Nederlandse hackers kraken veilig printen
Onderzoekers van het Nederlandse beveiligingsbedrijf ITsec hebben onderzocht hoe eenvoudig het is om vertrouwelijke documenten via de printer te stelen. Stonden vroeger de printers gewoon nog op het bureau van de werknemers, uit gezondheids- overwegingen en kostenbesparingen is het printen tegenwoordig centraal geregeld. Printers zijn daardoor verbannen naar de gang of andere ruimten. Printerfabrikanten hadden al snel door dat op die manier iedereen toegang tot vertrouwelijke documenten kon krijgen en kwamen daarop met "secure printing". Via een pincode of pasje kan een werknemer alleen zijn printopdracht uitdraaien.
ITsec besloot daarom twee studenten van de Hogeschool van Amsterdam in te zetten om uit te zoeken hoe kwetsbaar printers zijn. Die ontdekten binnen een paar dagen dat niet alleen de pincode gewoon in de opdracht verwerkt zit, maar dat die aan de hand van een transitietabel eenvoudig is te achterhalen. Een kwaadwillende werknemer met netwerktoegang kan zo alle pincodes sniffen.
"Om meerdere reden is dit schokkend, het is aannemelijk dat gebruikers altijd dezelfde pincode gebruiken, dat werkt de leverancier in de hand. Via de client kun je instellen welke code je gebruikt, waar de software stimuleert dezelfde te gebruiken," zegt oprichter en CEO Christiaan Roselaar. "Zo kun je voortaan altijd bij de printer staan om opdrachten van anderen te printen." De beveiliger acht het ook niet ondenkbaar dat mensen een pincode gebruiken die ze ook voor andere toepassingen gebruiken. "Door de schuld van deze leverancier ligt de vertrouwelijkheid van die pincode op straat."
Voor het achterhalen van de in de printopdrachten verstopte code hadden de afstudeerders een paar dagen nodig, wat niet voldoende voor de afstudeeropdracht was. Toch geeft deze ontdekking al te denken, omdat de bewuste printer, een Xerox document Center, bij waarschijnlijk honderdduizenden bedrijven in gebruik is.
De volgende stap die het tweetal nam was een aanval via de seriële port van de printer. Via een laptop was eenvoudig een terminalsessie te starten, waar een gebruikersnaam en wachtwoord voor benodigd was. Via internet zijn tal van Xerox logins te vinden, maar die werkten niet. Daarop besloten Joeri en Soroush een bruteforce-tool te ontwikkelen. De onderzoekers zagen dat de Xerox LynxOS gebruikte, wat "root" als gebruikersnaam heeft. Hierdoor hoefde men alleen het wachtwoord te raden. Na twee weken besloot men echter te stoppen, omdat het teveel tijd in beslag nam. Grootste bottelnek was de bandbreedte van de seriële port. De onderzoekers zijn er echter van overtuigd dat het slechts een kwestie van tijd is om binnen te komen. "Uiteindelijk gaat het gewoon werken,” laat Joeri weten.
Harde schijf-wissel
Er moet voor een insider een efficiëntere manier zijn om de printopdrachten te stelen, dachten de onderzoekers. Daarop besloten ze harde schijf uit de printer te halen, een kopie te maken en die te analyseren. Het lijkt misschien een hele handeling om een harde schijf eruit te halen, maar het enige dat hiervoor nodig is, is het omdraaien van een schroefje. Daarna trek je de lade met het moederbord eruit en ligt daar open en bloot de harde schijf. Binnen een kwartiertje was de harde schijf eruit gehaald, gekopieerd en het origineel weer teruggezet.
Om toegang tot de kopie te krijgen werd met een hex-editor de hash van het root-wachtwoord door een wachtwoord van de onderzoekers vervangen. In het geval van de Xerox gaat het om een SCSI-schijf, maar er zijn ook printers met IDE en SATA-schijven, merkt Joeri op. Eenmaal ingelogd op het besturingssysteem van de printer installeerden ze een script dat alle printopdrachten naar een e-mailadres doorstuurt. Het is ook mogelijk om Telnet en FTP services aan te zetten. Na het prepareren van de schijf moest die worden vervangen met het origineel.
De aanval kan een stuk efficiënter als een aanvaller al met een geprepareerde schijf langskomt. Eigenschappen zoals hostname, IP-adres en andere gegevens zijn via de webinterface te verkrijgen. Op deze manier kan men dus al een image klaarzetten en hoeft de printer maar één keer te worden opengemaakt.
Tot grote verbazing van de onderzoekers bleek de system management interface met een standaard wachtwoord benaderbaar te zijn. Een wachtwoord dat gewoon uit de handleiding is te halen en niet te wijzigen is. Ook de webinterface bleek van dit euvel last te hebben. Daardoor kan iedereen daar instellingen wijzigen, printopdrachten zien en annuleren.
Printerruimte
De aanval is niet op te merken door een systeembeheerder. Veel printers ondersteunen e-mail functionaliteit, zoals Fax to E-mail. "Servers zetten wij in de serverruimte, daar staat vertrouwelijke informatie op. Die zijn fysiek niet toegankelijk. Een output device zoals een printer met al z'n vertrouwelijke informatie zijn we vergeten. Die stonden tien jaar terug op ons bureau. Met z'n allen dachten we verstandig te zijn door hem om op de gang te zetten. Toen kwam secure printing, maar nu blijkt dat leveranciers een onveilige oplossing hebben bedacht," zegt Roselaar.
Hij stoort zich aan het gemak waarmee de aanval was uit te voeren. Het ontbreken van een logout policy en de eenvoud waarmee de printer is open te maken. "Toen die open was gemaakt stond niemand van Xerox voor de deur. Met deze printer valt niemand het op dat die gehackt is." De CEO van ITsec acht het zeer waarschijnlijk dat het wachtwoord dat de printerleverancier heeft ingesteld overal hetzelfde is.
Meer onderzoek
Roselaar vindt dat meer Nederlandse IT-bedrijven beveiligingsonderzoek moeten stimuleren. "We lopen achter het buitenland aan. Met afstudeerders kom je een heel eind, met een professional kom je sneller tot resultaat, maar wie betaalt de rekening?" Hij ziet onderzoek als een manier om aandacht op problemen te vestigen.
Het antwoord op het "secure printing" probleem is zowel organisatorisch als technisch. Gezien de problemen om printers te patchen en wachtwoorden te wijzigen, zal het echter voornamelijk uit organisatorische hoek moeten komen.
In de toekomst wil de beveiliger ook onderzoek uitvoeren naar toegang via de webinterface en hoe printers op andere manieren zijn te exploiten. Printers draaien een besturingssysteem en firmware. Niet alleen zitten daar lekken in, het patchen gebeurt via printopdrachten. De printer krijgt een opdracht die hij herkent als code, die dan wordt uitgevoerd. Een aanvaller kan dus een printer "0wnen" door middel van een geprepareerde opdracht die van elk werkstation te versturen is.
Roselaar ziet ook scenario's waarin de printaanval is toe te passen, door bijvoorbeeld een uitgeverij van jaarverslagen te hacken. Op die manier kan men vertrouwelijke informatie krijgen voordat het bekend is en met die kennis op de beurs handelen. En dat is zeker geen vergezocht idee. Een Oekraïense hacker deed dit bij een Amerikaanse bedrijf en verdiende zo 250.000 dollar.
Wat ook niet vergeten mag worden is dat oude printers met harde schijf vaak vertrouwelijke documenten bevatten, gewoon worden afgedankt. "Security officers moeten zich afvragen wat ze zouden doen als een server op de gang staat." Dat het loont om printopdrachten te kapen is logisch. "Het personeel maakt al een selectie van documenten die het waard zijn om te printen. De aanval is zo eenvoudig, een schoonmaker zou het kunnen doen."
Voor wie zijn printomgeving wil beveiligen kwam Het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) laatst met een adviesrapport.
de hash van het root-wachtwoord door een wachtwoord van de
onderzoekers vervangen.... Eenmaal ingelogd op het
besturingssysteem van de printer installeerden ze een script
dat alle printopdrachten naar een e-mailadres doorstuurt.
Het is ook mogelijk om Telnet en FTP services aan te zetten."
"De aanval is zo eenvoudig, een schoonmaker zou het kunnen
doen."
doen.\"
Hiermee wordt het wisselen van de harde schijf mee bedoelt,
denk ik.
Vanzelfsprekend heb je altijd fysiek toegang tot een printer, anders wordt het
een beetje moeilijke om je documenten op te pikken. De vraag is of je
als 'intruder' onopgemerkt 15 minuten bij een printer kan doorbrengen met
een laptop en een schroevendraaier. Met z'n 2en en een printer in een kamer
duiken is nog altijd iets anders dan op de gang v/h kantoor staan prutsen.
