Ernstig tekort aan goede beveiligingsonderzoekers
De wereld heeft meer onderzoekers zoals Dan Kaminsky, Jacob Appelbaum en Alexander Sotirov nodig, want alleen zo kan het internet echt veilig worden. De drie onderzoekers waren verantwoordelijk voor het ontdekken van ernstig problemen met de infrastructuur van het internet, respectievelijk met DNS en SSL-certificaten. Ondanks het feit dat de onderzoeken vorig jaar pas werden gepresenteerd, zou men zich af moeten vragen waarom het zolang duurde. Al jaren geleden werd gewaarschuwd voor problemen met routering, PKI en DNS, aldus Andrew Storms van nCircle.
Dat neemt niet weg dat de impact van de onderzoeken enorm was. De reden is volgens Storms eenvoudig. "Het gaat om vertrouwen. We vertrouwen het gele slotje in de browser. We vertrouwen de routering van het internet. We vertrouwen dat als een URL de naam van onze bank bevat, we dan op onze bank inloggen." En daar kan geen enkele awareness training, anti-virus software of harde schijf encryptie tegenop, zo gaat de beveiliger verder.
Weerloos
Een andere reden dat dit soort onderzoeken veel aandacht krijgen, is omdat internetgebruikers zich er niet tegen kunnen beschermen. "Het echte probleem is dat er niet genoeg Kaminiskys, Appelbaums en Sotirovs zijn die onderzoek naar de gecentraliseerde diensten, de bouwstenen, van het internet verrichten." De meeste mensen vertrouwen dat de lokale politie de toegestane snelheid controleert. De brandweer controleert gebouwen en het leger bewaakt de grenzen. "Het internet is niet lokaal en kent geen grenzen."
Vertrouwen
Volgens Storms is het de vraag of actieve deelname van de Amerikaanse overheid een verschil maakt. De manier waarop het net functioneert is redelijk transparant. Een nieuwe DNS update toepassen, zonder dat iemand dit opmerkt, is dan ook zeer onwaarschijnlijk. Tevens zijn er nog nooit onderzoekers in dienst van de Amerikaanse overheid bedankt voor het vinden van een beveiligingslek.
"We hebben dus een aantal grote vertrouwensproblemen. Amerikaanse burgers kunnen er niet op vertrouwen dat hun regering het nodige onderzoek uitvoert om een van de belangrijkste stukken infrastructuur te beschermen." Storms merkt op dat er wel een paar burgers zijn die de kennis en vaardigheden hebben om dit onderzoek te doen, maar niet op de schaal die vereist is. Daar komt bij dat 99,99% van de internetgebruikers de problemen niet eens beseft. "Wie van ons wel de gevolgen van dit soort lekken begrijpt, is op zichzelf aangewezen om waar mogelijk voor bescherming te zorgen."
de wereld is wel gevuld met "slechte" beveiligingsonderzoekers. genaamd hackers. Alleen publiceren deze hun werk op een hele vervelende manier. Het beste zou zijn als er helemaal geen beveiligingsonderzoekers zouden zijn. Zowel geen "slechte" al "goede"
dan hebben developers meer tijd voor het ontwikkelen van innovatieve functies en hoeven ze niet continu bezig zijn met het dichten van de dam.
Nee, het dichten van de dam is natuurlijk helemaal niet belangrijk.
Het beste zou zijn als elke developer bewust is van de gaten in de dam, dan kan hij/zij daar al rekening mee houden.
Want wie is er fout? Degene die zijn deur wagenwijd open laat staan of degene die het huis binnen gaat?
Beiden zijn schuldig.
de wereld is wel gevuld met "slechte" beveiligingsonderzoekers. genaamd hackers. Alleen publiceren deze hun werk op een hele vervelende manier. Het beste zou zijn als er helemaal geen beveiligingsonderzoekers zouden zijn. Zowel geen "slechte" al "goede"
dan hebben developers meer tijd voor het ontwikkelen van innovatieve functies en hoeven ze niet continu bezig zijn met het dichten van de dam.
Fantastische stelling maar laten we beginnen bij het begin. Als developers nu eens veiligheid meenemen in het initiele ontwerp van applicaties en zich houden aan de uitgangspunten van veilig ontwikkelen dan zijn we al een stuk verder. Tis gewoon een schandaal hoe slecht sommige applicaties in elkaar zitten en hoe makkelijk gaten zijn te vinden.
Kortom: doe je werk beter, test beter, dan is het ook niet noodzakelijk om te patchen en te patchen en te patchen en tijd te verdoen aan het spelen van Hansje Brinker.
Bovendien zijn "hackers" helemaal niet verkeerd. Kaminsky is ook een hacker. Het werkelijke probleem zit hem in de persoon (cracker) die financieel gewin, criminaliteit of andere motieven hoger stelt dan de (beroeps) ethiek. Zo oud als de mensheid zelf volgens mij.
Je kan bijna altijd met de vinger naar management wijzen ;) Als ze al iets weten over veiligheid/beveiliging trekken ze er zich niks van aan.
Met "we" wordt hier helaas ook de applicatie ontwikkelaar bedoeld, die zich niet realiseert dat een adres en een identiteit twee verschillende concepten zijn.
Als er gebruik gemaakt wordt van sterke twee-zijdige authenticatie, is een aanval op routering zinloos, en hoeft daar verder ook niet veel onderzoek naar gedaan te worden.
Voor DOS aanvallen ligt dat anders, maar dat is niet waar het hier over gaat.
Ge-qoute om de waarheid nog eens te onderstrepen.
Helaas zijn er onder programmeurs genoeg mensen te vinden die de noodzaak inzien van dingen als een feature freeze & complete rewrite, geautomatiseerde security tests, veilig(ere) programmeer methodes en ga zo maar door.
Ik zeg helaas omdat ook de goeden het bijna altijd af moeten leggen tegen commerciële druk. (uit eigen ervaring).
@ Backfire: In essentie heb je gelijk, maar dat is door de menselijke aard dermate onrealistisch dat het een onzin stelling is.
Dan kan je ook met de volgende komen:
Als mensen niet meer zouden stelen hoefde je je voordeur niet op slot te doen.
Als bedrijven goede gebouwen zou den bouwen uit zichzelf zouden er geen bouwvoorschriften nodig zijn.
Meer algemeen, als mensen niets slechts meer deden konden we onze energie op constructieve doelen richten. etc. etc.
Helaas een utopie op het niveau van wereldvrede & geen honger meer in de wereld. Er zijn altijd slechte mensen, die zullen ook altijd zoveel slechte dingen doen als waar ze mee weg komen. Dus is het van belang zoveel mogelijk te voorkomen dat er mogelijkheden zijn om die slechte dingen uit te halen, in dit geval door solide programmeer werk waarbij security vanaf de design fase al is meegenomen.
Op het internet wordt er al jaren een conflict uitgevochten tussen de hackers en crackers enerzijds en de aanbieders van software en hardware anderszijds en het speelveld heet 'security'. Geen systeem is 'security-proof' en is kraakbaar met adequate kennis en voldoende rekenkracht. Tot nu toe waren het de hackers en crackers die de overhand hadden om deze stelling aan te tonen in hun gevecht tegen boosdoener Microsoft, naderhand aangevuld met professionele onderzoekers. Sinds kort hebben zich universiteiten aangemeld om met hun kennis en hun rekenkracht om zonodig in combinatie met elkaar de security te lijf te gaan om hun gelijk te bewijzen en dat is een ongewenste ontwikkeling, want ze laten onschuldige gebruikers in een diep gat vallen zonder zelf met een oplossing te komen en staan ook nog lijdzaam aan de zijlijn toe te kijken.
Het internet is inderdaad in gevaar.
Het is een eindeloze kringloop van het maken van een product, feature of applicatie en een slim iemand die er misbruik van maakt.
Je kan immers testen en checken en baselines gebruiken tot je een ons weegt. Hoe weet je NU zeker dat het product bestand zal zijn tegen de kennis en kracht van morgen?
Onderzoekers, tezamen met 'hackers' zijn imho een onmisbaar stuk in de kringloop. En "de publieke opinie" speelt natuurlijk ook zijn rol.
Ik zie het niet als iets fatalistisch maar realistich...
Wat denk jij?
Het is wel op eigen verantwoordelijkheid hé
Maar het moet allemaal voor nop!
En de CEO's zou 't roesten hoe goed de mensen op de werkvloer zijn, want die neemt z'n/d'r dikke bonus toch wel en dan naar de volgende stoel, is meer dan gebleken.
Dus, hopeloze zaak.. "we did win a few tiny battles, But are losing the war completely!!!"
*Anna.
de wereld is wel gevuld met "slechte" beveiligingsonderzoekers. genaamd hackers.
Volgens mij snap je niet helemaal wat een hacker is. Zelf ben je er iedergeval niet een.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
