Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
"Hackers niet het probleem van beveiligers".
05-02-2014, 11:28 door Anoniem, 8 reacties
http://www.zbc.nu/security/aanpak-informatiebeveiliging-iso-27001-en-iso-27002/hackers-niet-het-probleem-van-beveiligers/
"De hack bij Diginotar was hiervan een voorbeeld. Onmiddellijk kopten de kranten dat allerlei overheidswebsites lek waren en in actualiteitenprogramma’s rolden deskundigen over elkaar heen om te vertellen hoe verschrikkelijk dit was en dat zoiets vooral nooit meer mag voorkomen. Dergelijke aandacht willen terroristen graag. De werkelijke schade echter was in feite niet meer dan dat een klein bedrijf als Diginotar failliet ging. Zulke faillissementen zijn aan de orde van de dag en halen dan alleen het plaatselijke huis-aan-huis-blad. Ook Wikileaks hoort in dit rijtje thuis. Weinig echte schade,"
"De hack bij Diginotar was hiervan een voorbeeld. Onmiddellijk kopten de kranten dat allerlei overheidswebsites lek waren en in actualiteitenprogramma’s rolden deskundigen over elkaar heen om te vertellen hoe verschrikkelijk dit was en dat zoiets vooral nooit meer mag voorkomen. Dergelijke aandacht willen terroristen graag. De werkelijke schade echter was in feite niet meer dan dat een klein bedrijf als Diginotar failliet ging. Zulke faillissementen zijn aan de orde van de dag en halen dan alleen het plaatselijke huis-aan-huis-blad. Ook Wikileaks hoort in dit rijtje thuis. Weinig echte schade,"
Reacties (8)
Nee, de diginotar hack was het probleem van de mensen (en hun nabestaanden) in Iran die ineens verdwenen zijn, beveiligers doen gewoon de oogjes rustig dicht 's nachts.
Wat wil je nu eigenlijk zeggen met je verhaal?
Wat wil je nu eigenlijk zeggen met je verhaal?
Anoniempje wil niks zeggen, hij linkt (en quote) en gedeelte van een rapportage waar ie het waarschijnlijk niet mee eens is.
Het artikel van Wiebe Zijlstra zint me niet, speciaal vanwege bovenstaande quote.. Het heeft wél impact op mensen, direct en indirect, en is niet alleen bangmakerij of "proberen de krant te halen".. Hij bagatelliseert mijn inziens veel te veel.
Het artikel van Wiebe Zijlstra zint me niet, speciaal vanwege bovenstaande quote.. Het heeft wél impact op mensen, direct en indirect, en is niet alleen bangmakerij of "proberen de krant te halen".. Hij bagatelliseert mijn inziens veel te veel.
Wat een lap tekst zeg. Tot op het punt dat ik geen zin heb het allemaal door te ploegen, zeker niet omdat het hele verhaal nogal verward klinkt. Want, waar hebben we het nou eigenlijk over? "Hackers"? Wat zijn dat?
Nergens een duidelijke definitie, maar wel een argument dat "hackers" eigenlijk best lief zijn ondanks demonisering. Nou, wat mij betreft hebben deze "hackers", zowel krakers als beveiligers, dat over zichzelf afgeroepen. Onder andere door zichzelf allemaal en tezamen met hun "tegenstanders" op één hoop te gooien en het onderscheid denken te kunnen maken door te roepen dat de ene "ethisch" zou zijn en de andere niet. Of dat je ze maar op hoedkleur moet sorteren. In 50 tinten grijs.
Geen normaal mens die dat bij kan houden. En dat gebeurt dan dus ook gewoon niet. Zelfs rechters, die toch geacht worden redelijk door subtiliteiten te kunnen laveren, raken de weg kwijt tot op het punt dat als je jezelf als "hacker" betitelt je ondertussen grondrechten kwijtraakt.
Ik zeg, geen van dat alles is "hacker"*, en verzin maar termen om precies aan te duiden waar het wel over gaat. "Digitale inbreker", of "cyberbekladder", bijvoorbeeld. Of het aloude "computerkraker". Of "pentester", of "malware analist". Maak niet uit hoe, zolang je maar niet termen gebruikt die eigenlijk wat anders betekenden en ondertussen uitblinken door vaagheid.
