Special: "Veiligheid consument verantwoordelijkheid van ISP"
Eindgebruikers zullen, alle cursussen en campagnes ten spijt, nooit iets van computerbeveiliging snappen en daarom moet de overheid internetproviders dwingen om de consument te beschermen tegen allerlei internetdreigingen, aldus beveiligingsgoeroe Bruce Schneier tegenover Security.NL. Schneier was gisteren in Amsterdam op het hoofdkantoor van BT om een presentatie te geven over toekomstige trends op het gebied van IT-beveiliging.
Volgens Schneier heeft regulering, zoals Sarbanes-Oxley, ook geholpen om bedrijven hun beveiliging te laten opvijzelen. Bedrijven beschikken echter over een automatiseringsafdeling, die voor de rest van de onderneming het beveiligingswerk uit handen neemt. De internetprovider moet daarom deze rol op zich nemen, zodat het de IT-afdeling van de thuisgebruiker wordt.
"De security van jouw computer, mijn computer, onze netwerken is afhankelijk van de beveiliging van de thuisgebruiker, zoals mijn moeder" laat Schneier, die vandaag in Amsterdam was, weten. "Als de PC van mijn moeder niet goed beveiligd is, krijgt ze een Trojaans paard en wordt ze onderdeel van een botnet, dat ons weer aanvalt. Dus onze veiligheid is afhankelijk van de veiligheid van mijn moeder, en die kan het niets schelen of er iets aan doen."
Nu zou je misschien zeggen train de eindgebruiker, maar daar ziet Schneier geen heil in. "Iedereen die denkt dat de oplossing ligt in het onderwijzen van eindgebruikers, heeft nog nooit een echte eindgebruiker ontmoet."
Niet iedereen is een expert
Het is onmogelijk om van mensen te verwachten dat ze een beveiligingsexpert worden. Dat is ook niet het geval bij autobezitters en mensen die een lampje verwisselen." Volgens Schneier is de reden dat de computers bij bedrijven beter beveiligd zijn, omdat ze daar IT-afdelingen hebben zitten. Die updaten de machines, monitoren ze en zorgen dat ze betrouwbaar blijven. Niet elke werknemer of manager weet namelijk iets van beveiliging. "Een gigantische infrastructuur die mijn moeder niet heeft."
Internetproviders bevinden zich in een positie dat ze wel als de IT-afdeling van de eindgebruiker kunnen functioneren. En om ervoor te zorgen dat dit ook gebeurt is er wetgeving nodig. "De ISPs moeten gedwongen worden om als automatiseringsafdeling te dienen." Providers die denken op deze manier extra inkomsten te genereren zijn bij Schneier aan het verkeerde adres. Als gebruikers namelijk voor een spamfilter moeten betalen zullen ze dat niet doen. "Clean pipe services, automatische updates, al die dingen die de IT-afdeling voor ons doet, moeten ISPs voor mijn moeder doen." Dit is de enige oplossing om de problematiek op te lossen, gaat de CTO van BT Counterpane verder.
Consumentenbond
Schneier zit met zijn opvatting op dezelfde lijn als de Consumentenbond, die eind vorig jaar liet weten dat de politiek veilig internet bij providers moet afdwingen. In eerste instantie zou de Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA) providers regels voor een veiliger internet voorschrijven, maar daar kwam het later op terug, iets wat de Consumentenbond in het verkeerde keelgat schoot.
De bond wil dat internetproviders draadloze routers leveren met een goede beveiliging die al is aangezet, altijd al het mailverkeer controleren op virussen en ingrijpen als ze zien dat een pc van een klant wordt ingezet om spyware en spam te verspreiden.
Anti-malware niet de oplossing
Het proactief optreden is echter alleen voorbehouden aan internetproviders, en niet aan IT'ers of onderzoekers die op eigen houtje bijvoorbeeld malware willen verwijderen door zelf wormen te schrijven, zoals in het verleden weleens is voorgekomen. "Het idee van behulpzame virussen komt elke keer weer langs omdat het schrijven van virussen leuk is, en onderzoekers het ook willen doen, maar we moeten niet doen alsof behulpzame virussen andere malware kunnen opruimen, het is voor tal van redenen een verkeerd idee."
alleen maar aan de rampen met Norton de laatste jaren.
En goede draadloze modems met al ingeschakelde beveiliging? Wie zegt dat alle computers met die betreffende beveiliging kunnen werken? Of doet men dat dan met een lagere, gemakkelijk te kraken beveiliging? Wat een onzin!
deze uitspraak had ik nooit verwacht van bruce eigenlijk
vind ik persoonlijk niets van kloppen, omdat we het zelf
niet kunnen moeten andere het doen? we moeten het gewoon
toch leren.
leren. Het interesseert hem/haar geen fluit wat er gebeurt,
zolang hij/zij maar filmpjes kan kijken op youtube en zn
bankzaken niet de mist in gaan.
En wie garandeert mij dat alle providers dat dan wel kunnen?
Denk
alleen maar aan de rampen met Norton de laatste jaren.
En goede draadloze modems met al ingeschakelde beveiliging?
Wie zegt dat alle computers met die betreffende beveiliging
kunnen werken? Of doet men dat dan met een lagere,
gemakkelijk te kraken beveiliging? Wat een onzin!
niets te maken met enterprise producten, dat valt gewoon
onder de naam Symantec. En ja, dat spul is wel goed/stukken
beter.
Dat er standaard WPA2 ingeschakeld is, vind ik helemaal geen
gekke gedachte. Als er in de begeleidende brief/handleiding
duidelijk staat hoe het aan de praat te krijgen is op de
verschillende besturingssystemen, voorzie ik niet zo heel
veel problemen. Dat ze hun windows SP0 dan misschien moeten
updaten is *juist* geen probleem, omdat dan tal van
beveiligingsproblemen verholpen worden.
Vergeet niet, als het op (pak hem beet) 98% van de computers
in een keer werkt, is dat gigantische winst tov de huidige
situatie. Voor die andere 2% zijn er de handige
neefjes/helpdesks etc.
Denk verder ook aan het limiteren van de internettoegang als
er geconstateerd wordt dat de pc onderdeel is van een
botnet. Of het afsluiten van poort 25 als er veel spam
verzonden wordt vanaf de computer, met uiteraard bij het
internetten een melding van hoe, wat, waarom en hoe te
verhelpen.
misbruiken door de overheid en dan krijg je zo'n ''big brother is watching
you" idee.En er word ook nog eens veel geld verdient aan virus scans en
andere beveiliging software dus die markt komt het niet ten goede en als
wij mensen dan zo'n router geven en waarschuwen igv spam of infectie,
dan krijg je dat mensen geen virus scan meer installeren/aanschaffen
omdat ze denken dat ze toch wel veilig zitten.Een directe gevolg hierop is
dat de aantal geinfecteerde pc's toeneemt en de internet provider het wel
heel druk krijgt.
misbruiken door de overheid en dan krijg je zo'n ''big brother is watching
you" idee.En er word ook nog eens veel geld verdient aan virus scans en
andere beveiliging software dus die markt komt het niet ten goede en als
wij mensen dan zo'n router geven en waarschuwen igv spam of infectie,
dan krijg je dat mensen geen virus scan meer installeren/aanschaffen
omdat ze denken dat ze toch wel veilig zitten.Een directe gevolg hierop is
dat de aantal geinfecteerde pc's toeneemt en de internet provider het wel
heel druk krijgt.
ik geen ongewensde beelden op mijn TV zie ?
de door hun verzonden brieven en pakketjes....... daaaaaaag
Bruce moet zich met algoritmen bezighouden, niet met de enge
grote boze wereld, waar zoals wel vaker, ook deze nerd
blijkbaar weer niets van snapt.
