Kevin Mitnick: CISSP-certificering is waardeloos
Een van de bekendste hackers aller tijden zal volgend jaar weer flink in de aandacht staan, dan presenteert Kevin Mitnick namelijk zijn autobiografie. De inmiddels bekeerde hacker, nu werkzaam als beveiligingsconsultant, heeft veel te danken aan zijn roemrucht verleden. Hij bracht vijf jaar achter de tralies door wegens het stelen van bedrijfsgeheimen van onder andere Motorola, Nokia, Novell, Sun en andere bedrijven. Alle media aandacht zorgde ervoor dat hij eenvoudig aan nieuwe klanten kan komen.
Mitnick mocht als onderdeel van zijn straf niet eerder aan het boek beginnen. Daarin beschrijft hij zijn verhaal als hacker en voortvluchtige, maar ook hoe hij met phreaking in aanraking kwam. Verder zal hij lezers verschillende hacks uitleggen die hij uitvoerde. Hoewel hij daar nog niet veel over wil zeggen. "Wat ik niet zal doen is klagen over mijn rechtszaak of de mishandeling door de overheid of John Markoff." De laatste, een journalist voor de New York Times, zou allerlei verhalen over Mitnick hebben aangedikt en zelfs verzonnen. Volgens Mitnick wordt het boek een variant van "Catch me if You Can, alleen dan in cyberspace.
Tegenover Forbes laat Mitnick weten dat hij nooit de FBI heeft afgeluisterd of de NSA of NORAD heeft gehackt. De reden dat hij de verschillende telecombedrijven hackte zou puur uit nieuwsgierigheid zijn geweest. "Het ging nooit om het geld of de gratis telefoongesprekken. Het ging om de uitdaging van het verkennen." Mitnick ziet zijn hacker-verleden als een toegevoegde waarde voor wat hij vandaag de dag doet.
Waardeloos
"Vandaag de dag geven ze computerbeveiliging op school en mensen denken dat als ze een CISSP examen halen, ze weten wat ze doen. Maar het halen van een examen maakt je nog geen expert. Je moet beschikken over wat ik de "hackergeest" noem. De beste hackers weten hoe ze obstakels verslaan en puzzels oplossen. Ze weten hou ze mensen kunnen verslaan die systemen hebben ontwikkeld. Ze begrijpen de menselijke factor."
Met name CISSP's krijgen ervan langs. "Ze kunnen misschien beveiligingsproblemen ontdekken en het gevaar van die problemen bepalen. Iemand met de 'hackergeest' kan bijvoorbeeld zien dat drie minder ernstige lekken bij elkaar een ernstig probleem vormen. Ik wil niet al teveel generaliseren, maar met name CISSP heeft deze certificering ontwikkeld en veel geld verdiend door bedrijven te laten geloven dat hun werknemers dit nodig hebben. Ik ben van mening dat het in wezen waardeloos is."
de CV van een persoon om te kijken of deze de juiste achtergrond heeft om
zaken uit te voeren. Los daarvan is het natuurlijk zo dat het goed kunen hacken
van van een bepaald platform of technologie geen garantie is dat men naast
wat technische kennis ook voldoende organisatorische en juridische kennis
heeft om goede beveiligingsraamwerken te ontwikkelen. Het gaat erom of voor
de functie die ingevuld moet worden de juiste ervaring en kennis aanwezig is.
Daar is inderdaad puur en alleen de CISSP certificering bepaald niet echt
heilig makend. Ik ken een aantal mensen die het hebben die capabel zijn en
er zijn ook mensen die het hebben die ik nog niet eens een toilet zou laten
schoonmaken...
niets over de ervaring die je hebt. Alleen dat je een
papiertje gehaald hebt.
jaren geen systeem mocht aanraken en in het gevang
afgezonderd heeft gezeten van zelfs de literatuur en de
buitenwereld heeft zeker wel een waarde als
beveiligingsguru?!?!? Dag wijsheid van Mitnick.
je moet het hebben voor je CV.
Veel bedrijven doen niks anders dan naar certificeringen kijken.
waar dat CISSP niet veel waarde heeft.
Het probleem is het ISC studiemateriaal, dat mede door ondeskundigen is
geschreven. Het is ook inderdaad te duur en ISC is een bedrijf (inc).
hacken op zich te maken? CISSP is net bedoeld als brede
theoretische basis, en is helemaal niet technisch bedoeld.
Waardeloos of niet, ik heb er gigantisch veel van
opgestoken. Maar inderdaad niet hoe je moet hacken ....
Koekje van eigen deeg dan maar: iemand die een flink aantal
jaren geen systeem mocht aanraken en in het gevang
afgezonderd heeft gezeten van zelfs de literatuur en de
buitenwereld heeft zeker wel een waarde als
beveiligingsguru?!?!? Dag wijsheid van Mitnick.
van hoe iets werkt. Je zou haast kunnen zeggen dat het een
manier van leven is.
hij zal daar vast wel
literatuur hebben weten te bemachtigen.
