Archief
- De topics van lang geleden
"Beveiligen" bestaat niet
27-01-2003, 15:58 door Anoniem, 12 reacties
Hallo,
De titel van deze post is zoals je ziet niet erg origineel, iedereen weet hiervan. Maar ik wil het toch nog eens aankaarten.
"Beveiligen" is eigenlijk een heel eng woord; als ik het in woorden breng:
"Het toevoegen van extra veiligheid-verbeterende onderdelen aan het systeem"
Deze verwoording klopt volgens mij redelijk. Het heeft een heel enge lading, namelijk dat het onderliggende systeem onveilig of lek is en dat je hiervoor extra onderdelen nodig hebt om deze lekken enigszins te dichten. Ja ik zeg "enigszins" omdat als je er bij na denkt "het toevoegen" van veiligheid een absurd idee is. Het systeem zou immers fundamenteel veilig moeten zijn. Ten tweede kun je je voorstellen dat zo'n add-on oplossing de fundamentele problemen niet oplost, maar ze probeerd te bedekken.
Dit is allemaal theorie natuurlijk, maar ik kan je zeggen dat het in de praktijk ook zo is. Een aantal feiten op een rijtje:
- Een firewall bedekt poorten waarop applicaties luisteren die mogelijk onveilig zijn
- Een virusscanner probeert te voorkomen dat gevaarlijke code uitgevoerd wordt
- Een intrusion detection system probeerd aanvallen te detecteren
Het is eigenlijk onnatuurlijk dat zulke beveiligingen nodig zijn. De software moet fundamenteel veilig zijn. Nu snap ik dat dit nooit helemaal mogelijk is, maar het gaat erom dat mensen hiervan bewust moeten zijn en ook eisen dat de software fundamenteel in zekere mate veilig is.
De gebruiker moet eisen dat de fabrikanten van de software serieus aan veiligheid denken. Dit kan alleen gebeuren door druk uit te oefenen, namelijk door software te gebruiken waar veiligheid (let op: ik gebruik niet het woord "beveiliging" omdat dit iets heel anders suggereerd) hoog in het vaandel staat.
Ook moet de gebruiker opletten met wat voor software het installeerd... Direct bij de installatie moet de gebruiker alleen het hoog nodige installeren.
Dit "artikel" is misschien wat cliche, maar ik zie hier voordurend mensen die zoeken naar het oplossen van de veiligheids problemen middels het installeren van beveiligings programma's. Het werkwoord "beveiligen" is eng. Ik hoop dat mensen eerst eens nadenken over veiligheid voordat ze gaan "beveiligen".
Rob.
De titel van deze post is zoals je ziet niet erg origineel, iedereen weet hiervan. Maar ik wil het toch nog eens aankaarten.
"Beveiligen" is eigenlijk een heel eng woord; als ik het in woorden breng:
"Het toevoegen van extra veiligheid-verbeterende onderdelen aan het systeem"
Deze verwoording klopt volgens mij redelijk. Het heeft een heel enge lading, namelijk dat het onderliggende systeem onveilig of lek is en dat je hiervoor extra onderdelen nodig hebt om deze lekken enigszins te dichten. Ja ik zeg "enigszins" omdat als je er bij na denkt "het toevoegen" van veiligheid een absurd idee is. Het systeem zou immers fundamenteel veilig moeten zijn. Ten tweede kun je je voorstellen dat zo'n add-on oplossing de fundamentele problemen niet oplost, maar ze probeerd te bedekken.
Dit is allemaal theorie natuurlijk, maar ik kan je zeggen dat het in de praktijk ook zo is. Een aantal feiten op een rijtje:
- Een firewall bedekt poorten waarop applicaties luisteren die mogelijk onveilig zijn
- Een virusscanner probeert te voorkomen dat gevaarlijke code uitgevoerd wordt
- Een intrusion detection system probeerd aanvallen te detecteren
Het is eigenlijk onnatuurlijk dat zulke beveiligingen nodig zijn. De software moet fundamenteel veilig zijn. Nu snap ik dat dit nooit helemaal mogelijk is, maar het gaat erom dat mensen hiervan bewust moeten zijn en ook eisen dat de software fundamenteel in zekere mate veilig is.
De gebruiker moet eisen dat de fabrikanten van de software serieus aan veiligheid denken. Dit kan alleen gebeuren door druk uit te oefenen, namelijk door software te gebruiken waar veiligheid (let op: ik gebruik niet het woord "beveiliging" omdat dit iets heel anders suggereerd) hoog in het vaandel staat.
Ook moet de gebruiker opletten met wat voor software het installeerd... Direct bij de installatie moet de gebruiker alleen het hoog nodige installeren.
