Nieuws

Informaticastudenten krijgen te weinig les in security

dinsdag 13 mei 2008, 13:15 door Redactie, 10 reacties

Informaticastudenten aan Britse universiteiten en hoge scholen weten te weinig van security, dat blijkt uit onderzoek van verschillende opleidingen. De onderzoekers keken naar 75 opleidingen waar informatica aan bod komt, het gaat dan onder andere om ontwikkelen en programmeren. Meer dan 80% van alle IT-studenten krijgt te weinig of helemaal geen les over security.

Dat het onderwerp meer aandacht verdient is zeker, maar er zijn twee manieren om dit te doen. Zo kunnen scholen ervoor kiezen om meer lesuren aan security te besteden of studenten te bewegen het vak te volgen. Hoe meer tijd aan security wordt besteed, des te minder studenten vaak dit soort vakken volgen en vice versa. De onderzoekers zijn zelf voorstander van "beter iets dan niets", waarbij men zoveel mogelijk studenten aan security wil blootstellen.

Om de studenten te motiveren stellen ze een publiciteitscampagne voor. Daarnaast moet ook het onderwijs zelf veranderen. "De meeste security les is pragmatisch en staat niet in contact met onderzoeksactiviteiten. Ook staat het los van formele methoden, zoals veilig programmeren, test strategieën en systeem modellering (die weer onderzoekselementen in zich hebben). Dit kan te maken hebben met de jonge leeftijd van het vakgebied of heeft diepere oorzaken die men moet onderzoeken."

Google onthult gezichtsdetectie in Street View

Hackers ontwikkelen onzichtbare rootkit

Reacties (10)

13-05-2008, 13:26 door Anoniem

Uberhaupt weten weinig IT'ers (en eindgebruikers) iets van security. Vaak
worden projecten gestart en opgeleverd en oh ja het moet ook nog veilig zijn
en oh ja het moet nog beheerd gaan worden.

EN het mag vooral niets kosten.

Goed initiatief dus in de UK. Verder start er 1 september een nieuwe 4 jarige
bachelor Information Security Management op de Haagse Hogeschool. Dus
wie weet.

13-05-2008, 14:20 door Ronald van den Heetkamp

Eigenlijk is het een probleem van het niet begrijpen van hoe een computer werkt, oftewel men leert niet programmeren, maar men leert "scripten". Programmeer fouten en daarmee beveiligings problemen, zijn doorgaans gebaseerd op de ontwetendheid van de programmeur op hoe een computer eigenlijk werkt. Dus, als je goed leert programmeren heb je geen security class meer nodig.

13-05-2008, 14:24 door Lodewijk_XL

Door Ronald van den Heetkamp
Eigenlijk is het een probleem van het niet begrijpen van hoe
een computer werkt, oftewel men leert niet programmeren.
Programmeer fouten en daarmee beveiligings problemen, zijn
doorgaans gebaseerd op de ontwetendheid van de programmeur
op hoe een computer eigenlijk werkt. Dus, als je goed leert
programmeren heb je geen security class meer nodig.

Ben ik erg kort door de bocht als ik jouw reactie samengevat
als:
De lekken in huidige software zijn veroorzaakt door
onkundige programmeurs. ?

13-05-2008, 14:37 door Ronald van den Heetkamp

Nou eigenlijk zijn de meeste developers "patchers". ze fixen een probleem, en de volgende keer maken ze weer eenzelfde fout (zie Microsoft die na 20 jaar Internet explorer nog steeds dezelfde fouten maakt). Kijk maar naar exploit databases, meeste exploits keren na verloop van tijd terug of in een ander deel van een stuk software. Dit betekend dat ze het niet begrijpen hoe het werkt, ik heb het hier wel over fouten welke niet door snel programmeren ontstaan (overkomt iedereen dit zijn echte "bugs"), maar fouten als geen kennis over bijvoorbeeld de HTTP headers, stacks, heaps, processor architectuur.

Ik bedoel, hoe kun je ooit goed programmeren als je niet begrijpt wat deze dingen doen in een computer? dat is juist de basis van programmeren, ervoor zorgen dat een buffer niet kan overflowen, want de computer voert jouw instructies uit, er is geen controle of dit altijd goed gaat. Kennis van karakter encoding, opbouw van het aantal bytes, kennis van unicode, UTF-8 UTF-16, off-by-one exploits zodra een lus bijvoorbeeld groter is dan men denkt , vertrouwen dat PHP of ASP alles voor je oplost etc etc...

Mijn idee is dan ook, zodra je dit niet begrijpt kun je nooit goed (veilig) programmeren.

13-05-2008, 14:44 door Lodewijk_XL

Door Ronald van den Heetkamp op dinsdag 13 mei
2008 14:37

Maar is het dan ook niet een beetje de schuld van zaken als
object georiënteerd programmeren en de geroemde (gehate ?? )
feature van herbruikbare modules ?

Even voor de duidelijkheid : ik ben zelf geen ontwikkelaar,
heb ook geen enkele ambitie in die richting. ;-)

13-05-2008, 14:49 door Ronald van den Heetkamp

Klopt, van nature is programmeren procedureel omdat een instructie een procedure is, en elke procedure is een stap welke je applicatie veilig of onveilig maakt. Zoals ze in de luchtvaart industrie noemen: "the swiss cheese" theorie, waar elke plak van de kaas een laag is die onveilig kan zijn. Maar dat is meer een voorkeur in programmeren. Het hergebruiken van stukken code is een groot probleem. Veel programmeurs zijn ook lui (of krijgen geen genoeg tijd van hun werkgevers), en grijpen een class of een open source pakket, tweaken het een beetje en zetten het online. Met alle gevolgen van dien.

13-05-2008, 23:19 door [Account Verwijderd]

[Verwijderd]

14-05-2008, 18:05 door Anoniem

bij ons leren we hoe we word gebruiken, of hoe we bestanden
hernoemen
we leren wel over virus-beveiliging maar nie tover
spyware/adware of andere threats (hackers enzo)

14-05-2008, 21:49 door Anoniem

Ik volg zelf een bachelor ICT-security studie aan de Fontys
hogeschool te Eindhoven, Ict management & security genaamd.
Prima studie, plus je krijgt veel mogelijkheden om ervaring
op te doen omdat je ook eigen projecten kan aandragen.

Helaas vervalt dit jaar de studie en komt deze komende jaren
terug in minoren vorm. Persoonlijk vindt ik het jammer,
omdat ICT nu wel een gevestigde term is, maar de security en
de randzaken van security voor ICT eigenlijk vrij onbekend is.

Hopelijk wordt ook door mijn leeftijd's generatie security
wel serieus genomen.

14-05-2008, 21:51 door way

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer