Wie vindt de balans tussen bruikbaarheid en security?
De MyDoom worm, die verschillende bekende aanvals technieken in één succesvol pakketje wist te combineren, werd in de eerste uren van de verspreiding nauwelijks door anti-virus software tegengehouden. Volgens Shlomo Touboul van Finjan Software had MyDoom zich nooit zover over het Internet mogen verspreiden. Volgens de CEO van het softwarebedrijf hebben we dan ook een nieuwe softwarelaag nodig om systemen in de eerste uren van een besmetting te beschermen. Ondanks het feit dat anti-virusbedrijven steeds meer inzicht krijgen in de manier waarop virussen zich verspreiden blijken zelfs de beste experts geen oplossing te weten. Anti-virus technologie werkt in het geval van nieuwe virussen altijd te laat en alleen als men de nieuwste updates heeft gedownload. Daar komt bij dat 99% van de bedrijven virusscanners gebruikt, maar de meeste thuisgebruikers de software niet eens hebben, zo gaat Bruce Schneier in dit artikel verder. Schneier laat tevens weten dat nieuwe software niet de oplossing is, maar dat de balans tussen bruikbaarheid en security opnieuw bekeken moet worden. Vooral de mogelijkheid om bestanden vanuit Outlook te starten ligt zwaar onder vuur van security experts.
gescheiden verantwoordelijk (een mooi voorbeeld is postfix)
een gemakkelijke methode om software veiliger op te zetten
dan alle functionaliteit bij elkaar
2. Laat staan dat er uberhaupt over security nagedacht is in
de meeste software functionaliteit.
van een bepaalde risico. Een voorbeeld: 90% van alle
woninginbraken in Nederland wordt uitgevoerd door gelegenheids-
inbrekers. Uit onderzoek blijkt dat goed hang- en sluitwerk deze
90% al buitenhoudt.
Zo moet het ook met computersecurity. Je moet dus eerst weten
hoe groot het percentage is van de gelegeheids-hackers c.q.
virussen die binnen willen komen. En daar moet je dan je
beveiliging op baseren.
Je moet je eerst afvragen hoe groot de kans is op het optreden
van een bepaalde risico. Een voorbeeld: 90% van alle
woninginbraken in Nederland wordt uitgevoerd door gelegenheids-
inbrekers. Uit onderzoek blijkt dat goed hang- en sluitwerk deze
90% al buitenhoudt.
Zo moet het ook met computersecurity. Je moet dus eerst weten
hoe groot het percentage is van de gelegeheids-hackers c.q.
virussen die binnen willen komen. En daar moet je dan je
beveiliging op baseren.
Dit soort pseudo-wetenschap werkt niet. Ten eerste is zeker 76% van de
statistieken verzonnen (pun intended), ten tweede kan je beveiliging niet
kwantificeren in een vergelijkbare grootheid (mag het een onsje meer
zijn?).
Waarom werkt goed hang en sluitwerk? Omdat een paar huizen
verderop geen goed slot aanwezig is, daar is dus makkelijker in te
breken. Daar komt bij dat we bij het eerste de beste bedrijf naar binnen
lopen en een laptop mee kunnen nemen zonder naar een slot te kijken.
Iemand die kwaad wil is geneigd de weg van de minste weerstand te
zoeken, snel resultaat te behalen.
Wil je niet dat er ingebroken wordt, dan moet je beveiliging op een hoger
nivo liggen dan bij de buren.
Wil je niet dat er ingebroken wordt, dan moet je beveiliging op een hoger
nivo liggen dan bij de buren.
Dit gaat ook niet op. Als ik naast een juwelier woon, hoef ik mijn
beveiliging echt niet hoger te hebben dan mijn buurman. De waarde bij
de Juwelier is vele malen hoger dan die in mijn huis.
pakketten maken. :D kan je er ook nog wat aanverdienen.
TIP voor wanna be icters. leer hacken. bedrijven betalen tonnen voor
mensen die hun beveiliging eens goed aan de tand kunnen voelen.
Wil je niet dat er ingebroken wordt, dan moet je beveiliging op een hoger
nivo liggen dan bij de buren.
Dit gaat ook niet op. Als ik naast een juwelier woon, hoef ik mijn
beveiliging echt niet hoger te hebben dan mijn buurman. De waarde bij
de Juwelier is vele malen hoger dan die in mijn huis.
Ok, ik was misschien niet duidelijk genoeg: de spreekwoordelijke
buurmand van een juwelier in mijn stelling is natuurlijk een andere
juwelier. Je moet die vergelijking natuurlijk niet te letterlijk nemen.
ma natuurlijk zou je met die kennis prachtige firewalls en anti virus
pakketten maken. :D kan je er ook nog wat aanverdienen.
TIP voor wanna be icters. leer hacken. bedrijven betalen tonnen voor
mensen die hun beveiliging eens goed aan de tand kunnen voelen.
Ik geloof niet in het inzetten van hackers om de beveiliging te testen.
Wanneer verklaar je je netwerk dan veilig? Na 1 dag hacken, na 1 week
hacken, na 1 jaar hacken? Wat weet je wel wat weet je niet na een hack
test? Hoe goed is de hacker die je netwerk test? Wat kan je daar dan van
afleiden?
Ik geloof niet in het inzetten van hackers om de beveiliging te testen.
Wanneer verklaar je je netwerk dan veilig? Na 1 dag hacken, na 1 week
hacken, na 1 jaar hacken? Wat weet je wel wat weet je niet na een hack
test? Hoe goed is de hacker die je netwerk test? Wat kan je daar dan van
afleiden?
De inzet van een hackertest heeft niet als eindresultaat een veilig
netwerk. Dat kan nooit het doel zijn. Je krijgt een momentopname te zien
vanuit het gezichtspunt van een hacker. Dat kan op zich een waardevolle
blik zijn in aanvulling op reguliere testen.
Van te voren spreek je af wat er onderwerp van de hackertest is en wat
niet. Een test heeft altijd als resultaat een rapportage met observaties,
mislukte en gelukte pogingen.
Overigens zijn daar doorgaans geen tonnen mee te verdienen;
tegendeel, het zijn korte klusjes die relatief veel inspanning vergen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