Het is namelijk precies die vaagheid die conflatie met bijvoorbeeld terrorisme toelaat. Dat betekent inderdaad dat niemand in de computerbeveiliging het zich nog langer kan veroorloven zich "hacker" te noemen. Doe dat dus niet. Vanaf nu, simpelweg gewoon nooit meer "hacker" of "hacking" gebruiken in de context van computerbeveiliging. Wees maar eens creatief met accuraat en begrijpelijk te benoemen waar het wel over gaat.
* Wat een "hacker" dan wel is? Iemand die grote creativiteit met technologie aan de dag weet te leggen, zie bv. JARGON. Dit los van "ethiciteit" en zeer zeker niet puur gericht op gaten vinden in (andermands) computer.
Nergens een duidelijke definitie, maar wel een argument dat "hackers" eigenlijk best lief zijn ondanks demonisering. Nou, wat mij betreft hebben deze "hackers", zowel krakers als beveiligers, dat over zichzelf afgeroepen. Onder andere door zichzelf allemaal en tezamen met hun "tegenstanders" op één hoop te gooien en het onderscheid denken te kunnen maken door te roepen dat de ene "ethisch" zou zijn en de andere niet. Of dat je ze maar op hoedkleur moet sorteren. In 50 tinten grijs.
Geen normaal mens die dat bij kan houden. En dat gebeurt dan dus ook gewoon niet. Zelfs rechters, die toch geacht worden redelijk door subtiliteiten te kunnen laveren, raken de weg kwijt tot op het punt dat als je jezelf als "hacker" betitelt je ondertussen grondrechten kwijtraakt.
Ik zeg, geen van dat alles is "hacker"*, en verzin maar termen om precies aan te duiden waar het wel over gaat. "Digitale inbreker", of "cyberbekladder", bijvoorbeeld. Of het aloude "computerkraker". Of "pentester", of "malware analist". Maak niet uit hoe, zolang je maar niet termen gebruikt die eigenlijk wat anders betekenden en ondertussen uitblinken door vaagheid.
Het is namelijk precies die vaagheid die conflatie met bijvoorbeeld terrorisme toelaat. Dat betekent inderdaad dat niemand in de computerbeveiliging het zich nog langer kan veroorloven zich "hacker" te noemen. Doe dat dus niet. Vanaf nu, simpelweg gewoon nooit meer "hacker" of "hacking" gebruiken in de context van computerbeveiliging. Wees maar eens creatief met accuraat en begrijpelijk te benoemen waar het wel over gaat.
* Wat een "hacker" dan wel is? Iemand die grote creativiteit met technologie aan de dag weet te leggen, zie bv. JARGON. Dit los van "ethiciteit" en zeer zeker niet puur gericht op gaten vinden in (andermands) computer.
Door NedFox: Anoniempje wil niks zeggen, hij linkt (en quote) en gedeelte van een rapportage waar ie het waarschijnlijk niet mee eens is.
Ik mis de context, vandaar mijn eerdere reactie.Door Anoniem: Wat een lap tekst zeg. Tot op het punt dat ik geen zin heb het allemaal door te ploegen, zeker niet omdat het hele verhaal nogal verward klinkt. Want, waar hebben we het nou eigenlijk over? "Hackers"? Wat zijn dat?
De tekst werd mij ook al snel tl:dr.Tegenwoordig (zeg sinds 10 jaar) is een hacker voor mij een persoon die d.m.v. actieve verbindingen gaten weet te vinden in de "beveiliging" (nog al zo'n 50-tinten-term ;]) van ICT-gerelateerde zaken die niet onder deze persoon zijn/haar eigendom gerekend kunnen worden, maar ook in deze omschrijving zijn zat gaten te schieten, en ik ben de eerste die toegeeft dat 90% v/d script-kiddies hier dan ook onder vallen. En ook de term script-kiddie is lastig, zo zijn we weer terug bij af...
Door Anoniem: Tegenwoordig (zeg sinds 10 jaar) is een hacker voor mij een persoon die d.m.v. actieve verbindingen gaten weet te vinden in de "beveiliging" (nog al zo'n 50-tinten-term ;]) van ICT-gerelateerde zaken die niet onder deze persoon zijn/haar eigendom gerekend kunnen worden, maar ook in deze omschrijving zijn zat gaten te schieten, en ik ben de eerste die toegeeft dat 90% v/d script-kiddies hier dan ook onder vallen. En ook de term script-kiddie is lastig, zo zijn we weer terug bij af...
