Kaminsky wil hackerraad tegen indianenverhalen
Eerst was er het DNS-lek, toen Clickjacking en laatst kregen we te horen dat het internet dankzij het TCP/IP DoS-lek zal vergaan. In alle gevallen waarschuwden onderzoekers voor een ernstig probleem, zonder enige details prijs te geven. Die zou het publiek pas tijdens een latere conferentie te horen krijgen. Beveiligingsonderzoeker Dan Kaminsky heeft spijt van zijn aanpak met het DNS-lek. "Het is niet iets dat ik nog een keer zou doen." Hij voelt zich verantwoordelijk voor de manier waarop andere hackers nu met beveiligingsproblemen omgaan.
Hij twijfelt er niet aan dat Clickjacking een probleem is of dat het TCP/IP DoS-lek echt bestaat, toch zal in beide gevallen het internet er niet door vergaan. "Daarom ga ik een soort bestuur oprichten, die onder strenge juridische en non-disclosure agreements elke bug gaat controleren waarvan iemand beweert dat die zo ernstig is dat die niet publiekelijk gemaakt kan worden. Leden van dit bestuur moeten actief in het veld zijn waar het om gaat. Ik heb al veel mensen gesproken en iedereen is de stroom van halve onthullingen meer dan zat." Volgens Kaminsky moet de hackergemeenschap de scenario's bepalen waar de voordelen van een gedeeltelijke onthulling zwaarder dan de risico's wegen.
Er wordt helemaal niet beweerd dat het FUD van wc-eend mannetjes is, en verder rapporteert security.nl 100% terecht over deze problemen, het is niet de schuld van de redactie dat er niet snel genoeg duidelijkheid bestaat over de inhoudelijke details. Verder heeft Kaminsky volledig gelijk wanneer hij stelt dat dit op een betere manier geregeld kan worden, zodat dit sneller door de vendors en dergelijke kan worden opgepakt.
Wat moeten we met je opmerking dat je dat al tijden roept ? Wil je jezelf nu een schouderklopje geven ofzo ? Of wil je nu een complimentje van ons ?
DNS is de vervelendste daar deze van te voren is uit te voeren en zich richt op de servers.
Clipjack is een welkome aanvulling daar op, gericht op de client.
TCP/IP is de minste van de drie, voornamelijk door zijn kracht.
Om daarmee een remote host te treffen moet de payload zo zijn ingesteld dat de tussenliggende hops niet de aanval beinvloeden. Daar is uitgebreide kennis voor nodig over deze hops en de host... Ondanks de kracht is er de meeste kennis voor nodig om dit te laten slagen. Er zijn eenvoudigere manieren om hetzelfde uit te voeren.
Omdat het verder wel degelijk om beveiligingsproblemen gaat. Het enkele feit dat de details niet snel genoeg worden vrijgegeven, wil nog niet zeggen dat een site als security.nl deze berichten moet negeren. Wat dat betreft is het volledig terecht dat je hier over dergelijke ontwikkelingen berichten kunt lezen.
Helemaal mee eens. De hoeveelheid FUD/indianenverhalen/wij-hebben-een ernstig-lek-ontdekt-maar-geven-geen details-weg berichten die als nieuws gepresenteerd worden, halen op onbegrijpelijke wijze dagelijks de zichzelf op de borst slaande "nieuws sites".
Dat daar reacties op komen (ik noem geen namen, ze weten zelf wel wie ze zijn) die kant nog wal raken, geen enkele relevante aanvulling zijn op eerder geplaatse reacties en forums zoals deze als uitlaatklep gebruiken omdat niemand anders naar ze wil luisteren, is even onbegrijpelijk maar helaas realiteit.
Er lopen in "IT-beveiligings land" een aantal schapen rond (ik noem wederom geen namen) die vaker blaten dan daadwerkelijk met argumenten komen. Dus voordat de schapen weer gaan blaten, hier is mijn argument:
De hoeveelheid FUD/indianenverhalen/wij-hebben-een ernstig-lek-ontdekt-maar-geven-geen details-weg berichten die als nieuws gepresenteerd worden, halen op onbegrijpelijke wijze dagelijks de zichzelf op de borst slaande "nieuws sites", geven geen enkele meerwaarde/details/inzicht en hebben (zoals Eerde al eerder zei) een hoog WC-Eend gehalte.
"Frl"
Op het moment dat je doet internetten gaan er data packetjes lopen over het TCP protocol!!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