Dit "artikel" is misschien wat cliche, maar ik zie hier voordurend mensen die zoeken naar het oplossen van de veiligheids problemen middels het installeren van beveiligings programma's. Het werkwoord "beveiligen" is eng. Ik hoop dat mensen eerst eens nadenken over veiligheid voordat ze gaan "beveiligen".
Rob.
Reacties (12)
Beveiligen is mijn vak en ik mag weten waar ik over praat. Beveiliging zonder nadenken bestaat niet. Beveiligen wel.
Groetjes
Ger.
Groetjes
Ger.
Originally posted by Unregistered
Beveiligen is mijn vak en ik mag weten waar ik over praat. Beveiliging zonder nadenken bestaat niet. Beveiligen wel.
Groetjes
Ger.
Beveiligen is mijn vak en ik mag weten waar ik over praat. Beveiliging zonder nadenken bestaat niet. Beveiligen wel.
Groetjes
Ger.
De titel was prolly niet goed gekozen... natuurlijk bestaat "beveiligen" ik wilde alleen aankaarten dat je met "beveiligen" niet werkelijk de problemen goed oplost.
Originally posted by Unregistered
Hallo,
<knip>
Het is eigenlijk onnatuurlijk dat zulke beveiligingen nodig zijn. De software moet fundamenteel veilig zijn. Nu snap ik dat dit nooit helemaal mogelijk is, maar het gaat erom dat mensen hiervan bewust moeten zijn en ook eisen dat de software fundamenteel in zekere mate veilig is.
De gebruiker moet eisen dat de fabrikanten van de software serieus aan veiligheid denken. Dit kan alleen gebeuren door druk uit te oefenen, namelijk door software te gebruiken waar veiligheid (let op: ik gebruik niet het woord "beveiliging" omdat dit iets heel anders suggereerd) hoog in het vaandel staat.
Ook moet de gebruiker opletten met wat voor software het installeerd... Direct bij de installatie moet de gebruiker alleen het hoog nodige installeren.
<knip>
Rob.
Hallo,
<knip>
Het is eigenlijk onnatuurlijk dat zulke beveiligingen nodig zijn. De software moet fundamenteel veilig zijn. Nu snap ik dat dit nooit helemaal mogelijk is, maar het gaat erom dat mensen hiervan bewust moeten zijn en ook eisen dat de software fundamenteel in zekere mate veilig is.
De gebruiker moet eisen dat de fabrikanten van de software serieus aan veiligheid denken. Dit kan alleen gebeuren door druk uit te oefenen, namelijk door software te gebruiken waar veiligheid (let op: ik gebruik niet het woord "beveiliging" omdat dit iets heel anders suggereerd) hoog in het vaandel staat.
Ook moet de gebruiker opletten met wat voor software het installeerd... Direct bij de installatie moet de gebruiker alleen het hoog nodige installeren.
<knip>
Rob.
Op zich klopt het aardig wat je zegt. Ik zie alleen twee problemen:
1. Gebruiker != persoon die voor bepaalde software kiest
2. Persoon die software kiest != verantwoordelijk voor veiligheid
Als gebruiker in een bedrijfsomgeving valt er meestal weinig te kiezen. De mensen die wel beslissen over welke software een organisatie gebruikt kijken naar de functionaliteit die ze zoeken.
Aangaande beveiliging gokken ze het er op dat er iemand anders is binnen de organisatie die dat regelt (SEP) of ze denken er helemaal niet over na (het heeft gewoonweg geen priotiteit).
En als ik verantwoordelijk voor de beveiliging zou zijn zou ik de gebruiker noch de koper van software vertrouwen. Want als het er op aankomt ben jij verantwoordelijk, niet zij. Dan dus toch maar dat IDS, de virusscanner en een firewall :)
Misschien moet je artikel toch iets anders noemen. Beveiligen bestaat wel, een 100% altijd werkende waterdichte beveiling echter niet.
Beveiligen is voornamelijk risico analyse. Beveiligen is niet alleen technische aangelegenheid, maar voornamelijk organisatorisch.
Technisch beveiligen is niet alleen authorisatie, maar ook authenticatie, auditing, accounting.
Ik ben het met je eens dat metname software ontwikkelings bedrijven aan software security moeten denken. Zoals buffer overflows die al zeer lang bestaan en nog steeds voor komen. Ik geloof dat er hiervoor al menige methodieken en tools zijn ontwikkeld om ze op te sporen/tegen te gaan. Een nadeel is dat hier de kosten die er mee gemoeid zijn.
Maar dit is niet alleen verantwoordelijkheid van de bedrijven ook van de programmeurs zelf, waarvan een groot aantal nul komma nul idee heeft van security. Zie bijv. de lijst van 10 meest voorkomende web applicatie exploits. Laat staan dat vaak een programmeur van Internet applicaties zicht heeft op wat er zich onderwater afspeelt, enige wat ze doen is tegen een API aan 'praten'.
Software security wordt niet geleerd op de scholen. Al geloof ik dat er een MSc opleiding security is.
Beveiligen is bewust zijn. Zolang dat er niet is, zo lang er geen waterdicht beveiligen kunnen bestaan.
Beveiligen is voornamelijk risico analyse. Beveiligen is niet alleen technische aangelegenheid, maar voornamelijk organisatorisch.
Technisch beveiligen is niet alleen authorisatie, maar ook authenticatie, auditing, accounting.
De gebruiker moet eisen dat de fabrikanten van de software serieus aan veiligheid denken.
Ik ben het met je eens dat metname software ontwikkelings bedrijven aan software security moeten denken. Zoals buffer overflows die al zeer lang bestaan en nog steeds voor komen. Ik geloof dat er hiervoor al menige methodieken en tools zijn ontwikkeld om ze op te sporen/tegen te gaan. Een nadeel is dat hier de kosten die er mee gemoeid zijn.
Maar dit is niet alleen verantwoordelijkheid van de bedrijven ook van de programmeurs zelf, waarvan een groot aantal nul komma nul idee heeft van security. Zie bijv. de lijst van 10 meest voorkomende web applicatie exploits. Laat staan dat vaak een programmeur van Internet applicaties zicht heeft op wat er zich onderwater afspeelt, enige wat ze doen is tegen een API aan 'praten'.
Software security wordt niet geleerd op de scholen. Al geloof ik dat er een MSc opleiding security is.
Beveiligen is bewust zijn. Zolang dat er niet is, zo lang er geen waterdicht beveiligen kunnen bestaan.
Als gebruiker in een bedrijfsomgeving valt er meestal weinig te kiezen. De mensen die wel beslissen over welke software een organisatie gebruikt kijken naar de functionaliteit die ze zoeken.
Deden ze dat maar. Meestal neemt een of andere manager met een commerciele opleiding de beslissing op grond van het prijs kaartjes, zonder ook maar te kijken naar beveiligings risico's bekende exploits of de specs/manual.
Geld is er altijd pas als het mis gaat. Normaal moet je knokken om een paar centen om een bekend gat te dichten tot het een keer mis gaat dan gaan ze zeiken op de security mensen en is er spontaan bakken met geld te spenderen.
Mijn ervaring is dat het eerst een keer mis moet gaan voordat iets wordt opgelost. Terwijl preventieve acties alles al hadden kunnen voorkomen.
Rob,
Ergens heb je wel gelijk: een second-line-of-defense is niet nodig als de eerste line al perfect is.
Helaas komt het in de praktij zelden voor.
Een voorbeeld:
-Een automobilist moet aantonen dat hij veilig kan rijden voor hij de weg op mag.
-Een auto wordt zeer goed op veiligheid getest en moet aan strenge eisen voldoen voor hij de weg op mag.
Kan je hieruit de conclusie trekken dat autogordels, airbags, verkeerslichten snelheidscontroles, vangrails enz. overbodig zijn ?
Helaas niet: er zijn mensen in het spel, en mensen maken fouten.
Of ze nu systeembeheerder of automobilist zijn, of leverancier van software of van auto's.
De theorie is anders dan de praktijk.
Joris
Ergens heb je wel gelijk: een second-line-of-defense is niet nodig als de eerste line al perfect is.
Helaas komt het in de praktij zelden voor.
Een voorbeeld:
-Een automobilist moet aantonen dat hij veilig kan rijden voor hij de weg op mag.
-Een auto wordt zeer goed op veiligheid getest en moet aan strenge eisen voldoen voor hij de weg op mag.
Kan je hieruit de conclusie trekken dat autogordels, airbags, verkeerslichten snelheidscontroles, vangrails enz. overbodig zijn ?
Helaas niet: er zijn mensen in het spel, en mensen maken fouten.
Of ze nu systeembeheerder of automobilist zijn, of leverancier van software of van auto's.
De theorie is anders dan de praktijk.
Joris
-Een automobilist moet aantonen dat hij veilig kan rijden voor hij de weg op mag.
Maar ook voor bedrijven om security bewustheid te creeren. Security moet onderdeel zijn van de business strategie. Verlies van bedrijfscritische gegevens bijv. op laptops gaat tenslotte om bedrijfsbelang.
-Een auto wordt zeer goed op veiligheid getest en moet aan strenge eisen voldoen voor hij de weg op mag.
Helaas niet: er zijn mensen in het spel, en mensen maken fouten.
Inderdaad, echter zijn er genoeg methoden om deze fout gevoeligheid te minimaliseren.
Originally posted by Unregistered
Rob,
Ergens heb je wel gelijk: een second-line-of-defense is niet nodig als de eerste line al perfect is.
Helaas komt het in de praktij zelden voor.
Een voorbeeld:
-Een automobilist moet aantonen dat hij veilig kan rijden voor hij de weg op mag.
-Een auto wordt zeer goed op veiligheid getest en moet aan strenge eisen voldoen voor hij de weg op mag.
Kan je hieruit de conclusie trekken dat autogordels, airbags, verkeerslichten snelheidscontroles, vangrails enz. overbodig zijn ?
Helaas niet: er zijn mensen in het spel, en mensen maken fouten.
Of ze nu systeembeheerder of automobilist zijn, of leverancier van software of van auto's.
De theorie is anders dan de praktijk.
Joris
Rob,
Ergens heb je wel gelijk: een second-line-of-defense is niet nodig als de eerste line al perfect is.
Helaas komt het in de praktij zelden voor.
Een voorbeeld:
-Een automobilist moet aantonen dat hij veilig kan rijden voor hij de weg op mag.
-Een auto wordt zeer goed op veiligheid getest en moet aan strenge eisen voldoen voor hij de weg op mag.
Kan je hieruit de conclusie trekken dat autogordels, airbags, verkeerslichten snelheidscontroles, vangrails enz. overbodig zijn ?
Helaas niet: er zijn mensen in het spel, en mensen maken fouten.
Of ze nu systeembeheerder of automobilist zijn, of leverancier van software of van auto's.
De theorie is anders dan de praktijk.
Joris
Daar ben ik het mee eens. Ik heb vooral gepraat over zoals jij het noemt "eerste line of defense". Ik weet dat firewalls en dergelijke zeker niet overbodig zijn, ik probeer duidelijk te maken dat mensen eerst zouden moeten kijken naar die 1e line of defense. En wat zo jammer is met closed-source en dergelijke is dat je op dit niveau als gebruiker of beheerder weinig kunt doen behalve zorgen dat je geen onnodige software of instellingen hebt. Om verder te gaan moeten mensen proberen de fabrikanten enigszins onder druk te zetten om daar de prioriteit van veiligheid te vergroten.
Hey Joris,
Inderdaad, en dat heb ik ook wel genoemd:
"De software moet fundamenteel veilig zijn. Nu snap ik dat dit nooit helemaal mogelijk is, maar het gaat erom dat mensen hiervan bewust moeten zijn en ook eisen dat de software fundamenteel in zekere mate veilig is."
Een voorbeeld:
-Een automobilist moet aantonen dat hij veilig kan rijden voor hij de weg op mag.
-Een auto wordt zeer goed op veiligheid getest en moet aan strenge eisen voldoen voor hij de weg op mag.
Kan je hieruit de conclusie trekken dat autogordels, airbags, verkeerslichten snelheidscontroles, vangrails enz. overbodig zijn ?
Helaas niet: er zijn mensen in het spel, en mensen maken fouten.
Of ze nu systeembeheerder of automobilist zijn, of leverancier van software of van auto's.
Dat klopt ook, goede vergelijking ook... maar mijn doel was ook niet echt om te zeggen dat beveiligen niet meer nodig is.. hoewel ik wel denk dat mensen die *niet* weten hoe ze het systeem fundamenteel redelijk veilig kunnen houden (updates, alleen het nodige installeren en de configuratie op de juiste manier instellen), dat die ook niet weten hoe ze een firewall goed kunnen instellen. Nu ligt het bij een virusscanner weer iets anders. Maar in principe is het zo dat een gewone thuisgebruiker met de nodige kennis geen extra line of defense nodig zou hebben.. zolang degeen maar weet wat ie doet. Wat je zegt over "rijbewijs" zouden bedrijven kunnen toepassen als "gebruikersbewijs", medewerkers eerst een cursus veilig gebruik van internet te laten volgen of iets dergelijks.
De theorie is anders dan de praktijk.
Het gaat mij er om dat mensen die dit lezen en hier niet eerder over gedacht hebben er eens bij nadenken om verantwoordelijker te werken en te kiezen.
Ik vind dat de mensen moeten proberen de fabrikanten wat meer onder druk te zetten om een __onveilige code__ tegen te gaan.
Hoe dit zou kunnen is onderwerp ter discussie. Maar ik denk aan:
- Beheerders en bedrijven meer aandacht voor veiligheids aspecten voor het kopen van een bepaald product
- Gebruikers die zelf hun software kopen eerst eens kijken naar de mate van veiligheid; of vragen aan des kundigen
Wat het grootste probleem is dat mensen hiervan weerhoudt is het gebrek aan concurrentie en het binden aan bepaalde fabrikant
Wettelijke oplossing:
- Concurrentie vergroten door gebruik van open standaarden in software te verplichten
Deze laatste oplossing heeft wat haken en ogen natuurlijk. Het is mogelijk dat gebruikers - wanneer ze niet kritisch kiezen - het goedkoopste product nemen zonder op de veiligheid te letten. Maar dit laatste is juist wat ik met mijn post wilde bereiken, dat degeen die het leest en waarvoor het iets nieuws is natuurlijk bewuster gaat worden op het gebied van 'fundamentele' veiligheid van de software. Het belangrijke is natuurlijk dat met een dergelijke wet de mensen ook een keuze hebben om voor veilig te gaan.
Joris [/B][/QUOTE]
Originally posted by Unregistered
Rob,
Ergens heb je wel gelijk: een second-line-of-defense is niet nodig als de eerste line al perfect is.
Helaas komt het in de praktij zelden voor.
Rob,
Ergens heb je wel gelijk: een second-line-of-defense is niet nodig als de eerste line al perfect is.
Helaas komt het in de praktij zelden voor.
Inderdaad, en dat heb ik ook wel genoemd:
"De software moet fundamenteel veilig zijn. Nu snap ik dat dit nooit helemaal mogelijk is, maar het gaat erom dat mensen hiervan bewust moeten zijn en ook eisen dat de software fundamenteel in zekere mate veilig is."
Een voorbeeld:
-Een automobilist moet aantonen dat hij veilig kan rijden voor hij de weg op mag.
-Een auto wordt zeer goed op veiligheid getest en moet aan strenge eisen voldoen voor hij de weg op mag.
Kan je hieruit de conclusie trekken dat autogordels, airbags, verkeerslichten snelheidscontroles, vangrails enz. overbodig zijn ?
Helaas niet: er zijn mensen in het spel, en mensen maken fouten.
Of ze nu systeembeheerder of automobilist zijn, of leverancier van software of van auto's.
Dat klopt ook, goede vergelijking ook... maar mijn doel was ook niet echt om te zeggen dat beveiligen niet meer nodig is.. hoewel ik wel denk dat mensen die *niet* weten hoe ze het systeem fundamenteel redelijk veilig kunnen houden (updates, alleen het nodige installeren en de configuratie op de juiste manier instellen), dat die ook niet weten hoe ze een firewall goed kunnen instellen. Nu ligt het bij een virusscanner weer iets anders. Maar in principe is het zo dat een gewone thuisgebruiker met de nodige kennis geen extra line of defense nodig zou hebben.. zolang degeen maar weet wat ie doet. Wat je zegt over "rijbewijs" zouden bedrijven kunnen toepassen als "gebruikersbewijs", medewerkers eerst een cursus veilig gebruik van internet te laten volgen of iets dergelijks.
De theorie is anders dan de praktijk.
Het gaat mij er om dat mensen die dit lezen en hier niet eerder over gedacht hebben er eens bij nadenken om verantwoordelijker te werken en te kiezen.
Ik vind dat de mensen moeten proberen de fabrikanten wat meer onder druk te zetten om een __onveilige code__ tegen te gaan.
Hoe dit zou kunnen is onderwerp ter discussie. Maar ik denk aan:
- Beheerders en bedrijven meer aandacht voor veiligheids aspecten voor het kopen van een bepaald product
- Gebruikers die zelf hun software kopen eerst eens kijken naar de mate van veiligheid; of vragen aan des kundigen
Wat het grootste probleem is dat mensen hiervan weerhoudt is het gebrek aan concurrentie en het binden aan bepaalde fabrikant
Wettelijke oplossing:
- Concurrentie vergroten door gebruik van open standaarden in software te verplichten
Deze laatste oplossing heeft wat haken en ogen natuurlijk. Het is mogelijk dat gebruikers - wanneer ze niet kritisch kiezen - het goedkoopste product nemen zonder op de veiligheid te letten. Maar dit laatste is juist wat ik met mijn post wilde bereiken, dat degeen die het leest en waarvoor het iets nieuws is natuurlijk bewuster gaat worden op het gebied van 'fundamentele' veiligheid van de software. Het belangrijke is natuurlijk dat met een dergelijke wet de mensen ook een keuze hebben om voor veilig te gaan.
Joris [/B][/QUOTE]
Originally posted by Unregistered
Deze laatste oplossing heeft wat haken en ogen natuurlijk. Het is mogelijk dat gebruikers - wanneer ze niet kritisch kiezen - het goedkoopste product nemen zonder op de veiligheid te letten. Maar dit laatste is juist wat ik met mijn post wilde bereiken, dat degeen die het leest en waarvoor het iets nieuws is natuurlijk bewuster gaat worden op het gebied van 'fundamentele' veiligheid van de software. Het belangrijke is natuurlijk dat met een dergelijke wet de mensen ook een keuze hebben om voor veilig te gaan.
Deze laatste oplossing heeft wat haken en ogen natuurlijk. Het is mogelijk dat gebruikers - wanneer ze niet kritisch kiezen - het goedkoopste product nemen zonder op de veiligheid te letten. Maar dit laatste is juist wat ik met mijn post wilde bereiken, dat degeen die het leest en waarvoor het iets nieuws is natuurlijk bewuster gaat worden op het gebied van 'fundamentele' veiligheid van de software. Het belangrijke is natuurlijk dat met een dergelijke wet de mensen ook een keuze hebben om voor veilig te gaan.
Fundamenteel veilige software kan niet bestaan zolang deze software input accepteerd van een besturingssysteem en/of hardware welke fundamenteel onveilig is.
Los daarvan bestaat veiligheid uit zaken die elkaar gewoon botweg in de weg zitten, zodat je moet kiezen 'welke' veilighied je wilt. Net zoals dat voor fysieke veilighied geld (als ik mijn huis 100% beveilig tegen inbrekers, is de kans groter dat ik in geval van een brand mijn huis niet uit kom), geld dit ook voor IT veiligheid (Als ik al mijn verkeer versleutel is de kans groot dat ik een eveneens versleutelde aanval niet op zal merken).
Mijn conclusie, software 'is' fundamenteel onveilig, en na de nodige evaluatie zijn we in staat een beveiliging te kiezen.
Originally posted by Unregistered
Fundamenteel veilige software kan niet bestaan zolang deze software input accepteerd van een besturingssysteem en/of hardware welke fundamenteel onveilig is.
[/QUOTE]
???
Als ik het over fundamenteel heb dan heb ik het juist over het OS.
Bovendien kan software toch met meer oog op security (goeie input checking enzo) geschreven worden.
En ik ga niet weer helemaal beginnen over dat het niet mogelijk is om het 100% veilig te krijgen. Je hebt probably totaal niet gelezen of begrepen.. want ik zeg dat het oog in eerste instantie op de veiligheid van het OS, en de standaard software moet vallen voordat men gaat denken aan firewalls. Dit kan door druk op de bedrijven te zetten. *ZUCHT*
Los daarvan bestaat veiligheid uit zaken die elkaar gewoon botweg in de weg zitten, zodat je moet kiezen 'welke' veilighied je wilt. Net zoals dat voor fysieke veilighied geld (als ik mijn huis 100% beveilig tegen inbrekers, is de kans groter dat ik in geval van een brand mijn huis niet uit kom), geld dit ook voor IT veiligheid (Als ik al mijn verkeer versleutel is de kans groot dat ik een eveneens versleutelde aanval niet op zal merken).
Een aanval waartegen? Noem voorbeelden.
Ik vind je vergelijking wat raar.
Bedoel je dat er nadelen aan versleutelde aanvallen zit?
Wat is het verschil tussen een aanval op een webserver met SSL en een zonder? Wanneer je SSL enabled hebt kun je nog steeds zien welke requests worden uitgevoerd.
Mijn conclusie, software 'is' fundamenteel onveilig, en na de nodige evaluatie zijn we in staat een beveiliging te kiezen. [/B]
[/QUOTE]
*gaaap*, als je goed configureerd en installeerd heb je 50% minder risico. Als je dan ook nog oplet op wat je doet als je aan het werk bent dan heb je 95% minder risico. Maar aangezien je dit niet van iedereen kunt verwachten moeten default instellingen van een OS secure zijn.. Als de fabrikant wat security bewuster wordt kom je aan de 99% secure. Dit allemaal bij wijze van spreken natuurlijk. Maar ik heb het idee dat de bedoeling van de post totaal niet begrepen hebt.
Fundamenteel veilige software kan niet bestaan zolang deze software input accepteerd van een besturingssysteem en/of hardware welke fundamenteel onveilig is.
[/QUOTE]
???
Als ik het over fundamenteel heb dan heb ik het juist over het OS.
