Nieuws

EFF: Geen eenvoudige antwoorden bij beveiligingsadvies

maandag 20 november 2017, 11:59 door Redactie, 5 reacties

Wie mensen adviseert over digitale beveiliging en privacy moet eenvoudige antwoorden, zoals het noemen van een bepaalde telefoon of besturingssysteem, zien te vermijden, aldus de Amerikaanse burgerrechtenbeweging EFF weten. De organisatie lanceerde laatst de Security Education Companion.

Dit is een verzameling van artikelen voor mensen die hun vrienden, buren of collega's over cybersecurity willen adviseren. Eén van de onderwerpen die aan bod komt is het adviseren van tools. Veel mensen willen weten welk platform, telefoon of programma ze moeten gebruiken, aldus de EFF. "Een direct antwoord dat klopt en bruikbaar is, is helaas lastig te geven. Je moet de verleiding weerstaan om een absoluut ja/nee antwoord te geven, ook al is dit frustrerend voor je publiek", aldus de burgerrechtenbeweging.

Volgens de EFF zijn directe antwoorden zelden van toepassing op iedereen. "En als ze kloppen hoeft dat mogelijk niet in de toekomst zo te zijn." Als voorbeeld wordt bijvoorbeeld het advies over een telefoon gegeven. In het geval er een direct antwoord moet worden gegeven zou de EFF nu een iPhone noemen, aangezien het Android-landschap gefragmenteerd is en fabrikanten beveiligingsupdates niet of traag uitrollen. Deze situatie kan echter op elk moment veranderen, waardoor het eerder gegeven advies niet meer van toepassing is.

Ook kunnen bepaalde adviezen, zoals het aanschaffen van een kostbare iPhone, niet voor iedereen haalbaar zijn. In het geval van beveiligingsadvies is het daarom belangrijk uit te leggen waarom een bepaald advies wordt gegeven. Bijvoorbeeld aan de hand van het dreigingsmodel waar rekening mee gehouden moet worden. Afsluitend stelt de EFF dat er toch een aanbeveling kan worden gegeven, aangezien de meeste mensen een antwoord willen in plaats van algemene richtlijnen.

Verder laat de burgerrechtenbeweging weten dat het belangrijk is om 'open-minded' over verschillende apparaten en besturingssystemen te zijn. "Advies dat in theorie fantastisch voor security is maar veel technische kennis vereist, zoals het draaien van Qubes, het gebruik van Tails of het overstappen op Linux, kan meer kwaad dan goed doen. In plaats daarvan is het handiger om je publiek tegemoet te komen en te werken met de apparaten en besturingssystemen die ze al gebruiken."

Malafide Android-apps in Google Play installeren bankmalware

F5 Big-IP kwetsbaar voor Bleichenbacher-aanval

Reacties (5)

20-11-2017, 15:09 door Anoniem

Gratis marketing is een prachtig iets!

Maar soms kan je maar beter even je mond houden omdat het je nodeloos in problemen brengt.

Apple (en ook wel linux) spulletjes hebben statistisch minder last van malware en statistisch ook minder vaak last van rattige malware.
Dat is het statistisch voor den normale simpele mensch heel verdedigbaar om dan te gaan voor dat Apple dingetje, nieuw of tweedehands.

EFF moet dit glibberpad niet opgaan omdat zij de kans loopt de hele android industrie over zich heen te krijgen en omgekeerd als ze een advies geeft.
Er gaat veel geld in om en de belangen zijn groot dus de weerstand (al dan niet juridisch) is groot.
Veel te groot.
Waag je er dan ook niet aan.

Bam op de smoel, op naar de tandarts of alleen schaafschade?

"Advies dat in theorie fantastisch voor security is maar veel technische kennis vereist, zoals het draaien van Qubes, het gebruik van Tails of het overstappen op Linux, kan meer kwaad dan goed doen. In plaats daarvan is het handiger om je publiek tegemoet te komen en te werken met de apparaten en besturingssystemen die ze al gebruiken."

Het laatste deel was voldoende geweest : adviseer mensen de mogelijkheden te benutten die de spullen hebben waar ze over beschikken.

Eenvoudig advies bestaat dus wel!

1) Verreweg de meeste mensen hebben niet de moeite genomen simpel weg de voorkeuren van hun programma's en systeem goed in te stellen.
Als je dat hebt gedaan kan je naar aanvullingen kijken omdat je vindt dat er iets mist.

2) Denk je dat dat te veel gedoe is en dat een ander systeem direct ongeconfigureerd al meer voordelen biedt dan is dat een heel legitiem reden om over te stappen (naar Apple of Linux bijvoorbeeld).
Maar ook in die gevallen moet je alsnog de moeite nemen de voorkeuren door te nemen van de programma's die je gebruikt.
Mis je wat dan zoek je een aanvulling.

