Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 129 reacties

Eugene Kaspersky, ceo van het Russische beveiligingsbedrijf Kaspersky Lab, stelde op de NCSC One-conferentie in Den Haag dat we ons op dit moment in de middeleeuwen van internetbeveiliging bevinden. Het zou echter mogelijk zijn om een degelijk niveau aan beveiliging te bereiken.

Met zijn opmerking doelt Kaspersky op de cycle of innovation, die ook van toepassing is op beveiliging. De cycle houdt in dat er eerst een innovatie plaatsvindt, in dit geval de ontwikkeling van internet, waarna gebruik kan worden gemaakt van de vruchten die de nieuwe ontwikkeling afwerpt. Tegelijk bestaat echter de noodzaak om problemen die de nieuwe technologie met zich meebrengt op te lossen.

Op dit moment zou het dan ook de hoogste prioriteit hebben om wijdverspreide beveiligingsproblemen op te lossen. "We moeten alles beveiligen", stelt Kaspersky dan ook in zijn presentatie. "Het is haalbaar om perfecte beveiliging te ontwikkelen", voegt hij daaraan toe. "Om dat te bereiken moet het financieel onaantrekkelijk worden om een aanval op een systeem uit te voeren." Op dit moment zou het nog te eenvoudig zijn om gebruik te maken van kwetsbaarheden om een netwerk binnen te dringen. Zelfs kwetsbaarheden in een koffiezetapparaat zouden ernstige gevolgen kunnen hebben.

Kaspersky vervolgt dat alle besturingssystemen risico lopen. Er zijn wel grote verschillen aan te wijzen tussen de verschillende versies. Zo zijn er 328 miljoen kwaadaardige bestanden te vinden die gericht zijn op Windows, waarmee dit systeem op nummer een staat. Het wordt gevolgd door Android met 16 miljoen bestanden en daarna volgen OS X en Linux met respectievelijk 41.000 en 18.000 bestanden. Volgens Kaspersky is het lage aantal bij OS X te verklaren door het feit dat het moeilijk is om Mac-ontwikkelaars te vinden. IOS telt het laagste aantal kwaadaardige bestanden, daarvan zouden er slechts 1000 zijn.

Oplossingen zijn volgens de Russische ceo te vinden in het beveiligen van huidige systemen en het opnieuw ontwikkelen van toekomstige systemen, waarbij moet worden uitgegaan van een secure platform. Voor huidige systemen geldt ook dat regelmatige penetration tests moeten worden uitgevoerd, naast de introductie van air gaps. Daarmee zouden aanvallen als BlackEnergy in de Oekraïne tegengegaan kunnen worden. Kaspersky merkt op dat die aanval relatief snel was opgelost, doordat de systemen handmatig opnieuw gestart konden worden. In modernere energiecentrales in Europa zou een dergelijke aanval echter veel ernstigere gevolgen hebben, omdat die deze mogelijkheid niet hebben.

ncsc one kaspersky

Eugene Kaspersky op de NCSC One-conferentie in Den Haag

Moderatie-faq Wijzig weergave

Reacties (129)

"Zelfs kwetsbaarheden in een koffiezetapparaat zouden ernstige gevolgen kunnen hebben......" Hier moet ik toch echt langer over nadenken. Gaat de machine het koffiegedrag van zijn eigenaar lekken? Of komt er espresso i.p.v. Latte uit de machine of kanvulling i.p.v. 1 kopje? Meer schadelijke gevolgen dan dat kan ik niet zo gauw bedenken.
Nee het is niet zo zeer de koffie automaat zelf die het doel is. De truck is om een netwerk binnen te komen.

Laten we zeggen dat een bedrijf NetBSD gebruikt want beveiliging... De mensen die hier aan de beveiliging werken zijn erg goed houden bij wat er op de markt beschikbaar is patchen direct en blokkeren alles wat er geblokkeerd kan worden op de systemen.
Dan komt er de vraag van de medewerkers om betere koffie dus een nieuwe koffie machine wordt neergezet en die bied toegang tot een profiel voor iedere medewerker zodat zij de perfecte koffie naar eigen smaak kunnen laten maken (waarom niet iedereen heeft een toegangskaart die gekoppeld is aan de AD/LDAP server) en dat apparaat zet geweldige koffie.

