Alternatieve software is belangrijk onderdeel van meerlaagse beveiliging
Zoals de meesten weten is beveiliging een dynamisch iets dat niet in één oplossing te vatten is. Wat vandaag "good practice" is, is morgen misschien "not done". Beveiliging bestaat dan ook uit meerdere lagen, zodat je meer aanvallen kunt opvangen. Een belangrijk punt is het kijken wat aanvallers doen, welke tactieken ze gebruiken en hoe ze te werk gaan.
In dat licht speelt alternatieve software een belangrijke rol. Kijk naar een Real Player, Adobe Reader, Internet Explorer, WinAmp en ga maar door. Allemaal applicaties die honderden miljoenen mensen gebruiken, en daardoor een ideaal doelwit voor criminelen zijn. Zeker nu meer mensen Windows patchen, zoeken aanvallers naar kwetsbare applicaties van derden. Zodra je een lek hebt gevonden, is het namelijk prijsschieten. Als crimineel zul je dan ook meer tijd steken in het doorspitten van de populaire applicaties, dan met "alternatieve software" het geval is.
Dat wil niet zeggen dat alternatieve software beter of veiliger is, maar je maakt je door het gebruik ervan wel een kleiner doelwit. Natuurlijk geldt wat vandaag de dag alternatief is, morgen "mainstream" kan zijn. Daarnaast is het kiezen van een "andere browser" of welk programma dan ook geen zilveren kogel en moet je blijven patchen en opletten wat je doet. Toch heb je de kans op een succesvolle aanval wel verkleind. Als gebruiker heb je geen invloed op de veiligheid van de software die je gebruikt, wel of die interessant voor computercriminelen is. Onze stelling luidt derhalve: Alternatieve software is belangrijk onderdeel van meerlaagse beveiliging
kwetsbaarheid komt dan waarschijnlijk niet overal voor en
een enkelvoudige aanval legt dan ook niet je hele bedrijf
plat. Nadeel van diversiteit is natuurlijk het complexere
beheer met de kans op (beveiligings)fouten.
Maar dat geldt niet alleen voor populaire gebruikerssoftware maar voor
software (en hardware) in het algemeen.
Zorg dat je in je serverpark, je netwerkinfrastructuur en je
gebruikerssoftware niet afhankelijk bent van één produkt of leverancier.
Voor kritische componenten zou je als organisatie/bedrijf snel moeten
kunnen omschakelen op ieder gewenst moment. Alternatieven hoef je dus
niet perse te altijd gebruiken, maar zorg wel dat ze op de plank liggen en
inzetbaar zijn zodra 't nodig is.
Eens.
Maar dat geldt niet alleen voor populaire gebruikerssoftware
maar voor
software (en hardware) in het algemeen.
Zorg dat je in je serverpark, je netwerkinfrastructuur en je
gebruikerssoftware niet afhankelijk bent van één produkt of
leverancier.
Voor kritische componenten zou je als organisatie/bedrijf
snel moeten
kunnen omschakelen op ieder gewenst moment. Alternatieven
hoef je dus
niet perse te altijd gebruiken, maar zorg wel dat ze op de
plank liggen en
inzetbaar zijn zodra 't nodig is.
En vergeet vooral onze landelijke overheid niet... bakken
Microsoft daar. En defensie.
Monocultuur is een probleem, maar dat had Dan Geer jaren
terug al door.
Hmmm... zeg dat maar tegen die 100% Microsoft shops.
En vergeet vooral onze landelijke overheid niet... bakken
Microsoft daar. En defensie.
Monocultuur is een probleem, maar dat had Dan Geer jaren
terug al door.
In Europa is er wat dat betreft wel een lichtpuntje aan het einde van de
tunnel waar te nemen. Zie hoe Kroes ten strijde is getrokken tegen
Microsoft en in het gelijk is gesteld. Daarnaast subsidieerd Europa
ontwikkelingen in en gebruik van open source software. Een beginnetje,
maar toch...
gevonden zijn dan in IE? En wat nou als iedereen hierop overgaat? Dan
gaat men zijn aandacht helemaal op deze software richten.