Er staan in dit artikel weinig nieuwe dingen. Vooral een publiciteits-drang van
ITSec me dunkt. Geen default passwords, user awareness, common sense
en defense in depth lijkt me wel voldoende.
Dat ze eerst maar eens werk maken van volwaardige .1x ondersteuning voor
printers, daar heb ik momenteel meer aan.
//Een kwaadwillende werknemer met netwerktoegang kan zo alle pincodes
sniffen.//
ook
1. Physical access always wins (toegang tot de switch.
2. Indien dit vanop een user werkstation gebeurt heeft ie eerst een arp proxy of
gratiutious arp attack nodig om het verkeer op te pikken (laat ons er vanuit
gaan dat de bedrijven vandaag geen hubs meer gebruiken ::)) ). Kans is groot
dat de opdrachten niet bij de printer zullen aankomen en bijgevolg opgemerkt
worden.
Mijn ergste frustratie is dat de 'onderzoekers' niet de weg hebben gevolgd die
elke normale attacker zou volgen en zo vind je altijd wel iets.
Dit soort intellectuele hersenkronkels zorgt ervoor dat
beveiligers zich nog steeds blindstaren op de techniek,
terwijl gezond boerenverstand volstaat om dit probleem uit
de wereld te helpen.
“Nederlandse hackers kraken veilig printen”
Beste redactie,
Allereerst willen wij opmerken dat wij het het prijsstellen dat u de beveiling van
multifunctionals aan de orde stelt. Te vaak wordt deze netwerk resource met
z’n i/o mogelijkheden vergeten in het beveiligingsplan. Helaas komt dit artikel
over als iemand die met veel trots vertelt dat hij de beveiliging van Windows 98
gekraakt heeft.
In het bewuste artikel wordt geschetst dat het eenvoudig is om een Xerox
product te kraken, maar er wordt niet bij vermeld dat het hier gaat om een
sterk verouderd product dat bij de meeste organisaties ondertussen is
vervangen door moderne apparatuur met adequate beveiligingstechnologien.
De eerste Xerox Document Centre series werden in 1997 op de markt
gebracht en deze producten worden al vele jaren niet meer geproduceerd.
Xerox Corporation heeft beveiliging als een van de prioriteiten aangemerkt en
voert het beleid om haar producten veilig te maken voor haar afnemers. Dat
houdt in dat er diverse technieken in de systemen aanwezig zijn om mogelijk
verlies van data en informatie van klanten tot een minimum te beperken.
In het artikel worden een aantal bevindingen weergegeven die bij moderne
multifunctionele systemen van Xerox niet meer opgaan:
1) de nieuwere generatie MFP’s beschikken niet meer over een seriele poort
waarmee toegang wordt geboden tot het systeem. Er is weliswaar een
speciale service-poort voor engineers om de status van de machine te
kunnen bekijken en parameters in te stellen, maar deze is volledig
afgescheiden van de data-kant van de machine
2) de moderne generatie MFP’s maken als vrijwel ieder andere ICT oplossing
van een beperkt besturingssysteem met Unix-achtige achtergrond, maar dit
besturingssysteem bevindt zich bij de nieuwste systemen niet langer meer op
de harddisk. En de functionaliteit van het besturingssysteem richt zich alleen
op machine functionaliteit en niet op data-toegang
3) harde-schijf wissel: deze methode lijkt misschien voor de oudste systemen
op te gaan die van een harddisk opstarten en een besturingsysteem hebben
dat te kopiëren valt. De moderne generatie MFP’s hebben eveneens een
harddisk, maar daarop bevindt zich geen filesysteem. Het is derhalve geen
zaak om deze te kopiëren of het toevoegen van script om files door te sturen.
De schijf wordt uitsluitend gebruikt om printdata op proprietary wijze op te
slaan. Dat kan encrypted gebeuren en deze data kan na het afdrukken actief
overschreven worden met een digitale shredding-methode conform de eisen
van het Amerikaans Ministerie van Defensie (DoD 5200.28 Std).
De harddisk beveiliging van de huidige generatie MFP’s is onlangs getest
door het Nederlandse Ministerie van Defensie en als ruimschoots adequaat
bevonden, of zoals de testers aangaven, tegen de tijd dat een hacker, zo het
hem al lukt, data van deze schijf af heeft gehaald, routines heeft gevonden om
daar iets zinnigs van te maken en dat af te drukken, kan het jaren later zijn en
heeft het document allang zijn actualiteitswaarde verloren. Met alle bestaande
middelen was het niet mogelijk om printdata op te sporen op de harddisk
4) een geprepareerde harddisk is zoals in voorgaand punt beschreven dan
ook geen optie
5) De systeem-interface is zoals aangegeven gescheiden in componenten
voor parametersetting en systeembeheer en in de user-omgeving. De MFP’s
worden geleverd met een standaardinstelling voor de systeembeheerder die
daarna zijn eigen passwords dient in te geven. Als de systeembeheerder dit
verzaakt kan een hacker parameters aanpassen waarmee bepaalde
instellingen in het systeem aangepast kunnen worden. Op dergelijke wijze
kunnen protocollen en poorten open gezet worden om van buitenaf het
systeem te proberen te hacken. Maar een serieuze systeembeheerder zal
altijd de standaard admin-naam en het standaard password wijzigen om
beveiligingslekken te voorkomen.
6) De meeste Xerox MFP’s die voor gemeenschappelijk gebruik op gangen
geplaatst worden, zijn voorzien van een volledige set met
beveiligingsmaatregelen. Tevens worden al deze machines door
onafhankelijke testinstituten gecertificeerd voor een ISO 15408 of Common
Criteria certificering. Daarbij gaat Xerox een stap verder dan wat in de
printermarkt gangbaar is. Niet alleen het harddisk overschrijvingsmechnisme
wordt gecertificeerd, maar alle toegangsmogelijkheden tot de machine, dus
inclusief de scanner, de gehele controller en operating systeem, de user-
interface van de machine, de PostScript interpreter, de netwerktoegang en
webserver en zelfs de fax-optie worden gecertificeerd. Kortom het gehele
systeem, inclusief de productiemethode en de aftersale zorg wordt ISO
gecertificeerd. Xerox kan daardoor de garantie geven dat het mfp-systeem
adequaat beveiligd is.
In heel veel organisaties in Nederland wordt niet eens secure-print met een
pincode gebruikt en liggen de documenten gewoon voor het oprapen op de
(gang)printer. Naast het feit dat dit het beveiligingsniveau serieus aantast, is
het voor de gebruiker vervelend en niet efficient om in stapels afdrukken je
eigen opdracht op te zoeken en gaan er op deze wijze ook documenten
verloren (meegenomen door de verkeerde persoon, vergeten op te halen en
een extra mulieu-belasting en verspilling).
De Xerox MFP’s “voor op de gang” zijn dan ook uitgerust met een “release-all”
functie die de gebruiker in staat stelt om met één pincode al zijn documenten
af te drukken. Niet meer zoeken in stapels, geen kwijtraken van afdrukken en
beveiligd met een pincode tot 12 cijfers. Indien gewenst kan de pincode
vervangen worden door, dan wel worden aangevuld met een RFID of
magneetpas zodat de gebruiker slechts zijn pasje voor de machine hoeft te
houden om zijn beveiligde documenten af te drukken of in te scannen naar zijn
home-directory.
Uiteraard zijn nieuwe technieken als 802.1x, Ipsec, firewalls en Poort/IP/MAC
filtering, SSL en certificaatbeheer en encrypted data- verzending en opslag op
de Xerox MFP’s beschikbaar.
Het artikel geeft aan dat het beveiligen van printstromen serieus genomen
moet worden. Daar staat een fabrikant als Xerox 100% achter. Maar
beveiliging is veel meer dan alleen de techniek die je in de printer gebruikt.
Minstens zo belangrijk is het beleid, de communicatie, de gebruikersattitude
enz. die een organisatie voert als het om beveiliging van documenten gaat.
Ook in dat opzicht kan Xerox mogelijkheden bieden die verder gaan dan wat
gangbaar is in de markt. Advies, beheer en management van beveiligd
drukwerk tot en met de productie van beveiligd drukwerk kan door Xerox
aangeboden worden. Naast ISO 27001 is Xerox ook (I)SMS en Stichting Echt
gecertificeerd.
Meer informatie over beveiliging en Xerox vindt u op http://www.xerox.com/security
Xerox (Nederland) B.V.
Gerard Kruijt
Business manager office group
zo publiek te reageren.
