Security Professionals
- ipfw add deny all from eindgebruikers to any
"5G: The outsourced elephant in the room"
17-04-2021, 18:16 door Anoniem, 7 reacties
Reacties (7)
Of het een probleem is/wordt is afhankelijk van de capaciteit van de inlichtingendienst van het land dat de bestelling plaatst.
Een land als de VS heeft voldoende capaciteit om routers/switches/zenders/etc volledig te ontmantelen en te reverse-engineren. En vervolgens een risico-analyse uit te voeren, en de mogelijkheid om mitigerende maatregelen te nemen.
Voor een klein land als Nederland ligt dit anders.
Een land als de VS heeft voldoende capaciteit om routers/switches/zenders/etc volledig te ontmantelen en te reverse-engineren. En vervolgens een risico-analyse uit te voeren, en de mogelijkheid om mitigerende maatregelen te nemen.
Voor een klein land als Nederland ligt dit anders.
Door Anoniem: Of het een probleem is/wordt is afhankelijk van de capaciteit van de inlichtingendienst van het land dat de bestelling plaatst.
Een land als de VS heeft voldoende capaciteit om routers/switches/zenders/etc volledig te ontmantelen en te reverse-engineren. En vervolgens een risico-analyse uit te voeren, en de mogelijkheid om mitigerende maatregelen te nemen.
Voor een klein land als Nederland ligt dit anders.
Bullshit, als een vendor (of gehackte vendor) updates pushed met malware dan heeft hij je te pakken *kuch Solarwinkuchkuch*. Of het nou amerikaanse, chinese, taiwanese, of mongolische software is. Een land als de VS heeft voldoende capaciteit om routers/switches/zenders/etc volledig te ontmantelen en te reverse-engineren. En vervolgens een risico-analyse uit te voeren, en de mogelijkheid om mitigerende maatregelen te nemen.
Voor een klein land als Nederland ligt dit anders.
En dan bestaat het "ja maar de chinese overheid" argument. Dat is leuk, maar het is niet alsof de amerikanen amerikaanse bedrijven nooit backdooren of onder druk zetten voor dit soort spelletjes.
Jij bent niet de eigenaar over jou software. Opensource maakt het alleen mogelijk om een continue wakend oog te hebben op de software. Mits je natuurlijk dag en nacht per update cycle miljoenen regels code door ploegt.
Beveilig "simpelweg" wat je kan beveiligen met jou budget en expertise, en doe regelmatig audits op de omgeving. Je 100% beveiligen tegen intrusions en breaches gaat toch nooit lukken, zeker niet tegen exploit developer staten zoals the united "nsa" of america *eeaagle!*. https://www.youtube.com/watch?v=R9movnpS4s4
Veel succes!
- RAMLETHAL
Door Anoniem:
En dan bestaat het "ja maar de chinese overheid" argument. Dat is leuk, maar het is niet alsof de amerikanen amerikaanse bedrijven nooit backdooren of onder druk zetten voor dit soort spelletjes.
Jij bent niet de eigenaar over jou software. Opensource maakt het alleen mogelijk om een continue wakend oog te hebben op de software. Mits je natuurlijk dag en nacht per update cycle miljoenen regels code door ploegt.
Beveilig "simpelweg" wat je kan beveiligen met jou budget en expertise, en doe regelmatig audits op de omgeving. Je 100% beveiligen tegen intrusions en breaches gaat toch nooit lukken, zeker niet tegen exploit developer staten zoals the united "nsa" of america *eeaagle!*. https://www.youtube.com/watch?v=R9movnpS4s4
Veel succes!
- RAMLETHAL
Door Anoniem: Of het een probleem is/wordt is afhankelijk van de capaciteit van de inlichtingendienst van het land dat de bestelling plaatst.
Een land als de VS heeft voldoende capaciteit om routers/switches/zenders/etc volledig te ontmantelen en te reverse-engineren. En vervolgens een risico-analyse uit te voeren, en de mogelijkheid om mitigerende maatregelen te nemen.
Voor een klein land als Nederland ligt dit anders.
Bullshit, als een vendor (of gehackte vendor) updates pushed met malware dan heeft hij je te pakken *kuch Solarwinkuchkuch*. Of het nou amerikaanse, chinese, taiwanese, of mongolische software is. Een land als de VS heeft voldoende capaciteit om routers/switches/zenders/etc volledig te ontmantelen en te reverse-engineren. En vervolgens een risico-analyse uit te voeren, en de mogelijkheid om mitigerende maatregelen te nemen.
Voor een klein land als Nederland ligt dit anders.
En dan bestaat het "ja maar de chinese overheid" argument. Dat is leuk, maar het is niet alsof de amerikanen amerikaanse bedrijven nooit backdooren of onder druk zetten voor dit soort spelletjes.
Jij bent niet de eigenaar over jou software. Opensource maakt het alleen mogelijk om een continue wakend oog te hebben op de software. Mits je natuurlijk dag en nacht per update cycle miljoenen regels code door ploegt.
Beveilig "simpelweg" wat je kan beveiligen met jou budget en expertise, en doe regelmatig audits op de omgeving. Je 100% beveiligen tegen intrusions en breaches gaat toch nooit lukken, zeker niet tegen exploit developer staten zoals the united "nsa" of america *eeaagle!*. https://www.youtube.com/watch?v=R9movnpS4s4
Veel succes!
- RAMLETHAL
Vreemd dat je mijn post bullshit noemt.
Het is redelijkerwijs te veronderstellen dat de Amerikanen bijvoorbeeld Chinese 5G gewoon uitrollen in onbelangrijke staten, terwijl 5G van eigen makelij wordt gebruikt in Washington (DC). Elk gebied zijn eigen risico en mitigerende maatregel.
Er werd gewoon gebeld, dus zij deed open heel bedaard,
nog geen seconde later was haar gang gevuld met paard.
Een plastische beschrijving van wat er destijds zo ongeveer tussen KPN en Huawei zal zijn gebeurd.nog geen seconde later was haar gang gevuld met paard.
Dit zogeheten 'paard in de gang' was dus allang aangekondigd:
https://www.youtube.com/watch?v=K001IqAx4zI
Om het in context te plaatsen:
Hooguit drie AIVD’ers houden zich bij Digitale Spionage met China bezig.
https://www.volkskrant.nl/nieuws-achtergrond/huawei-kon-alle-gesprekken-van-mobiele-kpn-klanten-afluisteren-inclusief-die-van-de-premier~bd1aece1/Chinese software sinkholen mag van mij
Het is toch allemaal crapware(tm)
Ron
Het is toch allemaal crapware(tm)
Ron
@ RAMLETHAL,
Wat je zegt dat klopt. Dat is ook de reden waarom ze bij OpenBSD alle software auditen en alle bugs reporten. Maar ze proberen ook alle software klein te houden waardoor je soms een nieuwe versie krijgt die kleiner wordt ipv groter! De Intel rommel waar iedereen last van kreeg vanwege code bloat, dat hebben ze nooit gekregen.
Waarmee ik wil zeggen dat Open Source wel degelijk goed is en zelf jouw programma compileren is dat ook. Maar als je kijkt naar de paper "Trusting Trust" van ik dacht 1984 alweer dan zie je dat alleen code die je zelf schrijft te vertrouwen is.
Het motto zou moeten zijn: Minimaal, minimaal, en nog eens minimaal.
Ik denk dat dat ondertussen wel definitief voorbij is, maar nog steeds essentieel voor security, al is het alleen maar om jezelf in te dekken.
Wat je zegt dat klopt. Dat is ook de reden waarom ze bij OpenBSD alle software auditen en alle bugs reporten. Maar ze proberen ook alle software klein te houden waardoor je soms een nieuwe versie krijgt die kleiner wordt ipv groter! De Intel rommel waar iedereen last van kreeg vanwege code bloat, dat hebben ze nooit gekregen.
Waarmee ik wil zeggen dat Open Source wel degelijk goed is en zelf jouw programma compileren is dat ook. Maar als je kijkt naar de paper "Trusting Trust" van ik dacht 1984 alweer dan zie je dat alleen code die je zelf schrijft te vertrouwen is.
Het motto zou moeten zijn: Minimaal, minimaal, en nog eens minimaal.
Ik denk dat dat ondertussen wel definitief voorbij is, maar nog steeds essentieel voor security, al is het alleen maar om jezelf in te dekken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
