken mensen de kruising over terwijl de
daarvoor bedoelde lichtbron een andere kleur uitstraalt.

Het is verboden om ongevraagd andermans spullen mee te
nemen. Toch zit er een slot op de deur om dat te
voorkomen... Regelgeving lost het probleem niet op.

Eigenlijk klopt die analogie met een voordeur en slot niet. Er is namelijk geen wettelijke verplichting voor dat slot. Je kunt nog steeds aangifte doen en die wordt netjes behandeld ook al heb je je deur open laten staan. Probleem is echter dat de verzekering meestsal niets vergoed dan. En de verzekeraar is geen wetgever.

De basis voor het aan de kaak stellen van misstanden (wat de mens een
misstand vindt tenminste) wordt vastgelegd in wetgeving. Eerst vinden we
dat er iets niet mag en dan gaan we wetten maken. Vervolgens is het aan
de (bij ons in nederland) mens zelf of we vinden in hoeverre er iemand
over de schreef gaat. Iemand geeft iets aan (mens of politie ziet iets),
officieren van justitie interpreteren, advocaten willen handiger zijn dan
officieren en de rechter mag bepalen wie er gelijk heeft en bepaalt de straf.
Elke wet of regelgeving is afdoende als er de juiste mensen er op de juiste
manier mee omgaan. Wat er in de wetgevingswereld al 100 jaar en langer
aan de hand is, is dat men wetgeving steeds minder interpretabel wil
maken en dus dat men door de hoeveel overwegingen en uitspraken en
gedachtes verschrikkelijk veel tegenstrijdigheden introduceert. Op deze
manier raken we steeds verder verwijderd van de doelstelling van een wet.
We moeten met z'n allen met elkaar leven op een aanvaardbare manier.
Om op de stelling terug te komen. Ja, de wetgeving is toereikend, alleen al
om het feit dat we misbruik aan de kaak stellen. Dan gaan we met z'n allen
eens naar de geest van wet kijken. En voeden we elkaar op. Dat is m.i. de
essentie van wetgeving.