Sarbanes-Oxley, ook geholpen om bedrijven hun beveiliging te
laten opvijzelen.
uit... In de praktijk is het een drama. Security is een
issue zolang de procedure zegt dat het moet en hoe. Verder
dan de neus lang is kijkt men niet. Het gevolg is dat
systemen nog steeds "open" staan voor allerhande gevaarlijke
acties. Maar ja, ze zijn wel volgens het papiertje safe..
niet goed voor mijn eigen veiligheid. Lijkt mij dus een prima plan dat de
KPN daarvoor verantwoordelijk wordt ;-)
Ik betaal voor mijn internet connectie, wat ik daar overheen laat lopen is
toch zeker mijn verantwoordelijkheid of niet.
niet iedereen is een expert:
end qoute:
dat klopt.
de grootste sukkels werken zelf bij de helpdesk en weten nog
van toeters en blazen af.
qoute:
niet iedereen is een expert:
end qoute:
dat klopt.
de grootste sukkels werken zelf bij de helpdesk en weten nog
van toeters en blazen af.
Je bedoeld: "men weet van toeten nog blazen"
Ook veel gebruikt: "men heeft de klok horen luiden maar weet
niet waar de klepel hangt"
Fred
En wie garandeert mij dat alle providers dat dan wel
kunnen?
De stap voor de meeste (grote) consumentenproviders is dan
duidelijk. Alle potentieel gevaarlijke protocollen worden
standaard geblokkeerd.
En komt er een viruswaarschuwing voor bijvoorbeeld skype,
wordt dat ook tijdelijk geblokkeerd tot er een patch is. Die
iemand dan hebben gedownload en geinstalleerd voor hij het
netwerk weer op mag.
Iets dergelijks draait al bij een aantal providers. Alleen
blokkeren die pas na een klacht. Maar als je als provider
verantwoordelijk bent, blokkeer je de klant al voor hij
besmet is.
Het is vergelijkbaar met wat grote switchleveranciers als
Cisco en HP promoten onder de noemer NAC (Network Access
Control). Er draait software op je PC die aan de
netwerkapparatuur doorgeeft welke versies je hebt draaien
van de diverse pakketten. Als je achterloopt met een
bepaalde versie, kun je alleen nog maar naar de download
site van de leverancier van het pakket.
Na installatie ben je weer vrij om te gaan en staan waar je
wilt.
Daarnaast is NAC nog uit te breiden met testen op
virusscanners (Heb je wel de laatste signature file) en
firewalls (heb je wel de goede rules ingesteld). Ook een
geliefd onderwerp voor NAC is traffic analyse. Als je
plotseling veel mail verstuurt, ben je volgens de ingestelde
configuratie aan het spammen en wordt je dus afgesloten tot
je je machine hebt geupdate. Wat er mis is, is nog niet
bekend, maar wacht maar even tot de nieuwe vulnerabilities
zijn uitgekomen, dan controleren we je machine nog een keer.
Oh, je wilde een posting doen voor je visvereniging met 1000
leden. Sorry.
Je kunt mensen gaan beveiligen, maar de mensen gaan zich dan
onveiliger gedragen. En als dan de beveiliging even een
foutje maakt (want er bestaat niets zonder fouten) dan gaat
het alsnog mis.
Peter
Dus als ik mij weet voor te doen als een NAC dan kan ik
eenvoudig de configuratie van mijn potentiële doelwit
uitlezen en daar een mogelijke aanval op richten.
Het zijn juist die Cisco switches die 'eenvoudig' te
compromitteren zijn/waren.
Just my two cents.
nodig. "De ISPs moeten gedwongen worden om als
automatiseringsafdeling te dienen."
Oftewel, net als in het bedrijfsleven iemand aanwijzen die verantwoordelijk
is en er op afgerekend wordt (al dan niet terecht).
Dat afrekenen roept Bruce al langer en terecht.
Als ik via mijn KPN telefoonlijntje iemand uit ga lopen
schelden, is dat ook
niet goed voor mijn eigen veiligheid. Lijkt mij dus een
prima plan dat de
KPN daarvoor verantwoordelijk wordt ;-)
Ik betaal voor mijn internet connectie, wat ik daar overheen
laat lopen is
toch zeker mijn verantwoordelijkheid of niet.
Het is wel jouw verantwoordelijkheid, maar ik zit met de
problemen als jij je computer laat gebruiken als zombie. Ik
krijg de spam die jouw computer verstuurt omdat jij zo stom
bent geweest om een virus te (laten) installeren. Mijn
server wordt geDDOSt door oa jouw computer, omdat jij je
beveiliging niet op orde had.
Puur hypothetisch uiteraard, maar je snapt de redenering
wel: wat jouw computer uitgaat, kan ook gevolgen hebben voor
een andere gebruiker. En *daar* zijn mensen zich
niet/nauwelijks van bewust. Dáárom vind ik dat ISP's
zombies moeten afsluiten totdat ze hun zaakjes weer op orde
hebben.
Als ik via mijn KPN telefoonlijntje iemand uit ga lopen
schelden, is dat ook
niet goed voor mijn eigen veiligheid. Lijkt mij dus een
prima plan dat de
KPN daarvoor verantwoordelijk wordt ;-)
Ik betaal voor mijn internet connectie, wat ik daar overheen
laat lopen is
toch zeker mijn verantwoordelijkheid of niet.
Het is wel jouw verantwoordelijkheid, maar ik zit met de
problemen als jij je computer laat gebruiken als zombie. Ik
krijg de spam die jouw computer verstuurt omdat jij zo stom
bent geweest om een virus te (laten) installeren. Mijn
server wordt geDDOSt door oa jouw computer, omdat jij je
beveiliging niet op orde had.
Puur hypothetisch uiteraard, maar je snapt de redenering
wel: wat jouw computer uitgaat, kan ook gevolgen hebben voor
een andere gebruiker. En *daar* zijn mensen zich
niet/nauwelijks van bewust. Dáárom vind ik dat ISP's zombies
moeten afsluiten totdat ze hun zaakjes weer op orde hebben.
Zat (goede) ISP's die dat ook gewoon doen, nadat de
betreffende gebruiker gewaarschuwd is...! (IAE, bART,
Vianetworks Nederland, Claranet etc. etc.)
afdeling van de eindgebruiker kunnen functioneren. En om ervoor te
zorgen dat dit ook gebeurt is er wetgeving nodig."
Een wettelijke plicht om hiervoor te zorgen *met toestemming van de
gebruiker* mag ik dan wel hopen. Of wil men zeggen dat ik straks
wettelijk gezien mijn provider het recht moet gaan geven om te
controleren of ik op mijn computer wel alle patches heb geinstalleerd, en
meer van dat soort zaken ?
Ik weet helemaal niet of ik mijn provider die toegang wel zou willen
verschaffen. Daarnaast kan je m.i. de provider wel verantwoordelijk stellen
voor de veiligheid van de geleverde netwerkverbinding, maar niet voor de
veiligheid van de PC zelf.
Wat moet de ISP doen wanneer ik een of ander exotisch OS draai ? Of
wanneer ik weiger een bepaalde Windows patch te installeren, omdat
deze patch toevallig een conflict oplevert met een van de applicaties die
ik op mijn systeem draai ?
Als dienst van een ISP lijkt het mij goed, en Schneier heeft gelijk dat je
van de gemiddelde gebruiker niet kunt verwachten dat ze de
mogelijkheden en de wil hebben om beveiligingsexpert te worden. Zaken
als NAC lijken mij ook zeker geen slecht idee.
Maar wel graag optioneel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
