Klinkt eerder als een dreiging ;)

Heeft de NSA weer eens de deur naar de exploit room open laten staan dat ze nu met deze waarschuwing komen?

Volgens mij zijn dit gewoon standaard practices die iedereen zou moeten volgen of begrijp ik het verkeerd?

dit gaat wel tegen de hele 'software defined networking' beweging (zoals die nu in de praktijk gebeurt) in een beetje lijkt wel?

Allemaal waar natuurlijk; open deuren voor de mensen die het al weten en een "het zal wel loslopen" reactie van diegenen waar het echt nodig is. Die laatste groep blijven waarschuwen tot ze een keer gaan luisteren - waarschijnlijk pas nadat het een keer is fout gegaan...

Goed en logisch initatief in het kader van risk mitigation en bewustwoording.

Er zijn hier mensen die constant lijden aan paranoia, overal verbanden achter zoeken die er niet zijn. De NSA heeft hier niets mee te maken. De NSA heeft juist baad bij baggere configuraties.
US-CERT waarschuwt voor baggere configuraties. Ze herhalen best practices omdat het nog steeds een probleem vormt.

Als je er vanuit gaat dat dingen mogelijk geexploit worden, dan kan je daar de processen op inrichten. Security by design.

@16:26: Fout! De NSA wil dat de systemen van zichzelf en hun bondgenoten veilig zijn. En niet die van de rest van de wereld.

Bovendien is mijn scenario al eens gebeurd. Met Shadow Brokers. https://www.security.nl/posting/481727/Kaspersky%3A+sterke+link+tussen+gelekte+tools+en+Equation+Group

Het lijkt wel een mayakalender....

Het is allemaal natuurlijk niet op een normale manier te verklaren. "Best practices" worden maar niet doorgevoerd. Waarom?

Omdat noch de eindgebruiker noch de mensen met relevante kennis de boel voldoende weten te beveiligen of omdat bepaalde krachten niet zonder het "gatenkaas" systeem van "altijd al zo geweest" hun core business kunnen bedrijven?

Https everywhere wordt ingevoerd. Hoeveel https sites hebben nog een onveilige site en configuratie of certificaat achter de veilige verbinding hangen? Voor hoeveel CDN's is het manipuleren via non-public net voor de grote datagraaier en surveillance faciliteurs als google & facebook e.d. met de kortste bochtjes afsnijden belangrijker dan echte eindgebruikersveiligheid?

Kijk alleen maar eens naar jQuery libraries met kwetsbaarheden, die niet afgevoerd worden. En daarnaast de redenen voor de cyberwar zelf (demonisering van krachten die de economische hegonomie van het Empire & "the Enterprise" in de weg zitten). Ook developers die draaien onder de grootst mogelijke tijddruk en het veredeld knip- en plakwerk met overnemen van de errors van een ander. Security as a last resort issue. Sluitpost van iets wat alleen maar in de weg zit bij CEO en manager. Het gaat toch goed met het dividend en de bitcoins. De dommerds helpen de graaiers en zitten verder niet in de weg. Voor dertig zilverlingen verkopen ze hun ziel en zaligheid aan de digitale duvel en z'n ouwe moer.

Ik zal het veilige coderen met tijd voor de broodnodige veiligheidsanalyse wel nooit beleven. De digitale boven- en onderwereld zijn daarvoor al te ver en te veel met elkander verweven om het goede spoor nog terug te vinden. En het wordt er niet beter op.

Echt, ik hoor ook liever tot de mensen, die het glas liever half vol zien als half leeg. Zeg me,wat moet je aanvangen met zulke waarschuwingen? Goed weekeind gewenst,

Jodocus Oyevaer

Je begrijpt het uitstekend.
Om een of andere reden worden die standard practices genegeerd.

IMeer eens dan dat zullen we het niet worden.
Ergens moet er een denkpatroon omgeschakeld worden.

@karma4

Twee hele goede visies om het mee eens te zijn:

1. Het niet implementeren van "standard practices" of "best practices" of soms het bewust negeren of bijbuigen van standaarden.

2. Veilig coderen telkens of heel vaak blijven behandelen als "sluitstuk", terwijl het juist eerste prioriteit verlangt.

Voorbeeld, de algehele stand van zaken rond het detecteren van zogenaamde PHISHING websites, terwijl er toch hele goede IDS bestaat om deze sites vroeg goed te detecteren en eventueel te blokkeren en/of eventueel te "sinkholen".

(Europol hoort u mij?). Bij anti-malware oplossingen zie ik het ook geen prioriteit hebben, de goede diensten, zoals fortinet's IDS, niet te na gesproken natuurlijk.

Ik zie in dit landschap, waar ik vanaf 2004 dagelijks websites doorspit of veiligheidsaspecten, nauwelijks veranderingen
en ook niet bij wat studenten (T)INF van Hoge School IT-opleidingen in dit opzicht wordt bijgebracht. En in de praktijk wordt het kennelijk ook niet met voldoende nadruk gebracht. Zie maar eens wat hier in de categorie F-status van scanresultaten allemaal paradeert: https://www.htbridge.com/websec/#latest

Het zou een hele interessante discussie kunnen worden tussen lieden "uit het veld" aangaande wat voor redenen er kennelijk bestaan om deze situatie niet fundamenteel te laten veranderen. De discrepantie benoemen is de oplossing aandragen. Ik wacht echter nog met rode oortjes, maar heb de echte uitleg nog niet vernomen, maar een vermoeden heb ik wel in welke richting we zouden moeten gaan zoeken, namelijk het steunt op gevestigde belangen her en der.

luntrus

best practices zijn kul, incompleet en hebben vaak een te grote focus op techniek en preventative controls. beter is het om een goede security architectuur te maken, die gebouwd is op de specifieke kansen en bedreigingen van een organisatie. En daarbij ook deterrent, corrective, en containment controls integreert.

Nog beter zou zijn als er mensen over gingen met relevante kennis en niet mensen met gegeven gezag als manager of ceo die zich moet laten voorlichten met vaak verkeerd en te duur advies.
luntrus

Ga je mooi mee, zoals dat bijna overal gebeurt. Communicatie- en media-deskundigen en reputatie management, aangestuurd via "stakeholders" zetten de security officer opzij als lastige figuur en "company belang" prevaleert boven algemeen geldende technische security concepten. Een paar "Mitnickjes" uitnodigen en een daagje laten rondlopen, werkt nog beter mijns inziens.

Jodocus Oyevaer