"Wij van Hoffmann Bedrijfsrecherche adviseren Hoffmann Bedrijfsrecherche". Nou, ik niet !

Ik ben het met hun eens.
Dit is geen oplossing.
De oplossing is;
De mensen die ernstige fouten maken, zoals envoudige SQL injecties, of nalatig zijn laten boeten en een beroepsverbod opleggen.

Zo simpel is het!!


Pak de schuldige aan!!!! Die over de rug van andere miljoenen hebben verdient!!!!!

Sorry maar ik had hofman toch wel hoger in geschat. Er is dan wel geen branchverreniging, maar tegenwoordig zijn er al heel wat opleidingen die aandacht besteden aan security en kundigheid kunnen laten blijken. Daarnaast heb je natuurlijk tal van losse certificaten zoals een CEH bijv.. Hackers die in opdracht van bedrijven werken, die werken vrijwel nooit anoniem... ik vraag me dan ook af waar ze dit vandaag halen.... De hackers die nu anoniem blijven zijn bang voor narigheid met o.a. justitie en die is het laatste wat je wil, en dan kun je maar beter op "safe" spelen en anoniem proberen te blijven...

Ik had een best wel hoge pet op van Hoffman, maar die is na het lezen van dit bericht een beetje verdwenen. Zij impliceren namelijk dat je alleen kundig bent met de juiste papiertjes .... Sorry, maar een tiener mijn servers zou hacken, ga ik niet vragen om zijn diploma maar hoe ik de kwetsbaarheid kan dichten. (if you can't beat them, join them!)


Ik krijg het gevoel dat hoffman totaal geen affiniteit heeft met IT-security als je ziet hoe zij tegen bepaalde zaken aan kijken. Afgelopen jaar zijn de gegevens van heel Nederland in getallen meerdere malen gelekt, en dan praten we alleen over de gevallen die bij de media bekent zijn, men ziet dat er eigenlijk geen enkel systeem veilig is en dat we baat hebben bij verbeteringen in de beveiliging. Volgens hoffman is deze behoefte er schijnbaar niet... ik zou zeggen doe je probeer eens te kijken zonder oogkleppene en zie de realiteit, iedereen die een bijdrage kan leveren aan het veiliger maken van onze digitale samenleving is welkom. Wanneer hackers informatie op online plaatsen of de media opzoeken dan is dat vaak een schreeuw om aandacht, als men de intentie zou hebben om de informatie van of hack te misbruiken dan zal deze persoon zeer waarschijnlijk niet de media opzoeken. Maargoed eerlijk is eerlijk, als alles veilig zou zijn heeft hoffman geen werk meer, zij hebben dus belang met een dergelijke uitspraak.

Laten we dan maar hier en nu een branchevereniging beginnen, toch? Ik verdien wel een deel van mijn brood met pentesten en als daarbij af en toe (vaak) een partner van mijn opdrachtgever ipv de opdrachtgever zelf de oorzaak van een kwetsbaarheid is moet ik daar gewoon ook op kunnen testen...en rapporteren. En niet op worden aangesproken. Bovendien is voldoende scholing weldegelijk aanwezig, al geef ik toe dat de beste white hat hackers(!) die scholing meestal niet hebben. (ze missen of ontberen het niet, hoor!)

Vergelijk het met je huis of auto, zolang iemand inbreekt met de intentie om te laten zien hoe slecht het is gesteld met de veiligheid van de sloten, krijgt deze een vrijbrief om aan al je spullen te mogen zitten?

Iedere inbreker die gepakt wordt zal claimen dat hij het voor de mensheid doet.

Er is helemaal geen sprake van een onvoorwaardelijke vrijbrief; dus die vergelijkingen gaan helemaal niet op mensen ...

Als ik ga pinnen trek ik ook even aan de passleuf om te kijken of er niet een skim device op zit, als ik een auto koop schop ik ook tegen de band aan, als ik een pakje ham koop in de supermarkt kijk ik ook op de tht datum.
Dus waarom mag je niet kijken of de server waar je je gegevens op gaat zetten veilig is?

Simpelweg moet je iets niet aan internet hangen als je niet wil dat het op straat ligt.
Er zijn genoeg manieren voor een prive-netwerk als je veilig een VPN wil opzetten zonder internet.

"Hackers die in opdracht van bedrijven werken, die werken vrijwel nooit anoniem...."

Deze richtlijnen hebben betrekking op hackers die ongevraagd en dus niet in opdracht werken. En die zijn dikwijls wel degelijk anoniem.

Dit gaat niet om DE oplossing, het is een hulpmiddel en DE oplossing niet bestaat. Je kan nog zoveel regeltjes bedenken, het valt nooit uit te voeren naar de wens van ieder omdat juist ieder anders is. Het zijn richtlijnen - om helderheid te scheppen hoe de overheid nu kan helpen en weten waar je wel en niet aan toe bent als je er in mee wil gaan. Als je dit gaat vergelijken met oplossingen of wetgeving dan sla je de plank flink mis. Daarbij, je hoeft je niet aan de richtlijnen te houden, maar wel aan de wetgeving. En die is behoorlijk streng, alleen vertikt 99,99999% van de bevolking het om (wets)personen die hun rechten aan hun laars lappen juridisch ter verantwoording te roepen. Als we dat al niet doen dan ben ik heel blij dat de overheid tenminste helderheid geeft hoe personen die legaal iets aan de kaak wensen te stellen het ethisch kunnen afhandelen. Ik zou willen dat personen eens wat meer eigen verantwoordelijkheid namen in plaats van de vuile was iedere keer bij de overheid te hangen. De overheid ben jezelf: je kiest je volksvertegenwoordigers, je roept ze ter verantwoording. Ik zie het weinig gebeuren.

Daar heb je helemaal gelijk in, en dat heeft natuurlijk deels met de wetgeving en de potentieele consequenties te maken.

Wanneer men de media opzoekt lijkt me dat toch ook een signaal om uit de anonimiteit te komen, ondanks dat je dan mogelijk middels een tussen persoon met de andere partij probeert te praten neem je daarmee meer risico omdat men in de meeste gevallen vaak een onderzoek instelt. Iets wat mogelijk niet gebeurt was wanneer niet je de media niet had opgezocht.

Hoe je er ook tegen aan kijkt, het blijft een complexe discussie. Misschien dat vraag daarom ook iets meer moet zijn: Of je de wet zou mogen overtreden om daarmee een potentieele grotere overtreding te voorkomen?

Deze richtlijn is bedoeld voor bedrijven, niet voor hackers...

Lariekoek van Hoffmann. Juridisch zijn er al geen issues, daarnaast werkt de hacker-wereld toch écht iets anders dan Hoffmann en Opstelten denken. 'Welcome to The Matrix!'.