Nieuws
image

"Overheid moet OS met gestripte kernel draaien"

dinsdag 31 januari 2012, 14:01 door Redactie, 13 reacties

Overheidsinstanties die hun website tegen hackers willen beschermen, moeten aangepaste besturingssystemen met gestripte kernels draaien, aldus Mafiaboy. De Canadese tiener wist 12 jaar geleden verschillende grote websites plat te leggen en te verstoren, waaronder, Yahoo en Amazon. Uiteindelijk werd hij tot acht maanden cel veroordeeld. Sinds zijn vrijlating is hij vooral bezig om "awareness" te kweken.

Als het gaat om de veiligheid van overheidssites, zijn er maatregelen die instanties kunnen treffen, merkt hij op. "Een groot probleem bij veel overheidssites is dat ze besturingssystemen gebruiken die toegankelijk voor het publiek zijn. Als ze het aantal inbraken willen verminderen, moeten ze alleen aangepaste besturingssystemen met gestripte kernels gebruiken", aldus Mafiaboy.

Hij merkt op dat alles binnen de overheid "custom" moet zijn, in plaats van allerlei standaard besturingssystemen en applicaties. "Toen ik nog hackte kwam ik wel eens overheidssites tegen die kwetsbaar voor openbare code waren. Dit vind ik onacceptabel en moet naar gekeken worden. Alle overheidsnetwerken en systemen moeten intensief worden gescreend voordat ze online komen."

Broncode
Van veel besturingssystemen is de broncode beschikbaar op het internet, waardoor professionele hackers de code op kwetsbaarheden kunnen controleren, merkt Mafiaboy op. "Veel overheidssites gebruiken deze besturingssystemen, dus het is vrij eenvoudig om toegang te krijgen."

Het is dan ook belangrijk om allerlei standaard services uit te schakelen. Services die mogelijk niet eens worden gebruikt en ervoor kunnen zorgen dat hackers toegang tot de server kunnen krijgen. Het gaat dan bijvoorbeeld om een mail Daemon die standaard draait, maar niet voor het functioneren van de site noodzakelijk is.

Reacties (13)
31-01-2012, 14:15 door SirDice
Ligt het aan mij of neigt'ie heel erg naar "security through obscurity"?
31-01-2012, 15:02 door Anoniem
Door SirDice: Ligt het aan mij of neigt'ie heel erg naar "security through obscurity"?

Als ik het zo lees: nee. Eerder
1. Security through Soberty. Schakel uit wat niet nodig is.
2. Security through Variaty. Doe het net even anders.

Staan overbodige dingen aan, heb je extra lekkage. Zit het net ff anders in elkaar, kost het meer tijd. Zie je dan door goed te monitoren een aanval, heb je kans om het lek te dichten voor de inhoud wegloopt.
31-01-2012, 15:14 door RickDeckardt
SirDice: minder code = minder gaten

Het strippen van een systeem van ongebruikte meuk is in beveiligingsland de eerste stap van system hardening. Als je iets niet gebruikt hoeft het ook niet geinstalleerd/geactiveerd te zijn.
31-01-2012, 15:24 door SirDice
Door RickDeckardt: SirDice: minder code = minder gaten

Het strippen van een systeem van ongebruikte meuk is in beveiligingsland de eerste stap van system hardening. Als je iets niet gebruikt hoeft het ook niet geinstalleerd/geactiveerd te zijn.
Dat snap ik. En dat is ook het tweede deel waar hij het over heeft. Maar het eerste deel gaat over 'custom' besturingssystemen en configuraties. En dat neigt naar mijn idee toch heel erg naar 'security through obscurity'.

Het feit dat code open en beschikbaar is hoeft geen afbreuk te doen aan de veiligheid van die code.
31-01-2012, 15:25 door Anoniem
Dit "Van veel besturingssystemen is de broncode beschikbaar op het internet, waardoor professionele hackers de code op kwetsbaarheden kunnen controleren, merkt Mafiaboy op. "Veel overheidssites gebruiken deze besturingssystemen, dus het is vrij eenvoudig om toegang te krijgen." " riekt naar security through obscurity...

Ook leuk dat hij zegt:
"Hij merkt op dat alles binnen de overheid "custom" moet zijn, in plaats van allerlei standaard besturingssystemen"
terwijl:
"moeten ze alleen aangepaste besturingssystemen met gestripte kernels gebruiken"
Het 1 lijkt me nogal in tegenspraak met het ander....

Wat betreft standaard componenten kan ik het me voorstellen, maar waarom dan de kernel etc strippen waardoor je mogelijk andere problemen introduceert? Gebruik dan liever een extra laag beveiliging (defence in depth) om eventuele problemen te mitigeren...
31-01-2012, 15:43 door Mysterio
Door SirDice: Het feit dat code open en beschikbaar is hoeft geen afbreuk te doen aan de veiligheid van die code.
Tenzij je achter loopt met updaten. Iets wat bij gemeenten natuurlijk nooooooit het geval is.
31-01-2012, 15:45 door SirDice
Door Mysterio:
Door SirDice: Het feit dat code open en beschikbaar is hoeft geen afbreuk te doen aan de veiligheid van die code.
Tenzij je achter loopt met updaten. Iets wat bij gemeenten natuurlijk nooooooit het geval is.
Ligt dat aan de openbaarheid van de code of aan de laksheid van de beheerders?
31-01-2012, 20:23 door Anoniem
@SirDice dat licht waarschijnlijk aan het feit dat we note te veel belasting willen betalen aan de overheid om de diensten volgens`het boekje` uit te voeren en beheren. Systematisch resource issue?
31-01-2012, 22:59 door SLight
En de Linux kernel aanpassen is ook echt zo makkelijk, niet. Aangezien er in linux kernel 3.2 maar 11 miljoen regeltjes tekst zitten. Daar heb je behoorlijk wat mensen voor nodig en aangezien iedere site/server dan zijn eigen taak heeft kan men behoorlijk aan de slag en dan praat ik nog niet over het implementeren van updates.

Customizen kan maar op zeer beperkte schaal, het strippen van de kernel lijkt me gewoon het beste.
01-02-2012, 09:18 door Mysterio
Door SirDice:
Door Mysterio:
Door SirDice: Het feit dat code open en beschikbaar is hoeft geen afbreuk te doen aan de veiligheid van die code.
Tenzij je achter loopt met updaten. Iets wat bij gemeenten natuurlijk nooooooit het geval is.
Ligt dat aan de openbaarheid van de code of aan de laksheid van de beheerders?
Openbaarheid van code zorgt er voor dat lekken vrij toegankelijk zijn, maar ook snel opgelost worden. Het huidig beleid bij overheden heeft er al vaker toe geleid dat problemen veel te lang blijven bestaan omdat er geen geld voor beschikbaar is. Een slecht beleid kan door de veiligste software op aarde niet gered worden.

Er zou een overkoepelend orgaan moeten komen wat als kerntaak heeft om de informatiesystemen van de overheden te beveiligen. Maar dan niet puur adviserend (daar zijn we goed in) maar met de bevoegdheid om te acteren en indien nodig, de regie over te nemen.

Als daar andere software bij hoort, dan moet dat maar. Je moet geen andere riemen geven aan een team wat sowieso niet kan roeien.
01-02-2012, 10:23 door Anoniem
CORRECT!!!:
Het huidig beleid bij overheden heeft er al vaker toe geleid dat problemen veel te lang blijven bestaan omdat er geen geld voor beschikbaar is. Een slecht beleid kan door de veiligste software op aarde niet gered worden.

Addendum:
Daarnaast is er zo'n enorme achterstand dat je dit niet gaat inhalen vooral niet als je dit combineert met issues door de inzet van nieuwe producten in nieuwe projecten en de constant veranderende richtlijnen vanuit de politiek die soms meerjarige projecten tot gevolg hebben terwijl de drijfveer weg is omdat er van kabinet gewisseld is.

Moeten we daarom stilstaan? Nee natuurlijk maar we moeten wel de risico's minimaliseren, dus op zich is dit weer een maatregel op zich.

Ik kan het weten.
01-02-2012, 10:24 door Anoniem
Kevin lacht zich rot.
01-02-2012, 11:15 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure