Computerbeveiliging - Hoe je bad guys buiten de deur houdt

VS: Leveranciers software en services aansprakelijk voor (slechte) cyberbeveiliging

03-03-2023, 13:17 door PjgV, 15 reacties
Laatst bijgewerkt: 03-03-2023, 14:02
Nou als dat inderdaad werkelijkheid gaat worden, dan zal dat een drastische invloed hebben:
https://arstechnica.com/information-technology/2023/03/biden-administration-wants-to-hold-companies-liable-for-bad-cybersecurity/

https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/02/fact-sheet-biden-harris-administration-announces-national-cybersecurity-strategy/
Reacties (15)
03-03-2023, 14:31 door Erik van Straten
De woorden "phish" en "spoof" komt niet voor in de PDF, terwijl phishing het grootste probleem is (en daarna wellicht niet patchen). Dus gaat deze zoveelste "USA Cybersecurity Strategy" vooral veel onrust veroorzaken onder open source ontwikkelaars, maar nauwelijks tot niets oplossen.
03-03-2023, 15:00 door Anoniem
Door Erik van Straten: De woorden "phish" en "spoof" komt niet voor in de PDF, terwijl phishing het grootste probleem is (en daarna wellicht niet patchen). Dus gaat deze zoveelste "USA Cybersecurity Strategy" vooral veel onrust veroorzaken onder open source ontwikkelaars, maar nauwelijks tot niets oplossen.
want ?
03-03-2023, 15:21 door Anoniem
@ Erik van Straten,

Zouden ze eigenlijk wel ambieren om het definitief op te lossen of is het niet profijtelijker om het te laten zo het is?

Als men geen elektronische leeromgeving aangeleverd krijgt
om bijvoorbeeld phishing en spoofing beter te kunnen onderkennen,
gaat het inderdaad, zoals je zegt, weinig verbetering opleveren.

En wat aangaande ransomware, data breaches en andere cyber infrastructuur ontregelingen?

Hoe ver willen de aansturenden deze dystopie nog laten 'dooretteren'?

Op de een of andere manier ben ik het basis-vertrouwen, wat dit aan gaat, in officials verloren.

#webproxy
03-03-2023, 16:09 door Anoniem
dat geldt alleen voor niet-amerikaanse bedrijven.. toko's als Microsoft, Oracle enz zijn natuurlijk gevrijwaard.
of krijgen van die tikjes, foei, 500 miljoen servers lek, dat is dan 10 dollar... en tiktok 20 gebruikers lek, 10 miljard dollar.
04-03-2023, 01:54 door Erik van Straten
Door Anoniem (webproxy): Zouden ze eigenlijk wel ambieren om het definitief op te lossen of is het niet profijtelijker om het te laten zo het is?
Tenzij ik een geheel verkeerd wereldbeeld heb: het is niet in het belang van de VS dat hun ziekenhuizen en scholen slachtoffer worden van ransomware, en helemaal niet als bijv. defensiegeheimen of IP uit Silicon Valley in handen van hun grootste vijanden komt.

Het is, denk ik, meer dat men niet weet hoe je phishing en/of spoofing effectief zou kunnen bestrijden (naast hoe je ervoor kunt zorgen dat malloten hun internet facing systems fatsoenlijk beveiligen: https://www.security.nl/posting/787946/FBI%3A+aanvallen+met+Royal-ransomware+voornamelijk+via+phishing+en+RDP). Ofwel dat men daar wel ideeën over heeft, maar korte-termijn-denkende lobbyisten bezwaar maken tegen (de m.i. noodzakelijke) zeer stevige ingrepen.

Door Anoniem (webproxy): Als men geen elektronische leeromgeving aangeleverd krijgt om bijvoorbeeld phishing en spoofing beter te kunnen onderkennen, gaat het inderdaad, zoals je zegt, weinig verbetering opleveren.
Dit probleem los je niet op met een leeromgeving. Authenticatie op internet is fundamentally flawed. Er is een soort van revolutie nodig om dit te verbeteren.

Door Anoniem (webproxy): Op de een of andere manier ben ik het basis-vertrouwen, wat dit aan gaat, in officials verloren.
Het is de hoogste tijd dat knappe koppen (typisch niet officials), die niet vergiftigd zijn met commerciële belangen, bij elkaar gaan zitten en serieus knopen durven door te hakken en/of stevig gaan redesignen. We gebruiken nog veel te veel protocollen en besturingssystemen die niet zijn ontworpen met security in mind, en die er daarom ondertussen uitzien als poreuze fietsbanden vol plakkers - die je desondanks steeds moet oppompen, maar die elk weldenkend mens zou vervangen (ook al kost dat geld moet het wiel tijdelijk uit de fiets).

Daarnaast staan we veel te veel complexiteit toe waardoor we over onze eigen benen struikelen (waarbij veel organisaties een CISO hebben waarvan wordt verwacht dat zij/hij de ontstane problemen wel even oplost - met veel burnouts als gevolg - want dat kan een CISO helemaal niet gezien de fundamentele problemen maal de ongebreidelde groei van complexiteit). Daarnaast wordt veel complexiteit verstopt onder "handige" GUI's die je volledig in de steek laten als het fout gaat - en dat gaat het.
04-03-2023, 13:52 door Anoniem
Beste Erik,

Zouden we daarom maar niet eens moeten beginnen om bij websites en op achterliggende servers zogenaamde best policies gewoon te gaan afdwingen. Dus niet meer voor een dubbeltje op de eerste rij en bezuinigen op security. Maar keihard zeggen, geen best policies, niet alles geupdate, na 1 waarschuwing en bij niet opvolging direct neerhalen of sinkholen.

Anders kunnen we gevoeglijk wachten, totdat gaat gebeuren, wat het WEF heeft voorspeld - een giga-Internet-outing met alle gevolgen van dien. Ze hebben er met Polygon al op geoefend. Dan wordt het dus weer een 'als het kalf verdronken is ....'verhaal..

#webproxy
04-03-2023, 14:02 door Anoniem
Door Erik van Straten: Daarnaast staan we veel te veel complexiteit toe waardoor we over onze eigen benen struikelen
Dat is veel breder dan alleen IT, het gebeurt bijvoorbeeld ook bij wet- en regelgeving. Vanuit deelproblemen (en mogelijk deelbelangen) wordt iets toegevoegd dat logisch is, maar door steeds maar dingen toe te voegen neemt de complexiteit toe.

Antoine de Saint-Exupery, schrijver van het beroemde kinderboek "De kleine prins", en vliegenier in de pionierstijd dat zo iemand nog zelf druk aan zijn vliegtuig sleutelde, heeft de rake uitspraak gedaan dat perfectie niet bereikt is als er niets meer toe te voegen voegen valt, maar als er niets meer weg te laten valt.

Weglaten wat je niet (meer) nodig hebt is arbeidsintensief en dus duur, en omdat "het werkt" als een toevoeging is gedaan is er geen animo voor, men besteedt het beschikbare budget liever aan het toevoegen van meer dingen die men nodig vindt, al was het maar omdat de concurrentie anders een voorsprong neemt. Zo ontstaat onvermijdelijk steeds meer complexiteit, en gaat men even onvermijdelijk daardoor steeds vaker op zijn bek.
05-03-2023, 23:30 door Anoniem
Wijze woorden; dank jullie wel!
06-03-2023, 22:31 door Anoniem
Door PjgV: Nou als dat inderdaad werkelijkheid gaat worden, dan zal dat een drastische invloed hebben:
https://arstechnica.com/information-technology/2023/03/biden-administration-wants-to-hold-companies-liable-for-bad-cybersecurity/

https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/02/fact-sheet-biden-harris-administration-announces-national-cybersecurity-strategy/

Maar wat doen ze tegen de kindermishandeling dan?
07-03-2023, 00:35 door Anoniem
Door PjgV: Nou als dat inderdaad werkelijkheid gaat worden, dan zal dat een drastische invloed hebben:
https://arstechnica.com/information-technology/2023/03/biden-administration-wants-to-hold-companies-liable-for-bad-cybersecurity/

https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/02/fact-sheet-biden-harris-administration-announces-national-cybersecurity-strategy/

TO: Dat denk ik ook voor een klein binnen de
U.S. aantal bedrijven. Maar met deze ballon op laten wat is jouw mening dan?
07-03-2023, 13:44 door Anoniem
Tja, eigenlijk hoort het zo dacht ik. Ze gaan al veel te lang vrijuit voor al hun fratsen ;-)
07-03-2023, 15:06 door Anoniem
Door Anoniem: Tja, eigenlijk hoort het zo dacht ik. Ze gaan al veel te lang vrijuit voor al hun fratsen ;-)

Even je huis in de gedwongen verkoop omdat er een bug zat in je github portfolio , zo hoort het te gaan , dacht ik.
07-03-2023, 17:15 door Anoniem
Inderdaad die ±recente (2008) huizencrisis in de VS dat was nogal iets vreselijk stuitend qua financiële misleiding, zou niet mogen kunnen, maar ja in de VS kon dus het wel.
Velen waren er toch maar ingelopen uit onwetendheid of naïviteit naar achteraf toch uitkwam.
https://www.almaany.com/en/dict/en-nl/naieviteit/
https://nl.wikipedia.org/wiki/Lehman_Brothers
En dit ter verduidelijking van die genoemde term 'Foreclosure' waar ze mee zwaaiden te pas en te onpas.
https://www.dfbonline.nl/begrip/8866/foreclosure
Succes met de beveiliging, dat is nu ook dringend nodig voor de nu meer en meer voorkomende variante of via dubieuze software misleiding (!)...
07-03-2023, 17:45 door Anoniem
09-03-2023, 19:08 door Anoniem
Door Erik van Straten:
Door Anoniem (webproxy): Zouden ze eigenlijk wel ambieren om het definitief op te lossen of is het niet profijtelijker om het te laten zo het is?
Tenzij ik een geheel verkeerd wereldbeeld heb: het is niet in het belang van de VS dat hun ziekenhuizen en scholen slachtoffer worden van ransomware, en helemaal niet als bijv. defensiegeheimen of IP uit Silicon Valley in handen van hun grootste vijanden komt.

Het is, denk ik, meer dat men niet weet hoe je phishing en/of spoofing effectief zou kunnen bestrijden (naast hoe je ervoor kunt zorgen dat malloten hun internet facing systems fatsoenlijk beveiligen: https://www.security.nl/posting/787946/FBI%3A+aanvallen+met+Royal-ransomware+voornamelijk+via+phishing+en+RDP). Ofwel dat men daar wel ideeën over heeft, maar korte-termijn-denkende lobbyisten bezwaar maken tegen (de m.i. noodzakelijke) zeer stevige ingrepen.

Door Anoniem (webproxy): Als men geen elektronische leeromgeving aangeleverd krijgt om bijvoorbeeld phishing en spoofing beter te kunnen onderkennen, gaat het inderdaad, zoals je zegt, weinig verbetering opleveren.
Dit probleem los je niet op met een leeromgeving. Authenticatie op internet is fundamentally flawed. Er is een soort van revolutie nodig om dit te verbeteren.

Door Anoniem (webproxy): Op de een of andere manier ben ik het basis-vertrouwen, wat dit aan gaat, in officials verloren.
Het is de hoogste tijd dat knappe koppen (typisch niet officials), die niet vergiftigd zijn met commerciële belangen, bij elkaar gaan zitten en serieus knopen durven door te hakken en/of stevig gaan redesignen. We gebruiken nog veel te veel protocollen en besturingssystemen die niet zijn ontworpen met security in mind, en die er daarom ondertussen uitzien als poreuze fietsbanden vol plakkers - die je desondanks steeds moet oppompen, maar die elk weldenkend mens zou vervangen (ook al kost dat geld moet het wiel tijdelijk uit de fiets).

Daarnaast staan we veel te veel complexiteit toe waardoor we over onze eigen benen struikelen (waarbij veel organisaties een CISO hebben waarvan wordt verwacht dat zij/hij de ontstane problemen wel even oplost - met veel burnouts als gevolg - want dat kan een CISO helemaal niet gezien de fundamentele problemen maal de ongebreidelde groei van complexiteit). Daarnaast wordt veel complexiteit verstopt onder "handige" GUI's die je volledig in de steek laten als het fout gaat - en dat gaat het.
Die CISO's die ik ken zijn allemaal windows georiënteerd. Dat gaat'm niet worden gezien het onbenullige commentaar over andere systemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.