VS haalt uit naar leveranciers onveilige software: veiligere producten nodig
Jen Easterly, hoofd van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security, heeft tijdens een keynote hard uitgehaald naar leveranciers van onveilige software en gesteld dat die veiligere producten moeten leveren. "We hebben geen cybersecurityprobleem, we hebben een softwarekwaliteitsprobleem. We hebben niet meer securityproducten nodig, we hebben veiligere producten nodig", zo liet ze weten.
De werkelijkheid is dat leveranciers de figuren zijn die de problemen aan hun producten toevoegen waar criminelen dan misbruik van kunnen maken om hun slachtoffers aan te vallen, legde Easterly uit tijdens haar keynote op een conferentie van securitybedrijf Mandiant. Ze hekelde ook de term 'kwetsbaarheden', omdat die volgens haar te mild is. Hierdoor wordt de verantwoordelijkheid verwaterd. Eigenlijk moet de term 'productdefect' worden gebruikt, merkte ze op.
In plaats van de schuld bij slachtoffers te leggen omdat die updates niet snel genoeg installeren zou er eigenlijk meer van softwareleveranciers moeten worden gevraagd, ging Easterly verder, zo meldt The Register. Terwijl er inmiddels een cybersecurity-industrie van miljarden dollars groot is, is er nog steeds een veel groter probleem met de kwaliteit van software dat ook tot een veel groter cybercrimeprobleem leidt.
De CISA-directeur stelde dat niemand een auto koopt of aan boord van een vliegtuig gaat als dat helemaal op eigen risico is, maar dit wel elke dag het geval is bij de software die voor de vitale infrastructuur wordt gebruikt. "We zijn slachtoffer van de mythe van techno-exceptionalisme", liet ze aan het publiek weten. Het CISA heeft de 'Secure by Design' plegde geïntroduceerd, waarmee bedrijven kunnen aangeven dat ze maatregelen nemen voor het ontwikkelen van veilige producten. De plegde is vrijwillig en er zijn geen gevolgen voor het niet naleven. Easterly wil dat graag veranderen. Zo zouden bedrijven en organisaties hun inkoopmacht moeten gebruiken om softwareleveranciers onder druk te zetten.
Gelukkig heeft mijn app de mogelijkheid om het RTSPS protocol te gebruiken dat nodig is om de stream op de app veilig te bekijken na te zijn ingelogd. Hoewel de zaak bij mij is dichtgetimmerd, kom je via Shodan nog steeds streams tegen omdat de eigenaren kennelijk niet weten dat je de stream niet onbeveiligd op een server moet zetten waar iedereen vervolgens bij kan.
Behalve veilige software, moet ook de gebruiker leren om veiliger te werken.
Onveilige software mag gewoon worden verkocht. Security leveranciers mogen deze bagger weer veilig maken.
Het is een markt die elkaar in stand houden en we verdienen we allemaal wat aan..
Vreemd toch?
Het is voor mij al jaren een raadsel hoe het kan dat software leveranciers weg komen met de abominabele rommel die zij voor extreem veel geld produceren.
En de ontwikkelaars zelf, die de eigenlijk bron van deze ellende zijn, maar vrolijk om het half jaar een "nieuwe werkwijze" bedenken. Zoals de onzin van Scrum/Agile, dat letterlijk nergens het probleem van de gatenkaas zelfs maar benoemt, laat staan aanpakt. Nee, kringgesprekken en de opdrachtgever de schuld geven, dat gaat het wel oplossen.
Onze vakgenoot Ezebuike Michael heeft veel hierover geschreven zie:
https://www.linkedin.com/pulse/understanding-iso-21827-standard-systems-security-maturity-michael-fusye/
Ook op security.nl is over de ISO 21827 geschreven. zie
https://www.security.nl/posting/10748/Verdringt+de+ISO+21827+de+ISO+17799%3F
Het is voor mij al jaren een raadsel hoe het kan dat software leveranciers weg komen met de abominabele rommel die zij voor extreem veel geld produceren.
En de ontwikkelaars zelf, die de eigenlijk bron van deze ellende zijn, maar vrolijk om het half jaar een "nieuwe werkwijze" bedenken. Zoals de onzin van Scrum/Agile, dat letterlijk nergens het probleem van de gatenkaas zelfs maar benoemt, laat staan aanpakt. Nee, kringgesprekken en de opdrachtgever de schuld geven, dat gaat het wel oplossen.
Nou, nou, nou... opgeknoopt worden om abominabele rommel. Kan het misschien een tintje grijs a.u.b. Dat soort krachttermen veroorzaken dat we in een steeds verder gesegregeerde samenleving duikelen!
Ik heb in de periode dat ik overstapte naar foss (free operating system software) echt niet als prangende motivatie gevoeld dat ik voorheen abominabele rommel gebruikte.
Secure by Design
Secure by Default
Secure in Deployment
Communication
Misschien nog wat beter aan de uitvoering werken.
Zodra je d'r een sleutel in kan doen wat het slot kan openen is dat gelijk de zwakheid van het slot.
Het wordt echter lastiger -bij zo'n analoog slot- als er een slot op een slot wordt geaakt, mede door de fysieke aanwezigheid die daar gepaard mee gaat om al die sloten te oeten passeren. Maar dan nog, de best beveiligde bank wordt beroofd, en de nog beter beveiligde gevangenis kan uit ontsnapt worden.
Nu, ter vergelijking met de digitale wereld, waar je als mega-voordeel hebt, dat je er niet fysiek bij aanwezig behoeft te zijn. Al die managers-bla-bla met certificeringen en daarbij behorende standaarden zijn ook door de crimineel eigen te maken en met reverse-engineering -van wat voor software dan ook- komen de zwakheden van de gebruikte sloten op sloten (,op sloten. enz.) bovendrijven waar dan omheen gewerkt kan worden.
Wil je dit voorkomen, dan moet je live monitoren, zoals een beveiliger in de analoge wereld, heb je zo'n mens ook nodig die monitort welke verbindingen er worden gemaakt en wat er bij dat geklop-aan-de-port allemaal gebruikt wordt.
Maar dan nog, kan het zo zijn dat een menselijke beveiliger niet door heeft dat het om een inbreker gaat.
Dus , net als in de analoge wereld, als er een sleutel is voor een slot, krijg je het nooit 100% veilig!
Het is voor mij al jaren een raadsel hoe het kan dat software leveranciers weg komen met de abominabele rommel die zij voor extreem veel geld produceren.
En de ontwikkelaars zelf, die de eigenlijk bron van deze ellende zijn, maar vrolijk om het half jaar een "nieuwe werkwijze" bedenken. Zoals de onzin van Scrum/Agile, dat letterlijk nergens het probleem van de gatenkaas zelfs maar benoemt, laat staan aanpakt. Nee, kringgesprekken en de opdrachtgever de schuld geven, dat gaat het wel oplossen.
Vrouw.
En inderdaad scrum/agile is gewoon een excuus om snel zonder te documenteren rotzooi onder tijdsdruk in productie te gooien.
Stokslagen voor de developer die de buggy commit maakte. Of gewoon 3 maandsalarissen inleveren.
Opbokken met dat excuus verhaal dat het aan anderen ligt, gewoon de schuld leggen bij degene die aanwijsbaar de fout maakt.
(en , zo klinkt zo'n verhaal even niet zo leuk he, als de bal in het eigen technerd kamp gelegd wordt. ? )
Bijzonder dat je MSDOS dan onder kwaliteit schaart .
En bedoel je echt "de VS" te schrijven , of dacht je aan Microsoft ?
Er zijn nogal weinig andere landen waar OSen vandaan gekomen zijn, eigenlijk.
Unix (en ontzettend veel afgeleiden ) - VS .
AmigaOS - VS
BeOS - VS
MacOS - VS
Multics - VS
OS/360 - VS
TSS - VS
OS/400 - VS
RSX-11 , VMS (PDP/VAX) - VS
vxworks - VS
QNX - VS
CP/M - VS
MSDOS,WIndows,Windows NT - VS
Plan 9 - VS
Iets anders van elders :
RiscOS (ARM) - UK . (min of meer homecomputer)
Minix - NL (door een Amerikaan) , en meer onderwijs proof of concept dan 'OS' . Plus conceptueel nogal 'Unix' .
Oberon - CH (ook onderwijs project , door Mr Pascal N Wirth)
Iets dat op ICT 1900 (jaren 60 mainframe draaide) - UK
Vast wel iets op Soviet unie hardware , hoewel die meen ik een hoop kloonden .
Een heel dun lijstje, OSen zonder roots in de VS.
Het is voor mij al jaren een raadsel hoe het kan dat software leveranciers weg komen met de abominabele rommel die zij voor extreem veel geld produceren.
En de ontwikkelaars zelf, die de eigenlijk bron van deze ellende zijn, maar vrolijk om het half jaar een "nieuwe werkwijze" bedenken. Zoals de onzin van Scrum/Agile, dat letterlijk nergens het probleem van de gatenkaas zelfs maar benoemt, laat staan aanpakt. Nee, kringgesprekken en de opdrachtgever de schuld geven, dat gaat het wel oplossen.
Vrouw.
En inderdaad scrum/agile is gewoon een excuus om snel zonder te documenteren rotzooi onder tijdsdruk in productie te gooien.
Alsof de software branch een methode nodig gehad heeft als excuus voor dat probleem.
Als de (tijds)druk er is wordt het proces vanzelf vloeibaar genoeg.
OpenBSD en OpenVMS.
By design, by config etc.
Ze hadden ook hun, met name configuratie, uitdagingen.
Er zijn dus ook cve's voor te vinden. Maar een enkele per paar jaar.
Niet enkele per dag.
Ik heb in de periode dat ik overstapte naar foss (free operating system software) echt niet als prangende motivatie gevoeld dat ik voorheen abominabele rommel gebruikte.
FOSS staat voor Free Open Source Software.
Stap 1 is om dat te doceren door highly skilled people die dat wel kunnen.
Stap 1 is om dat te doceren door highly skilled people die dat wel kunnen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
