Reacties (9)
Dit is een veel te brede vraagstelling, heb 'm dan ook niet beantwoord.
Om te beginnen, "overheid" is vaag want zelfs de overheid weet niet meer wat nu een overheidstaak is en wat niet. Zie de vele (3000+) "op afstand gezette" clubjes in Nederland, uitbesteden van de controletaken in de zorg aan verzekeraars waarmee die premie verkapte belasting aan commercieele olichargenclubs geworden is, en nog vele, vele andere punten waarvan het niet duidelijk is waar de overheid nu eigenlijk dacht waar ze mee bezig was.
Belangrijker voor deze vraag is, waarvoor dan?
Om burgers af te luisteren, dus opsporing? Nou, dat weet ik nog zo net niet. Voor justitie is het wellicht te billijken, zoals altijd in gevallen die niet anders op te lossen zijn. Voor de belastingdienst? Kom, ga fietsen. Voor de tandenborsteltelbrigade? Parkeerbeheer? Willekeurig welke andere roedel BOAs? Wat denk je zelf, hee.
Om "de economie te beschermen"? Ik denk dat je daar beter af bent met af te stappen van notoir zeroday-gevoelige software.
Voor economische spionage dan? Oh, is dat waar de overheid zich mee bezig houdt tegenwoordig?
Voor defensie? Nou, mischien kunnen we beter beginnen weer echte tanks aan te schaffen, en vliegtuigen die niet zo belachelijk veel kosten maar wél vliegen. Dus een prioriteit zou ik het niet noemen.
Voor offensief gebruik dan? Nouja, dan zit je al snel op het werkterrein van AIVD en MIVD, en ik dacht dat het idee was dat die toch wel doen waar ze zin in hebben. Compleet met een wc-eend-commissie erbovenop die alles wel prima vindt voorzover ze inzicht heeft in wat ze uitvreten, wat ook maar beperkt is. In ieder geval is de sleepwet er gewoon doorheen gefrommeld dus is het duidelijk dat de burgerij niets te vinden heeft. Als je zerodays in "hete" oorlog offensief wil inzetten, voorzover we daar capabiliteit hebben: Net als in een gevecht, je pakt alles wat je pakken kan. Mischien dat we ons nog laten afremmen door de Geneefse conventies. Op afstand ga je nooit zeker weten of je ultracentrifuges of beademinsgapparatuur aan het saboteren bent.
Dus, moet de overheid dingen met zerodays? Kan de overheid mischien eerst vertellen wat ze ermee wil?
Om te beginnen, "overheid" is vaag want zelfs de overheid weet niet meer wat nu een overheidstaak is en wat niet. Zie de vele (3000+) "op afstand gezette" clubjes in Nederland, uitbesteden van de controletaken in de zorg aan verzekeraars waarmee die premie verkapte belasting aan commercieele olichargenclubs geworden is, en nog vele, vele andere punten waarvan het niet duidelijk is waar de overheid nu eigenlijk dacht waar ze mee bezig was.
Belangrijker voor deze vraag is, waarvoor dan?
Om burgers af te luisteren, dus opsporing? Nou, dat weet ik nog zo net niet. Voor justitie is het wellicht te billijken, zoals altijd in gevallen die niet anders op te lossen zijn. Voor de belastingdienst? Kom, ga fietsen. Voor de tandenborsteltelbrigade? Parkeerbeheer? Willekeurig welke andere roedel BOAs? Wat denk je zelf, hee.
Om "de economie te beschermen"? Ik denk dat je daar beter af bent met af te stappen van notoir zeroday-gevoelige software.
Voor economische spionage dan? Oh, is dat waar de overheid zich mee bezig houdt tegenwoordig?
Voor defensie? Nou, mischien kunnen we beter beginnen weer echte tanks aan te schaffen, en vliegtuigen die niet zo belachelijk veel kosten maar wél vliegen. Dus een prioriteit zou ik het niet noemen.
Voor offensief gebruik dan? Nouja, dan zit je al snel op het werkterrein van AIVD en MIVD, en ik dacht dat het idee was dat die toch wel doen waar ze zin in hebben. Compleet met een wc-eend-commissie erbovenop die alles wel prima vindt voorzover ze inzicht heeft in wat ze uitvreten, wat ook maar beperkt is. In ieder geval is de sleepwet er gewoon doorheen gefrommeld dus is het duidelijk dat de burgerij niets te vinden heeft. Als je zerodays in "hete" oorlog offensief wil inzetten, voorzover we daar capabiliteit hebben: Net als in een gevecht, je pakt alles wat je pakken kan. Mischien dat we ons nog laten afremmen door de Geneefse conventies. Op afstand ga je nooit zeker weten of je ultracentrifuges of beademinsgapparatuur aan het saboteren bent.
Dus, moet de overheid dingen met zerodays? Kan de overheid mischien eerst vertellen wat ze ermee wil?
Er staat ‘kunnen gebruiken’, dus met de wettelijke basis zou het moeten kunnen. AVG er cetera verteld wat ze er mee mogen. Ja, ook binnen de overheid zijn boefjes.
Zerodays gebruiken bestaat niet, zerodays misbruiken moet het zijn. Dat mogen wat mij betreft enkel geheime diensten die zich met de grotere staatsbelangen bezighouden.
Opsporingsdiensten mogen niet op eigen houtje inbreken zonder bevel van de rechter. Dus die mogen dat ook niet op computers.
Bij zware criminaliteit kan ik me wel wat voorstellen maar dan altijd met een onafhankelijke (!!!) rechter op de achtergrond.
Als daar niet consequent mee omgegaan wordt kun je Amerikaanse toestanden krijgen. Of theoriepraat over etnisch profileren en zo.
Opsporing is op keurige wijze keurig bewijs verzamelen.
Opsporingsdiensten mogen niet op eigen houtje inbreken zonder bevel van de rechter. Dus die mogen dat ook niet op computers.
Bij zware criminaliteit kan ik me wel wat voorstellen maar dan altijd met een onafhankelijke (!!!) rechter op de achtergrond.
Als daar niet consequent mee omgegaan wordt kun je Amerikaanse toestanden krijgen. Of theoriepraat over etnisch profileren en zo.
Opsporing is op keurige wijze keurig bewijs verzamelen.
Met mijn gezond verstand natuurlijk 'Nee' ingevuld, maar ga er maar vanuit dat ongelimiteerd bespieden zo oud is als het internet zelf. Onze rechtsbescherming, voor zover aanwezig, kan niet om het feit heen dat internetverkeer voornamelijk de US aandoet. Dan sta je altijd met 1-0 achter. Ook al bevindt je je in een land die wél je privacy respecteert volgens hun nationale cyberwetten, dan haalt de plaatselijke (cyber-)handhaving gewoon je gegevens op van de FBI/NSA/whatever... USA wordt door onze regeringen nog altijd als voorbeeld en bondgenoot gezien. Blijft dus een kat-en-muisspel.
Ik heb geprobeerd om "zeroday" op te zoeken in een online, maar daar stond het niet in. Toen heb ik ook nog in een online gekeken, maar daar vond ik het ook niet.
Online wat en online wat, vraag je je af? Tegenvraag: zeroday wat?
Mijn antwoord op de poll: wat is een zeroday?
Online wat en online wat, vraag je je af? Tegenvraag: zeroday wat?
Mijn antwoord op de poll: wat is een zeroday?
Door Anoniem: Ik heb geprobeerd om "zeroday" op te zoeken in een online, maar daar stond het niet in. Toen heb ik ook nog in een online gekeken, maar daar vond ik het ook niet.
Online wat en online wat, vraag je je af? Tegenvraag: zeroday wat?
Mijn antwoord op de poll: wat is een zeroday?
Online wat en online wat, vraag je je af? Tegenvraag: zeroday wat?
Mijn antwoord op de poll: wat is een zeroday?
Een zeroday is een kwetsbaarheid in software of een systeem die (hopelijk) onbedoeld aanwezig is, waarvan het bestaan niet bij de maker bekend is, maar wel bij een opponent. De opponent heeft hier kennis van en kan de kwetsbaarheid uitbuiten, dit wordt dan een exploit genoemd.
Wanneer bij ontwikkeling van software niet vanaf het begin rekening wordt gehouden met security, i.e. security-by-design, dan is de kans zeer groot dat er vele kwetsbaarheden aanwezig zijn, en deze ook later gevonden zullen worden. Het patchen van software die ontworpen is zonder het security-by-design principe is dan ook hopeloos - dweilen met de kraan open.
Door Anoniem: Ik heb geprobeerd om "zeroday" op te zoeken in een online, maar daar stond het niet in. Toen heb ik ook nog in een online gekeken, maar daar vond ik het ook niet.
Online wat en online wat, vraag je je af? Tegenvraag: zeroday wat?
Mijn antwoord op de poll: wat is een zeroday?
Ik denk dat je met je neus gekeken hebt, want ik heb geen problemen uitleg te vinden. NIet dat ik die nodig heb.Online wat en online wat, vraag je je af? Tegenvraag: zeroday wat?
Mijn antwoord op de poll: wat is een zeroday?
"Zero-day" of "0-day" is een term die oorspronkelijk uit de warez scene is komen overwaaien, en gaat daar over software (of "cracks" voor zulks) die op dezelfde dag, of zelfs eerder, dan de officiële release al via de scene te krijgen is. Onder |-|4><><()RZ (s'kiddies) betekent het een "exploit" die nog niet wijd bekend zijn en/of waar nog geen patch voor beschikbaar is. Of iets in die trant, zoals zo vaak verschillen de definities onderling een beetje, of een boel. En zodra ambtenaren de spanning komen bederven helemaal, natuurlijk.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
