Security Professionals - ipfw add deny all from eindgebruikers to any

L0pht Heavy Industries over Cybersecurity in 1998

18-04-2021, 04:38 door Anoniem, 5 reacties
Interessant historisch fragment van L0pht Heavy Industries voor het Amerikaans Congress over het belang van cybersecurity.
https://www.youtube.com/watch?v=VVJldn_MmMY

Vergelijk deze presentatie met de huidige inzichten in cybersecurity.
Reacties (5)
18-04-2021, 11:44 door Anoniem
Hier heb je er muziek bij
https://www.youtube.com/watch?v=7YoDt-MxhHg
https://www.youtube.com/watch?v=kuN7AbgZzao
Nog meer nuttige informatie?
18-04-2021, 12:23 door Erik van Straten
Dank voor de link! Ik heb bijna de helft gekeken.

In elk geval is er niets veranderd aan het "liability problem" (ca. vanaf minuut 20): softwaremakers hielden toen kwetsbaarheden zoveel mogelijk onder de pet en wezen elke aansprakelijkheid voor daardoor bij klanten ontstane schade van de hand, terwijl bijv. autofabrikanten wel pro-actief waarschuwden voor risico's. Dat dit probleem nog steeds bestaat is natuurlijk ook de schuld van de kopers, want zij accepteren dit kennelijk nog steeds.

Als we nou toch de geschiedenis induiken: in https://www.metzdowd.com/pipermail/cryptography/2021-April/036925.html herinnert Peter Gutmann [*] ons aan de 30e verjaardag van S.266, de "Comprehensive Counter-Terrorism Act of 1991", gebaseerd op de angst voor "going dark":
It is the sense of Congress that providers of electronic communications services and manufacturers of electronic communications service equipment shall ensure that communications systems permit the government to obtain the plain text contents of voice, data, and other communications when appropriately authorized by law.
Naar verluidt was dat voor Phil Zimmermann de aanleiding om PGP v1.0 uit te brengen. Zelfs na 30 jaar snappen beleidsmakers helaas nog steeds niet dat je encryptie niet kunt verzwakken of backdooren zonder onschuldigen flink in de vingers te snijden, totalitaire regimes te steunen en degenen die je wilt opsporen, op een enkele sufferd na, hier niet mee te pakken krijgt.

[*] Niet alleen bekend van de "Gutmann method" om MFM (Modified Frequency Method)/RLL encoded harddisks tot enkele tientallen megabytes, die je wilt wissen, 35x met wisselende patronen te overschrijven, om de kans op het succesvol terughalen van gewiste data via een theoretische aanval met bijv. een (retetrage) MFM (Magnetic Force Microscope) te verkleinen. In elk geval is dat risico wel verdwenen in de afgelopen 25 jaar. Zie ook https://en.wikipedia.org/wiki/Gutmann_method en https://www.cs.auckland.ac.nz/~pgut001/.
18-04-2021, 15:38 door Anoniem
Door Erik van Straten: Dank voor de link! Ik heb bijna de helft gekeken.
Graag gedaan! Wat me in de video aantrekt is dat er wel beleidsmakers bestaan die openstaan om grote risico's te inventariseren, classificeren, zodat er een visie bepaald kan worden.

In elk geval is er niets veranderd aan het "liability problem" (ca. vanaf minuut 20): softwaremakers hielden toen kwetsbaarheden zoveel mogelijk onder de pet en wezen elke aansprakelijkheid voor daardoor bij klanten ontstane schade van de hand, terwijl bijv. autofabrikanten wel pro-actief waarschuwden voor risico's. Dat dit probleem nog steeds bestaat is natuurlijk ook de schuld van de kopers, want zij accepteren dit kennelijk nog steeds.
Nothing has changed indeed.

Als we nou toch de geschiedenis induiken: in https://www.metzdowd.com/pipermail/cryptography/2021-April/036925.html herinnert Peter Gutmann [*] ons aan de 30e verjaardag van S.266, de "Comprehensive Counter-Terrorism Act of 1991", gebaseerd op de angst voor "going dark":
It is the sense of Congress that providers of electronic communications services and manufacturers of electronic communications service equipment shall ensure that communications systems permit the government to obtain the plain text contents of voice, data, and other communications when appropriately authorized by law.
Naar verluidt was dat voor Phil Zimmermann de aanleiding om PGP v1.0 uit te brengen. Zelfs na 30 jaar snappen beleidsmakers helaas nog steeds niet dat je encryptie niet kunt verzwakken of backdooren zonder onschuldigen flink in de vingers te snijden, totalitaire regimes te steunen en degenen die je wilt opsporen, op een enkele sufferd na, hier niet mee te pakken krijgt.
Dat is een begrip die sommigen inderdaad niet snappen. Zeker voor een land als Nederland in het van groot belang dat we alle security naar een hoog niveau moeten brengen, te zeker omdat Nederland een kennisland is met een goede economische positie.
18-04-2021, 18:21 door Anoniem
L0pht Heavy Industries (pronounced "loft") was a hacker collective active between 1992 and 2000 and located in the Boston, Massachusetts area. The L0pht was one of the first viable hackerspaces in the US, and a pioneer of responsible disclosure. The group famously testified in front of Congress in 1998 on the topic of 'Weak Computer Security in Government'.

https://en.wikipedia.org/wiki/L0pht

Op 19 mei 1998 hebben alle zeven leden van L0pht (Brian Oblivion, Kingpin, Mudge, Space Rogue, Stefan Von Neumann, John Tan, Weld Pond) voor het Congres van de Verenigde Staten de beroemde verklaring afgelegd dat zij het gehele Internet in 30 minuten konden platleggen.


Er is niet veel veranderd -- en de noodzaak van responsible disclosure is nog steeds actueel, zo bleek gisteren weer:

Volkskrant: Huawei had ongeautoriseerde toegang tot mobiele netwerk KPN
zaterdag 17 april 2021, 09:14 door Redactie
https://www.security.nl/posting/699533/
19-04-2021, 01:56 door Anoniem
Door Anoniem:
L0pht Heavy Industries (pronounced "loft") was a hacker collective active between 1992 and 2000 and located in the Boston, Massachusetts area. The L0pht was one of the first viable hackerspaces in the US, and a pioneer of responsible disclosure. The group famously testified in front of Congress in 1998 on the topic of 'Weak Computer Security in Government'.

https://en.wikipedia.org/wiki/L0pht

Op 19 mei 1998 hebben alle zeven leden van L0pht (Brian Oblivion, Kingpin, Mudge, Space Rogue, Stefan Von Neumann, John Tan, Weld Pond) voor het Congres van de Verenigde Staten de beroemde verklaring afgelegd dat zij het gehele Internet in 30 minuten konden platleggen.

...

Rob Joyce heeft deze bezorgdheid ook uitgesproken; "Er zijn miljoenen besmette routers die in stand-by mode gekicked kunnen worden om een dergelijke aanval mogelijke te maken. Dat is een groot probleem!". (parafraserend)

De situatie is een nieuwe koude oorlog, maar nu verplaatst naar het internet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.