Open source software is totaal geen garantie voor een veiliger systeem. Integendeel zelfs. Maar de Microsofthaters blijven maar doorblaten dat je met open source pas echt veilig zou zijn. Feiten die het tegendeel aantonen, worden doodleuk genegeerd.
Kortom: een non-issue, alleen maar leuk voor de Microsofthaters. Droom
lekker verder.
duizende gebruikers zal hebben. Dus een relatief klein doelwit is in de
praktijk al snel groot genoeg om een hack poging op te wagen.
Let wel dat ieder goed alternatief product op internet al snel enkele
duizende gebruikers zal hebben. Dus een relatief klein doelwit is in de
praktijk al snel groot genoeg om een hack poging op te wagen.
Het gaat altijd om de grote getallen. Dat is de reden dat we spam en
trojans hebben. De kans op succes wordt daarmee groter. En een botnetje
waar je iets aan hebt, opbouwen uit zombies met bv. FreeBSD schiet
natuurlijk ook niet op. Al was het maar vanwege het type gebruikers dat die
machines gebruikt/beheert.
Dus allemaal aan de Firefox? Waar nou al twee keer zoveel lekken in
gevonden zijn dan in IE? En wat nou als iedereen hierop overgaat? Dan
gaat men zijn aandacht helemaal op deze software richten.
Open source software is totaal geen garantie voor een veiliger systeem.
Integendeel zelfs. Maar de Microsofthaters blijven maar doorblaten dat je
met open source pas echt veilig zou zijn. Feiten die het tegendeel
aantonen, worden doodleuk genegeerd.
Kortom: een non-issue, alleen maar leuk voor de Microsofthaters. Droom
lekker verder.
Gaat er niet om of je microsoft-hater of volger bent. Gaat erom dat je
kritische afwegingen kunt maken. Welk produkt zet je waar in? En heb je
alternatieve produkten op de plank liggen en er ook de kennis voor in huis?
Kritiekloos achter één enkel produkt of leverancier aanhollen is in elk geval
niet slim.
je met open source pas echt veilig zou zijn. Feiten die het
tegendeel aantonen, worden doodleuk genegeerd.
Dat is nou niet het punt: de stelling hier is dat
diversiteit je minder kwetsbaar maakt over de hele linie, en
v.w.b. betreft diversiteit ben je bij M$ aan het verkeerde
adres. Dus naast M$ ook....(unix/linux/openBSD/os-X..)
Verder kun jij niet hardmaken dat "open source" ONveiliger
is dan closed source, daarmee niet zeggende dat open source
onfeilbaar is natuurlijk.
Wat je wel kan is de code lezen...toch, en aldus scannen
duizenden ogen de code die in "open source" gebruikt wordt.
Vertrouw je het nog niet, dan gebruik je de sourcefiles en
compileer je ze zelf.....tenslotte kan niemand hier
tegenspreken dat in de "closed" wereld de gebruiker ervan
PRECIES weet wat die code allemaal doet..
van een breed gebruikt stuk software (hoeveel is daarvoor beschikbaar)?
Zet dat eens tegen af tegen weinig gebruikte software van leveranciers die
weinig beschikbaar heeft om een lek op te lossen?.
Een hacker die misbruik maakt van een lek in een weinig gebruik pakket
heeft misschien meer moeite met het vinden van deze gebruikers, maar
eenmaal gevonden heeft hij waarschijnlijk alle tijd om dit te misbruiken
voordat het lek (if at all) gedicht wordt.
Hoeveel inspanning zal worden gespendeerd voor het dichten
van een lek
van een breed gebruikt stuk software (hoeveel is daarvoor
beschikbaar)?
Zet dat eens tegen af tegen weinig gebruikte software van
leveranciers die
weinig beschikbaar heeft om een lek op te lossen?.
zozeer afhankelijk van het aantal gebruikers of de omzet,
meer van de mate van kwaliteitsdenken die een leverancier
heeft. Soms lopen juist de kleine leveranciers een stapje of
twee harder dan de grote arrogante speler.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