En wanneer een rechter iemand een computerverbod oplegt valt
dat natuurlijk nooit te controleren.
hacken, maar als hij met zulke wijsheid aan komt om collega
consultants onderuit te schoffelen moet hij wel met een
grotere blik op het geheel kijken dan alleen wat hij fout
ziet bij de rest. Maar dat vergeet meneer nog wel eens, hij
teert voornamelijk op zijn naam.
Geldt dat niet voor (bijna) alle certificeringen? Het zegt
niets over de ervaring die je hebt. Alleen dat je een
papiertje gehaald hebt.
opdoen. Anders krijg je situaties als: deskundige gevraagd, niet ouder dan 25
en met 30 jaar ervaring. Bekijk sommige personeelsadvertenties maar eens.
Kortom: geef mensen ook de kans om die ervaring op te doen. Waarom niet in
het eigen bedrijf?
Wat een belachelijke redenering. Wat heeft CISSP nu met
hacken op zich te maken? CISSP is net bedoeld als brede
theoretische basis, en is helemaal niet technisch bedoeld.
Waardeloos of niet, ik heb er gigantisch veel van
opgestoken. Maar inderdaad niet hoe je moet hacken ....
toegevoegde waarde zou moeten hebben in consultantland.
CISSP staat voor:
Certified
Information
Systems
Security
Professional
(http://en.wikipedia.org/wiki/CISSP)
Zie jij hier ergens de H van Hacken?
Kortom de CISSP heeft een brede, en daar waar interesse zit diepgaande,
kennis van Security in de IT.
Wat een belachelijke redenering. Wat heeft CISSP nu met
hacken op zich te maken? CISSP is net bedoeld als brede
theoretische basis, en is helemaal niet technisch
bedoeld.
En zo is het precies! Het geeft aan dat je een bepaalde
theoretische basis kennis bevat. De ervaring zal uit je CV
moeten blijken.
schriftelijk bewijs materiaal.
Stelletje stropdassen.
studie of certificering heeft. voor de rest heeft ie wel gelijk, maar dat is een
inkoppertje lijkt me. Zonder achtergrond en drive of ervaring geen wijsheid.
Geldt dat niet voor (bijna) alle certificeringen? Het zegt
niets over de ervaring die je hebt. Alleen dat je een
papiertje gehaald hebt.
Inderdaad, en de IT heeft er ook niet het alleenrecht op.
Geldt dat niet voor (bijna) alle certificeringen? Het zegt
niets over de ervaring die je hebt. Alleen dat je een
papiertje gehaald hebt.
Je hebt aangetoond de theorie op tenminste een afgesproken
minimum niveau te hebben. En dat je hiervoor enige interesse
hebt.
Net als autorijden. De ervaring na het examen, maakt iemand
een goed of een beroerd chauffeur.
Wel is in beide situaties een papiertje minimaal noodzaak
voor de buitenwacht. (en voor je eigen ego) Immers het
besturderen van de stof kost ook tijd.
soort types bij elkaar
beschrijving van het type persoon dat ze zochten stond
CISSP not required
schriftelijk bewijs materiaal.
Stelletje stropdassen.
Ik ga ervanuit dat iemand die CISSP gecertificeerd is, zich ook aan de gestelde 'Code of Ethics' houdt en dus alleen maar de waarheid in het CV vermeldt! Conclusie: de ervaring is uit de CV te halen.
Daarnaast zal hij het nooit halen aangezien hij een crimineel verleden heeft.
waar dat CISSP niet veel waarde heeft.
Het probleem is het ISC studiemateriaal, dat mede door ondeskundigen is
geschreven. Het is ook inderdaad te duur en ISC is een bedrijf (inc).
Dit is zo'n beetje de grootste nonsense die er is. Er is heel veel te zeggen voor de positieve impact van "hacker kennis" op het gebied van security. Waarom denk je dat honeypots/honeynets uberhaupt bestaan? Of Bugtraq? Of Certified Ethical Hacker / CISA-achtige certificaten (CEH is niet al te moeilijk, maar er zijn HELE zware certs die wel de moeite waard zijn)?
Daarbij zal Kevin Mitnick de eerste zijn om toe te geven dat ie niet de meest technisch onderlegde hacker is. Zijn grootste successen zijn gebaseerd op het fenomeen Social Engineering: het bespelen van mensen zodat je het technische beveiligingssysteem omzeilt. Als je de moeite had genomen om wat van zijn werk te lezen had je beter begrepen waarom hij het goed doet met zijn firma.
Verder is het natuurlijk een inkoppertje dat het alleen maar hebben van een certificaat weinig betekent. Ik heb vaak genoeg mensen meegemaakt die zogenaamde "testking tijgers" waren, en daarmee dus volkomen nutteloos op de werkvloer bleken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
