Microsoft: security is geldverspilling
Veel van het advies dat beveiligingsexperts geven, zoals sterke wachtwoorden en het controleren van een gouden slotje, is tijd- en geldverspilling, aldus een vooraanstaand Microsoft onderzoeker. Volgens Cormac Herley is het prima te begrijpen waarom mensen geen sterke wachtwoorden gebruiken, geen phishingsites herkennen en certificaatwaarschuwingen negeren. Voor veel mensen zijn al die beveiligingsmaatregelen niet de moeite waard. Het wijzigen van wachtwoorden wordt dan als tijdverspilling gezien, merkt Herley op.
Volgens de hoofdonderzoeker bij Microsoft's Machine Learning Department negeren veel van de adviezen die beveiligingsexperts aan eindgebruikers geven niet alleen de echte dreigingen, maar zijn ook geldverspilling. "Voorkomen is beter dan genezen, maar als je niet precies weet hoeveel je van elk nodig hebt, wordt het natte vingerwerk."
Wachtwoord
Als voorbeeld kijkt Herley naar wachtwoorden. Een sterk wachtwoord maakt het lastig voor een aanvaller om een account te kraken, maar een sterk wachtwoord brengt ook kosten met zich mee. Het is onduidelijk of de voordelen van een sterk wachtwoord tegen de kosten opwegen, zo merkt hij op. Het volgen van beveiligingsmaatregelen kost namelijk tijd en moeite.
Zo mogen gebruikers geen wachtwoorden hergebruiken. Uit onderzoek blijkt dat de meeste internetgebruikers gemiddeld 25 met wachtwoorden beschermde accounts hebben. De meeste gebruikers gebruiken gemiddeld 6,5 wachtwoorden voor gemiddeld 3,9 websites. Het kiezen van een uniek wachtwoord kost een gebruiker 3,9 keer zoveel moeite, terwijl het voordeel lastig te kwantificeren is. Beveiligingsexperts moeten er dan ook rekening mee houden dat de tijd van een eindgebruiker ook een prijskaartje heeft, en dat veel maatregelen niet "gratis" zijn in te voeren.
Met 180 miljoen volwassen Amerikanen, zou een minuut per dag bij elkaar een kleine 16 miljard dollar kosten. Om de kenmerken van een phishingsite te kennen, zoals spelfouten, certificaatwaarschuwingen, HTTPS en de URL, zou een Amerikaanse internetgebruiker per jaar niet meer dan 2,6 minuten mogen besteden, anders wegen de kosten niet tegen het voordeel op. "De inspanning die we aan mensen vragen is echt, terwijl de schade waarvoor we ze waarschuwen bijna altijd theoretisch is." Als voorbeeld geeft Herley certificaatwaarschuwingen die in bijna alle gevallen false positives zouden zijn.
Lachen
Veel beveiligingsexperts moeten volgens Herley lachen om het surfgedrag van doorsnee internetgebruikers. Die spot toont juist aan dat het de experts zijn die geen idee hebben wat er speelt, zo laat hij weten. "Het is de taak van beveiligingsexperts om technologie te ontwikkelen die aan een behoefte voldoet. Als het dat niet doet, ga er dan niet om lachen. Misschien zijn sommige mensen op het web dom en lui, maar ze zijn wat ze zijn."
In plaats van dit te erkennen, blijven beveiligingsexperts mensen meer advies geven om wachtwoorden te wijzigen, URL's te controleren en op te passen voor phishingaanvallen. "Het spul heeft zichzelf de afgelopen veertig jaar opgehoopt, het gaat nooit weg", aldus Herley over beveiligingsadviezen. Onlangs publiceerde hij een rapport waaruit blijkt dat er een "gigantisch gat" zit tussen de kans op schade en de echte schade die online plaatsvindt. Veel cyberaanvallen zouden namelijk falen en niets opleveren.
Micorsoft lacht al jaren om z'n gebruikers. Elke keer een 'OS' wat niet doet wat ik wil - of erger nog op eigen initiatief doet wat ik niet wil... Komen nog de talloze reboots wegens stabiliteits-problemen of de zoveelste update bij.
Daar kan 1x per week een password wijzigen qua tijdverspilling echt niet tegenop.
Overigens vind ik dat beveiliging best wat (tijd) mag kosten! Laag hangend fruit immers.. Je hoeft jezelf alleen maar beter te beveiligen als je buurman.
Hetgeen waarvoor het bedoeld is, is de KANS dat er iets dreigt fout te gaan dat je jezelf ingedekt hebt.
Je doet je auto of je huis ook telkens op slot omdat je de kans op diefstal wil verkleinen. Daar ben je ook een minuut per dag aan kwijt. Maar volgens mij kun je dat niet omrekenen dat het in totaal 16 miljard dollar zou kosten voor die 180 miljoen Amerikanen.
Het gaat nieteens over echt geld, maar over het geld dat de 'verspilde' tijd in theorie op zou brengen. Naar mijn werk rijden kost me naast de benzine ook mijn kostbare tijd en als ik de uren reistijd uitbetaald zou krijgen...........
Kortom, de minimale investering zal zijn geld wel waard zijn.
Als je op die manier redeneert moet je onmiddelijk stoppen met uitkijken en wachten tot er niets aankomt als je de weg oversteekt. Het is immers een grote uitzondering dat iemand bij het oversteken wordt aangereden. De tijd die we erin steken weegt duidelijk niet op tegen het voordeel.
Iedereen zal op zijn klompen aanvoelen dat die vlieger niet opgaat, we worden zo weinig aangereden juist omdat we niet massaal als een kip zonder kop de weg op lopen. Het aanstormende verkeer is duidelijk zichtbaar en je hoeft niet over veel inzicht en voorstellingsvermogen te beschikken om te snappen dat een botsing ermee niet gezond is.
De pest met effectieve preventieve maatregelen is dat op termijn onzichtbaar wordt hoe de situatie zonder die maatregel zou zijn. Vaak is de dreiging voor een leek veel minder zichtbaar dan aanstormend verkeer. Als het effect van een maatregel zo vanzelfsprekend wordt dat de dreiging niet meer lijkt te bestaan dan staat er vroeg of laat iemand op die met dit soort kosten/baten-berekeningen argumenteert dat de maatregel overbodig is geworden. Die berekening klopt alleen niet, de baten zijn niet vast te stellen, wat niet gebeurt kan je niet meten.
Hij zegt het eigenlijk zelf:
Mijn punt is dat hij het ook niet kan kwantificeren, omdat de werkelijke baten onbekend zijn: niemand weet niet hoe groot het probleem wordt als je het de vrije loop laat, niemand weet hoeveel je op de cure bespaart. Zijn hele verhaal is daarmee net zo goed hand-waving. Als je iets niet kan kwantificeren is de mening van deskundigen vermoedelijk het beste wat je hebt.
Micorsoft lacht al jaren om z'n gebruikers. Elke keer een 'OS' wat niet doet wat ik wil - of erger nog op eigen initiatief doet wat ik niet wil... Komen nog de talloze reboots wegens stabiliteits-problemen of de zoveelste update bij.
Daar kan 1x per week een password wijzigen qua tijdverspilling echt niet tegenop.
Alles kan beter maar beweren dat Microsoft helemaal niets heeft verbetert klopt gewoon niet. Overigens zijn veel stabilteitsproblemen hardware problemen. Harde schijven spannen wel de kroon op dat vlak maar enkele jaren geleden had je nog dit :
http://en.wikipedia.org/wiki/Capacitor_plague
Amerikaans bedrijf welke nauwe banden heeft met de US overheid (Patriot Act). Hebben geen baat bij een goede beveiliging en willen zelf geen geld stoppen in echte beveiliging (gaat van de winst af), dus maken ze basis beveiligingsmaatregelen en gezond verstand ridicuul. Waarom denk je dat alle Amerikaanse bedrijven jouw data graag bij hun in de Cloud wil hebben, dan hoeven ze helemaal niet meer te investeren in beveiliging, althans nog een beetje voor de show, password, slotje,... Wake up.
PS: Geldt ook voor Google, Facebook en Apple.
Een sterk wachtwoord helpt tegen brute force password hacking, maar vaak worden credentials gestolen met een keylogger bijvoorbeeld, en dan is het vrij nutteloos. Overigens vraag ik mij af hoe "duur" een sterk wachtwoord is, de stelling hier lijkt een beetje overdreven. En het kraken van wachtwoorden kan, zoals te zien is in diverse lekken van dit jaar, verstrekkende gevolgen hebben.
Gaap.....
Wat veel beveiligers nog steeds niet hebben begrepen is dat beveiliging niet leidend kan zijn. Er zijn wet-regelgeving en er zijn business behoeften en regels. Beveiliging zou zich hierin moeten inpassen en soms wel aanpassen, net als ICT overigens. Het heeft totaal geen nut om een zware wachtwoord policy af te dwingen als gebruikers daardoor worden gedwongen om wachtwoorden op te schrijven of wachtwoorden gaan kiezen zoals geboortedatum+ een aantal karakters (meestal cijfers). Dan schiet je als beveiliger je doel compleet voorbij en heb je niet naar de business geluisterd.
In plaats daarvan zou de beveiliger eens, samen met de business, moeten kijken naar de alternatieven die het én veilig houdt en gemakkelijk in gebruik zijn.
Daarnaast is bewustwording een hele belangrijke. Zolang je mensen niet bewust maakt van de werkelijke risico's zullen ze hun gedrag niet of nauwelijks aanpassen. Onrealistische doemscenario's schetsen helpen echt niet om gebruikers in te laten zien hoeveel risico hun gedrag met zich mee brengt. Hou het vooral dichtbij en herkenbaar.
Beveiligingsexperts moeten advies geven over beveiliging. Budget verantwoordelijken moeten de afweging maken tussen kosten en baten.
wat zal dat kosten?
oh en microsoft die die nu begint te roepen? het is ten eerste bijzonder goeie image timing. ten tweede weten ze dit al jaren, door naar feiten te werken hebben ze zich langzamerhand keihard in de picture gewerkt want er werkt in die hele IT bijna niemand naar feiten. dus naast dat ze dit allang weten, is hun succes de reden dat ze het ZEKER weten want ze gebruiken dit als business model.
ten derde is het weer een markt bubbel. net zoals met die geheugen kaartjes soms productie in de hand werd gehouden in azie om de prijzen op niveau te houden, microsoft kies nu bewust voor de bijna onontkoombare decline phase van deze 'markt drug bubbel'. door te ploffen gaan we gecontroleerd weer ergens een consumenten start nieuw leven in blazen. zo blijven die lijntjes in bepaalde handen zullen we maar zeggen..
wanneer wordt bestuur weer gewoon bestuur in plaats van angstvallig overal lijntjes in handen te houden/krijgen, bij gebrek aan controle en capaciteit? echt een fish frenzy op de markt vandaag de dag. met een paar hele dikke haaien die het nou niet bpaald zo goed bedoelen allemaal, eerder hun eigen ass aan het volvreten zijn. en die fishies maar verward door elkaar heen zwemmen, man o man o man o man. de politiek is nog wel de grootste FISH van het hele stel.
zie je trouwens wel vaker bij mensen, als het spannond wordt gaan we vechten, eerst bewijzen wie het het beste kan en als ie dat keer drie met grof geweld bewezen heeft dan durven we met zijn alleen hem als dictator aan de top te zetten en erachteraan te hobbelen. zo werkt dat proces ongeveer. en inderdaad zoals goebells zij, wilders nu doet maar ook de amerikanen, zeg een volk dat ze aangevallen worden. je ziet dit gedrag van kleuterscholen tot en met wereld politiek niveau. de allerrijksten zijn er vaak het beste in, sommigen misbruiken dit, anderen gebruiken dit.
ze zeggen het niet alleen, ze geloven het ook nog zelf! nou, we worden niet aangevallen. en als er al ergens aangevallen is dan waren wij het zelf wel. vanwege wat economisch belang, wat filantropische neigingen of wat nog niet meer. dat is dus hoe verstrikt je kan raken in je eigen 'mind'. en hoeveel mensen dat zijn. uiteindelijk komt newtons derde wet, reactie balanceerd actie, je achterop rennen met feiten en trekt je wel aan het oor in de goeie richting. komt ook altijd uit, cliche he?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