Een week later liggen alle bedrijfsgeheimen opstraat...
Heel erg simpel de koffie machine kon natuurlijk ook updates krijgen van de leverancier en om onderhoud verzoeken etc (HP printers doen dit soort dingen al jaren). Wat dus inhoud dat het ding met de buiten wereld moest kunnen praten. Het apparaat draaide een Linux afgeleide die (wat weet een koffie machine boer nu van ICT) nog al verouderd en dus erg kwetsbaar was. De hackers wisten via de koffie machine toegang tot het netwerk te krijgen en de LDAP server te benaderen. Van die machine bij de mail en wiki servers te komen en voor je het weet hadden ze toegang tot alles wat ze maar wilde.

Dit is niet een hypothetisch verhaal, dit is hoe men bij bedrijven binnen komt als de voordeur dicht is dan simpel weg het keuken raampje. Zo werkte dat bij een inbraak in de echte wereld en dat is digitaal niet anders.

En mijn opmerking "wat weet een koffie machine boer nu van ICT" is het grote probleem want wat zou deze er van moeten weten. Je ziet auto's die aan alle kanten gehacked worden en je ziet steeds meer IoT (Internet of Things) toepassingen die een hele kleine kernel (vaak Linux of een afgeleide) draaien en simpel weg de mogelijkheid niet hebben om gepatched te worden.
De huidige ideeen over beveiliging is voor veel organisaties nog steeds een een virus scanner en het komt wel goed, sommige meer ICT georienteerde bedrijven hangen ook nog een firewall in het netwerk en zijn blij dat ze nu geheel veilig zijn.
Het linkt voor iemand die bekend is met ICT misschien nog al dom maar kijk eens naar de hoeveelheid auto's waarvan de eigenaar als het even kan de APK keuring overslaat omdat hij/zij weet dat het ding niet door de keuring komt en het een flinke rekening wordt om die dingen op te lossen... Maar het is wel het verschil tussen veilig of on veilig de weg op. Dit is in de ICT wereld niet anders.
En dan heb je natuurlijk ook nog de gevallen waar die kwaadaardige acties met een speciale firmware in het apparaat worden meegestuurd, zoals die printers in Iran een decade terug.
Mooie uitleg, dank!
Daar kan ik me nog iets bij voorstellen aangezien je dan een node binnen het netwerk owned.
Manieren om printers of andere smart devices te (mis)bruiken : spam versturen, ddos aanvallen uitvoeren en ga zo maar verder.

Denk met name aan de nieuwe generatie IoT devices, het zijn bijna allemaal linux boxjes met wat speciale software erop. Het grootste probleem is dat zolang het device werkt niemand er naar omkijkt. Bij een desktop of laptop installeer je voortdurend updates en mocht er een keer iets misgaan dan merk je dit ook snel. Als de printer in de nacht spam mail gaat versturen maar overdag gewoon rustig zijn papiertjes print dan kun je er geld op inzetten dat er geen haan naar kraait.
Manieren om printers of andere smart devices te (mis)bruiken : spam versturen, ddos aanvallen uitvoeren en ga zo maar verder.

Denk met name aan de nieuwe generatie IoT devices, het zijn bijna allemaal linux boxjes met wat speciale software erop. Het grootste probleem is dat zolang het device werkt niemand er naar omkijkt. Bij een desktop of laptop installeer je voortdurend updates en mocht er een keer iets misgaan dan merk je dit ook snel. Als de printer in de nacht spam mail gaat versturen maar overdag gewoon rustig zijn papiertjes print dan kun je er geld op inzetten dat er geen haan naar kraait.
In dit geval zal de kans best groot zijn dat je door je provider afgesloten gesloten gaat worden van internet. Probeer dan maar de veroorzaker te vinden.
Tja 10 noem eens wat Ziggo klanten zal niet zo'n probleem zijn. Verhaal wordt anders als 10 duizenden bij een Aldi gekochte vage koffiezetter hebben en van de ene op de andere nacht afgesloten worden.
Je zou het koffieapparaat kunnen instrueren om veel meer stroom te gaan gebruiken dan het aankan, met brand tot gevolg (afhankelijk natuurlijk van hoe het een en ander is geschreven en wat je al niet kan aansturen), of je kan het inderdaad zoals Runia al aangeeft gebruiken als door-hop-punt binnen je netwerk. Als het iets simpels als netcat kan draaien, of portforwarding kan doen, kan je overal naar toe gaan.
Dat lijkt me toch echt niet... Wat een 'smart device' doorgaans doet is bepaalde functies verbinden via het internet. Denk aan het knopje om een kop koffie te zetten welke nu digitaal bestuurd kan worden. Dingen als de voeding worden nooit direct aangestuurd en daar komt natuurlijk nog bij dat zo'n devices tal van "analoge" beveiligingen heeft tegen zo catastrofaal falen. Net zoals een eindgebruiker van een ouderwets koffiezetapparaat dat ding niet kon opblazen zonder handmatig met een schroevendraaier erin te gaan kloten, kan de IoT controller die erin zit dat ook niet.

Dit neemt natuurlijk niet weg dat die tweederangs IoT dingen een enorm veiligheidsrisico bieden natuurlijk, maar dit heeft vooral te maken met je netwerk veiligheid. Ze kunnen relatief makkelijk gebruikt worden voor botnets omdat de meeste users toch niet door hebben wat het koffiezetapparaat 's nachts doet, terwijl dit bij een telefoon op PC toch redelijk snel opgemerkt wordt.
Kom laten we een feature bouwen die ervoor zorgt dat je koffiezet apparaat 1 minuut lang extra heet kan worden, is goed voor ..... / esspresso / ... weet ik veel

- dat kan de analoge beveiliging niet aan..

- Hmm.. laten we die eruit slopen en vervangen door een elektronisch regelbare oplossing, die zijn toch goedkoper en wired!!
Er zijn kennelijk een hoop mensen die niet zijn opgegroeid met computer hardware, wie kan zich nog herinneren dat de eerste Pentium reeksen geen (goede) hitte beveiliging had? Ik weet nog dat we hebben gedemonstreerd dat de CPU zo heet werd en dwars door het mobo, de tafel en het zijl een brande. Natuurlijk zit daar nu een veel betere beveiliging in, maar ook hardware heeft bugs en steeds meer hardware is te programmeren (oa. met firmware).

Dan heb je nog systemen waar de software kant als bijzaak er later ingebouwd is, een mooi voorbeeld daarvan zijn auto's de media kant is veel te veel geïntegreerd met de besturings- en aandrijvingskant, je kan dus vrij makkelijk auto's hacken en hele nare dingen daarmee doen. Daar wordt nu pas over nagedacht, maar hoe lang zitten er al computers in auto's? Vele, vele jaren...
Vroeger hadden electrische apparaten meest van tijd nog wel ergens een op de primaire and vaak ook nog op de secundaire kant een zekering zitten die doorbrandt als er teveel stroom getrokken wordt maar tegenwoordig waar alles zo goedkoop mogelijk geproduceerd moet worden en elke cent telt, ontbreekt dit veelal, met gevolg dat als er wat misgaat de mogelijkheid groot is dat er echt brand ontstaat i.p.v. dat de zekering eruit klapt. Neemt niet weg dat electrische apparant natuurlijk ook wel veel betrouwbaarder zijn geworden in het laatste decennium.
Wanneer dat via software mogelijk zou zijn moeten er ook hardware protecties aanwezig zijn om te voldoen aan veiligheidscertificaten. Dat soort issues zijn niet interessant.
Zou moeten zijn.... juist, kijk ook even naar de beveiliging in de auto industrie op software gebied. Daar zouden vast ook een berg certificaten moeten zijn (of je zou het verwachten), en toch kan je met wat eenvoudige tools (of wordt het al lastiger?) iemand z'n auto overnemen. En remote sturen.

http://www.wired.com/2015...motely-kill-jeep-highway/

I mean, sure, "dit soort issues zijn niet interessant", maar een programmeer fout is zo gemaakt ;) Of een ondoordachte scheiding tussen hardware/software gebieden binnen een vending machine (of een huis/tuin/keuken IoT koffiezetter).
Je zit er compleet langs met je reactie.