Scriptkiddies zijn vrij duidelijk in wat ze doen en kunnen: Andermans werk herhalen, met sterke ondertonen dat ze daar nooit zelf op gekomen zouden zijn. Zelf variaties aanbrengen is al bijzonder. Op die manier zijn ze zowel sterk gekleurd in "ethiciteit" --wat het originele "hacken" niet was-- als de antithese van "hackers" die nu juist wel origineel werk konden laten zien.Als je nou gaat kijken wat zowel de zwarte- als de witte hoedjesdragers produceren, dan zijn dat variaties op bekende themas --de 9000e SQL injectie of buffer overflow, de 9000e detectiesignatuur, of wat dan ook-- en zijn echt nieuwe dingen heel erg zeldzaam. Dat zie je zelfs in "revolutionaire" persberichten met, eh, al lang bekende ideen met grote implementatieproblemen en geen enkele aanwijzing dat ze die nu wel bevredigend opgelost hebben, zoals recent alhier maar weer eens gedemonstreerd. In die zin is heel de malwareindustrie als de antimalwareindustrie opgebouwd uit, nuja, practisch s'kiddies. Vandaar ook dat ze zo erg op elkaar lijken.
Dat onderbouwt dan weer de stelling dat "hacker" hier niet past. En dus is het tijd dat we met z'n allen ophouden met expres vaag gemaakte en -gehouden termen blijven gooien. Ook al omdat het zo overduidelijk uit sensatiezucht gedaan wordt. Met aanwijsbare schadelijke gevolgen.
We (dwz de s'kiddies en de media en de industrie die eromheen is opgegroeid maar waar maar weinig echte hackers rondhangen) zijn ooit begonnen de term zo te misbruiken dat'ie betekenisloos werd. We kunnen daar ook mee ophouden. Kan best dat het tien jaar kost, maar laat duidelijk zijn dat het noodzakelijk is, om vele goede redenen.
Door Anoniem:
Als je nou gaat kijken wat zowel de zwarte- als de witte hoedjesdragers produceren, dan zijn dat variaties op bekende themas --de 9000e SQL injectie of buffer overflow, de 9000e detectiesignatuur, of wat dan ook-- en zijn echt nieuwe dingen heel erg zeldzaam. Dat zie je zelfs in "revolutionaire" persberichten met, eh, al lang bekende ideen met grote implementatieproblemen en geen enkele aanwijzing dat ze die nu wel bevredigend opgelost hebben, zoals recent alhier maar weer eens gedemonstreerd. In die zin is heel de malwareindustrie als de antimalwareindustrie opgebouwd uit, nuja, practisch s'kiddies. Vandaar ook dat ze zo erg op elkaar lijken.
Dat onderbouwt dan weer de stelling dat "hacker" hier niet past. En dus is het tijd dat we met z'n allen ophouden met expres vaag gemaakte en -gehouden termen blijven gooien. Ook al omdoch veel grijze duien het zo overduidelijk uit sensatiezucht gedaan wordt. Met aanwijsbare schadelijke gevolgen.
We (dwz de s'kiddies en de media en de industrie die eromheen is opgegroeid maar waar maar weinig echte hackers rondhangen) zijn ooit begonnen de term zo te misbruiken dat'ie betekenisloos werd. We kunnen daar ook mee ophouden. Kan best dat het tien jaar kost, maar laat duidelijk zijn dat het noodzakelijk is, om vele goede redenen.
volledig met je eens,maar de zolang de media stoere termen kan blijven gebruiken zal er weinig verandering komen.Door Anoniem: Tegenwoordig (zeg sinds 10 jaar) is een hacker voor mij een persoon die d.m.v. actieve verbindingen gaten weet te vinden in de "beveiliging" (nog al zo'n 50-tinten-term ;]) van ICT-gerelateerde zaken die niet onder deze persoon zijn/haar eigendom gerekend kunnen worden, maar ook in deze omschrijving zijn zat gaten te schieten, en ik ben de eerste die toegeeft dat 90% v/d script-kiddies hier dan ook onder vallen. En ook de term script-kiddie is lastig, zo zijn we weer terug bij af...
