"Veiligheid op internet eerst slechter, dan verbetering"

Op BBC News staat een artikel waarin de veiligheid op het internet besproken wordt. De veiligheid van het internet zal verder afnemen, voordat er een verbetering op komst is, aldus de mening van Peter Tippett van het beveiligingsbedrijf TruSecure. Alhoewel er goede methodes zijn voor het helpen van bedrijven op het gebied van worms, DDoS-attacks en defacements, wordt er nog steeds te weinig gedaan aan het bijscholen van werknemers op het gebied van veiligheidsproblemen. Ook wordt de werknemer te weinig geschoold in het zichzelf tegen zulke problemen kunnen beschermen. Dit komt volgens Tippett omdat er geen informatie is over hoe zulke problemen goed aangepakt zouden moeten worden:

"In internet security there's no-one that can tell you what are the 20-30 things organisations should do that are essential for security," he said. "There's also no mechanism for distributing information about problems and what must be done to solve them." Instead, said Mr Tippett, the net has a vast array of security experts, software companies and hacker groups pumping out information about security vulnerabilities that often overwhelms the people inside companies trying to protect their networks.

Als gevolg hiervan wordt er te weinig gedaan aan het oplossen van de dreigende gevaren. Het lekken van wachtwoorden komt bijna nooit voor, terwijl er wel telkens opdracht wordt gegeven aan werknemers om hun wachtwoord te veranderen en van een mix van letters en cijfers te voorzien. Tippett is van mening dat er op de verkeerde manier geïnvesteerd wordt in computerbeveiliging, en dat ondanks dat er steeds meer geld geïnvesteerd wordt, het probleem groter wordt.

RSA Security Dat veiligheid binnen bedrijven een heikel punt is, wordt ook onderschreven door Arthur Wong, medeoprichter en bestuursvoorzitter van SecurityFocus. Volgens zijn uitspraken op het RSA congres in San José zal 2002 een desastreus jaar voor computerbeveiliging worden. Hij baseert zijn mening op onderzoeken van SecurityFocus van het afgelopen jaar. Deze toonden aan dat het aantal gevonden securityholes gedaald is. Wong verwacht dat dit jaar het aantal weer toeneemt aangezien - op problemen zoals de Code Red- en Nimdaworms na - de hoeveelheid problemen vorig jaar erg meeviel. 100% veiligheid is volgens deze deskundige een utopie, omdat het goed beveiligen een proces is, en geen product op zich.

IT-banen

Reacties (32)

NoGinryuGo 24 februari 2002 20:52

Wat denk je dan van het volgende?

Reeds meer dan 2 jaar wijs ik mijn werkgever op security problemen. En dan spreek ik over meer dan 50 servers die op een of andere manier vanaf Internet te benaderen zijn. GEEN EEN ervan is UP-TO-DATE!!!!!!

En nee, dit ligt niet aan mij, maar aan de organisatie. Ik werk op het back-end gebeuren, terwijl beveiliging bij een andere afdeling zit. En meen je dat ze dan luisteren? neuh, waarom zouden ze.

Terwijl de meeste beveiligings ingrepen eigenlijk vrij eenvoudig van aard zijn (met name in een mixed NT4/Win2k omgeving).

Dus dit bericht verrast mij niets... Het zijn niet de medewerkers die niet willen.....
/Moest ff mijn frustratie kwijt

ZroBioNe 24 februari 2002 20:14

Misschien hebben bedrijven wel geen geld voor cursussen of hebben de medewerkers het erg druk met andere zaken, waardoor de cursussen over internet veiligheid blijven liggen.

Beaves @ZroBioNe • 24 februari 2002 20:36

De bedrijven hebben vaak geen geld voor dergelijke cursussen (die redelijk duur zijn en er veel mensen mee moeten doen als je een redelijk groot bedrijf hebt) en ik denk dat bedrijven het er nut niet van in zien om hun duurbetaalde arbeidskrachten een dag of twee wet te sturen naar zo'n cursus.

