Nieuws

Gonggrijp: hackers moeten wereld veiliger maken

donderdag 24 mei 2012, 18:03 door Redactie, 10 reacties

Het is aan hackers om de wereld een betere en veiligere plek te maken, zo sloot Rop Gonggrijp de eerste dag van de Hack in the Box conferentie in Amsterdam af. Zowel bedrijven als overheden maken een potje van security. De ene na de andere IT-ramp doet zich voor en tal van systemen beschikken over gebrekkige security, als ze al over security beschikken. "Dat komt omdat ze op security gokken", stelt Gonggrijp. "Als ze winnen houden ze het geld van de gok. Verliezen ze, dan krijgen wij als maatschappij de rekening." In de huidige maatschappij verwachten bijvoorbeeld banken dat de maatschappij voor de opsporing en vervolging van skimmers betaalt. In de jaren 1990 hadden hackers echter al aangetoond dat betaalkaarten te skimmen waren. Toch hoopten banken dat de impact zou meevallen.

"Ze weten dat er geen gevolgen voor hen zijn." Dat geldt niet voor de maatschappij en burgers. "Wij krijgen met meer misdaad en meer surveillance te maken", ging Gonggrijp verder. De roep om repressie zit bij veel organisaties ingebakken.

Rewind
"Er is een geloof dat politie en inlichtingendiensten alles moeten zien. Dat door op 'rewind' te klikken alle problemen zijn op te lossen. Dat is een perceptie die we te zwaard en te vuur moeten bestrijden." Het hebben van een rewind-knop is echter goedkoper dan ooit. En landen hebben volgens Gonggrijp altijd dit soort oplossingen willen hebben. "De Oost-Duitsers ontwikkelden een systeem zodat ze alle schrijvers konden volgen. Zo'n systeem is nu in alle kleurenprinters aanwezig."

Volgens Gonggrijp is het dan ook opmerkelijk dat we nog steeds leven, gezien alle surveillance, die alleen maar groter zal worden. "Nu we totale surveillance kunnen veroorloven is het opeens nodig." Het leidt echter nergens toe, aldus de Nederlandse hacker. "Kun je genoeg mensen arresteren en vervolgen om zaken als misdaad terug te dringen. Het is een afleiding. We hebben echte security nodig in plaats van de surveillance waar nu om wordt geroepen."

Corruptie
Gonggrijp hekelde de corruptie waar de bevolking slachtoffer van wordt. "Corruptie is de werkelijke dreiging." De maatschappij moet echter ook zijn verantwoording nemen. "Er zijn grote olifanten in de kamer. Niemand weet wat er in de Chinese apparatuur aanwezig is. Niemand weet wat in de Israëlische aftap- of betaalsoftware zit. We uploaden allemaal onze gegevens naar de VS."

De wereld wordt volgens Gonggrijp een zooitje. "We gaan de verkeerde kant op. We zien dat ook in de cyberomgeving. De economie van zero-days." De partijen die zero-days kopen zijn geen criminelen meer, maar landen en inlichtingendiensten. En deze zero-days hebben een effect op mensen in westerse landen. Het verschijnen van vier zero-days die cybercriminelen vervolgens gebruiken zijn het gevolg van de Stuxnetworm.

"Dat zijn de gevolgen van cyberoorlog." Gonggrijp verwacht dat meer en meer beveiligingsproblemen door de inzet van cyberwapens zullen ontstaan." Daarbij is het steeds lastiger om de aanval aan iemand toe te schrijven."

Het is aan hackers en security-experts de taak om dit te bestrijden en kwetsbaarheden op verantwoordelijke manier te openbaren. Toch merkt Gonggrijp op dat hij niet cynisch wil overkomen. "Ik wil dat jullie er aan denken om een betere wereld te maken. Een veiligere, leefbare online planeet. Het verkopen van lekken aan landen en inlichtingendiensten helpt daar niet aan mee."

Beheerder Herpes-botnet ontmaskerd

62.000 euro boete voor valse Angry Birds app

Reacties (10)

24-05-2012, 18:16 door [Account Verwijderd]

[Verwijderd]

24-05-2012, 19:17 door MrBil

De oplossing: de grotere bedrijven moeten hackers belonen met een soortgelijk bedrag als waarvoor de exploits verkocht worden ( tussen de 1k - 20k )

En om dit soort ongein te voorkomen: verwijs ik je door naar Hugo zijn reactie ;-)

24-05-2012, 21:32 door Anoniem

Door Hugo: Niet mee eens. Dat is als achteraf de rommel opruimen. Beter is om helemaal geen troep te maken. Het is dus meer aan ontwikkelaars, systeembeheerders en ICT-docenten om de wereld veiliger te maken.

De eerste lockpicker kwam vlak na de eerste slotenmaker om de hoek kijken, en het is sindsdien nooit meer anders geweest. Stelen is makkelijker dan werken, dus dat zal ook niet veranderen.

24-05-2012, 22:40 door Arie

De wereld wordt volgens Gonggrijp een zooitje. "We gaan de verkeerde kant op.

Daar ben ik het wel mee eens. Helaas, mijns inziens, is het tij niet te keren. Als persoon/bedrijf ga ik er in ieder geval voor zorgen dat we geen schade oplopen als we door de chaos heen manoeuvreren.

Zomaar twee dingen waar je van wakker dient te blijven als je de impact overziet ..... byod, cloud, en waarvoor? LEKKER MAKKELIJK en GOEDKOOP.

25-05-2012, 00:37 door Anoniem

Helemaal geen troep maken zou ideaal zijn maar het blijft uiteindelijk mensenwerk. Er is altijd wel een bug te vinden die toegang mogelijk maakt maar vaak ligt het ook aan luie beheerders. Daarnaast zorgen bedrijfsspecifieke programma's er soms voor dat bepaalde (veiligheids-) patches niet kunnen worden uitgerold omdat het dan allemaal niet meer werkt en het bedrijf plat ligt. Ik mail 2 tot 10 bedrijven/instanties/personen per maand dat ik hun site of systeem heb "gehacked". Meestal dmv sqli wat toch echt te voorkomen is. Dat doe ik als hobby en openbaar de gegevens vooralsnog nooit. Soms wordt het lek gedicht, soms niet en soms krijg ik een boze reactie van de betreffende beheerder. Met het melden van het probleem zit mij taak er op, het vervolg is aan de beheerder.

Zero-days zijn deels te voorkomen door te testen, testen en nog eens testen. Dat kost geld en levert uiteindelijk nog steeds geen absolute zekerheid op. Kop in het zand en hopen op het beste lijkt vaak nog de meest gekozen en op het eerste gezicht goedkoopste manier. Een hoop bedrijven komen er vooralsnog (helaas) mee weg.

Natuurlijk is het de taak van ontwikkelaars, systeembeheerders en ICT-docenten om de digi-wereld veilig te maken maar ik merk dat ze vaak niet volledig op de hoogte zijn van de laatste ontwikkelingen. Die zijn er dan ook erg veel en volgen elkaar dusdanig snel op dat het bijna onmenselijk is alle aspecten van veiligheid te volgen.

Tegen landen die bedrijven verplichten een backdoor in hun hard/software te bouwen is sowieso weinig te doen buiten de betreffende producten te weren maar dat zal denk ik niet snel gebeuren.

Een volledig veilige online wereld is een utopie. Als het niet de criminelen zijn, dan zijn het de overheden wel die er voor zorgen dat die staat nooit bereikt wordt

25-05-2012, 08:03 door Anoniem

Rob, dank voor je steunbetuiging aan hen die jaren hun eigen vrijheid op het spel zetten om de online wereld veiligerg te maken. Vaak ontvangen deze helden veel kritiek maar mensen zouden er eens over moeten na denken wat er zou gebeuren als deze mensen zich niet op de juiste manier hadden ingezet voor de veiligheid op het web.

25-05-2012, 08:10 door Anoniem

Stelen is makkelijker dan werken, dus dat zal ook niet veranderen.

Nee, hoor. Dat klopt niet. Het is vaak moeilijker dan werken. Het gaat bij zero days vooral om de mind-set.
Dopamine tijdens het hacken en de euforie bij het onthullen.

Dat er een markt voor is, is het gevolg....

25-05-2012, 09:39 door Anoniem

Ik ben het helemaal eens met Rop.
De wereld ziet de echte hackers over het hoofd door een hoop gespuis dat zich "hacker" noemt en systemen sloopt met als reden eigen gewin.
Men moet eerst nadenken en dan pas doen ipv we doen het alvast en dan kijken we wel of het uberhaupt veilig is.
En wat betreft nieuwe dingen als BYOD en Cloud computing daar moet denk ik eerst eens goed over worden nagedacht voordat we met die onzin verder gaan.
De veiligheid en privacy van mensen die online browsen is vaak een ondergeschoven kindje heb ik het idee.
Dat mensen kunnen bestellen is belangrijker dan dat de klant gegevens veilig en safe opgeborgen zijn.

25-05-2012, 11:16 door Anoniem

"Als ze winnen houden ze het geld van de gok. Verliezen ze, dan krijgen wij als maatschappij de rekening."

Tja, geef ze eens ongelijk zou ik zeggen, zolang de samenleving voor deze kosten op wil draaien. Over het algemeen heb je in risico management de volgende keuzes :

- Risk acceptance (je aanvaardt het risico)
- Risk mitigation (je verlaagt het risico)
- Risk elimination (je neemt het risico weg)
- Risk transfer (je draagt het risico over een een derde partij)

De laatste optie is het goedkoopst, zeker als je het risico niet op een verzekering, maar op de samenleving kan af wentelen. En gezien de manier waarop we banken uit de brand helpen bij problemen geven we hen niet echt een incentive om dit anders te doen.

25-05-2012, 12:39 door spatieman

valt het niet te fixen.
dan zorgt de overheid wel met een wet dat het verboten is voor hackers om het te exploiten...
maar boeit een hacker dat......

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer