'Digitaal terrorisme vormt nog geen gevaar'
Hackaanvallen van terroristen vormen geen groot gevaar. Dat stelt beveiligingsonderzoeker Mikko Hypponen van F-Secure. Verder dan defacements komen veel extremistische groeperingen niet, hoewel dat zou kunnen veranderen.
Hoewel de technische vaardigheden van terroristen niet moeten worden onderschat - "Het zijn geen domme dorpelingen op ezels", aldus Hypponen - vormen ze vooralsnog geen groot gevaar.
"Voor zover ik kan inschatten, bestaat er nog geen cyberterrorisme", vertelde Hypponen op de RSA Conference, een beveiligingsconferentie in San Francisco.
"Extremistische groeperingen houden zich nu bijvoorbeeld bezig met defacements", aldus Hypponen. Zo werden tijdens een rel over cartoons die de Islam bespotten, Deense websites gedefaced. Daarbij wordt de voorpagina van een website vervangen door een boodschap van de hacker. "Die defacements zijn niet erg interessant", meent hij.
Wel is er een geval bekend waarbij terroristen malware inzetten om gebruikers van internetbankieren geld afhandig te maken. Dat geld - in totaal 3,5 miljoen dollar - werd via pokersites witgewassen en vervolgens gebruikt om uitrusting voor terroristen aan te schaffen. De aanvallers waren echter niet erg technologisch onderlegd en huurden een Russische expert in om het technische werk te verrichten.
Verder heeft internet voor terroristen een ondersteunende functie. Zo gebruiken terroristen volgens Hypponen internet voor propaganda, waarbij ze bijvoorbeeld speciale websites, Twitter, YouTube en digitale magazines inzetten. Ook gebruiken ze internet voor onderlinge communicatie, waarbij ze soms hun eigen versleutelingssoftware inzetten, en het 'werven' van terroristen.
Hypponens woorden staan in contrast met waarschuwingen van verschillende kanten over het gevaar van 'cyberterrorisme'. Zo zei een oud-adviseur van de Amerikaanse regering in 2010 dat hackers 'pijpleidingen kunnen laten ontploffen, treinen laten ontsporen, of bijvoorbeeld te veel elektriciteit door het lichtnet kunnen laten lopen'. Het Amerikaanse leger heeft een speciale divisie die zich bezighoudt met het bestrijden van cybercrime.
De conclusies van Hypponen komen echter overeen met een dreigingsanalyse die de Nederlandse overheid eind vorig jaar publiceerde. "Terroristen hebben weliswaar de intentie om grootschalige verstoring of ontwrichting te veroorzaken, maar vooralsnog zijn er geen aanwijzingen dat zij de capaciteiten hebben, en dat deze dreiging heel groot is", is in de analyse te lezen.
Een grotere rol op het gebied van cybercrime is volgens Hypponen weggelegd voor criminelen die op geld uitzijn, 'hacktivisten' die een bepaald ideologisch doel nastreven en nationale overheden. Vermoedelijk zitten er een of meer nationale overheden achter het Stuxnet-virus, dat onder meer is gebruikt om Iraanse nucleaire instellingen te verstoren.
Reacties (52)
Vind de ontwikkelingen omtrent gehackte private keys van Certificate Authorities anders toch best zorgwekkend. Als blijkt dat ook Verisign, etc gehackt zijn kan dat flinke gevolgen hebben.
[Reactie gewijzigd door SanneV op donderdag 1 maart 2012 21:59]
Uiteraard is dat uitermate zorgwekkend, maar kun je uitleggen hoe je dat ziet in relatie tot een mogelijke terreurdaad?
Edit: ik hou niet van editen van geplaatste berichten, maar mijn reactie was een reactie op de post hierboven, dus op het hacken van de CA's. Dat is uiteraard een gevaar, omdat een kwaadwillende zich gedurende een beperkte periode (nl. tussen het hacken van de CA en het intrekken van het vertrouwen in de CA, en dus de root-certs) kan voordoen als een kwaadwillende instantie, maar daar is meer voor nodig dan alleen de beschikking hebben over het certificaat. Er zal ook nog eens verkeer afgevangen moeten worden en/of een DNS hack geplaatst moeten worden.
Ik zag dus vooralsnog nauwelijks relevantie tot het artikel, vandaar mijn vraag om deze post toe te lichten.
Edit: ik hou niet van editen van geplaatste berichten, maar mijn reactie was een reactie op de post hierboven, dus op het hacken van de CA's. Dat is uiteraard een gevaar, omdat een kwaadwillende zich gedurende een beperkte periode (nl. tussen het hacken van de CA en het intrekken van het vertrouwen in de CA, en dus de root-certs) kan voordoen als een kwaadwillende instantie, maar daar is meer voor nodig dan alleen de beschikking hebben over het certificaat. Er zal ook nog eens verkeer afgevangen moeten worden en/of een DNS hack geplaatst moeten worden.
Ik zag dus vooralsnog nauwelijks relevantie tot het artikel, vandaar mijn vraag om deze post toe te lichten.
[Reactie gewijzigd door Davey400 op vrijdag 2 maart 2012 10:08]
Het laat (zoals talloze hacks) zien dat er veel gaten zijn in systemen. Terroristen hebben dus veel mogelijkheden waar ze in de toekomst gebruik van zouden kunnen gaan maken, mits ze de kennis in huis halen. Daarmee toon je dus aan dat er een groot risico is.
Ik ben het dan ook niet eens met Hypponen; je kan niet zeggen dat er weinig risico is, puur omdat er nog niets gebeurd is.
Heeft 9/11 het risico op aanslagen verhoogd? In mijn optiek niet; het heeft alleen laten zien dat mensen soms tot afschuwelijke daden in staat zijn.
Volgens mij geldt hetzelfde voor hacktivisme/e-terrorisme; het uitvoeren van een grote hack/aanval verhoogd het risico niet. Vergelijk het met een dobbelsteen; als je een keer 6 gooit, verhoogt dat dan het risico op het gooien van een 6?
Ik vraag me af waar Hypponen (vette naam trouwens) dit zo op baseerd. Het klinkt meer als een loze geruststelling/uitdaging. Met het SCADA nieuws de afgelopen tijd lijkt het mij vrij duidelijk dat er genoeg mogelijkheden zijn om verder te gaan dan simpele defacements.
Volgens mij is de reden dat "aanvallen" beperkt zijn tot dos'en en defacen de groep die het uitvoert. Dos'en en defacen gebeurde vaak door tieners en jong volwassenen (<25). Die willen geen vliegtuigen laten neerstorten, dijken laten doorbreken oid. Ze willen hun frustratie online uiten door relletjes te schoppen. Tuurlijk; illegaal, maar een stuk prettiger om om je heen te hebben dan een terrorist die het liefst heel Nederland ziet branden (simpel gezegd ofc).
Ik ben het dan ook niet eens met Hypponen; je kan niet zeggen dat er weinig risico is, puur omdat er nog niets gebeurd is.
Heeft 9/11 het risico op aanslagen verhoogd? In mijn optiek niet; het heeft alleen laten zien dat mensen soms tot afschuwelijke daden in staat zijn.
Volgens mij geldt hetzelfde voor hacktivisme/e-terrorisme; het uitvoeren van een grote hack/aanval verhoogd het risico niet. Vergelijk het met een dobbelsteen; als je een keer 6 gooit, verhoogt dat dan het risico op het gooien van een 6?
Ik vraag me af waar Hypponen (vette naam trouwens) dit zo op baseerd. Het klinkt meer als een loze geruststelling/uitdaging. Met het SCADA nieuws de afgelopen tijd lijkt het mij vrij duidelijk dat er genoeg mogelijkheden zijn om verder te gaan dan simpele defacements.
Volgens mij is de reden dat "aanvallen" beperkt zijn tot dos'en en defacen de groep die het uitvoert. Dos'en en defacen gebeurde vaak door tieners en jong volwassenen (<25). Die willen geen vliegtuigen laten neerstorten, dijken laten doorbreken oid. Ze willen hun frustratie online uiten door relletjes te schoppen. Tuurlijk; illegaal, maar een stuk prettiger om om je heen te hebben dan een terrorist die het liefst heel Nederland ziet branden (simpel gezegd ofc).
Nope, de kans dat je 6 gooit is nog steeds 50%Volgens mij geldt hetzelfde voor hacktivisme/e-terrorisme; het uitvoeren van een grote hack/aanval verhoogd het risico niet. Vergelijk het met een dobbelsteen; als je een keer 6 gooit, verhoogt dat dan het risico op het gooien van een 6?
daar wil ik even aan toevoegen : Hacken is geen magie, dat is een structureel probleem waarbij een applicatie module op module op module etc gebruikt, waardoor de complexiteit toeneemt en kans dat een onderliggende laag een fout bevat vele male groter is dan de applicatie zelf.
verder kan je een cpu geen 3 laten schreeuwen op de vraag 1+1, wel kan je die uitkomst krijgen als er meerdere lagen zijn die eigen regels maken.
