Security Professionals
- ipfw add deny all from eindgebruikers to any
Compromitteren???
Ik hoor vaak de term compromitteren als het op data aankomt, maar een goeie (officiële) uitleg daarover heb ik nog niet kunnen vinden. De enige die ergens op sloeg was deze: COMPROMITTERING: "De kennisname dan wel de mogelijkheid van een niet-gerechtigde tot het kennisnemen van bijzondere informatie".
Maar, als integriteit van de data (lees de juistheid) wordt aangepast, wil dat nog niet zeggen dat een niet-gerechtigde kennis heeft genomen. Een gerechtigde kan ook data aanpassen waarmee (naar mijn mening) de data integriteit wordt gecompromitteerd. Ik ga zelfs zo ver dat ik stel dat op het hele scale van de BIV data kan worden gecompromitteerd. Dit heeft dat direct betrekking op de BIV-eisen die een systeemeigenaar of business/proces eigenaar stelt aan de data. Met andere woorden data kan worden gecompromitteerd op alle facetten van de BIV of CIA. Wie helpt me uit deze boze droom, of nog mooier kan mijn statement bevestigen?
Maar, als integriteit van de data (lees de juistheid) wordt aangepast, wil dat nog niet zeggen dat een niet-gerechtigde kennis heeft genomen. Een gerechtigde kan ook data aanpassen waarmee (naar mijn mening) de data integriteit wordt gecompromitteerd. Ik ga zelfs zo ver dat ik stel dat op het hele scale van de BIV data kan worden gecompromitteerd. Dit heeft dat direct betrekking op de BIV-eisen die een systeemeigenaar of business/proces eigenaar stelt aan de data. Met andere woorden data kan worden gecompromitteerd op alle facetten van de BIV of CIA. Wie helpt me uit deze boze droom, of nog mooier kan mijn statement bevestigen?
Reacties (7)
Compromitteren in het Nederlands betekent verdacht maken, in opspraak brengen.
To compromise in het Engels betekent (ook) iets verzwakken en in IT-security-jargon de beveiliging doorbreken, wat daar op zich heel aardig bij aansluit.
De definitie die jij noemt komt aardig overeen met beveiliging doorbreken. De veel voorkomende neiging van mensen om niet al te veel stil te staan bij de betekenis van woorden maar ze gewoon toe te passen heeft ten eerste gemaakt dat een Engelse betekenis aan het Nederlandse woord is toegevoegd in IT-kringen, en ten tweede dat het niet alleen gebruikt wordt als data compromitteren maar ook als de integriteit van data of systemen aantasten. En daarmee wordt compromitteren als synoniem van aantasten gebruikt, en dwalen we behoorlijk af van de eigenlijke betekenis van het woord.
Er zit in mijn ogen vooral een hoop slordig taalgebruik achter. En dat gebeurt helaas heel vaak. Wist je bijvoorbeeld dat mitigeren eigenlijk zacht maken betekent? Het is een synoniem van lenigen, zoals in de nood lenigen. Als je dan kijkt wat Microsoft's Enhanced Mitigation Experience Toolkit (EMET) eigenlijk voor naam heeft dan is dat iets volslagen idioots als de verbeterde lenigingsbelevingsuitrusting. Waarom accepteren we dat soort wartaal? Omdat we massaal niet stilstaan bij de betekenis van taal, vrees ik.
To compromise in het Engels betekent (ook) iets verzwakken en in IT-security-jargon de beveiliging doorbreken, wat daar op zich heel aardig bij aansluit.
De definitie die jij noemt komt aardig overeen met beveiliging doorbreken. De veel voorkomende neiging van mensen om niet al te veel stil te staan bij de betekenis van woorden maar ze gewoon toe te passen heeft ten eerste gemaakt dat een Engelse betekenis aan het Nederlandse woord is toegevoegd in IT-kringen, en ten tweede dat het niet alleen gebruikt wordt als data compromitteren maar ook als de integriteit van data of systemen aantasten. En daarmee wordt compromitteren als synoniem van aantasten gebruikt, en dwalen we behoorlijk af van de eigenlijke betekenis van het woord.
Er zit in mijn ogen vooral een hoop slordig taalgebruik achter. En dat gebeurt helaas heel vaak. Wist je bijvoorbeeld dat mitigeren eigenlijk zacht maken betekent? Het is een synoniem van lenigen, zoals in de nood lenigen. Als je dan kijkt wat Microsoft's Enhanced Mitigation Experience Toolkit (EMET) eigenlijk voor naam heeft dan is dat iets volslagen idioots als de verbeterde lenigingsbelevingsuitrusting. Waarom accepteren we dat soort wartaal? Omdat we massaal niet stilstaan bij de betekenis van taal, vrees ik.
