Hier heb je er muziek bij
https://www.youtube.com/watch?v=7YoDt-MxhHg
https://www.youtube.com/watch?v=kuN7AbgZzao
Nog meer nuttige informatie?

Dank voor de link! Ik heb bijna de helft gekeken.

In elk geval is er niets veranderd aan het "liability problem" (ca. vanaf minuut 20): softwaremakers hielden toen kwetsbaarheden zoveel mogelijk onder de pet en wezen elke aansprakelijkheid voor daardoor bij klanten ontstane schade van de hand, terwijl bijv. autofabrikanten wel pro-actief waarschuwden voor risico's. Dat dit probleem nog steeds bestaat is natuurlijk ook de schuld van de kopers, want zij accepteren dit kennelijk nog steeds.

Als we nou toch de geschiedenis induiken: in https://www.metzdowd.com/pipermail/cryptography/2021-April/036925.html herinnert Peter Gutmann [*] ons aan de 30e verjaardag van S.266, de "Comprehensive Counter-Terrorism Act of 1991", gebaseerd op de angst voor "going dark":
Naar verluidt was dat voor Phil Zimmermann de aanleiding om PGP v1.0 uit te brengen. Zelfs na 30 jaar snappen beleidsmakers helaas nog steeds niet dat je encryptie niet kunt verzwakken of backdooren zonder onschuldigen flink in de vingers te snijden, totalitaire regimes te steunen en degenen die je wilt opsporen, op een enkele sufferd na, hier niet mee te pakken krijgt.

[*] Niet alleen bekend van de "Gutmann method" om MFM (Modified Frequency Method)/RLL encoded harddisks tot enkele tientallen megabytes, die je wilt wissen, 35x met wisselende patronen te overschrijven, om de kans op het succesvol terughalen van gewiste data via een theoretische aanval met bijv. een (retetrage) MFM (Magnetic Force Microscope) te verkleinen. In elk geval is dat risico wel verdwenen in de afgelopen 25 jaar. Zie ook https://en.wikipedia.org/wiki/Gutmann_method en https://www.cs.auckland.ac.nz/~pgut001/.

Graag gedaan! Wat me in de video aantrekt is dat er wel beleidsmakers bestaan die openstaan om grote risico's te inventariseren, classificeren, zodat er een visie bepaald kan worden.

Nothing has changed indeed.

Dat is een begrip die sommigen inderdaad niet snappen. Zeker voor een land als Nederland in het van groot belang dat we alle security naar een hoog niveau moeten brengen, te zeker omdat Nederland een kennisland is met een goede economische positie.

https://en.wikipedia.org/wiki/L0pht

Op 19 mei 1998 hebben alle zeven leden van L0pht (Brian Oblivion, Kingpin, Mudge, Space Rogue, Stefan Von Neumann, John Tan, Weld Pond) voor het Congres van de Verenigde Staten de beroemde verklaring afgelegd dat zij het gehele Internet in 30 minuten konden platleggen.


Er is niet veel veranderd -- en de noodzaak van responsible disclosure is nog steeds actueel, zo bleek gisteren weer:

Volkskrant: Huawei had ongeautoriseerde toegang tot mobiele netwerk KPN
zaterdag 17 april 2021, 09:14 door Redactie
https://www.security.nl/posting/699533/

Rob Joyce heeft deze bezorgdheid ook uitgesproken; "Er zijn miljoenen besmette routers die in stand-by mode gekicked kunnen worden om een dergelijke aanval mogelijke te maken. Dat is een groot probleem!". (parafraserend)

De situatie is een nieuwe koude oorlog, maar nu verplaatst naar het internet.