3) Denk je dat ook die systemen je niet die veiligheid kunnen bieden die je zoekt, dan kan je weer een stapje verder gaan.
Naar Tails, Quebes.

Zo zit dat een beetje en je kan systemen ook naast elkaar gebruiken.

Maar het is onzinnig om deze hiërarchie per definitie te ontkennen en Linux met Tails op 1 hoop te gooien.
En ook is er geen man overboord als je met Tails loopt te klooien zolang het risico dat je wilde afdekken niet te hoog is.
Tails is namelijk ook prima bruikbaar als lichtgewicht systeem voor basistaken die je beschermt tegen malware en online privacy gedonder van de reclame en tracking industrie.
Gebruik van Tails is niet eng, de alom aanwezige tegenstanders in media en fora maken haar eng in de hoop dat niemand dit gaat gebruiken omdat het zo goed is (het moet wel op afstand aftapbaar en kraakbaar blijven, iets met veiligheidssprookjes en fantasieen over het 'gevaar van encryptie').

Volkomen uitglijder dus via ongevraagd misplaatst politiek commercieel vlak.
Gratis marketing kan je gebruiken maar weersta de verleiding om jezelf onnodig in verlegenheid te brengen of in een spagaat te gaan die je pijn in je kruis oplevert...

Wat niet bestaat : is een oplossing die geen moeite kost, alles uit handen neemt en vrijwel niets kost of gratis is.
Dat is het werkelijke probleem, niet dat eenvoudige advies dat dus wel bestaat: mogelijkheden benutten die je nog niet benut had ; voorkeuren doornemen.
Dat is voor de meeste mensen een enorme stap voorwaarts = eenvoudig haalbare winst

20-11-2017, 17:43 door Anoniem

Het probleem is dat de grootste groep mensen te technische adviezen niet begrijpen omdat ze geen kaas hebben gegeten van de theorie die er aan ten grondslag ligt. De kennisloze menselijke logica slaat vaak nergens op.
Zoals die onderzoeker die een kikker onderzocht:

De onderzoeker nam een kikker en riep: "Spring!"
De kikker sprong wel een meter hoog.
Toen dacht de onderzoeker: "Wat zou er gebeuren als ik één poot afsnij?"
De onderzoeker sneed een poot af en riep weer "Spring!"
Nu sprong de kikker maar een halve meter hoog.
Toen dacht de onderzoeker: "Wat zou er gebeuren als ik de andere poot ook nog afsnij."
De onderzoeker sneed de andere poot ook af en riep "Sping".
Er gebeurde niets.
De onderzoeker schreeuwde steeds harder "Spring.... Spring!....
SPRING...... SPRING!..... SPRING!!!!!!!!!!
Maar de kikker sprong niet meer. Nog geen millimeter.
Toen schreef de onderzoeker op:
"Kikker met beide poten afgesneden wordt hartstikke doof."

Wel meer dan twintig jaar geleden gehoord, maar nooit vergeten.
Een typisch voorbeeld van de kennisloze logica van de mens,
die bij doorsnee computergebruikers die hun PC veilig willen gebruiken veel voorkomt.
En zelfs ook nog wel eens bij mensen die zichzelf "expert" noemen op ICT gebied.

Daar komt dan nog bij dat veel van deze kennis dynamisch is: voortdurend in beweging, niet stabiel.
Hoewel de diepste grondslagen meestal nauwelijks veranderen is kennis aan de oppervlakte vluchtig.
Dat maakt het erg lastig zo niet onmogelijk om een concreet veiligheidsbeleid voor doorsnee internetters op schrift te stellen waar ze voor altijd genoeg aan hebben.

20-11-2017, 18:34 door karma4

Dat is een lang direct antwoord waarbij enkel en alleen een os in de kijker staat. Ik kijk liever naar de informatie die al dan niet gedeeld wordt. Wat niet weet wat niet deert. (Ofwel mondje toe)

21-11-2017, 10:44 door [Account Verwijderd] - Bijgewerkt: 21-11-2017, 10:45

[Verwijderd]

22-11-2017, 15:48 door Legionnaire

Er is maar een manier om veilig, zonder zorgen of moeilijk doen het net op te gaan en hackers maken geen ziojn van kans. De oplossing ligt niet bij de keuze van het besturingssysteem en raad toch stellig aan voor Microsoft te gaan en al het andere is leuk om mee te knutselen en stabiliteit top. Maar zo lek als een vergiet.j

De juiste en enige oplossing is een profesionele hardwarematige firewall met null punt beveiling. File .ioncryptie . Proffeswioo nmele firmware in samenwerking met live link naar ESET.

https://m.firewallshop.nl/sonicwall-tz300-advanced-edition-1-jaar-gigabit-firewall-totalsecure-advanced-edition/pid=50471

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer