image

"Hackers zijn niet slim, hun slachtoffers zijn dom"

donderdag 7 juli 2011, 13:00 door Redactie, 18 reacties

De reden dat LulzSec en andere hackersgroepen bij Sony, beveiligingsbedrijven en overheden weten in te breken, is niet vanwege bovengemiddelde intelligentie of kennis. "Hackers zijn niet per definitie slim; het probleem is dat hun slachtoffers dom zijn", zegt beveiligingsexpert Robert Graham van Errata Security. Als voorbeeld geeft hij een SQL Injection-lek in de website van CNN.

"Elke tiener kan dit lek misbruiken. Je zou denken dat iemand met tien jaar ervaring in het maken van websites meer van dit probleem weet dan een tienerhacker, maar het omgedraaide is waar", merkt Graham op. "De meeste mensen die websites maken weten niet echt hoe ze werken, noch kan het ze iets schelen." Volgens de expert draait het bij webontwikkelaars alleen om het eindresultaat, wat de gebruiker te zien krijgt.

Probleem
Om technische details wordt dan ook niet gegeven. "Webontwikkelaars zijn schrikbarend onwetend over de security implicaties van hun werk." Graham zegt dat iedereen binnen de security gemeenschap het probleem begrijpt, maar dat niemand het kan oplossen. "We weten hoe we dit specifieke probleem kunnen oplossen, door een regel code te wijzigen. Wat we niet begrijpen, is hoe we kunnen voorkomen dat een soortgelijke fout weer verschijnt."

Reacties (18)
07-07-2011, 13:28 door Anoniem
Door een tool te ontwikkelen die broncodes scant op fouten of mogelijke problemen.

+ periodieke controle/scan op de broncodes.

Net zoals de nieuwe compilers/addons voor bijv executables of virusscanners.
07-07-2011, 14:07 door Anoniem
Ik vindt dat eigenlijk ergens wel beledigend.Maar goed de meeste pc&internetgebruikers hebben geen verstand van pc's en van internet,websites,laat staan vd gevaren daarvan.De meeste mensen willen gewoon surfen op het net,af en toe wat downloaden,hun e-mail lezen en verzenden,en beetje met familie&kennissen chatten en cammen en af en toe commentaar geven op internetfora zoals deze.Ik denk wat de meeste pc&internetgebruikers eigenlijk willen is: security(&comfort) as a service.Dat gaat verder/moet verder gaan dan: aanschaf van een virussscanner en een firewall die af en toe updates krijgt.Mensen willen graag dat anderen dat voor hen gaan regelen: windows updates en andere updates,zoals adobe,java,etc.En dat als er iets is de pc zonder verdere kosten wordt gechecked en indien nodig hersteld.Dus niet meer apart betalen voor virusverwijdering door laten we bijv. McAfee noemen indien pc toch besmet blijkt.Ook updates van programma's als facebook,skype,google en driver-updates mensen willen graag dat dat voor hen wordt gedaan.Dus welk bedrijf ziet hier een gat in de markt en biedt zo'n service aan voor laten we zeggen iets tussen de 35 en 55 euro in de maand (incl.kosten securitysoftware)? Vinden velen een smak geld,maar daar tegenover staat dat je er als pc-gebruiker dan geen omkijken meer naar hebt.Microsoft zou zo'n service kunnen gaan aanbieden evt. i.s.m. een McAfee,SymantecNorton,Kaspersky,of zo'n McAfee of Norton zelf zou dit kunnen aanbieden aan de mensen.
07-07-2011, 14:08 door Anoniem
oeoeoeoeoeo

fapfapfapfapfapfap

heerlijk, dit!!!! ;))))
07-07-2011, 14:19 door Anoniem
oh sorry van dat fapfapfapfap dat moet ik wel ff onderbouwen natuurlijk
nou schitterend bewijs toch van hoe overdreven we aannemen dat alles via digitale technologie (telefoon, internet, computers en ook de basis van uw water en stroom voorziening) gewoon simpelweg nu gebaseerd is op een technologie die gemaakt is om niet afgesloten te kunnen worden. bepaalde garantie die nu dus gesteld worden zijn daarmee gecorrupteerd. de 'hackers' (en dan alleen nog maar die paar die ervoor kiezen het duidelijk te maken door de website te bekladden ofzo of die min of meer per ongeluk gepakt is - JA, je kunt je sporen *** 100% *** inkapselen dat je fysiek niet realistisch traceerbaar bent (alhoewel die technieken nog bijna niet werkelijk effectief uitgevoerd worden)) die het publiek dus te zien krijgen worden juist misbruikt om te blijven ontkennen dat gestelde mate van veiligheid simpelweg in het internet niet mogelijk is.

dit initieert een regelrechte doorbraak / ommedraai in overheidsbeleid en dus ook langzamerhand rechtsgang interpretatie van digitale technologie. en wel een heel logische, de kinderen zijn er meer en meer mee opgevoed, in een razend tempo. logisch dat deze 14 jarige degenen zijn die de gaatjes zoeken in hun nieuwsgierigheid. kijk nu eens even voor je lol hoe de amerikanen bijvoorbeeld, maar zelfs ook de nederlanders daar mee omspringen en die intelligentie en logica niet belonen maar in plaats daarvan het open concept van de techniek weigeren bloot te leggen. zo jammer, een gemiste kans. nu al. kijk alleen maar naar bevestigende cbs statistieken omtrent polarisatie.
07-07-2011, 14:25 door Anoniem
ik denk dat niet helemaal correct is.

De slachtoffers zijn niet dom, er is alleen sprake van gebrek aan kennis. Wanneer ze dom zouden zijn, waren ze niet in staat om het te begrijpen. Met duidelijke uitleg kunnen gebruikers veilig surfen, zonder problemen.
07-07-2011, 14:37 door Anoniem
nee maar het duid het probleem wel en de consument is wel over het algemeen dom dus laten we dan maar twee vliegen in een klap maken, werkt motiverend. die bijstelling zijn later overigens ook veel makkelijker te maken dan die waar we nu bewust voor gekozen hebben, jarenlang
07-07-2011, 15:01 door Anoniem
kosten, kosten, kosten ... centjes, is 't enige waar 't om draait.

ontwikkelaar kan mooie pagina maken voor 1000, andere ontwikkelaar maakt dezelfde pagina, maar veiliger en 2000 duurder.

de opdrachtgever bekijkt de offertes... resultaat is 't zelfde, doe die goedkopere maar
07-07-2011, 15:06 door rbeumer
Door Anoniem: nee maar het duid het probleem wel en de consument is wel over het algemeen dom dus laten we dan maar twee vliegen in een klap maken, werkt motiverend. die bijstelling zijn later overigens ook veel makkelijker te maken dan die waar we nu bewust voor gekozen hebben, jarenlang

Wanneer je met een dergelijke houding naar een gebruiker reageert, zal je nog veel meer onbegrip krijgen en kweken. Echter, als je met geduld iets in kinderstapjes uitlegt, kan je zelfs iets uitleggen aan iemand die 0,0 verstand van PC's heeft (eigen ervaring op de helpdesk). Daar laat ik dan de enkeling buiten die echt niet wíl leren.

De IT in het algemeen heeft sowieso te veel een houding van "de domme gebruiker, daar heb je hem weer". In plaats daarvan zouden we moeten denken "daar heb je iemand die ik misschien iets kan leren".
07-07-2011, 15:13 door Anoniem
precies juist om die reden wordt het enorme eind wat wij inmiddels achter het net vissen langzamerhand wat sneller ingehaald. bovendien is het de eerste site die erover schrijft dus moeten we zowiezo maar wat blijer zijn dat die in ieder geval stampij maakt. hoppa ;)
07-07-2011, 16:12 door Anoniem
Beveiliging is nooit perfect, maar dat moet een er niet van weerhouden om optimale beveiliging te willen bereiken. Hier zit volgens mij een probleem. Als beveiliging perfect kon zijn dan had men tenminste een duidelijke leidraad. Dit in tegenstelling tot "het optimale bereiken" wat relatief is.

Beveiliging mist wat mij betreft vaak authoriteit. "Iemand misschien iets kunnen leren" past hier niet. Passief werken is ook iets wat ik liever niet doe. Sancties en toezicht is wel het minste wat je kunt doen, maar het is beter als je "fouten maken" zoveel mogelijk onmogelijk maakt.

En dan krijg je dat veiligheid ten kosten gaat van productifiveit, of gemak. Kosten bla bla.

Het komt er gewoon op neer dat men vaak roekeloos is en te gemakzuchtig.Geen besef van verantwoordelijkheid. Zoiets kun je niet aanleren dat heb je of dat heb je niet.