ten slotte, enige waar je niet echt goed tegen kan beschermen is DDoS. voor de rest is er GEEN rede iedereen zijn privacy in te perken omdat er "een" module ergens lekken bevat. (en ja, ik snap dat security ten koste van optimalisatie gaat)
en echt ten slotte, there is no patch to human stupidity.
dus...... geen idee dus, gewoon. de gene met de grootste mond die privacy inperkt met als rede dat er hackers zijn zal winnen. het is ziek om te denken dat systemen buiten absolute logica kunnen werken.
verder kan je een cpu geen 3 laten schreeuwen op de vraag 1+1, wel kan je die uitkomst krijgen als er meerdere lagen zijn die eigen regels maken.
ten slotte, enige waar je niet echt goed tegen kan beschermen is DDoS. voor de rest is er GEEN rede iedereen zijn privacy in te perken omdat er "een" module ergens lekken bevat. (en ja, ik snap dat security ten koste van optimalisatie gaat)
en echt ten slotte, there is no patch to human stupidity.
dus...... geen idee dus, gewoon. de gene met de grootste mond die privacy inperkt met als rede dat er hackers zijn zal winnen. het is ziek om te denken dat systemen buiten absolute logica kunnen werken.
[Reactie gewijzigd door Madnar op vrijdag 2 maart 2012 04:04]
Je vergelijking met een dobbelsteen gaat niet helemaal op. Dan gaat het om een toevallige gebeurtenis. Een hack of terroristische aanval berust natuurlijk niet op toeval maar is een doelbewuste handeling.
Klopt, maar door het gebrek aan informatie (anders hielden we ze wel tegen) dus exacte feitenkennis rond wie/wat/how/waar/wanneer, dwing zich wel een stochastische benadering tot het probleem op. Vandaar studies rond frequenties van terroristische aanvallen en modelleringen met stochastiche processen om de kans op een aanslag te berekenen.
Dit is precies hetzelfde argument dat uit Amerika kwam en behoorlijk hard is aangevallen: (ongeveer): "Anonymous heeft nu nog niet de mogelijkheden om een powergrid aan te vallen, maar als ze die mogelijkheden verwerven, dan neemt het risico op een aanval op een powergrid significant toe." Zie je in hoe dom die uitspraak eigenlijk is? Dat gaat op voor alles! "Terroristen hebben nu nog niet de kennis om de zon op te blazen, maar als ze die kennis verwerven, dan neemt het risico dat de zon wordt opgeblazen significant toe".Het laat (zoals talloze hacks) zien dat er veel gaten zijn in systemen. Terroristen hebben dus veel mogelijkheden waar ze in de toekomst gebruik van zouden kunnen gaan maken, mits ze de kennis in huis halen. Daarmee toon je dus aan dat er een groot risico is.
Zolang het effect van een bom met rondvliegende ledematen i.c.m. een risicosamenleving hiermee niet wordt geëvenaard, zal het voor terroristen als terreurdaad zelf niet zo interessant zijn. Wanneer ze gaan begrijpen dat die bom ermee gefinancierd kan worden wordt het voor de terroristen wel interessant. Dat op zich zal weinig angst met zich meebrengen. Nu zijn het criminelen die hetzelfde doen en misschien wel in opdracht van...
enige waar ik bang voor ben is dat er fouten in een systeem zit. niet zo zeer voor de gene die het misbruikt.
Ik hoop dat terroristen net zo denken als jij, dan blijft het risico tenminste beperkt. De afhankelijkheid van een moderne westerse samenleving van ICT is namelijk enorm. Bovendien is die afhankelijkheid voor veel mensen onzichtbaar, de meeste mensen weten helemaal niet dat, of en hoe die afhankelijkheid in elkaar steekt. Het betekent dat een succesvolle cyberaanval op (een deel van) onze infrastructuur (energie, water, gas, gemalen, communicatie, noem maar op) ervoor zorgt dat mensen worden geconfronteerd met gevolgen waarvan ze nooit ofte nimmer de oorzaak inzien. Het zou overeenkomen met wat 500 jaar geleden 'zwarte magie' genoemd werd. En mensen waren niet bang voor zwarte magie vanwege de gevolgen, maar vanwege het ontbreken van een oorzaak. Als je niet weet hoe iets veroorzaakt wordt kun je immers nooit bepalen wanneer het volgende incident plaatsvindt. En die angst, dat is het wapen van terroristen.Zolang het effect van een bom met rondvliegende ledematen i.c.m. een risicosamenleving hiermee niet wordt geëvenaard, zal het voor terroristen als terreurdaad zelf niet zo interessant zijn
Nou ja dat zaL allemaal wel zo kunnen zijn, maar voorlopig sterven er per jaar meer mensen aan pinda allergie dan dat er zijn omgekomen sinds 2000 door toedoen van terreur. Hier zou angst uit voort moeten komen, maar dat gebeurd niet, mensen blijven pinda's eten. Terrorisme wordt altijd zwaar overdreven. Zolang de overheid niet wenst te praten over aanvaardbare risico's zullen er bij ieder klein incident waaruit de kwetsbaarheid blijkt, draconische maatregelen volgen. Dat kost geld, heel veel geld. Dat de VS een counter-cyberterrorism unit heeft is omdat het leuk klinkt. De war on, waar heb ik dat eerder gehoord?
Doe mij maar cyberterrorisme, al kan je natuurlijk ook short gaan op een bedrijf en vervolgens de boel daar stilleggen door wat pijpleidingen te laten ploffen, de polder onder water te zetten enz. Dat lijkt mij voor criminelen namelijk veel interessanter. Dat dit nog niet gebeurd is natuurlijk omdat het allemaal niet zo makkelijk is. Dus waar moeten we nu ook alweer bang voor worden?
Aande andere kant laat maar komen die angst. Dan duurt het niet lang of er worden ook weer mensen betrokken in deze doorgeschoten automatisering. Netwerken zullen daardoor kleiner, ontkoppeld en daarmee veiliger worden tegen criminelen en de overheid zal een stukje minder big brother is watching you kunnen spelen. De terreur van camera's, en monitoring op veel uiteenlopende wijzen in dit land, daar wordt ik echt ziek van!
Doe mij maar cyberterrorisme, al kan je natuurlijk ook short gaan op een bedrijf en vervolgens de boel daar stilleggen door wat pijpleidingen te laten ploffen, de polder onder water te zetten enz. Dat lijkt mij voor criminelen namelijk veel interessanter. Dat dit nog niet gebeurd is natuurlijk omdat het allemaal niet zo makkelijk is. Dus waar moeten we nu ook alweer bang voor worden?
Aande andere kant laat maar komen die angst. Dan duurt het niet lang of er worden ook weer mensen betrokken in deze doorgeschoten automatisering. Netwerken zullen daardoor kleiner, ontkoppeld en daarmee veiliger worden tegen criminelen en de overheid zal een stukje minder big brother is watching you kunnen spelen. De terreur van camera's, en monitoring op veel uiteenlopende wijzen in dit land, daar wordt ik echt ziek van!
Wel als die mensen pinda's ge-force-fed krijgen door terroristen, niet als het 'gewoon' een ongeluk is, dan is het domme pech. Er zit een psychologisch verschil tussen 'nadelige gevolgen van domme pech' en 'nadelige gevolgen die bewust zijn toegebracht', ook al is het risico op het eerste veel groter (zie bijvoorbeeld het verkeer, met 800 doden per jaar ofzo, alleen al in Nederland). Het laatste suggereert 'pure evil', het redeloos en zinloos toebrengen van schade om het toebrengen van schade. Er zit geen doel achter. Mensen die aan het verkeer deelnemen doen dat tenminste nog met een doel, en er zit ook niemand op de weg die andere weggebruikers bewust van de weg jast, alleen maar om ze van de weg te jassen. Dat is het verschil.Hier zou angst uit voort moeten komen
Je hebt natuurlijk gelijk dat risico's niet 100% te vermijden zijn, en dat politici zich eerst eens in de materie moeten verdiepen om uit te zoeken hoe het nou zit, voordat ze met allerlei dwaze maatregelen komen. Daarmee versterken ze juist het ongrijpbare 'zwarte-magie'-waas dat om terrorisme heen hangt.
Tot zover de 'dreiging' van aanvallen op SCADA systemen.
Dat is ook waar ik als eerste aan zat te denken.
Nog even als aanvulling op / aan Davey400 hierboven...
Ik zal je één voorbeeld geven: enig idee hoeveel SCADA systemen er zijn? En hoeveel er van nog met factory-default wachtwoorden ('Siemens' ring-a-bell) en de bedrijven ze niet meer durven te wijzigen omdat alles zo ver verweven is dat men de impact en risico's gewoonweg niet meer wil nemen?
Ik zou zeggen, laat jij je fantasie eens gaan en ik zeg alleen: Pernis / Europoort
@ Darkangle hieronder...
Ik denk dat deze beste Mikko, ondanks zijn (ongetwijfeld) goede bedoelingen, zich eens goed achter zijn oren moet krabben en nadenken voor hij dergelijke opmerkingen maakt.
De grootste f....-ups worden gemaakt door aannames. En dergelijke aannames zijn nog gevaarlijker als weten, en accepteren dat je beveiliging te wensen over laat.
Ik heb ook liever dat mensen zich van dergelijke uitspraken onthouden.
Nog even als aanvulling op / aan Davey400 hierboven...
Ik zal je één voorbeeld geven: enig idee hoeveel SCADA systemen er zijn? En hoeveel er van nog met factory-default wachtwoorden ('Siemens' ring-a-bell) en de bedrijven ze niet meer durven te wijzigen omdat alles zo ver verweven is dat men de impact en risico's gewoonweg niet meer wil nemen?
Ik zou zeggen, laat jij je fantasie eens gaan en ik zeg alleen: Pernis / Europoort
@ Darkangle hieronder...
Ik denk dat deze beste Mikko, ondanks zijn (ongetwijfeld) goede bedoelingen, zich eens goed achter zijn oren moet krabben en nadenken voor hij dergelijke opmerkingen maakt.
De grootste f....-ups worden gemaakt door aannames. En dergelijke aannames zijn nog gevaarlijker als weten, en accepteren dat je beveiliging te wensen over laat.
Ik heb ook liever dat mensen zich van dergelijke uitspraken onthouden.
eindelijk iemand die het snapt. hacken is niet meer dan misbruik van een systeem binnen statische logica. en there is no patch to human stupidity.
enige waar ik niet mee eens ben is hopen op dat iedereen zich aan... houdt...
wederom word er vanuit gegaan dat iets fout gaat, terwijl je absolute regels van een systeem weet..... waar gaat het dan fout waar fout kan ontstaan? is het doordat mensen in staat zijn absolute logica iets anders te laten doen dan gewenst¿ of door menselijke fouten¿ het beste wat je kan doen op een perfect systeem is grootschalig aanvallen, maar nooit op geen manier kan dat het functioneren beïnvloeden, tenzij het niet perfect is.
gewoon zooi bij de bron aanpakken: kinderporno op straat aanpakken, hackers aanpakken op basis dat er geen schuldige is maar gewoon lekken dichten (of dichtmetselen van de grond af aan) en uiterlijk een systeem nooit fysiek toegankelijk (daar moord je alle password problemen mee en word het een puur menselijk rede waarom iets fout kan gaan) maken.
virtueel kan je ALLES uitsluiten, behalve menselijke handelingen. punt... niemand kan mij wijs maken dat alles te hacken is met wetenschap van absolute regels. complexiteit heeft er niets meer mee te maken, de wijzen waarop iets gebouwd is wel. alleen menselijkheid maakt fouten en laat fouten toe. op zijn best kan je massaal aanvallen om iets plat te leggen, meer niet. daarnaast gokken op juistheid binnen het systeem (probability) omdat mensen er ook binnen moeten komen om werkzaamheden te verrichten, probability kan vaak gerelateerd worden aan human stupidity. meer niet.
nu kan je pas afvragen of terrorisme een probleem is (menselijkheid heeft keer op keer aangetoond foute dingen te doen, en dus doet) of dat het voorkomen ervan belangrijker is. waarbij de vraag op gaat of opsporing belangrijker word dan voorkomen met kennis van absolute constanten. er is niets meer buiten logica, niets is onlogisch, overzien van fouten door mensen is ook niet onlogisch. claimen dat alles te hacken is, is onlogisch (binnen een tijdperk van 100 jaar met wetenschap dat er iemand binnen moet kunnen komen door wachtwoorden of dergelijke)
enige waar ik niet mee eens ben is hopen op dat iedereen zich aan... houdt...
wederom word er vanuit gegaan dat iets fout gaat, terwijl je absolute regels van een systeem weet..... waar gaat het dan fout waar fout kan ontstaan? is het doordat mensen in staat zijn absolute logica iets anders te laten doen dan gewenst¿ of door menselijke fouten¿ het beste wat je kan doen op een perfect systeem is grootschalig aanvallen, maar nooit op geen manier kan dat het functioneren beïnvloeden, tenzij het niet perfect is.
gewoon zooi bij de bron aanpakken: kinderporno op straat aanpakken, hackers aanpakken op basis dat er geen schuldige is maar gewoon lekken dichten (of dichtmetselen van de grond af aan) en uiterlijk een systeem nooit fysiek toegankelijk (daar moord je alle password problemen mee en word het een puur menselijk rede waarom iets fout kan gaan) maken.
virtueel kan je ALLES uitsluiten, behalve menselijke handelingen. punt... niemand kan mij wijs maken dat alles te hacken is met wetenschap van absolute regels. complexiteit heeft er niets meer mee te maken, de wijzen waarop iets gebouwd is wel. alleen menselijkheid maakt fouten en laat fouten toe. op zijn best kan je massaal aanvallen om iets plat te leggen, meer niet. daarnaast gokken op juistheid binnen het systeem (probability) omdat mensen er ook binnen moeten komen om werkzaamheden te verrichten, probability kan vaak gerelateerd worden aan human stupidity. meer niet.
nu kan je pas afvragen of terrorisme een probleem is (menselijkheid heeft keer op keer aangetoond foute dingen te doen, en dus doet) of dat het voorkomen ervan belangrijker is. waarbij de vraag op gaat of opsporing belangrijker word dan voorkomen met kennis van absolute constanten. er is niets meer buiten logica, niets is onlogisch, overzien van fouten door mensen is ook niet onlogisch. claimen dat alles te hacken is, is onlogisch (binnen een tijdperk van 100 jaar met wetenschap dat er iemand binnen moet kunnen komen door wachtwoorden of dergelijke)
[Reactie gewijzigd door Madnar op vrijdag 2 maart 2012 03:44]
Interressante reactie! Je vergeet in je pleidooi echter het allerbelangrijkste in de prive en overheidswereld: money! (HELAAS - diepe zucht).
Alles dichttimmeren is enkel op papier mogelijk, de praktische uitvoering doet je botsen op hoge kosten (om van 90% secure naar 95% te gaan, kost misschien een tiende om van 95% naar 99% te gaan) en natuurlijk de mpact op useability. Hoe je het ook draait of keert: meer security betekent meer "werk" (handelingen, procedures, ...) voor de werknemers in een bedrijf, en dat kost opnieuw een smak geld.
Enige pragmatiek is dus vaak een vereiste in een grote omgeing, maar dat wil dan ook meteen zeggen dat je de deur op een kier laat. Je kan je afvragen of zelfs met 99% beveiliging hackers gaat buitenhouden? Misschien wat minder scriptkiddies in vergelijking me een 95% security level.
Veel belangrijker dan alleen dichttimmeren is ook hoe je met security omgaat: risiobeheer doen! nadenken over wat er kan foutgaan, inschatten wat de kans is dat het fout gaat, berekenen hoeveel het kost als het foutgaat en proportioneel daaraan investeren in beveiliging. Weinig techies horen dat graag (want dan zijn het die oellewappers van het management die niet snappen wat echte security is), maar er is nu eenmaal no such thing as a perfect security. Eens je je dat gerealiseerd hebt, kan je IMHO pas echt serieus een beveiligingsmodel en aanpak opstellen. Ik zie helaas veel bedrijven alles inzitten op alles dichttimmeren (om dan enkele maanden later toch een breach te hebben - omdat ze vaak nog niet eens willen ophoesten voor die 90% security level).
Alles dichttimmeren is enkel op papier mogelijk, de praktische uitvoering doet je botsen op hoge kosten (om van 90% secure naar 95% te gaan, kost misschien een tiende om van 95% naar 99% te gaan) en natuurlijk de mpact op useability. Hoe je het ook draait of keert: meer security betekent meer "werk" (handelingen, procedures, ...) voor de werknemers in een bedrijf, en dat kost opnieuw een smak geld.
Enige pragmatiek is dus vaak een vereiste in een grote omgeing, maar dat wil dan ook meteen zeggen dat je de deur op een kier laat. Je kan je afvragen of zelfs met 99% beveiliging hackers gaat buitenhouden? Misschien wat minder scriptkiddies in vergelijking me een 95% security level.
Veel belangrijker dan alleen dichttimmeren is ook hoe je met security omgaat: risiobeheer doen! nadenken over wat er kan foutgaan, inschatten wat de kans is dat het fout gaat, berekenen hoeveel het kost als het foutgaat en proportioneel daaraan investeren in beveiliging. Weinig techies horen dat graag (want dan zijn het die oellewappers van het management die niet snappen wat echte security is), maar er is nu eenmaal no such thing as a perfect security. Eens je je dat gerealiseerd hebt, kan je IMHO pas echt serieus een beveiligingsmodel en aanpak opstellen. Ik zie helaas veel bedrijven alles inzitten op alles dichttimmeren (om dan enkele maanden later toch een breach te hebben - omdat ze vaak nog niet eens willen ophoesten voor die 90% security level
).[Reactie gewijzigd door Krokant op vrijdag 2 maart 2012 07:58]
Mee eens. Denk maar even aan al die SCADA systemen in Nederland die pompen, gemalen, en verwarmingen aansturen (zie nieuws: 'Nederlandse scada-systemen zijn kwetsbaar voor aanvallen' en de uitzending van eenvandaag).
Het onder water zetten van polders alleen al geeft voor terroristen een voldoende payoff (i.e. schade die je een samenleving toebrengt, de daaruit voortvloeiende publiciteit, en de daaropvolgende paniekerige race om SCADA hier systemen van een redelijke beveiliging te voorzien) zou ik zo zeggen.
Van SCADA systemen in Europoort die via het Internet bereikbaar zijn weet ik niets, en dat wil ik graag zo houden.
Het onder water zetten van polders alleen al geeft voor terroristen een voldoende payoff (i.e. schade die je een samenleving toebrengt, de daaruit voortvloeiende publiciteit, en de daaropvolgende paniekerige race om SCADA hier systemen van een redelijke beveiliging te voorzien) zou ik zo zeggen.
Van SCADA systemen in Europoort die via het Internet bereikbaar zijn weet ik niets, en dat wil ik graag zo houden.
Het ligt een beetje aan welke definitie van terroristen je wilt aanhouden. Hier gaat het blijkbaar om religieuze en politieke terroristen. Maar groeperingen die de vrijheid van internet om zeep willen hebben kunnen net zo goed terrorist genoemd worden.
Dat geld dat gepikt werd, en via pokersites werd witgewassen. Heeft daar iemand een bron van?
Als anonymous 31 maart het lukt zal hij zijn mening moeten bijschaven.
Ik zou er niet eens op willen wachten....
Dat is 'de goden verzoeken' (nee, ik ben niet bijgelovig, maar wel realistisch!)
Dat is 'de goden verzoeken' (nee, ik ben niet bijgelovig, maar wel realistisch!)
laat maar gebeuren, dat laat men realiseren systemen niet te koppelen aan publieke netwerken (ook indirect via via). je weet de constanten van een systeem dat absoluut en niets anders kan opvolgen dan instructies. module op module maakt iets onveilig. dat kan opgelost worden tot je de enige probleem over houdt dat iemand het aan moet kunnen sturen en dus dat de enige zwakste schakel blijft.
of gewoon belangrijke dingen buiten internet laten en alleen strikt aantal personen toelaten met strikte regels. uiteindelijk ligt het aan de mensen of iets fout kan gaan of niet. we leren er wel van.
kan niet wachten tot we met zen alle handig draadloos kunnen pinnen met de mobiel! ik voorzie dat het totaal 100% veilig zal zijn met kennis dat nooit een systeem gekraakt is, draadloos netwerken altijd veilig zijn en applicaties nooit fouten bevatten.
digitale terrorisme¿ was da. das magisch wat ze doen toch?
of gewoon belangrijke dingen buiten internet laten en alleen strikt aantal personen toelaten met strikte regels. uiteindelijk ligt het aan de mensen of iets fout kan gaan of niet. we leren er wel van.
kan niet wachten tot we met zen alle handig draadloos kunnen pinnen met de mobiel! ik voorzie dat het totaal 100% veilig zal zijn met kennis dat nooit een systeem gekraakt is, draadloos netwerken altijd veilig zijn en applicaties nooit fouten bevatten.
digitale terrorisme¿ was da. das magisch wat ze doen toch?
Volgensmij was dat al fake verklaard
bron: google anonymous 31 march
bron: google anonymous 31 march
Ik hoop dat ie gelijk heeft maar de geschiedenis heeft nu wel uitgewezen dat bepaalde systemen niet echt goed beveiligd zijn geweest.
Misschien dat er nog geen doden zijn gevallen maar het zou me niet verbazen als een keer een polder onderloopt, de stroom voor weken uitvalt, dat het water vergiftigd wordt, banken overvallen worden terwijl de hulpdiensten ergens anders op afgestuurd zijn, vliegtuigen hun hoogtemeters een verkeerd signaal doorkrijgen, satellieten de dampkring in gestuurd worden, vul zelf verder aan.
Bijna overal zit wel een computer achter.
Misschien dat er nog geen doden zijn gevallen maar het zou me niet verbazen als een keer een polder onderloopt, de stroom voor weken uitvalt, dat het water vergiftigd wordt, banken overvallen worden terwijl de hulpdiensten ergens anders op afgestuurd zijn, vliegtuigen hun hoogtemeters een verkeerd signaal doorkrijgen, satellieten de dampkring in gestuurd worden, vul zelf verder aan.
Bijna overal zit wel een computer achter.
Ik vind (black-hat) hacken (cracken) per definitie al cyber(digitaal) terrorisme.En wel een gevaar gezien het grote aantal black-hat hacks van het afgelopen jaar.
[Reactie gewijzigd door Nozem1959 op donderdag 1 maart 2012 22:37]
Ik maak me nu nog steeds het meest zorgen om de kernproeven in Iran en Noord-Korea.
