Security Professionals
- ipfw add deny all from eindgebruikers to any
L0pht Heavy Industries over Cybersecurity in 1998
18-04-2021, 04:38 door Anoniem, 5 reacties
Interessant historisch fragment van L0pht Heavy Industries voor het Amerikaans Congress over het belang van cybersecurity.
https://www.youtube.com/watch?v=VVJldn_MmMY
Vergelijk deze presentatie met de huidige inzichten in cybersecurity.
https://www.youtube.com/watch?v=VVJldn_MmMY
Vergelijk deze presentatie met de huidige inzichten in cybersecurity.
Reacties (5)
Hier heb je er muziek bij
https://www.youtube.com/watch?v=7YoDt-MxhHg
https://www.youtube.com/watch?v=kuN7AbgZzao
Nog meer nuttige informatie?
https://www.youtube.com/watch?v=7YoDt-MxhHg
https://www.youtube.com/watch?v=kuN7AbgZzao
Nog meer nuttige informatie?
18-04-2021, 12:23 door
Erik van Straten
Dank voor de link! Ik heb bijna de helft gekeken.
In elk geval is er niets veranderd aan het "liability problem" (ca. vanaf minuut 20): softwaremakers hielden toen kwetsbaarheden zoveel mogelijk onder de pet en wezen elke aansprakelijkheid voor daardoor bij klanten ontstane schade van de hand, terwijl bijv. autofabrikanten wel pro-actief waarschuwden voor risico's. Dat dit probleem nog steeds bestaat is natuurlijk ook de schuld van de kopers, want zij accepteren dit kennelijk nog steeds.
Als we nou toch de geschiedenis induiken: in https://www.metzdowd.com/pipermail/cryptography/2021-April/036925.html herinnert Peter Gutmann [*] ons aan de 30e verjaardag van S.266, de "Comprehensive Counter-Terrorism Act of 1991", gebaseerd op de angst voor "going dark":
[*] Niet alleen bekend van de "Gutmann method" om MFM (Modified Frequency Method)/RLL encoded harddisks tot enkele tientallen megabytes, die je wilt wissen, 35x met wisselende patronen te overschrijven, om de kans op het succesvol terughalen van gewiste data via een theoretische aanval met bijv. een (retetrage) MFM (Magnetic Force Microscope) te verkleinen. In elk geval is dat risico wel verdwenen in de afgelopen 25 jaar. Zie ook https://en.wikipedia.org/wiki/Gutmann_method en https://www.cs.auckland.ac.nz/~pgut001/.
In elk geval is er niets veranderd aan het "liability problem" (ca. vanaf minuut 20): softwaremakers hielden toen kwetsbaarheden zoveel mogelijk onder de pet en wezen elke aansprakelijkheid voor daardoor bij klanten ontstane schade van de hand, terwijl bijv. autofabrikanten wel pro-actief waarschuwden voor risico's. Dat dit probleem nog steeds bestaat is natuurlijk ook de schuld van de kopers, want zij accepteren dit kennelijk nog steeds.
Als we nou toch de geschiedenis induiken: in https://www.metzdowd.com/pipermail/cryptography/2021-April/036925.html herinnert Peter Gutmann [*] ons aan de 30e verjaardag van S.266, de "Comprehensive Counter-Terrorism Act of 1991", gebaseerd op de angst voor "going dark":
It is the sense of Congress that providers of electronic communications services and manufacturers of electronic communications service equipment shall ensure that communications systems permit the government to obtain the plain text contents of voice, data, and other communications when appropriately authorized by law.
Naar verluidt was dat voor Phil Zimmermann de aanleiding om PGP v1.0 uit te brengen. Zelfs na 30 jaar snappen beleidsmakers helaas nog steeds niet dat je encryptie niet kunt verzwakken of backdooren zonder onschuldigen flink in de vingers te snijden, totalitaire regimes te steunen en degenen die je wilt opsporen, op een enkele sufferd na, hier niet mee te pakken krijgt.[*] Niet alleen bekend van de "Gutmann method" om MFM (Modified Frequency Method)/RLL encoded harddisks tot enkele tientallen megabytes, die je wilt wissen, 35x met wisselende patronen te overschrijven, om de kans op het succesvol terughalen van gewiste data via een theoretische aanval met bijv. een (retetrage) MFM (Magnetic Force Microscope) te verkleinen. In elk geval is dat risico wel verdwenen in de afgelopen 25 jaar. Zie ook https://en.wikipedia.org/wiki/Gutmann_method en https://www.cs.auckland.ac.nz/~pgut001/.
Door Erik van Straten: Dank voor de link! Ik heb bijna de helft gekeken.
Graag gedaan! Wat me in de video aantrekt is dat er wel beleidsmakers bestaan die openstaan om grote risico's te inventariseren, classificeren, zodat er een visie bepaald kan worden.In elk geval is er niets veranderd aan het "liability problem" (ca. vanaf minuut 20): softwaremakers hielden toen kwetsbaarheden zoveel mogelijk onder de pet en wezen elke aansprakelijkheid voor daardoor bij klanten ontstane schade van de hand, terwijl bijv. autofabrikanten wel pro-actief waarschuwden voor risico's. Dat dit probleem nog steeds bestaat is natuurlijk ook de schuld van de kopers, want zij accepteren dit kennelijk nog steeds.
Nothing has changed indeed.Als we nou toch de geschiedenis induiken: in https://www.metzdowd.com/pipermail/cryptography/2021-April/036925.html herinnert Peter Gutmann [*] ons aan de 30e verjaardag van S.266, de "Comprehensive Counter-Terrorism Act of 1991", gebaseerd op de angst voor "going dark":
Dat is een begrip die sommigen inderdaad niet snappen. Zeker voor een land als Nederland in het van groot belang dat we alle security naar een hoog niveau moeten brengen, te zeker omdat Nederland een kennisland is met een goede economische positie.It is the sense of Congress that providers of electronic communications services and manufacturers of electronic communications service equipment shall ensure that communications systems permit the government to obtain the plain text contents of voice, data, and other communications when appropriately authorized by law.
Naar verluidt was dat voor Phil Zimmermann de aanleiding om PGP v1.0 uit te brengen. Zelfs na 30 jaar snappen beleidsmakers helaas nog steeds niet dat je encryptie niet kunt verzwakken of backdooren zonder onschuldigen flink in de vingers te snijden, totalitaire regimes te steunen en degenen die je wilt opsporen, op een enkele sufferd na, hier niet mee te pakken krijgt.L0pht Heavy Industries (pronounced "loft") was a hacker collective active between 1992 and 2000 and located in the Boston, Massachusetts area. The L0pht was one of the first viable hackerspaces in the US, and a pioneer of responsible disclosure. The group famously testified in front of Congress in 1998 on the topic of 'Weak Computer Security in Government'.
https://en.wikipedia.org/wiki/L0pht
Op 19 mei 1998 hebben alle zeven leden van L0pht (Brian Oblivion, Kingpin, Mudge, Space Rogue, Stefan Von Neumann, John Tan, Weld Pond) voor het Congres van de Verenigde Staten de beroemde verklaring afgelegd dat zij het gehele Internet in 30 minuten konden platleggen.
Er is niet veel veranderd -- en de noodzaak van responsible disclosure is nog steeds actueel, zo bleek gisteren weer:
Volkskrant: Huawei had ongeautoriseerde toegang tot mobiele netwerk KPN
zaterdag 17 april 2021, 09:14 door Redactie
https://www.security.nl/posting/699533/
Door Anoniem:
https://en.wikipedia.org/wiki/L0pht
Op 19 mei 1998 hebben alle zeven leden van L0pht (Brian Oblivion, Kingpin, Mudge, Space Rogue, Stefan Von Neumann, John Tan, Weld Pond) voor het Congres van de Verenigde Staten de beroemde verklaring afgelegd dat zij het gehele Internet in 30 minuten konden platleggen.
...
L0pht Heavy Industries (pronounced "loft") was a hacker collective active between 1992 and 2000 and located in the Boston, Massachusetts area. The L0pht was one of the first viable hackerspaces in the US, and a pioneer of responsible disclosure. The group famously testified in front of Congress in 1998 on the topic of 'Weak Computer Security in Government'.
https://en.wikipedia.org/wiki/L0pht
Op 19 mei 1998 hebben alle zeven leden van L0pht (Brian Oblivion, Kingpin, Mudge, Space Rogue, Stefan Von Neumann, John Tan, Weld Pond) voor het Congres van de Verenigde Staten de beroemde verklaring afgelegd dat zij het gehele Internet in 30 minuten konden platleggen.
...
Rob Joyce heeft deze bezorgdheid ook uitgesproken; "Er zijn miljoenen besmette routers die in stand-by mode gekicked kunnen worden om een dergelijke aanval mogelijke te maken. Dat is een groot probleem!". (parafraserend)
De situatie is een nieuwe koude oorlog, maar nu verplaatst naar het internet.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
