KPMG: "Beveiliging websites kan niet zonder SSL"
De beveiliging van websites kan niet zonder digitale certificaten, aldus John Hermans van KPMG. "Hoewel de afgelopen tijd diverse uitgevers van digitale certificaten slachtoffer zijn geweest van hacks, zoals het Amerikaanse Comodo, het Israelische Startcom en nu recent in Nederland Diginotar, kan de beveiliging van websites niet zonder digitale certificaten en de onderliggende Public Key Infrastructure (PKI)-technologie."
Hij verwacht dat SSL-certificaten niet op korte termijn bij bedrijven of overheid zullen verdwijnen. Organisaties kunnen volgens Hermans op korte termijn niets anders doen dan de in opspraak geraakte certificaten omruilen. “Dit wordt ook door de overheid geadviseerd. PKI is zo gestandaardiseerd dat dit relatief eenvoudig is. Er is op dit moment overigens ook geen goed werkend alternatief beschikbaar. Belangrijk daarbij is dat de PKI-technologie zelf niet aangetast is."
Toezicht
Hermens vindt tevens dat het toezicht op de uitgevers van digitale certificaten op dit moment niet afdoende effectief is. "Het zal dan ook beter moeten aansluiten op deze nieuwe cybercrimedreigingen." Volgens hem speelt het meer en beter monitoren hierbij een belangrijke rol.
"Mijn advies zou zijn om met alle betrokken partijen na te denken over de vraag of continue monitoring een mogelijke oplossing is om te voorkomen dat we in de toekomst nogmaals met een dergelijke hack als bij Diginotar geconfronteerd worden.”
(even vooraf; ik ben zeker geen fan van het huidige model, en ook met de huidige favoriete oplossing dane zie ik problemen)
twee redenen; de eerste is dat die organisatie dan wel een heel erg grote single point of failure is. De andere is dezelfde als het registrar-model in dns; men is veel te bang voor een monopolie (ook al is de 'oplossing' daarvoor een geforceerde 'vrije' markt met eronder alsnog een soort monopolie)
Zolang je outdated software gebruikt loop je een risico.
Kunnen we tevens alle prutsers uit de IT gooien die denken dat Linux systemen automatisch veilig zijn?
Er zal altijd een risico bestaan dat je slachtoffer bent van een scriptkiddie / hacker, maar verklein deze kansen door closed source software te gebruiken welke je up to date houdt.
Opensource brengt zulke grote risico's met zich mee dat het niet te overzien is.
Met opensource doel ik op echt gratis software zoals bepaalde OS en applicaties welke constant meedraaien.
Je bent namelijk bijna altijd op de community aangewezen welke je kwetsbaar maakt doordat patches niet op tijd gereleased worden of omdat de ontwikkelaar het wel in de volgende versie stopt.
Tevens zou het niet gek zijn medewerkers in te lichten wat wel en niet te doen om zo infecties via bv mail te voorkomen.
Zolang je outdated software gebruikt loop je een risico.
Kunnen we tevens alle prutsers uit de IT gooien die denken dat Linux systemen automatisch veilig zijn?
Er zal altijd een risico bestaan dat je slachtoffer bent van een scriptkiddie / hacker, maar verklein deze kansen door closed source software te gebruiken welke je up to date houdt.
Opensource brengt zulke grote risico's met zich mee dat het niet te overzien is.
Met opensource doel ik op echt gratis software zoals bepaalde OS en applicaties welke constant meedraaien.
Je bent namelijk bijna altijd op de community aangewezen welke je kwetsbaar maakt doordat patches niet op tijd gereleased worden of omdat de ontwikkelaar het wel in de volgende versie stopt.
Tevens zou het niet gek zijn medewerkers in te lichten wat wel en niet te doen om zo infecties via bv mail te voorkomen.
De release-cycle van een open community ligt over het algemeen hoger dan die van een gesloten bedrijf... (niet in alle gevallen) en is daardoor minder vatbaar voor langdurig openstaande lekken, zoals dit bij Microsoft-producten regelmatig het geval is.
SSL is een oud protocol welke nog uit de vorige eeuw stamt. Met de technologische ontwikkelingen van de afgelopen jaren lijkt mij een nieuw protocol, afgestemd op de huidige technologieën een stuk veiliger.
Het systeem met certificaten moet mij als gebruiker aanvullende zekerheid bieden dat ik bijvoorbeeld echt op de website van mijn bank ben beland.
SQL injection is een ander security topic.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