Bovendien kan software toch met meer oog op security (goeie input checking enzo) geschreven worden.
En ik ga niet weer helemaal beginnen over dat het niet mogelijk is om het 100% veilig te krijgen. Je hebt probably totaal niet gelezen of begrepen.. want ik zeg dat het oog in eerste instantie op de veiligheid van het OS, en de standaard software moet vallen voordat men gaat denken aan firewalls. Dit kan door druk op de bedrijven te zetten. *ZUCHT*
Los daarvan bestaat veiligheid uit zaken die elkaar gewoon botweg in de weg zitten, zodat je moet kiezen 'welke' veilighied je wilt. Net zoals dat voor fysieke veilighied geld (als ik mijn huis 100% beveilig tegen inbrekers, is de kans groter dat ik in geval van een brand mijn huis niet uit kom), geld dit ook voor IT veiligheid (Als ik al mijn verkeer versleutel is de kans groot dat ik een eveneens versleutelde aanval niet op zal merken).
Een aanval waartegen? Noem voorbeelden.
Ik vind je vergelijking wat raar.
Bedoel je dat er nadelen aan versleutelde aanvallen zit?
Wat is het verschil tussen een aanval op een webserver met SSL en een zonder? Wanneer je SSL enabled hebt kun je nog steeds zien welke requests worden uitgevoerd.
Mijn conclusie, software 'is' fundamenteel onveilig, en na de nodige evaluatie zijn we in staat een beveiliging te kiezen. [/B]
[/QUOTE]
*gaaap*, als je goed configureerd en installeerd heb je 50% minder risico. Als je dan ook nog oplet op wat je doet als je aan het werk bent dan heb je 95% minder risico. Maar aangezien je dit niet van iedereen kunt verwachten moeten default instellingen van een OS secure zijn.. Als de fabrikant wat security bewuster wordt kom je aan de 99% secure. Dit allemaal bij wijze van spreken natuurlijk. Maar ik heb het idee dat de bedoeling van de post totaal niet begrepen hebt.
Originally posted by Unregistered
???
Als ik het over fundamenteel heb dan heb ik het juist over het OS.
Bovendien kan software toch met meer oog op security (goeie input checking enzo) geschreven worden.
[/QUOTE]Helemaal mee eens, daarmee krijg je veiligere software, die aannames moet doen over de authentisiteit en integriteit van de aangeboden data, en de vertrouwlijkheid van de output. Elke aanname die de software zou toestaan iets nuttigs met de aangeboden data te kunnen doen en hierop output te genereren zorgt er voor dat tenzij de integriteit van de input em de vertrouwlijkheid van de output 100% gewaarborgd zijn, dat de software opzich, hoe veilig deze ook kan worden, nooit FUNDAMENTEEL veilig zal zijn.
{QUOTE]
En ik ga niet weer helemaal beginnen over dat het niet mogelijk is om het 100% veilig te krijgen. Je hebt probably totaal niet gelezen of begrepen.. want ik zeg dat het oog in eerste instantie op de veiligheid van het OS, en de standaard software moet vallen voordat men gaat denken aan firewalls. Dit kan door druk op de bedrijven te zetten. *ZUCHT*
[/QUOTE]
Het probleem is de term fundamenteel, deze impliceert veel meer dan wat jij er mee denkt te vangen.
[QUOTE}
Een aanval waartegen? Noem voorbeelden.
Ik vind je vergelijking wat raar.
Bedoel je dat er nadelen aan versleutelde aanvallen zit?
Wat is het verschil tussen een aanval op een webserver met SSL en een zonder? Wanneer je SSL enabled hebt kun je nog steeds zien welke requests worden uitgevoerd.
[/QUOTE]
Waar dan? op je eindpunten, daartussen dus niet, zodat end to end crypto welke
is toegestaan er voor zorgt dat IDS en firewall systemen niets zinnigs kunnen doen m.b.t. vulnerabilities, illegale tunnels, etc. De veiligheids wensen en eisen van identividuele personen, systemen en/of applicaties confilcteren in veel gevallen structureel met die van de overkoepelende organisatie zodra de grenzen van beveiligingszones worden overschreden.
Als er een beveiligde (crypto) koppeling is tussen een systeem of netwerk in zone 1, en een systeem of netwerk in zone2, dan heb je een 'fundamenteel' probleem met de definitie van je zones. Je kunt nog wel aannames doen, maar aannames zijn omdat het aannames zijn dus nooit fundamenteel, hoe zeer ze ook gefundeerd zijn.
*gaaap*, als je goed configureerd en installeerd heb je 50% minder risico. Als je dan ook nog oplet op wat je doet als je aan het werk bent dan heb je 95% minder risico. Maar aangezien je dit niet van iedereen kunt verwachten moeten default instellingen van een OS secure zijn.. Als de fabrikant wat security bewuster wordt kom je aan de 99% secure. Dit allemaal bij wijze van spreken natuurlijk. Maar ik heb het idee dat de bedoeling van de post totaal niet begrepen hebt. [/B]
In de bedoeling kan ik mij redelijk vinden, alleen is de bewoording erg slecht. Je bedoelt veel minder dan je impliceert.
Je bedoelt blijkbaar dat 'be'veiliging fundamenteel en hoog beprioriteerd onderdeel moet zijn van software ontwikkeling. Dit is helemaal juist, en hierin kan ik mij dan ook helemaal vinden. Alleen is dat dus niet wat je uitdraagt. Wat je uitdraagt is namelijk dat veiligheid in software fundamenteel zou kunnen worden, en dat is iets wat conceptueel onmogelijk lijkt te zijn om de twee door mij genoemde redenen.
???
Als ik het over fundamenteel heb dan heb ik het juist over het OS.
Bovendien kan software toch met meer oog op security (goeie input checking enzo) geschreven worden.
[/QUOTE]Helemaal mee eens, daarmee krijg je veiligere software, die aannames moet doen over de authentisiteit en integriteit van de aangeboden data, en de vertrouwlijkheid van de output. Elke aanname die de software zou toestaan iets nuttigs met de aangeboden data te kunnen doen en hierop output te genereren zorgt er voor dat tenzij de integriteit van de input em de vertrouwlijkheid van de output 100% gewaarborgd zijn, dat de software opzich, hoe veilig deze ook kan worden, nooit FUNDAMENTEEL veilig zal zijn.
{QUOTE]
En ik ga niet weer helemaal beginnen over dat het niet mogelijk is om het 100% veilig te krijgen. Je hebt probably totaal niet gelezen of begrepen.. want ik zeg dat het oog in eerste instantie op de veiligheid van het OS, en de standaard software moet vallen voordat men gaat denken aan firewalls. Dit kan door druk op de bedrijven te zetten. *ZUCHT*
[/QUOTE]
Het probleem is de term fundamenteel, deze impliceert veel meer dan wat jij er mee denkt te vangen.
[QUOTE}
Een aanval waartegen? Noem voorbeelden.
Ik vind je vergelijking wat raar.
Bedoel je dat er nadelen aan versleutelde aanvallen zit?
Wat is het verschil tussen een aanval op een webserver met SSL en een zonder? Wanneer je SSL enabled hebt kun je nog steeds zien welke requests worden uitgevoerd.
[/QUOTE]
Waar dan? op je eindpunten, daartussen dus niet, zodat end to end crypto welke
is toegestaan er voor zorgt dat IDS en firewall systemen niets zinnigs kunnen doen m.b.t. vulnerabilities, illegale tunnels, etc. De veiligheids wensen en eisen van identividuele personen, systemen en/of applicaties confilcteren in veel gevallen structureel met die van de overkoepelende organisatie zodra de grenzen van beveiligingszones worden overschreden.
Als er een beveiligde (crypto) koppeling is tussen een systeem of netwerk in zone 1, en een systeem of netwerk in zone2, dan heb je een 'fundamenteel' probleem met de definitie van je zones. Je kunt nog wel aannames doen, maar aannames zijn omdat het aannames zijn dus nooit fundamenteel, hoe zeer ze ook gefundeerd zijn.
*gaaap*, als je goed configureerd en installeerd heb je 50% minder risico. Als je dan ook nog oplet op wat je doet als je aan het werk bent dan heb je 95% minder risico. Maar aangezien je dit niet van iedereen kunt verwachten moeten default instellingen van een OS secure zijn.. Als de fabrikant wat security bewuster wordt kom je aan de 99% secure. Dit allemaal bij wijze van spreken natuurlijk. Maar ik heb het idee dat de bedoeling van de post totaal niet begrepen hebt. [/B]
In de bedoeling kan ik mij redelijk vinden, alleen is de bewoording erg slecht. Je bedoelt veel minder dan je impliceert.
Je bedoelt blijkbaar dat 'be'veiliging fundamenteel en hoog beprioriteerd onderdeel moet zijn van software ontwikkeling. Dit is helemaal juist, en hierin kan ik mij dan ook helemaal vinden. Alleen is dat dus niet wat je uitdraagt. Wat je uitdraagt is namelijk dat veiligheid in software fundamenteel zou kunnen worden, en dat is iets wat conceptueel onmogelijk lijkt te zijn om de twee door mij genoemde redenen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
