Nieuws

"Hackers vertrouwen teveel op technologie en tools"

maandag 25 november 2013, 14:59 door Redactie, 6 reacties

Hackers vertrouwen teveel op tools, gadgets en technologie, maar alleen technologie biedt geen voldoende bescherming, aldus de bekende Zuid-Afrikaanse beveiligingsonderzoeker "The Grugq". Eerder dit jaar verscheen hij in een artikel van zakenblad Forbes over de handel in exploits.

The Grugq houdt zich vooral met Operations Security (OPSEC) bezig. Het gaat hier om informatie die tijdens een actie of operatie openbaar wordt en door een tegenstander te gebruiken is. Ook voor hackers speelt OPSEC een belangrijke rol om hun handelen en identiteit te beschermen, zo laat hij tegenover Blogs of War weten.

Veel hackers zouden echter eenvoudige OPSEC-fouten maken en teveel op technologie vertrouwen. "Dat is een besef dat nog moet doordringen: technologie alleen zal je niet redden. De hackercultuur is per definitie door technologie geobsedeerd. We verheerlijken technologie en gadgets, en dit leidt tot het diepgewortelde geloof dat als we de juiste tool gebruiken onze problemen worden opgelost."

Mindset

Volgens The Grugq is deze mindset "fundamenteel verkeerd" en ook contraproductief. "Vertrouwen is de zwakste schakel in de veiligheidsketen en datgene wat voor de meeste problemen kan zorgen." Dit geldt helemaal voor het vertrouwen in technologie. "Technologie is niet het pad naar veiligheid. Security komt door de manier waar op je je leven leidt, niet door de tools die je gebruikt. De tools maken dingen mogelijk, het zijn gebruiksvoorwerpen. OPSEC is een gewoonte."

The Grugq stelt dat het vertrouwen op tools om veiligheid te bieden hetzelfde is als het aanschaffen van een stel gewichten om vervolgens niets te doen en te verwachten dat de fitness verbetert. "De misvatting dat technologie de oplossing biedt moet worden gezien voor wat het is, een valse belofte. Er is niets dat geheimen beter beschermt dan ze niet tegen mensen te vertellen."

Voor hackers die hun OPSEC willen verbeteren wijst The Grugq naar het boek "73 rules of spycraft" van Allen Dulles. Het boek is voor het bestaan van het internet en ook de hackercultuur geschreven, maar zou op een zeer heldere manier uitleggen hoe OPSEC te implementeren is.

Zuckerberg: overheid verprutst het met surveillance

Overheid experimenteert met stembiljet per e-mail

Reacties (6)

25-11-2013, 15:33 door Anoniem

De hackercultuur is per definitie door technologie geobsedeerd - de hele internetcultuur wemelt van figuren die in technologie de oplossing voor alles zien. Als we maar bereid zijn alles, dat wil zeggen: alles, over onszelf en ons leven prijs te geven aan onbekende figuren achter vage bedrijven. "In 2020 zal ..." Alsof de toekomst een soort vaste route is. Eén ding is zeker: het zal anders gaan dan we nu denken.

25-11-2013, 16:24 door Anoniem

Zo jammer voor deze meneer dat jezelf "hacker" noemen, zelfs al doet een hele industrie het tegelijk, je nog niet de creativiteit met techniek doet toekomen die de term oorspronkelijk inhield. Hij is overduidelijk een kind van de generatie die met grote ogen naar de media gekeken heeft en ook de macht die hollywood de meester van de kompjoeter toebedeelde wilde hebben. Alleen zo jammer dat de kompjoeterbeveiligingsindustrie en ook hun nu industrieele tegenhangers aan de kandere kant van de nominale legaliteit, zich vooral concentreren op variaties van bekende wegen. Iets nieuws produceren ze zelf niet. Om dat gemis wat te verzachten bemeet hij zichzelf en zijn kompanen de lange jas van de hollywoodspion. Ja natuurlijk joh, staat vast heel mooi bij je cowboyhoed.

Maar de industrie verkoopt nog steeds nieuwe keizerskleren. Dat kun je zien aan het gebrek aan vooruitgang in beveiligingsvooruitgang. Iedere keer komt er een nieuwe hype, een nieuwe fad, een nieuwe trend, compleet met nieuwe buzzwords waar iedereen en hun software aan moet voldoen. En iedere keer haalt het, welbezien, verrekte weinig uit. Ik zie geen reden om dat bij deze meneer anders te zien. Zo'n spionnenjas staat stoer hoor, in een hollywoodfilm. Maar ook daarvan wordt je geen spion en onze kompjoeters worden er uiteindelijk ook niet veiliger van. Waar betalen we deze industrie nou toch eigenlijk voor?

25-11-2013, 19:42 door spatieman

in 2020 zullen we, net als de borg ,rond huppelen met implantaten om toegang tot het internet te krijgen.
en met de geïnjecteerde zelfmoordpil, kan de overheid iemand zo om zeep helpen, uh, ik bedoel de nsa...

26-11-2013, 06:51 door Anoniem

@Anoniem 16:24

Het is duidelijk dat u niet bekend bent met het werk van "The Grugq".
Deze "meneer" is wel degelijk een expert op zijn gebied om nog maar over zijn creativiteit te zwijgen.
Kijk bijvoorbeeld eens naar zijn presentatie: "How the leopard hides his spots"
Hierin legt hij uit hoe data verborgen kan worden door tekortkomingen van file systems.
Tot die tijd ongezien/ongekend door opsporings- instanties maar wel toegepast door kwaadwillende.
Door dit bekend te maken, alsmede de gedachte van kwaadwillende inzichtelijk te maken, word het voor opsporings instanties makkelijker kwaadwillende op te sporen en te vervolgen.

Laten we eerlijk wezen, voor elke industrie zijn alleen reële en actuele dreigingen interessant.
Dus het is logisch dat een beveiligingsbedrijf reële en actuele dreigingen bestrijd.
Daar is niets hollywoods aan, dat heet marketing.

26-11-2013, 10:18 door RickDeckardt

Man maakt een goed punt. Middel en doel wordt zo vaak in deze maatschappij met elkaar verward.

26-11-2013, 10:26 door Anoniem

Door Anoniem: Laten we eerlijk wezen, voor elke industrie zijn alleen reële en actuele dreigingen interessant.
Dus het is logisch dat een beveiligingsbedrijf reële en actuele dreigingen bestrijd.
Daar is niets hollywoods aan, dat heet marketing.

Je kan het proberen goed te praten, maar dat verandert niet dat deze industrie drijft op bangmakerij en een kat-en-muisspel van kleine variaties die voortdurend groot uitgemeten worden om maar net te doen of er vooruitgang geboekt wordt. Veel structureels gebeurt er niet. Het blijft dweilen met de kraan open, omdat het de industrie serieus geld zou kosten de kraan dicht te draaien.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Wintertijd:

Vacature

Chief Information Security Officer

Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!

Lees meer

De GGD heeft mij voor deelname aan de Gezondheidsmonitor uitgenodigd. Mag dit wel zonder mijn toestemming?

30-10-2024 door Arnoud Engelfriet

Juridische vraag: Ik kreeg een brief om mee te doen aan de GGD Gezondheidsmonitor, een onderzoek in opdracht van de GGD. Hierin ...

20 reacties

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Proton mail backup

24-10-2024 door Ase2004

Ik denk dat de meeste gebruikers van Proton (mail) zich niet realiseren dat ze hun userdata niet backuppen. Dit betekent dus ...

24 reacties

Lees meer