07-07-2015, 10:52 door
Mysterio
Het gaat mijns inziens om de reputatie van de data. De data is verdacht omdat mogelijk de integriteit is aangetast. Dat kan inderdaad door niet gerechtigde toegang maar ook door niet geregistreerde toegang. Stel dat je doet aan versiebeheer op z'n simpelst: je past de bestandsnaam aan en zet in de kop wie wat wanneer heeft gedaan. Vervolgens zie je dat het bestand is aangepast maar dat het niet geregistreerd is. Dat betekent dus dat je data verdacht is omdat mogelijk de integriteit is aangetast.
07-07-2015, 15:06 door
SecOff
Mijn definitie: Compromitteren = Het aantasten van integriteit en/of vertrouwelijkheid.
Gecompromitteerde data is dus data waarvan de integriteit en/of vertrouwelijkheid is aangetast.
Gecompromitteerde data is dus data waarvan de integriteit en/of vertrouwelijkheid is aangetast.
In "mijn" woordenboek (voor wat dat waard is ;) zijn het systemen of accounts die gecompromitteerd kunnen raken, d.w.z. dat een onbevoegde toegang heeft of heeft gehad.
Voorbeeld: op een PC in een LAN wordt ransomware gestart. Daarmee is, op zijn minst, de beveiliging van het gebruikeraccount gecompromitteerd. De PC zelf (het besturingssysteem en overige software) hoeven daarmee niet te zijn gecompromitteerd; de meeste ransomware heeft geen adminrechten nodig en doet er geen moeite voor om die te verkrijgen. Wel zal de ransomware vaak automatisch herstarten op het moment dat de gebruiker inlogt - maar dit is een per-gebruiker issue.
Vervolgens worden alle bestanden, ook op servers - waar de gebruiker schrijfrechten op heeft, versleuteld (in de praktijk wordt een versleutelde kopie van zo'n bestand gemaakt, waarna het oorspronkelijke bestand, vaak onhersteldbaar, wordt gewist).
De aanvallers zijn vaak niet geïntereseerd in de inhoud van de oorspronkelijke bestanden, dus wordt in zo'n geval de Vertrouwelijkheid niet geschonden. Wel wordt de Integriteit van de informatie geschonden. En als je geen back-up hebt, gaat de Beschikbaarheid van die informatie naar 0 (het is discutabel of je het dan nog over een schending van de Integriteit van informatie moet hebben).
Overigens splits ik zelf "Beschikbaarheid" graag op in Onmisbaarheid en Bereikbaarheid, want dat kunnen tegengestelde criteria zijn.
Kortom: systemen en accounts kunnen gecompromitteerd raken, al dan niet met consequenties voor (d.w.z. schendingen van) de BIV/CIA (Confidentiality, Integrity, Availability) van informatie. In het kader van ISO 27001, NEN 7510, BIR, VIRBI etc. kun je, denk ik, "gecompromitteerde informatie" het beste vermijden omdat het dan onduidelijk is wat er met die informatie gebeurd is.
Aanvulling 07-07-2015 17:59: als ik Google naar: compromised information system account
dan zie ik "compromised" meestal geassocieerd worden met onbevoegde toegang. Vaak wordt daarbij verwezen naar systemen of accounts, maar soms ook naar informatie. Wat er vervolgens, conform ISO 27001 etc., met die informatie gebeurt (of is gebeurd), wordt vaak aanvullend toegelicht. Omgekeerd spreek je meestal niet van de BIV van accounts en van de IV van computersystemen/netwerken (wel van de B daarvan, maar puur omdat je die nodig hebt om bij de informatie te kunnen komen).
Voorbeeld: op een PC in een LAN wordt ransomware gestart. Daarmee is, op zijn minst, de beveiliging van het gebruikeraccount gecompromitteerd. De PC zelf (het besturingssysteem en overige software) hoeven daarmee niet te zijn gecompromitteerd; de meeste ransomware heeft geen adminrechten nodig en doet er geen moeite voor om die te verkrijgen. Wel zal de ransomware vaak automatisch herstarten op het moment dat de gebruiker inlogt - maar dit is een per-gebruiker issue.
Vervolgens worden alle bestanden, ook op servers - waar de gebruiker schrijfrechten op heeft, versleuteld (in de praktijk wordt een versleutelde kopie van zo'n bestand gemaakt, waarna het oorspronkelijke bestand, vaak onhersteldbaar, wordt gewist).
De aanvallers zijn vaak niet geïntereseerd in de inhoud van de oorspronkelijke bestanden, dus wordt in zo'n geval de Vertrouwelijkheid niet geschonden. Wel wordt de Integriteit van de informatie geschonden. En als je geen back-up hebt, gaat de Beschikbaarheid van die informatie naar 0 (het is discutabel of je het dan nog over een schending van de Integriteit van informatie moet hebben).
Overigens splits ik zelf "Beschikbaarheid" graag op in Onmisbaarheid en Bereikbaarheid, want dat kunnen tegengestelde criteria zijn.
Kortom: systemen en accounts kunnen gecompromitteerd raken, al dan niet met consequenties voor (d.w.z. schendingen van) de BIV/CIA (Confidentiality, Integrity, Availability) van informatie. In het kader van ISO 27001, NEN 7510, BIR, VIRBI etc. kun je, denk ik, "gecompromitteerde informatie" het beste vermijden omdat het dan onduidelijk is wat er met die informatie gebeurd is.
Aanvulling 07-07-2015 17:59: als ik Google naar: compromised information system account
dan zie ik "compromised" meestal geassocieerd worden met onbevoegde toegang. Vaak wordt daarbij verwezen naar systemen of accounts, maar soms ook naar informatie. Wat er vervolgens, conform ISO 27001 etc., met die informatie gebeurt (of is gebeurd), wordt vaak aanvullend toegelicht. Omgekeerd spreek je meestal niet van de BIV van accounts en van de IV van computersystemen/netwerken (wel van de B daarvan, maar puur omdat je die nodig hebt om bij de informatie te kunnen komen).
07-07-2015, 16:40 door
golem
Met alleen het woord Compromitteren zelf kan iedereen zijn eigen
verhaaltje maken.
Het gaat om dat wat gecompromiteerd wordt.
- data
- software
- hardware
- accounts
- mensen
verhaaltje maken.
Het gaat om dat wat gecompromiteerd wordt.
- data
- software
- hardware
- accounts
- mensen
Compromitteren zou je voor mijn gevoel wellicht kunnen vertalen met "gevaarlijk blootstellen" of "kapen".
Als iets is gecompromitteerd, dan is het niet meer gegarandeerd zuiver, koosjer, puur, onaangetast, veilig,
en kan het "besmet" zijn doordat (tijdelijk) de macht erover is overgenomen door iets of iemand die niet bevoegd is.
Want het onderwerp is dan "gevaarlijk blootgesteld" of "gekaapt" geweest, oftewel: gecompromitteerd.
Als je data is gecompromitteerd, dan betekent dit voor zover ik weet dat je data in handen van iemand anders is gevallen (geweest), en dat er daarom mee geknoeid kan zijn.
Maar als je zelf met je data knoeit, dan geloof ik niet dat "compromitteren" hier het juiste woord voor is.
Het komt in ieder geval erg vreemd op mij over als iemand het zo tegen mij zou zeggen.
Je kunt volgens mij niet je eigen data compromitteren, tenminste wanneer die data op dat moment ook echt van jou is
en niet aan iemand anders als rechtmatige eigenaar in eigendom is gegeven of verkocht.
Is dit laatste wél het geval, dan kun je wél spreken van compromitteren, omdat jij op dat moment de rechtmatige eigenaar niet meer bent.
Wat iemand volgens mij wél met zijn eigen data kan doen is "aanpassen" (=goedaardig: bijv. een foutje aanpassen) of "manipuleren"(=ondeugend of kwaadaardig: bewust rotzooien met je data).
Mvg, cluc-cluc
Als iets is gecompromitteerd, dan is het niet meer gegarandeerd zuiver, koosjer, puur, onaangetast, veilig,
en kan het "besmet" zijn doordat (tijdelijk) de macht erover is overgenomen door iets of iemand die niet bevoegd is.
Want het onderwerp is dan "gevaarlijk blootgesteld" of "gekaapt" geweest, oftewel: gecompromitteerd.
Als je data is gecompromitteerd, dan betekent dit voor zover ik weet dat je data in handen van iemand anders is gevallen (geweest), en dat er daarom mee geknoeid kan zijn.
Maar als je zelf met je data knoeit, dan geloof ik niet dat "compromitteren" hier het juiste woord voor is.
Het komt in ieder geval erg vreemd op mij over als iemand het zo tegen mij zou zeggen.
Je kunt volgens mij niet je eigen data compromitteren, tenminste wanneer die data op dat moment ook echt van jou is
en niet aan iemand anders als rechtmatige eigenaar in eigendom is gegeven of verkocht.
Is dit laatste wél het geval, dan kun je wél spreken van compromitteren, omdat jij op dat moment de rechtmatige eigenaar niet meer bent.
Wat iemand volgens mij wél met zijn eigen data kan doen is "aanpassen" (=goedaardig: bijv. een foutje aanpassen) of "manipuleren"(=ondeugend of kwaadaardig: bewust rotzooien met je data).
Mvg, cluc-cluc
20-07-2015, 08:57 door
Airsecure
Iedereen bedankt voor de reacties. Ik kan hier zeker wat mee!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
