"Brits leger moet hackers gaan belonen"
Het Britse ministerie van Defensie moet net als Facebook hackers voor het rapporteren van beveiligingsproblemen gaan belonen. Daarvoor pleit Majoor-generaal Jonathan Shaw. Shaw laat in een interview met de Guardian weten dat enkele geclassificeerde systemen van Defensie zijn gehackt. Om hoeveel systemen het gaat, wie er achter zit en wat er gestolen is wil Shaw niet vertellen.
De defensieorganisatie wordt volgens hem vooral gerund door ouderen die weinig kaas van IT-security hebben gegeten, er moet daarom meer naar jongeren worden geluisterd.
"Mijn generatie...is veel te oud hiervoor. Het is niet waar we mee zijn opgegroeid. Onze natuurlijke reactie is om naar pen en papier te grijpen", aldus de 54-jarige Majoor-generaal. "Als we echt willen weten wat er speelt, moeten we naar de jongeren op de straat luisteren. Zij vertellen ons wat er gaande is."
Facebook
Dat is een uitdaging voor Defensie, merkt Shaw op. "Dit gaat veel te snel voor ons. De enige mensen die zien wat er gebeurt, zijn de mensen met hun handen in de modder, en dat zijn de jongeren. We moeten naar hen luisteren en zij moeten met ons praten." Daarbij ziet Shaw Facebook als voorbeeld. De sociale netwerksite beloont hackers voor het rapporteren van lekken. "Een idee dat ook Defensie kan gebruiken."
De Majoor-generaal, die binnenkort met pensioen gaat, vindt dat Defensie een reeks cyberwapens moet ontwikkelen, omdat het onmogelijk is om volledig veilige computersystemen te ontwikkelen. "Je kunt stellen dat pure verdediging, het bouwen van firewalls, de vijand niet buiten houdt. Ze zitten mogelijk al binnen....totale veiligheid bestaat niet. Je moet bepaalde onzekerheden leren leven."
[...]
De Majoor-generaal, die binnenkort met pensioen gaat, vindt dat Defensie een reeks cyberwapens moet ontwikkelen, omdat het onmogelijk is om volledig veilige computersystemen te ontwikkelen.
Gelukkig heeft deze Majoor-generaal wel door dat firewalls geen ondoordringbare barrière vormen. Een firewall kun je prima vergelijken met een slotgracht met 1 of meerdere ophaalbruggen die over het algemeen permanent naar bekenden zijn. Op basis van waar de aanvaller vandaan komt (voor zover dat betrouwbare informatie is) en naar toe wil kan de firewall aan de poort toegang geven of weigeren. Als het vervolgens om versleuteld verkeer gaat, en/of lijkt te gaan om antwoorden op vragen van binnenuit, laten de meeste firewalls dat verkeer ongehinderd door naar binnen. Voor verkeer van binnen naar buiten gelden vergelijkbare simpele criteria. Het is extreem lastig om firewalls netwerkverkeer inhoudelijk te laten beoordelen. Aanvallers weten dat, en ze weten ook hoe ze dergelijke maatregelen eenvoudig kunnen omzeilen.
Met cyberwapens los je geen enkel securityprobleem op. De oorzaak van de meeste securityproblemen is dat men alle computers aan elkaar en aan internet wil knopen, BYOD een uitgangspunt is en we vanaf mission critical PC's met lekke Flash plugins op internet blijven surfen. Vervolgens moeten security specialisten maar zien hoe ze de zaak beveiligen, en dat lukt natuurlijk niet, dus gaan we het aan jongeren op de straat vragen? Het is overduidelijk dat zij lekken zullen vinden, maar dat gaat je probleem niet oplossen!
dat ze hun werknemers eerst eens gaan belonen met het NIET verliezen van USB sticks en laptops.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