Ik voel me er zeker niet goed bij dat (zeker Iran) ze een bloedhekel hebben aan het westen.
Ik voel me er zeker niet goed bij dat (zeker Iran) ze een bloedhekel hebben aan het westen.
Iran heeft nog helemaal geen kernproeven gedaan, hun kernprogramma wordt nog steeds door het Internationaal atoom agentschap gemonitord. Daarnaast hebben ze alleen relatief laag verrijkt uranium (20 % of lager), volgens het verdrag met het IEAE hebben ze het recht dat te maken. Al het plutonuim wat uit de Busher reactor komt gaat terug naar Rusland. Volgens het IEAE, dat erop toeziet dat kern material niet voor wapen doeleinden wordt gebruikt, is geen atoom uit het civiele programma verdwenen.
Met hoog verrijkt uranium (90 % +) kun je primitieve atoomwapens maken maar die zijn niet gemakkelijk af te leveren op een raket. En Iran gaat echt geen zelfmoord plegen zodra ze een bom hebben.
Ik zo me meer zorgen maken over de oorlogszuchtige overreactie van de kernmachten Israel en de VS, een oorlog in de Perzische golf heeft alle potentie de wereld economie lam te leggen. Iran is al jaren volledig omsingeld door Amerikaanse basissen:
US bases around Iran
Race for Iran
Met hoog verrijkt uranium (90 % +) kun je primitieve atoomwapens maken maar die zijn niet gemakkelijk af te leveren op een raket. En Iran gaat echt geen zelfmoord plegen zodra ze een bom hebben.
Ik zo me meer zorgen maken over de oorlogszuchtige overreactie van de kernmachten Israel en de VS, een oorlog in de Perzische golf heeft alle potentie de wereld economie lam te leggen. Iran is al jaren volledig omsingeld door Amerikaanse basissen:
US bases around Iran
Race for Iran
Het idee van een Iran met een atoomwapen is geen vreemde gedachtengang. Angst voor een blind-religieus extremistisch bestuurd land als Iran is ook niet gek.
Als daar nou een beetje normaal bestuurd zou worden, meer vrijheid zou bestaan, bijvoorbeeld democratie in plaats van een of andere opper-dominee die alle touwtjes in handen heeft...Dan zou ik zo'n land zijn eigen kernwapen ook gunnen (bij wijze van spreken dan he). Waarschijnlijk is er dan gewoon mee te praten, afspraken te maken, de zogenaamde normale diplomatie kan dan worden toegepast.
Nu is er geen sprake van een betrouwbare gesprekspartner. Vandaag afgesproken, morgen doen ze wat anders. Geen land mee te bezeilen.
Als daar nou een beetje normaal bestuurd zou worden, meer vrijheid zou bestaan, bijvoorbeeld democratie in plaats van een of andere opper-dominee die alle touwtjes in handen heeft...Dan zou ik zo'n land zijn eigen kernwapen ook gunnen (bij wijze van spreken dan he). Waarschijnlijk is er dan gewoon mee te praten, afspraken te maken, de zogenaamde normale diplomatie kan dan worden toegepast.
Nu is er geen sprake van een betrouwbare gesprekspartner. Vandaag afgesproken, morgen doen ze wat anders. Geen land mee te bezeilen.
Iran was voor een korte tijd een democratie tot de CIA een coup pleegde in 1953 en hun puppet dictator (of zoals de NOS het laatst noemde Koning) de Shah aan de macht zette:
http://en.wikipedia.org/wiki/1953_Iranian_coup_d'%C3%A9tat
En zoals ik in mijn comment al aangaf, er is nooit bewijs geleverd dat Iran aan een kernwapen werkt, ze worden nog steeds gewoon gecontrolleerd door het IEAE.
http://en.wikipedia.org/wiki/1953_Iranian_coup_d'%C3%A9tat
En zoals ik in mijn comment al aangaf, er is nooit bewijs geleverd dat Iran aan een kernwapen werkt, ze worden nog steeds gewoon gecontrolleerd door het IEAE.
[Reactie gewijzigd door ewt op vrijdag 2 maart 2012 11:03]
dit klinkt als een uitdaging
en btw, was laast nog op het nieuws dat iedereen makelijk in ons waterschap kan zitten en heel NL onder water kan zetter
en btw, was laast nog op het nieuws dat iedereen makelijk in ons waterschap kan zitten en heel NL onder water kan zetter
[Reactie gewijzigd door dakka op donderdag 1 maart 2012 22:42]
Als ik denk aan digitaal terrorisme moet ik vooral denken aan overheden, en stichtingen zoals brein. Helaas vormen ze nog een gevaar ook.
Op dit item kan niet meer gereageerd worden.
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