Veiligheidscertificaat bij een dergelijk product waarborgt dat ie geen situaties kunnen ontstaan waardoor het apparaat voor een veiligheidsrisico kan zorgen. Bijvoorbeeld wanneer software iets buiten spec wil gebruiken moet een hardware protectie dit voorkomen. In het geval van de koffiezetter wordt voorkomen dat deze meer vermogen ergens in kan stoppen dat mag. Zoals ik al in mijn vorige post zei: beveiligen om dit soort issues te voorkomen is dus niet interessant. Het gaat om misbruik om via een dergelijk apparaat toegang te krijgen op een netwerk.

Jou voorbeeld slaat de plank mis ten opzichte van mijn reactie. Een goed (hypothetisch!) voorbeeld zou zijn: Maximale toerental wordt beveiligd door een hardware protectie. Indien dit toerental door een hack zou worden overschreven gaat de motor niet kapot of raakt niet overhit --> Veiligheidsissue aangezien de auto niet in brand gaat.

Waar het wel om gaat is dat uberhaubt via een remote verbinding motormanagement-zaken kunnen worden aangestuurd. Dat horen gescheiden systemen te zijn. Ook daar zijn certificaten voor en Jeep zal daar ongetwijfeld een fout mee hebben gemaakt.
Wat dacht je van oververhitting of kortsluiting veroorzaken met een afgebrand huis als gevolg? Toegegeven, niet het meest waarschijnlijke scenario, maar bij elektrische apparaten heb je altijd dergelijke risico's. Als je remote eventuele beveiligingsinstellingen uit kunt zetten en zo'n apparaat volkomen buiten zijn specs kan laten gaan, dan zouden er zelfs doden kunnen vallen.
Nogmaals, waarschijnlijk is dit allemaal niet, maar dat is juist het probleem bij beveiliging, het zijn die dingen waar je nu net niet aan gedacht hebt die onverwachte risico's op kunnen leveren.
Wat dacht je van oververhitting of kortsluiting veroorzaken met een afgebrand huis als gevolg? Toegegeven, niet het meest waarschijnlijke scenario, maar bij elektrische apparaten heb je altijd dergelijke risico's.
Voor een enkel apparaat valt het risico wel mee. Het is altijd mogelijk dat er iets stuk gaat dat niet goed is beveiligd tegen overbelasting, zelfs zonder hackers. Maar als je alle elektrische apparaten in een huis tegelijk aan zet wordt het al vervelender. Als je dat met een hele straat of stad tegelijk doet zie ik behoorlijk mis gaan.
Volgens mij was de brand in de TU Delft ook veroorzaakt door een koffieapparaat (na lekkage.
Dat pand brandde eerst uit, en stortte daarna in.
Bij veel computers (lees apparaten) is er als het ware een soort oververhittings beveiliging aanwezig, als een component te warm word bijvoorbeeld een videokaart word het apparaat simpel weg uitgeschakeld. Nu weet ik niet zeker of alle apparaten dit gebruiken en of het überhaupt mogelijk is om een apparaat zo te programmeren dat het meer verbruikt dan het aan kan.
Het wordt deel van een DDOS netwerk denk ik.
Een DDOS netwerk . Wat is dat voor iets? :/
Een netwerk van apparaten die gebruikt worden om een DDOS aanval uit te voeren.
DDOS staat voor Distributed Denial of Service... Distributed geeft aan dat het meerdere nodes betreft, "DDOS netwerk" is dus ook een pleonasme ;) . DOS-netwerk (hoewel dat verward kan worden met het DOS besturingssysteem) zou dan nog kloppen...
Met ddos netwerk wordt er dus eigenlijk een botbet bedoeld ;)
hmm niet per se, want een botnet kan dan ook weer voor andere doeleinden worden gebruikt dan DDOS'en. een DDOS werkt dus (altijd?) via een botnet, maar het is ook weer niet hetzelfde :) </zeur>
In de regel klopt het wat je zegt, maar in dit geval is dit de meest geschikte term (denk ik).
Wat is een botbet nou weer?
Een "slim" koffiezetapparaat met zwakke beveiliging kan een makkelijke manier zijn om op een netwerk binnen te komen. Hackers zoeken immers de zwakste plekken in beveiliging op. Heb je 10 apparaten goed beveiligd op je netwerk, en een zwak- (of niet-) beveiligd koffiezetappareaat, dan is het een ideale manier om via daar binnen te dringen. Printers worden hier ook vaak voor gebruikt.
"Slimme" koffie-apparaten houden ook bij hoeveel kopjes er geschonken zijn en besteld automatisch koffie bij de leverancier. Staat er straks een zee-container vol met koffie voor je bedrijf :)
Als die dan ook geschonken is, voor mij geen probleem! Kom maar door
Onbeperkt water laten lopen, zodat de boel onder komt te staan. Of de boiler oververhitten zodat er brand ontstaat?
De koffieautomaten kun je via het lokale netwerk of via internet aanpassen door middel van een interface, hierin kun je het apparaat helemaal afstellen zoals jij wil, hoeveelheid water, koffie, melk, suiker etc. Ook kan er voor gekozen worden dat zodra de koffie bijna op is er automatische nieuwe koffie besteld wordt bij een leverancier. En bij een storing kunnen leveranciers op de automaten inloggen om de storingen uit te lezen en eventueel verhelpen waardoor er geen servicemonteur langs hoeft te komen.
Als dit dus niet over een beveiligde verbinding loopt of er standaard wachtwoorden gebruikt worden heb je al een redelijk gat waar gretig gebruik van gemaakt kan worden.

[Reactie gewijzigd door Cowamundo op 5 april 2016 13:49]

Buiten al het gevaar voor je netwerk kan ik me voorstellen dat inbrekers het wel makkelijk vinden als de weten wanneer iemand van zijn normale ritme (ochtend koffie bijv.) afgeweken is en wellicht niet thuis is. Het zou een moderne truck kunnen zijn om te kijken of iemand langere tijd niet thuis is.
Ik schrijf al jaren over de IOT en hoe het geen goed idee is om ICT toe te passen in apparaten die daar goed zonder kunnen. Ik schrijf vrijwel constant over die cycle of innovation. Hoe technologie eerst wordt ingevoerd en pas daarna wordt gekeken hoe de problemen die ze veroorzaakt moeten worden opgelost.

Die cyclus is vaut. We zouden eerst moeten nadenken over de gevolgen, daarmee vervolgens rekening houden en waar nodig nog veranderingen aanbrengen en daarna invoeren.

Het bedrijfsleven wil dat natuurlijk niet. Enerzijds willen ze snel winst maken voor de concurrent klaar is om met iets gelijkwaardigs te komen. Anderzijds zijn bepaalde problemen juist een pluspunt voor bedrijven. Missende functies of features en zelfs gebrek aan beveiliging kan een reden zijn om een nieuwe versie op de markt te brengen. Dat levert winst op, over de ruggen van de gebruikers, de early majority and early adopters.

Het is leuk dat Kapersky het met mij eens is zo te zien. Als ie me dat nu jaren geleden effe had gebeld... Ik schrijf ook al jaren dat ICT beveiliging zwaar achter loopt bij de innovaties. Ook niets nieuws.

Het punt dat hij vergeet is dat we een inhaalslag moeten doen rond ICT beveiliging maar dat we ICT als geheel niet zo kritiekloos moeten omarmen en toestaan dat koffiemakers en koelkasten een netwerkkaart krijgen. Dat is zinloos, het voegt niets toe aan het leven of je levensgeluk. Het zorgt voor meer risico's, wanneer je huishoudelijke apparaten te pas en te onpas verbinding zoeken met je modem om contact te maken met lokale winkels of globale corporaties voor updates, voor de lijst met aanbiedingen of om data te versturen over je gebruik, om de reden 'we gebruiken die informatie voor productverbetering' zoals vrijwel alle gebruiksovereenkomsten tegenwoordig stellen.
Waarmee ze hetzelfde doen als Steam: early access; producten, die niet helemaal naar behoren werken, of aan minimale eisen voldoen, maar eigenlijk minder af zijn dan de apparaten die je vroeger kocht, omdat de testfase nu overlapt met de verkoopfase.

De risico's van beveiliging zitten op elk punt, het product en de wireless verbinding, de modem, de pc, de huiscomputer in geval van huizen van mensen die niet een pc hebben of gebruiken, de hub in het bejaardentehok, waar een niet al te snuggere hobby ICT'er rond waggelt, de provider en de bedrijven waar uiteindelijk contact mee wordt gezocht, dan wel hun privaatrechtelijke partners die genoemd worden in de TOS en waar ze je data mee kunnen delen.

IOT is iets wat we niet moeten willen. Als 'normaal' internet al niet goed beveiligd is, terwijl er nog steeds talloze 'innovaties' gaande zijn die rücksichtslos in de markt worden gestort, terwijl men berekend dat cybercrime ons miljarden kost op jaarbasis, denk ik dat het stom is om apparaten te gaan kopen of ontwikkelen die net als bij thermostaten, slecht beveiligd zijn.

Beveiliging is te veel een na-gedachte. Het gaat bedrijven om winst. Maar het kost ons privacy en mogelijk worden we slachtoffer van cybercrime.

Een koffiezetapparaat, gewoon zo'n standaard dingetje kost tegenwoordig minder dan 15,- euro. Tijdens het gebruik van zo'n IOT variant wordt er meer winst gemaakt met de data die het genereert dan met de winst via de aanschafprijs.

De economie verandert van een van producten naar informatie. Informatie is het fundament van de economie, niet de materie. Apparaten zullen slechts het excuus of het middel zijn om te komen tot profilering. En daar hoor je Kapersky niet over want zij maken winst juist omdat ICT slecht functioneert.

Kapersky kan niet wachten tot mensen zo dom zijn om IOT apparaten aan te schaffen. Zij geven niet om onze data net zo min als een sleutelmaker geeft om onze inboedel.

Kijk, als je via ICT zaken met elkaar verbind krijg je een opschaling van de mogelijkheden en de risicos.

We maken ons druk over de 'slimme energiemeter'. Hoe zit dat met uitlezen op afstand? Welke data wordt verzameld en verstuurd, hoe vaak en naar wie? Maar als je koelkast ook energie gebruikt en aan je modem hangt, dan kun je met een app je stroomgebruik per apparaat meten, Mooi toch? Wel ja en nee.

Want wat jij weet, kan een ander ook weten, doordat je toestemming geeft om tips te ontvangen over energie zuinigheid, maar je kunt ook reclame krijgen welke koelkast momenteel beter is dan de jouwe. Voor het klimaat en de opoffering van grondstoffen is dat mogelijk niet beter, omdat er voor de productie al wel veel energie en materiaal is gebruikt, zo veel, dat het vroegtijdig omruilen van die koelkast in feite schadelijker is. Dit is een kwestie van break-even point. Op welk moment heb je de kostprijs in NMK bereikt en ga je 'winst' maken.
Voor jezelf kan het betekenen dat je je opgejaagd voelt om toch weer iets 'beters' aan te schaffen. Maar bedrijven hebben inzage in je gebruik, omdat een connectie met je energiemeter snel gelegd is. En dan is er een TOS die bepaald hoe en wat gedeeld wordt. Helaas is een TOS een veelal ongelezen juridisch document dat 'eenvoudig' zou moeten lezen maar vaak nog zo ingewikkeld is, net als een referendum over een associatieverdrag blijkbaar, dat mensen het maar laten zitten.

Zo zal er vrijwel niemand de Occulus Rift terugsturen vanwege de TOS, waar je je haren van uitrukt.

Het kan ook betekenen dat je koelkast praat met alle andere IOT apparaten, er is immers een protocol voor dat soort communicatie. En als we dan ook rfid chips toestaan in alle producten, dan weet je koelkast hoe veel melk je nog hebt, wat dat betekent voor je energiegebruik (als je pak melk warm werd in de auto moet ie extra koelen) hoeveel koppen melkschuim dat is voor je koffiemaker en welke aanbiedingen in de lokale supermarkten je kunnen helpen geld te besparen, mist je je email adres opgeeft aan de merken van je apparaten etc.

Profilering komt tot in je koelkast, in je apparaten, en dus tot in je mond, welke smaak koffiepad je het meeste gebruikt. Let op! Gebruikt! Niet eens 'koopt'! Kopen is nog niet gebruiken. Je kunt ook kopen voor je buurvrouw.

Terwijl google al zo'n 100 velden in je profiel spreadsheet heeft, kan via IOT dat veld vrijwel eindeloos uitgebreid worden tot elk aspect van je leven. Van koffievoorkeur tot voorkeur voor type melk, mager, halfvol, volle melk, tot voorliefde voor merken, waar je het koopt, wanneer, hoe lang het duurt voor het gepind is bij de supermarkt tot het gescand wordt door je koelkast, hoe lang je er mee doet, hoe vaak je melk uit de koelkast pakt, want elke keer scant de koelkast het weer in voor een inhoudsupdate... en ga zo maar door.

De inzicht die je mogelijk via een app waar je drie keer op kijkt en daarna nooit meer, zoals dat ook ging bij mijn verbruik meet apparaatje, is kleiner dan wat de corporaties over je weten. Het zal dus in zo'n wereld vrijwel onmogelijk worden je te verzetten tegen diep op je psyche inwerkende persoonlijke reclames.

Dat is slecht voor NMK omdat je waarschijnlijk meer consumeert, omdat waar je ook bent, je koelkast je kan bereiken omdat de melk op is en je dus nooit de kans zult missen om voor sluitingstijd nog iets te kopen.

De overheid is blij want het levert meer omzet op bij bedrijven. Maar de winst gaat naar aandeelhouders, die via de brievenbusfirma belasting ontwijken of ontduiken waarschijnlijk.

Dus IOT is een vorm van technologie, een combinatie van verschillende met als vast onderdeel ICT, is een van de grootste komende sociaal-maatschappelijke crises van de afgelopen 150 jaar.

[Reactie gewijzigd door Vendar op 6 april 2016 10:10]

De thermische beveiliging afzetten en de boel oververhitten?
Koffie... Java... Volgens mij maakte je hier best een leuke woordgrap en ben je omlaag gemod omdat het niet begrepen werd...
Wie kan mij uitleggen hoe aanvallen op belangrijke infra als energiecentrales überhaupt mogelijk zijn. De kritieke zaken bij zon centrale zitten toch in een eigen lan zou je zeggen? Zonder internettoegang. De enige exploit is social engineering in zon geval, en dat ga je nooit uitroeien.
Onderschat social engineering niet. Onderschat Offline acties niet.
De combinatie van beide is nog erger.
Energie centrales moeten hun energie uitgaven regelen aan de hand van de vraag op dat moment, en het aanbod op dat moment (kan nogal tricky zijn met zond en wind energie)
Dus die moeten wel communiceren.
Of de beheerder van het regelsysteem wil graag remote toegang voor support. Via een VPN, dat wel. Maar via een hack op de laptop van de medewerker (die ook thuis op de bank wordt gebruikt voor algemene zaken) kan er dan toch worden ingebroken. Trojan planten op laptops met VPN client, zodra er verbinding is wat injecteren in de terminalsessie. En gewoon volhouden tot er een treffer is.
. Het wordt gevolgd door Android met 16 miljoen bestanden en daarna volgen OS X en Linux met respectievelijk 41.000 en 18.000

In mijn beleving is Android op Linux gebaseerd dus lijkt het me dat er een groot aantal gedeelde componenten zijn. Kan iemand uitleggen waarom dit verschil in vulnerabilities zo groot is? M.a.w. bestaat het gros uit ongepatchte Linux bestanden of zijn dit specifieke Android bestanden?
Denk dat ze met linux enkel de kernel+userland bedoelen en met Android, de android kernel, userland EN android OS bedoelen.
Het zijn het aantal bestanden, niet het aantal kwetsbaarheden. En als je dat onderscheid ziet dan is het logisch dat er veel meer van zijn voor Android want er zijn gewoon veel meer kwetsbare Android gebruikers dan Linux gebruikers. Van die laatste zijn er al minder, en over het algemeen zijn het geavanceerdere gebruikers (of het gaat om servers die door een IT-er beheerd worden). Bovendien kampt Android met het probleem dat telefoons vaak geen updates krijgen van de fabrikant. Dat alles maakt Android tot een veel aantrekkelijker doelwit voor malware schrijvers.
Alles is te beveiligen. En alles is te kraken.
Eeuwig kat en Muis spel. Helemaal omdat er zo verschrikkelijk veel geld in om gaat. In de georganiseerde crackers wereld als in de officiële beveiligings wereld.
De grote vraag is altijd: Hoeveel comfort / gemak en geld wil je opofferen voor (het gevoel van )security / veiligheid.
Hoewel ik niets dan lof heb over de zeer goede resultaten dat hun anti-malware product vrijwel altijd behaalt, vind ik wel dat Eugene Kaspersky een blaaskaak kan zijn, in dat hij een beeld probeert voor te spiegelen als het zijn van de reddende engel in de sec wereld. Het is erg makkelijk om de profeet voor security uit te hangen, terwijl op de achtergrond de security van de eigen producten wat meer aandacht dient te krijgen.

Vervolgens wat hij nu roept, is geen nieuwe kennis. In een noten dop: "we leven in de middeleeuwen", "we moeten alles beveiligen", "we moeten een nieuw systeem van de grond af opbouwen", "doe penetration tests", "introduceer air gaps", "sommige OSen hebben te kampen met meer malware dan anderen". Ook ligt ergens de hint "alle software voor een OS moet in de toekomst gesigned worden door de ontwikkelaar van het OS, als uitsluitend in de winkel van de OS ontwikkelaar gedownload kunnen worden".

Met andere woorden "Kaspersky doet mee aan beveiliging; koop ons product!".
Vraag me af of de genoemde aantallen ook vergelijkbare relevantie hebben.. 1 simpele exploit als heart bleed kon natuurlijk veel meer directe schade aanrichten dan bv een bestandje als eicar.com.

Niet voor iedere kwetsbaarheid hoeft er een bestand te vinden zijn natuurlijk. Zeker in deze verbonden wereld is het soms al voldoende om een specifiek datapakketje te verzenden om toegang te krijgen en schade aan te richten.

neemt trouwens niet weg dat er op een aantal gebieden absoluut nog een hoop te winnen is in security. kwetsbaarheden zoals het op afstand kunnen binnendringen en bedienen van vitale autosytemen is daar een recent voorbeeld van. (zou nooit mogelijk moeten zijn geweest.)

[Reactie gewijzigd door nachtnet op 5 april 2016 12:35]

. "Om dat te bereiken moet het financieel onaantrekkelijk worden om een aanval op een systeem uit te voeren."
Meneer vergeet voor het gemak dat er nog veel meer redenen zijn om een aanval op een systeem uit te voeren? Bijvoorbeeld hactivism, het hacken / cracken vanuit idealistisch oogpunt. Het hackenter leering ende vermaeck of voor bedrijfsspionage of om imageschade te veroorzaken.

Stellen dat het finacieel onaantrekkelijk maken genoeg is om veilig te zijn is wat mij betreft veel te kort door de bocht.

[Reactie gewijzigd door Bor op 5 april 2016 12:46]

Ik denk dat je het op twee manieren kunt lezen. Misschien is de winst van een hack niet altijd financieel interessant, het kan ook gaan over de prijs om de hack te realiseren.
Veel virussen voor windows muteren zichzelf na elke besmetting. Hebben ze deze bij elkaar opgeteld? In dat geval kom je makkelijk aan 328 miljoen, maar of dat helemaal fair is?
Enerzijds leven we in de middeleeuwen wat internetbeveiliging betreft maar anderzijds wordt het Internet of Things the next big thing. Je kan nu al voorspellen dat dat fout gaat lopen.
"Het is haalbaar om perfecte beveiliging te ontwikkelen", voegt hij daaraan toe. "Om dat te bereiken moet het financieel onaantrekkelijk worden om een aanval op een systeem uit te voeren."
Dit is een denkfout. Men neemt aan dat er een rationele kosten-batenoverweging wordt gemaakt. Dat is niet altijd het geval. Denk aan de acties van bijvoorbeeld overheden en terroristen. Beide groepen hebben de capaciteit en intentie om zichzelf meer schade aan te doen dat dat zij een andere partij aandoen met hun acties.

[Reactie gewijzigd door The Zep Man op 5 april 2016 14:39]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True