Scriptkiddies zijn vrij duidelijk in wat ze doen en kunnen: Andermans werk herhalen, met sterke ondertonen dat ze daar nooit zelf op gekomen zouden zijn. Zelf variaties aanbrengen is al bijzonder. Op die manier zijn ze zowel sterk gekleurd in "ethiciteit" --wat het originele "hacken" niet was-- als de antithese van "hackers" die nu juist wel origineel werk konden laten zien.Als je nou gaat kijken wat zowel de zwarte- als de witte hoedjesdragers produceren, dan zijn dat variaties op bekende themas --de 9000e SQL injectie of buffer overflow, de 9000e detectiesignatuur, of wat dan ook-- en zijn echt nieuwe dingen heel erg zeldzaam. Dat zie je zelfs in "revolutionaire" persberichten met, eh, al lang bekende ideen met grote implementatieproblemen en geen enkele aanwijzing dat ze die nu wel bevredigend opgelost hebben, zoals recent alhier maar weer eens gedemonstreerd. In die zin is heel de malwareindustrie als de antimalwareindustrie opgebouwd uit, nuja, practisch s'kiddies. Vandaar ook dat ze zo erg op elkaar lijken.
Dat onderbouwt dan weer de stelling dat "hacker" hier niet past. En dus is het tijd dat we met z'n allen ophouden met expres vaag gemaakte en -gehouden termen blijven gooien. Ook al omdoch veel grijze duien het zo overduidelijk uit sensatiezucht gedaan wordt. Met aanwijsbare schadelijke gevolgen.
We (dwz de s'kiddies en de media en de industrie die eromheen is opgegroeid maar waar maar weinig echte hackers rondhangen) zijn ooit begonnen de term zo te misbruiken dat'ie betekenisloos werd. We kunnen daar ook mee ophouden. Kan best dat het tien jaar kost, maar laat duidelijk zijn dat het noodzakelijk is, om vele goede redenen.
ps tussen de white hats en black hats zitten er nu toch veel grijze bolhoeden tussen(nsa etc)
groetjes jefdom
Door jefdom: [...]maar de zolang de media stoere termen kan blijven gebruiken zal er weinig verandering komen.
De media leven ook niet in een vacuum. Dat ze oorspronkelijk begonnen met puisterige pubers te vragen "Ben jij nu een hack-ur?" met het voorspelbare maar foute* antwoord: "jahaa! *giechel*" en dat het er zo ingeslopen is dat velen gewoon niet beter weten of willen weten betekent niet dat we op ze hoeven wachten om eindelijk hun terminologie aan te passen.Journalisten hun werk, hun arbeidsethos, is dat van "informeren". Op dit punt leveren ze structureel misinformatie. Maak ze dat duidelijk, met argumenten (bovenstaande uitleg mag je copy/pasten) en er blijft weinig ruimte over om nog verder de ondertussen gebruikelijke misinformatie te blijven verspreiden. Doen ze dat toch --ondanks herhaaldelijke informatie van degenen die het wel weten-- dan verspelen ze het morele recht zich nog journalist te mogen noemen.
* Fout? Jazeker. "Hacker" als respectvol epithet was nooit iets dat je jezelf kon aanmeten. Doe het toch en je wordt onmiddelijk als neppert weggezet. Nog een reden waarom er zo weinig echte hackers in de beveiligingsindustrie over zijn.
09-02-2014, 18:24 door
choi
Door Anoniem: http://www.zbc.nu/security/aanpak-informatiebeveiliging-iso-27001-en-iso-27002/hackers-niet-het-probleem-van-beveiligers/
" De werkelijke schade echter was in feite niet meer dan dat een klein bedrijf als Diginotar failliet ging. Zulke faillissementen zijn aan de orde van de dag en halen dan alleen het plaatselijke huis-aan-huis-blad. Ook Wikileaks hoort in dit rijtje thuis. Weinig echte schade,"
" De werkelijke schade echter was in feite niet meer dan dat een klein bedrijf als Diginotar failliet ging. Zulke faillissementen zijn aan de orde van de dag en halen dan alleen het plaatselijke huis-aan-huis-blad. Ook Wikileaks hoort in dit rijtje thuis. Weinig echte schade,"
Je hebt de klok horen luiden maar je weet niet hoe laat het is vriend.
De werkelijke schade van de Diginotar-affaire is dat de nep certificaten in handen zijn gekomen van partijen met twijfelachtige motieven (z.a Iraanse regime en mogelijk ook de NSA).
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