Je kan wel een foldertje maken met daarin uitleg over wat de gevaren zijn, maar ik denk niet dat zulke folders echt nut hebben, de meeste zullen het gewoon meteen in de prullenbak gooien.

Ik vind ook dat je als bedrijf de verantwoordelijkheid moet nemen en die niet over te laten aan je medewerkers. Je kan als systeem/netwerkbeheer er best voor zorgen dat attachments worden gescanned of zelfs niet geaccepteerd, er voor zorgen dat er op elke machine een up-to-date virusscanner staan en dat de systeembeheerder minimaal één keer per week kijkt of er update's o.i.d. zijn voor het gebruikte OS.

Dat zou ik dus veel beter vinden dat het aan mijn personeel over te laten.

kareltje21 @Beaves • 24 februari 2002 20:56

Bedrijven hebben wel degelijk het geld voor cursussen, kijk maar naar hoeveel gebruikers-cursussen (applicatie uitleg) er worden gegeven. Alleen wordt security niet of te weinig behandeld. Specifieke veiligheidscursussen voor gebruikers worden al helemaal niet gegeven.

Cursussen voor systeembeheerders mbt security worden niet belangrijk gevonden of men is er niet van op de hoogte dat deze bestaan.

Security moet men ook gaan scheiden in 2 gebieden: De applicatie's en systemen met hun beheerders, en de gebruikers in hun belevingswereld.

De eerste groep moet in hun opleiding het belang van security geleerd worden en tevens moeten er meer en betere beheerstools ontwikkeld worden.

De tweede groep kan pas veilig werken als ze volledig doordrongen zijn van alle gevaren die men tegen kan komen en deze onderkent.

Dit is zoiets als het verkeer en zijn gevaren, iets waar je van jongs af aan op de hoogte bent dat ze bestaan.

Deze gebruikers zullen dus pas bestaan bij een volgende generatie die vanaf baby is opgegroeid met computers, internet, het vak veiligheid op school, en een opvoeding door de ouders. (deze zullen net zo goed op de hoogte moeten zijn, dus misschien duurt het nog een generatie langer).

Oxi @kareltje21 • 24 februari 2002 21:21

Dit is jammer genoeg te vaag het geval ja.

Me moeder moest ook verplicht een aantal cursussen volgen om met de pc om te gaan. Maar daar werd NOOIT iets van veiligheid vermeld. En zij maar rustig attachments openen en onbetrouwbare diskettes draaien. Nu weten wij (ik me broer en me pa) wel wat om je te weren. (.exe nooit openen enzo)

Voor elke ding dat niet onder typen valt vraagt ze tegenwoordig hoe het moet. Dit had ook anders gekunt natuurlijk door het gewoon in de cursus te doen!
Ze is nu bang omdat ze al 3x de pc hier bijna vernageld heeft. (2x diskette en 1xduidelijk virus in mailbox)

Verwijderd @Beaves • 24 februari 2002 22:09

Beaves heeft gelijk. Er wordt zeker (veel) geld aan cursussen uitgegeven. Maar de spoeling is op dat gebied wel dun. Als ik naar mijn eigen werkgever kijk (een ziekenhuis) dan wordt er geëist dat je in ieder geval fatsoenlijk met Word en Excel kan werken (en het liefst ook met Access). Daarnaast wordt het programma QBE Vision veel gebruikt. Hiervoor gaan de mensen dan naar Broekhuis voor een training. Daarnaast geeft het ziekenhuis ook zelf opleidingen voor softwarepakketten voor administratie, ordersystemen, budgetteringssystemen. Maar daarmee houdt het echt wel op.
Binnenkort krijgen we ook internet. Iedereen is daarvoor op cursus geweest en dan zie je mensen zweten die nog niet in staat zijn om een bestand te downloaden. Echt onvoorstelbaar. Die kun je dus niet met beveiligingszaken laten bezighouden.

edit:

typfout

Verwijderd @ZroBioNe • 24 februari 2002 22:45

Misschien hebben bedrijven wel geen geld voor cursussen of hebben de medewerkers het erg druk met andere zaken, waardoor de cursussen over internet veiligheid blijven liggen

Niet veilig zijn kost op den duur ongetwijfeld nog meer geld.

Veiligheid vooropstellen kan trouwens ook op een andere manier geld besparen. Om een uitspraak van Georgi Guninski nog maar eens te quoten:

"Hoe meer geld ik aan Microsoft geef, hoe kwetsbaarder mijn Windows-computer wordt"

Het zo min mogelijk gebruik maken van producten van microsoft leidt inderdaad in de regel tot een veiliger systeem. Iemand die geen Outlook heeft, geen IE en geen MSoffice is al behoorlijk veiliger dan iemand die het wel gebruikt.

Zijn de werkplekken van je bedrijf ook nog eens unix ipv windowsbased, bespaar je behalve licentiekosten echt een heleboel risico's. De totale kosten (TCO) van GNU/linux-werkplekken ligt dan ook oa door lagere risico's vele malen lager dan die van windowspc's. Dus kosten moet je in perspectief zien.

Over het algemeen kun je stellen dat kennisverwerving behoorlijk bijdraagt aan veiligheid. En natuurlijklijk een no-microsoft beleid

Mod me maar weer naar flame/troll, ik kan het ook niet helpen dat het een feit is dat no-microsoft-beleid bijdraagt aan vermindering van kosten/risico's.

arjankoole

Bedrijfsnieuws

@Verwijderd • 25 februari 2002 00:13

Mod me maar weer naar flame/troll, ik kan het ook niet helpen dat het een feit is dat no-microsoft-beleid bijdraagt aan vermindering van kosten/risico's.

ik kan niet anders zeggen dan dat je gelijk hebt

Niet dat Linux of BSD helemaal veilig zijn, maar het is wel enigzins beter in de hand te houden, want het aantal security-allerts die daarop binnenkomen kan je per maand op 1 hand tellen over het algemeen.

echter, het draaien van een non-m$ toko is veelal niet haalbaar omdat je het de gebruikers echt niet door hun strot geshuffelt krijgt... anders had ik het echt allang voor elkaar gehad

Verwijderd @arjankoole • 25 februari 2002 09:42

echter, het draaien van een non-m$ toko is veelal niet haalbaar omdat je het de gebruikers echt niet door hun strot geshuffelt krijgt... anders had ik het echt allang voor elkaar gehad

Linux desktops wil prima, maar vaak geen optie omdat er altijd wel 1 windows-only-programma is waar men eigenlijk niet zonder kan of (onterecht) niet zonder durft (vaak IE, vaak ook Excell of Word). Dat is helaas het monopoly dat MS fel tracht uit te breiden.

Verwijderd 24 februari 2002 20:18

Maar wat ik tocvh echt niet snap is het feit dat er nog zoveel slecht beveiligde servers zijn, zoals IIS-servers waar poorten nog onbeveiligd open staan enzo. Er zijn zoveel hotfixes, security roll-ups, noem het maar op.
Als systeembeheerder moet je gwoon je verantwoording nemen, klaar

arjankoole

Bedrijfsnieuws

@Verwijderd • 24 februari 2002 20:25

leuke theorie, maar praktijk werkt helaas nog wel eens anders... en denk ook aan bedrijven die 'iemand' in hadden gehuurd om een keer een exchange server of IIS bak in elkaar te schroeven. Dan heeft niemand de verantwoordelijkheid voor die systemen. Hoewel de eindverantwoordelijke uiteraard altijd het bedrijf of de directie is.

maar echt simpel ligt het lang niet altijd volgens mij.

kareltje21 @arjankoole • 24 februari 2002 21:20

Het zijn niet alleen de externen die iets verprutsen, elke professional (intern of extern) kan een potentiele prutser zijn (bewust of onbewust).

Er is simpelweg te veel informatie omtrent veiligheid, zonder dat hier een standaar in is, een standaard uitwisselingspunt in is, of een benodigde eenduidige manier van werken.

Het gestructureerd werken met servers deelt beheer teveel op (taakdeling) zonder dat er goede middelen zijn om controle op het resultaat uit te voeren. Een meerdere vertrouwt dus op de mening van een "professional" die zegt iets gedaan te hebben, zonder dit te kunnen controleren (wie is hier de verantwoordelijke? mooi vraagstuk).

Voor een gedeelte zal er onwil onder de professionals zijn (tweakers is leuker dan logfiles), en andere situaties zal het onkunde zijn.

Verwijderd @kareltje21 • 24 februari 2002 21:28

Er is simpelweg te veel informatie omtrent veiligheid, zonder dat hier een standaar in is, een standaard uitwisselingspunt in is, of een benodigde eenduidige manier van werken.

Voorbeeld: Microsoft Win2k server + IIS5.0
Als je deze up-to-date wilt houden, lijkt mij dat niet zo gek lastig, als systeembeheerder volg je dan toch wel technet en zal je je wel ge-abbonneerd hebben op security-mailtjes ofzo. 1 keer je server goed instellen hotfixen ophalen en klaar (genuanceerd gezien natuurlijk).

Elk programma/platform heeft toch vaak wel 1 standaard uitwissleingspunt hiervoor. Toch?

PowerFlower @kareltje21 • 24 februari 2002 22:20

Ik ben geen systeembeheerder (meer), maar draai om te testen toch een IIS5 op m'n machine. En je wordt echt gestoord van de patches. En dan moet je servicepacks doen, en die maken de laatste hotfixes weer ongedaan, en die moet je dan dus weer toepassen.... dat is echt nogal lastig bij te houden. En onze systeembeheerders, tsja, die doen niet alleen NT, maar ook W2K, Solaris, Novell,....
Als jij me nu een overzicht kunt geven van hoe je van een basis W2K + IIS5 naar de laatste versie met alle patches gaat, hou ik me aanbevolen

Jis @kareltje21 • 24 februari 2002 22:58

Reaktie op PowerFlower:
Sinds paar maanden hebben ze bij MS een tooltje om te kijken welke patches je mist:
HFnetCHK
Hierdoor is het een heel stuk makkelijker geworden

alt-92 @kareltje21 • 25 februari 2002 11:32

Daar zou ik alleen niet op willen blindvaren.

Da's niet de end-all & be-all waarvoor het wordt aangezien, op de security-focus mailinglist komen regelmatig voorbeelden van een hotfix die wel geinstalleerd is (ook volgens HFNet) maar toch niet werkt omdat er weer een andere "fix" is die 'm weer teniet doet.
MS heeft dan wel een intelligent hotfix-systeem, maar als je achteraf een onderdeel of applicatie toevoegt kun je weer van voor af aan beginnen met SP's en patches toepassen in de voorgeschreven volgorde.

Verwijderd @arjankoole • 24 februari 2002 21:16

Ok, daar heb je dan gelijk in, maar er moet binnen dat bedrijf dan toch iemand zijn die zoiets beheert, update, em fixed als die down is.
En mocht dat echt allemaal uit handen gegeven zijn, dan is dat gespecialiseerde bedrijf daar verantwoordelijk voor (lijkt me), maar je mag van zo'n bedrijf dan toch wel verwachten dat ze goed reageren op security-updates enzo.

arjankoole

Bedrijfsnieuws

@Verwijderd • 25 februari 2002 00:06

Ook niet persé... soms is daar domweg geen geld voor, of je krijgt zo'n houding van "dat kan m'n neefje ook wel 1 dag per week".

ik had het bij m'n huidige werkgever ook hoor.... die had het plan om mij 4 dagen per week webmaster te laten spelen en 1 dag per week systeembeheerder. Geloof me, aan de site kom ik niet meer toe, aan programeren nog minder. En ik draai op de servers echt geen M$.

Bij sommige werkgevers krijg je 't er ook niet echt goed ingestampt trouwens, maar wat mij betreft gaat security altijd voorop.

Mickos 24 februari 2002 20:16

Als ik het een beetje doorlees zie ik dat het vooral over bedrijven gaat, of niet? Eigenlijk zou gewoon elke internetgebruiker die voor de eerste keer het internet op gaat een korte cursus moeten krijgen waarin de meest voorkomende dingen in worden verteld (virus-attachments?) en hoe ze daar mee kunnen omgaan, ik denk alleen dat het niet op schiet om de gemiddelde gebruiker iets over een DDoS aanval uit te leggen en te vertellen wat hij daar tegen kan doen (alhoewel zoiets niet gauw op een persoon zal worden gericht

)

Gardocki @Mickos • 24 februari 2002 20:21

Ja, dat vind ik ook. Ik vind ook dat er consequenties moeten zijn als je iets verkeerd doet. Want als jij een virus in een e-mail attachment opent, zijn andere mensen daar meestal ook de dupe van. Maar zoals altijd moet er eerst wat ergs gebeuren voordat er maatregelen worden genomen (bv. met Bin Laden, en met de Van Der Valk filialen)

blaatenator @Gardocki • 24 februari 2002 20:32

Leuk dat je het Bin Laden voorbeeld aanhaalt. Dat laat namelijk zien dat de zaken ook veel te ver kunnen doorschieten, zie de carte blanche die de instanties in de US hebben gekregen om hun zaken uit te voeren.
Ook Internet ontkomt niet aan die maatregelen, zie deze nieuwsposting van vr.
Niet erg veelbelovend voor de vrijheid van meningsuiting en privacy waar dan ook

Gardocki @blaatenator • 24 februari 2002 22:00

Ik bedoel dus dat er eerst iets heel groots moet gebeuren op beveilingsgebied, voordat mensen willen (of kunnen) inzien dat internet op dit moment redelijk slecht beveiligt is (virussen, DDoS aanvallen, etc.).

Jit @Gardocki • 25 februari 2002 09:52

Toch verbazingwekkend dan dat de UNIX-wereld het na die ene grote uitbraak redelijk op orde heeft gebracht; denk aan de Internet-Worm uit 1989.
Terwijl de MS-wereld ten eerste niet van de fouten van anderen geleerd heeft en, ten tweede, al helemaal niet van haar eigen fouten.
Hoeveel I-love-you's, Anna-Kournikova's, Melissa's etc moeten er nog komen voor er ook in die groep eens nagedacht gaat worden over de belachelijkheid van het aantal fouten dat maar steeds terugkomt?

* 786562 Jit

onno2 24 februari 2002 20:20

Het is niet eerst minder dan weer veiliger.
Alles wordt op een hoger nivo gewerkt (ook door bijscholing en meer aandacht), zodat de minder gevorderde hacker sneller zou uitvallen, waarbij het dan lijkt dat er MINDER aanvallen zijn.
Perfect beveiligen bestaat niet, maar men kan de hele gebeurtenis moeilijker maken door ervaring.

Verwijderd 24 februari 2002 20:54

Het probleem ontstaat vooral bij de kleinere bedrijfjes die met moeite iemand aan het werk kunnen zetten voor de IT zaken binnen het bedrijf. Helaas is er te weinig geld om deze mensen voldoende scholing te geven en vaak doen deze mensen maar part time werk op IT gebied en hebben ze het al druk genoeg met het reilen en zeilen binnen de onderneming zelf, laat staan om ook op het gebied van beveiling serieuze stappen te ondernemen. Aangezien beveiling typisch een tak van de IT is die niet meteen zichtbaar is voor personeel/management is er ook geen zicht hoe goed het systeem is, totdat het een keer goed mis gaat. En dan is het te laat.

blissard 25 februari 2002 09:34

Veilig voor de consument of veilig voor het bedrijfsleven? of terwijl: wordt het internet een goed georganiseerde supermarkt of wordt het een medium waar mensen over de hele wereld hun informatie vandaan kunnen halen?

Verwijderd 25 februari 2002 11:34

Beveiliging is inderdaad nog steeds een groot probleem. Ook bij nieuwe projecten wordt de beveiliging vaak vooruit geschoven.

De gedachte "de beveiliging doen we wel als het systeem loopt" is nog steeds erg populair.

Juist dan is het moeilijk om wijzigingen aan te brengen in het kader van bijvoorbeeld beveiligen. Als dit gelijk als risico wordt meegenomen en in het mandaat van een (nieuw) info-systeem zouden we het elkaar bijzonder makkelijk maken. Een heuse echte "Win-Win" situatie.

Anders krijg je fusteraties van boze Administrators en beheerders. Beetje jammer want die mensen hebben het al zo zwaar.

Mensen als EDP en IT Auditors zijn speciaal voor het begeleiden van de beveiligingsaspecten voor informatiesystemen. Zowel voor nieuwbouw als reeds aanwezige informatiesystemen.

Gebruik deze consultants ze zijn ervoor. Vaak wordt een coach over het hoofd gezien bij projecten, huur ze, het is echt handig om iemand aan te stellen die objectief kan zijn en je van "ruggespraak" kan voorzien. Ik heb het gezien dit werkt perfect.

Het maakt ook niet echt veel uit of je nu te maken hebt met een grote of kleine organisatie. Ze stellen het beveiligen beide uit. Voordeel voor een grote organisatie is dat er meer meningen zijn en meer specialisatie.

Wel is het natuurlijk zo dat informatiesystemen, hoe goed beveiligd het ook is, het is precies zoals bij auto's jatten: "it's a matter of time"; de sleutel om in een systeem te komen wordt altijd gevonden. De info over het HTTP protocol kan iedereen bekijken (www.w3.org).

Wat op zich ook wel weer leven in de brouwerij brengt, zeker bij banken. Met hen drie of vier achter elkaar gekoppelde firewall's.

Nee ik ben geen administrator, IT Auditor, programmeur of banker of!

. Problemen oplossen is gewoon gaaf!

drexciya 26 februari 2002 13:58

Allereerst word ik enigzins moe van de *nix aanhangers. Laat dat gejank ten aanzien van MS-produkten eens achterwege en denk eens serieus hoe een bedrijf moet werken.

Applicaties zijn er voor het Win32 platform, dus draait men op dat platform. Ik wil niet eens gaan bedenken hoeveel het gaat kosten om een gemiddeld bedrijf volledig naar *nix om te zetten.

Wat nu in een MS-omgeving?

Zoals men al aangaf is de gebruiker een *groot* probleem, dit kan op verschillende manieren actief worden tegengegaan:
* Outlook security patch, ietwat bruut, maar voor eindgebruikers gerechtvaardigd. Attachments met discutabele extenties (.exe, .bat, .vbs ...) worden ontoegankelijk gemaakt (zowel inkomend, forward als versturen). Alleen een admin kan wat met die attachments doen.
*Office 2000/XP heeft standaard ingebouwde security voor macro's en add-ins; alleen gecertificeerde add-ins (die worden gestart met het hoofdprogramma) worden in de hoogste stand toegestaan.
*Keikard diskettestations uitschakelen (BIOS-optie).

Op beheergebied:

)e eerdergenoemde hotfix-checker voor IIS5/Windows 2000.
*Het bijhouden van mailing-lists.
*Pro-actieve instelling bij beheerders en management, vooral die laatste factor is hoogst irritant.
* Minder versnippering van beheerstaken, met name in grote omgevingen zijn verschillende afdelingen, die ieder een stukje van de beheerstaken mogen doen en erg sterk vasthouden aan "hun toko". Rampzalig voor serieus beheer.

PD2JK

24 februari 2002 20:03

Het moet iig beter, je hoort steeds vaker dat er weer een DDoS aanval is gepleegd....

OxiMoron @PD2JK • 24 februari 2002 21:43

Ja.. een vriend had een CS server.. maar een cheater die hij gebanned had ging toen ook een zooi DDoS aanvallen doen op de server.. dus die is nu offline

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (32)

Sorteer op:

Weergave: