image

Expert: Mensen zullen security nooit begrijpen

donderdag 31 december 2009, 15:15 door Redactie, 9 reacties

Bedrijven en consumenten zullen security nooit begrijpen, of een hacker moet een maand lang het elektriciteitsnetwerk weten uit te schakelen, dat zegt Marcus Ranum. De zwaar verbijsterde beveiligingsexpert vindt het onbegrijpelijk dat na grootschalige aanvallen bij TJX en Heartland Payment Systems mensen bij bedrijven nog steeds hun kop in het zand steken. Hij denkt dan ook dat er geen momenten zijn waarop mensen worden wakker geschud. "Ik doe dit al lang genoeg en de security gemeenschap zei altijd dat dit of dat een wake-up call zou zijn, maar we hebben 20 jaar aan wake-up calls gehad." Volgens Ranum is het dan ook zo goed als zeker dat mensen security gewoon nooit zullen begrijpen. "Ik ben totaal verbijsterd."

Met name malware is volgens de expert een over het hoofd gezien probleem. Veel bedrijven denken vaak dat dit alleen een probleem voor thuisgebruikers is. "Iemand heeft op afstand controle over je systeem en het kan je niets schelen?" Aan de andere kant maken consumenten zich ook niet druk, zolang het de snelheid van hun internetverbinding maar niet beïnvloedt. "En ik denk echt dat dit het probleem is."

Triest
Naast malware maakt hij zich ook druk over gedistribueerde data. Het feit dat gebruikers hun data overal op het netwerk en in de onderneming laten slingeren om het zo makkelijk toegankelijk te maken. "Dat vormt overal een probleem." Daarnaast is hij teleurgesteld in de beveiliging van de endpoint. "Het is gewoon zielig dat het 2009 is en we nog steeds besturingssystemen gebruiken die gevoelig voor malware, Trojaanse paarden, virussen en nog meer van dat spul zijn. Het is echt triest."

Hij wijst erop dat elke Intel processor over de Trusted Programming Module beschikt, alleen dat besturingssystemen hier nog geen gebruik van maken omdat dit makkelijk is. Daarnaast gaat hij nog in op zaken als cyberoorlog en penetratie testing. Lees het hele interview met Marcus Ranum.

Reacties (9)
31-12-2009, 17:45 door spatieman
logisch toch.
onderhoud kost geld.
tijd is geld.
en ze willen nu eenmaal geld verdienen, dus krijgt securiteit de LAAGSTE prioriteit.
want waarom zouden ze luisteren naar als die gastjes die het allemaal wel weten.
tot het te laat is, dan krijg je die berucht uitspraak uit de 2e wereld oorlog toen het voorbij was.

ich habbe es nicht gewust..
31-12-2009, 18:37 door Skizmo
Mensen : Experts zullen we nooit begrijpen.
31-12-2009, 18:44 door Syzygy
Mensen snappen niet eens het normale gebruik van de computer zelf
Als je hun directory structuur ziet is het een drama
Ze downloaden iets en 10 seconden later kunnen ze het al niet meer terug vinden.
Een backup is er al helemaal niet meer bij.

En die mensen willen ze iets gaan bijbrengen over Security

Prettige Wedstrijd
31-12-2009, 20:09 door [Account Verwijderd]
[Verwijderd]
01-01-2010, 11:37 door Anoniem
Zolang niemand zich verantwoordelijk voelt (of wordt gemaakt) zal security nooit veranderen. Je merkte in bedrijven die in de VS op de beurs genoteerd waren, dat na de SOX-wetgeving (waarbij de CEO en CFO hoofdelijk verantwoordelijk werden), dat de security-gerelateerde afdelingen ineens vreselijk gingen groeien (audit, compliance, legal, security office, etc.). Als je hoofdelijk aansprakelijk bent, en dus naar de gevangenis moet als je het niet goed doet, wil je wel maatregelen nemen.
Kortom, zorg dat je voor ieder onderdeel van de security keten hoofdelijk aansprakelijken benoemd (formele eigenaren dus) en je kunt heel wat voor elkaar krijgen.

Het zou aardig zijn om bijv. een beheerder van een DNS-server verantwoordelijk te maken voor de schade die veroorzaakt wordt door de DNS-cache poisoning op de servers die hij beheert. Dat zou er snel voor zorgen dat veiligere standaarden worden geimplementeerd. Als de schade maar groot genoeg is.

Probleem is natuurlijk dat de internet-infrastructuur zo gedistribueerd is, waardoor iedereen naar iedereen kan wijzen, om de schuld af te wentelen. Maar toch zou er in die richting moeten worden gedacht. Er wordt zoveel geld verdiend aan het internet, dat dit soort modellen mogelijk zouden moeten zijn.

Ik ben het helemaal eens, dat de thuisgebruiker altijd een probleemgebied zal blijven. Sommigen zul je overtuigen, en die doen hun best, maar met zoveel miljoenen internetgebruikers zul je altijd veel mensen zien die je niet kunt bereiken. Op dat gebied kun je dus maar heel beperkt oplossingen verwachten.
01-01-2010, 14:55 door Anoniem
Practig voorbeeld van iemand die alles weet van beveiliging en daardoor contact met de werkelijkheid verloren is.
Mensen zijn namelijk niet bezig met veiligheid, ze zijn bezig een product af te leveren voor de baas, veiligheid maakt het lastig om het binnen de gesteld tijdslimiten te realiseren.

Beveiliging moet dan ook zo ingericht worden, dat men in de eerste plaats normaal kan werken, anders is er geen draagvlak en werkt het dus niet, daar kunnen experts het mee oneens zijn alleen is het wel de dagelijkse praktijk.

Een mooie taak dus voor de veiligheidsexperts, zorg ervoor dat je draagvlak hebt, leg niets op en zorg ervoor dat alles auotmatisch veilig is, zonder dat de gebruiker er al te veel moeite voot hoeft te doen.
01-01-2010, 19:48 door Anoniem
Hij heeft grotendeels wel gelijk maar ik denk dat het niet zozeer alleen met niet begrijpen te maken heeft maar zoals iemand anders ook al zei met geld,bedrijven willen toch zo goedkoop mogelijk hun beveiliging regelen plus voor veel mensen zowel zakelijk als privè vinden het teveel gedoe om zich echt goed in beveiliging te verdiepen. Maar je kunt het met je huis vergelijken dat laat je toch ook niet zonder sloten achter of je auto? Maar bedrijven zouden al heel wat ellende kunnen voorkomen door sociale netwerksites en webmailsites te blokkeren het is toch onzin dat je op de baas zijn pc je hotmail,hyves of weet ik veel wat moet kunnen bekijken, de meeste mensen kunnen dat tegenwoordig ook op hun eigen mobieltje! Dan heeft het bedrijf ook veel minder risico dat er malware binnenkomt. En veel bedrijven zitten bij de standaard beveiligingssoftware en vaak is het antivirus wel goed verzorgd maar geen goede beveiliging tegen spyware. Dus het ligt een heleboel inderdaad aan de mensen zelf hoe belangrijk vind je computerbeveiliging?
02-01-2010, 21:19 door Anoniem
Het is de afweging tussen de wereld van de gebruiker -
die ook vaak zegt "ik ben maar een gebruiker"
en de expert die natuurlijk de compentie, middelen moet
hebben om de gebruiker een "etos" aan te
bieden waarmee de gebruiker kan omgaan.

Die twee werelden zouden wat beter met elkaar kunnen communiceren -
helaas zit er veel commercie in die wereld van security - geld ook
voor alle andere expertises - en daarom komt er een laagje overheen
waarvan veel gebruikers proeven - ha! daar wordt geld verdient en ik
moet dus betalen - daarmee worden ook alle goed gemeende adviezen
besmet.

Kijk maar eens hoeveel anti-virus software er bestaan.
als er een goede techniek was die het probleem kon
aanpakken dan was er geen diversiteit.

Maar goed - de expert waarschuwt omdat hij/zij inzicht heeft
in die materie - daarmee veranderd ook de blik op dat stukje
werkelijkheid - dat er tientallen wormen op me loeren zie ik niet
zo snel als gebruiker -

En wanneer die gebruiker scherper moet zijn..terwijl
dat onderwerp niet zijn "afdeling" is.

Het gaat weer om vertrouwen
en vertrouwen is als een huis
1. je gaat niet graag wonen in een huis dat je niet bevalt
2. je gaat ook niet verhuizen uit een huis dat je wel bevalt
3. te koud is slecht
4. te warm is slecht
5. en als de verblijfskosten te hoog zijn is ook slecht.

Als een goed product te duur is dan mist het
die specifieke groep - als de voorwaarden en
instructies te complex zijn - de koud te warm
of het pakket ziet er niet leuk uit..
dan heeft dat invloed.

Het beste is - klaar met werken - netwerk uit.
bekabeling is mijn voorkeur
gegevens van de vaste schijf af.
en niet met usb-sticks op vakantie..
05-01-2010, 16:38 door Anoniem
Uhhhh......

komt met zijn chippie van intel niet de privacy in gedrang.....terwijl dit juist de grote dreiging is waar hij voor waarschuwt.....


Het Orakel
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.