Als je wilt dat een hond niet bijt dan moet je hem muilkorven, vindt je dat te ver gaan dan moet je achteraf niet zeuren...
07-07-2011, 16:29 door Anoniem
>De IT in het algemeen heeft sowieso te veel een houding van "de domme gebruiker, daar heb je hem weer". In plaats >daarvan zouden we moeten denken "daar heb je iemand die ik misschien iets kan leren".[/quote]
Het probleem van ICT mensen is vaak dat gebruikers van pc's het geen bal intresseren wat er gebeurd. Bij mij is iemand haar hotmail account gehackt. Ik heb geloof ik wel 10x gezegt dat ze een nieuwe password moet nemen en haar pc moet scannen op besmettingen. Die staan er namelijk op. Ze onderneemt helemaal niks en vindt het totaal niet belangrijk. IK krijg wel steeds haar hotmails in mijn inbox met een spam tekst van de spammer die met een filter rechtstreeks de prullenbak in gaat. Zo ken ik veel mensen. ICT mensen weten echt wel waar ze over hebben, maar de gebruikers intresseerd het helemaal niks en maken steeds dezelfde fouten weer.
07-07-2011, 18:03 door Anoniem
Sommige pc-gebruikers hebben geen zin in al dat (technische) gedoe,sommigen hebben geen tijd (drukke baan en zo),sommigen zijn gewoon lui en sommigen weten niet eens hoe ze een handmatige virusscan moeten doen of zelfs hoe ze antivirussoftware moeten downloaden en installeren.Daarom pleit ik voor security&comfort as a service.Oke dat kost wel wat geld extra,maar dan zou je er als gebruiker nauwelijks omkijken naar hebben. Die mevrouw die volgens de IT-er een nieuw password moet nemen en een virusscan moet doen weet mogelijk niet eens hoe ze dat moet doen.Alleen wil ze dat wellicht niet toegeven,schaamt ze zich ervoor.Het is niet altijd kwestie van onwil of gemakzucht.
07-07-2011, 19:56 door rbeumer
Door Anoniem: >De IT in het algemeen heeft sowieso te veel een houding van "de domme gebruiker, daar heb je hem weer". In plaats >daarvan zouden we moeten denken "daar heb je iemand die ik misschien iets kan leren".

Het probleem van ICT mensen is vaak dat gebruikers van pc's het geen bal intresseren wat er gebeurd. Bij mij is iemand haar hotmail account gehackt. Ik heb geloof ik wel 10x gezegt dat ze een nieuwe password moet nemen en haar pc moet scannen op besmettingen. Die staan er namelijk op. Ze onderneemt helemaal niks en vindt het totaal niet belangrijk. IK krijg wel steeds haar hotmails in mijn inbox met een spam tekst van de spammer die met een filter rechtstreeks de prullenbak in gaat. Zo ken ik veel mensen. ICT mensen weten echt wel waar ze over hebben, maar de gebruikers intresseerd het helemaal niks en maken steeds dezelfde fouten weer.[/quote]
Wat er wordt vergeten, is dat die gebruiker gewoon een dienst wil afnemen. Hij wil een oplossing voor een probleem, en dat gewoon werken, klaar. Wanneer dat dan niet werkt, dan moet het gewoon weer gaan werken, zonder dat dat er voor die gebruiker moeilijk gedoe volgt.

Vergelijk het met je auto: daarvan wil je gewoon dat hij werkt, punt. Als hij het niet doet, ga je naar de garage toe en laat je hem repareren. Stel je eens voor dat de monteur naar je toe komt met een houding van "ja, nu heb je het helemaal verpest". Wanneer diezelfde monteur geduldig uitlegt wat er verkeerd is gegaan en hoe je het kan voorkomen, zullen de meesten hier gewoon naar luisteren.

En daar komen we weer terug bij de IT'er: als die er met het vooroordeel komt dat de gebruiker toch maar niets wil leren, denkt de gebruiker ook "bekijk het maar, ik wil gewoon een oplossing".
Ik ben echt niet de enige die roept dat de IT meer vanuit dienstverlening moet gaan denken, ipv een soort van halfslachtige EHBO met domme mensen die zich steeds weer verwonden.
08-07-2011, 09:51 door Anoniem
Laten we eerst maar eens beginnen om hackers, hackers te noemen en crackers, crackers te noemen.
Dan wordt het onderscheid tussen kennis niveau ook direct wel duidelijk.
08-07-2011, 10:58 door Anoniem
nee, voordat we dat kunnen doen moeten we duidelijkheid over DAT wat gehackt, gekraakt ofzo wordt. en DAT is digitale technologie. en DAT is NIET GEMAAKT om afgesloten te KUNNEN worden. Sterker nog technologisch en praktisch blijkt dat ook te kloppen en is alle garantie van afsluiting per definitie het NIET nemen van Verantwoordelijkheid. Als we dat nu eens duidelijk hebben, en deze site begint daar heel mooi mee *fapfapfap*, kunnen we een niveau'tje hoger en vanuit daar ook maatschappelijk bewustzijn meenemen in DE STAP naar een betere wereld ipv elkaar nu masaal en wereldwijd voor de gek houden met schokkende gevolgen. alvast bedankt.
09-07-2011, 03:20 door Herb,
hey anons, uberhaupt het bericht gelezen?

het gaat hier niet over gebruikers, het gaat hier om multinationals.
09-07-2011, 13:12 door Anoniem
dat is dus de vergrote trap van gebruikers op het internet? bedoeld u?
10-07-2011, 12:51 door Anoniem
www.erratasec.com kan elke domme beveiliger zo al een paar misconfiguraties/zwakke plekken zien.

Wat zijn er toch veel schreeuwlelijken 'Security Experts' die hun eigen toko niet eens op orde hebben...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.