Het verbaasde mij ook dat er een oude multifunctionele Xerox
getest was. Maar als ik het wat aandachtiger bekijk. Het
betrof hier studenten van een HBO opleiding die aan het
afstuderen waren? Dan vind ik het helemaal niet vreemd dat
ze een oudere machine ook eens grondig onder de pijnbank
hebben gelegd van enkele beveiligingstesten. Mooier nog, het
geeft aan dat er nog niet zo lang geleden nog behoorlijk
belabberd over beveiliging werd gedacht.
De nieuwe producten van Xerox zullen vast met meer zorg voor
veiligheid ontworpen zijn, maar ik krijg de kriebels van
mooie praatjes waarin een bedrijf verteld dat men
certificaten heeft behaald en zelfs defensie de boel heeft
goedgekeurd. Helemaal als er dan bij gezegd word dat Xerox
eigen ontworpen veiligheid heeft ingebouwd en er verder geen
inhoudelijke uitleg beschikbaar is.
Certificeren en veilig maken is voor mij nog altijd open
zijn over hoe en wat er wel en niet getest is. Ik ken nog
wel een paar certificaat eigenaren die er mee pronken omdat
hun werk veilig kan worden beschouwd. Maar als je dan
doorvraagt loop je tegen een muur van geheimzinnigheid of
onwetendheid over de achtergrond, en vooral wat er niet
getest is. En juist daar zitten juist de zwakke punten. Een
mentaliteit dat wat men niet ziet en gekeurd is wel op een
bepaalde manier veilig is, daar trapt geen gezond persoon
meer in. Misschien zegt het wat meer met wat voorbeelden: oh
wat was de ovchipkaart toch veilig volgens de overheid. En
hoeveel veiligheidsproblemen zijn er toch nog gevonden in
die Xerox producten?
Nee, ik hoor Xerox niet zeggen dat de producten veilig zijn.
Maar het is maar net hoe je er naar wil kijken voordat het
echt veilig genoeg is. Ik zie Xerox niet vol trots hun
producten op een grondige publieke pijnbank leggen. Ergens
is het dus nog steeds een keuze dat een producent bepaalde
veiligheid te ongemakkelijk vind worden. Net als de
gebruikers.....
gemaakt is (en momenteel niet meer wordt geproduceerd) te
gaan testen op security? Wordt het volgende afstudeerproject
een onderdoek naar de veiligheid van windows 98 of red hat
6? Serieus, waar zijn we mee bezig.....
Vanzelfsprekend heb je altijd fysiek toegang tot een printer, anders wordt het
een beetje moeilijke om je documenten op te pikken. De vraag is of je
als 'intruder' onopgemerkt 15 minuten bij een printer kan doorbrengen met
een laptop en een schroevendraaier. "
Dat is over het algemeen helemaal niet nodig, aangezien netwerkprinters
vaak niet of nauwelijks beschermd zijn tegen het benaderen van de
apparatuur via het netwerk. Dus hoezo tijd doorbrengen bij de printer met een
schroevendraaier....
onderzocht hoe eenvoudig het is om vertrouwelijke documenten via de printer
te stelen. "
Aangezien ze hiervoor studenten van de universiteit nodig hadden, vraag ik mij
af wat voor onderzoekers ITsec zelf in dienst heeft. De website komt nou ook
niet erg overtuigend over.
Inderdaad een leuke afstudeeropdracht voor studenten, maar voor een IT
beveiligingsbedrijf vind ik dit onderzoek van een jarenoud model niet echt
indrukwekkend.
Eerst willen wij graag het een en ander verduidelijken. Doel
van het hele onderzoek was juist awareness. Een gebruiker en
nog belangrijker inkopers gaan er maar al te vaak impliciet
van uit dat afdrukken die pas worden vrijgegeven na een
PIN-code te hebben ingevoerd een prima beveiliging is. En
dus ligt fout gebruik en foute uitgangspunten bij de
aanschaf voor de hand en is de vertrouwelijkheid in het
geding. Daarnaast zijn printers inmiddels servers geworden.
Vergeten servers. En dat is de boodschap van het verhaal of
had het in ieder geval moeten zijn. Zorg dat ook printers
worden gezien als volwaardig onderdeel van het server-park
met als speciaal aandachtspunt dat ze niet in afgesloten
ruimten staan, maar in publieke.
Aan de onderzoekers is uiteraard gevraagd om er op die wijze
naar te kijken en dus te beginnen met het trachten te
verkrijgen van remote toegang. Zij zijn daar ook mee aan de
slag gegaan, maar hebben een paar essentiële kansen niet
kunnen benutten (te weinig tijd en te laat in het onderzoek
ontdekt). Onder meer niet bijgewerkte patches boden een
opening en het feit deze machine door *iedereen* te patchen
was. Dat de kennis en kunde van de onderzoekers in twijfel
kan worden getrokken is evident: het is per slot van
rekening een afstudeerproject. Toen zij zagen dat zij met
één schroefje binnen een minuut de disk verwijderd hadden
konden ze dat niet laten. Binnen één minuut is dus ook een
geprepareerde disk geplaatst.
Zowel Xerox als de anonieme reactie erop plaatsen het een en
ander in perspectief. Xerox: " Allereerst willen wij
opmerken dat wij het het prijsstellen dat u de beveiling van
multifunctionals aan de orde stelt. Te vaak wordt deze
netwerk resource met z’n i/o mogelijkheden vergeten in het
beveiligingsplan. Helaas komt dit artikel over als iemand
die met veel trots vertelt dat hij de beveiliging van
Windows 98 gekraakt heeft". Het is inderdaad jammer dat het
feit dat het een oude machine betreft niet in het artikel
terecht is gekomen. Echter geeft de annonieme reactie
aan:"Het betrof hier studenten van een HBO opleiding die aan
het afstuderen waren. Dan vind ik het helemaal niet vreemd
dat ze een oudere machine ook eens grondig onder de pijnbank
hebben gelegd van enkele beveiligingstesten. Mooier nog, het
geeft aan dat er nog niet zo lang geleden nog behoorlijk
belabberd over beveiliging werd gedacht." en daar kunnen we
ons alleen maar bij aansluiten. Overigens is er contact
geweest met onze leverancier om een nieuwere machine op de
pijnbank te krijgen (namelijk een met een CC-certificering),
maar helaas moesten daarvoor extra kosten gemaakt worden.
Wellicht dat dit een leuke volgende opdracht kan zijn.
Zonder een oordeel te willen vellen over de huidige printers
van Xerox: een /Common Citeria Certificaat/ geeft aan dat de
beveiliging en productiemethode is conform het in de door de
fabrikant aangeleverde /Security Target/. Als daar, als
voorbeeld, in wordt aangegeven dat de communicatie beveiligd
is met bv. een HTTPS-tunnel, dan contoleert de
certificerende instantie dat, zonder een oordeel te vellen
of het wel een goede en veilige oplossing is. De beveiliging
kan dus heel licht zijn en toch kan een Certificaat worden
verkregen. Let wel: het zegt niet niets, maar ook niet alles.
Naar analogie: zo beoordelen wij alle oplossingen van de
Nederlandse banken die volgens hun eigen test voldoen aan de
door hen zelf opgestelde specificaties (vgl. /Security
Target/), maar zijn altijd in staat daar gaten in de
beveiliging te ontdekken. Het zou derhalve een uitgelezen
kans zijn een open assessment aan te gaan (wij laten ons
niet leiden door een /Security Target/ :-)).
Xerox stelt terecht: "In heel veel organisaties in Nederland
wordt niet eens secure-print met een pincode gebruikt en
liggen de documenten gewoon voor het oprapen op de
(gang)printer." en " Het artikel geeft aan dat het
beveiligen van printstromen serieus genomen moet worden.
Daar staat een fabrikant als Xerox 100% achter."
ITsec staat daar ook helemaal achter getuige de alinea:
*Meer onderzoek*
Roselaar vindt dat meer Nederlandse IT-bedrijven
beveiligingsonderzoek moeten stimuleren. "We lopen achter
het buitenland aan. Met afstudeerders kom je een heel eind,
met een professional kom je sneller tot resultaat, maar wie
betaalt de rekening?" Hij ziet onderzoek als een manier om
aandacht op problemen te vestigen.
Het antwoord op het "secure printing" probleem is zowel
organisatorisch als technisch. Gezien de problemen om
printers te patchen en wachtwoorden te wijzigen, zal het
echter voornamelijk uit organisatorische hoek moeten komen.
Tot slot:
Het doel om printers inmiddels op de kaart te krijgen is
inmiddels bereikt. Wij hopen dat de bedrijven die het aan
gaat daar lering uit trekken en serieus gaan kijken naar hoe
bij hen de printers behandeld worden, van aanschaf tot en
met IT-onderhoud (patch- en vulnerabily-management) en
heldere gebruiksrichtlijnen naar gebruikers van de apparatuur.
ITsec Security Services.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
